Відповідно до Законів України "Про наукову і науково-технічну експертизу", "Про інформацію", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про державну таємницю", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505, та Положення про Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України, затвердженого Указом Президента України від 6 жовтня 2000 року N 1120, з метою організації та проведення державної експертизи у сфері криптографічного захисту інформації

1. Затвердити погоджене з Міністерством науки і освіти України, Державним комітетом України з питань регуляторної політики та підприємництва й Державним комітетом стандартизації, метрології та сертифікації України Положення про державну експертизу у сфері криптографічного захисту інформації (далі - Положення), що додається.

2. Заступнику керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - СБ України) в установленому порядку забезпечити подання Положення на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу покласти на першого заступника керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України.

1.1. Це Положення встановлює порядок організації та проведення державної експертизи у сфері криптографічного захисту інформації (далі - КЗІ) в Україні.

1.2. Дія Положення розповсюджується на органи державної влади, органи місцевого самоврядування, підприємства, установи та організації всіх форм власності, а також фізичних осіб, які зацікавлені в проведенні державної експертизи у сфері КЗІ.

1.3. Положення розроблено відповідно до Законів України "Про державну таємницю", "Про наукову і науково-технічну експертизу", "Про інформацію", "Про захист інформації в інформаційно-телекомунікаційних системах", а також Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505, та Положення про Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України, затвердженого Указом Президента України від 6 жовтня 2000 року N 1120.

1.4. Ужиті в цьому Положенні терміни мають такі значення:

державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є підготовка висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єктів експертизи та яка включає перевірку відповідності об'єктів експертизи вимогам нормативних документів, оцінку рівня захисту інформації об'єктами експертизи або науково-технічного рівня об'єктів експертизи;

експерт - фізична особа, яка має високу кваліфікацію, спеціальні знання та безпосередньо здійснює експертизу у сфері КЗІ і несе персональну відповідальність за достовірність і повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи;

експертний заклад - підприємство, установа та організація, яким відповідно до нормативно-правових актів України надано право здійснювати експертні роботи у сфері КЗІ;

експертні роботи - дослідження та аналіз конкретних властивостей об'єкта експертизи з метою перевірки його відповідності вимогам нормативних документів, оцінки рівня захисту інформації цим об'єктом або його науково-технічного рівня;

висновок державної експертизи - документально оформлений результат експертизи;

замовник експертизи (далі - замовник) - юридична або фізична особа, яка зацікавлена в проведенні експертизи та замовляє (замовляла) її проведення;

засіб КЗІ - програмний, апаратно-програмний, апаратний або інший засіб, призначений для КЗІ;

криптографічний алгоритм - алгоритм, який визначає правила перетворення інформації з метою її криптографічного захисту;

криптографічний захист інформації - вид захисту, що реалізується шляхом перетворення інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

криптографічна система - сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається;

матеріали експертизи - усі матеріали та документи, які отримані під час проведення експертизи;

обладнання КЗІ - технічні засоби, що взаємодіють із засобами КЗІ або керують ними та можуть впливати на їх криптографічні якості;

організатор експертизи - державний орган, який організовує проведення експертизи та (або) проводить експертизу, а також надає експертні висновки;

системи і засоби генерації, тестування та розподілу ключів (далі - ключові засоби) - це апаратні, програмні та апаратно-програмні системи і засоби, які призначені для генерації, виготовлення, тестування, розподілу, реєстрації (сертифікації) ключових даних та носіїв ключових даних (ключових документів).

1.5. Об'єкти експертизи:

засоби та методи, які призначені для розробки, дослідження, виробництва та випробування засобів КЗІ;

звіти про наукові дослідження і розробки, інші результати наукової та науково-технічної діяльності у сфері КЗІ;

криптографічні алгоритми та протоколи, методи генерації ключової інформації;

криптографічні системи, засоби та обладнання КЗІ;

положення програм та проектів державного значення в частині, що стосується КЗІ;

системи і засоби генерації, тестування та розподілу ключів.

1.6. Суб'єкти експертизи - замовник експертизи, організатор експертизи, експертний заклад, експерт.

1.7. Підставами для проведення експертизи є:

рішення органів виконавчої влади та органів місцевого самоврядування, прийняті в межах їх повноважень;

договори на проведення експертизи, укладені суб'єктами експертизи.

1.8. Експертиза може бути обов'язковою. Обов'язковій експертизі підлягають:

об'єкти експертизи, які створені для захисту інформації, що містить відомості, які належать до державної таємниці або конфіденційної інформації, що є власністю держави;

криптографічні системи, засоби та обладнання КЗІ іноземного виробництва;

засоби та методи, які призначені для розробки, дослідження, виробництва та випробування засобів криптографічного захисту інформації, що містить відомості, які належать до державної таємниці або конфіденційної інформації, що є державною власністю;

звіти про наукові дослідження і розробки, інші результати наукової та науково-технічної діяльності у сфері криптографічного захисту інформації, що містить відомості, які належать до державної таємниці або конфіденційної інформації, що є державною власністю;