ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХСИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
Н А К А З
N 62 від 29.12.99 Зареєстровано в Міністерствім.Київ юстиції України
24 січня 2000 р.
за N 40/4261
Про затвердження Положення про державнуекспертизу в сфері технічного захисту
інформації
{ Із змінами, внесеними згідно з Наказом Департаментуспеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України
N 25 ( z0511-06 ) від 13.03.2006 }
З метою удосконалення діяльності системи технічного захисту
інформації в Україні в напрямах, які пов'язані з оцінкою
ефективності заходів щодо технічного захисту інформації,
відповідно до Законів України "Про захист інформації в
інформаційно-телекомунікаційних системах" ( 80/94-ВР ) та "Про
наукову і науково-технічну експертизу" ( 51/95-ВР ), Положення про
технічний захист інформації в Україні, затвердженого Указом
Президента України від 27 вересня 1999 року N 1229 ( 1229/99 ), та
Концепції технічного захисту інформації в Україні, затвердженої
постановою Кабінету Міністрів України від 8 жовтня 1997 року
N 1126 ( 1126-97-п ), Н А К А З У Ю: Преамбула із змінами, внесеними згідно з Наказом Департаменту
спеціальних телекомунікаційних систем та захисту інформації Служби
безпеки України N 25 ( z0511-06 ) від 13.03.2006 }
1. Затвердити Положення про державну експертизу в сфері
технічного захисту інформації (додається). 2. Начальнику Головного управління технічного захисту
інформації: у встановленому порядку в п'ятиденний термін подати на
державну реєстрацію наказ "Про затвердження Положення про державну
експертизу в сфері технічного захисту інформації"; у місячний термін розробити та подати на затвердження проект
Положення про Експертну раду з питань державної експертизи у сфері
технічного захисту інформації. 3. Контроль за виконанням цього наказу покласти на першого
заступника керівника Департаменту Барлабанова В.В.
Заступник Голови Служби Г.Лазарєв
ЗатвердженоНаказ Департаменту спеціальних
телекомунікаційних систем та
захисту інформації Служби
безпеки України
від 29 грудня 1999 р. N 62
Зареєстровано в Міністерствіюстиції України
24 січня 2000 р.
за N 40/4261
Положення
про державну експертизу в сфері технічного захисту інформації
1. Загальна частина
1.1. Це Положення розроблене відповідно до Законів України
"Про захист інформації в інформаційно-телекомунікаційних системах"
( 80/94-ВР ), "Про наукову і науково-технічну експертизу"
( 51/95-ВР ), Положення про технічний захист інформації в Україні,
затвердженого Указом Президента України від 27 вересня 1999 року
N 1229 ( 1229/99 ), Концепції технічного захисту інформації в
Україні, затвердженої постановою Кабінету Міністрів України від
8 жовтня 1997 року N 1126 ( 1126-97-п ), інших нормативно-правових
актів та нормативних документів системи технічного захисту
інформації в Україні й визначає порядок проведення експертизи в
цій сфері. { Пункт 1.1 із змінами, внесеними згідно з Наказом
Департаменту спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України N 25 ( z0511-06 ) від
13.03.2006 } 1.2. Державна експертиза в сфері технічного захисту
інформації (далі - експертиза) проводиться з метою оцінки
захищеності інформації, яка обробляється або циркулює в
інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах, приміщеннях,
інженерно-технічних спорудах тощо (далі - об'єкти інформаційної
діяльності), та підготовки обгрунтованих висновків для прийняття
відповідних рішень. { Пункт 1.2 із змінами, внесеними згідно з
Наказом Департаменту спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України N 25 ( z0511-06 ) від
13.03.2006 } 1.3. Дія цього Положення поширюється на всіх юридичних та
фізичних осіб, які належать до числа суб'єктів експертизи. Суб'єктами експертизи є: юридичні та фізичні особи, які є замовниками експертизи
(далі - замовники); Департамент спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України (далі - Департамент), а також
підприємства, установи та організації, які проводять експертизу за
його дорученням (далі - організатори); фізичні особи - виконавці експертних робіт з технічного
захисту інформації (далі - експерти). 1.4. Об'єктами експертизи є: комплексні системи захисту інформації (далі - КСЗІ), кожна з
яких є невід'ємною складовою частиною конкретного об'єкта
інформаційної діяльності і поєднує організаційні та інженерні
заходи, програмні й технічні засоби, призначені для попередження
навмисних чи ненавмисних дій щодо блокування інформації, порушення
її цілісності або конфіденційності; окремі технічні та програмні засоби, які реалізують функції
технічного захисту інформації (далі - засоби забезпечення
технічного захисту інформації, ЗТЗІ). 1.5. КСЗІ на об'єктах інформаційної діяльності, де
обробляється інформація, яка є власністю держави, або інформація з
обмеженим доступом, вимога щодо захисту якої встановлена законом,
підлягають експертизі в обов'язковому порядку. { Пункт 1.5 із
змінами, внесеними згідно з Наказом Департаменту спеціальних
телекомунікаційних систем та захисту інформації Служби безпеки
України N 25 ( z0511-06 ) від 13.03.2006 } 1.6. Експертиза може бути первинною та контрольною. Первинна експертиза є основним видом експертизи і передбачає
виконання всіх потрібних заходів для підготовки та прийняття
рішення щодо об'єкта експертизи. Контрольна експертиза провадиться іншим організатором: з
ініціативи замовника, за наявності в нього обгрунтованих претензій
до висновку первинної експертизи, або з ініціативи Департаменту -
для перевірки висновків первинної експертизи. 1.7. Департамент для організації та проведення експертизи: розробляє необхідні нормативно-правові акти та нормативні
документи, що забезпечують проведення експертизи, інформує
організаторів та експертів про введення їх у дію; формує Реєстри організаторів та експертів; реєструє заяви на проведення експертизи та надає замовникові
консультації з процедурних питань; приймає рішення щодо можливості й доцільності проведення та
організації експертизи, зокрема - контрольної; реєструє, видає, призупиняє дію або анулює документи, що
засвідчують рішення щодо можливості використання ЗТЗІ чи
відповідності КСЗІ вимогам нормативних документів з технічного
захисту інформації; здійснює контроль за дотриманням тих вимог експлуатації
об'єкта експертизи, недотримання яких впливає на захищеність
інформації.
2. Права та обов'язки суб'єктів експертизи
2.1. Замовник експертизи має право: використовувати без обмежень висновки, результати і матеріали
експертизи у своїй діяльності, якщо іншого не передбачено
договором на проведення експертизи; заявляти клопотання про потребу проведення контрольної
експертизи; брати, за погодженням з організатором, участь у проведенні
експертних робіт. 2.2. Замовник експертизи зобов'язаний: сприяти організатору в проведенні всебічного комплексного
дослідження об'єкта експертизи, виробленні експертної оцінки; передавати в установлені договором терміни організатору
потрібні матеріали, розрахунки, дані, додаткові відомості, що
стосуються об'єкта експертизи, та надавати потрібне обладнання. 2.3. Результати, матеріали, висновки експертизи та створене
або придбане за кошти замовника матеріально-технічне забезпечення
є його власністю, якщо іншого не передбачено договором між
замовником і організатором. 2.4. Організатор експертизи має право: здійснювати всі потрібні заходи з метою організації та
проведення експертизи відповідно до положень договору із
замовником; готувати пропозиції щодо включення (виключення) фахівців з
питань технічного захисту інформації до (з) Реєстру експертів; готувати пропозиції щодо розроблення та розробляти проекти
нормативних документів з питань проведення експертизи. 2.5. Організатор експертизи зобов'язаний: забезпечувати неупереджене, об'єктивне та своєчасне
проведення експертизи; за залучення Департаментом - розглядати проекти нормативних
документів щодо виконання експертних робіт і надавати змістовні,
обгрунтовані пропозиції та зауваження; створювати умови, які б забезпечували виконання вимог до
конфіденційності проведення експертизи, якщо це передбачено
договором. 2.6. Експерт має право: вільно викладати в документах з експертизи особисту думку з
питань експертизи, а також - особливі думки відносно результатів
виконання робіт; вимагати від організатора надання достовірних відомостей,
матеріалів та інженерно-технічного забезпечення, потрібних для
виконання експертних робіт та підготовки висновків; вносити пропозиції щодо вдосконалення форм і методів
проведення експертизи. 2.7. Експерт зобов'язаний: об'єктивно, неупереджено та своєчасно виконувати експертні
роботи; не допускати розголошення інформації, яка міститься у
матеріалах та висновках експертизи; пред'являти на вимогу замовника документи, які підтверджують
його досвід та рівень кваліфікації. 2.8. Суб'єкти експертизи, винні у скоєнні правопорушень,
пов'язаних з проведенням експертизи, притягаються до
відповідальності згідно із законодавством України.
3. Порядок організації та проведення експертизи
3.1. З метою координації заходів та прийняття рішень щодо
проведення експертиз при Департаменті створюється Експертна рада з
питань державної експертизи в сфері технічного захисту інформації
(далі - Експертна рада), діяльність якої визначається відповідним
положенням про цей орган. 3.2. Для проведення експертизи замовник надсилає на ім'я
керівника Департаменту у двох примірниках з копією на магнітному
носії заяву про проведення експертизи комплексної системи захисту
інформації об'єкта інформаційної діяльності (додаток 1) або заяву
про проведення експертизи засобу технічного захисту інформації
(додаток 2). 3.3. За результатами розгляду заяви Експертна рада у місячний
термін приймає рішення про доцільність проведення експертизи та
визначає її організатора. 3.4. У разі наявності у замовника обгрунтованих претензій
щодо результатів або порядку проведення експертизи він може
звернутися із заявою на ім'я керівника Департаменту (за формою,
наведеною в додатках 3 та 4, відповідно) про проведення
контрольної експертизи. 3.5. Порядок подання та розгляду заяви замовника про
проведення контрольної експертизи здійснюється відповідно до
пп.3.2, 3.3 цього Положення. 3.6. Основним юридичним документом, що регламентує відносини
між замовником і організатором, є договір на проведення
експертизи. 3.7. Порядок фінансування експертизи визначається відповідно
до законодавства України, а оплата витрат на проведення
експертизи, оплата праці експертів та послуг організаторів
здійснюється на підставі договору. 3.8. Термін проведення експертизи визначається договором і не
повинен перевищувати шести місяців. Збільшення терміну проведення
експертизи допускається лише за узгодженням з Департаментом у
випадку значного обсягу експертних робіт. 3.9. Питання оплати контрольної експертизи визначається у
договорі на проведення експертизи. 3.10. Список експертів, які залучаються до виконання
експертних робіт під час проведення конкретної експертизи,
визначається організатором. 3.11. Замовник надає організатору визначений нормативними
документами системи ТЗІ комплект організаційно-технічної
документації на об'єкт експертизи. 3.12. Організатор, за результатами аналізу наданих документів
і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та
КСЗІ, формує програму і окремі методики проведення експертизи
об'єкта та розробляє, у разі потреби, відповідне
програмно-технічне забезпечення. 3.13. Програма проведення експертизи узгоджується із
замовником та Головним управлінням ТЗІ Департаменту, а окремі
методики - з Головним управлінням ТЗІ Департаменту. 3.14. Терміни розроблення окремої методики та потрібних
програмно-апаратних засобів залежать від характеру та складності
об'єкта експертизи і визначаються у договорі на проведення
експертизи. 3.15. Під час проведення експертизи кожен експерт виконує
тільки доручені організатором роботи, визначені окремою методикою. 3.16. Результати роботи оформлюються у вигляді протоколу
(додаток 5) за підписом експертів, які її виконували. Протокол
затверджується організатором. 3.17. Організатор може рекомендувати експерту здійснити лише
стилістичне редагування протоколів виконаних робіт без зміни їх
змісту. 3.18. Узгодження результатів окремих робіт між експертом та
організатором, а також внесення змін до протоколів після їх
оформлення або поєднання результатів окремих робіт в одному
протоколі не дозволяється. 3.19. У протоколі можуть бути зафіксовані особливі думки
експертів щодо результатів виконаних робіт. 3.20. У разі виявлення невідповідності об'єкта експертизи
вимогам нормативних документів системи технічного захисту
інформації організатор може запропонувати замовнику виконати
доробку об'єкта. 3.21. Термін доробки об'єкта експертизи визначається спільним
протоколом між замовником та організатором. 3.22. Відомості щодо кожної з доробок, а також результати
додаткових експертних робіт оформлюються окремими протоколами. 3.23. Результати робіт, визначених окремою методикою,
узагальнюються організатором в експертному висновку. 3.24. Висновки щодо кожного пункту окремої методики, а також
особливі думки експертів, зафіксовані в протоколах, включаються до
експертного висновку як складові частини, без унесення до них
будь-яких змін. 3.25. За результатами проведених робіт організатор складає
"Експертний висновок" (додатки 6, 7) щодо відповідності об'єкта
експертизи вимогам нормативних документів системи технічного
захисту інформації, підписує його і подає до Департаменту.
4. Порядок надання "Експертного висновку" та "Атестата
відповідності"
4.1. "Експертний висновок" розглядається Експертною радою і в
разі затвердження результатів експертизи реєструється та видається
замовнику. 4.2. Наявність позитивного рішення щодо експертизи ЗТЗІ є
підставою для включення цього засобу до переліку технічних засобів
загального призначення, що дозволені Департаментом для
використання з метою технічного захисту інформації. 4.3. На підставі позитивного рішення щодо експертизи КСЗІ
замовнику видається зареєстрований "Атестат відповідності"
(додаток 8), який підписується керівником (заступником керівника)
Департаменту. 4.4. Департамент має право призупинити або анулювати дію
"Експертного висновку" та "Атестата відповідності". Порядок
призупинення або анулювання дії зазначених документів визначається
окремим нормативно-правовим документом системи ТЗІ.
Заступник керівника Департаменту -
начальник ГУ ТЗІ І.Котельчук
Додаток 1до п.3.2 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпекиУкраїни ________________________________
Заява
про проведення експертизи комплексної системи захистуінформації об'єкта інформаційної діяльності
_________________________________________________________________,(назва об'єкта інформаційної діяльності) о належить ______________________________________________________
(назва організації, яка є власником (розпорядником) _________________________________________________________________
об'єкта інформаційної діяльності) ________________________________________________________________.
(юридична адреса організації)
Додаток: технічне завдання на створення комплексної системи
захисту інформації зазначеного об'єкта інформаційної діяльності.
Замовник експертизи ________________ ____________________(підпис) (ініціали, прізвище)
м.п.
"___" _____________ ____ р.
Додаток 2до п.3.2 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпекиУкраїни ________________________________
Заява
про проведення експертизи засобу технічногозахисту інформації
_________________________________________________________________,(назва засобу технічного захисту інформації) аданого _________________________________________________________
(назва організації - заявника) ________________________________________________________________.
(юридична адреса організації - заявника) отреба в проведенні експертизи зумовлена: _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
Додаток: технічне завдання та/або паспорт (формуляр) на засіб
технічного захисту інформації.
Замовник експертизи __________________ ____________________(підпис) (ініціали, прізвище)
м.п.
"___" ____________ ____ р.
Додаток 3до п.3.4 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпекиУкраїни ________________________________
Заява
про проведення контрольної експертизи комплексноїсистеми захисту інформації об'єкта інформаційної
діяльності
_________________________________________________________________,(назва об'єкта інформаційної діяльності) о належить ______________________________________________________
(назва організації, яка є власником об'єкта _________________________________________________________________
інформаційної діяльності) ________________________________________________________________.
(юридична адреса організації) отреба проведення контрольної експертизи зумовлена: _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
Додаток: експертний висновок первинної експертизи та технічне
завдання на створення комплексної системи захисту інформації
зазначеного об'єкта інформаційної діяльності.
Замовник експертизи __________________ ____________________(підпис) (ініціали, прізвище)
м.п.
"___" ____________ ____ р.
Додаток 4до п.3.4 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпекиУкраїни ________________________________
Заява
про проведення контрольної експертизи засобутехнічного захисту інформації
_________________________________________________________________,(назва засобу технічного захисту інформації) аданого _________________________________________________________
(назва організації - заявника) ________________________________________________________________.
(юридична адреса організації - заявника) отреба у проведенні контрольної експертизи обумовлена: _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
Додаток: експертний висновок первинної експертизи, технічне
завдання та/або паспорт (формуляр) на засіб технічного захисту
інформації.
Замовник експертизи __________________ ____________________(підпис) (ініціали, прізвище)
м.п.
"___" _____________ ____ р.
Додаток 5до п.3.16 Положення про державну
експертизу в сфері технічного
захисту інформації
ЗАТВЕРДЖУЮ ________________________________(посада керівника організатора
експертизи) ________________________________
(підпис) (ініціали, прізвище)
м.п.
"___" _______ ____ р.
Протоколвиконання робіт відповідно до пункту ____ окремої
методики експертизи комплексної системи (засобу)
технічного захисту інформації
1. Зміст пункту ___ окремої методики експертизи об'єкта _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
2. Перелік документів і специфікації програмних та технічних
засобів, наданих замовником для виконання робіт: _________________________________________________________________ _________________________________________________________________ _________________________________________________________________
3. Результати робіт _________________________________________________________________ _________________________________________________________________
4. Висновок щодо відповідності об'єкта експертизи вимогам
нормативних документів системи ТЗІ в обсязі функцій, зазначених у
паспорті (формулярі) на засіб захисту інформації, технічному
завданні на створення комплексної системи захисту інформації _________________________________________________________________ _________________________________________________________________
5. Особлива думка експерта: _________________________________________________________________ _________________________________________________________________
Експерти ______________ ____________________(підпис) (ініціали, прізвище)
"___" ____________ ____ р.
Додаток 6до п.3.25 Положення про
державну експертизу в сфері
технічного захисту інформації
Експертний висновок
Зареєстровано в Департаменті спеціальнихтелекомунікаційних систем та захисту
інформації Служби безпеки України
"___" ____________ ____ р. за N _______.
Дійсний до "___" ____________ ____ р.
Керівник Департаменту __________ ____________________(підпис) (ініціали, прізвище)
м.п.
Результати експертизи свідчать про те, що комплексна система
(засіб) технічного захисту інформації в _________________________________________________________________
(назва об'єкта інформаційної діяльності (засобу технічного захисту ________________________________________________________________,інформації)) о належить (наданий на експертизу) ______________________________
(назва організації) _________________________________________________________________
(юридична адреса організації) ________________________________________________________________, ___________________________
(відповідає, не відповідає) имогам нормативних документів системи технічного захисту
інформації в Україні в обсязі функцій, зазначених у технічному
завданні (паспорті або формулярі) N ______________. Вимоги до умов експлуатації (сфера використання) об'єкта
експертизи визначено у відповідному розділі цього експертного
висновку.
Керівник
організатора експертизи __________ ____________________(підпис) (ініціали, прізвище)
м.п.
Додаток 7до п.3.25 Положення про
державну експертизу в сфері
технічного захисту інформації
Змістекспертного висновку
1. Загальні відомості щодо об'єкта інформаційної діяльності -
тип, місцезнаходження, власник. 2. Загальна характеристика об'єкта експертизи (призначення,
функції, можливості). 3. Вимоги нормативних документів системи ТЗІ в Україні, на
відповідність яким оцінюється об'єкт експертизи. 4. Назва окремої методики, згідно з якою здійснювалася оцінка
об'єкта експертизи, ким розроблена та затверджена, реєстраційний
номер та дата затвердження. 5. Перелік документів і специфікації програмних та технічних
засобів, які надано замовником організатору експертизи. 6. Результати робіт щодо кожного пункту окремої методики
експертизи об'єкта. 7. Докладний висновок щодо відповідності об'єкта експертизи
вимогам нормативних документів системи ТЗІ. 8. Сфера використання (вимоги до умов експлуатації) об'єкта
експертизи. 9. Термін дії експертного висновку. 10. Особливі думки експертів, зафіксовані в протоколах.
Додаток 8до п.4.3 Положення про
державну експертизу в сфері
технічного захисту інформації
(Герб України)
ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХСИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ
СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
СИСТЕМА ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Атестат відповідності
Зареєстровано в Департаменті спеціальнихтелекомунікаційних систем та захисту
інформації Служби безпеки України
"___" ___________ ____ р. за N ________.
Дійсний до "___" ___________ ____ р.
Департамент спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України засвідчує, що комплексна система
захисту інформації об'єкта інформаційної діяльності ________________________________________________________________,(назва об'єкта інформаційної діяльності) о належить ______________________________________________________
(назва організації, яка є власником (розпорядником) _________________________________________________________________
об'єкта інформаційної діяльності) ________________________________________________________________,
(юридична адреса організації) абезпечує захист інформації відповідно до вимог нормативних
документів системи технічного захисту інформації в Україні.
Атестат видано на підставі експертного висновку, який
додається до цього атестата і є його невід'ємною частиною. Вимоги до умов експлуатації об'єкта експертизи визначено у
відповідному розділі експертного висновку.
Керівник Департаменту ______________ ____________________(підпис) (ініціали, прізвище)
м.п.
Джерело:Офіційний портал ВРУ