Законы Украины

Новости Партнеров
 

Про затвердження Положення про контроль за функціонуванням системи технічного захисту інформації

            ДЕПАРТАМЕНТ СПЕЦIАЛЬНИХ ТЕЛЕКОМУНIКАЦIЙНИХ
       СИСТЕМ ТА ЗАХИСТУ IНФОРМАЦIЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
 
                            Н А К А З
 
 N 61 від 22.12.99                    Зареєстровано в Міністерстві
     м.Київ                           юстиції України
                                      11 січня 2000 р.
                                      за N 10/4231
 
    { Наказ втратив чинність на підставі Наказу Адміністрації
                        Державної служби спеціального зв'язку 
                                        та захисту інформації 
      N 87 ( z0785-07 ) від 16.05.2007 }
 
             Про затвердження Положення про контроль
              за функціонуванням системи технічного
                        захисту інформації
 
 
 
     На виконання вимог Положення про технічний захист  інформації
в Україні, затвердженого  Указом Президента України від 27 вересня
1999 р. N 1229/99, Н А К А З У Ю:
 
     1. Затвердити  Положення  про  контроль  за   функціонуванням
системи технічного захисту інформації, що додається.
 
     2. Iнспекції  з  питань   захисту   інформації   Департаменту
спеціальних телекомунікаційних систем та захисту інформації Служби
безпеки України - забезпечити подання на  державну  реєстрацію  до
Міністерства  юстиції  України  наказу "Про затвердження Положення
про  контроль  за  функціонуванням  системи   технічного   захисту
інформації".
 
     3. Контроль за виконанням цього наказу  покласти  на  Першого
заступника  керівника Департаменту - начальника Iнспекції з питань
захисту  інформації  Департаменту  спеціальних  телекомунікаційних
систем та захисту інформації Служби безпеки України.
 
 Заступник Голови Служби                               Г.П.Лазарєв
 
                                            Затверджено
                                 Наказ   Департаменту  спеціальних
                                 телекомунікаційних    систем   та
                                 захисту інформації Служби безпеки
                                 України від 22.12.99 N 61
 
                                      Зареєстровано в Міністерстві
                                      юстиції України
                                      11 січня 2000 р.
                                      за N 10/4231
 
                            Положення
             про контроль за функціонуванням системи
                  технічного захисту інформації
 
     1. Положення   про   контроль   за   функціонуванням  системи
технічного захисту інформації (далі - Положення) визначає  правові
та   організаційні  засади  контролю  за  функціонуванням  системи
технічного  захисту  інформації,  який   здійснюється   згідно   з
Положенням про технічний захист інформації в Україні, затвердженим
Указом Президента України від 27 вересня 1999 р. N 1229/99.
     Положення поширюється  на  всі  суб'єкти  системи  технічного
захисту інформації.
     2. Ужиті в цьому Положенні терміни мають таке значення:
     технічний захист інформації (ТЗI) - діяльність, спрямована на
забезпечення   інженерно-технічними   заходами   конфіденційності,
цілісності та доступності інформації;
     система ТЗI  -  сукупність  суб'єктів,  об'єднаних  цілями та
завданнями  захисту  інформації   інженерно-технічними   заходами,
нормативно-правова та їхня матеріально-технічна база;
     суб'єкти системи ТЗI:
     Департамент спеціальних  телекомунікаційних систем та захисту
інформації Служби безпеки України;
     органи державної   влади,  органи  місцевого  самоврядування,
органи  управління  Збройних  Сил  України  та  інших   військових
формувань,   утворених   згідно   із   законодавством,  відповідні
підприємства,  установи та організації (далі - органи,  щодо  яких
здійснюється ТЗI);
     державні наукові,   науково-дослідні   та   науково-виробничі
підприємства,  установи  та  організації,  що  належать до системи
Служби безпеки України і виконують завдання ТЗI;
     військові частини, підприємства, установи та організації всіх
форм власності й громадяни-підприємці,  які провадять діяльність з
ТЗI за відповідними дозволами або ліцензіями;
     навчальні заклади з підготовки,  перепідготовки та підвищення
кваліфікації фахівців з ТЗI;
     контрольована зона  -  територія,  на  якій  унеможливлюється
несанкціоноване перебування сторонніх осіб;
     модель загроз  -  формалізований  опис  методів  та   засобів
здійснення загроз для інформації;
     інформаційна система -  автоматизована  система,  комп'ютерна
мережа або система зв'язку;
     виділені приміщення - приміщення,  в яких циркулює інформація
з обмеженим доступом;
     контрольно-інспекційна робота  з  питань  ТЗI  -  діяльність,
спрямована на визначення та вдосконалення стану ТЗI органів,  щодо
яких здійснюється ТЗI,  та на проведення  контролю  за  виконанням
суб'єктами системи ТЗI завдань або проведенням діяльності в галузі
ТЗI за відповідними дозволами та ліцензіями;
     атестація  виділених  приміщень  -  комплекс  спрямованих  на
реалізацію  заходів з ТЗI робіт, метою яких є приведення виділених
приміщень у відповідність до вимог нормативних документів з ТЗI та
визначення   відповідності   захищеності   виділеного   приміщення
встановленій категорії;
     порушення з ТЗI - невиконання вимог нормативно-правових актів
з  питань ТЗI,  яке створює умови або реальну можливість порушення
конфіденційності, цілісності або доступності інформації.
     3. Контроль  за  функціонуванням  системи  ТЗI здійснюється з
метою визначення й удосконалення стану ТЗI в  органах,  щодо  яких
здійснюється  ТЗI,  виявлення  та  запобігання  порушенням з ТЗI в
інформаційних системах та об'єктах.
     4. Контроль   за   функціонуванням   системи  ТЗI  в  державі
здійснюється Департаментом спеціальних  телекомунікаційних  систем
та  захисту  інформації  Служби  безпеки України (далі - ДСТСЗI СБ
України) шляхом організації та проведення  контрольно-інспекційної
роботи з питань ТЗI стосовно суб'єктів системи ТЗI.
     5. Контрольно-інспекційна  робота  з   питань   ТЗI   включає
планування  та проведення перевірок з ТЗI (далі - перевірок) стану
ТЗI в органах,  щодо яких здійснюється ТЗI,  проведення аналізу та
надання рекомендацій щодо вдосконалення заходів з ТЗI в зазначених
органах та перевірок  з  ТЗI  інших  суб'єктів  системи  ТЗI  щодо
виконання  ними завдань або провадження діяльності в цій галузі за
відповідними дозволами та ліцензіями.
     6. Перевірки  поділяються на комплексні,  цільові (тематичні)
та контрольні.
     При комплексній перевірці вивчається та оцінюється стан ТЗI в
органах, щодо яких здійснюється ТЗI.
     При цільовій   (тематичній)   перевірці   вивчаються   окремі
напрямки  ТЗI,  перевіряється  виконання   рішень   (розпоряджень,
наказів, вказівок) органів державної влади з питань ТЗI в органах,
щодо яких здійснюється  ТЗI,  виконання  завдань  або  провадження
діяльності  в  галузі  ТЗI за відповідними дозволами та ліцензіями
суб'єктами системи ТЗI.
     При контрольній  перевірці  перевіряється усунення недоліків,
які були виявлені під час проведення попередньої  комплексної  або
цільової  перевірки  (контрольні перевірки проводяться за потреби,
як правило, не раніше ніж через рік після попередньої перевірки).
     Зазначені перевірки можуть бути  планові  та  позапланові,  з
попередженням та раптові.
     7. Позапланова   перевірка    здійснюється    за    вказівкою
керівництва ДСТСЗI СБ України в разі виникнення потреби визначення
повноти  та  достатності  заходів  з  ТЗI  в  органі,  щодо  якого
здійснюється   ТЗI,   стану   виконання  завдань  або  провадження
діяльності в галузі ТЗI за відповідними  дозволами  та  ліцензіями
іншими  суб'єктами  системи  ТЗI,  за  наявності  відомостей  щодо
порушень виконання вимог нормативно-правових актів з питань ТЗI.
     8. Перевірки  здійснюються  комісіями  підрозділу  ДСТСЗI  СБ
України,  на який  покладено  виконання  завдань  щодо  здійснення
контролю за функціонуванням системи ТЗI.
     9. Керівництво суб'єкта системи ТЗI,  щодо якого здійснюється
перевірка,  повідомляється  про проведення перевірки за десять діб
до її початку (за винятком проведення раптової перевірки).
     10. Підставою  для  допуску  членів  комісії  до  перевірки є
наявність   відповідних   документів   (приписів)   за    підписом
керівництва ДСТСЗI СБ України.
     У тексті зазначених документів вказуються підстави проведення
перевірки,   кількість   членів   комісії   та  ступінь  таємності
інформації, до якої вони допускаються для ознайомлення.
     11. При  проведенні  перевірки  стану ТЗI контролю підлягають
організаційні,  організаційно-технічні,  технічні заходи з  ТЗI  у
виділених приміщеннях,  інформаційних системах і об'єктах, повнота
та достатність робіт з атестації виділених приміщень.
     12. Контроль  організаційних  заходів  з  ТЗI в органі,  щодо
якого здійснюється ТЗI, включає перевірку:
     - переліку відомостей, що підлягають технічному захисту;
     - окремої  моделі  загроз  для  інформаційної   системи   або
об'єкта;
     - плану контрольованої зони органу,  щодо якого  здійснюється
ТЗI;
     - переліку   виділених   приміщень   органу,    щодо    якого
здійснюється ТЗI, інформаційних систем та об'єктів;
     - проведення категоріювання виділених приміщень та об'єктів.
     Організаційні заходи   з   ТЗI  виконуються  власними  силами
органу, щодо якого здійснюється ТЗI.
     Контроль організаційно-технічних і технічних заходів щодо ТЗI
у  виділених  приміщеннях,  інформаційних  системах  та  об'єктах,
повноти  та  достатності  робіт  з  атестації  виділених приміщень
включає  перевірку  відповідності   виконання   цих   заходів   до
нормативно-правових актів з питань ТЗI.
     Організаційно-технічні й технічні заходи з  ТЗI  у  виділених
приміщеннях,   інформаційних   системах   та  об'єктах,  роботи  з
атестації виділених приміщень виконуються власними силами  органу,
щодо   якого  здійснюється  ТЗI,  або  суб'єктами  підприємницької
діяльності в галузі ТЗI.
     13. За    результатами    комплексної    перевірки   комісією
складається  акт  перевірки  стану  та  ефективності   заходів   з
технічного   захисту   інформації   (додається),   а  цільової  та
контрольної перевірки - довідка (за довільною формою).
     Ознайомлення керівника   суб'єкта   системи   ТЗI   з   актом
(довідкою) здійснюється під розпис.
     14. Керівник    органу,    щодо   якого   здійснюється   ТЗI,
зобов'язаний ужити невідкладних заходів щодо усунення недоліків  і
реалізації     пропозицій     комісії    відповідно    до    вимог
нормативно-правових актів з питань ТЗI. Повідомлення про виконання
пропозицій  і усунення недоліків надсилається до підрозділу ДСТСЗI
СБ України,  на якого покладено виконання завдань щодо контролю за
функціонуванням   системи   ТЗI,  у  строки,  встановлені  в  акті
(довідці) перевірки.
     15. Порушення встановлених норм та вимог з ТЗI,  виявлені під
час проведення перевірок, поділяються на три категорії:
     - перша  -  невиконання норм та вимог з ТЗI,  внаслідок якого
створюється   реальна   можливість   порушення   конфіденційності,
цілісності  й  доступності  інформації  або  її  витоку технічними
каналами;
     - друга  -  невиконання норм та вимог з ТЗI,  внаслідок якого
створюються передумови для порушення конфіденційності,  цілісності
і доступності інформації або її витоку технічними каналами;
     - третя - невиконання інших вимог з ТЗI.
     16. У  разі  виявлення  порушення  першої  категорії вживають
таких заходів:
     - голова  комісії негайно доповідає керівництву органу,  щодо
якого здійснюється  ТЗI,  для  прийняття  рішення  про  припинення
робіт,  які проводились з порушенням норм і вимог ТЗI, та про факт
порушення повідомляє ДСТСЗI СБ України;
     - здійснюються   заходи   з   усунення  порушень  у  терміни,
погоджені з підрозділом, на який покладено забезпечення ТЗI;
     - організовується   в   установленому  порядку  розслідування
причин,  які призвели  до  порушень,  з  метою  недопущення  їх  у
подальшому   і   притягнення   осіб,   які   припустили  порушення
нормативно-правових актів з питань ТЗI, до відповідальності згідно
із законодавством України;
     - повідомляються ДСТСЗI СБ України та вищий орган, щодо якого
здійснюється ТЗI, про заходи, вжиті з метою усунення порушення.
     17. Дозвіл на відновлення робіт,  під час виконання яких були
виявлені порушення норм і вимог ТЗI першої категорії, дає керівник
органу,  щодо якого здійснюється ТЗI,  за погодженням з ДСТСЗI  СБ
України   після   усунення  порушень  і  перевірки  достатності  й
ефективності вжитих заходів з ТЗI.
     18. Керівництво   органу,   щодо   якого   здійснюється  ТЗI,
зобов'язано   надавати   комісії   повну    інформацію    стосовно
впроваджених заходів з ТЗI та сприяти проведенню їх перевірки.
     19. В  органах,  щодо  яких  здійснюється  ТЗI,  відповідними
підрозділами,  на які покладається забезпечення ТЗI в цих органах,
здійснюється відомчий контроль заходів з ТЗI.
     Відповідальність за  організацію  та контроль заходів з ТЗI в
органах,  щодо  яких  здійснюється   ТЗI,   покладається   на   їх
керівників.
     20. В органах, щодо яких здійснюється ТЗI, контроль стану ТЗI
організується   відповідно  до  планів,  затверджених  керівниками
зазначених органів, шляхом проведення перевірок.
     Перевірки стану   ТЗI  здійснюються  безпосередньо  комісіями
підрозділів, на які покладається забезпечення ТЗI.
     Організація проведення перевірок стану ТЗI, заходи з ТЗI, які
підлягають контролю,  висновки та  рекомендації  визначаються  цим
Положенням та іншими нормативно-правовими актами з питань ТЗI.
     21.  ДСТСЗI СБ України за результатами перевірок здійснюється
аналіз та узагальнення стану ТЗI в державі.
     22. Керівництво суб'єкта системи ТЗI, щодо якого здійснюється
перевірка,  має  право  оскарження результатів перевірки згідно із
законодавством України.
 
 
                                                 Додаток
                                       до   п. 13  Положення   про
                                       контроль за функціонуванням
                                       системи  технічного захисту
                                       інформації
 
                                                ЗАТВЕРДЖУЮ
                                        __________________________
                                        __________________________
 
                               Акт
             перевірки стану та ефективності заходів
                 з технічного захисту  інформації
           в _________________________________________
 
     Комісією у складі ___________________________________________
                             (прізвище, ім'я та по батькові)
__________________________________________________________________
_________________________________________________________________.
на підставі припису від "___" __________ 19__ р. N _______________
проведено перевірку стану та  ефективності  заходів  з  технічного
захисту інформації в ____________________________________________.
 
     Перевіркою встановлено:
     1. Загальні питання
__________________________________________________________________
_________________________________________________________________.
     2. Заходи з технічного захисту мовної інформації
__________________________________________________________________
_________________________________________________________________.
     3. Заходи з технічного захисту інформації, яка обробляється в
автоматизованих     системах     та     мережах,    на    об'єктах
електронно-обчислювальної   техніки,   засобах   виготовлення   та
розмноження   документів   та   інших   технічних   засобах,   які
використовуються для обробки інформації
__________________________________________________________________
_________________________________________________________________.
     4. Заходи  з  технічного  захисту  інформації  при  створенні
продукції та технологій для державних потреб і проведенні НДДКР
__________________________________________________________________
_________________________________________________________________.
     5. Заходи з технічного захисту інформації під час організації
проектування будівництва, реконструкції та капітального ремонту
__________________________________________________________________
_________________________________________________________________.
     6. Заходи  з  технічного  захисту  інформації під час прийому
іноземних делегацій, іноземців та осіб без громадянства
__________________________________________________________________
_________________________________________________________________.
     Висновки:*
_________________________________________________________________.
     Рекомендації:**
_________________________________________________________________.
 
Голова комісії:
Члени комісії:
 
Ознайомлений: ____________________________________________________
               (прізвище, ім'я, по батькові керівника організації)
 
_______________
     * У    висновках    вказується,    чи    відповідає   вимогам
нормативно-правових актів та нормативних  документів  з  ТЗI  стан
технічного  захисту інформації суб'єкта системи технічного захисту
інформації, а також кількість порушень, їх категорії.
     **  У   рекомендаціях  указується,  яких заходів  з  усунення
недоліків та порушень у галузі технічного захисту інформації треба
вжит








Последние новости

 
Курсы НБ Украины
Валюта
USD27.01731
EUR30.59711
RUB0.41238
PLN7.0549
BYR
Реклама
Реклама



Наша кнопка