Відповідно до абзацу другого пункту 22 Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, та з метою впорядкування діяльності, пов’язаної з проведенням державної експертизи комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах Міністерства оборони України, НАКАЗУЮ:

1. Затвердити Порядок проведення державної експертизи комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах Міністерства оборони України, що додається.

2. Директорату цифрової трансформації у сфері оборони Міністерства оборони України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок визначає процедуру організації та проведення державної експертизи комплексних систем захисту інформації (далі - КСЗІ), у тому числі побудованих з використанням профілів безпеки в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - ІКС) Міноборони шляхом експертних випробувань та аналізу декларацій у системі Міноборони.

2. Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об’єктів експертизи щодо їх відповідності вимогам нормативних документів системи технічного захисту інформації (далі - НД ТЗІ), у тому числі відомчих документів з питань інформаційної безпеки та кібербезпеки в ІКС, та можливості використання об’єктів експертизи для забезпечення технічного захисту інформації (далі - ТЗІ). Суб’єктами експертизи є:

структурний підрозділ апарату Міноборони, установа або організація (у тому числі військова частина) безпосереднього підпорядкування, що забезпечує виконання завдань і функцій Міноборони, на який(у) згідно з розподілом повноважень покладено функції із забезпечення ТЗІ в Міноборони (далі - Організатор);

структурний підрозділ апарату Міноборони, установа або організація (у тому числі військові частини) безпосереднього підпорядкування, що забезпечують виконання завдань і функцій Міноборони, а також підприємства (їх об’єднання), що належать до сфери управління Міноборони, які є власниками (розпорядниками) ІКС або розробником організаційно-технічного рішення для впровадження типової компоненти КСЗІ в ІКС Міноборони (далі - Замовник);

посадова особа Міноборони, яка є виконавцем експертних робіт з ТЗІ, а також відповідає вимогам Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 18 жовтня 2023 року № 899, зареєстрованого в Міністерстві юстиції України 01 грудня 2023 року за № 2091/41147 (далі - Експерт).

3. Об’єктами експертизи є:

КСЗІ, яка є невід’ємною складовою ІКС;

організаційно-технічне рішення для впровадження типової компоненти КСЗІ в ІКС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІКС, самодостатнє для вирішення певного завдання, що включає проєктні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІКС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в ІКС (далі - ОТР КСЗІ).

4. Експертиза КСЗІ та ОТР КСЗІ є процедурою підтвердження відповідності об’єкта експертизи вимогам НД ТЗІ, нормативно-правовим актам та стандартам і може проводитись шляхом експертних випробувань або шляхом аналізу декларацій.

Експертиза може проводитись шляхом експертних випробувань відповідно до розділу IV цього Порядку, шляхом аналізу декларацій відповідно до розділу II цього Порядку або шляхом проведення аналізу декларації КСЗІ розробленої з використанням профілів безпеки інформації (далі - КСЗІ на основі ПБ) відповідно до III розділу цього Порядку.

5. Для організації та проведення експертизи КСЗІ або ОТР КСЗІ, координації заходів і прийняття рішень щодо об’єкта експертизи Організатором створюється Експертна рада з питань технічного захисту інформації (далі - Експертна рада). До складу Експертної ради можуть залучатися за згодою керівників представники інших підрозділів Міноборони.

6. Організатор забезпечує виконання робіт з організації та проведення первинної або додаткової експертизи шляхом аналізу декларації та експертних випробувань.

7. Експертиза може бути первинною або додатковою.

Первинна експертиза є основним видом експертизи, проводиться після створення КСЗІ та передбачає виконання всіх необхідних заходів для підготовки та прийняття рішення щодо об’єкта експертизи.

Додаткова експертиза проводиться стосовно об’єкта експертизи, щодо якого відкрилися нові наукові та науково-технічні обставини, а також у зв’язку із закінченням строку дії документів, що засвідчують результати експертизи.

8. Документами, що підтверджують відповідність КСЗІ вимогам НД ТЗІ, у тому числі відомчим документам з питань інформаційної безпеки та кібербезпеки в ІКС, є:

декларація про відповідність КСЗІ вимогам нормативних документів з ТЗІ (далі - декларація про відповідність КСЗІ);

декларація про відповідність КСЗІ в системі, створеній з використанням базових та цільових профілів безпеки (далі - декларація про відповідність КСЗІ на основі ПБ);

атестат відповідності КСЗІ (далі - атестат відповідності).

Зазначені документи набирають чинності з дати їх реєстрації в Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі - Адміністрація Держспецзв’язку), за винятком декларації про відповідність КСЗІ на основі ПБ, яка набуває чинності з дати її надсилання на адресу Адміністрації Держспецзв’язку.

Документом, що підтверджує відповідність ОТР КСЗІ вимогам НД ТЗІ, у тому числі відомчих документів з питань інформаційної безпеки та кібербезпеки в ІКС, є чинний позитивний експертний висновок на ОТР КСЗІ. Експертний висновок ОТР КСЗІ набуває чинності з дати реєстрації його в Адміністрації Держспецзв’язку.

9. У разі якщо у складі КСЗІ використовуються засоби ТЗІ, які не мають підтвердження відповідності у сфері ТЗІ, оцінювання таких засобів захисту може проводитися в рамках проведення державної експертизи КСЗІ ІКС.

10. Основні завдання суб’єктів експертизи:

1) Організатор:

розробляє рекомендації, організаційно-розпорядчі документи щодо порядку створення та впровадження КСЗІ в ІКС;

створює та забезпечує роботу Експертної ради;

організовує та забезпечує проведення державної експертизи;

забезпечує неупереджене, об’єктивне та своєчасне проведення експертизи;

надає Замовникам методичну допомогу щодо порядку та організації проведення експертизи;

затверджує програму проведення експертизи КСЗІ (далі - Програма) та методику проведення експертизи КСЗІ (далі - Методика), а також інші документи, необхідні для проведення експертизи;

затверджує матеріали проведення експертизи КСЗІ;

здійснює заходи щодо реєстрації або скасування атестата відповідності, експертного висновку ОТР КСЗІ або декларації в Адміністрації Держспецзв’язку;

взаємодіє з Адміністрацією Держспецзв’язку та її уповноваженими підрозділами з питань проведення експертиз;

визначає строк дії атестата відповідності, експертного висновку ОТР КСЗІ;

веде відомчий перелік Експертів;

перевіряє рівень компетенції (кваліфікації) Експертів з питань ТЗІ;

визначає Експертів, які будуть проводити експертизу;

виконує вимоги щодо конфіденційності проведення експертизи;

2) Замовник:

надає Організатору та Експертам необхідні відомості щодо об’єкта експертизи, також доступ до нього для проведення експертизи КСЗІ;

має право використовувати у своїй діяльності матеріали та документи, отримані під час проведення експертизи;

погоджує програму;

зберігає документи, що засвідчують результати експертизи, під час експлуатації ІКС, а також протягом п’яти років після закінчення строку дії (скасування) атестата відповідності або декларації, або виведення ІКС з експлуатації;

інформує Організатора про внесення змін, які впливають на реалізацію оцінених при проведенні експертизи КСЗІ заходів захисту інформації та/або призводять до втрати актуальності цих заходів;

3) Експерт:

об’єктивно, неупереджено та своєчасно виконує експертні роботи;

розробляє необхідні документи для проведення експертизи КСЗІ (зокрема програму та методику), а також оформлює матеріали експертизи;

у разі виявлення недоліків під час експертизи повідомляє про це Замовника та Організатора;

викладає в матеріалах проведення експертизи особисту думку з питань захисту інформації, а також особливі думки щодо результатів виконання робіт;

забезпечує етичність поведінки, а саме відповідальність, непідкупність та неупередженість при виконанні експертних робіт;

керується вимогами законодавства та нормативними документами у сфері захисту інформації, стандартами, а також відомчими документами установи;

отримує від Замовника достовірні відомості, матеріали тощо, необхідні для виконання експертних робіт;

не розголошує інформацію, що стала йому відомою в ході проведення експертизи, окрім випадків, передбачених законодавством.

1. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

1) КСЗІ створено у складі ІКС:

яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;

у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;

в якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ;

у якій використовуються засоби антивірусного захисту, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ;

у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі потреби створення комплексу ТЗІ) засвідчено зареєстрованим у встановленому порядку актом атестації комплексу ТЗІ;

з урахуванням особливостей, визначених нормативно-правовими актами Міноборони;

2) КСЗІ в ІКС створена на основі ОТР КСЗІ, що має на момент декларування чинний експертний висновок за результатами державної експертизи в сфері ТЗІ та має у складі документації типову форму декларації для цієї КСЗІ, яка погоджена Організатором або Адміністрацією Держспецзв’язку.

2. Для проведення експертизи КСЗІ в ІКС шляхом аналізу декларації Замовник надсилає на адресу Організатора:

декларацію про відповідність КСЗІ вимогам нормативних документів з ТЗІ (додаток 1);

формуляр ІКС (додаток 2);

акт завершення робіт зі створення КСЗІ в ІКС (додаток 3) (далі - акт завершення робіт).

3. Для проведення експертизи КСЗІ в ІКС, що створена на основі ОТР КСЗІ, Замовник надсилає на адресу Організатора декларацію про відповідність КСЗІ разом із додатками до неї згідно із вимогами ОТР КСЗІ.

4. Декларація про відповідність КСЗІ подається після завершення всіх робіт зі створення КСЗІ у повному обсязі і відображення їх результатів у документах, зазначених у пунктах 2 та 3 розділу II цього Порядку.

Формуляр ІКС і акт завершення робіт мають містити відомості, які підтверджують факт виконання всіх етапів робіт зі створення КСЗІ, визначених Порядком проведення робіт зі створення комплексної системи захисту інформації в інформаційно-комунікаційній системі НД ТЗІ 3.7-003-2023, затвердженим наказом Адміністрації Держспецзв’язку від 28 жовтня 2023 року № 924, та дотримання встановленого порядку виконання робіт.

5. За достовірність інформації, вказаної в декларації про відповідність КСЗІ, а також за правильність оформлення та комплексність документів, які формуються під час створення КСЗІ, відповідає власник (розпорядник) ІКС.

6. У випадку прийняття позитивного рішення Експертною радою Організатор проводить роботи щодо реєстрації декларації про відповідність КСЗІ Адміністрацією Держспецзв’язку, шляхом надсилання відомостей про реєстрацію, в яких вказуються реквізити декларації про відповідність КСЗІ, відомості щодо найменування ІКС, відомості щодо інформації, яка обробляється в ІКС, клас автоматизованої системи (згідно з НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу", затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 року № 22 (зі змінами) (далі - НД ТЗІ 2.5-005-99)), дані щодо власника (розпорядника) ІКС, а також строк дії декларації про відповідність КСЗІ. Після реєстрації декларації про відповідність КСЗІ вона разом із наданим переліком документів направляється Замовнику. А у разі наявності однієї або декількох підстав, зазначених у пункті 7 розділу II цього Порядку, вона повертається на доопрацювання.

7. Підстави, за яких декларація про відповідність КСЗІ може бути відхилена та повернута на доопрацювання:

неподання документів (або хоча б одного з них), визначених Порядком;

неповнота наданих у документах відомостей;

невідповідність порядку створення КСЗІ вимогам нормативних документів з ТЗІ;

недостатність чи некоректність обраних методів оцінки механізмів захисту інформації згідно з вимогами НД ТЗІ.

8. Після усунення причин, що стали підставою для відмови у реєстрації декларації про відповідність КСЗІ, Замовник надсилає доопрацьовані документи Організатору для повторного розгляду.

9. Строк дії декларації

Строк дії декларації про відповідність КСЗІ, побудованої відповідно до вимог підпункту 1 пункту 1 цього розділу, є безстроковим.

Строк дії декларацій про відповідність КСЗІ, побудованої відповідно до вимог підпункту 2 пункту 1 цього розділу, встановлюється вимогами ОТР КСЗІ, але не більше п’яти років.

1. Для оцінки КСЗІ на основі ПБ, за рішенням Замовника, можуть залучатися Експерти або суб’єкти господарювання, які мають ліцензію на право надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг та електронної ідентифікації) та ТЗІ в частині оцінювання захищеності інформації.

2. Оцінка КСЗІ на основі ПБ здійснюється з урахуванням рекомендацій, визначених та затверджених Адміністрацією Держспецзв’язку.

3. Оцінка вимог з безпеки інформації, які передбачені базовим та цільовим ПБ (далі - вимоги з безпеки) включає такі етапи:

розроблення плану проведення оцінки вимог з безпеки (далі - план), який повинен включати перелік заходів захисту, що мають бути оцінені, методи оцінювання та строки проведення оцінювання. План розробляється Експертом або залученим за рішенням Замовника суб’єктом господарювання, який має відповідну ліцензію, погоджується Замовником та затверджується Організатором;

проведення оцінки, за результатами якої оформлюється звіт.

4. Результат оцінки впровадження вимог з безпеки може бути:

позитивним - якщо всі вимоги з безпеки, передбачені ПБ, реалізовані;

негативним - якщо одна або декілька вимог з безпеки, передбачені ПБ, не реалізовані.

У випадку позитивної оцінки Експертом можуть бути надані рекомендації щодо удосконалення реалізації одного або декількох заходів захисту. Рішення щодо реалізації таких рекомендацій приймається Замовником за результатами аналізу ризиків.

У разі прийняття Експертом негативного рішення, ним надаються рекомендації щодо усунення недоліків. Такі недоліки мають бути усунені Замовником, після чого проводиться повторна оцінка заходів захисту Експертом, щодо яких були виявлені недоліки. Якщо усунення недоліків потребує значного часу, повторна експертиза проводиться у повному обсязі.

5. Результати оцінки КСЗІ на основі ПБ прирівнюються до результатів державної експертизи КСЗІ.

6. Звіт за результатами оцінки впровадження вимог з безпеки має включати такі відомості:

назва ІКС;

вищий ступінь обмеження доступу до інформації, що обробляється в ІКС;

дата(и) оцінки;

відомості про Експерта;

попередні результати оцінки (у разі повторного оцінювання);

позначення вимог з безпеки інформації та зміст заходів із захисту інформації;

вибрані методи та об’єкти оцінки;

підсумок результатів оцінки (із зазначенням "позитивний" або "негативний");

коментарі Експерта (слабкі сторони або недоліки);

висновок щодо результатів проведення експертизи КСЗІ та рекомендації Експерта (пріоритети, виправлення, коригувальні дії або покращення).

За потреби звіт може бути доповнений додатковою інформацією щодо результатів оцінки.

7. За результатами опрацювання звіту, зокрема наданих Експертом рекомендацій, Замовник здійснює аналіз ризиків та приймає рішення щодо достатності впроваджених заходів захисту, оформлює декларацію про відповідність КСЗІ на основі ПБ (додаток 4) для захисту інформації, яка обробляється в ІКС. Декларація про відповідність КСЗІ на основі ПБ надсилається Замовником на адресу Адміністрації Держспецзв’язку, про що повідомляється Організатору.

Дата подання декларації про відповідність КСЗІ на основі ПБ вважається датою підтвердження відповідності такої КСЗІ.

8. Строк дії декларації про відповідність КСЗІ на основі ПБ - 3 роки.

9. Декларація про відповідність КСЗІ на основі ПБ вважається недійсною у разі закінчення її строку дії, зміни базового ПБ або цільового ПБ в рамках чинної декларації про відповідність КСЗІ на основі ПБ, або виявлення невідповідності за результатами проведення державного контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.