.png)
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
НАКАЗ
м. Київ
| 19.08.2020 | N 483 |
|---|
Про внесення змiн до Положення про державну
експертизу у сферi технiчного захисту iнформацiї
| Зареєстровано в Мiнiстерствi юстицiї України 12 жовтня 2020 р. за N 995/35278 |
Вiдповiдно до статтi 3 Закону
України "Про Державну службу спецiального
зв'язку та захисту iнформацiї України",
Положення про Адмiнiстрацiю Державної служби
спецiального зв'язку та захисту iнформацiї
України, затвердженого постановою
Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року
N 411, з метою удосконалення системи
технiчного захисту iнформацiї наказую:
1. Внести змiни до Положення про державну експертизу у сферi технiчного захисту iнформацiї, затвердженого наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16 травня 2007 року N 93, зареєстрованого в Мiнiстерствi юстицiї України 16 липня 2007 року N 820/14087 (у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 13 жовтня 2017 року N 565), виклавши його в новiй редакцiї, що додається.
2. Департаменту захисту iнформацiї Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України забезпечити подання цього наказу в установленому порядку на державну реєстрацiю до Мiнiстерства юстицiї України.
3. Контроль за виконанням цього наказу залишаю за собою.
4. Цей наказ набирає чинностi з дня його офiцiйного опублiкування.
| Голова Служби пiдполковник | Ю. Щиголь |
| ПОГОДЖЕНО: | |
| Голова Антимонопольного Комiтету України | Ю. Терентьєв |
| Т. в. о. Мiнiстра освiти i науки України | Л. Мандзiй |
| Перший заступник Мiнiстра цифрової трансформацiї України | О. Вискуб |
| В. о. Голови Державної регуляторної служби України | В. Загороднiй |
| ЗАТВЕРДЖЕНО Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України 16 травня 2007 року N 93 (у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 19 серпня 2020 року N 483) |
|
| Зареєстровано в Мiнiстерствi юстицiї України 12 жовтня 2020 р. за N 995/35278 |
ПОЛОЖЕННЯ
про державну експертизу у сферi технiчного
захисту iнформацiї
I. Загальнi положення
1. Це Положення розроблено вiдповiдно до Законiв України "Про Державну службу спецiального зв'язку та захисту iнформацiї України", "Про наукову i науково-технiчну експертизу", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах", "Про iнформацiю", постанови Кабiнету Мiнiстрiв України вiд 29 березня 2006 року N 373 "Про затвердження Правил забезпечення захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах", актiв нормативно-технiчного характеру з технiчного захисту iнформацiї i визначає порядок проведення експертизи у сферi технiчного захисту iнформацiї.
2. Державна експертиза у сферi технiчного захисту iнформацiї (далi - експертиза) проводиться з метою дослiдження, перевiрки, аналiзу та оцiнки об'єктiв експертизи щодо їх вiдповiдностi вимогам нормативних документiв iз технiчного захисту iнформацiї та можливостi їх використання для забезпечення технiчного захисту iнформацiї (далi - ТЗI).
3. Дiя цього Положення поширюється на всiх юридичних та фiзичних осiб, якi є суб'єктами експертизи.
Суб'єктами експертизи є:
юридичнi та фiзичнi особи - власники (розпорядники) iнформацiйних, телекомунiкацiйних, iнформацiйно-телекомунiкацiйних систем; апаратних, апаратно-програмних i програмних засобiв, якi реалiзують функцiї ТЗI; органiзацiйно-технiчних рiшень - замовники експертизи (далi - Замовники);
Адмiнiстрацiя Держспецзв'язку;
територiальнi органи Адмiнiстрацiї Держспецзв'язку;
навчальнi заклади, науково-дослiднi, науково-виробничi установи, пiдприємства, установи та органiзацiї, якi проводять експертизу (далi - Органiзатори);
державнi органи, якi проводять експертизу у сферi свого управлiння;
фiзичнi особи, якi на постiйнiй або професiйнiй основi здiйснюють дiяльнiсть, пов'язану з наданням експертних послуг - виконавцi експертних робiт з ТЗI (далi - Експерти).
4. Об'єктами експертизи є:
комплекснi системи захисту iнформацiї (далi - КСЗI), якi є невiд'ємною складовою iнформацiйної, телекомунiкацiйної або iнформацiйно-телекомунiкацiйної системи (далi - IТС);
апаратнi, апаратно-програмнi i програмнi засоби, якi реалiзують функцiї ТЗI та/або оцiнки стану захисту iнформацiї (далi - засоби ТЗI);
органiзацiйно-технiчне рiшення для впровадження типової компоненти КСЗI в IТС - задокументоване унiфiковане рiшення для багаторазового розгортання складових КСЗI в IТС, самодостатнє для вирiшення певного завдання, що включає проєктнi рiшення програмно-технiчного комплексу, органiзацiйно-технiчнi рiшення щодо регламенту функцiонування типової компоненти IТС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗI в IТС (далi - ОТР КСЗI).
5. Експертиза КСЗI, засобiв ТЗI та ОТР КСЗI є процедурою пiдтвердження вiдповiдностi КСЗI, засобiв ТЗI та ОТР КСЗI вимогам нормативних документiв iз ТЗI.
Експертиза КСЗI проводиться шляхом експертних випробувань або шляхом аналiзу декларацiї.
Експертиза засобiв ТЗI та ОТР КСЗI проводиться шляхом експертних випробувань.
6. Експертиза КСЗI шляхом аналiзу декларацiї може проводитися у випадках, якщо:
1) КСЗI створено у складi IТС:
яка є одномашинним однокористувачевим комплексом, який обробляє iнформацiю одного або кiлькох ступенiв обмеження доступу;
у кожний момент часу з якою може працювати тiльки один користувач, хоч у загальному випадку осiб, що мають доступ до комплексу, може бути декiлька;
у якiй для захисту iнформацiї вiд несанкцiонованого доступу використовуються засоби, що мають чинний на момент подання декларацiї позитивний експертний висновок за результатами державної експертизи у сферi ТЗI;
у якiй для антивiрусного захисту використовуються засоби, що мають чинний на момент подання декларацiї позитивний експертний висновок за результатами державної експертизи у сферi ТЗI;
у якiй впровадження заходiв захисту iнформацiї вiд витоку технiчними каналами (у разi потреби створення комплексу ТЗI) засвiдчено зареєстрованим у встановленому порядку актом атестацiї комплексу ТЗI;
2) КСЗI в IТС створено на основi ОТР КСЗI, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сферi ТЗI та має у складi документацiї форму декларацiї для цiєї КСЗI, яка погоджена Адмiнiстрацiєю Держспецзв'язку.
У всiх iнших випадках експертиза КСЗI в IТС проводиться шляхом експертних випробувань.
7. Експертиза може бути первинною, додатковою та контрольною.
Первинна експертиза є основним видом експертизи i передбачає виконання Органiзатором заходiв, визначених у роздiлi II цього Положення, для пiдготовки та прийняття рiшення щодо об'єкта експертизи.
Додаткова експертиза проводиться стосовно об'єктiв експертизи, щодо яких вiдкрилися новi науковi та науково-технiчнi обставини, а також у зв'язку iз закiнченням строку дiї документiв, що засвiдчують результати експертизи.
Контрольна експертиза проводиться iншим Органiзатором з iнiцiативи Замовника у разi наявностi у нього обґрунтованих претензiй до висновку первинної чи додаткової експертизи або з iнiцiативи Адмiнiстрацiї Держспецзв'язку для перевiрки висновку первинної чи додаткової експертизи.
8. Для органiзацiї та проведення експертизи Адмiнiстрацiя Держспецзв'язку:
розглядає заяви Замовникiв про проведення експертизи КСЗI в ITC, засобiв ТЗI та ОТР КСЗI;
приймає рiшення щодо можливостi й доцiльностi проведення експертизи, призначає проведення первинної, додаткової експертизи, а у разi потреби перевiрки їх висновку - контрольної експертизи;
надає Замовникам та Органiзаторам методичну допомогу стосовно порядку та органiзацiї проведення експертизи, оформлення документiв за результатами проведення експертизи;
у разi проведення експертизи засобу ТЗI приймає рiшення щодо необхiдностi вiдбору зразкiв для проведення експертних випробувань;
за результатами розгляду звернення Замовника або Органiзатора, або правоохоронних органiв на пiдставi викладених у зверненнi обставин приймає рiшення щодо участi представникiв Адмiнiстрацiї Держспецзв'язку при проведеннi експертних випробувань для забезпечення вiдповiдностi процесу проведення державної експертизи вимогам нормативних документiв у сферi захисту iнформацiї;
здiйснює контроль за проведенням Органiзатором експертних випробувань та за дотриманням вимог щодо експлуатацiї об'єкта експертизи, якi впливають на захищенiсть iнформацiї;
розглядає протоколи експертних випробувань та експертнi висновки, наданi Органiзатором;
приймає рiшення щодо затвердження або необхiдностi доопрацювання результатiв експертизи;
приймає рiшення про реєстрацiю декларацiї за результатами експертизи КСЗI в IТС шляхом аналiзу декларацiї;
реєструє, зупиняє дiю або скасовує експертнi висновки на засоби ТЗI, ОТР КСЗI, атестати вiдповiдностi КСЗI;
реєструє або скасовує декларацiї, у тому числi рiшення щодо реєстрацiї яких було прийнято територiальними органами Адмiнiстрацiї Держспецзв'язку.
9. Для органiзацiї та проведення експертизи територiальний орган Адмiнiстрацiї Держспецзв'язку приймає рiшення про реєстрацiю декларацiї за результатами експертизи КСЗI в IТС шляхом аналiзу декларацiї.
II. Порядок органiзацiї та проведення експертизи
1. З метою органiзацiї та проведення експертиз, координацiї заходiв i прийняття рiшень щодо проведення експертиз в Адмiнiстрацiї Держспецзв'язку створюється експертна рада з питань державної експертизи у сферi технiчного захисту iнформацiї (далi - Експертна рада).
2. З метою проведення експертизи КСЗI в IТС шляхом аналiзу декларацiї в територiальних органах Адмiнiстрацiї Держспецзв'язку створюється експертна комiсiя з питань державної експертизи у сферi технiчного захисту iнформацiї (далi - Експертна комiсiя).
3. Для проведення експертизи шляхом експертних випробувань Замовник надсилає на iм'я Голови Держспецзв'язку (крiм випадкiв, передбачених роздiлом IV цього Положення) заяву про проведення первинної / додаткової / контрольної експертизи КСЗI в IТС згiдно з додатком 1, заяву про проведення первинної / додаткової / контрольної експертизи ОТР КСЗI згiдно з додатком 2, заяву про проведення первинної / додаткової / контрольної експертизи засобу ТЗI згiдно з додатком 3 з наданням пропозицiї щодо Органiзатора. До заяви про проведення експертизи КСЗI в IТС та ОТР КСЗI додається технiчне завдання на їх створення.
Для проведення експертизи КСЗI в IТС шляхом аналiзу декларацiї (крiм випадкiв, передбачених роздiлом IV цього Положення) Замовник надсилає декларацiю про вiдповiднiсть КСЗI вимогам нормативних документiв iз ТЗI згiдно з додатком 4, формуляр IТС, акт про завершення робiт зi створення КСЗI:
до Адмiнiстрацiї Держспецзв'язку - на iм'я Голови Держспецзв'язку для IТС, якi розташовано за територiальною ознакою у мiстi Києвi i Київськiй областi;
до вiдповiдного територiального органу Адмiнiстрацiї Держспецзв'язку - на iм'я керiвника територiального органу Держспецзв'язку за мiсцезнаходженням IТС.
Для проведення експертизи КСЗI в IТС шляхом аналiзу декларацiї, яка створена на основi ОТР КСЗI та пiдпадає пiд дiю пiдпункту 2 пункту 6 роздiлу I цього Положення, Замовник надсилає до Адмiнiстрацiї Держспецзв'язку декларацiю та додатки до неї згiдно iз вимогами ОТР КСЗI.
4. За результатами аналiзу декларацiї i поданих разом iз нею документiв Експертна рада (Експертна комiсiя) приймає рiшення про реєстрацiю декларацiї. Зареєстровану декларацiю та iншi поданi документи Адмiнiстрацiя Держспецзв'язку (її територiальний орган) повертає Замовнику.
5. У разi неподання документiв, зазначених у пунктi 3 цього роздiлу, неповноти наданих у них вiдомостей або невiдповiдностi порядку створення КСЗI вимогам нормативних документiв iз ТЗI Адмiнiстрацiя Держспецзв'язку (територiальний орган Адмiнiстрацiї Держспецзв'язку) письмово повiдомляє Замовника про вiдмову в реєстрацiї декларацiї, причини, через якi реєстрацiя не є можливою, та повертає декларацiю i поданi з нею документи на доопрацювання. Пiсля усунення причин, що стали пiдставою для вiдмови у реєстрацiї декларацiї, Замовник надсилає для повторного розгляду до Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку) доопрацьовану декларацiю i документи, якi подаються разом з нею.
6. Зареєстрована декларацiя або атестат вiдповiдностi КСЗI скасовуються Адмiнiстрацiєю Держспецзв'язку в разi внесення змiн до КСЗI, не передбачених техноробочим проєктом на КСЗI, та/або порушення вимог з експлуатацiї КСЗI.
7. Строк дiї зареєстрованої декларацiї є необмеженим, крiм декларацiй на КСЗI в IТС, якi створено на основi ОТР КСЗI, строк дiї якої встановлюється вимогами ОТР КСЗI (але не бiльше нiж 5 рокiв).
8. За результатами розгляду заяви Експертна рада приймає рiшення про доцiльнiсть проведення експертизи та визначає її Органiзатора з урахуванням пропозицiї Замовника.
9. Про рiшення Експертної ради Замовнику та Органiзатору надсилається письмове повiдомлення.
10. У разi наявностi у Замовника обґрунтованих претензiй щодо порядку проведення або результатiв експертизи вiн може звернутися до Адмiнiстрацiї Держспецзв'язку з пропозицiєю щодо здiйснення контролю за проведенням Органiзатором експертних випробувань або iз заявою на iм'я Голови Держспецзв'язку про проведення контрольної експертизи (додаток 1).
11. Основним документом, що регламентує вiдносини мiж Замовником i Органiзатором, є укладений мiж ними договiр на проведення експертизи.
12. Витрати, пов'язанi з проведенням експертизи, здiйснюються на пiдставi договору вiдповiдно до законодавства України.
13. Строк проведення експертизи визначається договором.
14. Кiлькiсть i персональний склад експертiв, якi залучаються до виконання експертних робiт, визначає Органiзатор.
15. Замовник надає Органiзатору комплект технiчної документацiї на об'єкт експертизи, необхiдної для проведення експертних випробувань.
16. Органiзатор за результатами аналiзу наданих документiв та з урахуванням загальних методик оцiнювання задекларованих характеристик засобiв ТЗI, ОТР КСЗI та КСЗI формує програму i методику проведення експертизи об'єкта, здiйснює вiдбiр зразкiв засобiв ТЗI та складає перелiк необхiдного програмно-технiчного забезпечення для проведення випробувань.
17. Програма проведення експертизи погоджується iз Замовником.
18. Пiд час проведення експертизи кожний Експерт виконує експертнi роботи тiльки за дорученням Органiзатора та вiдповiдно до визначеної методики.
19. У проведеннi експертизи за вiдповiдним рiшенням Адмiнiстрацiї Держспецзв'язку як спостерiгачi мають право брати участь представники Адмiнiстрацiї Держспецзв'язку.
20. Результати роботи оформлюються у виглядi протоколу виконання робiт вiдповiдно до методики експертизи КСЗI (ОТР КСЗI або засобу ТЗI) згiдно з додатком 5 за пiдписом Експертiв, якi її виконували. Протокол виконання робiт затверджує Органiзатор.
21. Узгодження результатiв окремих робiт мiж Експертом та Органiзатором, а також унесення змiн до протоколу виконання робiт пiсля його оформлення не дозволяються.
22. У протоколi виконання робiт можуть бути зафiксованi особливi думки Експертiв вiдносно результатiв виконаних робiт.
23. У разi виявлення невiдповiдностi об'єкта експертизи вимогам нормативних документiв з ТЗI Органiзатор може запропонувати Замовнику виконати доопрацювання.
24. Строк доопрацювання об'єкта експертизи визначається спiльним протоколом або додатковою угодою до договору мiж Замовником та Органiзатором.
25. Вiдомостi щодо всiх доопрацювань, а також результати додаткових експертних робiт оформлюються окремими протоколами.
26. Результати робiт, визначених методикою, узагальнює Органiзатор в Експертному висновку.
27. Висновки щодо кожного пункту методики, а також особливi думки Експертiв, зафiксованi в протоколi виконання робiт, вносяться до Експертного висновку як складовi частини без унесення до них будь-яких змiн.
28. За результатами проведених робiт Органiзатор складає:
експертний висновок згiдно з додатком 6 та в разi позитивних результатiв експертної оцiнки - атестат вiдповiдностi згiдно з додатком 7 на КСЗI;
експертний висновок згiдно з додатком 8 на засiб ТЗI;
експертний висновок згiдно з додатком 9 на ОТР КСЗI.
Зазначенi документи, що пiдтверджують вiдповiднiсть вимогам нормативних документiв iз ТЗI, засвiдчуються Органiзатором i разом з програмою, методикою та протоколами виконання робiт подаються до Адмiнiстрацiї Держспецзв'язку (в тому числi в електронному виглядi у форматi.pdf).
Експертний висновок повинен мiстити:
загальнi вiдомостi щодо об'єкта експертизи (тип, мiсце розташування, власник);
загальну характеристику об'єкта експертизи (призначення, функцiї, можливостi щодо вирiшення певних завдань захисту iнформацiї);
перелiк нормативних документiв iз ТЗI, на вiдповiднiсть вимогам яких здiйснюється оцiнка об'єкта експертизи;
назви програми та методики, згiдно з якими здiйснювалася оцiнка об'єкта експертизи, ким розробленi та затвердженi, реєстрацiйний номер та дату затвердження;
перелiк документiв i специфiкацiй програмних та технiчних засобiв ТЗI, якi надано Замовником Органiзатору;
перелiк засобiв ТЗI (iз зазначенням їх типiв, заводських номерiв, року випуску), якi надав Замовник Органiзатору (у разi проведення експертизи засобiв ТЗI);
результати робiт щодо кожного пункту програми проведення експертизи об'єкта;
розгорнутий висновок щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв iз ТЗI;
сферу використання (вимоги до умов експлуатацiї) об'єкта експертизи;
строк дiї експертного висновку;
особливi думки експертiв, зафiксованi в протоколах виконання робiт.
29. Строк дiї атестата вiдповiдностi КСЗI, експертного висновку на засiб ТЗI або ОТР КСЗI визначає Органiзатор:
для атестата вiдповiдностi КСЗI автоматизованої системи класу 1 - безстроковий;
для атестата вiдповiдностi КСЗI автоматизованої системи класiв 2, 3 - до 5 рокiв;
для експертного висновку на засiб ТЗI - до 3 рокiв;
для експертного висновку на ОТР КСЗI - до 5 рокiв.
30. Строк дiї атестата вiдповiдностi КСЗI або експертного висновку на ОТР КСЗI визначається з урахуванням складностi архiтектури IТС та засобiв захисту, якi використовуються при побудовi КСЗI.
III. Порядок надання i скасування експертного висновку та атестата вiдповiдностi КСЗI
1. Експертний висновок для засобiв ТЗI/ОТР КСЗI розглядається Експертною радою i у разi затвердження результатiв експертизи реєструється та повертається Органiзатору.
2. Експертний висновок КСЗI в IТС розглядається Експертною радою i у разi його затвердження реєструється атестат вiдповiдностi, який повертається Органiзатору.
3. Адмiнiстрацiя Держспецзв'язку може зупинити дiю, скасувати експертний висновок та/або атестат вiдповiдностi КСЗI в разi:
1) отримання вiдповiдної заяви власника експертного висновку або атестата вiдповiдностi КСЗI (складається у довiльнiй формi на iм'я Голови Держспецзв'язку iз зазначенням реєстрацiйного номера Експертного висновку або атестата вiдповiдностi КСЗI);
2) наявностi фактiв внесення змiн до КСЗI, не передбачених техноробочим проєктом на КСЗI, та/або порушення вимог з експлуатацiї КСЗI;
3) наявностi фактiв порушення вимог щодо технологiї виготовлення, правил приймання, методiв контролю та випробувань, змiни конструкцiї (складу) та комплектностi засобiв ТЗI або iнших вiдомостей, узгоджених пiд час проведення експертизи;
4) наявностi фактiв правопорушення у сферi наукової i науково-технiчної експертизи вiдповiдно до Закону України "Про наукову i науково-технiчну експертизу";
5) якщо висновки експертизи, за результатами якої зареєстровано експертний висновок та/або атестат вiдповiдностi КСЗI, суперечать вимогам чинних нормативно-правових актiв у сферi ТЗI;
6) наявностi персональних спецiальних економiчних та iнших обмежувальних заходiв (санкцiй) до Замовникiв, якi унеможливлюють використання засобiв ТЗI/КСЗI в обсязi, визначеному експертним висновком та/або атестатом вiдповiдностi КСЗI.
4. Факти внесення змiн до КСЗI, не передбачених техноробочим проєктом на КСЗI, та/або порушення вимог з експлуатацiї КСЗI пiдтверджуються:
протоколами та експертними висновками контрольної експертизи;
актами державного контролю за станом технiчного захисту iнформацiї;
актами оцiнки стану захищеностi державних iнформацiйних ресурсiв в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах.
5. Факти порушення вимог щодо технологiї виготовлення, правил приймання, методiв контролю та випробувань, змiни конструкцiї (складу) та комплектностi засобiв ТЗI, узгодженi пiд час проведення експертизи, пiдтверджуються протоколами та експертними висновками контрольної експертизи.
6. Рiшення про зупинення дiї експертного висновку та/або атестата вiдповiдностi КСЗI приймається у разi, якщо пiсля вжиття погоджених з Адмiнiстрацiєю Держспецзв'язку коригувальних заходiв, спрямованих на усунення виявлених недолiкiв, власник експертного висновку та/або атестата вiдповiдностi КСЗI без проведення додаткової експертизи може пiдтвердити вiдповiднiсть засобiв ТЗI/ОТР КСЗI/КСЗI вимогам нормативних документiв у сферi захисту iнформацiї. В iншому випадку експертний висновок та/або атестат вiдповiдностi КСЗI скасовуються.
7. Iнформацiя про рiшення щодо зупинення дiї, скасування експертного висновку та/або атестата вiдповiдностi КСЗI та про скасування декларацiї не пiзнiше нiж через сiм робочих днiв надсилається Замовнику iз зазначенням вiдповiдних пiдстав (крiм випадкiв зазначених у пунктi 9 цього роздiлу).
8. Рiшення Адмiнiстрацiї Держспецзв'язку може бути оскаржене до суду.
9. У разi настання змiн, якi впливають на реалiзацiю оцiнених при проведеннi експертизи КСЗI заходiв захисту iнформацiї та/або призводять до втрати актуальностi цих заходiв, але не рiдше, нiж раз на п'ять рокiв з дати реєстрацiї декларацiї або атестата вiдповiдностi з безстроковим строком дiї, власник IТС надсилає до Адмiнiстрацiї Держспецзв'язку повiдомлення про стан функцiонування КСЗI згiдно з додатком 10.
У разi неподання до Адмiнiстрацiї Держспецзв'язку повiдомлення про стан функцiонування КСЗI або невiдповiдностi повiдомлення встановленому зразку (додаток 10) реєстрацiя декларацiї або атестата вiдповiдностi з безстроковим строком дiї вважається скасованою.
IV. Особливостi проведення експертиз КСЗI державними органами, якi проводять роботи з ТЗI для власних потреб
1. Державнi органи, якi мають дозвiл Адмiнiстрацiї Держспецзв'язку на проведення робiт з ТЗI для власних потреб, можуть проводити роботи з органiзацiї та проведення первинних або додаткових експертиз КСЗI в IТС (крiм контрольних експертиз) шляхом експертних випробувань та аналiзу декларацiй у сферi свого управлiння.
2. Порядок проведення експертизи КСЗI в IТС погоджується з Адмiнiстрацiєю Держспецзв'язку.
V. Особливостi проведення експертиз засобiв ТЗI
1. Для проведення експертизи засобу ТЗI разом iз заявою про проведення експертизи засобу ТЗI (додаток 3) Замовник надає документи, що пiдтверджують його право на володiння та/або користування та/або розпорядження засобом ТЗI.
2. Експертиза апаратних засобiв ТЗI проводиться з метою оцiнки вiдповiдностi їх спецiальних властивостей (технiчних характеристик) вимогам нормативних документiв iз ТЗI в обсязi, визначеному у технiчному завданнi (технiчних умовах або технiчних вимогах) на засiб ТЗI.
Експертиза може проводитися для одиночного засобу ТЗI, для партiї засобiв ТЗI або за iнiцiативою Замовника для засобiв ТЗI, що мають бути виготовленi протягом термiну дiї експертного висновку.
Процедуру вiдбору та iдентифiкацiї зразкiв апаратних засобiв ТЗI проводить Органiзатор у присутностi представникiв Замовника та у разi прийняття Адмiнiстрацiєю Держспецзв'язку рiшення щодо такої необхiдностi - представникiв Адмiнiстрацiї Держспецзв'язку.
При проведеннi експертизи партiї засобiв ТЗI або засобiв ТЗI, що мають бути виготовленi протягом термiну дiї експертного висновку, здiйснюється вiдбiр не менше нiж двох зразкiв засобiв ТЗI.
Для iдентифiкацiї апаратних засобiв ТЗI застосовується їх заводський номер. Визначенi iдентифiкатори апаратних засобiв ТЗI фiксуються у протоколах та експертних висновках.
При проведеннi експертизи апаратних засобiв ТЗI, що мають бути виготовленi протягом термiну дiї експертного висновку, Експерти повиннi також провести обстеження виробництва з метою перевiрки наявностi умов, якi забезпечують виготовлення засобiв ТЗI з властивостями (технiчними характеристиками), що вiдповiдатимуть вимогам нормативних документiв iз ТЗI, в обсязi, зазначеному в технiчному завданнi (технiчних умовах, технiчних вимогах) на цi засоби ТЗI, та дiйти висновку щодо можливостi розповсюдження дiї експертного висновку на засоби ТЗI, що будуть виготовлятися протягом термiну дiї цього експертного висновку.
3. Експертиза програмних засобiв ТЗI може проводиться з метою:
оцiнки вiдповiдностi програмного засобу ТЗI нормативним документам iз ТЗI в частинi вимог щодо захисту iнформацiї вiд несанкцiонованого доступу;
дослiдження на наявнiсть недокументованих функцiй (функцiї програмних засобiв, якi не прописанi i не вiдповiдають прописаним в документацiї, пiд час використання яких можливе порушення конфiденцiйностi, доступностi або цiлiсностi оброблюваної iнформацiї).
Процедури вiдбору та iдентифiкацiї програмних засобiв ТЗI проводить Органiзатор у присутностi представника Замовника. Для iдентифiкацiї програмних засобiв ТЗI (їх складових частин) застосовується номер версiї програмної реалiзацiї засобу ТЗI та значення його геш-функцiй. Для обчислення значень геш-функцiй повинно використовуватися програмне забезпечення, яке має позитивний експертний висновок в сферi криптографiчного захисту iнформацiї. Визначенi iдентифiкатори програмних засобiв ТЗI фiксуються у протоколах та експертних висновках.
Експертиза оновлень програмних засобiв ТЗI, що мають чиннi експертнi висновки, проводиться загальним порядком.
4. Експертиза апаратно-програмних засобiв ТЗI може проводитися з метою:
оцiнки вiдповiдностi спецiальних властивостей (технiчних характеристик) апаратно-програмного засобу ТЗI вимогам нормативних документiв iз ТЗI в обсязi, визначеному в технiчному завданнi (технiчних умовах або технiчних вимогах) на апаратно-програмний засiб ТЗI;
оцiнки вiдповiдностi спецiальних (призначених для реалiзацiї полiтики безпеки iнформацiї) програмних компонентiв апаратно-програмного засобу ТЗI нормативним документам iз ТЗI в частинi вимог щодо захисту iнформацiї вiд несанкцiонованого доступу;
дослiдження на наявнiсть недокументованих функцiй.
Процедура iдентифiкацiї зразкiв апаратно-програмних засобiв ТЗI визначається Адмiнiстрацiєю Держспецзв'язку з урахуванням особливостей та експлуатацiйних характеристик засобiв ТЗI.
Експертиза апаратно-програмних засобiв ТЗI з метою оцiнки вiдповiдностi їх спецiальних властивостей (технiчних характеристик) вимогам нормативних документiв iз ТЗI може проводитися для одиночного засобу ТЗI, для партiї засобiв ТЗI та для засобiв ТЗI, якi будуть виготовлятися протягом термiну дiї експертного висновку у порядку, визначеному для апаратних засобiв ТЗI.
Експертиза апаратно-програмних засобiв ТЗI з метою оцiнки вiдповiдностi спецiальних (призначених для реалiзацiї полiтики безпеки iнформацiї) програмних компонентiв апаратно-програмних засобiв ТЗI нормативним документам iз ТЗI в частинi вимог щодо захисту iнформацiї вiд несанкцiонованого доступу та/або дослiдження на наявнiсть недокументованих функцiй проводиться у порядку, визначеному для програмних засобiв ТЗI.
5. У разi проведення експертизи засобу ТЗI на вiдповiднiсть критерiям оцiнки захищеностi iнформацiї вiд несанкцiонованого доступу на титульному аркушi експертного висновку зазначається функцiональний профiль захисту, що реалiзується цим засобом ТЗI, з вiдповiдним рiвнем гарантiї.
| Директор Департаменту захисту iнформацiї Адмiнiстрацiї Держспецзв'язку | I. Стельник |
| Додаток 1 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II) |
|
| Головi Державної служби спецiального
зв'язку та захисту iнформацiї України _______________________ |
ЗАЯВА
 |
||
| (первинної / додаткової / контрольної) |
| захисту iнформацiї в iнформацiйно-телекомунiкацiйнiй системi |
| |
, |
| (найменування IТС) |
| |
|
| (найменування органiзацiї (пiдприємства, установи) - | |
| |
|
| власника (розпорядника) IТС, код ЄДРПОУ, мiсцезнаходження) | |
| |
|
| (найменування органiзацiї | |
| |
|
| (пiдприємства, установи), код ЄДРПОУ, N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI) | |
Додатки: |
| Замовник експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| ___ ____________ ______ (дата) |
| Додаток 2 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II) |
|
| Головi Державної служби спецiального
зв'язку та захисту iнформацiї України _______________________ |
ЗАЯВА
| |
||
| (первинної / додаткової / контрольної) |
| рiшення комплексної системи захисту iнформацiї |
| |
, |
| (найменування ОТР КСЗI) |
| |
|
| (найменування органiзацiї (пiдприємства, установи) - | |
| |
|
| власника (розпорядника) ОТР КСЗI, код ЄДРПОУ, мiсцезнаходження) | |
| |
|
| (найменування органiзацiї | |
| |
|
| (пiдприємства,установи), код ЄДРПОУ, N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI) | |
Додатки: |
| Замовник експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| ___ ____________ ______ (дата) |
| Додаток 3 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II) |
|
| Головi Державної служби спецiального
зв'язку та захисту iнформацiї України _______________________ |
ЗАЯВА
| |
||
| (первинної / додаткової / контрольної) |
| |
, | |
| (найменування засобу технiчного захисту iнформацiї) |
| наданого | |
| (найменування органiзацiї (пiдприємства, установи) - замовника | |
| |
|
| експертизи, код ЄДРПОУ, мiсцезнаходження) | |
| Необхiднiсть проведення експертизи обумовлена: |
| |
| |
| |
| |
|
| (найменування органiзацiї | |
| |
|
| (пiдприємства,установи), код ЄДРПОУ, N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI) | |
Додатки: |
| Замовник експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| ___ ____________ ______ (дата) |
| Додаток 4 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II) |
СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ
ДЕКЛАРАЦIЯ
про вiдповiднiсть КСЗI вимогам нормативних
документiв iз технiчного захисту iнформацiї
Зареєстровано в Адмiнiстрацiї Державної
служби спецiального зв'язку та захисту iнформацiї
України
|
| |
| (найменування органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище |
| |
| фiзичної особи - власника (розпорядника) IТС, код ЄДРПОУ, мiсцезнаходження) |
| |
|
| (посада, власне iм'я, прiзвище керiвника органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище фiзичної особи - власника (розпорядника) IТС) |
| пiдтверджує, що комплексна система захисту iнформацiї |
| |
, |
| (повне найменування IТС) |
| яка розташована |
| |
, |
| (адреса мiсцезнаходження IТС) |
| |
||
| (вид iнформацiї за порядком доступу) |
нормативних документiв iз технiчного
захисту iнформацiї. |
| Керiвник органiзацiї (пiдприємства, установи) або фiзична особа - власник (розпорядник) IТС | _____________ (пiдпис) |
________________________ (власне iм'я, прiзвище) |
Додаток до Декларацiї про
вiдповiднiсть КСЗI вимогам нормативних документiв
iз ТЗI |
| |
| (повне найменування IТС) |
| |
| |
||
| (вид iнформацiї за порядком доступу) |
нормативних документiв iз технiчного
захисту iнформацiї в обсязi функцiй, зазначених у
технiчному завданнi N _____________________________________ |
| |
| (повнi найменування документiв, реєстрацiйнi номери) |
| Вiдповiдальний за захист iнформацiї в IТС |
| ___________________________ (посада) |
_____________ (пiдпис) |
________________________ (власне iм'я, прiзвище) |
| Додаток 5 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 20 роздiлу II) |
|||
| ЗАТВЕРДЖУЮ | |||
| |
|||
| (посада керiвника органiзатора експертизи) | |||
| |
|
||
| (пiдпис) | (власне iм'я, прiзвище) | ||
|
|||
ПРОТОКОЛ ВИКОНАННЯ РОБIТ
вiдповiдно до методики експертизи комплексної
системи захисту iнформацiї
(органiзацiйно-технiчного рiшення для створення
комплексної системи захисту iнформацiї або
засобу технiчного захисту iнформацiї)
| 1. Змiст методики експертизи об'єкта |
| |
| |
2. Перелiк документiв i специфiкацiй апаратних, апаратно-програмних i програмних засобiв, наданих Замовником експертизи для виконання робiт |
| |
| |
| 3. Результати робiт щодо методики експертизи об'єкта |
| |
| |
4. Висновок щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв iз технiчного захисту iнформацiї в обсязi функцiй, зазначених у технiчному завданнi (технiчних вимогах) |
| |
| |
| 5. Особлива думка Експерта |
| |
| |
| Експерт | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| ___ ____________ ______ (дата) |
| Додаток 6 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II) |
Додаток до Атестата вiдповiдностi вiд
|
ЕКСПЕРТНИЙ ВИСНОВОК
| Результати експертизи свiдчать, що комплексна система захисту iнформацiї |
| |
, |
| (найменування IТС) |
| |
|
| (найменування органiзацiї (пiдприємства, | |
| |
|
| установи) - власника (розпорядника), код ЄДРПОУ, мiсцезнаходження) | |
| |
|
| (вiдповiдає/не вiдповiдає) | |
вимогам нормативних документiв iз
технiчного захисту iнформацiї в обсязi функцiй,
зазначених у технiчному завданнi N ___________________. |
| Керiвник органiзатора експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| Додаток 7 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II) |
СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ
АТЕСТАТ ВIДПОВIДНОСТI
Зареєстровано в Адмiнiстрацiї Державної
служби спецiального зв'язку та захисту iнформацiї
України
|
| |
| (найменування державного органу / органiзацiї / пiдприємства / установи, яким видано Атестат) |
| засвiдчує, що комплексна система захисту iнформацiї |
| |
, |
| (найменування IТС) |
| |
|
| (найменування державного органу (органiзацiї, пiдприємства, установи) |
| |
, |
| - власника (розпорядника) IТС, код ЄДРПОУ, мiсцезнаходження) |
забезпечує захист iнформацiї
вiдповiдно до вимог нормативних документiв iз
технiчного захисту iнформацiї. |
| Керiвник органiзатора експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| Додаток 8 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II) |
СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ
ЕКСПЕРТНИЙ ВИСНОВОК
Зареєстровано в Адмiнiстрацiї Державної
служби спецiального зв'язку та захисту iнформацiї
України
|
| Результати експертизи свiдчать, що засiб технiчного захисту iнформацiї |
| |
, |
| (найменування засобу ТЗI) |
| |
|
| (найменування органiзацiї (пiдприємства, | |
| |
|
| установи) - власника (розпорядника) засобу технiчного захисту iнформацiї, код ЄДРПОУ, | |
| |
, |
| мiсцезнаходження) | |
| |
|
| (вiдповiдає/не вiдповiдає) | |
вимогам нормативних документiв iз
технiчного захисту iнформацiї в обсязi функцiй,
зазначених у технiчному завданнi (технiчних
вимогах) N ___________________ з рiвнем гарантiй ______. |
| Керiвник органiзатора експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| Додаток 9 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II) |
СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ
ЕКСПЕРТНИЙ ВИСНОВОК
Зареєстровано в Адмiнiстрацiї Державної
служби спецiального зв'язку та захисту iнформацiї
України
|
За результатами експертизи встановлено, що органiзацiйно-технiчне рiшення для комплексної системи захисту iнформацiї |
| |
, |
| (найменування ОТР) |
| |
|
| (найменування органiзацiї (пiдприємства, | |
| |
|
| установи) - власника, код ЄДРПОУ, мiсцезнаходження) | |
| |
, |
| |
|
| (вiдповiдає/не вiдповiдає) | |
вимогам нормативних документiв iз
технiчного захисту iнформацiї в обсязi функцiй,
зазначених у технiчному завданнi N
____________________________. |
| |
| |
| (експертних випробувань та/або аналiзу декларацiї) |
Вимоги щодо сфери використання органiзацiйно-технiчного рiшення та методiв впровадження КСЗI в IТС на реальному об'єктi експлуатацiї наведенi у вiдповiдному роздiлi Експертного висновку. |
| Керiвник органiзатора експертизи | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
| Додаток 10 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 9 роздiлу III) |
СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ
ПОВIДОМЛЕННЯ
про стан функцiонування КСЗI
| |
| (найменування органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище |
| |
| фiзичної особи - власника (розпорядника) IТС, код ЄДРПОУ, мiсцезнаходження) |
| |
|
| (посада, власне iм'я, прiзвище керiвника органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище фiзичної особи - власника (розпорядника) IТС) |
| пiдтверджує, що комплексна система захисту iнформацiї |
| |
, |
| (повне найменування IТС) |
| |
|
| (адреса мiсцезнаходження IТС) |
| |
, |
| |
||
| (вид iнформацiї за порядком доступу) |
| нормативних документiв iз технiчного захисту iнформацiї, про що свiдчать такi документи: |
| 1) | |
|
| (атестат вiдповiдностi / декларацiя про вiдповiднiсть) |
| технiчного захисту iнформацiї, зареєстрований(а) в Адмiнiстрацiї Держспецзв'язку |
| ______________________; (номер та дата реєстрацiї) |
2) (вказуються документи, якi
замiнюють тi, термiн дiї яких закiнчився пiсля
реєстрацiї атестата вiдповiдностi / декларацiї (акт
категорiювання ОIД, акт атестацiї комплексу
технiчного захисту iнформацiї, календарний план
робiт з технiчного захисту iнформацiї тощо); |
| Керiвник органiзацiї (пiдприємства, установи) або фiзична особа - власник (розпорядник) IТС | ____________ (пiдпис) |
_______________________ (власне iм'я, прiзвище) |
