Відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" , Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (зі змінами), з метою впорядкування діяльності, пов'язаної з проведенням державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України,

1. Затвердити Порядок проведення державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України, що додається.

2. Центру захисту інформації спільно зі Службою юридичного забезпечення надати цей наказ на державну реєстрацію у визначеному порядку.

3. Контроль за виконанням цього наказу залишаю за собою.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок розроблено відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" , Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України 29 березня 2006 року № 373, Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (зі змінами) (далі - Положення № 93), та інших актів нормативно-технічного характеру щодо технічного захисту інформації (далі - ТЗІ).

2. Цей Порядок встановлює організаційні засади проведення Управлінням державної охорони України (далі - УДО України) державної експертизи в сфері ТЗІ комплексних систем захисту інформації (далі - КСЗІ) в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - ІТС), призначених для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.

3. Державна експертиза (далі - Експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки КСЗІ в ІТС підрозділів УДО України щодо їх відповідності вимогам нормативних документів щодо ТЗІ та можливості їх використання для забезпечення ТЗІ.

4. Суб'єктами проведення Експертизи в УДО України є:

організатор Експертизи - підрозділ захисту інформації УДО України (далі - Організатор);

замовник Експертизи - підрозділ УДО України, для потреб якого створюється об'єкт Експертизи (далі - Замовник);

експерти з питань ТЗІ (далі - Експерти) - військовослужбовці та працівники підрозділу захисту інформації УДО України, до службових обов'язків яких належить виконання завдань з проведення Експертизи КСЗІ в ІТС.

5. Об'єктом Експертизи згідно з цим Порядком є КСЗІ в ІТС, що призначені для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.

6. Дія цього Порядку не поширюється на такі об'єкти Експертизи:

1) технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації;

2) організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС (далі - ОТР КСЗІ) - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження.

Експертиза зазначених об'єктів має здійснюватися відповідно до вимог Положення № 93.

7. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів щодо ТЗІ, що проводиться шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів щодо ТЗІ (далі - декларація) або шляхом експертних випробувань.

8. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

1) КСЗІ створено в ІТС:

що є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;

у кожний момент часу з якою може працювати тільки один користувач, при цьому осіб, що мають доступ до комплексу, може бути декілька;

у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі необхідності створення комплексу ТЗІ) засвідчено зареєстрованим в установленому порядку актом атестації комплексу ТЗІ;

2) КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та типову форму декларації для цієї ІТС у складі документації.

У всіх інших випадках Експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.

9. Організація роботи Експертів, координація заходів щодо об'єктивного і своєчасного проведення Експертизи КСЗІ в підрозділах УДО України, строків її проведення, формування програм і методик Експертизи, оформлення експертних висновків, атестатів відповідності та організація реєстрації атестатів відповідності або декларацій в Адміністрації Держспецзв'язку покладаються на підрозділ захисту інформації УДО України.

10. Організатор:

здійснює всі заходи, визначені цим Порядком, з метою організації і проведення Експертизи відповідно до цього Порядку та контролю за дотриманням вимог, що впливають на захищеність інформації;

складає пропозиції щодо розроблення та розробляє у встановленому порядку проекти організаційно-розпорядчих документів УДО України з питань проведення Експертизи.

11. Дія цього Порядку поширюється на Організатора, Експертів та Замовників.

12. Експертиза, що виконується відповідно до цього Порядку, є первинною або додатковою.

13. Список Експертів, які залучаються до виконання експертних робіт під час проведення конкретної Експертизи, визначається Організатором.

14. В якості Експертів забороняється залучати військовослужбовців та працівників УДО України, які брали участь у створенні КСЗІ, що є об'єктом Експертизи.

1. З метою проведення Експертизи шляхом експертних випробувань Замовник складає та надає Організатору заяву (додаток 1) про проведення Експертизи КСЗІ ІТС (далі - заява), технічне завдання на створення КСЗІ в ІТС та формуляр ІТС.

2. За результатами розгляду наданих документів Організатор у місячний строк приймає рішення щодо доцільності проведення Експертизи та:

при позитивному рішенні складає проект організаційно-розпорядчого акта УДО України про проведення Експертизи, в якому визначаються Замовник, об'єкт Експертизи та Експерти, які проводитимуть Експертизу КСЗІ;

при негативному рішенні письмово повідомляє Замовника із зазначенням підстав (недоліків).

3. Строк проведення Експертизи визначається Організатором та не має перевищувати:

для КСЗІ в автоматизованих системах класу 1 - двох місяців;

для КСЗІ в автоматизованих системах класу 2 - чотирьох місяців;

для КСЗІ в автоматизованих системах класу 3 - шести місяців.

У випадку значного обсягу експертних робіт, необхідності узгодження документації щодо порядку та обсягу проведення експертних випробувань з Адміністрацією Держспецзв'язку або іншими власниками (розпорядниками) ІТС (для автоматизованих систем класу 2 та 3) термін проведення Експертизи може бути продовжений з повідомленням про це Організатором керівника УДО України відповідно до розподілу службових обов'язків та Замовника.

4. Замовник надає Організатору комплект технічної документації на об'єкт Експертизи, необхідної для проведення експертних випробувань.

5. Організатор за результатами аналізу наданих документів та з урахуванням загальних методик оцінювання реалізованих характеристик КСЗІ формує програму і методику проведення Експертизи.

У разі створення КСЗІ в ІТС за типовим технічним проектом проведення Експертизи такої КСЗІ дозволяється за типовою програмою та методикою.

Програма і методика проведення Експертизи затверджуються Начальником УДО України або його заступником відповідно до розподілу службових обов'язків.

У разі створення КСЗІ в автоматизованих системах класу 3, програма і методика проведення Експертизи погоджуються уповноваженим структурним підрозділом Адміністрації Держспецзв'язку.

6. Під час проведення Експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до визначеної методики.

7. Результати експертних робіт оформлюються протоколом за підписом Експертів, які їх виконували. Форма протоколу наведена у додатку 7 до Положення № 93 . Протокол затверджується Організатором та реєструється у встановленому законодавством порядку.