Відповідно до статті 3 Закону України "Про Державну службу спеціального зв’язку та захисту інформації України", Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, з метою удосконалення системи технічного захисту інформації

1. Внести зміни до Положення про державну експертизу у сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року № 820/14087 (у редакції наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 13 жовтня 2017 року № 565), виклавши його в новій редакції, що додається.

2. Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу залишаю за собою.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про наукову і науково-технічну експертизу", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про інформацію", постанови Кабінету Міністрів України від 29 березня 2006 року № 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", актів нормативно-технічного характеру з технічного захисту інформації і визначає порядок проведення експертизи у сфері технічного захисту інформації.

2. Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів із технічного захисту інформації та можливості їх використання для забезпечення технічного захисту інформації (далі - ТЗІ).

3. Дія цього Положення поширюється на всіх юридичних та фізичних осіб, які є суб’єктами експертизи.

Суб’єктами експертизи є:

юридичні та фізичні особи - власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем; апаратних, апаратно-програмних і програмних засобів, які реалізують функції ТЗІ; організаційно-технічних рішень - замовники експертизи (далі - Замовники);

Адміністрація Держспецзв'язку;

територіальні органи Адміністрації Держспецзв'язку;

навчальні заклади, науково-дослідні, науково-виробничі установи, підприємства, установи та організації, які проводять експертизу (далі - Організатори);

державні органи, які проводять експертизу у сфері свого управління;

фізичні особи, які на постійній або професійній основі здійснюють діяльність, пов’язану з наданням експертних послуг - виконавці експертних робіт з ТЗІ (далі - Експерти).

4. Об’єктами експертизи є:

комплексні системи захисту інформації (далі - КСЗІ), які є невід’ємною складовою інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);

апаратні, апаратно-програмні і програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації (далі - засоби ТЗІ);

організаційно-технічне рішення для впровадження типової компоненти КСЗІ в ІТС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС, самодостатнє для вирішення певного завдання, що включає проєктні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в ІТС (далі - ОТР КСЗІ).

5. Експертиза КСЗІ, засобів ТЗІ та ОТР КСЗІ є процедурою підтвердження відповідності КСЗІ, засобів ТЗІ та ОТР КСЗІ вимогам нормативних документів із ТЗІ.

Експертиза КСЗІ проводиться шляхом експертних випробувань або шляхом аналізу декларації.

Експертиза засобів ТЗІ та ОТР КСЗІ проводиться шляхом експертних випробувань.

6. Експертиза КСЗІ шляхом аналізу декларації може проводитися у випадках, якщо:

1) КСЗІ створено у складі ІТС:

яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;

у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;

у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі потреби створення комплексу ТЗІ) засвідчено зареєстрованим у встановленому порядку актом атестації комплексу ТЗІ;

2) КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та має у складі документації форму декларації для цієї КСЗІ, яка погоджена Адміністрацією Держспецзв'язку.

У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.

7. Експертиза може бути первинною, додатковою та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання Організатором заходів, визначених у розділі ІІ цього Положення, для підготовки та прийняття рішення щодо об’єкта експертизи.

Додаткова експертиза проводиться стосовно об’єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини, а також у зв'язку із закінченням строку дії документів, що засвідчують результати експертизи.

Контрольна експертиза проводиться іншим Організатором з ініціативи Замовника у разі наявності у нього обґрунтованих претензій до висновку первинної чи додаткової експертизи або з ініціативи Адміністрації Держспецзв'язку для перевірки висновку первинної чи додаткової експертизи.

8. Для організації та проведення експертизи Адміністрація Держспецзв'язку:

розглядає заяви Замовників про проведення експертизи КСЗІ в ITC, засобів ТЗІ та ОТР КСЗІ;

приймає рішення щодо можливості й доцільності проведення експертизи, призначає проведення первинної, додаткової експертизи, а у разі потреби перевірки їх висновку - контрольної експертизи;

надає Замовникам та Організаторам методичну допомогу стосовно порядку та організації проведення експертизи, оформлення документів за результатами проведення експертизи;

у разі проведення експертизи засобу ТЗІ приймає рішення щодо необхідності відбору зразків для проведення експертних випробувань;

за результатами розгляду звернення Замовника або Організатора, або правоохоронних органів на підставі викладених у зверненні обставин приймає рішення щодо участі представників Адміністрації Держспецзв'язку при проведенні експертних випробувань для забезпечення відповідності процесу проведення державної експертизи вимогам нормативних документів у сфері захисту інформації;

здійснює контроль за проведенням Організатором експертних випробувань та за дотриманням вимог щодо експлуатації об'єкта експертизи, які впливають на захищеність інформації;

розглядає протоколи експертних випробувань та експертні висновки, надані Організатором;

приймає рішення щодо затвердження або необхідності доопрацювання результатів експертизи;

приймає рішення про реєстрацію декларації за результатами експертизи КСЗІ в ІТС шляхом аналізу декларації;

реєструє, зупиняє дію або скасовує експертні висновки на засоби ТЗІ, ОТР КСЗІ, атестати відповідності КСЗІ;

реєструє або скасовує декларації, у тому числі рішення щодо реєстрації яких було прийнято територіальними органами Адміністрації Держспецзв'язку.

9. Для організації та проведення експертизи територіальний орган Адміністрації Держспецзв'язку приймає рішення про реєстрацію декларації за результатами експертизи КСЗІ в ІТС шляхом аналізу декларації.

1. З метою організації та проведення експертиз, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації Держспецзв'язку створюється експертна рада з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна рада).

2. З метою проведення експертизи КСЗІ в ІТС шляхом аналізу декларації в територіальних органах Адміністрації Держспецзв'язку створюється експертна комісія з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна комісія).

3. Для проведення експертизи шляхом експертних випробувань Замовник надсилає на ім’я Голови Держспецзв'язку (крім випадків, передбачених розділом IV цього Положення) заяву про проведення первинної/додаткової/контрольної експертизи КСЗІ в ІТС згідно з додатком 1, заяву про проведення первинної/додаткової/контрольної експертизи ОТР КСЗІ згідно з додатком 2, заяву про проведення первинної/додаткової/контрольної експертизи засобу ТЗІ згідно з додатком 3 з наданням пропозиції щодо Організатора. До заяви про проведення експертизи КСЗІ в ІТС та ОТР КСЗІ додається технічне завдання на їх створення.

Для проведення експертизи КСЗІ в ІТС шляхом аналізу декларації (крім випадків, передбачених розділом IV цього Положення) Замовник надсилає декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ згідно з додатком 4, формуляр ІТС, акт про завершення робіт зі створення КСЗІ:

до Адміністрації Держспецзв'язку - на ім’я Голови Держспецзв'язку для ІТС, які розташовано за територіальною ознакою у місті Києві і Київській області;

до відповідного територіального органу Адміністрації Держспецзв'язку - на ім’я керівника територіального органу Держспецзв'язку за місцезнаходженням ІТС.

Для проведення експертизи КСЗІ в ІТС шляхом аналізу декларації, яка створена на основі ОТР КСЗІ та підпадає під дію підпункту 2 пункту 6 розділу І цього Положення, Замовник надсилає до Адміністрації Держспецзв'язку декларацію та додатки до неї згідно із вимогами ОТР КСЗІ.

4. За результатами аналізу декларації і поданих разом із нею документів Експертна рада (Експертна комісія) приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація Держспецзв'язку (її територіальний орган) повертає Замовнику.

5. У разі неподання документів, зазначених у пункті 3 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам нормативних документів із ТЗІ Адміністрація Держспецзв'язку (територіальний орган Адміністрації Держспецзв'язку) письмово повідомляє Замовника про відмову в реєстрації декларації, причини, через які реєстрація не є можливою, та повертає декларацію і подані з нею документи на доопрацювання. Після усунення причин, що стали підставою для відмови у реєстрації декларації, Замовник надсилає для повторного розгляду до Адміністрації Держспецзв'язку (територіального органу Адміністрації Держспецзв'язку) доопрацьовану декларацію і документи, які подаються разом з нею.

6. Зареєстрована декларація або атестат відповідності КСЗІ скасовуються Адміністрацією Держспецзв'язку в разі внесення змін до КСЗІ, не передбачених техноробочим проєктом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ.

7. Строк дії зареєстрованої декларації є необмеженим, крім декларацій на КСЗІ в ІТС, які створено на основі ОТР КСЗІ, строк дії якої встановлюється вимогами ОТР КСЗІ (але не більше ніж 5 років).

8. За результатами розгляду заяви Експертна рада приймає рішення про доцільність проведення експертизи та визначає її Організатора з урахуванням пропозиції Замовника.

9. Про рішення Експертної ради Замовнику та Організатору надсилається письмове повідомлення.

10. У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи він може звернутися до Адміністрації Держспецзв'язку з пропозицією щодо здійснення контролю за проведенням Організатором експертних випробувань або із заявою на ім'я Голови Держспецзв'язку про проведення контрольної експертизи (додаток 1).

11. Основним документом, що регламентує відносини між Замовником і Організатором, є укладений між ними договір на проведення експертизи.

12. Витрати, пов’язані з проведенням експертизи, здійснюються на підставі договору відповідно до законодавства України.

13. Строк проведення експертизи визначається договором.

14. Кількість і персональний склад експертів, які залучаються до виконання експертних робіт, визначає Організатор.

15. Замовник надає Організатору комплект технічної документації на об’єкт експертизи, необхідної для проведення експертних випробувань.

16. Організатор за результатами аналізу наданих документів та з урахуванням загальних методик оцінювання задекларованих характеристик засобів ТЗІ, ОТР КСЗІ та КСЗІ формує програму і методику проведення експертизи об’єкта, здійснює відбір зразків засобів ТЗІ та складає перелік необхідного програмно-технічного забезпечення для проведення випробувань.

17. Програма проведення експертизи погоджується із Замовником.

18. Під час проведення експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до визначеної методики.

19. У проведенні експертизи за відповідним рішенням Адміністрації Держспецзв'язку як спостерігачі мають право брати участь представники Адміністрації Держспецзв'язку.

20. Результати роботи оформлюються у вигляді протоколу виконання робіт відповідно до методики експертизи КСЗІ (ОТР КСЗІ або засобу ТЗІ) згідно з додатком 5 за підписом Експертів, які її виконували. Протокол виконання робіт затверджує Організатор.

21. Узгодження результатів окремих робіт між Експертом та Організатором, а також унесення змін до протоколу виконання робіт після його оформлення не дозволяються.

22. У протоколі виконання робіт можуть бути зафіксовані особливі думки Експертів відносно результатів виконаних робіт.

23. У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ Організатор може запропонувати Замовнику виконати доопрацювання.