ЗАТВЕРДЖЕНО
Наказ
Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
від 22.12.99 №61

Положення
про контроль за функціонуванням системи
технічного захисту інформації
1. Положення про контроль за функціонуванням системи технічного захисту інформації ( далі - Положення ) визначає правові та організаційні засади контролю за функціонуванням системи технічного захисту інформації, який здійснюється згідно з Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. № 1229/99.
Положення поширюється на всі суб`єкти системи технічного захисту інформації.
2. Ужиті в цьому Положенні терміни мають таке значення :
технічний захист інформації ( ТЗІ ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;

система ТЗІ - сукупність суб`єктів, об`єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та їхня матеріально-технічна база;

суб`єкти системи ТЗІ:
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України;
органи державної влади, органи місцевого самоврядування, органи управління Збройних Сил України та інших військових формувань, утворених згідно із законодавством, відповідні підприємства, установи та організації (далі - органи, щодо яких здійснюється ТЗІ);
державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи Служби безпеки України і виконують завдання ТЗІ;
військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з ТЗІ за відповідними дозволами або ліцензіями;
навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з ТЗІ;
контрольована зона - територія, на якій унеможливлюється несанкціоноване перебування сторонніх осіб;
модель загроз - формалізований опис методів та засобів здійснення загроз для інформації;
інформаційна система - автоматизована система, комп`ютерна мережа або система зв`язку;
виділені приміщення - приміщення, в яких циркулює інформація з обмеженим доступом;
контрольно-інспекційна робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ органів, щодо яких здійснюється ТЗІ, та на проведення контролю за виконанням суб`єктами системи ТЗІ завдань або проведенням діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями;
атестація виділених приміщень - комплекс, спрямованих на реалізацію заходів з ТЗІ робіт, метою яких є приведення виділених приміщень у відповідність до вимог нормативних документів з ТЗІ та визначення відповідності захищеності виділеного приміщення встановленій категорії;

порушення з ТЗІ - невиконання вимог нормативно-правових актів з питань ТЗІ, яке створює умови або реальну можливість порушення конфіденційності, цілісності або доступності інформації.
3. Контроль за функціонуванням системи ТЗІ здійснюється з метою визначення й удосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення та запобігання порушенням з ТЗІ в інформаційних системах та об`єктах.
4. Контроль за функціонуванням системи ТЗІ в державі здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБ України) шляхом організації та проведення контрольно-інспекційної роботи з питань ТЗІ стосовно суб`єктів системи ТЗІ.
5. Контрольно-інспекційна робота з питань ТЗІ включає планування та проведення перевірок з ТЗІ (далі - перевірок) стану ТЗІ в органах, щодо яких здійснюється ТЗІ, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ в зазначених органах та перевірок з ТЗІ інших суб`єктів системи ТЗІ щодо виконання ними завдань або провадження діяльності в цій галузі за відповідними дозволами та ліцензіями.
6. Перевірки поділяються на комплексні, цільові (тематичні) та контрольні.
При комплексній перевірці вивчається та оцінюється стан ТЗІ в органах, щодо яких здійснюється ТЗІ.
При цільовій (тематичній) перевірці вивчаються окремі напрямки ТЗІ, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в органах, щодо яких здійснюється ТЗІ, виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями суб`єктами системи ТЗІ.
При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільової перевірки (контрольні перевірки проводяться за потреби, як правило - не раніше, ніж через рік після попередньої перевірки).
Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові.
7. Позапланова перевірка здійснюється за вказівкою керівництва ДСТСЗІ СБ України в разі виникнення потреби визначення повноти та достатності заходів з ТЗІ в органі, щодо якого здійснюється ТЗІ, стану виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями іншими суб`єктами системи ТЗІ, за наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питаньТЗІ.
8. Перевірки здійснюються комісіями підрозділу ДСТСЗІ СБ України, на який покладено виконання завдань щодо здійснення контролю за функціонуванням системи ТЗІ.
9. Керівництво суб`єкта системи ТЗІ, щодо якого здійснюється перевірка, повідомляється про проведення перевірки за десять діб до її початку (за винятком проведення раптової перевірки).
10. Підставою для допуску членів комісії до перевірки є наявність відповідних документів ( приписів) за підписом керівництва ДСТСЗІ СБ України.
У тексті зазначених документів вказуються підстави проведення перевірки, кількість членів комісії та ступінь таємності інформації, до якої вони допускаються для ознайомлення.
11. При проведенні перевірки стану ТЗІ контролю підлягають організаційні, організаційно-технічні, технічні заходи з ТЗІ в виділених приміщеннях, інформаційних системах і об`єктах, повнота та достатність робіт з атестації виділених приміщень.
12. Контроль організаційних заходів з ТЗІ в органі, щодо якого здійснюється ТЗІ, включає перевірку:
- переліку відомостей, що підлягають технічному захисту;
- окремої моделі загроз для інформаційної системи або об`єкта;
- плану контрольованої зони органу, щодо якого здійснюється ТЗІ;
- переліку виділених приміщень органу, щодо якого здійснюється ТЗІ, інформаційних систем та об`єктів;
- проведення категоріювання виділених приміщень та об`єктів.
Організаційні заходи з ТЗІ виконуються власними силами органу, щодо якого здійснюється ТЗІ.
Контроль організаційно-технічних і технічних заходів щодо ТЗІ у виділених приміщеннях, інформаційних системах та об`єктах, повноти та достатності робіт з атестації виділених приміщень включає перевірку відповідності виконання цих заходів до нормативно-правових актів з питань ТЗІ.
Організаційно-технічні й технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах та об`єктах, роботи з атестації виділених приміщень виконуються власними силами органу, щодо якого здійснюється ТЗІ, або суб`єктами підприємницької діяльності в галузі ТЗІ.
13. За результатами комплексної перевірки комісією складається акт перевірки стану та ефективності заходів з технічного захисту інформації (додається), а цільової та контрольної перевірки - довідка (за довільною формою).
Ознайомлення керівника суб`єкта системи ТЗІ з актом (довідкою) здійснюється під розпис.
14. Керівник органу, щодо якого здійснюється ТЗІ, зобов`язаний ужити невідкладних заходів щодо усунення недоліків і реалізації пропозицій комісії відповідно до вимог нормативно-правових актів з питань ТЗІ. Повідомлення про виконання пропозицій і усунення недоліків надсилається до підрозділу ДСТСЗІ СБ України, на якого покладено виконання завдань щодо контролю за функціонуванням системи ТЗІ, у строки, встановлені в акті ( довідці ) перевірки.
15. Порушення встановлених норм та вимог з ТЗІ, виявлені під час проведення перевірок, поділяються на три категорії :
- перша - невиконання норм та вимог з ТЗІ, внаслідок якого створюється реальна можливість порушення конфіденційності, цілісності й доступності інформації або її витоку технічними каналами;
- друга - невиконання норм та вимог з ТЗІ, внаслідок якого створюються передумови для порушення конфіденційності, цілісності і доступності інформації або її витоку технічними каналами;
- третя - невиконання інших вимог з ТЗІ.
16. У разі виявлення порушення першої категорії вживають таких заходів :
- голова комісії негайно доповідає керівництву органу, щодо якого здійснюється ТЗІ, для прийняття рішення про припинення робіт, які проводились з порушенням норм і вимог ТЗІ, та про факт порушення повідомляє ДСТСЗІ СБ України;
- здійснюються заходи з усунення порушень у терміни, погоджені з підрозділом, на який покладено забезпечення ТЗІ;
- організовується в установленому порядку розслідування причин, які призвели до порушень, з метою недопущення їх у подальшому і притягнення осіб, які припустили порушення нормативно-правових актів з питань ТЗІ, до відповідальності згідно із законодавством України;
- повідомляються ДСТСЗІ СБ України та вищий орган, щодо якого здійснюється ТЗІ, про заходи, вжиті з метою усунення порушення.
17. Дозвіл на відновлення робіт, під час виконання яких були виявлені порушення норм і вимог ТЗІ першої категорії, дає керівник органу, щодо якого здійснюється ТЗІ, за погодженням з ДСТСЗІ СБ України після усунення порушень і перевірки достатності й ефективності вжитих заходів з ТЗІ.
18. Керівництво органу, щодо якого здійснюється ТЗІ, зобов`язано надавати комісії повну інформацію стосовно впроваджених заходів з ТЗІ та сприяти проведенню їх перевірки.
19. В органах, щодо яких здійснюється ТЗІ, відповідними підрозділами, на які покладається забезпечення ТЗІ в цих органах, здійснюється відомчий контроль заходів з ТЗІ.
Відповідальність за організацію та контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ , покладається на їх керівників.
20. В органах, щодо яких здійснюється ТЗІ, контроль стану ТЗІ організується відповідно до планів, затверджених керівниками зазначених органів, шляхом проведення перевірок.
Перевірки стану ТЗІ здійснюються безпосередньо комісіями підрозділів, на які покладається забезпечення ТЗІ.
Організація проведення перевірок стану ТЗІ, заходи з ТЗІ, які підлягають контролю, висновки та рекомендації визначаються цим Положенням та іншими нормативно-правовими актами з питань ТЗІ.
ДСТСЗІ СБ України за результатами перевірок здійснюється аналіз та узагальнення стану ТЗІ в державі.
22. Керівництво суб`єкта системи ТЗІ, щодо якого здійснюється перевірка, має право оскарження результатів перевірки згідно із законодавством України.
Додаток
до п.13 Положення про контроль за функціонуванням системи технічного захисту інформації

ЗАТВЕРДЖУЮ
__________________________
__________________________
А К Т
перевірки стану та ефективності заходів
з технічного захисту інформації в _________________________________________

Комісією у складі ____________________________________________
(прізвище, ім`я та по батькові)
_________________________________________________________________________________________________________________________________________.
на підставі припису від «___» __________19__р. №_______________________
проведено перевірку стану та ефективності заходів з технічного захисту інформації в ____________________________________________________.

Перевіркою встановлено:
Загальні питання
_________________________________________________________________________________________________________________________________________.
Заходи з технічного захисту мовної інформації
_________________________________________________________________________________________________________________________________________.
3. Заходи з технічного захисту інформації, яка обробляється в автоматизованих системах та мережах, на об`єктах електронно-обчислювальної техніки, засобах виготовлення та розмноження документів та інших технічних засобах, які використовуються для обробки інформації
_________________________________________________________________________________________________________________________________________.

Продовження додатку
до п.13 Положення про контроль за функціонуванням системи технічного захисту інформації
4. Заходи з технічного захисту інформації при створенні продукції та технологій для державних потреб і проведенні НДДКР
_________________________________________________________________________________________________________________________________________.
5. Заходи з технічного захисту інформації під час організації проектування будівництва, реконструкції та капітального ремонту
_________________________________________________________________________________________________________________________________________.
6. Заходи з технічного захисту інформації під час прийому іноземних делегацій, іноземців та осіб без громадянства
_________________________________________________________________________________________________________________________________________.
Висновки:*
____________________________________________________________________.
Рекомендації:**
____________________________________________________________________ .
Голова комісії:
Члени комісії:
Ознайомлений: _______________________________________________
(прізвище, ім`я, по батькові керівника організації)
* У висновках вказується, чи відповідає вимогам нормативно-правових актів та нормативних документів з ТЗІ стан технічного захисту інформації суб`єкта системи технічного захисту інформації, а також кількість порушень, їх категорії.
** У рекомендаціях указуюється, які заходи з усунення недоліків та порушень у галузі технічного захисту інформації треба вжити.
Перший заступник керівника Департаменту-начальник
Інспекції з питань захисту інформації Департаменту
спеціальних телекомунікаційних систем та захисту інформації
Служби безпеки України М.Вербицький
Вірно
Начальник режимно-секретного відділу Департаменту
спеціальних телекомунікаційних систем та захисту інформації
Служби безпеки України В.Пасторов