ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
           ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ

                            Н А К А З

 N 35 від 07.06.2002                  Зареєстровано в Міністерстві
     м. Київ                          юстиції України
                                      21 червня 2002 р.
                                      за N 526/6814


       Про затвердження Положення про порядок розроблення,
    прийняття, перегляду та скасування міжвідомчих нормативних
         документів системи технічного захисту інформації


     Відповідно до п.10 Положення про технічний захист  інформації
в Україні,  затвердженого Указом Президента України від 27 вересня
1999 року N  1229  (  1229/99  )  (зі  змінами,  унесеними  Указом
Президента України від 6 жовтня 2000 року N 1120 ( 1120/2000 ), на
виконання п.2 постанови Кабінету Міністрів України від 13  березня
2002  року  N  281  (  281-2002-п  )  "Про  деякі  питання захисту
інформації,  охорона якої забезпечується  державою",  та  з  метою
забезпечення єдиного порядку розроблення,  прийняття, перегляду та
скасування міжвідомчих нормативних документів  системи  технічного
захисту інформації Н А К А З У Ю:

     1. Затвердити  Положення про порядок розроблення,  прийняття,
перегляду та скасування міжвідомчих нормативних документів системи
технічного захисту інформації (далі - Положення), що додається.

     2. Заступнику     начальника     Департаменту     спеціальних
телекомунікаційних систем та  захисту  інформації  Служби  безпеки
України   -   начальнику   Головного  управління  Котельчуку  І.А.
забезпечити подання в установленому порядку Положення на  державну
реєстрацію до Міністерства юстиції України.

     3. Визнати таким, що втратив чинність, наказ Державної служби
України з питань технічного захисту інформації від 1 липня 1996 р.
N  44  (  z0366-96  )  "Про  затвердження  Положення  про  порядок
опрацювання,  прийняття,  перегляду  та   скасування   міжвідомчих
нормативних  документів  системи  технічного  захисту інформації",
зареєстрований в Мінюсті України 18.07.1996 р. N 366/1391.

     4. Контроль за виконанням цього наказу  покласти  на  першого
заступника  начальника Департаменту спеціальних телекомунікаційних
систем та    захисту    інформації    Служби    безпеки    України
Барлабанова В.В.

 Начальник Департаменту
 полковник                                               О.Скриник

                                      ЗАТВЕРДЖЕНО
                                      Наказ Департаменту
                                      спеціальних
                                      телекомунікаційних систем та
                                      захисту інформації
                                      Служби безпеки України
                                      7.06.2002 N 35

                                      Зареєстровано в Міністерстві
                                      юстиції України
                                      21 червня 2002 р.
                                      за N 526/6814

                            ПОЛОЖЕННЯ
         про порядок розроблення, прийняття, перегляду та
          скасування міжвідомчих нормативних документів
              системи технічного захисту інформації

                       1. Загальні питання

     1.1. Це  Положення визначає порядок розроблення,  погодження,
затвердження,  реєстрації та видання нових, перегляду і скасування
чинних  міжвідомчих  нормативних  документів  технічного характеру
(норми,  методики,  положення, інструкції тощо) системи технічного
захисту  інформації,  що  не належать до нормативних документів із
стандартизації,  але є обов'язковими для виконання всіма  органами
виконавчої   влади   та   місцевого   самоврядування,  військовими
частинами  всіх  військових  формувань,  створених  відповідно  до
законодавства,    підприємствами,   установами   й   організаціями
незалежно від форм власності (далі - організації), діяльність яких
пов'язана з технічним захистом інформації.

     1.2. Порядок викладення, оформлення та позначення нормативних
документів системи технічного захисту інформації (далі -  НД  ТЗІ)
встановлюється   відповідними   нормативними  актами  Департаменту
спеціальних телекомунікаційних систем та захисту інформації Служби
безпеки України (далі - ДСТСЗІ).

     1.3. Підставою  для  розроблення  НД  ТЗІ  можуть  бути  акти
законодавства,  державні  програми  розвитку  технічного   захисту
інформації,   інші   програми  науково-технічних  робіт  у  галузі
технічного захисту інформації.

     1.4. Організацію робіт,  пов'язаних  із  створенням  НД  ТЗІ,
здійснює ДСТСЗІ.

               2. Розроблення та погодження НД ТЗІ

     2.1. Під  час  підготовки  до розроблення НД ТЗІ визначається
доцільність його створення,  черговість  робіт,  а  також  можливі
виконавці проекту, джерела фінансування тощо.

     2.2. Розробляти  НД  ТЗІ  може  окрема  організація,  творчий
колектив, група спеціалістів (далі - організація-розробник).

     2.3. Розроблення  НД  ТЗІ  може  здійснюватися  на   засадах,
передбачених  законодавством  щодо  закупівель  послуг  за рахунок
державних коштів,  або за  ініціативою  організації-розробника  за
власні кошти.

     2.4. Організацією-замовником  міжвідомчих  НД  ТЗІ  може бути
ДСТСЗІ або міністерство  чи  інший  центральний  орган  виконавчої
влади за погодженням з ДСТСЗІ.

     2.5. Проект  НД  ТЗІ  розробляється  відповідно  до  договору
(контракту)    між    замовником    і    організацією-розробником,
календарного  плану  та технічного завдання (додаток 1),  а в разі
розроблення  НД  ТЗІ  за  ініціативою   організації-розробника   -
відповідно до технічного завдання, затвердженого ДСТСЗІ.

     2.6. Стадії розроблення НД ТЗІ:
     - опрацювання, погодження і затвердження технічного завдання;
     - розроблення  першої  редакції  проекту НД ТЗІ (розроблення,
оформлення та надсилання для отримання відгуку);
     - підготовка  остаточної  редакції  проекту  НД  ТЗІ  (аналіз
відгуків,  доопрацювання та  оформлення,  погодження,  подання  на
затвердження).

     2.7. Організація-розробник  розробляє  і  погоджує  з  ДСТСЗІ
технічне  завдання  на  розроблення  НД  ТЗІ  (далі   -   технічне
завдання).
     До технічного завдання додаються:
     - перелік  організацій,  яким  проект НД ТЗІ надсилається для
отримання відгуку;
     - перелік  організацій,  яким  проект  НД ТЗІ надсилається на
погодження.
     До  переліку  суб'єктів,  з якими погоджується проект НД ТЗІ,
включаються  організації та установи, до компетенції яких повністю
або  частково  належать встановлення вимог нормативного документа,
що розробляється.

     2.8. Зміни до технічного завдання розробляються, погоджуються
та затверджуються в тому самому порядку, що й основний документ.

     2.9. Під  час  розроблення  проекту  НД  ТЗІ використовуються
результати          експериментальних,          науково-дослідних,
дослідно-конструкторських  робіт  і  міжнародний  досвід  у галузі
технічного захисту інформації.

     2.10. Одночасно з розробленням проекту НД ТЗІ складаються:
     - пояснювальна записка;
     - опис проекту у  вигляді  картки-паспорта  (додаток  2)  для
оброблення  на  електронно-обчислювальних  машинах  і  введення до
банку даних автоматизованого інформаційного фонду ДСТСЗІ.

     2.11. Пояснювальна записка повинна містити відомості про:
     - підставу для розроблення і мету нормативного документа;
     - взаємозв'язок з іншими нормативними документами;
     - коротку характеристику положень,  що містяться в проекті НД
ТЗІ;
     - джерела  інформації,  які  були  використані для підготовки
проекту НД ТЗІ;
     - надіслання на відгук та погодження проекту НД ТЗІ;
     - інші дані.
     Пояснювальна записка          підписується         керівником
організації-розробника.

     2.12.  Якщо під час розроблення проекту нового НД ТЗІ виникає
потреба  у  зміні,  доповненні  або  скасуванні діючих нормативних
документів,   одночасно  з  розробленням  проекту  нового  НД  ТЗІ
готуються   обгрунтовані   пропозиції   про  перегляд,  зміну  або
скасування діючих.

     2.13. Перша  редакція  проекту  НД   ТЗІ   розглядається   на
засіданні  науково-технічної  ради  організації-розробника  або її
відповідної  секції,  а  в  разі  їх  відсутності  -   відповідним
колегіальним   органом.  У  разі  схвалення  проекту  НД  ТЗІ  він
надсилається на відгук організаціям згідно з переліком, зазначеним
у додатку до технічного завдання.
     Організації, яким надано проект НД ТЗІ для отримання відгуку,
повертають  останній у термін, що не перевищує одного місяця з дня
одержання проекту, разом із зауваженнями та пропозиціями до нього,
підписаними  керівником організації або його заступником. Відгуки,
направлені  після  встановленого строку, розглядаються розробником
на свій розсуд.
     2.14. Організація-розробник   на   підставі    зауважень    і
пропозицій,  що містяться у відгуках,  доопрацьовує проект НД ТЗІ,
уточнює пояснювальну  записку  і  картку-паспорт,  готує  зведення
відгуків.

     2.15. Доопрацьований  проект  НД  ТЗІ  разом  з пояснювальною
запискою та зведенням відгуків організація-розробник  надсилає  на
погодження  організаціям згідно з переліком,  зазначеним у додатку
до технічного завдання.
     Організації,  з  якими погоджується проект НД ТЗІ, повертають
останній  у  термін,  що  не перевищує десяти днів з дня одержання
проекту,  разом  з  відповідним  висновком,  підписаним керівником
організації або його заступником.

     2.16. Остаточна редакція  проекту  НД  ТЗІ  після  врахування
зауважень  і  пропозицій  організацій,  з  якими він погоджувався,
обговорюється     на     засіданні     науково-технічної      ради
організації-розробника  або  її  відповідної  секції,  а в разі їх
відсутності - відповідного колегіального  органу,  де  приймається
рішення про подання проекту на затвердження ДСТСЗІ.

     2.17. Проект  НД ТЗІ подається на затвердження ДСТСЗІ у трьох
примірниках (оригінал  і  дві  копії)  державною  мовою  разом  із
супровідним листом, підписаним керівником організації-розробника.
     До проекту НД ТЗІ додаються:
     - технічне завдання на розробку НД ТЗІ;
     - пояснювальна записка;
     - магнітна  дискета  із записом тексту нормативного документа
державною мовою;
     - опис проекту у вигляді картки-паспорта;
     - оригінали документів, що підтверджують його погодження;
     - зведення відгуків;
     - матеріали експертизи (у разі потреби);
     - рішення  науково-технічної  ради організації-розробника або
її відповідної секції,  а в разі  їх  відсутності  -  відповідного
колегіального органу.

     2.18. Поданий  проект  НД ТЗІ розглядає науково-технічна рада
ДСТСЗІ або її відповідна секція у термін,  що  не  перевищує  двох
місяців з дня його надходження, і приймає рішення про затвердження
проекту або повернення його на доопрацювання.
     Науково-технічна  рада ДСТСЗІ або її відповідна секція у разі
потреби може прийняти рішення про проведення експертизи проекту НД
ТЗІ.
     У  разі  проведення експертизи термін розгляду проекту НД ТЗІ
може  бути  продовжений на час її проведення, але не більше ніж на
один місяць.

               3. Затвердження та реєстрація НД ТЗІ

     3.1. НД ТЗІ затверджується наказом  ДСТСЗІ,  де  визначається
дата надання йому чинності.
     Під  час реєстрації НД ТЗІ, яка провадиться в книзі за формою
згідно з додатком 3, документу присвоюється відповідний номер.

     3.2. Оригінал  НД ТЗІ разом з додатками залишаються в ДСТСЗІ,
другий  примірник   надсилається   для   тиражування,   третій   -
повертається   організації  -  розробнику.  Зміст  картки-паспорта
вводиться до банку  даних  автоматизованого  інформаційного  фонду
ДСТСЗІ.

            4. Видання НД ТЗІ та інформація про нього

     4.1. Дані про затвердження і набрання чинності НД ТЗІ, що має
міжвідомчий  характер,   публікуються   в   журналах   "Бизнес   и
безопасность"   та   (або)   "Безопасность  информации",  а  також
розміщуються на WEB-сайті ДСТСЗІ.

     4.2. Тиражування  і  розповсюдження  НД  ТЗІ  здійснюються за
погодженням з ДСТСЗІ.

         5. Порядок перегляду та внесення змін до НД ТЗІ

     5.1. Перегляд  НД  ТЗІ провадиться у міру потреби за рішенням
науково-технічної ради ДСТСЗІ або її відповідної  секції,  але  не
рідше ніж один раз на п'ять років.
     НД   ТЗІ   перевіряється  структурними  підрозділами  ДСТСЗІ,
організацією-розробником    або   на   договірній   основі   іншою
організацією  на  відповідність  положенням  міжнародних договорів
України,  згода  на  обов'язковість  яких  надана  Верховною Радою
України,  законам  України  та  нормативним актам, сучасному рівню
можливостей  порушення  безпеки  інформації  та  розвитку  науки і
техніки в галузі технічного захисту інформації.
     За результатами перевірки науково-технічна рада ДСТСЗІ або її
відповідна  секція  приймає  рішення  про необхідність розроблення
нового  НД ТЗІ, внесення змін до чинного НД ТЗІ, про подальше його
застосування або скасування.

     5.2. Розроблення,  погодження та затвердження змін до чинного
НД  ТЗІ,  їх реєстрація здійснюються в порядку,  установленому для
розроблення,  погодження та затвердження НД ТЗІ,  що розробляється
вперше.

                   6. Порядок скасування НД ТЗІ

     6.1. Скасування   НД   ТЗІ  здійснюється  наказом  ДСТСЗІ  за
погодженням з організаціями,  що узгоджували проект, відповідно до
рішення  науково-технічної ради ДСТСЗІ або її відповідної секції у
разі розроблення нової  редакції  або  встановлення  недоцільності
подальшого його застосування.
     Рішення  про  скасування НД ТЗІ приймається не пізніше ніж за
два місяці до визначеної дати скасування.

     6.2. На  підставі  рішення  про  скасування  НД ТЗІ вносяться
відповідні зміни до банку  даних  автоматизованого  інформаційного
фонду  ДСТСЗІ  і  публікується  необхідна  інформація  в  журналах
"Бизнес и безопасность"  та  (або)  "Безопасность  информации",  а
також розміщується на WEB-сайті ДСТСЗІ.

 Заступник начальника Департаменту -
 начальник Головного Управління ТЗІ
 ДСТСЗІ СБ України                                     І.Котельчук

                                      Додаток 1
                                      до п. 2.5 Положення про
                                      порядок розроблення,
                                      прийняття, перегляду та
                                      скасування міжвідомчих
                                      нормативних документів
                                      системи технічного
                                      захисту інформації

    ПОГОДЖЕНО                            ЗАТВЕРДЖЕНО
 _______________________      Начальник Департаменту спеціальних
 (назва організації)          телекомунікаційних систем та захисту
 _______________________      інформації Служби безпеки України
 (посада, ініціали,           _________________________________
 прізвище керівника)               (ініціали, прізвище)
 "___"________ 200 р.         "____"_____________ 200 р.
 М.П.                         М.П.

                        ТЕХНІЧНЕ ЗАВДАННЯ
     на розроблення (перегляд) нормативного документа системи
                  технічного захисту інформації

  _____________________________________________________________
                        (назва документа)

     Виконавець _______________________________________________
     Замовник _________________________________________________
     Підстава для розроблення _________________________________
                                    (наказ, дата, номер)
     Термін виконання: Початок ______________________ 200 __ р.
                       Закінчення ___________________ 200 __ р.
     Мета та завдання розроблення нормативного документа _________
     _____________________________________________________________

     Характеристика об'єкта розроблення __________________________
     _____________________________________________________________
     (у тому числі своєчасність розроблення та ступінь підготовки
     _____________________________________________________________
     об'єкта розроблення до його впровадження й використання)

     Розділи нормативного документа, їх короткий зміст ___________
     _____________________________________________________________
     Взаємозв'язок з іншими нормативними документами _____________
     _____________________________________________________________
     Основні джерела інформації __________________________________
     _____________________________________________________________
     Етапи робіт і термін їх виконання ___________________________
     _____________________________________________________________
     Додаткові вказівки або відомості ____________________________
     _____________________________________________________________

     Додатки

     Від замовника                                   Від виконавця

 Заступник начальника  Департаменту -
 начальник Головного Управління  ТЗІ
 ДСТСЗІ СБ України                                     І.Котельчук

                                      Додаток 2
                                      до п. 2.10 Положення про
                                      порядок розроблення,
                                      прийняття, перегляду та
                                      скасування міжвідомчих
                                      нормативних документів
                                      системи технічного
                                      захисту інформації

                          КАРТКА-ПАСПОРТ
   нормативного документа системи технічного захисту інформації
                    __________________________
                      (позначення документа)
                    __________________________
                     (найменування документа)
   ___________________________________________________________
                      (галузь застосування)
_________________                         ________________________
(дата затвердження)                       (дата набрання чинності)
                     ________________________
                           (термін дії)
  ______________________________________________________________
                     (організація-розробник)
  ______________________________________________________________
              (організації, що погоджують документ)
 _____________________       _____________________________________
 (нормативні посилання)      (зміни: черговий номер, розділ, дата)
 _________________________________________________________________
     (додаткові відомості, пов'язані з цим документом, інші
                    нормативні документи тощо)

 Заступник начальника  Департаменту -
 начальник Головного Управління  ТЗІ
 ДСТСЗІ СБ України                                     І.Котельчук

                                      Додаток 3
                                      до п. 3.1 Положення про
                                      порядок розроблення,
                                      прийняття, перегляду та
                                      скасування міжвідомчих
                                      нормативних документів
                                      системи технічного
                                      захисту інформації

                              Книга
          реєстрації затверджених нормативних документів
              системи технічного захисту інформації

----------------------------------------------------------------------
|N  |Дата  |Позна-|Повна|Замість|Дата  |Термін  |Організа-|Відмітка  |
|з/п|реєст-|чення |назва|якого  |та    |набрання|ція -    |про       |
|   |рації |(шифр |     |НД ТЗІ |номер |чинності|розробник|перегляд, |
|   |      |НД    |     |чи     |наказу|        |         |скасування|
|   |      |ТЗІ)  |     |затвер-|      |        |         |або       |
|   |      |      |     |джуєть-|      |        |         |внесення  |
|   |      |      |     |ся     |      |        |         |змін      |
|   |      |      |     |вперше |      |        |         |          |
|---+------+------+-----+-------+------+--------+---------+----------|
| 1 |  2   |  3   |  4  |  5    |  6   |   7    |   8     |    9     |
|---+------+------+-----+-------+------+--------+---------+----------|
|   |      |      |     |       |      |        |         |          |
----------------------------------------------------------------------

 Заступник начальника  Департаменту -
 начальник Головного Управління  ТЗІ
 ДСТСЗІ СБ України                                     І.Котельчук