ЗАТВЕРДЖЕНО
Указом Президента України
від 27 вересня 1999 р. № 1229
П О Л О Ж Е Н Н Я
про технічний захист інформації в Україні
1. Це Положення визначає правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства.
Технічний захист інформації здійснюється щодо органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил України та інших військових формувань, утворених згідно із законодавством України, відповідних підприємств, установ, організацій (далі - органи, щодо яких здійснюється ТЗІ).
2. Ужиті в цьому Положенні терміни мають таке значення:
конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;
цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;
доступність - властивість інформації бути захищеною від несанкціонованого блокування;
технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;
інформаційна система - автоматизована система, комп'ютерна мережа або система зв'язку;
дозвіл - документ, що надає право на виконання робіт з технічного захисту інформації для власних потреб;
комплекс технічного захисту інформації - сукупність заходів та засобів, призначених для реалізації технічного захисту інформації в інформаційній системі або на об'єкті.
3. Правову основу технічного захисту інформації в Україні становлять Конституція України, закони України, акти Президента України та Кабінету Міністрів України, нормативно-правові акти Служби безпеки України, інших державних органів, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України, з питань технічного захисту інформації, а також це Положення.
4. Державна політика технічного захисту інформації формується згідно із законодавством і реалізується Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент) у взаємодії з органами, щодо яких здійснюється ТЗІ.
5. Організація технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.
6. Організаційно-технічні принципи, порядок здійснення заходів з технічного захисту інформації, порядок контролю у цій сфері, характеристики загроз для інформації, норми та вимоги з технічного захисту інформації, порядок атестації та експертизи комплексів технічного захисту інформації визначаються нормативно-правовими актами, прийнятими в установленому порядку відповідними органами.
Нормативно-правові акти з технічного захисту інформації є обов'язковими для виконання всіма суб'єктами системи технічного захисту інформації.
7. Розроблення, видання нормативно-правових актів з питань технічного захисту інформації, а також роботи, пов'язані з розробленням і виконанням загальнодержавних програм розвитку системи технічного захисту інформації, здійснюються за рахунок коштів державного бюджету та інших джерел фінансування, не заборонених законодавством.
8. Суб’єктами системи технічного захисту інформації є:
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України;
органи, щодо яких здійснюється ТЗІ;
державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи Служби безпеки України і виконують завдання технічного захисту інформації;
військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями;
навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.
9. Основними завданнями Департаменту є:
підготовка пропозицій щодо формування державної політики технічного захисту інформації;
створення та розвиток системи технічного захисту інформації в Україні;
здійснення контролю за функціонуванням системи технічного захисту інформації.
10. Департамент відповідно до покладених на нього завдань:
готує для подання Президентові України, Кабінету Міністрів України, Раді національної безпеки і оборони України аналітичні довідки про стан технічного захисту інформації в державі, пропозиції щодо перспектив і пріоритетних напрямів розвитку системи цього захисту;
розробляє проекти концепцій, загальнодержавних програм розвитку системи технічного захисту інформації, узгоджує програми органів, щодо яких здійснюється ТЗІ, з питань технічного захисту інформації;
видає нормативно-правові акти з питань технічного захисту інформації, визначає порядок їх впровадження (крім державних стандартів);
погоджує нормативно-правові акти з питань технічного захисту інформації, які розробляються для власних потреб органами, щодо яких здійснюється ТЗІ;
визначає основні напрями стандартизації та організовує розроблення стандартів з технічного захисту інформації;
забезпечує виявлення і прогнозування загроз для інформації, формування та супроводження моделей технічних розвідок і загроз;
координує діяльність органів, щодо яких здійснюється ТЗІ, спрямовану на протидію технічним розвідкам на особливо важливих державних об'єктах військово-промислового комплексу, Збройних Сил України, інших військових формувань, оцінює стан та ефективність цієї протидії;
координує проведення та впровадження результатів фундаментальних і прикладних науково-дослідних, дослідно-конструкторських та дослідно-технологічних робіт з технічного захисту інформації;
визначає види діяльності суб'єктів системи технічного захисту інформації, що здійснюється за відповідними дозволами, та надає такі дозволи;
видає переліки технічних засобів загального призначення, які дозволені для технічного захисту інформації;
визначає за погодженням з Міністерством освіти України перелік спеціальностей та спеціалізацій, за якими здійснюється підготовка, перепідготовка та підвищення кваліфікації фахівців з технічного захисту інформації, та погоджує перелік відповідних навчальних закладів;
здійснює методичне забезпечення підготовки, перепідготовки та підвищення кваліфікації кадрів з технічного захисту інформації;
контролює виконання вимог нормативно-правових актів з питань технічного захисту інформації та стан захищеності інформації інженерно-технічними заходами і засобами.
11. Основними завданнями органів, щодо яких здійснюється ТЗІ, є:
забезпечення технічного захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації;
видання у межах своїх повноважень нормативно-правових актів із зазначених питань;
здійснення контролю за станом технічного захисту інформації.
12. Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:
створюють або визначають підрозділи, на які покладається забезпечення технічного захисту інформації та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;
видають за погодженням з Департаментом та впроваджують нормативно-правові акти з питань технічного захисту інформації;
погоджують з Департаментом проведення підприємствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи технічного захисту інформації, які здійснюються за рахунок коштів державного бюджету;
створюють або визначають за погодженням з Департаментом підприємства, установи та організації, що забезпечують технічний захист інформації;
забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з технічного захисту інформації;
надають Департаменту за його запитами відомості про стан технічного захисту інформації.
13. Основними завданнями інших суб'єктів системи технічного захисту інформації є:
дослідження загроз для інформації на об'єктах, функціонування яких пов'язано з інформацією, що підлягає охороні;
створення та виробництво засобів забезпечення технічного захисту інформації;
розроблення, впровадження, супроводження комплексів технічного захисту інформації;
підвищення кваліфікації фахівців з технічного захисту інформації.
14. Суб'єкти системи технічного захисту інформації мають право співробітничати з підприємствами, установами, організаціями іноземних держав, які здійснюють аналогічну діяльність, на основі міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, та інших актів законодавства України.
15. Матеріально-технічна база системи технічного захисту інформації складається з технічних засобів загального призначення та спеціальних технічних засобів.
Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів з технічного захисту інформації, одержаний у порядку, що встановлюється Департаментом і Комітетом України з питань стандартизації, метрології та сертифікації.
16. Техніко-економічне обгрунтування, проектування будівництва та реконструкції об'єктів, проведення наукових досліджень та створення інформаційних систем, зразків озброєнь, військової та спеціальної техніки, критичних і небезпечних технологій виконуються за завданнями, до яких включаються вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням робіт та у процесі функціонування зазначених об'єктів, систем, зразків і технологій циркулюватиме інформація, охорона якої забезпечується державою.
Під час віднесення замовником таких робіт до особливо важливих та створення інформаційних систем державних органів завдання та результати приймання їх етапів погоджуються з Департаментом. Фінансування створення цих систем здійснюється після такого погодження.
Витрати на заходи з технічного захисту інформації включаються до кошторисної вартості робіт.
17. Під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Департаментом для застосування та включені до відповідних переліків.
18. Контроль у сфері технічного захисту інформації полягає в перевірці виконання вимог цього Положення, інших нормативно-правових актів з питань технічного захисту інформації та в оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.
Оцінювання захищеності інформації здійснюється шляхом атестації або експертизи комплексів технічного захисту інформації та інспекційних перевірок. За результатами атестації або експертизи комплексів технічного захисту інформації визначається можливість введення в експлуатацію об'єкта, де циркулюватиме інформація, охорона якої забезпечується державою.
19. Порядок експертизи та інспекційних перевірок захищеності інформації визначається відповідними нормативно-правовими актами.
20. Розроблення, впровадження, атестація та експлуатація комплексів технічного захисту інформації для власних потреб здійснюються відповідними підрозділами органів, щодо яких здійснюється ТЗІ, або військовими частинами, підприємствами, установами, організаціями, на які в установленому порядку покладено забезпечення технічного захисту інформації, за наявності у них відповідного дозволу.
До виконання цих робіт можуть бути залучені суб'єкти підприємницької діяльності, що мають відповідні ліцензії.
Результати атестації на державних об'єктах, віднесених замовником до особливо важливих, погоджуються з Департаментом.
21. Роботи з технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, здійснюються за рахунок коштів, що виділяються на їх утримання, прибутку та інших джерел, не заборонених законодавством.
Керівники зазначених органів створюють належні умови для контролю за забезпеченням технічного захисту інформації.
22. У разі порушення вимог щодо забезпечення технічного захисту інформації посадові особи та громадяни несуть відповідальність згідно із законодавством України.
Глава Адміністрації
Президента України М.БІЛОБЛОЦЬКИЙ