Відповідно до абзацу другого пункту 22 Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, та з метою впорядкування діяльності, пов'язаної з проведенням державної експертизи комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах Міністерства оборони України,

НАКАЗУЮ:

1. Затвердити Порядок проведення державної експертизи комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах Міністерства оборони України, що додається.

2. Директорату цифрової трансформації у сфері оборони Міністерства оборони України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

 

 

1. Цей Порядок визначає процедуру організації та проведення державної експертизи комплексних систем захисту інформації (далі - КСЗІ), у тому числі побудованих з використанням профілів безпеки в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - ІКС) Міноборони шляхом експертних випробувань та аналізу декларацій у системі Міноборони.

2. Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів системи технічного захисту інформації (далі - НД ТЗІ), у тому числі відомчих документів з питань інформаційної безпеки та кібербезпеки в ІКС, та можливості використання об'єктів експертизи для забезпечення технічного захисту інформації (далі - ТЗІ). Суб'єктами експертизи є:

структурний підрозділ апарату Міноборони, установа або організація (у тому числі військова частина) безпосереднього підпорядкування, що забезпечує виконання завдань і функцій Міноборони, на який(у) згідно з розподілом повноважень покладено функції із забезпечення ТЗІ в Міноборони (далі - Організатор);

структурний підрозділ апарату Міноборони, установа або організація (у тому числі військові частини) безпосереднього підпорядкування, що забезпечують виконання завдань і функцій Міноборони, а також підприємства (їх об'єднання), що належать до сфери управління Міноборони, які є власниками (розпорядниками) ІКС або розробником організаційно-технічного рішення для впровадження типової компоненти КСЗІ в ІКС Міноборони (далі - Замовник);

посадова особа Міноборони, яка є виконавцем експертних робіт з ТЗІ, а також відповідає вимогам Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 18 жовтня 2023 року № 899, зареєстрованого в Міністерстві юстиції України 01 грудня 2023 року за № 2091/41147 (далі - Експерт).

3. Об'єктами експертизи є:

КСЗІ, яка є невід'ємною складовою ІКС;

організаційно-технічне рішення для впровадження типової компоненти КСЗІ в ІКС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІКС, самодостатнє для вирішення певного завдання, що включає проєктні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІКС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в ІКС (далі - ОТР КСЗІ).

4. Експертиза КСЗІ та ОТР КСЗІ є процедурою підтвердження відповідності об'єкта експертизи вимогам НД ТЗІ, нормативно-правовим актам та стандартам і може проводитись шляхом експертних випробувань або шляхом аналізу декларацій.

Експертиза може проводитись шляхом експертних випробувань відповідно до розділу IV цього Порядку, шляхом аналізу декларацій відповідно до розділу II цього Порядку або шляхом проведення аналізу декларації КСЗІ розробленої з використанням профілів безпеки інформації (далі - КСЗІ на основі ПБ) відповідно до III розділу цього Порядку.

5. Для організації та проведення експертизи КСЗІ або ОТР КСЗІ, координації заходів і прийняття рішень щодо об'єкта експертизи Організатором створюється Експертна рада з питань технічного захисту інформації (далі - Експертна рада). До складу Експертної ради можуть залучатися за згодою керівників представники інших підрозділів Міноборони.

6. Організатор забезпечує виконання робіт з організації та проведення первинної або додаткової експертизи шляхом аналізу декларації та експертних випробувань.

7. Експертиза може бути первинною або додатковою.

Первинна експертиза є основним видом експертизи, проводиться після створення КСЗІ та передбачає виконання всіх необхідних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

Додаткова експертиза проводиться стосовно об'єкта експертизи, щодо якого відкрилися нові наукові та науково-технічні обставини, а також у зв'язку із закінченням строку дії документів, що засвідчують результати експертизи.

8. Документами, що підтверджують відповідність КСЗІ вимогам НД ТЗІ, у тому числі відомчим документам з питань інформаційної безпеки та кібербезпеки в ІКС, є:

декларація про відповідність КСЗІ вимогам нормативних документів з ТЗІ (далі - декларація про відповідність КСЗІ);

декларація про відповідність КСЗІ в системі, створеній з використанням базових та цільових профілів безпеки (далі - декларація про відповідність КСЗІ на основі ПБ);

атестат відповідності КСЗІ (далі - атестат відповідності).

Зазначені документи набирають чинності з дати їх реєстрації в Адміністрації Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку), за винятком декларації про відповідність КСЗІ на основі ПБ, яка набуває чинності з дати її надсилання на адресу Адміністрації Держспецзв'язку.

Документом, що підтверджує відповідність ОТР КСЗІ вимогам НД ТЗІ, у тому числі відомчих документів з питань інформаційної безпеки та кібербезпеки в ІКС, є чинний позитивний експертний висновок на ОТР КСЗІ. Експертний висновок ОТР КСЗІ набуває чинності з дати реєстрації його в Адміністрації Держспецзв'язку.

9. У разі якщо у складі КСЗІ використовуються засоби ТЗІ, які не мають підтвердження відповідності у сфері ТЗІ, оцінювання таких засобів захисту може проводитися в рамках проведення державної експертизи КСЗІ ІКС.

10. Основні завдання суб'єктів експертизи:

1) Організатор:

розробляє рекомендації, організаційно-розпорядчі документи щодо порядку створення та впровадження КСЗІ в ІКС;

створює та забезпечує роботу Експертної ради;

організовує та забезпечує проведення державної експертизи;

забезпечує неупереджене, об'єктивне та своєчасне проведення експертизи;

надає Замовникам методичну допомогу щодо порядку та організації проведення експертизи;

затверджує програму проведення експертизи КСЗІ (далі - Програма) та методику проведення експертизи КСЗІ (далі - Методика), а також інші документи, необхідні для проведення експертизи;

затверджує матеріали проведення експертизи КСЗІ;

здійснює заходи щодо реєстрації або скасування атестата відповідності, експертного висновку ОТР КСЗІ або декларації в Адміністрації Держспецзв'язку;

взаємодіє з Адміністрацією Держспецзв'язку та її уповноваженими підрозділами з питань проведення експертиз;

визначає строк дії атестата відповідності, експертного висновку ОТР КСЗІ;

веде відомчий перелік Експертів;

перевіряє рівень компетенції (кваліфікації) Експертів з питань ТЗІ;

визначає Експертів, які будуть проводити експертизу;

виконує вимоги щодо конфіденційності проведення експертизи;

2) Замовник:

надає Організатору та Експертам необхідні відомості щодо об'єкта експертизи, також доступ до нього для проведення експертизи КСЗІ;

має право використовувати у своїй діяльності матеріали та документи, отримані під час проведення експертизи;

погоджує програму;

зберігає документи, що засвідчують результати експертизи, під час експлуатації ІКС, а також протягом п'яти років після закінчення строку дії (скасування) атестата відповідності або декларації, або виведення ІКС з експлуатації;

інформує Організатора про внесення змін, які впливають на реалізацію оцінених при проведенні експертизи КСЗІ заходів захисту інформації та/або призводять до втрати актуальності цих заходів;

3) Експерт:

об'єктивно, неупереджено та своєчасно виконує експертні роботи;

розробляє необхідні документи для проведення експертизи КСЗІ (зокрема програму та методику), а також оформлює матеріали експертизи;

у разі виявлення недоліків під час експертизи повідомляє про це Замовника та Організатора;

викладає в матеріалах проведення експертизи особисту думку з питань захисту інформації, а також особливі думки щодо результатів виконання робіт;

забезпечує етичність поведінки, а саме відповідальність, непідкупність та неупередженість при виконанні експертних робіт;

керується вимогами законодавства та нормативними документами у сфері захисту інформації, стандартами, а також відомчими документами установи;

отримує від Замовника достовірні відомості, матеріали тощо, необхідні для виконання експертних робіт;

не розголошує інформацію, що стала йому відомою в ході проведення експертизи, окрім випадків, передбачених законодавством.

1. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

1) КСЗІ створено у складі ІКС:

яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;

у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;

в якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ;

у якій використовуються засоби антивірусного захисту, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ;

у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі потреби створення комплексу ТЗІ) засвідчено зареєстрованим у встановленому порядку актом атестації комплексу ТЗІ;

з урахуванням особливостей, визначених нормативно-правовими актами Міноборони;

2) КСЗІ в ІКС створена на основі ОТР КСЗІ, що має на момент декларування чинний експертний висновок за результатами державної експертизи в сфері ТЗІ та має у складі документації типову форму декларації для цієї КСЗІ, яка погоджена Організатором або Адміністрацією Держспецзв'язку.

2. Для проведення експертизи КСЗІ в ІКС шляхом аналізу декларації Замовник надсилає на адресу Організатора:

декларацію про відповідність КСЗІ вимогам нормативних документів з ТЗІ (додаток 1);

формуляр ІКС (додаток 2);

акт завершення робіт зі створення КСЗІ в ІКС (додаток 3) (далі - акт завершення робіт).

3. Для проведення експертизи КСЗІ в ІКС, що створена на основі ОТР КСЗІ, Замовник надсилає на адресу Організатора декларацію про відповідність КСЗІ разом із додатками до неї згідно із вимогами ОТР КСЗІ.

4. Декларація про відповідність КСЗІ подається після завершення всіх робіт зі створення КСЗІ у повному обсязі і відображення їх результатів у документах, зазначених у пунктах 2 та 3 розділу II цього Порядку.

Формуляр ІКС і акт завершення робіт мають містити відомості, які підтверджують факт виконання всіх етапів робіт зі створення КСЗІ, визначених Порядком проведення робіт зі створення комплексної системи захисту інформації в інформаційно-комунікаційній системі НД ТЗІ 3.7-003-2023, затвердженим наказом Адміністрації Держспецзв'язку від 28 жовтня 2023 року № 924, та дотримання встановленого порядку виконання робіт.

5. За достовірність інформації, вказаної в декларації про відповідність КСЗІ, а також за правильність оформлення та комплексність документів, які формуються під час створення КСЗІ, відповідає власник (розпорядник) ІКС.

6. У випадку прийняття позитивного рішення Експертною радою Організатор проводить роботи щодо реєстрації декларації про відповідність КСЗІ Адміністрацією Держспецзв'язку, шляхом надсилання відомостей про реєстрацію, в яких вказуються реквізити декларації про відповідність КСЗІ, відомості щодо найменування ІКС, відомості щодо інформації, яка обробляється в ІКС, клас автоматизованої системи (згідно з НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу", затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 року № 22 (зі змінами) (далі - НД ТЗІ 2.5-005-99)), дані щодо власника (розпорядника) ІКС, а також строк дії декларації про відповідність КСЗІ. Після реєстрації декларації про відповідність КСЗІ вона разом із наданим переліком документів направляється Замовнику. А у разі наявності однієї або декількох підстав, зазначених у пункті 7 розділу II цього Порядку, вона повертається на доопрацювання.

7. Підстави, за яких декларація про відповідність КСЗІ може бути відхилена та повернута на доопрацювання:

неподання документів (або хоча б одного з них), визначених Порядком;

неповнота наданих у документах відомостей;

невідповідність порядку створення КСЗІ вимогам нормативних документів з ТЗІ;

недостатність чи некоректність обраних методів оцінки механізмів захисту інформації згідно з вимогами НД ТЗІ.

8. Після усунення причин, що стали підставою для відмови у реєстрації декларації про відповідність КСЗІ, Замовник надсилає доопрацьовані документи Організатору для повторного розгляду.

9. Строк дії декларації

Строк дії декларації про відповідність КСЗІ, побудованої відповідно до вимог підпункту 1 пункту 1 цього розділу, є безстроковим.

Строк дії декларацій про відповідність КСЗІ, побудованої відповідно до вимог підпункту 2 пункту 1 цього розділу, встановлюється вимогами ОТР КСЗІ, але не більше п'яти років.

1. Для оцінки КСЗІ на основі ПБ, за рішенням Замовника, можуть залучатися Експерти або суб'єкти господарювання, які мають ліцензію на право надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг та електронної ідентифікації) та ТЗІ в частині оцінювання захищеності інформації.

2. Оцінка КСЗІ на основі ПБ здійснюється з урахуванням рекомендацій, визначених та затверджених Адміністрацією Держспецзв'язку.

3. Оцінка вимог з безпеки інформації, які передбачені базовим та цільовим ПБ (далі - вимоги з безпеки) включає такі етапи:

розроблення плану проведення оцінки вимог з безпеки (далі - план), який повинен включати перелік заходів захисту, що мають бути оцінені, методи оцінювання та строки проведення оцінювання. План розробляється Експертом або залученим за рішенням Замовника суб'єктом господарювання, який має відповідну ліцензію, погоджується Замовником та затверджується Організатором;

проведення оцінки, за результатами якої оформлюється звіт.

4. Результат оцінки впровадження вимог з безпеки може бути:

позитивним - якщо всі вимоги з безпеки, передбачені ПБ, реалізовані;

негативним - якщо одна або декілька вимог з безпеки, передбачені ПБ, не реалізовані.

У випадку позитивної оцінки Експертом можуть бути надані рекомендації щодо удосконалення реалізації одного або декількох заходів захисту. Рішення щодо реалізації таких рекомендацій приймається Замовником за результатами аналізу ризиків.

У разі прийняття Експертом негативного рішення, ним надаються рекомендації щодо усунення недоліків. Такі недоліки мають бути усунені Замовником, після чого проводиться повторна оцінка заходів захисту Експертом, щодо яких були виявлені недоліки. Якщо усунення недоліків потребує значного часу, повторна експертиза проводиться у повному обсязі.

5. Результати оцінки КСЗІ на основі ПБ прирівнюються до результатів державної експертизи КСЗІ.

6. Звіт за результатами оцінки впровадження вимог з безпеки має включати такі відомості:

назва ІКС;

вищий ступінь обмеження доступу до інформації, що обробляється в ІКС;

дата(и) оцінки;

відомості про Експерта;

попередні результати оцінки (у разі повторного оцінювання);

позначення вимог з безпеки інформації та зміст заходів із захисту інформації;

вибрані методи та об'єкти оцінки;

підсумок результатів оцінки (із зазначенням "позитивний" або "негативний");

коментарі Експерта (слабкі сторони або недоліки);

висновок щодо результатів проведення експертизи КСЗІ та рекомендації Експерта (пріоритети, виправлення, коригувальні дії або покращення).

За потреби звіт може бути доповнений додатковою інформацією щодо результатів оцінки.

7. За результатами опрацювання звіту, зокрема наданих Експертом рекомендацій, Замовник здійснює аналіз ризиків та приймає рішення щодо достатності впроваджених заходів захисту, оформлює декларацію про відповідність КСЗІ на основі ПБ (додаток 4) для захисту інформації, яка обробляється в ІКС. Декларація про відповідність КСЗІ на основі ПБ надсилається Замовником на адресу Адміністрації Держспецзв'язку, про що повідомляється Організатору.

Дата подання декларації про відповідність КСЗІ на основі ПБ вважається датою підтвердження відповідності такої КСЗІ.

8. Строк дії декларації про відповідність КСЗІ на основі ПБ - 3 роки.

9. Декларація про відповідність КСЗІ на основі ПБ вважається недійсною у разі закінчення її строку дії, зміни базового ПБ або цільового ПБ в рамках чинної декларації про відповідність КСЗІ на основі ПБ, або виявлення невідповідності за результатами проведення державного контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.

10. Замовник зобов'язаний забезпечити проведення додаткового декларування у випадках:

закінчення строку дії декларації про відповідність КСЗІ на основі ПБ;

після проведення модернізації КСЗІ на основі ПБ, підставами якої стали зміни у цільовому ПБ, зумовлені появою нових загроз для безпеки інформації, або зміни у вимогах з безпеки до відповідної категорії інформації, які затверджені Адміністрацією Держспецзв'язку;

після усунення недоліків, виявлених за результатами проведення державного контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.

1. Для проведення експертизи шляхом експертних випробувань Замовник надсилає на адресу Організатора заяву про проведення експертизи КСЗІ ІКС (додаток 5) або ОТР КСЗІ (додаток 6), технічне завдання на створення КСЗІ або ОТР КСЗІ та формуляр ІКС (для ОТР КСЗІ не надсилається).

2. За результатами розгляду заяви Організатор приймає рішення про можливість та доцільність проведення експертизи, про що інформує Замовника.

3. Для виконання експертних робіт Організатор визначає Експертів, інформація про яких включена до відомчого переліку Експертів.

До проведення експертизи КСЗІ або ОТР КСЗІ не можуть залучатися Експерти, які виконували роботи зі створення таких КСЗІ або ОТР КСЗІ (у тому числі надавали консультаційні послуги щодо виконання окремих етапів робіт та вибору певних проєктних рішень).

4. Експертні випробування КСЗІ в ІКС проводяться відповідно до програми і методики, які розробляються відповідно до вимог Порядку проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах НД ТЗІ 2.6-001-11, затвердженого наказом Адміністрації Держспецзв'язку від 25 березня 2011 року № 65 (зі змінами) (далі - НД ТЗІ 2.6-001-11).

5. Програма і методика розробляються Експертом(ами) та затверджуються Організатором. Програма проведення експертизи погоджується Замовником.

У разі проведення експертизи однотипних об'єктів експертизи, які реалізовані за типовим проєктним рішенням, експертиза здійснюється відповідно до типових програми і методики.

Під час проведення додаткової експертизи, за умови відсутності змін щодо загроз для інформації (у тому числі щодо несанкціонованого доступу до інформації), технології обробки та політики безпеки, дозволяється використовувати попередню програму і методику.

6. Під час проведення експертизи Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до розробленої методики.

7. У разі виявлення невідповідності об'єкта експертизи вимогам НД ТЗІ такі недоліки усуваються до завершення експертизи. У випадку неможливості усунення недоліків до закінчення експертних робіт орієнтовний строк доопрацювання та виправлення недоліків визначається спільним протоколом між Замовником та Експертом, що виконує такі роботи, при цьому обов'язково повідомляється Організатору.

У такому випадку Замовник визначає обсяги робіт та строки усунення недоліків, зазначених у протоколі, і протягом місяця письмово повідомляє Організатору.

У разі неотримання повідомлення протягом місяця з дня складання протоколу Організатор складає негативний експертний висновок та надсилає його Замовнику.

Строк проведення експертизи не має перевищувати шість місяців. У разі необхідності збільшення часу на проведення експертизи Експерт повідомляє Замовнику через Організатора з обґрунтуванням потреби у збільшені термінів, а також вказує термін, який необхідний для проведення експертизи.

8. Результати щодо проведених експертних випробувань відображаються в:

1) Протоколі виконання робіт відповідно до методики експертизи КСЗІ (ОТР КСЗІ) (додаток 7), відповідно до вимог НД ТЗІ 2.6-001-11 щодо змістової частини, за підписами Експертів, які виконували експертні роботи. Протокол виконання робіт затверджується Організатором.

У Протоколі виконання робіт можуть бути зафіксовані особливі думки Експертів щодо результатів виконаних робіт.

Відомості щодо всіх доопрацювань, а також результати додаткових експертних робіт оформлюються окремими протоколами виконання робіт.

Жоден із суб'єктів експертизи не може вимагати від Експерта змінити зміст протоколу виконання робіт. Дозволено лише надавати рекомендації щодо стилістичного редагування документа. Узгодження результатів окремих експертних робіт між Експертом та Організатором, а також внесення змін до протоколу виконання робіт після його затвердження забороняються.

2) Експертному висновку (додаток 8), який включає результати робіт, визначених методикою без внесення будь-яких змін, а також особливі думки Експерта(ів).

При оформленні експертного висновку слід керуватися вимогами Положення про державну експертизу у сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087, щодо форми документа та НД ТЗІ 2.6-001-11 щодо змістової частини.

Експертний висновок підписується Експертами, які виконували експертні роботи, та затверджується Організатором.

9. В експертному висновку відображаються такі відомості:

загальна інформація про об'єкт експертизи;

загальні характеристики об'єкта експертизи;

перелік нормативно-правових актів та НД ТЗІ, на відповідність вимогам яких проводилася оцінка об'єкта експертизи;

назви програми та методик, згідно з якими здійснювалася оцінка об'єкта експертизи, ким розроблені та затверджені, реєстраційний номер та дата затвердження;

перелік документів і специфікацій програмних та технічних засобів ТЗІ / криптографічного захисту інформації, які Замовник надав Експерту;

результати експертних робіт щодо кожного пункту програми проведення експертизи об'єкта експертизи;

розгорнутий висновок щодо відповідності об'єкта експертизи вимогам НД ТЗІ;

вимоги до умов експлуатації (сфера використання) об'єкта експертизи;

строк дії експертного висновку (для позитивного експертного висновку);

особливі думки Експертів, зафіксовані в протоколі виконання робіт (за наявності).

10. Строк дії атестата відповідності, експертного висновку ОТР КСЗІ визначає Організатор з урахуванням складності архітектури ІКС, засобів захисту, які використовуються під час побудови КСЗІ, та вимог НД ТЗІ:

для атестата відповідності автоматизованої системи класу 1 - безстроковий;

для атестата відповідності автоматизованої системи класів 2, 3 - до 5 років;

для експертного висновку на ОТР КСЗІ - до 5 років.

11. Експертний висновок разом з протоколом виконання робіт розглядається Експертною радою.

За умови прийняття позитивного рішення стосовно об'єкта експертизи, Організатор забезпечує реєстрацію атестата відповідності (додаток 9) або експертного висновку (додаток 10) на ОТР КСЗІ в Адміністрації Держспецзв'язку, шляхом направлення відомостей про реєстрацію.

У випадку проведення експертизи КСЗІ в ІКС, у відомостях щодо реєстрації вказуються реквізити документа, найменування ІКС, інформація щодо власника (розпорядника) ІКС, інформація щодо державного органу/організації/установи, яким видано атестат відповідності, реквізити експертного висновку, відомості щодо інформації, яка обробляється в ІКС, клас автоматизованої системи (відповідно до НД ТЗІ 2.5-005-99), а також строк дії атестату відповідності.

Після реєстрації атестата відповідності Організатор надсилає його разом з експертним висновком Замовнику.

У разі проведення експертизи ОТР КСЗІ, у відомостях щодо реєстрації вказуються реквізити документа, найменування ОТР КСЗІ, інформація щодо власника (розпорядника) ІКС, реквізити Технічного завдання, відомості щодо інформації, яка обробляється в ІКС, клас автоматизованої системи (відповідно до НД ТЗІ 2.5-005-99), а також строк дії експертного висновку.

Після реєстрації експертного висновку Організатор надсилає його Замовнику.

1. Організатор може зупинити дію декларації, атестата відповідності та/або експертного висновку. Адміністрація Держспецзв'язку скасовує вказані документи за поданням Організатора.

2. Умови для зупинення дії, скасування декларації, експертного висновку або атестата відповідності КСЗІ:

подання заяви власником (розпорядником) ІКС щодо скасування декларації, атестата відповідності та/або експертного висновку на адресу Організатора, який у свою чергу надсилає відомості щодо скасування матеріалів результатів експертизи на адресу Адміністрації Держспецзв'язку із зазначенням реквізитів декларації, атестата відповідності та/або експертного висновку;

наявність фактів внесення змін до КСЗІ, не передбачених техноробочим проєктом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ;

наявність фактів правопорушення в сфері наукової і науково-технічної експертизи відповідно до Закону України "Про наукову і науково-технічну експертизу";

якщо висновки експертизи, за результатами якої зареєстровано експертний висновок та/або атестат відповідності, суперечать вимогам чинних нормативно-правових актів у сфері ТЗІ;

наявність персональних спеціальних економічних та інших обмежувальних заходів (санкцій) до власника (розпорядника) ІКС, які унеможливлюють використання засобів ТЗІ/КСЗІ в обсязі, визначеному експертним висновком та/або атестатом відповідності;

відмова власника (розпорядника) від проведення контрольної експертизи з ініціативи Адміністрації Держспецзв'язку для перевірки висновку первинної чи додаткової експертизи.

3. Власник (розпорядник) направляє Організатору повідомлення про стан функціонування КСЗІ (додаток 11) з безстроковим строком дії до кінця першого кварталу поточного року (за минулий рік), а також у разі настання змін, які впливають на реалізацію оцінених при проведенні експертизи КСЗІ заходів захисту інформації та/або призводять до втрати актуальності цих заходів.

Організатор повідомляє Адміністрацію Держспецзв'язку про стан функціонування ІКС без строку дії не рідше 1 разу на 5 років з дати реєстрації декларації (атестата відповідності) або у разі настання змін, які впливають на реалізацію оцінених при проведенні експертизи КСЗІ заходів захисту інформації та/або призводять до втрати актуальності цих заходів.

4. У разі неподання повідомлення про стан функціонування КСЗІ Організатору декларація або атестат відповідності без строку дії скасовується.