У К А З
ПРЕЗИДЕНТА УКРАЇНИ

Про Положення про технічний захист інформації в Україні

( Із змінами, внесеними згідно з Указами Президента N 1120/2000 (1120/2000) від 06.10.2000 N 333/2008 (333/2008) від 11.04.2008 )
1. Затвердити Положення про технічний захист інформації в Україні (додається).
2. Установити, що Служба безпеки України є правонаступником Державного комітету України з питань державних секретів.
( Стаття 2 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
3. Внести зміни до таких Указів Президента України:
( Пункт 1 статті 3 втратив чинність на підставі Указу Президента N 333/2008 (333/2008) від 11.04.2008 )
2) у Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 року N 505 (505/98) (із змінами, внесеними Указом від 15 вересня 1998 року N 1019 (1019/98) :
у пункті 3 слова "Головне управління урядового зв'язку Служби безпеки України (далі - Головне управління)" замінити словами "Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент)";
у пункті 10 слова "Головне управління" замінити словом "Департамент".
4. Кабінету Міністрів України привести свої нормативно-правові акти у відповідність з цим Указом.
Президент України
Л.КУЧМА
м. Київ, 27 вересня 1999 року
N 1229/99

ЗАТВЕРДЖЕНО
Указом Президента України
від 27 вересня 1999 року N 1229/99

ПОЛОЖЕННЯ

про технічний захист інформації в Україні

1. Це Положення визначає правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства.
Технічний захист інформації здійснюється щодо органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил України та інших військових формувань, утворених згідно із законодавством України, відповідних підприємств, установ, організацій (далі - органи, щодо яких здійснюється ТЗІ).
2. Ужиті в цьому Положенні терміни мають таке значення:
конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;
цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;
доступність - властивість інформації бути захищеною від несанкціонованого блокування;
технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;
інформаційна система - автоматизована система, комп'ютерна мережа або система зв'язку;
дозвіл - документ, що надає право на виконання робіт з технічного захисту інформації для власних потреб;
комплекс технічного захисту інформації - сукупність заходів та засобів, призначених для реалізації технічного захисту інформації в інформаційній системі або на об'єкті.
3. Правову основу технічного захисту інформації в Україні становлять Конституція України (254к/96-ВР) , закони України, акти Президента України та Кабінету Міністрів України, нормативно-правові акти Служби безпеки України, Адміністрації Державної служби спеціального зв'язку та захисту інформації України, інших державних органів, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України, з питань технічного захисту інформації, а також це Положення.
( Пункт 3 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
4. Державна політика технічного захисту інформації формується згідно із законодавством і реалізується Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку України) у взаємодії з органами, щодо яких здійснюється ТЗІ.
( Пункт 4 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
5. Організація технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.
6. Організаційно-технічні принципи, порядок здійснення заходів з технічного захисту інформації, порядок контролю у цій сфері, характеристики загроз для інформації, норми та вимоги з технічного захисту інформації, порядок атестації та експертизи комплексів технічного захисту інформації визначаються нормативно-правовими актами, прийнятими в установленому порядку відповідними органами.
Нормативно-правові акти з технічного захисту інформації є обов'язковими для виконання всіма суб'єктами системи технічного захисту інформації.
7. Розроблення, видання нормативно-правових актів з питань технічного захисту інформації, а також роботи, пов'язані з розробленням і виконанням загальнодержавних програм розвитку системи технічного захисту інформації, здійснюються за рахунок коштів державного бюджету та інших джерел фінансування, не заборонених законодавством.
8. Суб'єктами системи технічного захисту інформації є:
Держспецзв'язку України;
( Абзац другий пункту 8 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
органи, щодо яких здійснюється ТЗІ;
науково-дослідні та науково-виробничі установи Держспецзв'язку України, державні підприємства, що перебувають в управлінні Держспецзв'язку України та виконують завдання з питань технічного захисту інформації;
( Абзац четвертий пункту 8 в редакції Указу Президента N 333/2008 (333/2008) від 11.04.2008 )
військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями;
навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.
( Пункт 9 виключено на підставі Указу Президента N 333/2008 (333/2008) від 11.04.2008 ) ( Пункт 10 втратив чинність на підставі Указу Президента N 1120/2000 (1120/2000) від 06.10.2000 )
11. Основними завданнями органів, щодо яких здійснюється ТЗІ, є:
забезпечення технічного захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації;
видання у межах своїх повноважень нормативно-правових актів із зазначених питань;
здійснення контролю за станом технічного захисту інформації.
12. Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:
створюють або визначають підрозділи, на які покладається забезпечення технічного захисту інформації та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;
видають за погодженням з Адміністрацією Держспецзв'язку України та впроваджують нормативно-правові акти з питань технічного захисту інформації;
погоджують з Адміністрацією Держспецзв'язку України проведення підприємствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи технічного захисту інформації, які здійснюються за рахунок коштів державного бюджету;
створюють або визначають за погодженням з Адміністрацією Держспецзв'язку України підприємства, установи та організації, що забезпечують технічний захист інформації;
забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з технічного захисту інформації;
надають Адміністрації Держспецзв'язку України за його запитами відомості про стан технічного захисту інформації.
( Пункт 12 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
13. Основними завданнями інших суб'єктів системи технічного захисту інформації є:
дослідження загроз для інформації на об'єктах, функціонування яких пов'язано з інформацією, що підлягає охороні;
створення та виробництво засобів забезпечення технічного захисту інформації;
розроблення, впровадження, супроводження комплексів технічного захисту інформації;
підвищення кваліфікації фахівців з технічного захисту інформації.
14. Суб'єкти системи технічного захисту інформації мають право співробітничати з підприємствами, установами, організаціями іноземних держав, які здійснюють аналогічну діяльність, на основі міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, та інших актів законодавства України.
15. Матеріально-технічна база системи технічного захисту інформації складається з технічних засобів загального призначення та спеціальних технічних засобів.
Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів з технічного захисту інформації, одержаний у порядку, що встановлюється Адміністрацією Держспецзв'язку України і Державним комітетом України з питань технічного регулювання та споживчої політики.
( Абзац другий пункту 15 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )( Пункт 15 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
16. Техніко-економічне обгрунтування, проектування будівництва та реконструкції об'єктів, проведення наукових досліджень та створення інформаційних систем, зразків озброєнь, військової та спеціальної техніки, критичних і небезпечних технологій виконуються за завданнями, до яких включаються вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням робіт та у процесі функціонування зазначених об'єктів, систем, зразків і технологій циркулюватиме інформація, охорона якої забезпечується державою.
Під час віднесення замовником таких робіт до особливо важливих та створення інформаційних систем державних органів завдання та результати приймання їх етапів погоджуються з Адміністрацією Держспецзв'язку України. Фінансування створення цих систем здійснюється після такого погодження.
Витрати на заходи з технічного захисту інформації включаються до кошторисної вартості робіт.
( Пункт 16 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
17. Під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Адміністрацією Держспецзв'язку України для застосування та включені до відповідних переліків.
( Пункт 17 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
18. Контроль у сфері технічного захисту інформації полягає в перевірці виконання вимог цього Положення, інших нормативно-правових актів з питань технічного захисту інформації та в оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.
Оцінювання захищеності інформації здійснюється шляхом атестації або експертизи комплексів технічного захисту інформації та інспекційних перевірок. За результатами атестації або експертизи комплексів технічного захисту інформації визначається можливість введення в експлуатацію об'єкта, де циркулюватиме інформація, охорона якої забезпечується державою.
19. Порядок експертизи та інспекційних перевірок захищеності інформації визначається відповідними нормативно-правовими актами.
20. Розроблення, впровадження, атестація та експлуатація комплексів технічного захисту інформації для власних потреб здійснюються відповідними підрозділами органів, щодо яких здійснюється ТЗІ, або військовими частинами, підприємствами, установами, організаціями, на які в установленому порядку покладено забезпечення технічного захисту інформації, за наявності у них відповідного дозволу.
До виконання цих робіт можуть бути залучені суб'єкти підприємницької діяльності, що мають відповідні ліцензії.
Результати атестації на державних об'єктах, віднесених замовником до особливо важливих, погоджуються з Адміністрацією Держспецзв'язку України.
( Пункт 20 із змінами, внесеними згідно з Указом Президента N 333/2008 (333/2008) від 11.04.2008 )
21. Роботи з технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, здійснюються за рахунок коштів, що виділяються на їх утримання, прибутку та інших джерел, не заборонених законодавством.
Керівники зазначених органів створюють належні умови для контролю за забезпеченням технічного захисту інформації.
22. У разі порушення вимог щодо забезпечення технічного захисту інформації посадові особи та громадяни несуть відповідальність згідно із законодавством України.
Глава Адміністрації
Президента України
М.БІЛОБЛОЦЬКИЙ