ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТАЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
Н А К А З
N 62 від 25.12.2000 Зареєстровано в Міністерствіюстиції України
12 січня 2001 р.
за N 9/5200
Про затвердження Положення про державну експертизу усфері криптографічного захисту інформації
{ Із змінами, внесеними згідно з Наказом Департаментуспеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України
N 25 ( z0511-06 ) від 13.03.2006 }
Відповідно до Законів України "Про наукову і науково-технічну
експертизу" ( 1977-12 ), "Про інформацію" ( 2657-12 ), "Про захист
інформації в інформаційно-телекомунікаційних системах"
( 80/94-ВР ), "Про державну таємницю" ( 3855-12 ), Положення про
порядок здійснення криптографічного захисту інформації в Україні,
затвердженого Указом Президента України від 22 травня 1998 року
N 505 ( 505/98 ), та Положення про Департамент спеціальних
телекомунікаційних систем та захисту інформації Служби безпеки
України, затвердженого Указом Президента України від 6 жовтня 2000
року N 1120 ( 1120/2000 ), з метою організації та проведення
державної експертизи у сфері криптографічного захисту інформації
Н А К А З У Ю: Преамбула із змінами, внесеними згідно з Наказом Департаменту
спеціальних телекомунікаційних систем та захисту інформації Служби
безпеки України N 25 ( z0511-06 ) від 13.03.2006 }
1. Затвердити погоджене з Міністерством науки і освіти
України, Державним комітетом України з питань регуляторної
політики та підприємництва й Державним комітетом стандартизації,
метрології та сертифікації України Положення про державну
експертизу у сфері криптографічного захисту інформації (далі -
Положення), що додається. 2. Заступнику керівника Департаменту спеціальних
телекомунікаційних систем та захисту інформації Служби безпеки
України (далі - СБ України) в установленому порядку забезпечити
подання Положення на державну реєстрацію до Міністерства юстиції
України. 3. Контроль за виконанням цього наказу покласти на першого
заступника керівника Департаменту спеціальних телекомунікаційних
систем та захисту інформації СБ України.
Заступник Голови Служби -
Керівник Департаменту Г. Лазарєв
ЗатвердженоНаказ Департаменту спеціальних
телекомунікаційних систем та захисту
інформації Служби безпеки України
25 грудня 2000 року N 62
Зареєстровано в Міністерствіюстиції України
12 січня 2001 р.
про державну експертизу у сфері криптографічного
захисту інформації
1. Загальні положення
1.1. Це Положення встановлює порядок організації та
проведення державної експертизи у сфері криптографічного захисту
інформації (далі - КЗІ) в Україні. 1.2. Дія Положення розповсюджується на органи державної
влади, органи місцевого самоврядування, підприємства, установи та
організації всіх форм власності, а також фізичних осіб, які
зацікавлені в проведенні державної експертизи у сфері КЗІ. 1.3. Положення розроблено відповідно до Законів України "Про
державну таємницю" ( 3855-12 ), "Про наукову і науково-технічну
експертизу" ( 1977-12 ), "Про інформацію" ( 2657-12 ), "Про захист
інформації в інформаційно-телекомунікаційних системах"
( 80/94-ВР ), а також Положення про порядок здійснення
криптографічного захисту інформації в Україні, затвердженого
Указом Президента України від 22 травня 1998 року N 505
( 505/98 ), та Положення про Департамент спеціальних
телекомунікаційних систем та захисту інформації Служби безпеки
України, затвердженого Указом Президента України від 6 жовтня
2000 року N 1120 ( 1120/2000 ). { Пункт 1.3 із змінами, внесеними
згідно з Наказом Департаменту спеціальних телекомунікаційних
систем та захисту інформації Служби безпеки України N 25
( z0511-06 ) від 13.03.2006 } 1.4. Ужиті в цьому Положенні терміни мають такі значення: державна експертиза у сфері КЗІ (далі - експертиза) -
діяльність, метою якої є підготовка висновків і надання
рекомендацій для прийняття рішення про використання (застосування)
об'єктів експертизи та яка включає перевірку відповідності
об'єктів експертизи вимогам нормативних документів, оцінку рівня
захисту інформації об'єктами експертизи або науково-технічного
рівня об'єктів експертизи; експерт - фізична особа, яка має високу кваліфікацію,
спеціальні знання та безпосередньо здійснює експертизу у сфері КЗІ
і несе персональну відповідальність за достовірність і повноту
аналізу, обгрунтованість рекомендацій відповідно до вимог завдання
на проведення експертизи; експертний заклад - підприємство, установа та організація,
яким відповідно до нормативно-правових актів України надано право
здійснювати експертні роботи у сфері КЗІ; експертні роботи - дослідження та аналіз конкретних
властивостей об'єкта експертизи з метою перевірки його
відповідності вимогам нормативних документів, оцінки рівня захисту
інформації цим об'єктом або його науково-технічного рівня; висновок державної експертизи - документально оформлений
результат експертизи; замовник експертизи (далі - замовник) - юридична або фізична
особа, яка зацікавлена в проведенні експертизи та замовляє
(замовляла) її проведення; засіб КЗІ - програмний, апаратно-програмний, апаратний або
інший засіб, призначений для КЗІ; криптографічний алгоритм - алгоритм, який визначає правила
перетворення інформації з метою її криптографічного захисту; криптографічний захист інформації - вид захисту, що
реалізується шляхом перетворення інформації з використанням
спеціальних даних (ключових даних) з метою приховування (або
відновлення) змісту інформації, підтвердження її справжності,
цілісності, авторства тощо; криптографічна система - сукупність засобів КЗІ, необхідної
ключової, нормативної, експлуатаційної, а також іншої документації
(у тому числі такої, що визначає заходи безпеки), використання
яких забезпечує належний рівень захищеності інформації, що
обробляється, зберігається та (або) передається; матеріали експертизи - усі матеріали та документи, які
отримані під час проведення експертизи; обладнання КЗІ - технічні засоби, що взаємодіють із засобами
КЗІ або керують ними та можуть впливати на їх криптографічні
якості; організатор експертизи - державний орган, який організовує
проведення експертизи та (або) проводить експертизу, а також надає
експертні висновки; системи і засоби генерації, тестування та розподілу ключів
(далі - ключові засоби) - це апаратні, програмні та
апаратно-програмні системи і засоби, які призначені для генерації,
виготовлення, тестування, розподілу, реєстрації (сертифікації)
ключових даних та носіїв ключових даних (ключових документів). 1.5. Об'єкти експертизи: засоби та методи, які призначені для розробки, дослідження,
виробництва та випробування засобів КЗІ; звіти про наукові дослідження і розробки, інші результати
наукової та науково-технічної діяльності у сфері КЗІ; криптографічні алгоритми та протоколи, методи генерації
ключової інформації; криптографічні системи, засоби та обладнання КЗІ; положення програм та проектів державного значення в частині,
що стосується КЗІ; системи і засоби генерації, тестування та розподілу ключів. 1.6. Суб'єкти експертизи - замовник експертизи, організатор
експертизи, експертний заклад, експерт. 1.7. Підставами для проведення експертизи є: рішення органів виконавчої влади та органів місцевого
самоврядування, прийняті в межах їх повноважень; договори на проведення експертизи, укладені суб'єктами
експертизи. 1.8. Експертиза може бути обов'язковою. Обов'язковій
експертизі підлягають: об'єкти експертизи, які створені для захисту інформації, що
містить відомості, які належать до державної таємниці або
конфіденційної інформації, що є власністю держави; криптографічні системи, засоби та обладнання КЗІ іноземного
виробництва; засоби та методи, які призначені для розробки, дослідження,
виробництва та випробування засобів криптографічного захисту
інформації, що містить відомості, які належать до державної
таємниці або конфіденційної інформації, що є державною власністю; звіти про наукові дослідження і розробки, інші результати
наукової та науково-технічної діяльності у сфері криптографічного
захисту інформації, що містить відомості, які належать до
державної таємниці або конфіденційної інформації, що є державною
власністю; криптографічні алгоритми, які планується визначити як такі,
що рекомендовані для використання в Україні або як державні
стандарти України, а також ключові засоби. 1.9. Експертиза об'єктів, які не зазначені в п. 1.8, є
добровільною. 1.10. Експертні роботи проводять експертні заклади, експерти
та організатор експертизи. 1.11. Організатором експертизи є Департамент спеціальних
телекомунікаційних систем та захисту інформації СБ України (далі -
ДСТСЗІ СБ України). 1.12. Для координації та здійснення експертизи організатором
експертизи створюється експертна комісія та призначається
підрозділ експертизи. Положення про експертну комісію та підрозділ
експертизи затверджуються наказом ДСТСЗІ СБ України. 1.13. Експертні роботи не можуть здійснюватися особами,
зацікавленими в результатах експертизи. 1.14. Проведення експертизи фінансується за рахунок
державного бюджету або коштів замовника згідно з укладеним
договором. 1.15. Право власності на матеріали експертизи визначається
договорами між суб'єктами експертизи. 1.17. Право власності на експертний висновок належить
замовнику, якщо інше не передбачено законодавством чи договором
між замовником та організатором експертизи.
2. Права та обов'язки суб'єктів експертизи
2.1. Права та обов'язки замовника 2.1.1. Замовник має право: подавати заявки на проведення експертизи, отримувати
консультації щодо її проведення; отримувати інформацію про хід експертизи; використовувати результат експертизи у своїй діяльності, якщо
інше не передбачено договором на проведення експертизи. 2.1.2. Замовник зобов'язаний: передавати організатору експертизи в термін, установлений
договором, об'єкти експертизи, матеріали, обладнання, розрахунки,
дані та додаткові відомості, які необхідні для проведення
експертизи; забезпечувати оплату витрат на проведення експертизи
відповідно до договорів; дотримуватись рекомендацій організатора експертизи з питань
організації та проведення експертизи; не допускати розголошення відомостей, обмеження доступу до
яких необхідно забезпечувати відповідно до вимог
нормативно-правових актів України та договору на проведення
експертизи; відшкодовувати моральну та матеріальну шкоду, заподіяну
своїми неправомірними діями.
2.2. Права та обов'язки організатора експертизи 2.2.1. Організатор експертизи має право: розробляти та впроваджувати нормативні документи щодо
проведення експертизи відповідно до нормативно-правових актів
України; вимагати надання замовником додаткових відомостей, необхідних
для проведення експертизи. 2.2.2. Організатор експертизи зобов'язаний: здійснювати необхідні заходи з метою організації та
проведення експертизи; обгрунтовувати свої висновки та рішення; не допускати розголошення відомостей щодо об'єкта та
матеріалів експертизи, обмеження доступу до яких потрібно
забезпечувати відповідно до вимог нормативно-правових актів
України та договору про проведення експертизи; дотримуватись вимог авторського права стосовно об'єктів
експертизи та матеріалів, наданих для підготовки експертних
висновків.
2.3. Права та обов'язки експертних закладів (експертів) 2.3.1. Експертний заклад (експерт) має право: одержувати від організатора експертизи чи замовника необхідні
для проведення експертизи відомості та матеріали; уносити пропозиції організатору експертизи щодо вдосконалення
форм і методів проведення експертизи. 2.3.2. Експертний заклад (експерт) зобов'язаний: здійснювати експертні роботи за договорами відповідно до
вимог нормативно-правових актів України; якісно та об'єктивно проводити дослідження та аналіз об'єктів
експертизи; не допускати розголошення відомостей, обмеження доступу до
яких необхідно забезпечувати відповідно до вимог
нормативно-правових актів України та договору щодо проведення
експертизи.
3. Порядок організації та проведення експертизи
3.1. Подання та розгляд заявки 3.1.1. Для проведення експертизи замовник подає організатору
експертизи заявку, яка повинна включати: опис об'єкта експертизи,
інформацію про походження об'єкта експертизи та галузь його
використання, мету проведення експертизи, реквізити замовника,
гарантії замовника щодо оплати проведення експертизи. До заявки
додається комплект документів та матеріалів щодо об'єкта
експертизи. 3.1.2. Організатор експертизи в місячний термін з дня
отримання заявки розглядає її та здійснює аналіз наданих
документів і матеріалів з метою визначення можливості проведення
експертизи. 3.1.3. Під час аналізу наданих документів та матеріалів
перевіряється: наявність та достатність документів, матеріалів та зразків
для проведення експертизи; наявність нормативних документів на об'єкт експертизи (у разі
потреби); достовірність, правильність оформлення та термін дії
документації. 3.1.4. За негативними результатами розгляду заявки й аналізу
документів та матеріалів організатор експертизи оформлює та
надсилає замовнику рішення, у якому зазначаються підстави, через
які проведення експертизи не можливе. Після усунення недоліків
замовник має право на подання повторної заявки. 3.1.5. За позитивними результатами розгляду заявки й аналізу
документів та матеріалів організатор експертизи оформлює рішення,
у якому визначаються умови проведення експертизи: перелік
додаткових документів та матеріалів, які необхідні для проведення
експертизи, порядок проведення експертизи. Рішення надсилається
замовнику. Між суб'єктами експертизи укладається договір
(договори) на проведення державної експертизи. 3.1.6. Договір повинен містити: найменування сторін договору; найменування об'єкта експертизи; умови проведення експертизи (експертних робіт); умови обмеження доступу; права та обов'язки сторін; термін проведення експертизи (експертних робіт); умови забезпечення експертизи (у т. ч. розробки та створення
додаткових методик, лабораторного, вимірювального та стендового
обладнання тощо); порядок розрахунків; умови, що впливають на зміну або припинення договірних
відносин; умови проведення нагляду за стабільністю показників об'єкта
експертизи, які встановлені під час експертизи; відповідальність за невиконання або неналежне виконання умов
договору; відповідальність за достовірність відомостей про об'єкт
експертизи, обгрунтованість матеріалів та результату експертизи; інші умови, що не суперечать чинному законодавству. 3.1.7. При проведенні комплексу робіт з експертизи об'єктів,
які призначені для захисту державної таємниці або конфіденційної
інформації, яка є власністю держави (містять відомості, які
належать до державної таємниці або конфіденційної інформації, що є
державною власністю), замовник укладає договір тільки з
організатором експертизи. В інших випадках замовник укладає договір з організатором
експертизи та, при потребі, з експертними закладами (експертами),
які визначені організатором експертизи в рішенні про проведення
експертизи.
3.2. Порядок проведення експертизи і підготовки висновку
державної експертизи 3.2.1. Експертні роботи виконуються після укладення договорів
і здійснюються експертними закладами (експертами) або
організатором експертизи в порядку і в терміни, що передбачені
договорами. 3.2.2. Експертні роботи здійснюються за програмами та
методиками, розробленими експертними закладами (експертами) та
погодженими ДСТСЗІ СБ України. 3.2.3. Під час проведення експертних робіт суб'єктами
експертизи повинен забезпечуватися належний захист інформації з
обмеженим доступом відповідно до вимог нормативно-правових актів
України та договорів щодо проведення експертизи. 3.2.4. За результатами експертних робіт експертні заклади
(експерти) готують та затверджують (підписують) висновки державної
експертизи. 3.2.5. Належним чином оформлені висновки державної експертизи
надаються експертними закладами (експертами) організатору
експертизи для оцінки їх повноти, об'єктивності, достатності та
інших характеристик. 3.2.6. З урахуванням оцінки повноти, об'єктивності,
достатності та інших характеристик організатор експертизи передає
документально оформлені результати експертизи замовнику з
дотриманням вимог чинного законодавства та умов договору. 3.2.7. Висновок державної експертизи є обов'язковим для
урахування замовником при здійсненні своєї діяльності. 3.2.8. Висновки експертизи, які не було реалізовано протягом
установленого терміну, утрачають чинність. 3.2.9. Оскарження результатів експертизи здійснюється згідно
з вимогами нормативно-правових актів України.
Перший заступник начальника
Головного управління Л. Скрипник
Джерело:Офіційний портал ВРУ