Юридический Харьков плюс - прийняття від 19.08.2011 N z1069-11 cfd7a28f86c7ec978bb783611ed1890c-1

Відповідно до статті 13 Закону України "Про державну охорону органів державної влади України та посадових осіб" (160/98-ВР) та з метою належного здійснення технічного захисту інформації у місцях постійного і тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона, НАКАЗУЮ:

1. Затвердити Положення про контроль за станом технічного захисту інформації у місцях постійного і тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона, що додається.

2. Контроль за виконанням цього наказу залишаю за собою.

3. З наказом ознайомити особовий склад Управління державної охорони України.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

ПОЛОЖЕННЯ

про контроль за станом технічного захисту інформації у місцях постійного і тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона

I. Загальні положення

1.1. Це Положення визначає порядок організації та здійснення у місцях постійного і тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона, контролю за станом технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

1.2. Контроль за станом технічного захисту інформації (далі - ТЗІ) у місцях постійного і тимчасового перебування посадових осіб, щодо яких здійснюється державна охорона, здійснюється Управлінням державної охорони України (далі - Управління) відповідно до Закону України "Про державну охорону органів державної влади України та посадових осіб" (160/98-ВР) .

1.3. У цьому Положенні наведені нижче терміни вживаються у таких значеннях:

об'єкт "особливої норми" - місце постійного або тимчасового перебування посадової особи, щодо якої здійснюється державна охорона;

передумови витоку інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;

порушення в сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;

реальна загроза витоку інформації технічними каналами - наявність технічного каналу поширення інформації за умов підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів захисту інформації вимогам та нормам з ТЗІ;

стан ТЗІ - сукупність кількісних та якісних характеристик, параметрів та показників, які визначають повноту та достатність вжитих на об'єкті "особливої норми" організаційних та інженерно-технічних заходів захисту від витоку інформації технічними каналами;

інструментальний контроль - комплекс робіт з використанням контрольно-вимірювальної техніки, спрямований на оцінювання стану ТЗІ на об'єкті "особливої норми";

інструментально-розрахунковий метод - процедура оцінювання складових стану ТЗІ з використанням результатів інструментального контролю та алгоритмів розрахунків визначених нормативними документами в сфері ТЗІ;

порушення стану ТЗІ - не відповідність окремих складових стану ТЗІ вимогам нормативно-правових актів та нормативним документам в сфері ТЗІ;

технічний канал поширення інформації - сукупність джерела інформації та середовища її поширення.

Інші терміни вживаються в цьому Положенні у значеннях, визначених у Законах України "Про державну таємницю" (3855-12) , "Про інформацію" (2657-12) , "Про Державну службу спеціального зв'язку та захисту інформації України" (3475-15) та ДСТУ 3396.2-97 "Технічний захист інформації. Терміни та визначення".

1.4. Контроль за станом ТЗІ полягає у проведенні інструментального контролю захищеності інформації, яка циркулює на об'єктах "особливої норми" (далі - інструментальний контроль), здійснюється з використанням інструментально-розрахункових методів з метою оцінки повноти та достатності впроваджених на об'єктах організаційних, організаційно-технічних та технічних заходів із захисту від реальної загрози витоку інформації технічними каналами.

1.5. Інструментальний контроль здійснюється шляхом проведення:

спеціальних обстежень об'єктів "особливої норми";

спеціальних перевірок об'єктів "особливої норми";

спеціальних досліджень технічних засобів, призначених для встановлення на об'єктах "особливої норми".

1.6. За результатами спеціальних обстежень, спеціальних перевірок об'єктів "особливої норми" та спеціальних досліджень технічних засобів, призначених для встановлення на об'єктах "особливої норми", здійснюються їх аналіз та надання рекомендацій щодо усунення виявлених порушень у сфері ТЗІ на об'єктах "особливої норми".

Узагальнені аналітичні матеріали щодо стану ТЗІ на об'єктах "особливої норми" подаються Начальнику Управління державної охорони України.

Про результати стану ТЗІ на об'єктах "особливої норми" Начальник Управління державної охорони України інформує Президента України, Голову Верховної Ради України, Прем'єр-міністра України та інших осіб, щодо яких здійснюється державна охорона.

II. Організація проведення інструментального контролю

2.1. Інструментальний контроль може бути плановим та позаплановим.

2.2. Плановий інструментальний контроль проводиться за відповідним планом, який затверджується Начальником Управління державної охорони України.

2.3. Позаплановий інструментальний контроль проводиться за наказом Начальника Управління державної охорони України, першого заступника Начальника Управління державної охорони України або за рапортами начальників особистих охорон посадових осіб, щодо яких здійснюється державна охорона.

2.4. У разі виявлення під час планового або позапланового інструментального контролю порушення у сфері ТЗІ проводиться контрольна перевірка після отримання повідомлення про усунення порушень від керівників об'єктів "особливої норми", під час якої перевіряються повнота та достатність проведених заходів щодо усунення порушень.

2.5. Контроль за станом ТЗІ здійснюється військовослужбовцями підрозділу ТЗІ Управління.

III. Права військовослужбовців підрозділу ТЗІ Управління державної охорони України

Військовослужбовці підрозділу ТЗІ Управління, які здійснюють контроль за станом ТЗІ, за згодою керівників об'єктів "особливої норми" мають право:

доступу на об'єкти "особливої норми" для здійснення контролю за станом ТЗІ;

ознайомлюватися з документами, необхідними для здійснення контролю за станом ТЗІ;

безкоштовно отримувати копії документів, необхідних для здійснення контролю за станом ТЗІ, письмові пояснення посадових осіб (довідки) з питань, що виникають під час здійснення контролю за станом ТЗІ.

IV. Порядок проведення інструментального контролю

4.1. Під час спеціальних обстежень об'єктів "особливої норми" перевіряються повнота та достатність впроваджених організаційних, організаційно-технічних та технічних заходів із захисту інформації від реальної загрози витоку інформації технічними каналами, у тому числі каналами, що створюються за рахунок застосування закладних пристроїв, відповідність впроваджених заходів вимогам нормативно-правових актів та нормативних документів системи ТЗІ, а також наявність атестаційних документів, які визначають необхідність впровадження заходів захисту інформації.

Під час спеціальних перевірок об'єктів "особливої норми" перевіряється наявність технічних каналів витоку інформації, які створюються за рахунок застосування закладних пристроїв.

Під час спеціальних досліджень технічних засобів, призначених для встановлення на об'єктах "особливої норми", перевіряється відповідність захищеності технічних засобів нормам ефективності захисту інформації від витоку технічними каналами.

4.2. За результатами спеціальних обстежень, спеціальних перевірок об'єктів "особливої норми" та спеціальних досліджень технічних засобів, призначених для встановлення на об'єктах "особливої норми", військовослужбовцями підрозділу ТЗІ Управління, які їх здійснювали, складаються акти, висновки, протоколи вимірювань.

4.3. Акти спеціальних обстежень, спеціальних перевірок об'єктів "особливої норми" та висновки спеціальних досліджень технічних засобів оформлюються в одному примірнику, який залишається в Управлінні. За наказом Начальника Управління державної охорони України або на письмовий запит керівника об'єкта "особливої норми" копія акта або висновку надсилається керівнику об'єкта "особливої норми", на якому здійснювався контроль за станом ТЗІ.

4.4. Протоколи вимірювань технічних засобів, які проводилися під час спеціальних обстежень, спеціальних перевірок об'єктів "особливої норми" та спеціальних досліджень технічних засобів, призначених для встановлення на об'єктах "особливої норми", оформлюються в одному примірнику та залишаються у підрозділі ТЗІ Управління.

4.5. Усі примірники актів та висновків підписуються військовослужбовцями підрозділу ТЗІ Управління, які проводили контроль за станом ТЗІ, та затверджуються Начальником Управління державної охорони України.

V. Кваліфікація порушень з ТЗІ

Порушення вимог з ТЗІ поділяються на три категорії, які визначають можливість реалізації загроз безпеці інформації:

перша категорія - невиконання вимог нормативно-правових актів та нормативних документів з ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності, зокрема за рахунок витоку інформації технічними каналами, тобто за умов підтвердження інструментально-розрахунковими методами наявності технічного каналу поширення інформації з обмеженим доступом;

друга категорія - невиконання вимог нормативно-правових актів та нормативних документів з ТЗІ, унаслідок чого створюються передумови до порушення конфіденційності, зокрема за рахунок витоку інформації технічними каналами, тобто за умов відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам з ТЗІ;

третя категорія - невиконання вимог нормативно-правових актів щодо впровадження організаційних заходів з ТЗІ, а також інших вимог у сфері захисту інформації, які не призводять до порушень першої або другої категорії.

VI. Звітність за результатами інструментального контролю та рекомендації щодо запобігання порушенням у сфері ТЗІ

6.1. В актах спеціальних обстежень об'єктів "особливої норми" зазначаються виявлені порушення в сфері ТЗІ на об'єкті "особливої норми", наявні канали поширення інформації, визначається відповідність стану ТЗІ вимогам нормативно-правових актів та нормативним документам системи ТЗІ та надаються рекомендації щодо усунення виявлених порушень у сфері ТЗІ.

6.2. В актах спеціальних перевірок об'єктів "особливої норми" зазначаються відомості про наявність технічних каналів поширення інформації, що створюються за рахунок застосування закладних пристроїв, порушення стану ТЗІ, які створюють передумови до впровадження на об'єкті "особливої норми" закладних пристроїв, та надаються рекомендації щодо упередження можливого впровадження на об'єкті "особливої норми" закладних пристроїв.

6.3. У висновках спеціальних досліджень технічних засобів, призначених для встановлення на об'єктах "особливої норми", визначаються можливість, умови та порядок їх використання на об'єкті "особливої норми".

6.4. Рекомендації Управління щодо усунення виявлених порушень у сфері ТЗІ надсилаються керівникам об'єктів "особливої норми".

Основним критерієм відповідності стану ТЗІ вимогам нормативних документів та нормативно-правових актів є відсутність порушень з ТЗІ.

6.5. Критерії складання висновків за результатами інструментального контролю:

6.5.1. Стан технічного захисту інформації відповідає вимогам нормативно-правових актів. Критерієм висновку є відсутність будь-яких порушень норм та вимог з ТЗІ.

6.5.2. Стан технічного захисту інформації відповідає вимогам нормативно-правових актів за винятком виявлених порушень.

Критерієм висновку є наявність хоча б одного порушення з ТЗІ третьої категорії.

6.5.3. Стан технічного захисту інформації не повною мірою відповідає вимогам нормативно-правових актів, що створює передумови для порушення її конфіденційності та (або) витоку технічними каналами.

Критерієм висновку є наявність хоча б одного порушення з ТЗІ другої категорії.

6.5.4. Стан технічного захисту інформації не відповідає вимогам нормативно-правових актів, що створює реальну загрозу порушення її конфіденційності та (або) витоку технічними каналами.

Критерієм висновку є наявність хоча б одного порушення з ТЗІ першої категорії.

6.6. У разі виявлення військовослужбовцями Управління на об'єктах "особливої норми" порушень з ТЗІ першої або другої категорії Управління про виявлені порушення інформує Державну службу спеціального зв'язку та захисту інформації України.