• Положення про порядок здійснення криптографічного захисту інформації в Україні ( Із змінами, внесеними згідно з Указами Президента N 1019/98 від 15.09.98 N 1229/99 від 27.09.99 )

  ---

• Закон України "Про електронні документи та електронний документообіг"
• Закон України Закон України "Про електронний цифровий підпис"
• Закон України Закон України "Про ліцензування певних видів господарської діяльності"

  ---

• Постанова від 13 липня 2004 р. N 903 КАБІНЕТ МІНІСТРІВ УКРАЇНИ "Про затвердження Порядку акредитації центру сертифікації ключів"
• Постанова від 28 жовтня 2004 р. N 1451 КАБІНЕТ МІНІСТРІВ УКРАЇНИ "Про затвердження Положення про центральний засвідчувальний орган"
• Постанова від 28 жовтня 2004 р. N 1452 КАБІНЕТ МІНІСТРІВ УКРАЇНИ "Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності"

  ---

• Наказ N 708/156 від 28.11.97 "Про затвердження Тимчасової інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації"
• Наказ N 104/81 від 17.11.98 "Про затвердження Інструкції про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням"
• Наказ № 202/213 "Про орган із сертифікації засобів криптографічного захисту інформації"
• Наказ N 45 від 22.10.99 "Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави"
• Наказ N 53 від 30.11.99 "Про затвердження Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації"
• Порядок проведення сертифікації засобів криптографічного захисту інформації"
• Наказ N 62 від 25.12.2000 "Про затвердження Положення про державну експертизу у сфері криптографічного захисту інформації"
• Наказ N 88/66 від 29.12.2000 "Про затвердження Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації"
• Наказ N 151/72 від 12.12.2001 "Про затвердження Порядку контролю за додержанням ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації; розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації"
• Наказ N 50 від 10.05.06 "Про внесення змін до Правил посиленої сертифікації"
• Наказ №99/166 від 11.09.06 "Про затвердження Технічних специфікацій форматів представлення базових об’єктів національної системи електронного цифрового підпису"

Наказ N 45 від 22.10.99 "Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави"

Н А К А З N 45 від 22.10.99

ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ

Н А К А З

N 45 від 22.10.99 Зареєстровано в Міністерстві
юстиції України
29 листопада 1999 р.
за N 817/4110

Про затвердження Інструкції про порядок забезпечення
режиму безпеки, що повинен бути створений на
підприємствах, установах та організаціях, які
здійснюють підприємницьку діяльність у галузі
криптографічного захисту конфіденційної інформації,
що є власністю держави

( Із змінами, внесеними згідно з Наказом Служби безпеки
N 111 ( z0022-05 ) від 24.12.2004 )

ЗАТВЕРДЖЕНО
наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації
Служби безпеки України
від 22 жовтня 1999 року N 45


Інструкція
про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави

( У назві та тексті Інструкції слова "підприємницьку діяльність" у всіх відмінках замінено словами "господарську
діяльність" у відповідних відмінках згідно з Наказом Служби безпеки N 111 від 24.12.2004 )

( У тексті Інструкції слова "суб'єкт підприємницької діяльності" у всіх відмінках замінено словами "суб'єкт
господарювання" у відповідних відмінках згідно з Наказом Служби безпеки N 111 від 24.12.2004 )

Ця Інструкція розроблена відповідно до Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (далі - Інструкція про порядок обліку), затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 року N 1893, та Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації, затверджених наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент) від 29 грудня 2000 року N 88/66 і зареєстрованих у Міністерстві юстиції України 20 січня 2001 року за N 49/5240 (у редакції наказу Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 15 жовтня 2004 року N 121/80, зареєстрованого в Міністерстві юстиції України 29 жовтня 2004 року за N 1392/9991). ( Частина перша Інструкції в редакції Наказу Служби безпеки N 111 від 24.12.2004 )
Цей нормативний документ визначає конкретні вимоги щодо режиму безпеки, який повинен бути створений при проведенні робіт з криптографічного захисту конфіденційної інформації, що є власністю держави.
Дія Інструкції поширюється на всіх суб'єктів господарювання, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, незалежно від їх форм власності. ( Частина третя Інструкції в редакції Наказу Служби безпеки N 111 від 24.12.2004 )
Для забезпечення режиму безпеки при проведенні робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави (далі - інформація з грифом "Для службового користування"), суб'єкти господарювання повинні керуватися постановою Кабінету Міністрів України від 27.11.98 N 1893 та Інструкцією про порядок обліку, затвердженою постановою Кабінету Міністрів України від 27.11.98 N 1893, а також забезпечити виконання таких основних заходів:

1. Визначити відповідними документами: ( Абзац перший пункту 1 частини четвертої в редакції Наказу Служби безпеки N 111 від 24.12.2004 )
- працівників, яким надано доступ до робіт з документами, іншими матеріальними носіями інформації та засобами криптографічного захисту інформації з грифом "Для службового користування"; ( Абзац другий пункту 1 частини четвертої із змінами, внесеними згідно з Наказом Служби безпеки N 111 від 24.12.2004 )
- порядок поводження посадових осіб з документами, іншими матеріальними носіями інформації та засобами криптографічного захисту інформації, які мають гриф "Для службового користування";
- порядок здійснення пропускного та внутріоб'єктового режиму;
- порядок здійснення режиму безпеки при розробленні, виготовленні, ввезенні, вивезенні та реалізації засобів криптографічного захисту інформації, а також при наданні послуг із криптографічного захисту інформації, яка має гриф "Для службового користування";
- порядок забезпечення режиму безпеки при організації та проведенні робіт на засобах обчислювальної техніки;
- порядок обліку, зберігання, отримання, відправлення, передачі, транспортування документів, інших матеріальних носіїв інформації та засобів криптографічного захисту інформації з грифом "Для службового користування";
- дії посадових осіб при виявленні фактів утрати документів, інших матеріальних носіїв інформації з грифом "Для службового користування".
З інструкцією щодо забезпечення режиму безпеки на підприємстві (організації, установі) ознайомити під розпис співробітників суб'єкта господарювання, які повинні працювати з документами, іншими матеріальними носіями інформації з грифом "Для службового користування".

2. Створити режимно-секретний орган. ( Пункт 2 частини четвертої в редакції Наказу Служби безпеки N 111 від 24.12.2004 )

3. Одержати дозвіл на провадження діяльності, пов'язаної з державною таємницею, який надається Службою безпеки України.

4. Створити підрозділ (управління справами, загальний відділ, канцелярію) або призначити штатного працівника, на якого покласти такі обов'язки:
ведення обліку, зберігання, розмноження та використання документів, інших матеріальних носіїв інформації з грифом "Для службового користування";
ознайомлення під розпис співробітників суб'єкта господарювання, які повинні працювати з документами, іншими матеріальними носіями інформації з грифом "Для службового користування", з Інструкцією про порядок обліку.

5. За фактами втрати документів, інших матеріальних носіїв інформації з грифом "Для службового користування", витоку або розголошення відомостей, що містяться в них, наказом керівника суб'єкта господарювання призначати комісію із залученням представників державних організацій (підприємств, установ) - власників документів, інших матеріальних носіїв інформації з грифом "Для службового користування" та співробітників режимно-секретного органу суб'єкта господарювання. ( Абзац перший пункту 5 частини четвертої із змінами, внесеними згідно з Наказом Служби безпеки N 111 від 24.12.2004 )
За результатами розслідування складається акт, який затверджується керівником суб'єкта господарювання та погоджується із замовником робіт. Акт складається у 3 примірниках, які направляються на такі адреси: примірник 1 - до справи, примірник 2 - до Департаменту, примірник 3 - замовнику робіт.
Відповідні записи про втрачені документи вносяться в облікові форми на підставі акта комісії, затвердженого керівником організації.
( Пункт 5 частини четвертої із змінами, внесеними згідно з Наказом Служби безпеки N 111 від 24.12.2004 )

6. Керівник підприємства - суб'єкта господарювання погоджує із замовником робіт режим доступу до інформації на всіх етапах створення засобів криптографічного захисту інформації з грифом "Для службового користування". ( Абзац перший пункту 6 частини четвертої із змінами, внесеними згідно з Наказом Служби безпеки N 111 від 24.12.2004 )
Під час укладання угоди про виконання робіт у галузі криптографічного захисту інформації з грифом "Для службового користування" між суб'єктом господарювання та державною організацією (підприємством, установою) окремим розділом включається питання щодо обсягу та змісту інформації з грифом "Для службового користування", яка передається (може передаватися) у процесі спільної діяльності, визначається режим доступу до неї, установлюється система (способи) захисту, а також контролю за поводженням з нею.

7. Суб'єкти господарювання, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, в разі використання бойових кодів, паролів доступу, шифрів для засобів криптографічного захисту інформації повинні забезпечити режим безпеки (секретності) відповідно до вимог нормативно-правових актів Департаменту. ( Пункт 7 частини четвертої із змінами, внесеними згідно з Наказом Служби безпеки N 111 від 24.12.2004 )

8. З метою запобігання витоку інформації технічними каналами на об'єктах, де циркулює інформація з грифом "Для службового користування", впровадити заходи захисту інформації відповідно до встановлених згідно з нормативно-правовими актами з питань технічного захисту інформації категорій цих об'єктів.

9. Співробітникам (виконавцям) суб'єкта господарювання, допущеним до роботи з документами, іншими матеріальними носіями інформації з грифом "Для службового користування", забороняється повідомляти будь-кому (усно або письмово) відомості, що містяться у цих документах, інших матеріальних носіях інформації, та відомості про характер і зміст робіт з інформацією з грифом "Для службового користування" без погодження (дозволу) з організацією (підприємством, установою), що є власником цієї інформації.
За порушення, що призвели до розголошення інформації "Для службового користування", втрати або незаконного знищення документів з грифом "Для службового користування" винні особи несуть дисциплінарну та цивільно-правову відповідальність згідно із законодавством.