ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
Н А К А З
N 9 від 23.02.2002
м. Київ
Зареєстровано в Міністерстві
юстиції України
13 березня 2002 р.
за N 245/6533

Про затвердження Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб

Відповідно до п. 20 Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229 (1229/99) (зі змінами, унесеними Указом Президента України від 6 жовтня 2000 року N 1120 (1120/2000) ) , та з метою забезпечення єдиного порядку одержання дозволів на проведення робіт з технічного захисту інформації для власних потреб НАКАЗУЮ:
1. Затвердити Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб (далі - Положення), що додається.
2. Заступнику начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України - начальнику Головного управління Котельчуку І.А. забезпечити подання в установленому порядку Положення на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Барлабанова В.В.
Начальник Департаменту
О. Скриник

ЗАТВЕРДЖЕНО
Наказ Департаменту
спеціальних
телекомунікаційних систем та
захисту інформації Служби
безпеки України
23.02.2002 р. N 9
Зареєстровано в Міністерстві
юстиції України
13 березня 2002 р.
за N 245/6533

Положення

про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб

1. Загальні положення

1.1. Це Положення розроблено відповідно до Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 р. N 1229 (1229/99) (зі змінами, унесеними Указом Президента України від 6 жовтня 2000 року N 1120 (1120/2000) ) .
1.2. Положення визначає види та умови проведення робіт з технічного захисту інформації (далі - роботи з ТЗІ) для власних потреб, які виконуються за дозволами Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент), встановлює порядок надання дозволів, контроль та відповідальність під час проведення визначених видів робіт.
1.3. Вимоги Положення поширюються на органи державної влади, органи місцевого самоврядування (далі - державні органи), які мають намір проводити роботи з технічного захисту інформації для власних потреб, необхідність охорони якої визначена законодавством.
1.4. За відсутності у державного органу дозволу на проведення робіт з ТЗІ для власних потреб зазначені роботи повинні виконуватись із залученням організацій, які мають ліцензії на право провадження господарської діяльності у галузі ТЗІ.

2. Визначення

Ужиті в цьому Положенні терміни та визначення мають таке значення:
об'єкт інформаційної діяльності державного органу - інженерно-технічна споруда, приміщення з визначеною контрольованою зоною, де здійснюється адміністративна, фінансово-економічна, науково-технічна та інша діяльність, пов'язана з інформацією, що підлягає захисту від витоку технічними каналами та спеціальних впливів;
інформаційна система - автоматизована система, комп'ютерна мережа, система зв'язку;
комплекс технічного захисту інформації - сукупність заходів та засобів, призначених для реалізації технічного захисту інформації в інформаційній системі або на об'єкті інформаційної діяльності;
дозвіл - документ, що надає право на виконання робіт з ТЗІ для власних потреб;
дослідження об'єктів інформаційної діяльності, інформаційних систем державного органу щодо безпеки інформації - вивчення та аналіз проектної, програмної документації, інформаційних потоків, у тому числі із застосуванням засобів пошукової та вимірювальної техніки, умов функціонування об'єктів інформаційної діяльності, інформаційних систем з метою визначення загрози безпеці інформації щодо її витоку, блокування чи порушення цілісності;
розроблення засобу забезпечення технічного захисту інформації або комплексу технічного захисту інформації - стадія життєвого циклу засобу забезпечення технічного захисту інформації або комплексу технічного захисту інформації, яка пов'язана із: складанням технічного завдання, ескізним, технічним (ескізно-технічним), робочим проектуванням; розробленням експлуатаційної документації, програм і методик приймальних (атестаційних) випробувань; виготовленням та випробуванням дослідних зразків, приймальними випробуваннями;
упровадження комплексу технічного захисту інформації - уведення в дію розробленого комплексу технічного захисту інформації на конкретному об'єкті інформаційної діяльності або в конкретній інформаційній системі;
дослідження ефективності комплексу технічного захисту інформації, у тому числі його атестація - оцінювання відповідності фактичного рівня захисту інформації на об'єкті інформаційної діяльності від витоку та спеціальних впливів або в інформаційній системі від несанкціонованого доступу вимогам нормативних документів з технічного захисту інформації;
обслуговування (супроводження) комплексу технічного захисту інформації на об'єкті інформаційної діяльності або в інформаційній системі - забезпечення функціонування комплексу після його впровадження згідно з експлуатаційною документацією.

3. Види робіт з ТЗІ для власних потреб, які виконуються за дозволами Департаменту

3.1. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля.
3.2. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.
3.3. Розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу.
3.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.

4. Умови проведення робіт з ТЗІ для власних потреб

4.1. Для одержання дозволу на проведення робіт з ТЗІ для власних потреб державний орган повинен мати:
призначених наказом керівника державного органу спеціалістів для проведення обраних видів робіт, які мають вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років, а також мають оформлені у встановленому порядку допуски до державної таємниці;
нормативно-правові акти та нормативні документи з технічного захисту інформації, що необхідні для проведення обраного виду роботи;
власні або орендовані, повірені в установленому порядку засоби вимірювань і контролю та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;
приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби);
спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.
4.2. Під час проведення робіт відповідно до одержаного дозволу державний орган зобов'язаний:
застосовувати технічні засоби забезпечення технічного захисту інформації (технічні засоби з захистом інформації, засоби технічного захисту інформації, засоби контролю за ефективністю технічного захисту інформації), які дозволені встановленим порядком для використання та включені до відповідних переліків;
терміново інформувати Департамент про виявлення закладних пристроїв (не пізніше наступного дня після виявлення);
щорічно (до 20 грудня) надавати до Департаменту відомості щодо виконаних протягом цього року робіт з ТЗІ для власних потреб.

5. Порядок надання дозволів на проведення робіт з ТЗІ для власних потреб

5.1. Для одержання дозволу державний орган подає до Департаменту заяву про видачу дозволу на проведення робіт з ТЗІ для власних потреб згідно з додатком 1.
5.2. Департамент у місячний термін після прийняття заяви перевіряє відомості, що містяться у поданих матеріалах, створені умови для проведення заявлених видів робіт та приймає рішення про видачу дозволу або відмову у його видачі. Повідомлення про відмову у видачі дозволу надсилається державному органу в письмовій формі.
5.3. Підставою для прийняття рішення про відмову у видачі дозволу за результатами перевірки є виявлення відсутності умов для проведення заявлених видів робіт, що встановлені цим Положенням.
5.4. При проведенні кількох видів робіт видається один дозвіл (додаток 2).
5.5. У разі зміни місцезнаходження державного органу відповідна інформація подається до Департаменту у 10-денний термін з дня настання такої зміни.
5.6. Державний орган повинен одержати новий дозвіл у порядку, установленому цим Положенням, якщо він має намір проводити інші види робіт з ТЗІ, крім зазначених у наданому дозволі. У разі припинення державним органом своєї діяльності дія дозволу закінчується.
5.7. Видача дозволів здійснюється безоплатно.

6. Контроль за дотриманням умов проведення робіт з ТЗІ для власних потреб

6.1. Контроль за дотриманням умов проведення робіт з ТЗІ для власних потреб здійснює Департамент під час проведення за встановленим порядком планових і позапланових перевірок.
6.2. У разі виявлення порушень умов проведення робіт з ТЗІ державний орган зобов'язаний вжити невідкладних заходів щодо їх усунення та в установленому порядку повідомити Департамент про усунення порушень.

7. Анулювання дозволу на проведення робіт з ТЗІ для власних потреб

7.1. Підставою для анулювання дозволу є невиконання заходів щодо усунення порушень умов проведення робіт з ТЗІ.
7.2. Розгляд питань про анулювання дозволу здійснюється Департаментом з обов'язковим запрошенням представників державного органу.
7.3. Департамент приймає рішення про анулювання дозволу протягом десяти робочих днів з дати встановлення ним підстави для анулювання дозволу. Про прийняте рішення не пізніше трьох робочих днів з дати його прийняття Департамент у письмовій формі повідомляє державний орган із зазначенням підстави для анулювання.
7.4. Рішення про анулювання дозволу набирає чинності через 10 днів з моменту його прийняття. Це рішення може бути оскаржено згідно з чинним законодавством України.
7.5. Державний орган після отримання офіційного рішення про анулювання дозволу повинен у десятиденний термін повернути його до Департаменту.
7.6. Заява про одержання нового дозволу після анулювання попереднього розглядається за умови усунення порушень на загальних засадах, але не раніше ніж через рік.
Заступник начальника Департаменту -
начальник Головного управління ТЗІ
ДСТСЗІ СБ України
І. Котельчук

Додаток 1
до п. 5.1 Положення про
дозвільний порядок
проведення робіт з
технічного захисту
інформації для власних
потреб
 Орган, що подає заяву                Департамент спеціальних
                                      телекомунікаційних систем та
                                      захисту інформації Служби
                                      безпеки України

Заява

про видачу дозволу на проведення робіт з технічного захисту інформації для власних потреб

     Заявник______________________________________________________
                 (найменування державного органу)
     Загальні відомості
------------------------------------------------------------------
|  N  |                       Відомості                          |
| з/п |                                                          |
|-----+----------------------------------------------------------|
| 1   | Посада, прізвище, ім'я, по батькові керівника            |
|-----+----------------------------------------------------------|
| 2   | Реєстраційний номер, дата видачі, термін дії             |
|     | спеціального дозволу на здійснення діяльності,           |
|     | пов'язаної з державною таємницею                         |
|-----+----------------------------------------------------------|
| 3   | Місцезнаходження державного органу                       |
|-----+----------------------------------------------------------|
| 4   | Номери телефонів та інші види зв'язку                    |
------------------------------------------------------------------
     Відомості про  спеціалістів,  на  яких  покладено обов'язки з
технічного захисту інформації
------------------------------------------------------------------
|  N  | Прізвище,| Відомості про кваліфікацію | Посада | Форма   |
| з/п | ім'я,    | (освіта, спеціальність,    |        | допуску |
|     | по       | перепідготовка, підвищення |        |         |
|     | батькові | кваліфікації)              |        |         |
------------------------------------------------------------------
     Перелік наявних   нормативно-правових   актів  та  нормативні
документи, що необхідні для виконання обраних видів робіт з ТЗІ
------------------------------------------------------------------
|  N  |                      Найменування                        |
| з/п |                                                          |
------------------------------------------------------------------
     Перелік засобів вимірювання,  контролю, допоміжних засобів та
обладнання, що забезпечують виконання обраних видів робіт з ТЗІ
------------------------------------------------------------------
|  N  |  Найменування       | Тип  | Заводський     | Дата       |
| з/п |                     |      | номер          | останньої  |
|     |                     |      |                | перевірки  |
------------------------------------------------------------------
     Відомості про  атестовані   приміщення   та   (або)   об'єкти
електронно-обчислювальної  техніки,  які використовуватимуться для
проведення обраних видів робіт з ТЗІ (за потреби)
------------------------------------------------------------------
|  N  | Назва приміщень та (або) | Відомості про атестацію       |
| з/п | об'єктів електронно-     | (категорія приміщення та (або)|
|     | обчислювальної техніки   | об'єкта ЕОТ, ким та коли      |
|     |                          | проведена атестація)          |
------------------------------------------------------------------
     просить надати дозвіл на проведення таких видів робіт з  ТЗІ 
для власних потреб:
1)________________________________________________________________
2)________________________________________________________________
3)________________________________________________________________
     З Положенням про дозвільний порядок проведення  робіт  з  ТЗІ 
для власних потреб ознайомлений і зобов'язуюсь його дотримуватись.
Підпис заявника___________________________________________________
                   (посада, прізвище, ім'я, по батькові)
                                                       М.П.
"____" _________ ____ р.

Додаток 2
до п. 5.4 Положення про
дозвільний порядок
проведення робіт з
технічного захисту
інформації для власних
потреб
Форма дозволу
                      Державний герб України
                      СЛУЖБА БЕЗПЕКИ УКРАЇНИ
            ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ
                   СИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ

Дозвіл

на проведення робіт з технічного захисту інформації для власних потреб

       "___"__________ ____ р.                     N___________
     Виданий______________________________________________________
                    (назва державного органу)
на право проведення наступних видів робіт з ТЗІ
__________________________________________________________________
(конкретні види робіт з ТЗІ для власних потреб згідно з розділом 3
                            Положення)
Посада   __________________
             (прізвище)
М.П.