- Правова система ipLex360
- Законодавство
- Наказ
УПРАВЛІННЯ ДЕРЖАВНОЇ ОХОРОНИ УКРАЇНИ
НАКАЗ
Зареєстровано в Міністерстві
юстиції України
18 червня 2018 р.
за № 728/32180
Про затвердження Порядку проведення державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України
1. Затвердити Порядок проведення державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України, що додається.
2. Центру захисту інформації спільно зі Службою юридичного забезпечення надати цей наказ на державну реєстрацію у визначеному порядку.
3. Контроль за виконанням цього наказу залишаю за собою.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
Начальник Управління генерал-полковник |
В.В. Гелетей |
ПОГОДЖЕНО: Голова Державної служби спеціального зв'язку та захисту інформації України генерал-лейтенант |
Л.О. Євдоченко |
ЗАТВЕРДЖЕНО
Наказ Управління державної
охорони України
31 травня 2018 року № 222
Зареєстровано в Міністерстві
юстиції України
18 червня 2018 р.
за № 728/32180
ПОРЯДОК
проведення державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України
І. Загальні положення
2. Цей Порядок встановлює організаційні засади проведення Управлінням державної охорони України (далі - УДО України) державної експертизи в сфері ТЗІ комплексних систем захисту інформації (далі - КСЗІ) в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - ІТС), призначених для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.
3. Державна експертиза (далі - Експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки КСЗІ в ІТС підрозділів УДО України щодо їх відповідності вимогам нормативних документів щодо ТЗІ та можливості їх використання для забезпечення ТЗІ.
4. Суб'єктами проведення Експертизи в УДО України є:
організатор Експертизи - підрозділ захисту інформації УДО України (далі - Організатор);
замовник Експертизи - підрозділ УДО України, для потреб якого створюється об'єкт Експертизи (далі - Замовник);
експерти з питань ТЗІ (далі - Експерти) - військовослужбовці та працівники підрозділу захисту інформації УДО України, до службових обов'язків яких належить виконання завдань з проведення Експертизи КСЗІ в ІТС.
5. Об'єктом Експертизи згідно з цим Порядком є КСЗІ в ІТС, що призначені для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.
6. Дія цього Порядку не поширюється на такі об'єкти Експертизи:
1) технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації;
2) організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС (далі - ОТР КСЗІ) - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження.
Експертиза зазначених об'єктів має здійснюватися відповідно до вимог
Положення № 93.
7. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів щодо ТЗІ, що проводиться шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів щодо ТЗІ (далі - декларація) або шляхом експертних випробувань.
8. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:
1) КСЗІ створено в ІТС:
що є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;
у кожний момент часу з якою може працювати тільки один користувач, при цьому осіб, що мають доступ до комплексу, може бути декілька;
у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі необхідності створення комплексу ТЗІ) засвідчено зареєстрованим в установленому порядку актом атестації комплексу ТЗІ;
2) КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та типову форму декларації для цієї ІТС у складі документації.
У всіх інших випадках Експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.
9. Організація роботи Експертів, координація заходів щодо об'єктивного і своєчасного проведення Експертизи КСЗІ в підрозділах УДО України, строків її проведення, формування програм і методик Експертизи, оформлення експертних висновків, атестатів відповідності та організація реєстрації атестатів відповідності або декларацій в Адміністрації Держспецзв'язку покладаються на підрозділ захисту інформації УДО України.
10. Організатор:
здійснює всі заходи, визначені цим Порядком, з метою організації і проведення Експертизи відповідно до цього Порядку та контролю за дотриманням вимог, що впливають на захищеність інформації;
складає пропозиції щодо розроблення та розробляє у встановленому порядку проекти організаційно-розпорядчих документів УДО України з питань проведення Експертизи.
11. Дія цього Порядку поширюється на Організатора, Експертів та Замовників.
12. Експертиза, що виконується відповідно до цього Порядку, є первинною або додатковою.
13. Список Експертів, які залучаються до виконання експертних робіт під час проведення конкретної Експертизи, визначається Організатором.
14. В якості Експертів забороняється залучати військовослужбовців та працівників УДО України, які брали участь у створенні КСЗІ, що є об'єктом Експертизи.
II. Порядок організації та проведення Експертизи шляхом експертних випробувань
1. З метою проведення Експертизи шляхом експертних випробувань Замовник складає та надає Організатору заяву (додаток 1) про проведення Експертизи КСЗІ ІТС (далі - заява), технічне завдання на створення КСЗІ в ІТС та формуляр ІТС.
2. За результатами розгляду наданих документів Організатор у місячний строк приймає рішення щодо доцільності проведення Експертизи та:
при позитивному рішенні складає проект організаційно-розпорядчого акта УДО України про проведення Експертизи, в якому визначаються Замовник, об'єкт Експертизи та Експерти, які проводитимуть Експертизу КСЗІ;
при негативному рішенні письмово повідомляє Замовника із зазначенням підстав (недоліків).
3. Строк проведення Експертизи визначається Організатором та не має перевищувати:
для КСЗІ в автоматизованих системах класу 1 - двох місяців;
для КСЗІ в автоматизованих системах класу 2 - чотирьох місяців;
для КСЗІ в автоматизованих системах класу 3 - шести місяців.
У випадку значного обсягу експертних робіт, необхідності узгодження документації щодо порядку та обсягу проведення експертних випробувань з Адміністрацією Держспецзв'язку або іншими власниками (розпорядниками) ІТС (для автоматизованих систем класу 2 та 3) термін проведення Експертизи може бути продовжений з повідомленням про це Організатором керівника УДО України відповідно до розподілу службових обов'язків та Замовника.
4. Замовник надає Організатору комплект технічної документації на об'єкт Експертизи, необхідної для проведення експертних випробувань.
5. Організатор за результатами аналізу наданих документів та з урахуванням загальних методик оцінювання реалізованих характеристик КСЗІ формує програму і методику проведення Експертизи.
У разі створення КСЗІ в ІТС за типовим технічним проектом проведення Експертизи такої КСЗІ дозволяється за типовою програмою та методикою.
Програма і методика проведення Експертизи затверджуються Начальником УДО України або його заступником відповідно до розподілу службових обов'язків.
У разі створення КСЗІ в автоматизованих системах класу 3, програма і методика проведення Експертизи погоджуються уповноваженим структурним підрозділом Адміністрації Держспецзв'язку.
6. Під час проведення Експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до визначеної методики.
7. Результати експертних робіт оформлюються протоколом за підписом Експертів, які їх виконували. Форма протоколу наведена у додатку 7 до Положення
№ 93 . Протокол затверджується Організатором та реєструється у встановленому законодавством порядку.
................Перейти до повного тексту