АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
16.05.2007 № 93 |
Про затвердження Положення про державну експертизу у сфері технічного захисту інформації
{Заголовок в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 477 від 28.08.2022}
{Із змінами, внесеними згідно з Наказами Адміністрації
Державної служби спеціального зв'язку
та захисту інформації
№ 567 від 10.10.2012
№ 407 від 30.06.2016
№ 565 від 13.10.2017
№ 483 від 19.08.2020
№ 477 від 28.08.2022}
Відповідно до статті 17, пункту 2 розділу IX "Прикінцеві та перехідні положення" Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 № 868, НАКАЗУЮ:
1. Затвердити Положення про державну експертизу у сфері технічного захисту інформації, що додається.
{Пункт 1 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 477 від 28.08.2022}
2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 року № 62 "Про затвердження Положення про державну експертизу в сфері технічного захисту інформації", зареєстрований в Міністерстві юстиції України 24 січня 2000 року за № 40/4261.
3. Департаменту з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації Держспецзв'язку забезпечити в установленому порядку подання наказу на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України Фролова О.В.
ПОГОДЖЕНО: В.о. Голови Державного комітету України Голова Антимонопольного Міністр освіти і науки України |
|
ЗАТВЕРДЖЕНО |
ПОЛОЖЕННЯ
про державну експертизу у сфері технічного захисту інформації
1. Це Положення визначає порядок проведення державної експертизи у сфері технічного захисту інформації.
2. Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об’єктів експертизи щодо їх відповідності вимогам нормативних документів з технічного захисту інформації та можливості їх використання для забезпечення технічного захисту інформації (далі - ТЗІ).
3. Дія цього Положення поширюється на всіх юридичних і фізичних осіб, які є суб’єктами експертизи.
юридичні та фізичні особи - власники (розпорядники) інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем; апаратних, апаратно-програмних і програмних засобів, які реалізують функції ТЗІ; організаційно-технічних рішень - замовники експертизи (далі - Замовники);
Адміністрація Держспецзв’язку;
територіальні органи Адміністрації Держспецзв’язку;
навчальні заклади, науково-дослідні, науково-виробничі установи, підприємства, установи та організації, які проводять експертизу (далі - Організатори);
державні органи, які проводять експертизу в сфері свого управління;
фізичні особи, які на постійній або професійній основі здійснюють діяльність, пов’язану з наданням експертних послуг,- виконавці експертних робіт з ТЗІ (далі - Експерти).
комплексні системи захисту інформації (далі - КСЗІ), які є невід’ємною складовою інформаційної, електронної комунікаційної або інформаційно-комунікаційної системи (далі - ІКС);
апаратні, апаратно-програмні і програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації (далі - засоби ТЗІ);
організаційно-технічне рішення для впровадження типової компоненти КСЗІ в ІКС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІКС, самодостатнє для вирішення певного завдання, що містить проєктні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІКС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в ІКС (далі - ОТР КСЗІ).
5. Експертиза КСЗІ, засобів ТЗІ та ОТР КСЗІ є процедурою підтвердження відповідності КСЗІ, засобів ТЗІ та ОТР КСЗІ вимогам нормативних документів з ТЗІ.
Експертиза КСЗІ проводиться шляхом експертних випробувань або шляхом аналізу декларації.
Експертиза засобів ТЗІ та ОТР КСЗІ проводиться шляхом експертних випробувань.
6. Експертиза КСЗІ шляхом аналізу декларації за рішенням Замовника проводиться у випадках, якщо:
1) КСЗІ створено у складі ІКС:
яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;
у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;
у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ;
у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ;
у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі потреби створення комплексу ТЗІ) засвідчено зареєстрованим у встановленому порядку актом атестації комплексу ТЗІ;
2) КСЗІ в ІКС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ та має у складі документації форму декларації для цієї КСЗІ, яка погоджена Адміністрацією Держспецзв’язку.
У всіх інших випадках експертиза КСЗІ в ІКС проводиться шляхом експертних випробувань.
7. Експертиза може бути первинною, додатковою та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання Організатором заходів, визначених у розділі ІІ цього Положення, для підготовки та прийняття рішення щодо об’єкта експертизи.
Додаткова експертиза проводиться стосовно об’єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини, а також у зв’язку із закінченням строку дії документів, що засвідчують результати експертизи.
Контрольну експертизу проводить інший Організатор з ініціативи Замовника у разі наявності у нього обґрунтованих претензій до висновку первинної чи додаткової експертизи або з ініціативи Адміністрації Держспецзв’язку для перевірки висновку первинної чи додаткової експертизи.
8. Для організації та проведення експертизи Адміністрація Держспецзв’язку:
розглядає заяви Замовників про проведення експертизи КСЗІ в IКC, засобів ТЗІ та ОТР КСЗІ;
приймає рішення щодо можливості й доцільності проведення експертизи, призначає проведення первинної, додаткової експертизи, а у разі потреби перевірки їх висновку - контрольної експертизи;
надає Замовникам та Організаторам методичну допомогу стосовно порядку та організації проведення експертизи, оформлення документів за результатами проведення експертизи;
у разі проведення експертизи засобу ТЗІ приймає рішення щодо необхідності відбору зразків для проведення експертних випробувань;
за результатами розгляду звернення Замовника або Організатора, або правоохоронних органів на підставі викладених у зверненні обставин приймає рішення щодо участі представників Адміністрації Держспецзв’язку при проведенні експертних випробувань для забезпечення відповідності процесу проведення державної експертизи вимогам нормативних документів у сфері захисту інформації;
здійснює контроль за проведенням Організатором експертних випробувань та за дотриманням вимог щодо експлуатації об’єкта експертизи, які впливають на захищеність інформації;
розглядає документи за результатами проведення експертизи, надані Організатором, та приймає рішення щодо реєстрації або відмови у реєстрації експертних висновків засобів ТЗІ/ОТР КСЗІ та атестатів відповідності КСЗІ за результатами їх розгляду;
приймає рішення про реєстрацію або відмову в реєстрації декларації за результатами експертизи КСЗІ в ІКС шляхом аналізу декларації;
реєструє, зупиняє дію або скасовує експертні висновки на засоби ТЗІ, ОТР КСЗІ, атестати відповідності КСЗІ;
реєструє або скасовує декларації, у тому числі рішення щодо реєстрації яких було прийнято територіальними органами Адміністрації Держспецзв’язку;
приймає рішення щодо ознайомлення з фактичним станом об’єкта експертизи;
розглядає звіти за результатами ознайомлення з фактичним станом об’єкта експертизи (далі - Звіт про ознайомлення).
9. Для організації та проведення експертизи територіальний орган Адміністрації Держспецзв’язку приймає рішення про реєстрацію або відмову в реєстрації декларації за результатами експертизи КСЗІ в ІКС шляхом аналізу декларації.
10. Підставами для відмови у реєстрації атестата відповідності, експертного висновку, декларації є невідповідність об’єкта експертизи вимогам законодавства в сфері захисту інформації та/або невідповідність складу та змісту наданих організатором експертизи документів вимогам нормативних документів у сфері технічного захисту інформації.
II. Порядок організації та проведення експертизи
1. З метою організації та проведення експертиз, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації Держспецзв’язку створюється експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі - Експертна рада).
2. З метою проведення експертизи КСЗІ в ІКС шляхом аналізу декларації в територіальних органах Адміністрації Держспецзв’язку створюється експертна комісія з питань державної експертизи в сфері технічного захисту інформації (далі - Експертна комісія).
3. Для проведення експертизи шляхом експертних випробувань Замовник надсилає на ім’я Голови Держспецзв’язку (крім випадків, передбачених розділом IV цього Положення) заяву про проведення первинної/додаткової/контрольної експертизи КСЗІ в ІКС згідно з додатком 1, заяву про проведення первинної/додаткової/контрольної експертизи ОТР КСЗІ згідно з додатком 2, заяву про проведення первинної/додаткової/контрольної експертизи засобу ТЗІ згідно з додатком 3 з наданням пропозиції щодо Організатора. До заяви про проведення експертизи КСЗІ в ІКС та ОТР КСЗІ додається технічне завдання на їх створення.
Для проведення експертизи КСЗІ в ІКС шляхом аналізу декларації (крім випадків, передбачених розділом IV цього Положення) Замовник надсилає декларацію про відповідність КСЗІ вимогам нормативних документів з ТЗІ згідно з додатком 4, формуляр ІКС, акт про завершення робіт зі створення КСЗІ:
до Адміністрації Держспецзв’язку - на ім’я Голови Держспецзв’язку для ІКС, які розташовано за територіальною ознакою у місті Києві і Київській області;
до відповідного територіального органу Адміністрації Держспецзв’язку - на ім’я керівника територіального органу Держспецзв’язку за місцезнаходженням ІКС.
Для проведення експертизи КСЗІ в ІКС шляхом аналізу декларації, яка створена на основі ОТР КСЗІ та підпадає під дію підпункту 2 пункту 6 розділу І цього Положення, Замовник надсилає до Адміністрації Держспецзв’язку декларацію та додатки до неї згідно з вимогами ОТР КСЗІ.
4. За результатами аналізу декларації і поданих разом із нею документів Експертна рада (Експертна комісія) приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація Держспецзв’язку (її територіальний орган) повертає Замовнику.
5. У разі неподання разом із декларацією документів, зазначених у пункті 3 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам нормативних документів з ТЗІ, недостатності чи некоректності обраних методів оцінки механізмів захисту інформації відповідно до вимог нормативних документів з ТЗІ Адміністрація Держспецзв’язку (територіальний орган Адміністрації Держспецзв’язку) письмово повідомляє Замовника про відмову в реєстрації декларації, причини, через які реєстрація не є можливою, та повертає декларацію і подані з нею документи на доопрацювання або приймає рішення про ознайомлення з фактичним станом об’єкта експертизи для визначення відповідності наданим документам, а також письмово повідомляє Замовника про прийняте рішення.
Після усунення причин, що стали підставою для відмови у реєстрації декларації, Замовник надсилає для повторного розгляду до Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку) доопрацьовану декларацію і документи, які подаються разом з нею.
6. Зареєстрована декларація або атестат відповідності КСЗІ скасовується Адміністрацією Держспецзв’язку в разі внесення змін до КСЗІ, не передбачених техноробочим проєктом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ.
7. Строк дії зареєстрованої декларації є необмеженим, крім декларацій на КСЗІ в ІКС, які створено на основі ОТР КСЗІ, строк дії якої встановлюється вимогами ОТР КСЗІ (але не більше ніж 5 років).
8. За результатами розгляду заяви Експертна рада приймає рішення про доцільність проведення експертизи та визначає її Організатора з урахуванням пропозиції Замовника.
9. Про рішення Експертної ради Замовнику та Організатору надсилається письмове повідомлення.
10. У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи він може звернутися до Адміністрації Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням Організатором експертних випробувань або із заявою на ім’я Голови Держспецзв’язку про проведення контрольної експертизи (додаток 1).
11. Основним документом, що регламентує відносини між Замовником і Організатором, є укладений між ними договір на проведення експертизи.
12. Витрати, пов’язані з проведенням експертизи, здійснюються на підставі договору відповідно до законодавства України.
13. Строк проведення експертизи визначається договором.
14. Кількість і персональний склад експертів, які залучаються до виконання експертних робіт, визначає Організатор.
15. Замовник надає Організатору комплект технічної документації на об’єкт експертизи, необхідної для проведення експертних випробувань.
16. Організатор за результатами аналізу наданих документів та з урахуванням загальних методик оцінювання задекларованих характеристик засобів ТЗІ, ОТР КСЗІ та КСЗІ формує програму і методику проведення експертизи об’єкта, здійснює відбір зразків засобів ТЗІ та складає перелік необхідного програмно-технічного забезпечення для проведення випробувань.
17. Програма проведення експертизи погоджується із Замовником. Програма та методика проведення експертизи апаратних, апаратно-програмних засобів ТЗІ, які реалізують функції щодо захисту інформації від витоку технічними каналами, погоджуються із Замовником та Адміністрацією Держспецзв’язку.
18. Під час проведення експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до визначеної методики.
19. У проведенні експертизи за відповідним рішенням Адміністрації Держспецзв’язку як спостерігачі мають право брати участь представники Адміністрації Держспецзв’язку.
20. Результати роботи оформлюються у вигляді протоколу виконання робіт відповідно до методики експертизи КСЗІ (ОТР КСЗІ або засобу ТЗІ) згідно з додатком 5 за підписом Експертів, які її виконували. Протокол виконання робіт затверджує Організатор.
21. Узгодження результатів окремих робіт між Експертом та Організатором, а також унесення змін до протоколу виконання робіт після його оформлення не дозволяються.
22. У протоколі виконання робіт можуть бути зафіксовані особливі думки Експертів відносно результатів виконаних робіт.
23. У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ Організатор може запропонувати Замовнику виконати доопрацювання.
24. Строк доопрацювання об’єкта експертизи визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором.
25. Відомості щодо всіх доопрацювань, а також результати додаткових експертних робіт оформлюються окремими протоколами.
26. Результати робіт, визначених методикою, узагальнює Організатор в Експертному висновку.
27. Висновки щодо кожного пункту методики, а також особливі думки Експертів, зафіксовані в протоколі виконання робіт, вносяться до Експертного висновку як складові частини без унесення до них будь-яких змін.
28. За результатами проведених робіт Організатор складає:
експертний висновок згідно з додатком 6 та в разі позитивних результатів експертної оцінки - атестат відповідності згідно з додатком 7 на КСЗІ;
експертний висновок згідно з додатком 8 на засіб ТЗІ;
експертний висновок згідно з додатком 9 на ОТР КСЗІ.
Зазначені документи, що підтверджують відповідність вимогам нормативних документів з ТЗІ, засвідчує Організатор і разом з програмою, методикою та протоколами виконання робіт подає для розгляду до Адміністрації Держспецзв’язку (в тому числі в електронному вигляді у форматі.pdf).
Експертний висновок повинен містити:
загальні відомості щодо об’єкта експертизи (тип, місце розташування, власник);
загальну характеристику об’єкта експертизи (призначення, функції, можливості щодо вирішення певних завдань захисту інформації);
перелік нормативних документів з ТЗІ, на відповідність вимогам яких проводиться оцінка об’єкта експертизи;
назви програми та методики, згідно з якими проводилася оцінка об’єкта експертизи, ким розроблені та затверджені, реєстраційний номер та дату затвердження;
перелік документів і специфікацій програмних та технічних засобів ТЗІ, які Замовник надав Організатору;
перелік засобів ТЗІ (із зазначенням їх типів, заводських номерів, року випуску), які Замовник надав Організатору (у разі проведення експертизи засобів ТЗІ);
результати робіт щодо кожного пункту програми проведення експертизи об’єкта;
розгорнутий висновок щодо відповідності об’єкта експертизи вимогам нормативних документів із ТЗІ;
сферу використання (вимоги до умов експлуатації) об’єкта експертизи;
строк дії експертного висновку;
особливі думки експертів, зафіксовані в протоколах виконання робіт.
29. Строк дії атестата відповідності КСЗІ, експертного висновку на засіб ТЗІ або ОТР КСЗІ визначає Організатор:
для атестата відповідності КСЗІ автоматизованої системи класу 1 - безстроковий;
для атестата відповідності КСЗІ автоматизованої системи класів 2, 3 - до 5 років;
для експертного висновку на засіб ТЗІ - до 3 років;
для експертного висновку на ОТР КСЗІ - до 5 років.
30. Строк дії атестата відповідності КСЗІ або експертного висновку на ОТР КСЗІ визначається з урахуванням складності архітектури ІКС і засобів захисту, які використовуються при побудові КСЗІ.
III. Порядок реєстрації і скасування експертного висновку для засобів ТЗІ/ОТР КСЗІ та атестата відповідності КСЗІ
1. Експертний висновок для засобів ТЗІ/ОТР КСЗІ реєструє Експертна рада за результатами розгляду документів, наданих Організатором за результатами проведення експертизи для засобів ТЗІ/ОТР КСЗІ. Після реєстрації експертний висновок для засобів ТЗІ/ОТР КСЗІ повертається Організатору разом з наданими документами.
У разі неповноти відомостей у документах за результатами проведення експертизи для засобів ТЗІ/ОТР КСЗІ, невідповідності цих документів вимогам нормативних документів з ТЗІ, недостатності чи некоректності обраних методів оцінки механізмів захисту інформації відповідно до вимог нормативних документів з ТЗІ Адміністрація Держспецзв’язку письмово повідомляє Організатора про відмову в реєстрації експертного висновку для засобів ТЗІ/ОТР КСЗІ, причини, через які реєстрація не є можливою, та повертає надані документи на доопрацювання.
Після усунення причин, що стали підставою для відмови у реєстрації експертного висновку для засобів ТЗІ/ОТР КСЗІ, Організатор надсилає для повторного розгляду до Адміністрації Держспецзв’язку доопрацьовані документи.
2. Атестат відповідності КСЗІ реєструє Експертна рада за результатами розгляду документів, наданих Організатором за результатами проведення експертизи КСЗІ. Після реєстрації атестат відповідності КСЗІ повертається Організатору разом з наданими документами.
У разі неповноти відомостей у документах за результатами проведення експертизи, невідповідності порядку створення КСЗІ вимогам нормативних документів з ТЗІ, невідповідності цих документів вимогам нормативних документів з ТЗІ, недостатності чи некоректності обраних методів оцінки механізмів захисту інформації відповідно до вимог нормативних документів з ТЗІ Адміністрація Держспецзв’язку письмово повідомляє Організатора про відмову в реєстрації атестата відповідності КСЗІ, причини, через які реєстрація не є можливою, та повертає надані документи на доопрацювання або приймає рішення про ознайомлення з фактичним станом об’єкта експертизи для визначення відповідності наданим документам, а також письмово повідомляє Організатора та Замовника про прийняте рішення.
Після усунення причин, що стали підставою для відмови у реєстрації атестата відповідності КСЗІ, в тому числі з урахуванням інформації, зазначеної у Звіті про ознайомлення (у разі його складання), Організатор надсилає для повторного розгляду до Адміністрації Держспецзв’язку доопрацьовані документи.
3. Адміністрація Держспецзв’язку має право зупинити дію, скасувати експертний висновок та/або атестат відповідності КСЗІ в разі:
1) отримання відповідної заяви власника експертного висновку або атестата відповідності КСЗІ (складається у довільній формі на ім’я Голови Держспецзв’язку із зазначенням реєстраційного номера Експертного висновку або атестата відповідності КСЗІ);
2) наявності фактів внесення змін до КСЗІ, не передбачених техноробочим проєктом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ;
3) наявності фактів порушення вимог щодо технології виготовлення, правил приймання, методів контролю та випробувань, зміни конструкції (складу) та комплектності засобів ТЗІ або інших відомостей, узгоджених під час проведення експертизи;
4) наявності фактів правопорушення в сфері наукової і науково-технічної експертизи відповідно до Закону України «Про наукову і науково-технічну експертизу»;
5) якщо висновки експертизи, за результатами якої зареєстровано експертний висновок та/або атестат відповідності КСЗІ, суперечать вимогам чинних нормативно-правових актів у сфері ТЗІ;
6) наявності персональних спеціальних економічних та інших обмежувальних заходів (санкцій) до Замовників, які унеможливлюють використання засобів ТЗІ/КСЗІ в обсязі, визначеному експертним висновком та/або атестатом відповідності КСЗІ;
7) відмови Замовника від проведення контрольної експертизи з ініціативи Адміністрації Держспецзв’язку для перевірки висновку первинної чи додаткової експертизи.
4. Факти внесення змін до КСЗІ, не передбачених техноробочим проєктом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ підтверджуються:
протоколами та експертними висновками контрольної експертизи;
актами державного контролю за станом технічного захисту інформації;
актами оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.
5. Факти порушення вимог щодо технології виготовлення, правил приймання, методів контролю та випробувань, зміни конструкції (складу) та комплектності засобів ТЗІ, узгоджені під час проведення експертизи, підтверджуються протоколами та експертними висновками контрольної експертизи.
6. Рішення про зупинення дії експертного висновку та/або атестата відповідності КСЗІ приймається у разі, якщо після вжиття погоджених з Адміністрацією Держспецзв’язку коригувальних заходів, спрямованих на усунення виявлених недоліків, власник експертного висновку та/або атестата відповідності КСЗІ без проведення додаткової експертизи може підтвердити відповідність засобів ТЗІ/ОТР КСЗІ/КСЗІ вимогам нормативних документів у сфері захисту інформації. В іншому випадку експертний висновок та/або атестат відповідності КСЗІ скасовуються.
7. Інформація про рішення щодо зупинення дії, скасування експертного висновку та/або атестата відповідності КСЗІ та про скасування декларації не пізніше ніж через сім робочих днів надсилається Замовнику із зазначенням відповідних підстав (крім випадків, зазначених у пункті 9 цього розділу).
8. Рішення Адміністрації Держспецзв’язку може бути оскаржено до суду.
9. У разі настання змін, які впливають на реалізацію оцінених при проведенні експертизи КСЗІ заходів захисту інформації та/або призводять до втрати актуальності цих заходів, але не рідше, ніж раз на п’ять років з дати реєстрації декларації або атестата відповідності з безстроковим строком дії, власник ІКС надсилає до Адміністрації Держспецзв’язку повідомлення про стан функціонування КСЗІ згідно з додатком 10.
У разі неподання до Адміністрації Держспецзв’язку повідомлення про стан функціонування КСЗІ або невідповідності повідомлення встановленому зразку (додаток 10) реєстрація декларації або атестата відповідності з безстроковим строком дії вважається скасованою.
IV. Особливості проведення експертиз КСЗІ державними органами, які проводять роботи з ТЗІ для власних потреб
1. Державні органи, які мають дозвіл Адміністрації Держспецзв’язку на проведення робіт з ТЗІ для власних потреб, можуть виконувати роботи з організації та проведення первинних або додаткових експертиз КСЗІ в ІКС (крім контрольних експертиз) шляхом експертних випробувань та аналізу декларацій у сфері свого управління.
2. Порядок проведення експертизи КСЗІ в ІКС погоджується з Адміністрацією Держспецзв’язку.
V. Особливості проведення експертиз засобів ТЗІ
1. Для проведення експертизи засобу ТЗІ разом із заявою про проведення експертизи засобу ТЗІ (додаток 3) Замовник надає документи, що підтверджують його право на володіння та/або користування, та/або розпорядження засобом ТЗІ.
2. Експертиза апаратних засобів ТЗІ проводиться з метою оцінки відповідності їх спеціальних властивостей (технічних характеристик) вимогам нормативних документів з ТЗІ в обсязі, визначеному у технічному завданні (технічних умовах або технічних вимогах) на засіб ТЗІ.
Експертиза може проводитися для одиночного засобу ТЗІ, для партії засобів ТЗІ або за ініціативою Замовника для засобів ТЗІ, що мають бути виготовлені протягом строку дії експертного висновку.
Процедуру відбору та ідентифікації зразків апаратних засобів ТЗІ проводить Організатор у присутності представників Замовника та у разі прийняття Адміністрацією Держспецзв’язку рішення щодо такої потреби - представників Адміністрації Держспецзв’язку.
При проведенні експертизи партії засобів ТЗІ або засобів ТЗІ, що мають бути виготовлені протягом строку дії експертного висновку, проводиться відбір не менше ніж двох зразків засобів ТЗІ.
Для ідентифікації апаратних засобів ТЗІ застосовується їх заводський номер. Визначені ідентифікатори апаратних засобів ТЗІ фіксуються у протоколах та експертних висновках.
При проведенні експертизи апаратних засобів ТЗІ, що мають бути виготовлені протягом строку дії експертного висновку, Експерти повинні також провести обстеження виробництва з метою перевірки наявності умов, які забезпечують виготовлення засобів ТЗІ з властивостями (технічними характеристиками), що відповідатимуть вимогам нормативних документів з ТЗІ, в обсязі, зазначеному в технічному завданні (технічних умовах, технічних вимогах) на ці засоби ТЗІ, та дійти висновку щодо можливості розповсюдження дії експертного висновку на засоби ТЗІ, що будуть виготовлятися протягом строку дії цього експертного висновку.
3. Експертиза програмних засобів ТЗІ за рішенням Замовника проводиться з метою:
оцінки відповідності програмного засобу ТЗІ вимогам нормативних документів з ТЗІ в частині вимог щодо захисту інформації від несанкціонованого доступу;
дослідження на відсутність недокументованих функцій (функції програмних засобів, які не прописані і не відповідають прописаним у документації, під час використання яких можливе порушення конфіденційності, доступності або цілісності оброблюваної інформації).
Дослідження на відсутність недокументованих функцій програмних засобів ТЗІ може проводити Адміністрація Держспецзв’язку.
Процедури відбору та ідентифікації програмних засобів ТЗІ проводить Організатор у присутності представника Замовника. Для ідентифікації програмних засобів ТЗІ (їх складових частин) застосовується номер версії програмної реалізації засобу ТЗІ та значення його геш-функцій. Для обчислення значень геш-функцій повинно використовуватися програмне забезпечення, яке має позитивний експертний висновок у сфері криптографічного захисту інформації. Визначені ідентифікатори програмних засобів ТЗІ фіксуються у протоколах та експертних висновках.
Експертиза оновлень програмних засобів ТЗІ, що мають чинні експертні висновки, проводиться в установленому порядку.
4. Експертиза апаратно-програмних засобів ТЗІ за рішенням Замовника проводиться з метою:
оцінки відповідності спеціальних властивостей (технічних характеристик) апаратно-програмного засобу ТЗІ вимогам нормативних документів з ТЗІ в обсязі, визначеному в технічному завданні (технічних умовах або технічних вимогах) на апаратно-програмний засіб ТЗІ;
оцінки відповідності спеціальних (призначених для реалізації політики безпеки інформації) програмних компонентів апаратно-програмного засобу ТЗІ вимогам нормативних документів з ТЗІ в частині вимог щодо захисту інформації від несанкціонованого доступу;
дослідження на відсутність недокументованих функцій.
Дослідження на відсутність недокументованих функцій апаратно-програмних засобів ТЗІ може проводити Адміністрація Держспецзв’язку.
Процедуру ідентифікації зразків апаратно-програмних засобів ТЗІ визначає Адміністрація Держспецзв’язку з урахуванням особливостей та експлуатаційних характеристик засобів ТЗІ.
Експертиза апаратно-програмних засобів ТЗІ з метою оцінки відповідності їх спеціальних властивостей (технічних характеристик) вимогам нормативних документів з ТЗІ може проводитися для одиночного засобу ТЗІ, для партії засобів ТЗІ та для засобів ТЗІ, які будуть виготовлятися протягом строку дії експертного висновку, в порядку, визначеному для апаратних засобів ТЗІ.
Експертиза апаратно-програмних засобів ТЗІ з метою оцінки відповідності спеціальних (призначених для реалізації політики безпеки інформації) програмних компонентів апаратно-програмних засобів ТЗІ вимогам нормативних документів з ТЗІ в частині вимог щодо захисту інформації від несанкціонованого доступу та/або дослідження на відсутність недокументованих функцій проводиться в порядку, визначеному для програмних засобів ТЗІ.
5. У разі проведення експертизи засобу ТЗІ на відповідність критеріям оцінки захищеності інформації від несанкціонованого доступу на титульному аркуші експертного висновку зазначається функціональний профіль захисту, що реалізується цим засобом ТЗІ, з відповідним рівнем гарантії.
VI. Порядок ознайомлення з фактичним станом об’єкта експертизи посадовими особами Адміністрації Держспецзв’язку (територіальних органів Адміністрації Держспецзв’язку)
1. Рішення про необхідність ознайомлення з фактичним станом об’єкта експертизи приймає Експертна рада.
Підставами для прийняття рішення про ознайомлення з фактичним станом об’єкта експертизи є відсутність та/або неповнота інформації щодо архітектури побудови об’єкта експертизи, щодо технології обробки інформації, складу комплексу засобів захисту інформації, об’єктів захисту та форм їх представлення, користувачів об’єкта експертизи та їх повноважень, правил розмежування доступу в системі та алгоритмів реалізації конкретних механізмів захисту.
2. Ознайомлення з фактичним станом об’єкта експертизи проводять посадові особи Адміністрації Держспецзв’язку або територіального органу Адміністрації Держспецзв’язку на етапі розгляду документів, наданих Організатором за результатами проведення експертизи КСЗІ, або декларації, наданої Замовником.
3. Ознайомлення з фактичним станом об’єкта експертизи проводиться в присутності представника Замовника.
У разі потреби Замовник залучає представника Організатора під час ознайомлення з фактичним станом об’єкта експертизи посадовими особами Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку).
Під час ознайомлення з фактичним станом об’єкта експертизи у разі потреби представник Замовника та представник Організатора (у разі його залучення) надають пояснення щодо стану об’єкта експертизи.
4. Для доступу до об’єкта експертизи з метою ознайомлення з його фактичним станом Адміністрація Держспецзв’язку (територіальний орган Адміністрації Держспецзв’язку) у 10-денний строк з дня прийняття відповідного рішення Експертною радою (Експертною комісією) надсилає Замовнику письмове повідомлення про прийняте рішення, а також зазначає про необхідність надання доступу до об’єкта експертизи за його місцезнаходженням посадовим особам Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку), термін проведення ознайомлення з його фактичним станом та у разі потреби - про забезпечення присутності представника Організатора.
5. Підставою для доступу до об’єкта експертизи з метою ознайомлення з його фактичним станом є наявність припису на право ознайомлення з фактичним станом об’єкта експертизи (далі - припис на ознайомлення) за підписом Голови Держспецзв’язку (начальника територіального органу Адміністрації Держспецзв’язку).
6. Для ознайомлення з фактичним станом об’єкта експертизи посадові особи Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку) пред’являють Замовнику припис на ознайомлення (додаток 11) та службові посвідчення.
7. За результатами ознайомлення з фактичним станом об’єкта експертизи посадові особи Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку), які його проводили, складають Звіт про ознайомлення (додаток 12).
8. Звіт про ознайомлення доводиться до відома представника Замовника, в присутності якого проводилося ознайомлення з фактичним станом об’єкта експертизи, та представника Організатора (у разі його залучення) із засвідченням підпису.
У разі відмови представника Замовника та/або представника Організатора засвідчити своїм підписом факт ознайомлення з фактичним станом об’єкта експертизи посадова особа Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку) робить у Звіті про ознайомлення запис «відмовлено у підписанні», який засвідчує своїм підписом.
9. Звіт про ознайомлення складають у трьох примірниках. Перший примірник Звіту про ознайомлення залишається в Адміністрації Держспецзв’язку або територіальному органі Адміністрації Держспецзв’язку, який проводив ознайомлення з фактичним станом об’єкта експертизи, другий - надсилається Замовнику, третій - надсилається Організатору, який проводив експертизу цього об’єкта.
У разі проведення територіальним органом Адміністрації Держспецзв’язку ознайомлення з фактичним станом об’єкта експертизи він складає додатковий четвертий примірник Звіту про ознайомлення, який надсилає до Адміністрації Держспецзв’язку.
10. Усі примірники Звіту про ознайомлення підписують посадові особи Адміністрації Держспецзв’язку, які проводили ознайомлення з фактичним станом об’єкта експертизи, та затверджує Голова Держспецзв’язку або заступник Голови Держспецзв’язку відповідно до розподілу обов’язків.
У разі проведення територіальним органом Адміністрації Держспецзв’язку ознайомлення з фактичним станом об’єкта експертизи Звіт про ознайомлення підписують посадові особи територіального органу Адміністрації Держспецзв’язку, які проводили ознайомлення з фактичним станом об’єкта експертизи, та затверджує начальник територіального органу Адміністрації Держспецзв’язку, який підписав припис на ознайомлення.
{Положення в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 1 |
ЗАЯВА
про проведення (первинної/додаткової/контрольної) комплексної системи захисту інформації в інформаційно-комунікаційній системі
{Додаток 1 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 2 |
ЗАЯВА
про проведення первинної/додаткової/контрольної експертизи організаційно-технічного рішення комплексної системи захисту інформації
{Додаток 2 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 3 |
ЗАЯВА
про проведення (первинної/додаткової/контрольної) експертизи засобу технічного захисту інформації
{Додаток 3 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 4 |
ДЕКЛАРАЦІЯ
про відповідність комплексної системи захисту інформації вимогам нормативних документів з технічного захисту інформації
{Додаток 4 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 5 |
ПРОТОКОЛ
виконання робіт відповідно до методики експертизи комплексної системи захисту інформації (організаційно-технічного рішення для створення комплексної системи захисту інформації або засобу технічного захисту інформації)
{Додаток 5 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 6 |
{Додаток 6 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 7 |
{Додаток 7 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 8 |
{Додаток 8 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 9 |
{Додаток 9 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 10 |
ПОВІДОМЛЕННЯ
про стан функціонування комплексної системи захисту інформації
{Додаток 10 в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 483 від 19.08.2020, № 477 від 28.08.2022}
Додаток 11 |
ПРИПИС
на право ознайомлення з фактичним станом об’єкта експертизи
{Додаток 11 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 477 від 28.08.2022}
Додаток 12 |
ЗВІТ
за результатами ознайомлення з фактичним станом об’єкта експертизи
{Додаток 12 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 477 від 28.08.2022}