Відповідно до Закону України "Про захист інформації в інформаційно-комунікаційних системах", Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв’язку від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (зі змінами), з метою впорядкування діяльності, пов’язаної з проведенням державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України, НАКАЗУЮ:

1. Затвердити Порядок проведення державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України, що додається.

2. Центру захисту інформації спільно зі Службою юридичного забезпечення надати цей наказ на державну реєстрацію у визначеному порядку.

3. Контроль за виконанням цього наказу залишаю за собою.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок розроблено відповідно до Закону України "Про захист інформації в інформаційно-комунікаційних системах", Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України 29 березня 2006 року № 373, Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (зі змінами) (далі - Положення № 93), та інших актів нормативно-технічного характеру щодо технічного захисту інформації (далі - ТЗІ).

2. Цей Порядок встановлює організаційні засади проведення Управлінням державної охорони України (далі - УДО України) державної експертизи в сфері ТЗІ комплексних систем захисту інформації (далі - КСЗІ) в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - ІКС), призначених для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.

3. Державна експертиза (далі - Експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки КСЗІ в ІКС підрозділів УДО України щодо їх відповідності вимогам нормативних документів щодо ТЗІ та можливості їх використання для забезпечення ТЗІ.

4. Суб’єктами проведення Експертизи в УДО України є:

організатор Експертизи - підрозділ захисту інформації УДО України (далі - Організатор);

замовник Експертизи - підрозділ УДО України, для потреб якого створюється об’єкт Експертизи (далі - Замовник);

експерти з питань ТЗІ (далі - Експерти) - військовослужбовці та працівники підрозділу захисту інформації УДО України, до службових обов’язків яких належить виконання завдань з проведення Експертизи КСЗІ в ІКС.

5. Об’єктом Експертизи згідно з цим Порядком є КСЗІ в ІКС, що призначені для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.

6. Дія цього Порядку не поширюється на такі об’єкти Експертизи:

1) технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації;

2) організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІКС (далі - ОТР КСЗІ) - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІКС або КСЗІ типової складової компоненти КСЗІ в ІКС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІКС та опис (алгоритм) процедури впровадження.

Експертиза зазначених об’єктів має здійснюватися відповідно до вимог Положення № 93.

7. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів щодо ТЗІ, що проводиться шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів щодо ТЗІ (далі - декларація) або шляхом експертних випробувань.

8. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

1) КСЗІ створено в ІКС:

що є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;

у кожний момент часу з якою може працювати тільки один користувач, при цьому осіб, що мають доступ до комплексу, може бути декілька;

у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі необхідності створення комплексу ТЗІ) засвідчено зареєстрованим в установленому порядку актом атестації комплексу ТЗІ;

2) КСЗІ в ІКС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та типову форму декларації для цієї ІКС у складі документації.

У всіх інших випадках Експертиза КСЗІ в ІКС проводиться шляхом експертних випробувань.

9. Організація роботи Експертів, координація заходів щодо об’єктивного і своєчасного проведення Експертизи КСЗІ в підрозділах УДО України, строків її проведення, формування програм і методик Експертизи, оформлення експертних висновків, атестатів відповідності та організація реєстрації атестатів відповідності або декларацій в Адміністрації Держспецзв’язку покладаються на підрозділ захисту інформації УДО України.

10. Організатор:

здійснює всі заходи, визначені цим Порядком, з метою організації і проведення Експертизи відповідно до цього Порядку та контролю за дотриманням вимог, що впливають на захищеність інформації;

складає пропозиції щодо розроблення та розробляє у встановленому порядку проекти організаційно-розпорядчих документів УДО України з питань проведення Експертизи.

11. Дія цього Порядку поширюється на Організатора, Експертів та Замовників.

12. Експертиза, що виконується відповідно до цього Порядку, є первинною або додатковою.

13. Список Експертів, які залучаються до виконання експертних робіт під час проведення конкретної Експертизи, визначається Організатором.

14. В якості Експертів забороняється залучати військовослужбовців та працівників УДО України, які брали участь у створенні КСЗІ, що є об’єктом Експертизи.

1. З метою проведення Експертизи шляхом експертних випробувань Замовник складає та надає Організатору заяву (додаток 1) про проведення Експертизи КСЗІ ІКС (далі - заява), технічне завдання на створення КСЗІ в ІКС та формуляр ІКС.

2. За результатами розгляду наданих документів Організатор у місячний строк приймає рішення щодо доцільності проведення Експертизи та:

при позитивному рішенні складає проект організаційно-розпорядчого акта УДО України про проведення Експертизи, в якому визначаються Замовник, об’єкт Експертизи та Експерти, які проводитимуть Експертизу КСЗІ;

при негативному рішенні письмово повідомляє Замовника із зазначенням підстав (недоліків).

3. Строк проведення Експертизи визначається Організатором та не має перевищувати:

для КСЗІ в автоматизованих системах класу 1 - двох місяців;

для КСЗІ в автоматизованих системах класу 2 - чотирьох місяців;

для КСЗІ в автоматизованих системах класу 3 - шести місяців.

У випадку значного обсягу експертних робіт, необхідності узгодження документації щодо порядку та обсягу проведення експертних випробувань з Адміністрацією Держспецзв’язку або іншими власниками (розпорядниками) ІКС (для автоматизованих систем класу 2 та 3) термін проведення Експертизи може бути продовжений з повідомленням про це Організатором керівника УДО України відповідно до розподілу службових обов’язків та Замовника.

4. Замовник надає Організатору комплект технічної документації на об’єкт Експертизи, необхідної для проведення експертних випробувань.