АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ

НАКАЗ
м. Київ

28.08.2022	N 477

Про внесення змiн до Положення про державну експертизу у сферi технiчного захисту iнформацiї

Зареєстровано в Мiнiстерствi юстицiї України 28 вересня 2022 р. за N 1135/38471

     Вiдповiдно до статтi 14 Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України", пункту 4 Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року N 411, з метою удосконалення системи технiчного захисту iнформацiї наказую:

     1. Внести до наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16 травня 2007 року N 93 "Про затвердження Положення про державну експертизу в сферi технiчного захисту iнформацiї", зареєстрованого в Мiнiстерствi юстицiї України 16 липня 2007 року за N 820/14087, такi змiни:

     1) заголовок викласти в такiй редакцiї:

"Про затвердження Положення про державну експертизу у сферi технiчного захисту iнформацiї";

     2) пункт 1 викласти в такiй редакцiї:

     "1. Затвердити Положення про державну експертизу у сферi технiчного захисту iнформацiї, що додається.".

     2. Внести змiни до Положення про державну експертизу у сферi технiчного захисту iнформацiї, затвердженого наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16 травня 2007 року N 93, зареєстрованого в Мiнiстерствi юстицiї України 16 липня 2007 року за N 820/14087 (у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 19 серпня 2020 року N 483), виклавши його в новiй редакцiї, що додається.

     3. Департаменту захисту iнформацiї Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України забезпечити подання цього наказу в установленому порядку на державну реєстрацiю до Мiнiстерства юстицiї України.

     4. Контроль за виконанням цього наказу залишаю за собою.

     5. Цей наказ набирає чинностi з дня його офiцiйного опублiкування.

Голова Служби бригадний генерал	Юрiй ЩИГОЛЬ
ПОГОДЖЕНО:
Перший заступник Мiнiстра цифрової трансформацiї України	Олексiй ВИСКУБ
Голова Антимонопольного комiтету України	Ольга ПIЩАНСЬКА
Мiнiстр освiти i науки України	Сергiй ШКАРЛЕТ
Голова Державної регуляторної служби України	Олексiй КУЧЕР

 

ЗАТВЕРДЖЕНО Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України 16 травня 2007 року N 93 (у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 28 серпня 2022 року N 477)

ПОЛОЖЕННЯ
про державну експертизу у сферi технiчного захисту iнформацiї

I. Загальнi положення

     1. Це Положення визначає порядок проведення державної експертизи у сферi технiчного захисту iнформацiї.

     2. Державна експертиза у сферi технiчного захисту iнформацiї (далi - експертиза) проводиться з метою дослiдження, перевiрки, аналiзу та оцiнки об'єктiв експертизи щодо їх вiдповiдностi вимогам нормативних документiв з технiчного захисту iнформацiї та можливостi їх використання для забезпечення технiчного захисту iнформацiї (далi - ТЗI).

     3. Дiя цього Положення поширюється на всiх юридичних i фiзичних осiб, якi є суб'єктами експертизи.

     Суб'єктами експертизи є:

     юридичнi та фiзичнi особи - власники (розпорядники) iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних систем; апаратних, апаратно-програмних i програмних засобiв, якi реалiзують функцiї ТЗI; органiзацiйно-технiчних рiшень - замовники експертизи (далi - Замовники);

     Адмiнiстрацiя Держспецзв'язку;

     територiальнi органи Адмiнiстрацiї Держспецзв'язку;

     навчальнi заклади, науково-дослiднi, науково-виробничi установи, пiдприємства, установи та органiзацiї, якi проводять експертизу (далi - Органiзатори);

     державнi органи, якi проводять експертизу в сферi свого управлiння;

     фiзичнi особи, якi на постiйнiй або професiйнiй основi здiйснюють дiяльнiсть, пов'язану з наданням експертних послуг, - виконавцi експертних робiт з ТЗI (далi - Експерти).

     4. Об'єктами експертизи є:

     комплекснi системи захисту iнформацiї (далi - КСЗI), якi є невiд'ємною складовою iнформацiйної, електронної комунiкацiйної або iнформацiйно-комунiкацiйної системи (далi - IКС);

     апаратнi, апаратно-програмнi i програмнi засоби, якi реалiзують функцiї ТЗI та/або оцiнки стану захисту iнформацiї (далi - засоби ТЗI);

     органiзацiйно-технiчне рiшення для впровадження типової компоненти КСЗI в IКС - задокументоване унiфiковане рiшення для багаторазового розгортання складових КСЗI в IКС, самодостатнє для вирiшення певного завдання, що мiстить проєктнi рiшення програмно-технiчного комплексу, органiзацiйно-технiчнi рiшення щодо регламенту функцiонування типової компоненти IКС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗI в IКС (далi - ОТР КСЗI).

     5. Експертиза КСЗI, засобiв ТЗI та ОТР КСЗI є процедурою пiдтвердження вiдповiдностi КСЗI, засобiв ТЗI та ОТР КСЗI вимогам нормативних документiв з ТЗI.

     Експертиза КСЗI проводиться шляхом експертних випробувань або шляхом аналiзу декларацiї.

     Експертиза засобiв ТЗI та ОТР КСЗI проводиться шляхом експертних випробувань.

     6. Експертиза КСЗI шляхом аналiзу декларацiї за рiшенням Замовника проводиться у випадках, якщо:

     1) КСЗI створено у складi IКС:

     яка є одномашинним однокористувачевим комплексом, який обробляє iнформацiю одного або кiлькох ступенiв обмеження доступу;

     у кожний момент часу з якою може працювати тiльки один користувач, хоч у загальному випадку осiб, що мають доступ до комплексу, може бути декiлька;

     у якiй для захисту iнформацiї вiд несанкцiонованого доступу використовуються засоби, що мають чинний на момент подання декларацiї позитивний експертний висновок за результатами державної експертизи в сферi ТЗI;

     у якiй для антивiрусного захисту використовуються засоби, що мають чинний на момент подання декларацiї позитивний експертний висновок за результатами державної експертизи в сферi ТЗI;

     у якiй впровадження заходiв захисту iнформацiї вiд витоку технiчними каналами (у разi потреби створення комплексу ТЗI) засвiдчено зареєстрованим у встановленому порядку актом атестацiї комплексу ТЗI;

     2) КСЗI в IКС створено на основi ОТР КСЗI, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи в сферi ТЗI та має у складi документацiї форму декларацiї для цiєї КСЗI, яка погоджена Адмiнiстрацiєю Держспецзв'язку.

     У всiх iнших випадках експертиза КСЗI в IКС проводиться шляхом експертних випробувань.

     7. Експертиза може бути первинною, додатковою та контрольною.

     Первинна експертиза є основним видом експертизи i передбачає виконання Органiзатором заходiв, визначених у роздiлi II цього Положення, для пiдготовки та прийняття рiшення щодо об'єкта експертизи.

     Додаткова експертиза проводиться стосовно об'єктiв експертизи, щодо яких вiдкрилися новi науковi та науково-технiчнi обставини, а також у зв'язку iз закiнченням строку дiї документiв, що засвiдчують результати експертизи.

     Контрольну експертизу проводить iнший Органiзатор з iнiцiативи Замовника у разi наявностi у нього обґрунтованих претензiй до висновку первинної чи додаткової експертизи або з iнiцiативи Адмiнiстрацiї Держспецзв'язку для перевiрки висновку первинної чи додаткової експертизи.

     8. Для органiзацiї та проведення експертизи Адмiнiстрацiя Держспецзв'язку:

     розглядає заяви Замовникiв про проведення експертизи КСЗI в IКС, засобiв ТЗI та ОТР КСЗI;

     приймає рiшення щодо можливостi й доцiльностi проведення експертизи, призначає проведення первинної, додаткової експертизи, а у разi потреби перевiрки їх висновку - контрольної експертизи;

     надає Замовникам та Органiзаторам методичну допомогу стосовно порядку та органiзацiї проведення експертизи, оформлення документiв за результатами проведення експертизи;

     у разi проведення експертизи засобу ТЗI приймає рiшення щодо необхiдностi вiдбору зразкiв для проведення експертних випробувань;

     за результатами розгляду звернення Замовника або Органiзатора, або правоохоронних органiв на пiдставi викладених у зверненнi обставин приймає рiшення щодо участi представникiв Адмiнiстрацiї Держспецзв'язку при проведеннi експертних випробувань для забезпечення вiдповiдностi процесу проведення державної експертизи вимогам нормативних документiв у сферi захисту iнформацiї;

     здiйснює контроль за проведенням Органiзатором експертних випробувань та за дотриманням вимог щодо експлуатацiї об'єкта експертизи, якi впливають на захищенiсть iнформацiї;

     розглядає документи за результатами проведення експертизи, наданi Органiзатором, та приймає рiшення щодо реєстрацiї або вiдмови у реєстрацiї експертних висновкiв засобiв ТЗI/ОТР КСЗI та атестатiв вiдповiдностi КСЗI за результатами їх розгляду;

     приймає рiшення про реєстрацiю або вiдмову в реєстрацiї декларацiї за результатами експертизи КСЗI в IКС шляхом аналiзу декларацiї;

     реєструє, зупиняє дiю або скасовує експертнi висновки на засоби ТЗI, ОТР КСЗI, атестати вiдповiдностi КСЗI;

     реєструє або скасовує декларацiї, у тому числi рiшення щодо реєстрацiї яких було прийнято територiальними органами Адмiнiстрацiї Держспецзв'язку;

     приймає рiшення щодо ознайомлення з фактичним станом об'єкта експертизи;

     розглядає звiти за результатами ознайомлення з фактичним станом об'єкта експертизи (далi - Звiт про ознайомлення).

     9. Для органiзацiї та проведення експертизи територiальний орган Адмiнiстрацiї Держспецзв'язку приймає рiшення про реєстрацiю або вiдмову в реєстрацiї декларацiї за результатами експертизи КСЗI в IКС шляхом аналiзу декларацiї.

     10. Пiдставами для вiдмови у реєстрацiї атестата вiдповiдностi, експертного висновку, декларацiї є невiдповiднiсть об'єкта експертизи вимогам законодавства в сферi захисту iнформацiї та/або невiдповiднiсть складу та змiсту наданих органiзатором експертизи документiв вимогам нормативних документiв у сферi технiчного захисту iнформацiї.

II. Порядок органiзацiї та проведення експертизи

     1. З метою органiзацiї та проведення експертиз, координацiї заходiв i прийняття рiшень щодо проведення експертиз в Адмiнiстрацiї Держспецзв'язку створюється експертна рада з питань державної експертизи в сферi технiчного захисту iнформацiї (далi - Експертна рада).

     2. З метою проведення експертизи КСЗI в IКС шляхом аналiзу декларацiї в територiальних органах Адмiнiстрацiї Держспецзв'язку створюється експертна комiсiя з питань державної експертизи в сферi технiчного захисту iнформацiї (далi - Експертна комiсiя).

     3. Для проведення експертизи шляхом експертних випробувань Замовник надсилає на iм'я Голови Держспецзв'язку (крiм випадкiв, передбачених роздiлом IV цього Положення) заяву про проведення первинної/додаткової/контрольної експертизи КСЗI в IКС згiдно з додатком 1, заяву про проведення первинної/додаткової/контрольної експертизи ОТР КСЗI згiдно з додатком 2, заяву про проведення первинної/додаткової/контрольної експертизи засобу ТЗI згiдно з додатком 3 з наданням пропозицiї щодо Органiзатора. До заяви про проведення експертизи КСЗI в IКС та ОТР КСЗI додається технiчне завдання на їх створення.

     Для проведення експертизи КСЗI в IКС шляхом аналiзу декларацiї (крiм випадкiв, передбачених роздiлом IV цього Положення) Замовник надсилає декларацiю про вiдповiднiсть КСЗI вимогам нормативних документiв з ТЗI згiдно з додатком 4, формуляр IКС, акт про завершення робiт зi створення КСЗI:

     до Адмiнiстрацiї Держспецзв'язку - на iм'я Голови Держспецзв'язку для IКС, якi розташовано за територiальною ознакою у мiстi Києвi i Київськiй областi;

     до вiдповiдного територiального органу Адмiнiстрацiї Держспецзв'язку - на iм'я керiвника територiального органу Держспецзв'язку за мiсцезнаходженням IКС.

     Для проведення експертизи КСЗI в IКС шляхом аналiзу декларацiї, яка створена на основi ОТР КСЗI та пiдпадає пiд дiю пiдпункту 2 пункту 6 роздiлу I цього Положення, Замовник надсилає до Адмiнiстрацiї Держспецзв'язку декларацiю та додатки до неї згiдно з вимогами ОТР КСЗI.

     4. За результатами аналiзу декларацiї i поданих разом iз нею документiв Експертна рада (Експертна комiсiя) приймає рiшення про реєстрацiю декларацiї. Зареєстровану декларацiю та iншi поданi документи Адмiнiстрацiя Держспецзв'язку (її територiальний орган) повертає Замовнику.

     5. У разi неподання разом iз декларацiєю документiв, зазначених у пунктi 3 цього роздiлу, неповноти наданих у них вiдомостей або невiдповiдностi порядку створення КСЗI вимогам нормативних документiв з ТЗI, недостатностi чи некоректностi обраних методiв оцiнки механiзмiв захисту iнформацiї вiдповiдно до вимог нормативних документiв з ТЗI Адмiнiстрацiя Держспецзв'язку (територiальний орган Адмiнiстрацiї Держспецзв'язку) письмово повiдомляє Замовника про вiдмову в реєстрацiї декларацiї, причини, через якi реєстрацiя не є можливою, та повертає декларацiю i поданi з нею документи на доопрацювання або приймає рiшення про ознайомлення з фактичним станом об'єкта експертизи для визначення вiдповiдностi наданим документам, а також письмово повiдомляє Замовника про прийняте рiшення.

     Пiсля усунення причин, що стали пiдставою для вiдмови у реєстрацiї декларацiї, Замовник надсилає для повторного розгляду до Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку) доопрацьовану декларацiю i документи, якi подаються разом з нею.

     6. Зареєстрована декларацiя або атестат вiдповiдностi КСЗI скасовується Адмiнiстрацiєю Держспецзв'язку в разi внесення змiн до КСЗI, не передбачених техноробочим проєктом на КСЗI, та/або порушення вимог з експлуатацiї КСЗI.

     7. Строк дiї зареєстрованої декларацiї є необмеженим, крiм декларацiй на КСЗI в IКС, якi створено на основi ОТР КСЗI, строк дiї якої встановлюється вимогами ОТР КСЗI (але не бiльше нiж 5 рокiв).

     8. За результатами розгляду заяви Експертна рада приймає рiшення про доцiльнiсть проведення експертизи та визначає її Органiзатора з урахуванням пропозицiї Замовника.

     9. Про рiшення Експертної ради Замовнику та Органiзатору надсилається письмове повiдомлення.

     10. У разi наявностi у Замовника обґрунтованих претензiй щодо порядку проведення або результатiв експертизи вiн може звернутися до Адмiнiстрацiї Держспецзв'язку з пропозицiєю щодо здiйснення контролю за проведенням Органiзатором експертних випробувань або iз заявою на iм'я Голови Держспецзв'язку про проведення контрольної експертизи (додаток 1).

     11. Основним документом, що регламентує вiдносини мiж Замовником i Органiзатором, є укладений мiж ними договiр на проведення експертизи.

     12. Витрати, пов'язанi з проведенням експертизи, здiйснюються на пiдставi договору вiдповiдно до законодавства України.

     13. Строк проведення експертизи визначається договором.

     14. Кiлькiсть i персональний склад експертiв, якi залучаються до виконання експертних робiт, визначає Органiзатор.

     15. Замовник надає Органiзатору комплект технiчної документацiї на об'єкт експертизи, необхiдної для проведення експертних випробувань.

     16. Органiзатор за результатами аналiзу наданих документiв та з урахуванням загальних методик оцiнювання задекларованих характеристик засобiв ТЗI, ОТР КСЗI та КСЗI формує програму i методику проведення експертизи об'єкта, здiйснює вiдбiр зразкiв засобiв ТЗI та складає перелiк необхiдного програмно-технiчного забезпечення для проведення випробувань.

     17. Програма проведення експертизи погоджується iз Замовником. Програма та методика проведення експертизи апаратних, апаратно-програмних засобiв ТЗI, якi реалiзують функцiї щодо захисту iнформацiї вiд витоку технiчними каналами, погоджуються iз Замовником та Адмiнiстрацiєю Держспецзв'язку.

     18. Пiд час проведення експертизи кожний Експерт виконує експертнi роботи тiльки за дорученням Органiзатора та вiдповiдно до визначеної методики.

     19. У проведеннi експертизи за вiдповiдним рiшенням Адмiнiстрацiї Держспецзв'язку як спостерiгачi мають право брати участь представники Адмiнiстрацiї Держспецзв'язку.

     20. Результати роботи оформлюються у виглядi протоколу виконання робiт вiдповiдно до методики експертизи КСЗI (ОТР КСЗI або засобу ТЗI) згiдно з додатком 5 за пiдписом Експертiв, якi її виконували. Протокол виконання робiт затверджує Органiзатор.

     21. Узгодження результатiв окремих робiт мiж Експертом та Органiзатором, а також унесення змiн до протоколу виконання робiт пiсля його оформлення не дозволяються.

     22. У протоколi виконання робiт можуть бути зафiксованi особливi думки Експертiв вiдносно результатiв виконаних робiт.

     23. У разi виявлення невiдповiдностi об'єкта експертизи вимогам нормативних документiв з ТЗI Органiзатор може запропонувати Замовнику виконати доопрацювання.

     24. Строк доопрацювання об'єкта експертизи визначається спiльним протоколом або додатковою угодою до договору мiж Замовником та Органiзатором.

     25. Вiдомостi щодо всiх доопрацювань, а також результати додаткових експертних робiт оформлюються окремими протоколами.

     26. Результати робiт, визначених методикою, узагальнює Органiзатор в Експертному висновку.

     27. Висновки щодо кожного пункту методики, а також особливi думки Експертiв, зафiксованi в протоколi виконання робiт, вносяться до Експертного висновку як складовi частини без унесення до них будь-яких змiн.

     28. За результатами проведених робiт Органiзатор складає:

     експертний висновок згiдно з додатком 6 та в разi позитивних результатiв експертної оцiнки - атестат вiдповiдностi згiдно з додатком 7 на КСЗI;

     експертний висновок згiдно з додатком 8 на засiб ТЗI;

     експертний висновок згiдно з додатком 9 на ОТР КСЗI.

     Зазначенi документи, що пiдтверджують вiдповiднiсть вимогам нормативних документiв з ТЗI, засвiдчує Органiзатор i разом з програмою, методикою та протоколами виконання робiт подає для розгляду до Адмiнiстрацiї Держспецзв'язку (в тому числi в електронному виглядi у форматi.pdf).

     Експертний висновок повинен мiстити:

     загальнi вiдомостi щодо об'єкта експертизи (тип, мiсце розташування, власник);

     загальну характеристику об'єкта експертизи (призначення, функцiї, можливостi щодо вирiшення певних завдань захисту iнформацiї);

     перелiк нормативних документiв з ТЗI, на вiдповiднiсть вимогам яких проводиться оцiнка об'єкта експертизи;

     назви програми та методики, згiдно з якими проводилася оцiнка об'єкта експертизи, ким розробленi та затвердженi, реєстрацiйний номер та дату затвердження;

     перелiк документiв i специфiкацiй програмних та технiчних засобiв ТЗI, якi Замовник надав Органiзатору;

     перелiк засобiв ТЗI (iз зазначенням їх типiв, заводських номерiв, року випуску), якi Замовник надав Органiзатору (у разi проведення експертизи засобiв ТЗI);

     результати робiт щодо кожного пункту програми проведення експертизи об'єкта;

     розгорнутий висновок щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв iз ТЗI;

     сферу використання (вимоги до умов експлуатацiї) об'єкта експертизи;

     строк дiї експертного висновку;

     особливi думки експертiв, зафiксованi в протоколах виконання робiт.

     29. Строк дiї атестата вiдповiдностi КСЗI, експертного висновку на засiб ТЗI або ОТР КСЗI визначає Органiзатор:

     для атестата вiдповiдностi КСЗI автоматизованої системи класу 1 - безстроковий;

     для атестата вiдповiдностi КСЗI автоматизованої системи класiв 2, 3 - до 5 рокiв;

     для експертного висновку на засiб ТЗI - до 3 рокiв;

     для експертного висновку на ОТР КСЗI - до 5 рокiв.

     30. Строк дiї атестата вiдповiдностi КСЗI або експертного висновку на ОТР КСЗI визначається з урахуванням складностi архiтектури IКС i засобiв захисту, якi використовуються при побудовi КСЗI.

III. Порядок реєстрацiї i скасування експертного висновку для засобiв ТЗI/ОТР КСЗI та атестата вiдповiдностi КСЗI

     1. Експертний висновок для засобiв ТЗI/ОТР КСЗI реєструє Експертна рада за результатами розгляду документiв, наданих Органiзатором за результатами проведення експертизи для засобiв ТЗI/ОТР КСЗI. Пiсля реєстрацiї експертний висновок для засобiв ТЗI/ОТР КСЗI повертається Органiзатору разом з наданими документами.

     У разi неповноти вiдомостей у документах за результатами проведення експертизи для засобiв ТЗI/ОТР КСЗI, невiдповiдностi цих документiв вимогам нормативних документiв з ТЗI, недостатностi чи некоректностi обраних методiв оцiнки механiзмiв захисту iнформацiї вiдповiдно до вимог нормативних документiв з ТЗI Адмiнiстрацiя Держспецзв'язку письмово повiдомляє Органiзатора про вiдмову в реєстрацiї експертного висновку для засобiв ТЗI/ОТР КСЗI, причини, через якi реєстрацiя не є можливою, та повертає наданi документи на доопрацювання.

     Пiсля усунення причин, що стали пiдставою для вiдмови у реєстрацiї експертного висновку для засобiв ТЗI/ОТР КСЗI, Органiзатор надсилає для повторного розгляду до Адмiнiстрацiї Держспецзв'язку доопрацьованi документи.

     2. Атестат вiдповiдностi КСЗI реєструє Експертна рада за результатами розгляду документiв, наданих Органiзатором за результатами проведення експертизи КСЗI. Пiсля реєстрацiї атестат вiдповiдностi КСЗI повертається Органiзатору разом з наданими документами.

     У разi неповноти вiдомостей у документах за результатами проведення експертизи, невiдповiдностi порядку створення КСЗI вимогам нормативних документiв з ТЗI, невiдповiдностi цих документiв вимогам нормативних документiв з ТЗI, недостатностi чи некоректностi обраних методiв оцiнки механiзмiв захисту iнформацiї вiдповiдно до вимог нормативних документiв з ТЗI Адмiнiстрацiя Держспецзв'язку письмово повiдомляє Органiзатора про вiдмову в реєстрацiї атестата вiдповiдностi КСЗI, причини, через якi реєстрацiя не є можливою, та повертає наданi документи на доопрацювання або приймає рiшення про ознайомлення з фактичним станом об'єкта експертизи для визначення вiдповiдностi наданим документам, а також письмово повiдомляє Органiзатора та Замовника про прийняте рiшення.

     Пiсля усунення причин, що стали пiдставою для вiдмови у реєстрацiї атестата вiдповiдностi КСЗI, в тому числi з урахуванням iнформацiї, зазначеної у Звiтi про ознайомлення (у разi його складання), Органiзатор надсилає для повторного розгляду до Адмiнiстрацiї Держспецзв'язку доопрацьованi документи.

     3. Адмiнiстрацiя Держспецзв'язку має право зупинити дiю, скасувати експертний висновок та/або атестат вiдповiдностi КСЗI в разi:

     1) отримання вiдповiдної заяви власника експертного висновку або атестата вiдповiдностi КСЗI (складається у довiльнiй формi на iм'я Голови Держспецзв'язку iз зазначенням реєстрацiйного номера Експертного висновку або атестата вiдповiдностi КСЗI);

     2) наявностi фактiв внесення змiн до КСЗI, не передбачених техноробочим проєктом на КСЗI, та/або порушення вимог з експлуатацiї КСЗI;

     3) наявностi фактiв порушення вимог щодо технологiї виготовлення, правил приймання, методiв контролю та випробувань, змiни конструкцiї (складу) та комплектностi засобiв ТЗI або iнших вiдомостей, узгоджених пiд час проведення експертизи;

     4) наявностi фактiв правопорушення в сферi наукової i науково-технiчної експертизи вiдповiдно до Закону України "Про наукову i науково-технiчну експертизу";

     5) якщо висновки експертизи, за результатами якої зареєстровано експертний висновок та/або атестат вiдповiдностi КСЗI, суперечать вимогам чинних нормативно-правових актiв у сферi ТЗI;

     6) наявностi персональних спецiальних економiчних та iнших обмежувальних заходiв (санкцiй) до Замовникiв, якi унеможливлюють використання засобiв ТЗI/КСЗI в обсязi, визначеному експертним висновком та/або атестатом вiдповiдностi КСЗI;

     7) вiдмови Замовника вiд проведення контрольної експертизи з iнiцiативи Адмiнiстрацiї Держспецзв'язку для перевiрки висновку первинної чи додаткової експертизи.

     4. Факти внесення змiн до КСЗI, не передбачених техноробочим проєктом на КСЗI, та/або порушення вимог з експлуатацiї КСЗI пiдтверджуються:

     протоколами та експертними висновками контрольної експертизи;

     актами державного контролю за станом технiчного захисту iнформацiї;

     актами оцiнки стану захищеностi державних iнформацiйних ресурсiв в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах.

     5. Факти порушення вимог щодо технологiї виготовлення, правил приймання, методiв контролю та випробувань, змiни конструкцiї (складу) та комплектностi засобiв ТЗI, узгодженi пiд час проведення експертизи, пiдтверджуються протоколами та експертними висновками контрольної експертизи.

     6. Рiшення про зупинення дiї експертного висновку та/або атестата вiдповiдностi КСЗI приймається у разi, якщо пiсля вжиття погоджених з Адмiнiстрацiєю Держспецзв'язку коригувальних заходiв, спрямованих на усунення виявлених недолiкiв, власник експертного висновку та/або атестата вiдповiдностi КСЗI без проведення додаткової експертизи може пiдтвердити вiдповiднiсть засобiв ТЗI/ОТР КСЗI/КСЗI вимогам нормативних документiв у сферi захисту iнформацiї. В iншому випадку експертний висновок та/або атестат вiдповiдностi КСЗI скасовуються.

     7. Iнформацiя про рiшення щодо зупинення дiї, скасування експертного висновку та/або атестата вiдповiдностi КСЗI та про скасування декларацiї не пiзнiше нiж через сiм робочих днiв надсилається Замовнику iз зазначенням вiдповiдних пiдстав (крiм випадкiв, зазначених у пунктi 9 цього роздiлу).

     8. Рiшення Адмiнiстрацiї Держспецзв'язку може бути оскаржено до суду.

     9. У разi настання змiн, якi впливають на реалiзацiю оцiнених при проведеннi експертизи КСЗI заходiв захисту iнформацiї та/або призводять до втрати актуальностi цих заходiв, але не рiдше, нiж раз на п'ять рокiв з дати реєстрацiї декларацiї або атестата вiдповiдностi з безстроковим строком дiї, власник IКС надсилає до Адмiнiстрацiї Держспецзв'язку повiдомлення про стан функцiонування КСЗI згiдно з додатком 10.

     У разi неподання до Адмiнiстрацiї Держспецзв'язку повiдомлення про стан функцiонування КСЗI або невiдповiдностi повiдомлення встановленому зразку (додаток 10) реєстрацiя декларацiї або атестата вiдповiдностi з безстроковим строком дiї вважається скасованою.

IV. Особливостi проведення експертиз КСЗI державними органами, якi проводять роботи з ТЗI для власних потреб

     1. Державнi органи, якi мають дозвiл Адмiнiстрацiї Держспецзв'язку на проведення робiт з ТЗI для власних потреб, можуть виконувати роботи з органiзацiї та проведення первинних або додаткових експертиз КСЗI в IКС (крiм контрольних експертиз) шляхом експертних випробувань та аналiзу декларацiй у сферi свого управлiння.

     2. Порядок проведення експертизи КСЗI в IКС погоджується з Адмiнiстрацiєю Держспецзв'язку.

V. Особливостi проведення експертиз засобiв ТЗI

     1. Для проведення експертизи засобу ТЗI разом iз заявою про проведення експертизи засобу ТЗI (додаток 3) Замовник надає документи, що пiдтверджують його право на володiння та/або користування, та/або розпорядження засобом ТЗI.

     2. Експертиза апаратних засобiв ТЗI проводиться з метою оцiнки вiдповiдностi їх спецiальних властивостей (технiчних характеристик) вимогам нормативних документiв з ТЗI в обсязi, визначеному у технiчному завданнi (технiчних умовах або технiчних вимогах) на засiб ТЗI.

     Експертиза може проводитися для одиночного засобу ТЗI, для партiї засобiв ТЗI або за iнiцiативою Замовника для засобiв ТЗI, що мають бути виготовленi протягом строку дiї експертного висновку.

     Процедуру вiдбору та iдентифiкацiї зразкiв апаратних засобiв ТЗI проводить Органiзатор у присутностi представникiв Замовника та у разi прийняття Адмiнiстрацiєю Держспецзв'язку рiшення щодо такої потреби - представникiв Адмiнiстрацiї Держспецзв'язку.

     При проведеннi експертизи партiї засобiв ТЗI або засобiв ТЗI, що мають бути виготовленi протягом строку дiї експертного висновку, проводиться вiдбiр не менше нiж двох зразкiв засобiв ТЗI.

     Для iдентифiкацiї апаратних засобiв ТЗI застосовується їх заводський номер. Визначенi iдентифiкатори апаратних засобiв ТЗI фiксуються у протоколах та експертних висновках.

     При проведеннi експертизи апаратних засобiв ТЗI, що мають бути виготовленi протягом строку дiї експертного висновку, Експерти повиннi також провести обстеження виробництва з метою перевiрки наявностi умов, якi забезпечують виготовлення засобiв ТЗI з властивостями (технiчними характеристиками), що вiдповiдатимуть вимогам нормативних документiв з ТЗI, в обсязi, зазначеному в технiчному завданнi (технiчних умовах, технiчних вимогах) на цi засоби ТЗI, та дiйти висновку щодо можливостi розповсюдження дiї експертного висновку на засоби ТЗI, що будуть виготовлятися протягом строку дiї цього експертного висновку.

     3. Експертиза програмних засобiв ТЗI за рiшенням Замовника проводиться з метою:

     оцiнки вiдповiдностi програмного засобу ТЗI вимогам нормативних документiв з ТЗI в частинi вимог щодо захисту iнформацiї вiд несанкцiонованого доступу;

     дослiдження на вiдсутнiсть недокументованих функцiй (функцiї програмних засобiв, якi не прописанi i не вiдповiдають прописаним у документацiї, пiд час використання яких можливе порушення конфiденцiйностi, доступностi або цiлiсностi оброблюваної iнформацiї).

     Дослiдження на вiдсутнiсть недокументованих функцiй програмних засобiв ТЗI може проводити Адмiнiстрацiя Держспецзв'язку.

     Процедури вiдбору та iдентифiкацiї програмних засобiв ТЗI проводить Органiзатор у присутностi представника Замовника. Для iдентифiкацiї програмних засобiв ТЗI (їх складових частин) застосовується номер версiї програмної реалiзацiї засобу ТЗI та значення його геш-функцiй. Для обчислення значень геш-функцiй повинно використовуватися програмне забезпечення, яке має позитивний експертний висновок у сферi криптографiчного захисту iнформацiї. Визначенi iдентифiкатори програмних засобiв ТЗI фiксуються у протоколах та експертних висновках.

     Експертиза оновлень програмних засобiв ТЗI, що мають чиннi експертнi висновки, проводиться в установленому порядку.

     4. Експертиза апаратно-програмних засобiв ТЗI за рiшенням Замовника проводиться з метою:

     оцiнки вiдповiдностi спецiальних властивостей (технiчних характеристик) апаратно-програмного засобу ТЗI вимогам нормативних документiв з ТЗI в обсязi, визначеному в технiчному завданнi (технiчних умовах або технiчних вимогах) на апаратно-програмний засiб ТЗI;

     оцiнки вiдповiдностi спецiальних (призначених для реалiзацiї полiтики безпеки iнформацiї) програмних компонентiв апаратно-програмного засобу ТЗI вимогам нормативних документiв з ТЗI в частинi вимог щодо захисту iнформацiї вiд несанкцiонованого доступу;

     дослiдження на вiдсутнiсть недокументованих функцiй.

     Дослiдження на вiдсутнiсть недокументованих функцiй апаратно-програмних засобiв ТЗI може проводити Адмiнiстрацiя Держспецзв'язку.

     Процедуру iдентифiкацiї зразкiв апаратно-програмних засобiв ТЗI визначає Адмiнiстрацiя Держспецзв'язку з урахуванням особливостей та експлуатацiйних характеристик засобiв ТЗI.

     Експертиза апаратно-програмних засобiв ТЗI з метою оцiнки вiдповiдностi їх спецiальних властивостей (технiчних характеристик) вимогам нормативних документiв з ТЗI може проводитися для одиночного засобу ТЗI, для партiї засобiв ТЗI та для засобiв ТЗI, якi будуть виготовлятися протягом строку дiї експертного висновку, в порядку, визначеному для апаратних засобiв ТЗI.

     Експертиза апаратно-програмних засобiв ТЗI з метою оцiнки вiдповiдностi спецiальних (призначених для реалiзацiї полiтики безпеки iнформацiї) програмних компонентiв апаратно-програмних засобiв ТЗI вимогам нормативних документiв з ТЗI в частинi вимог щодо захисту iнформацiї вiд несанкцiонованого доступу та/або дослiдження на вiдсутнiсть недокументованих функцiй проводиться в порядку, визначеному для програмних засобiв ТЗI.

     5. У разi проведення експертизи засобу ТЗI на вiдповiднiсть критерiям оцiнки захищеностi iнформацiї вiд несанкцiонованого доступу на титульному аркушi експертного висновку зазначається функцiональний профiль захисту, що реалiзується цим засобом ТЗI, з вiдповiдним рiвнем гарантiї.

VI. Порядок ознайомлення з фактичним станом об'єкта експертизи посадовими особами Адмiнiстрацiї Держспецзв'язку (територiальних органiв Адмiнiстрацiї Держспецзв'язку)

     1. Рiшення про необхiднiсть ознайомлення з фактичним станом об'єкта експертизи приймає Експертна рада.

     Пiдставами для прийняття рiшення про ознайомлення з фактичним станом об'єкта експертизи є вiдсутнiсть та/або неповнота iнформацiї щодо архiтектури побудови об'єкта експертизи, щодо технологiї обробки iнформацiї, складу комплексу засобiв захисту iнформацiї, об'єктiв захисту та форм їх представлення, користувачiв об'єкта експертизи та їх повноважень, правил розмежування доступу в системi та алгоритмiв реалiзацiї конкретних механiзмiв захисту.

     2. Ознайомлення з фактичним станом об'єкта експертизи проводять посадовi особи Адмiнiстрацiї Держспецзв'язку або територiального органу Адмiнiстрацiї Держспецзв'язку на етапi розгляду документiв, наданих Органiзатором за результатами проведення експертизи КСЗI, або декларацiї, наданої Замовником.

     3. Ознайомлення з фактичним станом об'єкта експертизи проводиться в присутностi представника Замовника.

     У разi потреби Замовник залучає представника Органiзатора пiд час ознайомлення з фактичним станом об'єкта експертизи посадовими особами Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку).

     Пiд час ознайомлення з фактичним станом об'єкта експертизи у разi потреби представник Замовника та представник Органiзатора (у разi його залучення) надають пояснення щодо стану об'єкта експертизи.

     4. Для доступу до об'єкта експертизи з метою ознайомлення з його фактичним станом Адмiнiстрацiя Держспецзв'язку (територiальний орган Адмiнiстрацiї Держспецзв'язку) у 10-денний строк з дня прийняття вiдповiдного рiшення Експертною радою (Експертною комiсiєю) надсилає Замовнику письмове повiдомлення про прийняте рiшення, а також зазначає про необхiднiсть надання доступу до об'єкта експертизи за його мiсцезнаходженням посадовим особам Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку), термiн проведення ознайомлення з його фактичним станом та у разi потреби - про забезпечення присутностi представника Органiзатора.

     5. Пiдставою для доступу до об'єкта експертизи з метою ознайомлення з його фактичним станом є наявнiсть припису на право ознайомлення з фактичним станом об'єкта експертизи (далi - припис на ознайомлення) за пiдписом Голови Держспецзв'язку (начальника територiального органу Адмiнiстрацiї Держспецзв'язку).

     6. Для ознайомлення з фактичним станом об'єкта експертизи посадовi особи Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку) пред'являють Замовнику припис на ознайомлення (додаток 11) та службовi посвiдчення.

     7. За результатами ознайомлення з фактичним станом об'єкта експертизи посадовi особи Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку), якi його проводили, складають Звiт про ознайомлення (додаток 12).

     8. Звiт про ознайомлення доводиться до вiдома представника Замовника, в присутностi якого проводилося ознайомлення з фактичним станом об'єкта експертизи, та представника Органiзатора (у разi його залучення) iз засвiдченням пiдпису.

     У разi вiдмови представника Замовника та/або представника Органiзатора засвiдчити своїм пiдписом факт ознайомлення з фактичним станом об'єкта експертизи посадова особа Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку) робить у Звiтi про ознайомлення запис "вiдмовлено у пiдписаннi", який засвiдчує своїм пiдписом.

     9. Звiт про ознайомлення складають у трьох примiрниках. Перший примiрник Звiту про ознайомлення залишається в Адмiнiстрацiї Держспецзв'язку або територiальному органi Адмiнiстрацiї Держспецзв'язку, який проводив ознайомлення з фактичним станом об'єкта експертизи, другий - надсилається Замовнику, третiй - надсилається Органiзатору, який проводив експертизу цього об'єкта.

     У разi проведення територiальним органом Адмiнiстрацiї Держспецзв'язку ознайомлення з фактичним станом об'єкта експертизи вiн складає додатковий четвертий примiрник Звiту про ознайомлення, який надсилає до Адмiнiстрацiї Держспецзв'язку.

     10. Усi примiрники Звiту про ознайомлення пiдписують посадовi особи Адмiнiстрацiї Держспецзв'язку, якi проводили ознайомлення з фактичним станом об'єкта експертизи, та затверджує Голова Держспецзв'язку або заступник Голови Держспецзв'язку вiдповiдно до розподiлу обов'язкiв.

     У разi проведення територiальним органом Адмiнiстрацiї Держспецзв'язку ознайомлення з фактичним станом об'єкта експертизи Звiт про ознайомлення пiдписують посадовi особи територiального органу Адмiнiстрацiї Держспецзв'язку, якi проводили ознайомлення з фактичним станом об'єкта експертизи, та затверджує начальник територiального органу Адмiнiстрацiї Держспецзв'язку, який пiдписав припис на ознайомлення.

Директор Департаменту захисту iнформацiї Адмiнiстрацiї Держспецзв'язку полковник

Iгор СТЕЛЬНИК

 

	Додаток 1 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II)
	Головi Державної служби спецiального зв'язку та захисту iнформацiї України

ЗАЯВА

про проведення		експертизи комплексної системи
	(первинної/додаткової/контрольної)

захисту iнформацiї в iнформацiйно-комунiкацiйнiй системi

(найменування IКС)

що належить
	(найменування органiзацiї (пiдприємства, установи) -
власника (розпорядника) IКС, код ЄДРПОУ, мiсцезнаходження)

Органiзатором експертизи пропонуємо визначити

(найменування органiзацiї (пiдприємства, установи),

код ЄДРПОУ, N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI)

Додатки:

1. Технiчне завдання на створення КСЗI в IКС. 2. Експертний висновок первинної експертизи або його копiя (в разi проведення додаткової або контрольної експертизи).

Замовник експертизи	____________ (пiдпис)	_______________________ (власне iм'я, прiзвище)
		___ ____________ ____ (дата)

 

	Додаток 2 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II)
	Головi Державної служби спецiального зв'язку та захисту iнформацiї України

ЗАЯВА

про проведення		експертизи органiзацiйно-технiчного
	(первинної/додаткової/контрольної)

рiшення комплексної системи захисту iнформацiї

(найменування ОТР КСЗI)

що належить
	(найменування органiзацiї (пiдприємства, установи) -
власника (розпорядника) ОТР КСЗI, код ЄДРПОУ, мiсцезнаходження)

Органiзатором експертизи пропонуємо визначити

(найменування органiзацiї (пiдприємства, установи),

код ЄДРПОУ, N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI)

Додатки:

1. Технiчне завдання на створення ОТР КСЗI. 2. Експертний висновок первинної експертизи або його копiя (в разi проведення додаткової або контрольної експертизи).

Замовник експертизи	____________ (пiдпис)	_______________________ (власне iм'я, прiзвище)
		___ ____________ ____ (дата)

 

	Додаток 3 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II)
	Головi Державної служби спецiального зв'язку та захисту iнформацiї України

ЗАЯВА

про проведення		експертизи засобу технiчного
	(первинної/додаткової/контрольної)

захисту iнформацiї		,
	(найменування засобу технiчного захисту iнформацiї)

наданого
	(найменування органiзацiї (пiдприємства, установи) - Замовника
експертизи, код ЄДРПОУ, мiсцезнаходження)

Необхiднiсть проведення експертизи обумовлена:

Органiзатором експертизи пропонуємо визначити

(найменування органiзацiї

(пiдприємства, установи), код ЄДРПОУ, N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI)

Додатки: 1. Технiчне завдання (технiчнi вимоги) або технiчний опис засобу. 2. Експертний висновок первинної експертизи або його копiя (в разi проведення додаткової або контрольної експертизи). 3. Документи, що пiдтверджують право на володiння та/або користування, та/або розпорядження засобом ТЗI.

Замовник експертизи	____________ (пiдпис)	_______________________ (власне iм'я, прiзвище)
		___ ____________ ____ (дата)

 

Додаток 4 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 3 роздiлу II)

СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ

ДЕКЛАРАЦIЯ
про вiдповiднiсть комплексної системи захисту iнформацiї вимогам нормативних документiв з технiчного захисту iнформацiї

ЗАРЕЄСТРОВАНО в Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України ___ ____________ ____ (дата) за N _______ дiйсна до ___ ____________ ____ (дата)

(найменування органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище

фiзичної особи - власника (розпорядника) IКС, код ЄДРПОУ, мiсцезнаходження)

в особi
	(посада, власне iм'я, прiзвище керiвника органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище фiзичної особи - власника (розпорядника) IКС)

пiдтверджує, що комплексна система захисту iнформацiї
	,
(повне найменування IКС)
що розташована
	,
(адреса мiсцезнаходження IКС)

забезпечує захист		iнформацiї вiдповiдно до вимог
	(вид iнформацiї)

нормативних документiв з технiчного захисту iнформацiї. Виконання робiт зi створення КСЗI пiдтверджено проєктними, експлуатацiйними i розпорядчими документами, якi наведено у додатку до цiєї Декларацiї. З вимогами статтi 9 Закону України "Про захист iнформацiї в iнформацiйно-комунiкацiйних системах" ознайомлений.

Керiвник органiзацiї (пiдприємства, установи) або фiзична особа - власник (розпорядник) IКС	____________	_______________________
	(пiдпис)	(власне iм'я, прiзвище)

 

Додаток до Декларацiї про вiдповiднiсть КСЗI вимогам нормативних документiв з ТЗI

Комплексна система захисту iнформацiї

(повне найменування IКС)

забезпечує захист		iнформацiї вiдповiдно до вимог
	(вид iнформацiї)

нормативних документiв з технiчного захисту iнформацiї в обсязi функцiй, зазначених у технiчному завданнi N _____________________________________ Виконання робiт зi створення КСЗI пiдтверджено такими проєктними, експлуатацiйними i розпорядчими документами:

(повнi найменування документiв, реєстрацiйнi номери)

Вiдповiдальний за захист iнформацiї в IКС
(посада)		(пiдпис)		(власне iм'я, прiзвище)

 

	Додаток 5 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 20 роздiлу II)
	ЗАТВЕРДЖУЮ
	(посада керiвника Органiзатора експертизи)
	(пiдпис)	(власне iм'я, прiзвище)
	___ ____________ ____ (дата)

ПРОТОКОЛ
виконання робiт вiдповiдно до методики експертизи комплексної системи захисту iнформацiї (органiзацiйно-технiчного рiшення для створення комплексної системи захисту iнформацiї або засобу технiчного захисту iнформацiї)

1. Змiст методики експертизи об'єкта

2. Перелiк документiв i специфiкацiй апаратних, апаратно-програмних i програмних засобiв, наданих Замовником експертизи для виконання робiт

3. Результати робiт щодо методики експертизи об'єкта

4. Висновок щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв з технiчного захисту iнформацiї в обсязi функцiй, зазначених у технiчному завданнi (технiчних вимогах)

5. Особлива думка Експерта

Експерт	____________ (пiдпис)	_______________________ (власне iм'я, прiзвище)
		___ ____________ ____ (дата)

 

	Додаток 6 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II)
	Додаток до Атестата вiдповiдностi вiд ___ ____________ ____ (дата) N _________

ЕКСПЕРТНИЙ ВИСНОВОК

Результати експертизи свiдчать, що комплексна система захисту iнформацiї
	,
(найменування IКС)

що належить
	(найменування органiзацiї (пiдприємства,

	,
установи) - власника (розпорядника), код ЄДРПОУ, мiсцезнаходження)

(вiдповiдає/не вiдповiдає)

вимогам нормативних документiв з технiчного захисту iнформацiї в обсязi функцiй, зазначених у технiчному завданнi N ___________________. Вимоги до умов експлуатацiї об'єкта експертизи визначенi у вiдповiдному роздiлi Експертного висновку.

Керiвник Органiзатора експертизи

____________ (пiдпис)

_______________________ (власне iм'я, прiзвище)

 

Додаток 7 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II)

СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ

АТЕСТАТ ВIДПОВIДНОСТI

ЗАРЕЄСТРОВАНО в Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України ___ ____________ ____ (дата) за N _______ Чинний до ___ ____________ ____ (дата)

(найменування державного органу/органiзацiї/пiдприємства/установи, яким видано Атестат)

засвiдчує, що комплексна система захисту iнформацiї
	,
(найменування IКС)

що належить
	(найменування державного органу (органiзацiї, пiдприємства, установи)

	,
- власника (розпорядника) IКС, код ЄДРПОУ, мiсцезнаходження)

забезпечує захист iнформацiї вiдповiдно до вимог нормативних документiв з технiчного захисту iнформацiї. Експертний висновок на ___ аркушах додається до цього Атестата та є його невiд'ємною частиною. Вимоги до умов експлуатацiї об'єкта експертизи визначено у вiдповiдному роздiлi Експертного висновку.

Керiвник Органiзатора експертизи

____________ (пiдпис)

_______________________ (власне iм'я, прiзвище)

 

Додаток 8 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II)

СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ

ЕКСПЕРТНИЙ ВИСНОВОК

ЗАРЕЄСТРОВАНО в Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України ___ ____________ ____ (дата) за N _______ Чинний до ___ ____________ ____ (дата)

Результати експертизи свiдчать, що засiб технiчного захисту iнформацiї
	,
(найменування засобу ТЗI)

що наданий на
	(найменування органiзацiї (пiдприємства, установи) -
власника (розпорядника) засобу технiчного захисту iнформацiї, код ЄДРПОУ,

	,
мiсцезнаходження)
(вiдповiдає/не вiдповiдає)

вимогам нормативних документiв з технiчного захисту iнформацiї в обсязi функцiй, зазначених у технiчному завданнi (технiчних вимогах) N ___________________, з рiвнем гарантiй ______. Вимоги щодо умов експлуатацiї об'єкта експертизи визначенi у вiдповiдному роздiлi Експертного висновку.

Керiвник Органiзатора експертизи

____________ (пiдпис)

_______________________ (власне iм'я, прiзвище)

 

Додаток 9 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 28 роздiлу II)

СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ

ЕКСПЕРТНИЙ ВИСНОВОК

ЗАРЕЄСТРОВАНО в Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України ___ ____________ ____ (дата) за N _______ Чинний до ___ ____________ ____ (дата)

За результатами експертизи встановлено, що органiзацiйно-технiчне рiшення для комплексної системи захисту iнформацiї
	,
(найменування ОТР)

що належить
	(найменування органiзацiї (пiдприємства,
установи) - власника, код ЄДРПОУ, мiсцезнаходження)

	,
(вiдповiдає/не вiдповiдає)

вимогам нормативних документiв з технiчного захисту iнформацiї в обсязi функцiй, зазначених у технiчному завданнi N ____________________________. Державна експертиза в сферi технiчного захисту iнформацiї комплексної системи захисту iнформацiї, яка впроваджена на базi цього органiзацiйно-технiчного рiшення, проводиться шляхом

(експертних випробувань та/або аналiзу декларацiї)

Вимоги щодо сфери використання органiзацiйно-технiчного рiшення та методiв впровадження КСЗI в IКС на реальному об'єктi експлуатацiї наведено у вiдповiдному роздiлi Експертного висновку.

Керiвник Органiзатора експертизи

____________ (пiдпис)

_______________________ (власне iм'я, прiзвище)

 

Додаток 10 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 9 роздiлу III)

СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ

ПОВIДОМЛЕННЯ
про стан функцiонування комплексної системи захисту iнформацiї

(найменування органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище

фiзичної особи - власника (розпорядника) IКС, код ЄДРПОУ, мiсцезнаходження)

в особi
	(посада, власне iм'я, прiзвище керiвника органiзацiї (пiдприємства, установи) або власне iм'я, прiзвище фiзичної особи - власника (розпорядника) IКС)

пiдтверджує, що комплексна система захисту iнформацiї
	,
(повне найменування IКС)

що розташована
	(адреса мiсцезнаходження IКС)

,

забезпечує захист		iнформацiї вiдповiдно до вимог
	(вид iнформацiї за порядком доступу)

нормативних документiв з технiчного захисту iнформацiї, про що свiдчать такi документи:

1)		КСЗI вимогам нормативних документiв iз
	(атестат вiдповiдностi/декларацiя про вiдповiднiсть)

технiчного захисту iнформацiї, зареєстрований(а) в Адмiнiстрацiї Держспецзв'язку

___________________________; (номер та дата реєстрацiї)

2) (вказуються документи, якi замiнюють тi, строк дiї яких закiнчився пiсля реєстрацiї атестата вiдповiдностi/декларацiї (акт категорiювання ОIД, акт атестацiї комплексу технiчного захисту iнформацiї, календарний план робiт з технiчного захисту iнформацiї тощо); 3) (вказуються документи, до яких було внесено змiни та/або доповнення пiсля реєстрацiї атестата вiдповiдностi/декларацiї; може обумовлюватися змiнами в нормативно-правовi акти тощо). Експлуатацiя КСЗI IКС здiйснюється згiдно з вимогами експлуатацiйної (робочої) документацiї.

Керiвник органiзацiї (пiдприємства, установи) або фiзична особа - власник (розпорядник) IКС	_____________	____________________
	(пiдпис)	(власне iм'я, прiзвище)

 

Додаток 11 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 6 роздiлу VI)

ПРИПИС
на право ознайомлення з фактичним станом об'єкта експертизи

Посадовим особам Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України (територiального органу Адмiнiстрацiї Держспецзв'язку)

(посади, власнi iмена, прiзвища осiб, якi будуть проводити ознайомлення)

приписується провести ознайомлення з фактичним станом об'єкта експертизи
	,
(найменування об'єкта експертизи)
що належить
	,
(найменування органiзацiї (пiдприємства, установи) - Замовника, код ЄДРПОУ, мiсцезнаходження)
результати експертизи якого викладенi у документах
	,
(перелiк документiв за результатами державної експертизи в сферi ТЗI)

що надав Органiзатор

(найменування Органiзатора, код ЄДРПОУ,

N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI)

Припис чинний до "___" ____________ 20__ року.

Голова Держспецзв'язку (начальник територiального органу Адмiнiстрацiї Держспецзв'язку)	_____________	____________________
	(пiдпис)	(власне iм'я, прiзвище)

 

	Додаток 12 до Положення про державну експертизу у сферi технiчного захисту iнформацiї (пункт 7 роздiлу VI)
	ЗАТВЕРДЖУЮ
	(посада керiвника Органiзатора експертизи)
	(пiдпис)	(власне iм'я, прiзвище)
	___ ____________ ____ (дата)

ЗВIТ
за результатами ознайомлення з фактичним станом об'єкта експертизи

"___" ___________ 20__ р.

м. __________

Об'єкт		,
	(найменування об'єкта експертизи)

що належить
	(найменування органiзацiї (пiдприємства, установи) - Замовника, код ЄДРПОУ,
мiсцезнаходження)

Заява на проведення експертизи, яку надав Замовник

(дата, вхiдний реєстрацiйний номер заяви)

Рiшення про призначення Органiзатора
	(дата, реєстрацiйний номер документа)

Органiзатор експертизи
	(найменування органiзацiї (пiдприємства, установи), код ЄДРПОУ,
N рiшення Адмiнiстрацiї Держспецзв'язку щодо видачi лiцензiї в галузi ТЗI)

Документи, якi надав Органiзатор за результатами проведення експертизи

(найменування, дата, вхiднi реєстрацiйнi номери документiв)

Посадовi особи Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку) у складi:

_______________________ (посада)	_________________________ (власне iм'я, прiзвище)
_______________________ (посада)	_________________________ (власне iм'я, прiзвище)

на пiдставi припису вiд "___" ___________ 20__ р. N

у присутностi

представника Замовника
	(посада, власне iм'я, прiзвище)

та представника Органiзатора (у разi його залучення)
(посада, власне iм'я, прiзвище)

провели ознайомлення з фактичним станом об'єкта експертизи. За результатами ознайомлення встановлено: 1. Виконання вимог щодо порядку проведення робiт, визначених Положенням про державну експертизу у сферi технiчного захисту iнформацiї, затвердженим наказом Адмiнiстрацiї Держспецзв'язку вiд 16 травня 2007 року N 93, зареєстрованим в Мiнiстерствi юстицiї України 16 липня 2007 року за N 820/14087 (у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 28 серпня 2022 року N 477):

2. Виконання вимог щодо порядку та обсягу проведення робiт, встановлених нормативними документами в сферi захисту iнформацiї та технiчним завданням на створення КСЗI:

3. Вiдповiднiсть зафiксованих результатiв у документацiї Органiзатора (протоколах експертних випробувань, експертних висновках тощо) тим, що отриманi пiд час ознайомлення з використанням програми та методики, сформованої Органiзатором пiд час проведення експертизи:

4. Вiдповiднiсть висновкiв Органiзатора вимогам нормативно-правових актiв у сферi захисту iнформацiї

Висновок

Посадовi особи Адмiнiстрацiї Держспецзв'язку (територiального органу Адмiнiстрацiї Держспецзв'язку), якi проводили ознайомлення з фактичним станом об'єкта експертизи:

(посада)		(пiдпис)		(власне iм'я, прiзвище)
(посада)		(пiдпис)		(власне iм'я, прiзвище)

Доведено до вiдома: Представник Замовника експертизи

(посада)		(пiдпис)		(власне iм'я, прiзвище)
				___ ____________ ____ (дата)

Представник Органiзатора експертизи (у разi його залучення)

(посада)		(пiдпис)		(власне iм'я, прiзвище)
				___ ____________ ____ (дата)