Відповідно до Законів України "Про наукову і науково-технічну експертизу", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року № 505, Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року № 717,

1. Затвердити Положення про державну експертизу в сфері криптографічного захисту інформації, що додається.

2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 25.12.2000 № 62 "Про затвердження Положення про державну експертизу у сфері криптографічного захисту інформації", зареєстрований у Міністерстві юстиції України 12.01.2001 за № 9/5200.

3. Начальнику Департаменту регулювання діяльності в сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

1.1. Це Положення, розроблене відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України", "Про наукову і науково-технічну експертизу", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року № 505, Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, установлює порядок організації та проведення державної експертизи у сфері криптографічного захисту інформації (далі - КЗІ) в Україні.

1.2. Вимоги цього Положення поширюються на органи державної влади та органи місцевого самоврядування, підприємства, установи та організації всіх форм власності (далі - підприємства, установи та організації), які здійснюють діяльність у галузі КЗІ та є суб'єктами експертизи.

1.3. Використані в цьому Положенні терміни вживаються в такому значенні:

верифікація - експертні дослідження, які здійснюються з метою установлення відповідності об'єкта експертизи зразку-свідку;

державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є визначення за результатами аналізу матеріалів експертних (тематичних) досліджень відповідності об'єктів експертизи вимогам нормативних документів та (або) нормативно-правових актів у сфері КЗІ, оцінка рівня та механізмів захисту інформації об'єктом експертизи або науково-технічного рівня об'єкта експертизи, підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єкта експертизи за призначенням;

експертний висновок - документально оформлений результат експертизи, який надається Адміністрацією Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку) за проведеним аналізом результатів експертних досліджень;

експертні дослідження – дослідження та аналіз конкретних властивостей засобів криптографічного захисту інформації, криптографічних алгоритмів, засобів, систем та комплексів спеціального зв’язку з метою перевірки їх відповідності вимогам нормативних документів та/або нормативно-правових актів, оцінки захищеності інформації або їх науково-технічного рівня;

зразок-свідок - зразок об'єкта експертизи, який отримав позитивний експертний висновок та призначений для проведення верифікації інших зразків об'єкта експертизи на відповідність цьому зразку;

матеріали експертизи - усі матеріали та документи щодо об'єкта експертизи (у тому числі програми та методики проведення досліджень, протоколи, звіти та рекомендації), які отримані або створені під час її проведення;

обладнання КЗІ - обладнання, що функціонально взаємодіє або здійснює керування засобом КЗІ та відносно якого висуваються вимоги щодо побудови та експлуатації з метою унеможливлення впливу цього обладнання на якості засобу КЗІ;

спеціалізована організація - установа, організація чи підприємство, що здійснює тематичні дослідження криптографічних алгоритмів або засобів КЗІ та засобів спеціального зв'язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації;

тематичні дослідження – дослідження щодо встановлення відповідності засобів криптографічного захисту інформації, криптосистем, криптографічних алгоритмів, засобів, систем і комплексів спеціального зв’язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації вимогам тактико-технічних завдань на їх створення, нормативних документів та/або нормативно-правових актів у сфері криптографічного захисту інформації, а також вимогам із захисту від витоку інформації каналами побічних електромагнітних випромінювань і наведень.

Інші терміни вживаються у значенні, наведеному в Законах України "Про Державну службу спеціального зв’ язку та захисту інформації України", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про електронні довірчі послуги", Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 року № 505, Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (із змінами).

1.4. Суб'єктами експертизи є:

замовники експертизи;

Адміністрація Держспецзв'язку;

експертні заклади;

спеціалізовані організації.

1.5. Об'єктами експертизи є:

засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;

звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;

криптографічні алгоритми та протоколи;

алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключових даних;

криптографічні системи, засоби та обладнання КЗІ (далі - криптографічні засоби);

положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ.

1.6. Експертиза є обов'язковою або добровільною. Обов'язковій експертизі підлягають:

засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;

криптографічні алгоритми та криптографічні протоколи, які планується визначити як такі, що рекомендовані для використання або як національні стандарти;

алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключів;

криптосистеми, засоби й обладнання криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;

засоби категорії "П", що використовуються як засоби кваліфікованого електронного підпису чи печатки;

засоби, що реалізують криптоперетворення та/або механізми імітозахисту та використовуються в системах зв’язку, управління та озброєння;

засоби обробки та передачі державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, які реалізують функції криптографічного захисту інформації;

криптосистеми, засоби та обладнання КЗІ іноземного виробництва, які підлягають експортному контролю;

результати тематичних досліджень.

1.7. Експертиза об'єктів, які не зазначені в пункті 1.6, є добровільною.

1.8. Організація експертизи здійснюється безкоштовно Адміністрацією Держспецзв'язку.

1.9. Експертні (тематичні) дослідження проводять експертні заклади (спеціалізовані організації) або Адміністрація Держспецзв'язку за договорами на проведення експертних (тематичних) досліджень.

1.10. Для координації та здійснення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв'язку (далі - Експертна комісія).

1.11. Результати експертних (тематичних) досліджень розглядаються Експертною комісією, за результатами чого Адміністрація Держспецзв'язку видає експертний висновок.

1.12. Експертна комісія підпорядковується Голові Держспецзв'язку.

1.13. Основними завданнями Експертної комісії є:

аналіз стану та розробка пропозицій щодо вдосконалення методології проведення експертних (тематичних) досліджень і процедур проведення експертизи їх результатів;

формування та розгляд пропозицій щодо розробки та вдосконалення нормативно-правових актів і нормативних документів з питань організації та проведення експертизи;

розгляд проектів програм і методик проведення експертних (тематичних) досліджень і прийняття рішення щодо їх затвердження та погодження;

розгляд висновків експертизи з метою оцінки їх повноти, об'єктивності, достовірності та інших характеристик;

аналіз та оцінка результатів експертних (тематичних) досліджень, інших документів і матеріалів, які необхідні для прийняття остаточного рішення за результатами експертизи;

формування пропозицій щодо надання (анулювання) експертних висновків;

підготовка пропозицій щодо погодження (затвердження) нормативної та технічної документації, що регламентує використання об'єктів експертизи;

розгляд питань щодо залучення підприємств, установ і організацій як експертних закладів (спеціалізованих організацій);

розгляд питань щодо залучення фахівців Держспецзв'язку, інших центральних органів виконавчої влади, підприємств, установ і організацій як експертів у сфері КЗІ;

розгляд питань (у разі потреби) щодо напрямів та обсягу експертних (тематичних) досліджень;

розгляд та узгодження питань, що виникають у сфері організації та під час проведення державної експертизи у сфері КЗІ.

1.14. Право власності на експертний висновок належить замовнику, якщо інше не передбачено законодавством України.

1.15. Поширення інформації з питань організації та проведення експертизи, яка надається Адміністрацією Держспецзв'язку іншим суб'єктам експертизи, здійснюється за погодженням з Адміністрацією Держспецзв'язку.

1.16. Адміністрація Держспецзв'язку, експертні заклади та спеціалізовані організації забезпечують конфіденційність інформації та дотримання авторських прав щодо наданих матеріалів.

1.17. Під час проведення експертизи поводження з інформацією з обмеженим доступом здійснюється відповідно до чинного законодавства України.

2.1. Подання та розгляд заявки, укладання договорів

2.1.1. Для проведення експертизи таких об'єктів, як:

засоби, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ,

засоби та системи генерації, тестування і розподілу ключових даних;

криптографічні системи, засоби та обладнання КЗІ, замовник подає до Адміністрації Держспецзв'язку заявку на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 1). До заявки на експертизу перелічених вище об'єктів (далі - криптографічні засоби) додається комплект документів та матеріалів згідно з переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів вітчизняного виробництва (додаток 2), або переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів іноземного виробництва (додаток 3).

З урахуванням особливостей криптографічних засобів зазначені вище переліки можуть уточнюватися.

У складі комплекту документів на проведення державної експертизи криптографічних засобів вітчизняного виробництва, які виготовляються серійно, обов'язково подаються технічні умови, затверджені та зареєстровані в установленому порядку.

Для криптографічних засобів вітчизняного виробництва, які заплановано виготовляти серійно та які вперше подані на державну експертизу, подається погоджений замовником розробки криптографічного засобу проект технічних умов. За позитивними результатами державної експертизи проект технічних умов погоджується Адміністрацією Держспецзв'язку.

2.1.2. Для проведення експертизи таких об'єктів, як:

методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;

звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;

криптографічні алгоритми та протоколи, методи генерації, тестування та розподілу ключових даних;

положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ, замовник експертизи подає до Адміністрації Держспецзв'язку заявку на проведення експертизи, відповідний об'єкт експертизи, а також документи та матеріали з обґрунтуванням змісту об'єкта експертизи.

2.1.3. Документи та матеріали на об'єкт експертизи надаються українською мовою.

2.1.4. Адміністрація Держспецзв'язку в місячний термін з дня отримання заявки розглядає її та здійснює аналіз наданих документів і матеріалів.

2.1.5. Під час аналізу наданих документів та матеріалів перевіряються:

наявність та достатність документів, матеріалів, зразків для проведення експертизи;

наявність документів, що підтверджують походження об'єкта експертизи, розміри партії криптографічних засобів;

перелік документів, матеріалів, спеціального устаткування для проведення експертних досліджень;

можливість ідентифікації криптографічних засобів;

достовірність, правильність оформлення та термін дії наданої замовником документації;

можливість експертних закладів проводити відповідні експертні дослідження.

2.1.6. У разі визначення в заявці експертного закладу, що планується до проведення експертних досліджень вперше, до неї додатково додаються:

перелік фахівців, що мають проводити експертні дослідження, із зазначенням рівня їх освіти (який вищий навчальний заклад та в якому році закінчив, яка присвоєна кваліфікація, отримана спеціальність) і досвіду з розробки або досліджень у сфері криптографічного захисту інформації;

перелік матеріальних засобів (із зазначенням їх технічних характеристик), що призначені для проведення досліджень.

2.1.7. Адміністрацією Держспецзв'язку може бути обґрунтовано визначено необхідність надання замовником додаткових документів, матеріалів, спеціального устаткування з урахуванням особливостей об'єкта експертизи, у тому числі особливостей реалізації криптографічного засобу, порядку та схеми проведення експертизи, мети проведення експертизи, можливості (необхідності) виходу з ладу або руйнації зразків криптографічного засобу, його габаритних показників тощо.

2.1.8. У разі невідповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку повідомляє замовника про відмову в проведенні експертизи та причини, через які проведення експертизи неможливе. Після усунення причин неможливості проведення експертизи замовник має право подати нову заявку.

2.1.9. У разі відповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку готує рішення Адміністрації Держспецзв'язку за заявкою на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 4) (далі - рішення Адміністрації Держспецзв'язку), у якому визначаються умови проведення експертизи, перелік додаткових документів та матеріалів, необхідних для проведення експертизи, схема проведення експертизи за варіантами схем проведення експертизи криптографічних засобів (додаток 5), а також експертний заклад.

2.1.10. Експертний заклад призначається Адміністрацією Держспецзв'язку з урахуванням пропозицій замовника.

2.1.11. Про рішення Адміністрації Держспецзв'язку замовнику експертизи та експертному закладу протягом десяти днів після його прийняття надсилається письмове повідомлення.

2.1.12. Договір на проведення експертних (тематичних) досліджень між замовником та експертним закладом (спеціалізованою організацією) укладається після отримання ними повідомлення про рішення Адміністрації Держспецзв'язку.