- Правова система ipLex360
- Законодавство
- Наказ
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
Зареєстровано в Міністерстві
юстиції України
16 липня 2008 р.
за № 651/15342
Про затвердження Положення про державну експертизу в сфері криптографічного захисту інформації
( Преамбула із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1. Затвердити Положення про державну експертизу в сфері криптографічного захисту інформації, що додається.
3. Начальнику Департаменту регулювання діяльності в сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.
Т.в.о Голови Служби |
Ю.В. Кіцул |
ПОГОДЖЕНО: Голова Державного комітету України з питань регуляторної політики та підприємництва Заступник Міністра юстиції України Заступник Міністра освіти і науки України Голова Державного комітету України з питань технічного регулювання та споживчої політики |
К. Ващенко В.В. Лутковська М.В.Стріха Л.В. Лосюк |
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної
служби спеціального зв'язку
та захисту інформації України
23.06.2008 № 100
Зареєстровано в Міністерстві
юстиції України
16 липня 2008 р.
за № 651/15342
ПОЛОЖЕННЯ
про державну експертизу в сфері криптографічного захисту інформації
I. Загальні положення
1.2. Вимоги цього Положення поширюються на органи державної влади та органи місцевого самоврядування, підприємства, установи та організації всіх форм власності (далі - підприємства, установи та організації), які здійснюють діяльність у галузі КЗІ та є суб'єктами експертизи.
( Пункт 1.2 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.3. Використані в цьому Положенні терміни вживаються в такому значенні:
верифікація - експертні дослідження, які здійснюються з метою установлення відповідності об'єкта експертизи зразку-свідку;
державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є визначення за результатами аналізу матеріалів експертних (тематичних) досліджень відповідності об'єктів експертизи вимогам нормативних документів та (або) нормативно-правових актів у сфері КЗІ, оцінка рівня та механізмів захисту інформації об'єктом експертизи або науково-технічного рівня об'єкта експертизи, підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єкта експертизи за призначенням;
( Абзац третій пункту 1.3 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
експертний висновок - документально оформлений результат експертизи, який надається Адміністрацією Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку) за проведеним аналізом результатів експертних досліджень;
експертні дослідження – дослідження та аналіз конкретних властивостей засобів криптографічного захисту інформації, криптографічних алгоритмів, засобів, систем та комплексів спеціального зв’язку з метою перевірки їх відповідності вимогам нормативних документів та/або нормативно-правових актів, оцінки захищеності інформації або їх науково-технічного рівня;
зразок-свідок - зразок об'єкта експертизи, який отримав позитивний експертний висновок та призначений для проведення верифікації інших зразків об'єкта експертизи на відповідність цьому зразку;
матеріали експертизи - усі матеріали та документи щодо об'єкта експертизи (у тому числі програми та методики проведення досліджень, протоколи, звіти та рекомендації), які отримані або створені під час її проведення;
( Абзац сьомий пункту 1.3 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
обладнання КЗІ - обладнання, що функціонально взаємодіє або здійснює керування засобом КЗІ та відносно якого висуваються вимоги щодо побудови та експлуатації з метою унеможливлення впливу цього обладнання на якості засобу КЗІ;
( Пункт 1.3 розділу I доповнено новим абзацом восьмим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
спеціалізована організація - установа, організація чи підприємство, що здійснює тематичні дослідження криптографічних алгоритмів або засобів КЗІ та засобів спеціального зв'язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації;
( Пункт 1.3 розділу I доповнено новим абзацом дев'ятим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
тематичні дослідження – дослідження щодо встановлення відповідності засобів криптографічного захисту інформації, криптосистем, криптографічних алгоритмів, засобів, систем і комплексів спеціального зв’язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації вимогам тактико-технічних завдань на їх створення, нормативних документів та/або нормативно-правових актів у сфері криптографічного захисту інформації, а також вимогам із захисту від витоку інформації каналами побічних електромагнітних випромінювань і наведень.
( Пункт 1.3 розділу I доповнено новим абзацом десятим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013; в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 570 від 22.09.2015 )
( Абзац одинадцятий пункту 1.3 розділу I із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013,
№ 570 від 22.09.2015; в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 129 від 04.03.2020 )
1.4. Суб'єктами експертизи є:
замовники експертизи;
Адміністрація Держспецзв'язку;
експертні заклади;
спеціалізовані організації.
( Пункт 1.4 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.5. Об'єктами експертизи є:
засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;
звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;
криптографічні алгоритми та протоколи;
алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключових даних;
( Абзац п'ятий пункту 1.5 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
криптографічні системи, засоби та обладнання КЗІ (далі - криптографічні засоби);
положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ.
1.6. Експертиза є обов'язковою або добровільною. Обов'язковій експертизі підлягають:
засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;
( Абзац другий пункту 1.6 розділу І із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 90 від 02.03.2012 )
криптографічні алгоритми та криптографічні протоколи, які планується визначити як такі, що рекомендовані для використання або як національні стандарти;
( Абзац третій пункту 1.6 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключів;
( Абзац четвертий пункту 1.6 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
криптосистеми, засоби й обладнання криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;
( Абзац п'ятий пункту 1.6 розділу І із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 90 від 02.03.2012,
№ 237 від 22.04.2013; в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 129 від 04.03.2020 )
засоби категорії "П", що використовуються як засоби кваліфікованого електронного підпису чи печатки;
( Пункт 1.6 розділу I доповнено новим абзацом шостим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 129 від 04.03.2020 )
засоби, що реалізують криптоперетворення та/або механізми імітозахисту та використовуються в системах зв’язку, управління та озброєння;
( Пункт 1.6 розділу I доповнено новим абзацом сьомим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 129 від 04.03.2020 )
засоби обробки та передачі державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, які реалізують функції криптографічного захисту інформації;
( Пункт 1.6 розділу I доповнено новим абзацом восьмим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 129 від 04.03.2020 )
криптосистеми, засоби та обладнання КЗІ іноземного виробництва, які підлягають експортному контролю;
результати тематичних досліджень.
( Пункт 1.6 розділу I доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.7. Експертиза об'єктів, які не зазначені в пункті 1.6, є добровільною.
1.8. Організація експертизи здійснюється безкоштовно Адміністрацією Держспецзв'язку.
1.9. Експертні (тематичні) дослідження проводять експертні заклади (спеціалізовані організації) або Адміністрація Держспецзв'язку за договорами на проведення експертних (тематичних) досліджень.
( Пункт 1.9 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.10. Для координації та здійснення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв'язку (далі - Експертна комісія).
1.11. Результати експертних (тематичних) досліджень розглядаються Експертною комісією, за результатами чого Адміністрація Держспецзв'язку видає експертний висновок.
( Розділ I доповнено новим пунктом 1.11 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.12. Експертна комісія підпорядковується Голові Держспецзв'язку.
( Розділ I доповнено новим пунктом 1.12 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.13. Основними завданнями Експертної комісії є:
аналіз стану та розробка пропозицій щодо вдосконалення методології проведення експертних (тематичних) досліджень і процедур проведення експертизи їх результатів;
формування та розгляд пропозицій щодо розробки та вдосконалення нормативно-правових актів і нормативних документів з питань організації та проведення експертизи;
розгляд проектів програм і методик проведення експертних (тематичних) досліджень і прийняття рішення щодо їх затвердження та погодження;
розгляд висновків експертизи з метою оцінки їх повноти, об'єктивності, достовірності та інших характеристик;
аналіз та оцінка результатів експертних (тематичних) досліджень, інших документів і матеріалів, які необхідні для прийняття остаточного рішення за результатами експертизи;
формування пропозицій щодо надання (анулювання) експертних висновків;
підготовка пропозицій щодо погодження (затвердження) нормативної та технічної документації, що регламентує використання об'єктів експертизи;
розгляд питань щодо залучення підприємств, установ і організацій як експертних закладів (спеціалізованих організацій);
розгляд питань щодо залучення фахівців Держспецзв'язку, інших центральних органів виконавчої влади, підприємств, установ і організацій як експертів у сфері КЗІ;
розгляд питань (у разі потреби) щодо напрямів та обсягу експертних (тематичних) досліджень;
розгляд та узгодження питань, що виникають у сфері організації та під час проведення державної експертизи у сфері КЗІ.
( Розділ I доповнено новим пунктом 1.13 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.14. Право власності на експертний висновок належить замовнику, якщо інше не передбачено законодавством України.
1.15. Поширення інформації з питань організації та проведення експертизи, яка надається Адміністрацією Держспецзв'язку іншим суб'єктам експертизи, здійснюється за погодженням з Адміністрацією Держспецзв'язку.
1.16. Адміністрація Держспецзв'язку, експертні заклади та спеціалізовані організації забезпечують конфіденційність інформації та дотримання авторських прав щодо наданих матеріалів.
( Пункт 1.16 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
1.17. Під час проведення експертизи поводження з інформацією з обмеженим доступом здійснюється відповідно до чинного законодавства України.
II. Порядок організації та проведення експертизи
2.1. Подання та розгляд заявки, укладання договорів
2.1.1. Для проведення експертизи таких об'єктів, як:
засоби, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ,
засоби та системи генерації, тестування і розподілу ключових даних;
криптографічні системи, засоби та обладнання КЗІ, замовник подає до Адміністрації Держспецзв'язку заявку на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 1). До заявки на експертизу перелічених вище об'єктів (далі - криптографічні засоби) додається комплект документів та матеріалів згідно з переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів вітчизняного виробництва (додаток 2), або переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів іноземного виробництва (додаток 3).
( Абзац четвертий підпункту 2.1.1 пункту 2.1 розділу II із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013,
№ 129 від 04.03.2020 )
З урахуванням особливостей криптографічних засобів зазначені вище переліки можуть уточнюватися.
У складі комплекту документів на проведення державної експертизи криптографічних засобів вітчизняного виробництва, які виготовляються серійно, обов'язково подаються технічні умови, затверджені та зареєстровані в установленому порядку.
( Підпункт 2.1.1 пункту 2.1 розділу II доповнено новим абзацом шостим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
Для криптографічних засобів вітчизняного виробництва, які заплановано виготовляти серійно та які вперше подані на державну експертизу, подається погоджений замовником розробки криптографічного засобу проект технічних умов. За позитивними результатами державної експертизи проект технічних умов погоджується Адміністрацією Держспецзв'язку.
( Підпункт 2.1.1 пункту 2.1 розділу II доповнено новим абзацом сьомим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
2.1.2. Для проведення експертизи таких об'єктів, як:
методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;
звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;
криптографічні алгоритми та протоколи, методи генерації, тестування та розподілу ключових даних;
положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ, замовник експертизи подає до Адміністрації Держспецзв'язку заявку на проведення експертизи, відповідний об'єкт експертизи, а також документи та матеріали з обґрунтуванням змісту об'єкта експертизи.
2.1.3. Документи та матеріали на об'єкт експертизи надаються українською мовою.
2.1.4. Адміністрація Держспецзв'язку в місячний термін з дня отримання заявки розглядає її та здійснює аналіз наданих документів і матеріалів.
2.1.5. Під час аналізу наданих документів та матеріалів перевіряються:
наявність та достатність документів, матеріалів, зразків для проведення експертизи;
наявність документів, що підтверджують походження об'єкта експертизи, розміри партії криптографічних засобів;
перелік документів, матеріалів, спеціального устаткування для проведення експертних досліджень;
можливість ідентифікації криптографічних засобів;
достовірність, правильність оформлення та термін дії наданої замовником документації;
можливість експертних закладів проводити відповідні експертні дослідження.
2.1.6. У разі визначення в заявці експертного закладу, що планується до проведення експертних досліджень вперше, до неї додатково додаються:
перелік фахівців, що мають проводити експертні дослідження, із зазначенням рівня їх освіти (який вищий навчальний заклад та в якому році закінчив, яка присвоєна кваліфікація, отримана спеціальність) і досвіду з розробки або досліджень у сфері криптографічного захисту інформації;
перелік матеріальних засобів (із зазначенням їх технічних характеристик), що призначені для проведення досліджень.
( Пункт 2.1 розділу II доповнено новим підпунктом 2.1.6 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
2.1.7. Адміністрацією Держспецзв'язку може бути обґрунтовано визначено необхідність надання замовником додаткових документів, матеріалів, спеціального устаткування з урахуванням особливостей об'єкта експертизи, у тому числі особливостей реалізації криптографічного засобу, порядку та схеми проведення експертизи, мети проведення експертизи, можливості (необхідності) виходу з ладу або руйнації зразків криптографічного засобу, його габаритних показників тощо.
2.1.8. У разі невідповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку повідомляє замовника про відмову в проведенні експертизи та причини, через які проведення експертизи неможливе. Після усунення причин неможливості проведення експертизи замовник має право подати нову заявку.
2.1.9. У разі відповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку готує рішення Адміністрації Держспецзв'язку за заявкою на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 4) (далі - рішення Адміністрації Держспецзв'язку), у якому визначаються умови проведення експертизи, перелік додаткових документів та матеріалів, необхідних для проведення експертизи, схема проведення експертизи за варіантами схем проведення експертизи криптографічних засобів (додаток 5), а також експертний заклад.
2.1.10. Експертний заклад призначається Адміністрацією Держспецзв'язку з урахуванням пропозицій замовника.
2.1.11. Про рішення Адміністрації Держспецзв'язку замовнику експертизи та експертному закладу протягом десяти днів після його прийняття надсилається письмове повідомлення.
( Підпункт 2.1.11 пункту 2.1 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 237 від 22.04.2013 )
2.1.12. Договір на проведення експертних (тематичних) досліджень між замовником та експертним закладом (спеціалізованою організацією) укладається після отримання ними повідомлення про рішення Адміністрації Держспецзв'язку.
................Перейти до повного тексту