ЛІЦЕНЗІЙНА ПАЛАТА УКРАЇНИ
   ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
            ТА ЗАХИСТУ ІНФОРМАЦІЇ СБ УКРАЇНИ

                            Н А К А З

 N 92/80 від 13.10.98                 Зареєстровано в Міністерстві
м.Київ                           юстиції України
                                 23 жовтня 1998 р.
                                 за N 682/3122

  ( Наказ втратив чинність на підставі Наказу Держпідприємництва
    N 89/67 ( z0050-01 ) від 29.12.2000 )

         Про затвердження Інструкції про умови і правила
    провадження      підприємницької     діяльності
    (ліцензійні умови),  пов'язаної з розробленням,
    виготовленням,      ввезенням,      вивезенням,
    реалізацією та використанням засобів технічного
    захисту  інформації,  а також з наданням послуг
    із технічного захисту інформації,  та  контроль
                   за їх дотриманням
 

     Відповідно до   Законів    України    "Про    підприємництво"
( 698-12 ), "Про інформацію" ( 2657-12 ), "Про захист інформації в
автоматизованих системах" ( 80/94-ВР ) та "Про державну  таємницю"
( 3855-12 ),  Положення про технічний захист інформації в Україні,
затвердженого постановою Кабінету Міністрів України від 9  вересня
1994  року  N  632  ( 632-94-п ),  Положення про Ліцензійну палату
України, затвердженого Указом  Президента  України  від  16  липня
1997 року  N 648/97,  та на виконання постанови Кабінету Міністрів
України від 3 липня 1998 року N 1020 ( 1020-98-п )   "Про  порядок
ліцензування підприємницької діяльності" Н А К А З У Є М О:

     1. Затвердити Інструкцію  про  умови  і  правила  провадження
підприємницької   діяльності   (ліцензійні  умови),  пов'язаної  з
розробленням, виготовленням, ввезенням, вивезенням, реалізацією та
використанням  засобів  технічного  захисту інформації,  а також з
наданням послуг із технічного захисту інформації,  та контроль  за
їх дотриманням (додається).     2. Управлінню   ліцензування    підприємницької    діяльності
Ліцензійної палати (Хоменко Л.Г.), Головному управлінню технічного
захисту  інформації  Департаменту  спеціальних  телекомунікаційних
систем   та   захисту  інформації  СБ  України  (Семенов  Ю.О.)  в
установленому порядку в п'ятиденний термін  подати  Інструкцію  на
державну реєстрацію до Міністерства юстиції України.     3. Управлінню   ліцензування    підприємницької    діяльності
Ліцензійної  палати  (Хоменко  Л.Г.) довести до відома працівників
Ліцензійної палати,  представництв Ліцензійної  палати  Автономної
Республіки  Крим,  областей,  міст Києва та Севастополя Інструкцію
про  умови  і  правила  провадження   підприємницької   діяльності
(ліцензійні умови),  пов'язаної  з  розробленням,   виготовленням,
ввезенням,   вивезенням,   реалізацією  та  використанням  засобів
технічного захисту  інформації,  а  також  з  наданням  послуг  із
технічного захисту інформації, та контроль за їх дотриманням.     4. Передбачити в планах-графіках:     Управлінню контрольної     роботи     Ліцензійної      палати
(Апатенко О.П.)  -  перевірку  додержання порядку надання ліцензій
Департаментом спеціальних  телекомунікаційних  систем  та  захисту
інформації СБ України;     Управлінню контрольної     роботи     Ліцензійної      палати
(Апатенко О.П.)   та   Головному   управлінню  технічного  захисту
інформації Департаменту спеціальних телекомунікаційних  систем  та
захисту інформації СБ України (Семенов Ю.О.) - перевірку суб'єктів
підприємницької  діяльності  щодо   дотримання   умов   і   правил
провадження діяльності в галузі технічного захисту інформації.     5. Заступнику     керівника     Департаменту      спеціальних
телекомунікаційних  систем  та  захисту  інформації  СБ  України -
начальнику  Головного  управління  технічного  захисту  інформації
Семенову Ю.О.  забезпечити публікацію в засобах масової інформації
Інструкції про умови і правила провадження діяльності,  пов'язаної
з розробленням,  виготовленням, ввезенням, вивезенням, реалізацією
та використанням засобів технічного захисту інформації,  а також з
наданням  послуг із технічного захисту інформації,  та контроль за
їх дотриманням.     6. Інструкцію  щодо  умов  і  правил  здійснення діяльності у
галузі  технічного  захисту   інформації   та   контролю   за   їх
дотриманням, затверджену наказом Державної служби України з питань
технічного захисту   інформації   від  23  травня  1994  р.  N  46
( z0120-94 )  та  зареєстровану  в  Міністерстві  юстиції  України
1 червня  1994  року  за  N  120/329,  вважати такою,  що втратила
чинність.     7. Контроль за виконанням цього наказу покласти на заступника
Голови Ліцензійної  палати  України  Музичука  В.Т.   та   першого
заступника  керівника  Департаменту спеціальних телекомунікаційних
систем та захисту інформації СБ України Барлабанова В.В.

 Голова Ліцензійної палати України                     С.Третьяков

 Керівник Департаменту спеціальних
 телекомунікаційних систем та захисту
 інформації СБ України                                   Г.Лазарєв

                                             Затверджено
                            Наказ Ліцензійної палати України,
                            Департаменту          спеціальних
                            телекомунікаційних    систем   та
                            захисту  інформації   СБ  України
                            13 жовтня 1998 р. N 92/80

                            Інструкція
    про умови і правила провадження підприємницької
    діяльності  (ліцензійні  умови),  пов'язаної  з
    розробленням,     виготовленням,     ввезенням,
    вивезенням,    реалізацією   та   використанням
    засобів технічного захисту інформації,  а також
    з   наданням   послуг   із  технічного  захисту
       інформації, та контроль за їх дотриманням

                      1. Загальні положення

     1.1. Інструкція розроблена відповідно до Законів України "Про
підприємництво" (  698-12  ),  "Про інформацію" ( 2657-12 ),  "Про
захист інформації в автоматизованих системах" ( 80/94-ВР ) та "Про
державну  таємницю"  ( 3855-12 ),  Положення  про технічний захист
інформації в Україні,  затвердженого постановою Кабінету Міністрів
України від 9 вересня 1994 року N 632 ( 632-94-п ),  Положення про
порядок  ліцензування  підприємницької  діяльності,  затвердженого
постановою Кабінету Міністрів України від 3 липня 1998 року N 1020
( 1020-98-п ).     1.2. Інструкція   визначає   ліцензійні   умови   провадження
діяльності,  пов'язаної з розробленням,  виготовленням, ввезенням,
вивезенням,   реалізацією   та  використанням  засобів  технічного
захисту  інформації,  наданням  послуг   із   технічного   захисту
інформації,  а  також  установлює  порядок контролю за дотриманням
ліцензійних умов цієї діяльності.

     1.3. У межах зазначеної діяльності, що підлягає ліцензуванню,
виконуються такі види робіт:     1.3.1. Дослідження  об'єктів  інформаційної   діяльності   та
інформаційних    систем    щодо    безпеки   інформації,   надання
консультативних послуг з технічного захисту інформації.     1.3.2. Розроблення,  впровадження,  атестація, обслуговування
систем технічного захисту інформації  від  технічних  розвідок  та
спеціальних впливів на об'єктах інформаційної діяльності.     1.3.3. Розроблення,   впровадження,   супроводження    систем
технічного захисту інформації в інформаційних системах.     1.3.4. Виявлення  та  блокування  витоку  мовної  та  видової
інформації  через  закладні  пристрої  на  об'єктах  інформаційної
діяльності.     1.3.5. Розроблення,  виготовлення, використання та реалізація
засобів забезпечення технічного захисту інформації.     1.3.6. Ввезення,   вивезення   засобів   технічного   захисту
інформації.

     1.4. Суб'єктами підприємницької  діяльності,  яким  надається
право  на  провадження  діяльності  в  галузі  технічного  захисту
інформації,  можуть бути громадяни-підприємці  та  юридичні  особи
всіх  форм  власності,  що створили умови відповідно до вимог цієї
Інструкції.     1.5. Видача,   переоформлення,   зупинення,   анулювання   та
поновлення  дії  ліцензій  на  провадження  діяльності  в   галузі
технічного    захисту    інформації    проводиться   Департаментом
спеціальних телекомунікаційних систем та захисту інформації Служби
безпеки  України  (далі - Департамент) відповідно до Положення про
порядок  ліцензування  підприємницької  діяльності,  затвердженого
постановою   Кабінету   Міністрів  України  від  3 липня 1998 року
N 1020 ( 1020-98-п ).     1.6. Департамент   після   прийняття   заяви   та   перевірки
відомостей, які містяться у поданих матеріалах, перевіряє створені
заявником  умови  для  провадження  діяльності в галузі технічного
захисту інформації.  Результати перевірки оформлюються  актом.  До
акта додаються матеріали,  що підтверджують спроможність виконання
заявником ліцензійних умов провадження обраних видів робіт.     1.7. При  здійсненні  декількох  видів  робіт  видається одна
ліцензія.

                     2. Терміни та визначення

     У цій Інструкції терміни та визначення  вживаються  в  такому
значенні:     об'єкт інформаційної      діяльності      -       середовище,
інженерно-технічна споруда, приміщення з визначеною контрольованою
зоною,  де  здійснюється  адміністративна,   фінансово-економічна,
виробнича,  науково-технологічна  та інша діяльність,  пов'язана з
інформацією, що підлягає захисту;     інформаційна система  -  автоматизована система,  комп'ютерна
мережа, система зв'язку;     дослідження об'єктів інформаційної діяльності,  інформаційних
систем щодо безпеки інформації -  вивчення  та  аналіз  проектної,
програмної  документації,  технологічних  процесів,  інформаційних
потоків,  умов функціонування об'єктів  інформаційної  діяльності,
інформаційних систем з метою визначення загрози безпеці інформації
щодо її витоку, блокування чи порушення цілісності;     консультативні послуги    в    галузі    технічного   захисту
інформації - розроблення рекомендацій щодо організації (створення)
системи   технічного   захисту  інформації  об'єкта  інформаційної
діяльності або інформаційної системи  на  підставі  матеріалів  їх
дослідження;  оцінка можливої шкоди,  завданої реалізацією загрози
інформації;   визначення   та   техніко-економічне   обгрунтування
потрібного   рівня  захисту  інформації  та  відповідних  заходів;
надання  методичної  допомоги  щодо  розробки  нормативно-правових
актів,  нормативних документів,  проектної та робочої документації
при створенні засобів і систем захисту інформації для об'єктів  та
інформаційних  систем,  проведення  експертизи  таких  документів;
організація курсів,  семінарів тощо поза межами державних закладів
освіти;  розповсюдження  нормативних документів системи технічного
захисту інформації в Україні;     розроблення засобу забезпечення чи системи технічного захисту
інформації    -    створення    або    модернізація    апаратного,
апаратно-програмного чи програмного засобу забезпечення технічного
захисту інформації або системи технічного захисту  інформації  від
технічних  розвідок,  спеціальних  впливів  або  несанкціонованого
доступу,  які  пов'язані  із:  складанням   технічного   завдання,
ескізним,  технічним  (ескізно-технічним),  робочим проектуванням;
розробленням  експлуатаційної  документації,  програм  і   методик
приймальних    (атестаційних)    випробувань;   виготовленням   та
випробуванням дослідних зразків, приймальними випробуваннями;     упровадження системи технічного захисту інформації - введення
в  дію  розробленої  системи  технічного  захисту  інформації   на
конкретному  об'єкті  інформаційної  діяльності  або  в конкретній
інформаційній   системі,    включаючи    забезпечення    перевірки
достатності  рівня  захищеності  інформації шляхом її атестації на
об'єкті або експертизи в інформаційній системі;     атестація системи технічного захисту інформації - атестаційні
(первинні,  періодичні)  випробування  захищеності  інформації  на
об'єкті   від   технічних   розвідок  та  спеціальних  впливів  на
відповідність вимогам нормативних документів з технічного  захисту
інформації;     обслуговування системи  технічного  захисту   інформації   на
об'єкті  -  забезпечення  функціонування  згідно з експлуатаційною
документацією  системи  технічного  захисту  інформації  після  її
впровадження;     супроводження системи   технічного   захисту   інформації   в
інформаційній    системі    -   забезпечення   функціонування   та
модернізації  системи  технічного  захисту  інформації  після   її
впровадження в інформаційній системі;     виготовлення засобів    забезпечення    технічного    захисту
інформації  -  технологічна  підготовка,  здійснення серійного або
одиничного виробництва;     закладний пристрій - потай встановлений технічний засіб, який
створює загрозу для інформації.

                 3. Умови провадження діяльності

     Для провадження  діяльності  в  галузі   технічного   захисту
інформації суб'єкт підприємницької діяльності повинен мати:     3.1. Структурний      підрозділ      безпеки      інформації,
укомплектований  не  менше ніж трьома штатними спеціалістами,  які
мають повну вищу освіту  (спеціаліст  або  магістр)  за  напрямком
діяльності,  підвищили  кваліфікацію  з  питань технічного захисту
інформації на курсах  післядипломної  освіти,  отримали  свідоцтво
державного  зразка  та  володіють  практичними навичками виконання
робіт у галузі технічного захисту інформації згідно з нормативними
документами.     3.2. Нормативні  документи  відповідно   до   рекомендованого
Департаментом  переліку  та засоби вимірювань і контролю в обсязі,
достатньому для  проведення  обраного  виду  роботи  з  технічного
захисту інформації.     3.3. Виробничу  базу,  яка  дає  змогу  згідно  з  державними
стандартами України організувати виготовлення засобів забезпечення
технічного захисту інформації  (для  виду  роботи,  визначеного  у
підпункті 1.3.5 цієї Інструкції).     3.4. Відповідний дозвіл на здійснення діяльності,  пов'язаної
з державною таємницею, при цьому не менше трьох провідних фахівців
повинні бути оформлені для  допуску  до  державної  таємниці  (для
отримання  ліцензії  з  правом провадження діяльності з технічного
захисту інформації, яка становить державну таємницю).     3.5. Матеріали,   що   підтверджують  спроможність  виконання
заявником ліцензійних умов провадження обраних видів робіт.     До таких матеріалів належать:     для усіх видів робіт - відомості про суб'єкта підприємницької
діяльності за формою (додається);  довідка про внесення до Єдиного
державного реєстру підприємств та організацій України; відповідний
дозвіл  на  право  здійснення  діяльності,  пов'язаної з державною
таємницею (для отримання ліцензії з правом провадження  діяльності
з технічного захисту інформації, яка становить державну таємницю);     для виду  роботи,  визначеного   у   підпункті   1.3.1   цієї
Інструкції,-    нормативно-правові   акти,   методики   проведення
досліджень   об'єкта   інформаційної   діяльності   (інформаційної
системи),    оцінки    ризику   реалізації   загрози;   розроблені
рекомендації  щодо  організації  (створення)  системи   технічного
захисту інформації об'єкта інформаційної діяльності (інформаційної
системи), документи з питань технічного захисту інформації власної
розробки;     для виду  роботи,  визначеного   у   підпункті   1.3.2   цієї
Інструкції,-  матеріали  приймальних  (атестаційних)  випробувань,
розроблених та  (або)  впроваджених  заявником  систем  технічного
захисту   інформації;   конструкторська  документація  на  системи
захисту, які призначаються для впровадження та обслуговування;     для виду   роботи,   визначеного   у   підпункті  1.3.3  цієї
Інструкції,- короткий технічний опис  системи  технічного  захисту
інформації,  яка розроблена або розробляється заявником;  висновок
органу оцінювання (власна оцінка згідно з нормативними документами
з  технічного  захисту  інформації)  щодо захищеності інформації в
інформаційній  системі,  в   якій   заявник   запровадив   систему
технічного захисту інформації;     для виду  роботи,  визначеного   у   підпункті   1.3.4   цієї
Інструкції,- методики власної розробки виявлення витоку мовної або
видової   інформації   через   закладні   пристрої   на   об'єктах
інформаційної діяльності;     для виду  роботи,  визначеного   у   підпункті   1.3.5   цієї
Інструкції,- матеріали приймальних випробувань проведених розробок
у  галузі  технічного  захисту  інформації  або   аналогічних   за
складністю   із   суміжних   галузей;   матеріали  кваліфікаційних
випробувань засобів,  поставлених на виробництво;  конструкторська
документація на засоби забезпечення технічного захисту інформації,
які передбачено запровадити до виробництва.     3.6. Для  провадження  діяльності,  пов'язаної  з  ввезенням,
вивезенням   засобів   технічного   захисту   інформації   суб'єкт
підприємницької   діяльності   повинен   визначити   партнерів  із
здійснення заявленої діяльності.

                4. Правила провадження діяльності

     При провадженні діяльності відповідно до  одержаної  ліцензії
суб'єкт  підприємницької  діяльності  повинен  дотримуватися таких
правил:     надавати послуги  з  технічного  захисту  інформації  лише за
письмово укладеними господарськими договорами;     виконувати вимоги нормативних документів з технічного захисту
інформації;     використовувати засоби    забезпечення   технічного   захисту
інформації,  які мають сертифікат відповідності вимогам технічного
захисту  інформації  або  тимчасовий  дозвіл  Департаменту  на  їх
застосування;     використовувати метрологічно                       перевірену
контрольно-вимірювальну апаратуру.

             5. Особливі умови провадження діяльності

     5.1. У  залежності  від  важливості  інформації  для   особи,
суспільства,  держави  та  правового  режиму доступу до інформації
встановлюються особливі  умови  провадження  діяльності  в  галузі
технічного захисту інформації:     з наданням права провадження діяльності з технічного  захисту
інформації  усіх видів,  незалежно від того,  де вона циркулює,  в
тому числі інформації, яка становить державну таємницю;     з наданням  права провадження діяльності з технічного захисту
конфіденційної інформації, що не є власністю держави, та відкритої
інформації,  важливої для особи і суспільства,  якщо вона циркулює
поза межами державних органів і установ.     5.2. Виконання    робіт   із   захисту   таємної   інформації
дозволяється  в  межах  терміну  дії   відповідного   дозволу   на
здійснення діяльності, пов'язаної з державною таємницею.     5.3. При виконанні робіт суб'єкт підприємництва  зобов'язаний
терміново   інформувати   Департамент   про   виявлення  закладних
пристроїв на об'єктах,  на яких циркулює інформація,  що становить
державну таємницю, а також у державних органах та установах.     5.4. Право провадження діяльності,  яке надане відповідно  до
цієї Інструкції,  не поширюється на сферу криптографічного захисту
інформації.

        6. Права суб'єктів підприємницької діяльності при
   здійсненні діяльності в галузі технічного захисту
                       інформації

     Суб'єкт підприємницької діяльності при здійсненні  діяльності
в галузі технічного захисту інформації має право:     отримувати інформацію  від  Департаменту  щодо   нормативного
забезпечення діяльності в галузі технічного захисту інформації;     оскаржувати дії   Департаменту   в   порядку,   встановленому
законом.

          7. Контроль за дотриманням ліцензійних умов і
     правил провадження підприємницької діяльності
         в галузі технічного захисту інформації

     7.1. Контроль   за   дотриманням   суб'єктами  підприємництва
ліцензійних умов провадження діяльності та якості виконаних  робіт
у  галузі технічного захисту інформації проводиться Департаментом,
Ліцензійною палатою України  та  її  представництвами  планово  не
більше  одного  разу  на рік,  а також у разі неякісного виконання
робіт,  за рекламацією замовника послуг або для вирішення  питання
щодо поновлення дії ліцензії.     Планова виїзна перевірка суб'єкта підприємницької  діяльності
проводиться  за умови його попереднього письмового повідомлення не
пізніше  ніж  за  десять  календарних  днів  до   дня   зазначеної
перевірки.     7.2. У випадку порушення суб'єктом підприємництва ліцензійних
умов провадження діяльності в галузі технічного захисту інформації
Департамент видає обов'язкові  для  виконання  розпорядження  щодо
усунення   порушень  та  зупиняє  дію  ліцензії  до  усунення  цих
порушень.     У рішенні про зупинення дії ліцензії,  яке видається суб'єкту
підприємництва в письмовій формі, зазначаються підстави зупинення.     Дія ліцензії  поновлюється після усунення виявлених порушень.
Рішення про поновлення дії ліцензії приймається  Департаментом  на
підставі акта перевірки.     7.3. У  разі  повторного  або  грубого  порушення   суб'єктом
підприємництва  ліцензійних  умов  провадження діяльності в галузі
технічного захисту інформації ліцензія може бути анульована.     До грубих порушень належать:     невиконання вимог нормативних документів з технічного захисту
інформації;     застосування на  об'єктах,  діяльність   яких   пов'язана   з
державною   таємницею,  засобів  забезпечення  технічного  захисту
інформації,  які  не  мають  сертифіката   відповідності   вимогам
технічного захисту інформації або тимчасового дозволу Департаменту
на їх застосування;     несвоєчасне інформування Департаменту про виявлення закладних
пристроїв на  об'єктах,  діяльність  яких  пов'язана  з  державною
таємницею.     Рішення про анулювання ліцензії приймається Департаментом  на
підставі акта контрольної перевірки.     У рішенні про анулювання ліцензії, яке видається ліцензіату в
письмовій формі, зазначаються підстави анулювання.     При анулюванні ліцензії  суб'єкт  підприємницької  діяльності
має  право звернутися до Департаменту для отримання нової ліцензії
за умови усунення порушень.

                                        Додаток
                 до пункту 3.5 Інструкції про умови і правила
                 провадження    підприємницької    діяльності
                 (ліцензійні     умови),     пов'язаної     з
                 розробленням,   виготовленням,    ввезенням,
                 вивезенням,   реалізацією  та  використанням
                 засобів  технічного  захисту  інформації,  а
                 також   з   наданням  послуг  із  технічного
                 захисту  інформації,  та  контроль   за   їх
                 дотриманням

                            Відомості
        про суб'єкта підприємницької діяльності

        __________________________________________________
   (найменування суб'єкта підприємницької діяльності)

     I. Загальні відомості——————————————————————————————————————————————————————————————————
| N |                            Відомості                       |
|з/п|                                                            |
|———+————————————————————————————————————————————————————————————|
| 1 |Прізвище, ім'я, по батькові керівника, посада               |
|———+————————————————————————————————————————————————————————————|
| 2 |Реєстраційний номер, дата видачі, термін дії відповідного   |
|   |дозволу на здійснення діяльності, пов'язаної з державною    |
|   |таємницею                                                   |
|———+————————————————————————————————————————————————————————————|
| 3 |Адреса місцезнаходження                                     |
|———+————————————————————————————————————————————————————————————|
| 4 |Номери телефонів та інші види зв'язку                       |
——————————————————————————————————————————————————————————————————

     II. Відомості  про   спеціалістів   структурного   підрозділу
безпеки інформації,  які займаються діяльністю у галузі технічного
захисту інформації——————————————————————————————————————————————————————————————————
| N | Посада |Прізвище, ім'я,|Освіта,      |Відомості про|Форма  |
|з/п|        |по батькові    |спеціальність|підвищення   |допуску|
|   |        |               |             |кваліфікації |       |
|   |        |               |             |у галузі ТЗІ |       |
——————————————————————————————————————————————————————————————————

     III. Відомості про приміщення——————————————————————————————————————————————————————————————————
| N |     Назва      |         Характеристика           |Примітка|
|з/п|   приміщень    |           приміщень              |        |
|   |                |——————————————————————————————————|        |
|   |                |   кількість    |     площа       |        |
——————————————————————————————————————————————————————————————————

     IV. Перелік   та    характеристики    засобів    вимірювання,
обчислювальної техніки, допоміжних засобів——————————————————————————————————————————————————————————————————
| N |      Найменування      |     Тип     |Заводський|Дата      |
|з/п|                        |             |  номер   |останньої |
|   |                        |             |          |перевірки |
——————————————————————————————————————————————————————————————————

     V. Перелік   наявних   нормативно-методичних  документів,  що
забезпечують виконання обраних видів робіт——————————————————————————————————————————————————————————————————
| N |         Найменування         |          Розробник          |
|з/п|                              |                             |
——————————————————————————————————————————————————————————————————

                                                 (підпис заявника)

 "Офіційний вісник України" 1998, N 43, стор.88
 Код нормативного акта: 6233/1998