ДЕРЖАВНА СЛУЖБА УКРАЇНИ З НАДЗВИЧАЙНИХ СИТУАЦІЙ

НАКАЗ
11.12.2013 N 755

(з основної діяльності)

Про затвердження Положення про
технічний захист інформації у Державній
службі України з надзвичайних ситуацій

Відповідно до вимог Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 р. N 1229, та з метою визначення правових і організаційних засад технічного захисту інформації в ДСНС України НАКАЗУЮ:

1. Затвердити Положення про технічний захист інформації у Державній службі України з надзвичайних ситуацій (далі - Положення), що додається.

2. Керівникам територіальних органів ДСНС України, підрозділів, підприємств, установ та організацій, що належать до сфери управління ДСНС України, організувати діяльність структурних підрозділів у сфері технічного захисту інформації відповідно до вимог Положення.

3. Контроль за виконанням цього наказу покласти на першого заступника Голови ДСНС України Данилюка С.Л.

Голова М. Болотських

Погоджено:

Голова Державної служби спеціального зв'язку та
захисту інформації України Г.А. Резніков

Затверджено
Наказ ДСНС України
11.12.2013 N 755

Положення
про технічний захист інформації у Державній
службі України з надзвичайних ситуацій

I. Загальні положення

1.1. Це Положення визначає правові та організаційні засади технічного захисту інформації, вимога щодо захисту якої встановлена законом, в апараті ДСНС України, територіальних органах ДСНС України, підрозділах, підприємствах, установах та організаціях, що належать до сфери управління ДСНС України.

1.2. У цьому Положенні терміни вживаються у значеннях, наведених у Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 р., Законах України "Про інформацію", "Про захист інформації в інформаційно-телекомунікаційних системах" та інших нормативно-правових актах з питань технічного захисту інформації.

Інші терміни та скорочення мають таке значення:

Установа - територіальні органи ДСНС України, підрозділи, підприємства, установи та організації, що належать до сфери управління ДСНС України.

ІТС - інформаційно-телекомунікаційна система. У Положенні під терміном ІТС мається на увазі інформаційна, телекомунікаційна та інформаційно-телекомунікаційна системи.

1.3. Організація діяльності щодо технічного захисту інформації в ДСНС України регулюється Конституцією України, законами України, актами Президента України та Кабінету Міністрів України, нормативними та відомчими розпорядчими документами з питань ТЗІ, а також цим Положенням.

1.4. Організація технічного захисту інформації та відповідальність за його стан в апараті ДСНС України та Установах покладається на керівників.

1.5. До об'єктів технічного захисту належить інформація, вимога щодо захисту якої встановлена законом. До об'єктів захисту в ІТС, крім того, відноситься програмне забезпечення, що призначене для обробки цієї інформації.

1.6. Організаційно-технічні принципи, порядок здійснення заходів щодо технічного захисту інформації, порядок контролю у цій сфері, характеристики загроз для інформації, норми та вимоги з ТЗІ визначаються нормативно-правовими актами з питань ТЗІ.

1.7. Дія цього Положення не поширюється на системи і засоби, що базуються на криптографічних методах захисту інформації.

1.8. Організація заходів протидії технічним розвідкам у ДСНС України регламентується нормативними документами Держспецзв'язку України.

1.9. Техніко-економічне обґрунтування, проектування будівництва та реконструкції об'єктів, проведення наукових досліджень та створення інформаційно-телекомунікаційних систем, зразків спеціальної техніки, критичних і небезпечних технологій виконуються за технічними завданнями, до яких обов'язково повинні включатися вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням робіт та у процесі функціонування зазначених об'єктів, систем, зразків і технологій циркулюватиме інформація, що підлягає захисту.

1.10. Роботи з технічного захисту інформації в апараті ДСНС України та Установах здійснюються за рахунок коштів, що виділяються на їх утримання, та інших джерел, не заборонених законодавством.

1.11. Відповідно до Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 р., під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Держспецзв'язку України для застосування та включені до відповідних переліків.

II. Система технічного захисту інформації

2.1. Склад системи технічного захисту інформації.

2.1.1. Суб'єкти системи технічного захисту інформації:

комісії з питань технічного захисту інформації;

підрозділи технічного захисту інформації (підрозділи з питань телекомунікацій, інформаційних технологій та захисту інформації і підрозділи технічного захисту інформації, що призначені для виконання робіт з ТЗІ);

служби захисту інформації в ІТС;

режимно-секретні органи.

2.1.2. Нормативно-правові акти та нормативно-методичні документи з питань ТЗІ, відомчі розпорядчі та методичні документи з питань ТЗІ.

2.1.3. Матеріально-технічна база.

2.2. Комісія з питань технічного захисту інформації апарату ДСНС України, Установи (далі - комісія з питань ТЗІ) призначається наказом керівника; очолює комісію з питань ТЗІ один із заступників керівника.

До складу комісії з питань ТЗІ обов'язково повинні входити керівники структурного підрозділу з питань телекомунікацій, інформаційних технологій та захисту інформації, режимно-секретного органу, штатної (позаштатної) служби захисту інформації в ІТС, документального забезпечення. До складу комісії з питань ТЗІ можуть включатися представники інших структурних підрозділів.

Комісія з питань ТЗІ у своїй діяльності керується вимогами чинних нормативно-правових актів, нормативно-методичних та відомчих документів з питань ТЗІ.

Головними завданнями комісії з питань ТЗІ є:

підготовка пропозицій керівнику стосовно визначення завдань підрозділам, від яких залежить виконання у повному обсязі вимог ТЗІ;

організація контролю за виконанням вимог з ТЗІ;

обстеження умов інформаційної діяльності;

визначення переліку об'єктів, на яких буде оброблятися інформація з обмеженим доступом за допомогою технічних засобів та (або) будуть проводитися заходи з озвучуванням такої інформації;

проведення категоріювання об'єктів інформаційної діяльності (далі - ОІД);

розслідування випадків порушення встановлених норм та вимог з питань ТЗІ, що створюють загрозу конфіденційності, цілісності та доступності інформації.

2.3. Підрозділ з питань телекомунікацій, інформаційних технологій та захисту інформації апарату ДСНС України.

Головне завдання підрозділу з питань телекомунікацій, інформаційних технологій та захисту інформації апарату ДСНС України за напрямком ТЗІ - методичне забезпечення та контроль впровадження в ДСНС України заходів технічного захисту інформації, вимога щодо захисту якої встановлена законом, а саме:

розробка проектів відомчих організаційно-розпорядчих документів з питань ТЗІ;

методичне забезпечення впровадження заходів ТЗІ в ДСНС України згідно з вимогами нормативно-правових актів з питань ТЗІ;

організація впровадження заходів ТЗІ в апараті ДСНС України;

координація діяльності підрозділів ТЗІ в ДСНС України;

здійснення відомчого контролю за станом технічного захисту інформації в ДСНС України та внутрішнього контролю в апараті ДСНС України;

участь у розслідуванні порушень вимог законодавства у сфері ТЗІ та підготовка пропозицій щодо попередження в майбутньому подібних випадків;

аналіз виконання вимог нормативно-правових актів з питань технічного захисту інформації в ДСНС України та підготовка пропозицій керівництву щодо удосконалення стану ТЗІ;

організація підготовки та підвищення кваліфікації спеціалістів технічного захисту інформації в ДСНС України;

організація взаємодії з Держспецзв'язку України та підрозділами захисту інформації інших органів державної влади України з питань ТЗІ.

2.4. Підрозділ з питань телекомунікацій, інформаційних технологій та захисту інформації Установи.

Головне завдання підрозділу з питань телекомунікацій, інформаційних технологій та захисту інформації Установи за напрямком ТЗІ - організація та контроль впровадження в Установі та у підпорядкованих Установі підрозділах заходів технічного захисту інформації, вимога щодо захисту якої встановлена законом, а саме:

аналіз функціонування ОІД, інформаційно-телекомунікаційних систем з метою визначення загроз інформації і розробка заходів захисту інформації;

розробка пропозицій для комісії з питань ТЗІ щодо шляхів реалізації вимог нормативно-правових актів з питань ТЗІ;

організація та координація заходів щодо впровадження заходів технічного захисту інформації на ОІД та в ІТС Установи;

організація діяльності служби захисту інформації в ІТС;

розробка та доведення до особового складу розпорядчих документів, інструкцій, методичних посібників, пам'яток з питань ТЗІ;

здійснення внутрішнього контролю за виконанням вимог нормативно-правових та відомчих документів з питань ТЗІ;

участь у розслідуванні порушень вимог законодавства у сфері ТЗІ та підготовка пропозицій щодо попередження в майбутньому подібних випадків.

У разі відсутності в Установі штатного підрозділу ТЗІ наказом керівника утворюється позаштатний підрозділ ТЗІ.

До складу позаштатного підрозділу ТЗІ обов'язково включаються представники підрозділів з питань телекомунікацій та інформаційних технологій, РСО, також можуть включатися представники інших підрозділів.

2.5. Підрозділи технічного захисту інформації, що призначені для виконання робіт з ТЗІ.

Це підрозділи Установ, укомплектовані засобами вимірювальної техніки, спеціальною пошуковою апаратурою та обладнанням і призначені для проведення робіт з ТЗІ в ДСНС України.

Головними завданнями цих підрозділів є:

впровадження та атестація комплексів ТЗІ на ОІД;

впровадження комплексних систем захисту інформації з обмеженим доступом в ІТС;

виявлення закладних пристроїв на ОІД.

Додаткові завдання, функції та права таких підрозділів визначаються положенням про ці підрозділи, погодженим з підрозділом з питань телекомунікацій, інформаційних технологій та захисту інформації апарату ДСНС України.

Дозвіл (повноваження) таким підрозділам на проведення відповідних видів робіт з ТЗІ надається відповідно до чинного законодавства.

2.6. Служба захисту інформації в ІТС.

Головними завданнями Служби захисту інформації в ІТС (апарату ДСНС України; Установи) є:

розроблення та удосконалення Плану захисту інформації в ІТС, впровадження заходів, спрямованих на його реалізацію;

супровід створення, впровадження та функціонування комплексних систем захисту інформації (далі - КСЗІ), у частині захисту інформації від несанкціонованого доступу, на всіх етапах життєвого циклу ІТС, забезпечення належного функціонування КСЗІ у процесі роботи ІТС;

підтримка необхідного рівня захищеності інформаційних ресурсів та технологій в ІТС;

розроблення проектів розпорядчих документів, згідно з якими повинен забезпечуватися захист інформації в ІТС;

участь у контролі виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів щодо:

захисту інформації в ІТС;

правил користування інформаційними ресурсами;

порядку експлуатації обладнання ІТС.

У разі відсутності в Установі штатної служби захисту інформації в ІТС виконання її завдань покладається на підрозділ інформаційних технологій.

Функції служби захисту інформації в ІТС апарату ДСНС України визначаються у положенні про відповідний підрозділ ДСНС України.

2.7. Завдання режимно-секретних органів стосовно технічного захисту інформації визначено чинним законодавством.

III. Організація впровадження заходів ТЗІ

3.1. Роботи з технічного захисту інформації в ДСНС України проводяться підрозділами ТЗІ, що зазначені у пункті 2.5.

Організація діяльності таких підрозділів регламентується окремим відомчим наказом.

3.2. Проведення робіт (надання послуг) з технічного захисту інформації в ДСНС України сторонніми організаціями здійснюється відповідно до чинного законодавства.

IV. Порядок здійснення контролю за станом ТЗІ

4.1. Відомчий контроль стану ТЗІ в Установах здійснюється фахівцями підрозділу з питань телекомунікацій, інформаційних технологій та захисту інформації апарату ДСНС України. До перевірок можуть залучатися фахівці з питань ТЗІ Установ.

4.2. Контроль за дотриманням вимог нормативних-правових актів підрозділами, що призначені для виконання робіт з ТЗІ, здійснює підрозділ з питань телекомунікацій, інформаційних технологій та захисту інформації апарату ДСНС України під час проведення перевірок стану ТЗІ, а також шляхом аналізу звітних документів, розроблених підрозділом ТЗІ за результатами проведених робіт і направлених за вказівкою до апарату ДСНС України.

4.3. Терміни проведення перевірок стану ТЗІ в Установах визначаються планом роботи ДСНС України на відповідний рік. Пропозиції щодо проведення таких перевірок та термінів їх проведення надаються підрозділом з питань телекомунікацій, інформаційних технологій та захисту інформації апарату ДСНС України, виходячи із загального стану ТЗІ в Установах (у тому числі за результатами звітів про стан ТЗІ, результатів попередніх перевірок, повноти виконання рекомендацій та усунення недоліків).

4.4. Перевірки проводяться відповідно до приписів, що підписуються Головою ДСНС України або одним із його заступників та завіряються гербовою печаткою.

4.5. За результатами перевірки складається звітний документ (акт, довідка), в якому відображаються стан технічного захисту інформації, виявлені в ході перевірки недоліки, даються рекомендації щодо їх усунення.

Ознайомлення керівника Установи, в якій проводилася перевірка, зі звітним документом про перевірку стану ТЗІ здійснюється під розпис.

Звітний документ про перевірку стану технічного захисту інформації складається у двох примірниках. Один примірник залишається в Установі, що перевірялася, другий примірник надсилається до апарату ДСНС України.

Доповідь про заходи, вжиті відповідно до наданих рекомендацій. та усунення виявлених у ході перевірки недоліків, має подаватися відповідно до термінів, зазначених у звітному документі про перевірку стану ТЗІ.

4.6. У разі виявлення порушення, внаслідок якого створюється реальна загроза або передумови до порушення конфіденційності, зокрема, за рахунок витоку (просочення) технічними каналами та (або) цілісності й доступності інформації, вимога щодо захисту якої встановлена законом, вживаються такі заходи:

особи, які перевіряють, негайно доповідають керівнику Установи, що перевіряється, про порушення для прийняття рішення про припинення інформаційної діяльності на відповідних об'єктах;

призначається службове розслідування щодо відповідальних осіб;

про факт порушення та заходи, вжиті з метою його усунення, повідомляють керівництву ДСНС України відповідно до розподілу обов'язків;

інші заходи, передбачені чинним законодавством.

Дозвіл на відновлення інформаційної діяльності на відповідних об'єктах дає керівник Установи, після усунення порушень, перевірки достатності і ефективності вжитих заходів ТЗІ.

4.7. Керівник Установи, що перевірялася, зобов'язаний вжити невідкладних заходів щодо усунення виявлених порушень.

4.8. У структурних підрозділах апарату ДСНС України та Установи організовується внутрішній контроль за дотриманням вимог нормативно-правових та відомчих документів з питань технічного захисту інформації.

Контроль здійснюється фахівцями підрозділу з питань телекомунікацій, інформаційних технологій та захисту інформації відповідно до плану, затвердженого головою комісії з питань ТЗІ.

Доповідь голові комісії з питань ТЗІ про результати перевірок здійснюється письмово.

4.9. У разі порушення вимог щодо забезпечення технічного захисту інформації посадові особи несуть відповідальність згідно з чинним законодавством України.

Начальник Управління телекомунікацій, інформаційних
технологій та Системи 112 А. Лоєнко