що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято розпорядником інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.
Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято розпорядником інформації.
17. Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи.
18. Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації (далі – СЗІ), яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію КСЗІ, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.
СЗІ утворюється згідно з рішенням керівника організації, що є власником (розпорядником) системи.
У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист інформації може здійснюватися однією особою.
19. Захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до розробленого СЗІ плану захисту інформації в системі.
План захисту інформації в системі містить:
– завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;
– визначення моделі загроз для інформації в системі;
– основні вимоги щодо захисту інформації та правила доступу до неї в системі;
– перелік документів, згідно з якими здійснюється захист інформації в системі;
– перелік і строки виконання робіт службою захисту інформації.
20. Вимоги та порядок створення КСЗІ встановлюються Адміністрацією Держспецзв'язку (далі – Адміністрація).
Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або КСЗІ.
21. У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту.
22. Порядок проведення державної експертизи системи захисту, державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.
Органи виконавчої влади, які мають дозвіл на провадження діяльності з технічного захисту інформації для власних потреб, вправі за згодою департаменту організовувати