Відповідно до статей 10, 13 Закону України "Про Службу безпеки України", Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, з метою вдосконалення порядку організації та проведення державної експертизи комплексних систем захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах Служби безпеки України НАКАЗУЮ:

1. Затвердити Порядок проведення державної експертизи комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах Служби безпеки України, що додається.

2. Начальникам Управління правового забезпечення та Департаменту оперативно-технічних заходів Служби безпеки України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому законодавством порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок визначає особливості організації та проведення первинних або додаткових державних експертиз комплексних систем захисту інформації (далі - КСЗІ) або організаційно-технічних рішень на розгортання типової складової компоненти КСЗІ в інформаційних (автоматизованих), електронних комунікаційних та інформаційно-комунікаційних системах (далі - АС) Служби безпеки України (крім контрольних експертиз) шляхом експертних випробувань та аналізу декларацій про відповідність КСЗІ вимогам нормативних документів із технічного захисту інформації (далі - декларація) у системі Служби безпеки України (далі - СБУ).

2. Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об’єктів експертизи щодо їх відповідності вимогам нормативних документів із технічного захисту інформації (далі - ТЗІ) та можливості їх використання для забезпечення ТЗІ.

3. Суб’єктами експертизи в СБУ є:

організатор - підрозділ Центрального управління СБУ, який забезпечує ТЗІ в системі СБУ, проводить експертизу КСЗІ або організаційно-технічного рішення на розгортання типової складової компоненти КСЗІ в АС СБУ, у тому числі в АС, в яких реалізуються вимоги щодо ТЗІ, спрямовані на запобігання кіберінцидентам, виявлення та захист від кібератак;

замовник - підрозділ в системі СБУ, який є власником (розпорядником) АС або розробником організаційно-технічного рішення для впровадження типової компоненти КСЗІ в АС СБУ;

експерт - співробітник організатора, до посадових обов’язків якого належить виконання завдань з проведення експертизи.

4. Об’єктами експертизи є:

КСЗІ, яка є невід’ємною складовою АС, власником (розпорядником) якої є замовник;

організаційно-технічне рішення для впровадження типової компоненти КСЗІ в АС СБУ (далі - ОТР КСЗІ) - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в АС, самодостатнє для вирішення певного завдання, що включає проєктні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти АС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в АС.

5. Експертиза КСЗІ та ОТР КСЗІ є процедурою підтвердження їх відповідності вимогам нормативних документів із ТЗІ в обсязі функцій, зазначених у технічному завданні на створення КСЗІ АС СБУ та ОТР КСЗІ.

Експертиза КСЗІ проводиться шляхом аналізу декларації відповідно до розділу II цього Порядку або шляхом експертних випробувань згідно з розділом III цього Порядку.

Експертиза ОТР КСЗІ проводиться шляхом експертних випробувань згідно з розділом III цього Порядку.

6. Дія цього Порядку не поширюється на такі об’єкти експертизи:

технічні та програмні засоби, які реалізують функції ТЗІ або оцінки стану захисту інформації (далі - засоби ТЗІ), у тому числі у складі КСЗІ;

КСЗІ системи спеціального зв’язку;

технічні та програмні засоби, які реалізують функції криптографічного захисту інформації (далі - засоби КЗІ), у тому числі у складі КСЗІ.

Підтвердження відповідності та проведення державної експертизи зазначених об’єктів здійснюються відповідно до вимог законодавства.

7. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

1) КСЗІ створено в автоматизованій системі класу 1 (що класифікується згідно з нормативними документами із ТЗІ), у якій:

КСЗІ і її документацію розроблено, оформлено, узгоджено та затверджено відповідно до рекомендацій, розроблених (або погоджених) організатором;

впровадження заходів захисту інформації від витоку технічними каналами (за потреби створення комплексу ТЗІ) засвідчено актом атестації комплексу ТЗІ, зареєстрованим відповідно до вимог законодавства та чинним на момент подання декларації;

2) закінчився строк дії документів, що засвідчують результати експертизи в АС, яка згідно з нормативними документами із ТЗІ класифікується як автоматизована система класу 1;

3) КСЗІ в АС створена на основі ОТР КСЗІ та має у складі документації типову форму декларації для цієї КСЗІ, яка погоджена організатором або Адміністрацією Держспецзв’язку.

У всіх інших випадках експертиза КСЗІ в АС проводиться шляхом експертних випробувань.

8. Зареєстрована декларація або атестат відповідності є документами, що підтверджують відповідність створеної КСЗІ в АС СБУ вимогам нормативних документів із ТЗІ.

Чинний позитивний експертний висновок на ОТР КСЗІ є документом, що підтверджує його відповідність вимогам нормативних документів із ТЗІ.

9. Експертиза може бути первинною або додатковою.

Первинна експертиза є основним видом експертизи та проводиться після створення КСЗІ або ОТР КСЗІ.

Додаткова експертиза проводиться у зв’язку із закінченням строку дії документів, що засвідчують результати експертизи.

10. Організатор:

організовує та проводить первинні або додаткові експертизи шляхом аналізу декларацій та експертних випробувань;

приймає рішення щодо можливості та доцільності проведення експертизи або її припинення;

розглядає заяви на проведення експертизи, надає замовникам методичну допомогу щодо порядку та організації проведення експертизи;

розробляє програму та методики проведення експертизи;

здійснює заходи щодо реєстрації або скасування декларації в Адміністрації Держспецзв’язку, зупиняє дію декларації та інформує про зазначене Адміністрацію Держспецзв’язку;

взаємодіє з Адміністрацією Держспецзв’язку та її уповноваженими підрозділами з питань проведення експертиз;

здійснює контроль за станом функціонування КСЗІ.

11. Замовник:

передає організатору необхідні відомості, що стосуються КСЗІ або ОТР КСЗІ, надає доступ до об’єкта для проведення експертизи;

має право використовувати у своїй діяльності матеріали та документи, отримані під час проведення експертизи;

зберігає документи, що засвідчують результати експертизи, під час експлуатації АС, а також протягом 5 років після закінчення строку дії (скасування) атестата відповідності (декларації) або виведення АС з експлуатації;

зберігає документи, що засвідчують результати експертизи ОТР КСЗІ, та його документацію під час експлуатації АС, у складі яких побудовано (розгорнуто) КСЗІ за ОТР КСЗІ, а також протягом 5 років після закінчення строку дії (скасування) декларації останньої КСЗІ, побудованої (розгорнутої) за цим ОТР КСЗІ.

12. У разі, якщо у складі КСЗІ (ОТР КСЗІ) використовуються засоби ТЗІ (засоби КЗІ), які не мають підтвердження відповідності у сфері ТЗІ (КЗІ), власнику (розпоряднику) АС дозволяється залучати до проведення державної експертизи цих засобів або КСЗІ (ОТР КСЗІ) суб’єкта господарювання, який провадить ліцензовану діяльність у галузі ТЗІ (КЗІ), за його згодою та відповідно до вимог законодавства.

Залучення суб’єкта господарювання здійснюється на підставі рішення Голови СБУ або його заступника відповідно до розподілу функціональних обов’язків за попереднім погодженням із підрозділом Центрального управління СБУ, який забезпечує ТЗІ в системі СБУ.

1. Для проведення експертизи КСЗІ в АС шляхом аналізу декларації замовник надсилає супровідним листом до організатора оригінал та копію декларації про відповідність КСЗІ вимогам нормативних документів із ТЗІ за формою (додаток 1) до цього Порядку (далі - декларація) разом із формуляром АС, актом про завершення робіт зі створення КСЗІ.

2. Для проведення експертизи КСЗІ в АС, що створена на основі ОТР КСЗІ, замовник надсилає супровідним листом до організатора оригінал та копію декларації про відповідність КСЗІ вимогам нормативних документів із ТЗІ разом із документами до неї згідно із вимогами ОТР КСЗІ.

3. За результатами аналізу декларації організатор подає її на реєстрацію до Адміністрації Держспецзв’язку або повертає на доопрацювання. Після реєстрації оригінал декларації та інші подані документи організатор повертає замовнику. Копія декларації залишається у організатора.

4. Підстави для повернення декларації на доопрацювання:

надання неповного комплекту документів, визначених пунктами 1 або 2 цього розділу;

неповнота наданих відомостей у документах або їх невідповідність;

невідповідність порядку створення КСЗІ вимогам нормативних документів із ТЗІ.

Організатор повертає на доопрацювання декларацію та повідомляє замовнику причини. Після усунення причин, що стали підставою для повернення на доопрацювання декларації, замовник надсилає для повторного розгляду до організатора доопрацьовану декларацію.

5. Строк дії зареєстрованої декларації визначається організатором з урахуванням вимог нормативних документів із ТЗІ.

Строк дії декларацій на КСЗІ в АС, які створено на основі ОТР КСЗІ, встановлюється вимогами ОТР КСЗІ.