Відповідно до Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 року N 1893 (1893-98-п) , та Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації, затверджених наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 2000 року N 88/66 (z0049-01) і зареєстрованих у Міністерстві юстиції України 20 січня 2001 року за N 49/5240 (у редакції наказу Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 15 жовтня 2004 року N 121/80 (z1392-04) , зареєстрованого в Міністерстві юстиції України 29 жовтня 2004 року за N 1392/9991), НАКАЗУЮ:

1. Затвердити Інструкцію про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави (далі - Інструкція), що додається.

2. Головному управлінню криптографічного захисту та розвитку спеціальних телекомунікаційних систем Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України:

у встановленому порядку подати Інструкцію в п'ятиденний термін на державну реєстрацію до Міністерства юстиції України;

забезпечити публікацію Інструкції в засобах масової інформації.

3. Контроль за виконанням цього наказу покласти на першого заступника керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України.

ІНСТРУКЦІЯ

про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави

( У назві та тексті Інструкції слова "підприємницьку діяльність" у всіх відмінках замінено словами "господарську діяльність" у відповідних відмінках згідно з Наказом Служби безпеки N 111 (z0022-05) від 24.12.2004 ) ( У тексті Інструкції слова "суб'єкт підприємницької діяльності" у всіх відмінках замінено словами "суб'єкт господарювання" у відповідних відмінках згідно з Наказом Служби безпеки N 111 (z0022-05) від 24.12.2004 )

Ця Інструкція розроблена відповідно до Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (далі - Інструкція про порядок обліку), затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 року N 1893 (1893-98-п) , та Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації, затверджених наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент) від 29 грудня 2000 року N 88/66 (z0049-01) і зареєстрованих у Міністерстві юстиції України 20 січня 2001 року за N 49/5240 (у редакції наказу Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 15 жовтня 2004 року N 121/80 (z1392-04) , зареєстрованого в Міністерстві юстиції України 29 жовтня 2004 року за N 1392/9991).

Цей нормативний документ визначає конкретні вимоги щодо режиму безпеки, який повинен бути створений при проведенні робіт з криптографічного захисту конфіденційної інформації, що є власністю держави.

Дія Інструкції поширюється на всіх суб'єктів господарювання, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, незалежно від їх форм власності.

Для забезпечення режиму безпеки при проведенні робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави (далі - інформація з грифом "Для службового користування"), суб'єкти господарювання повинні керуватися постановою Кабінету Міністрів України від 27.11.98 N 1893 та Інструкцією про порядок обліку, затвердженою постановою Кабінету Міністрів України від 27.11.98 N 1893, а також забезпечити виконання таких основних заходів:

1. Визначити відповідними документами:

працівників, яким надано доступ до робіт з документами, іншими матеріальними носіями інформації та засобами криптографічного захисту інформації з грифом "Для службового користування";

порядок поводження посадових осіб з документами, іншими матеріальними носіями інформації та засобами криптографічного захисту інформації, які мають гриф "Для службового користування";

порядок здійснення пропускного та внутріоб'єктового режиму;

порядок здійснення режиму безпеки при розробленні, виготовленні, ввезенні, вивезенні та реалізації засобів криптографічного захисту інформації, а також при наданні послуг із криптографічного захисту інформації, яка має гриф "Для службового користування";

порядок забезпечення режиму безпеки при організації та проведенні робіт на засобах обчислювальної техніки;

порядок обліку, зберігання, отримання, відправлення, передачі, транспортування документів, інших матеріальних носіїв інформації та засобів криптографічного захисту інформації з грифом "Для службового користування";

дії посадових осіб при виявленні фактів утрати документів, інших матеріальних носіїв інформації з грифом "Для службового користування".

З інструкцією щодо забезпечення режиму безпеки на підприємстві (організації, установі) ознайомити під розпис співробітників суб'єкта господарювання, які повинні працювати з документами, іншими матеріальними носіями інформації з грифом "Для службового користування".

2. Створити режимно-секретний орган.

3. Одержати дозвіл на провадження діяльності, пов'язаної з державною таємницею, який надається Службою безпеки України.

4. Створити підрозділ (управління справами, загальний відділ, канцелярію) або призначити штатного працівника, на якого покласти такі обов'язки:

ведення обліку, зберігання, розмноження та використання документів, інших матеріальних носіїв інформації з грифом "Для службового користування";

ознайомлення під розпис співробітників суб'єкта господарювання, які повинні працювати з документами, іншими матеріальними носіями інформації з грифом "Для службового користування", з Інструкцією про порядок обліку (1893-98-п) .

5. За фактами втрати документів, інших матеріальних носіїв інформації з грифом "Для службового користування", витоку або розголошення відомостей, що містяться в них, наказом керівника суб'єкта господарювання призначати комісію із залученням представників державних організацій (підприємств, установ) - власників документів, інших матеріальних носіїв інформації з грифом "Для службового користування" та співробітників режимно-секретного органу суб'єкта господарювання.

За результатами розслідування складається акт, який затверджується керівником суб'єкта господарювання та погоджується із замовником робіт. Акт складається у 3 примірниках, які направляються на такі адреси: примірник 1 - до справи, примірник 2 - до Департаменту, примірник 3 - замовнику робіт.

Відповідні записи про втрачені документи вносяться в облікові форми на підставі акта комісії, затвердженого керівником організації.

6. Керівник підприємства - суб'єкта господарювання погоджує із замовником робіт режим доступу до інформації на всіх етапах створення засобів криптографічного захисту інформації з грифом "Для службового користування".

Під час укладання угоди про виконання робіт у галузі криптографічного захисту інформації з грифом "Для службового користування" між суб'єктом господарювання та державною організацією (підприємством, установою) окремим розділом включається питання щодо обсягу та змісту інформації з грифом "Для службового користування", яка передається (може передаватися) у процесі спільної діяльності, визначається режим доступу до неї, установлюється система (способи) захисту, а також контролю за поводженням з нею.

7. Суб'єкти господарювання, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, в разі використання бойових кодів, паролів доступу, шифрів для засобів криптографічного захисту інформації повинні забезпечити режим безпеки (секретності) відповідно до вимог нормативно-правових актів Департаменту.

8. З метою запобігання витоку інформації технічними каналами на об'єктах, де циркулює інформація з грифом "Для службового користування", впровадити заходи захисту інформації відповідно до встановлених згідно з нормативно-правовими актами з питань технічного захисту інформації категорій цих об'єктів.

9. Співробітникам (виконавцям) суб'єкта господарювання, допущеним до роботи з документами, іншими матеріальними носіями інформації з грифом "Для службового користування", забороняється повідомляти будь-кому (усно або письмово) відомості, що містяться у цих документах, інших матеріальних носіях інформації, та відомості про характер і зміст робіт з інформацією з грифом "Для службового користування" без погодження (дозволу) з організацією (підприємством, установою), що є власником цієї інформації.