АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
23.06.2008 № 100 |
Про затвердження Положення про державну експертизу в сфері криптографічного захисту інформації
{Із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 90 від 02.03.2012
№ 237 від 22.04.2013
№ 570 від 22.09.2015
№ 61 від 06.02.2018
№ 129 від 04.03.2020}
Відповідно до Законів України "Про наукову і науково-технічну експертизу", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року № 505, Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року № 717, НАКАЗУЮ:
{Преамбула із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1. Затвердити Положення про державну експертизу в сфері криптографічного захисту інформації, що додається.
2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 25.12.2000 № 62 "Про затвердження Положення про державну експертизу у сфері криптографічного захисту інформації", зареєстрований у Міністерстві юстиції України 12.01.2001 за № 9/5200.
3. Начальнику Департаменту регулювання діяльності в сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.
ПОГОДЖЕНО: |
|
ЗАТВЕРДЖЕНО |
ПОЛОЖЕННЯ
про державну експертизу в сфері криптографічного захисту інформації
1.1. Це Положення, розроблене відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України", "Про наукову і науково-технічну експертизу", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року № 505, Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, установлює порядок організації та проведення державної експертизи у сфері криптографічного захисту інформації (далі - КЗІ) в Україні.
{Пункт 1.1 розділу I із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013, № 570 від 22.09.2015}
1.2. Вимоги цього Положення поширюються на органи державної влади та органи місцевого самоврядування, підприємства, установи та організації всіх форм власності (далі - підприємства, установи та організації), які здійснюють діяльність у галузі КЗІ та є суб'єктами експертизи.
{Пункт 1.2 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.3. Використані в цьому Положенні терміни вживаються в такому значенні:
верифікація - експертні дослідження, які здійснюються з метою установлення відповідності об'єкта експертизи зразку-свідку;
державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є визначення за результатами аналізу матеріалів експертних (тематичних) досліджень відповідності об'єктів експертизи вимогам нормативних документів та (або) нормативно-правових актів у сфері КЗІ, оцінка рівня та механізмів захисту інформації об'єктом експертизи або науково-технічного рівня об'єкта експертизи, підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єкта експертизи за призначенням;
{Абзац третій пункту 1.3 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
експертний висновок - документально оформлений результат експертизи, який надається Адміністрацією Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку) за проведеним аналізом результатів експертних досліджень;
експертні дослідження – дослідження та аналіз конкретних властивостей засобів криптографічного захисту інформації, криптографічних алгоритмів, засобів, систем та комплексів спеціального зв’язку з метою перевірки їх відповідності вимогам нормативних документів та/або нормативно-правових актів, оцінки захищеності інформації або їх науково-технічного рівня;
{Абзац п'ятий пункту 1.3 розділу I в редакції Наказів Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013, № 570 від 22.09.2015}
зразок-свідок - зразок об'єкта експертизи, який отримав позитивний експертний висновок та призначений для проведення верифікації інших зразків об'єкта експертизи на відповідність цьому зразку;
матеріали експертизи - усі матеріали та документи щодо об'єкта експертизи (у тому числі програми та методики проведення досліджень, протоколи, звіти та рекомендації), які отримані або створені під час її проведення;
{Абзац сьомий пункту 1.3 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
обладнання КЗІ - обладнання, що функціонально взаємодіє або здійснює керування засобом КЗІ та відносно якого висуваються вимоги щодо побудови та експлуатації з метою унеможливлення впливу цього обладнання на якості засобу КЗІ;
{Пункт 1.3 розділу I доповнено новим абзацом восьмим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
спеціалізована організація - установа, організація чи підприємство, що здійснює тематичні дослідження криптографічних алгоритмів або засобів КЗІ та засобів спеціального зв'язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації;
{Пункт 1.3 розділу I доповнено новим абзацом дев'ятим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
тематичні дослідження – дослідження щодо встановлення відповідності засобів криптографічного захисту інформації, криптосистем, криптографічних алгоритмів, засобів, систем і комплексів спеціального зв’язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації вимогам тактико-технічних завдань на їх створення, нормативних документів та/або нормативно-правових актів у сфері криптографічного захисту інформації, а також вимогам із захисту від витоку інформації каналами побічних електромагнітних випромінювань і наведень.
{Пункт 1.3 розділу I доповнено новим абзацом десятим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013; в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 570 від 22.09.2015}
Інші терміни вживаються у значенні, наведеному в Законах України «Про Державну службу спеціального зв’язку та захисту інформації України», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про електронні довірчі послуги», Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 року № 505, Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (із змінами).
{Абзац одинадцятий пункту 1.3 розділу I із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013, № 570 від 22.09.2015; в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 129 від 04.03.2020}
Адміністрація Держспецзв'язку;
{Пункт 1.4 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;
звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;
криптографічні алгоритми та протоколи;
алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключових даних;
{Абзац п'ятий пункту 1.5 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
криптографічні системи, засоби та обладнання КЗІ (далі - криптографічні засоби);
{Абзац шостий пункту 1.5 розділу I із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013, № 129 від 04.03.2020}
положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ.
1.6. Експертиза є обов'язковою або добровільною. Обов'язковій експертизі підлягають:
засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;
{Абзац другий пункту 1.6 розділу І із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 90 від 02.03.2012}
криптографічні алгоритми та криптографічні протоколи, які планується визначити як такі, що рекомендовані для використання або як національні стандарти;
{Абзац третій пункту 1.6 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключів;
{Абзац четвертий пункту 1.6 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
криптосистеми, засоби й обладнання криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;
{Абзац п'ятий пункту 1.6 розділу І із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 90 від 02.03.2012, № 237 від 22.04.2013; в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 129 від 04.03.2020}
засоби категорії «П», що використовуються як засоби кваліфікованого електронного підпису чи печатки;
{Пункт 1.6 розділу I доповнено новим абзацом шостим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 129 від 04.03.2020}
засоби, що реалізують криптоперетворення та/або механізми імітозахисту та використовуються в системах зв’язку, управління та озброєння;
{Пункт 1.6 розділу I доповнено новим абзацом сьомим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 129 від 04.03.2020}
засоби обробки та передачі державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, які реалізують функції криптографічного захисту інформації;
{Пункт 1.6 розділу I доповнено новим абзацом восьмим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 129 від 04.03.2020}
криптосистеми, засоби та обладнання КЗІ іноземного виробництва, які підлягають експортному контролю;
результати тематичних досліджень.
{Пункт 1.6 розділу I доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.7. Експертиза об'єктів, які не зазначені в пункті 1.6, є добровільною.
1.8. Організація експертизи здійснюється безкоштовно Адміністрацією Держспецзв'язку.
1.9. Експертні (тематичні) дослідження проводять експертні заклади (спеціалізовані організації) або Адміністрація Держспецзв'язку за договорами на проведення експертних (тематичних) досліджень.
{Пункт 1.9 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.10. Для координації та здійснення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв'язку (далі - Експертна комісія).
1.11. Результати експертних (тематичних) досліджень розглядаються Експертною комісією, за результатами чого Адміністрація Держспецзв'язку видає експертний висновок.
{Розділ I доповнено новим пунктом 1.11 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.12. Експертна комісія підпорядковується Голові Держспецзв'язку.
{Розділ I доповнено новим пунктом 1.12 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.13. Основними завданнями Експертної комісії є:
аналіз стану та розробка пропозицій щодо вдосконалення методології проведення експертних (тематичних) досліджень і процедур проведення експертизи їх результатів;
формування та розгляд пропозицій щодо розробки та вдосконалення нормативно-правових актів і нормативних документів з питань організації та проведення експертизи;
розгляд проектів програм і методик проведення експертних (тематичних) досліджень і прийняття рішення щодо їх затвердження та погодження;
розгляд висновків експертизи з метою оцінки їх повноти, об'єктивності, достовірності та інших характеристик;
аналіз та оцінка результатів експертних (тематичних) досліджень, інших документів і матеріалів, які необхідні для прийняття остаточного рішення за результатами експертизи;
формування пропозицій щодо надання (анулювання) експертних висновків;
підготовка пропозицій щодо погодження (затвердження) нормативної та технічної документації, що регламентує використання об'єктів експертизи;
розгляд питань щодо залучення підприємств, установ і організацій як експертних закладів (спеціалізованих організацій);
розгляд питань щодо залучення фахівців Держспецзв'язку, інших центральних органів виконавчої влади, підприємств, установ і організацій як експертів у сфері КЗІ;
розгляд питань (у разі потреби) щодо напрямів та обсягу експертних (тематичних) досліджень;
розгляд та узгодження питань, що виникають у сфері організації та під час проведення державної експертизи у сфері КЗІ.
{Розділ I доповнено новим пунктом 1.13 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.14. Право власності на експертний висновок належить замовнику, якщо інше не передбачено законодавством України.
1.15. Поширення інформації з питань організації та проведення експертизи, яка надається Адміністрацією Держспецзв'язку іншим суб'єктам експертизи, здійснюється за погодженням з Адміністрацією Держспецзв'язку.
1.16. Адміністрація Держспецзв'язку, експертні заклади та спеціалізовані організації забезпечують конфіденційність інформації та дотримання авторських прав щодо наданих матеріалів.
{Пункт 1.16 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
1.17. Під час проведення експертизи поводження з інформацією з обмеженим доступом здійснюється відповідно до чинного законодавства України.
II. Порядок організації та проведення експертизи
2.1. Подання та розгляд заявки, укладання договорів
2.1.1. Для проведення експертизи таких об'єктів, як:
засоби, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ,
засоби та системи генерації, тестування і розподілу ключових даних;
криптографічні системи, засоби та обладнання КЗІ, замовник подає до Адміністрації Держспецзв'язку заявку на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 1). До заявки на експертизу перелічених вище об'єктів (далі - криптографічні засоби) додається комплект документів та матеріалів згідно з переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів вітчизняного виробництва (додаток 2), або переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів іноземного виробництва (додаток 3).
{Абзац четвертий підпункту 2.1.1 пункту 2.1 розділу II із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013, № 129 від 04.03.2020}
З урахуванням особливостей криптографічних засобів зазначені вище переліки можуть уточнюватися.
У складі комплекту документів на проведення державної експертизи криптографічних засобів вітчизняного виробництва, які виготовляються серійно, обов'язково подаються технічні умови, затверджені та зареєстровані в установленому порядку.
{Підпункт 2.1.1 пункту 2.1 розділу II доповнено новим абзацом шостим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
Для криптографічних засобів вітчизняного виробництва, які заплановано виготовляти серійно та які вперше подані на державну експертизу, подається погоджений замовником розробки криптографічного засобу проект технічних умов. За позитивними результатами державної експертизи проект технічних умов погоджується Адміністрацією Держспецзв'язку.
{Підпункт 2.1.1 пункту 2.1 розділу II доповнено новим абзацом сьомим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.1.2. Для проведення експертизи таких об'єктів, як:
методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;
звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;
криптографічні алгоритми та протоколи, методи генерації, тестування та розподілу ключових даних;
положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ, замовник експертизи подає до Адміністрації Держспецзв'язку заявку на проведення експертизи, відповідний об'єкт експертизи, а також документи та матеріали з обґрунтуванням змісту об'єкта експертизи.
2.1.3. Документи та матеріали на об'єкт експертизи надаються українською мовою.
2.1.4. Адміністрація Держспецзв'язку в місячний термін з дня отримання заявки розглядає її та здійснює аналіз наданих документів і матеріалів.
2.1.5. Під час аналізу наданих документів та матеріалів перевіряються:
наявність та достатність документів, матеріалів, зразків для проведення експертизи;
наявність документів, що підтверджують походження об'єкта експертизи, розміри партії криптографічних засобів;
перелік документів, матеріалів, спеціального устаткування для проведення експертних досліджень;
можливість ідентифікації криптографічних засобів;
достовірність, правильність оформлення та термін дії наданої замовником документації;
можливість експертних закладів проводити відповідні експертні дослідження.
2.1.6. У разі визначення в заявці експертного закладу, що планується до проведення експертних досліджень вперше, до неї додатково додаються:
перелік фахівців, що мають проводити експертні дослідження, із зазначенням рівня їх освіти (який вищий навчальний заклад та в якому році закінчив, яка присвоєна кваліфікація, отримана спеціальність) і досвіду з розробки або досліджень у сфері криптографічного захисту інформації;
перелік матеріальних засобів (із зазначенням їх технічних характеристик), що призначені для проведення досліджень.
{Пункт 2.1 розділу II доповнено новим підпунктом 2.1.6 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.1.7. Адміністрацією Держспецзв'язку може бути обґрунтовано визначено необхідність надання замовником додаткових документів, матеріалів, спеціального устаткування з урахуванням особливостей об'єкта експертизи, у тому числі особливостей реалізації криптографічного засобу, порядку та схеми проведення експертизи, мети проведення експертизи, можливості (необхідності) виходу з ладу або руйнації зразків криптографічного засобу, його габаритних показників тощо.
2.1.8. У разі невідповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку повідомляє замовника про відмову в проведенні експертизи та причини, через які проведення експертизи неможливе. Після усунення причин неможливості проведення експертизи замовник має право подати нову заявку.
2.1.9. У разі відповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку готує рішення Адміністрації Держспецзв'язку за заявкою на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 4) (далі - рішення Адміністрації Держспецзв'язку), у якому визначаються умови проведення експертизи, перелік додаткових документів та матеріалів, необхідних для проведення експертизи, схема проведення експертизи за варіантами схем проведення експертизи криптографічних засобів (додаток 5), а також експертний заклад.
2.1.10. Експертний заклад призначається Адміністрацією Держспецзв'язку з урахуванням пропозицій замовника.
2.1.11. Про рішення Адміністрації Держспецзв'язку замовнику експертизи та експертному закладу протягом десяти днів після його прийняття надсилається письмове повідомлення.
{Підпункт 2.1.11 пункту 2.1 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.1.12. Договір на проведення експертних (тематичних) досліджень між замовником та експертним закладом (спеціалізованою організацією) укладається після отримання ними повідомлення про рішення Адміністрації Держспецзв'язку.
{Підпункт 2.1.12 пункту 2.1 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.1.13. У договорі обов'язково вказується:
найменування об'єкта експертизи та його ідентифікаційні ознаки;
реєстраційний номер рішення Адміністрації Держспецзв'язку;
мета проведення експертних досліджень відповідно до рішення Адміністрації Держспецзв'язку, визначеного в підпункті 2.1.8 цього Положення;
умови забезпечення проведення експертних досліджень (у тому числі розробки, створення спеціального устаткування, передачі та (або) використання лабораторного, вимірювального та стендового обладнання, порядку та умов надання додаткових документів, матеріалів тощо);
термін проведення робіт за договором;
умови, що впливають на зміну або припинення договірних відносин;
вимоги до конфіденційності (обмеження доступу до інформації);
порядок передачі об'єктів експертизи між суб'єктами експертизи;
умови виходу з ладу або руйнації зразків криптографічного засобу та поводження з ними;
відповідальність за невиконання або неналежне виконання умов договору.
2.1.14. Про укладення договору та передбачений договором термін завершення експертних (тематичних) досліджень замовник експертизи письмово інформує Адміністрацію Держспецзв’язку.
{Абзац перший підпункту 2.1.14 пункту 2.1 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 570 від 22.09.2015}
Якщо цей договір не укладено протягом шести місяців, рішення Адміністрації Держспецзв'язку втрачає чинність. Повторне рішення Адміністрації Держспецзв'язку надається замовнику експертизи за його зверненням не раніше ніж через рік після оформлення попереднього рішення Адміністрації Держспецзв'язку.
Якщо зміни у законодавстві вимагають унесення змін до технічних умов на криптографічний засіб, замовник експертизи інформує про це Адміністрацію Держспецзв'язку та повторно подає заявку після унесення цих змін.
{Пункт 2.1 розділу II доповнено новим підпунктом 2.1.14 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.2. Відбір та ідентифікація зразків криптографічних засобів
2.2.1. Процедури відбору та ідентифікації зразків криптографічних засобів проводяться після ухвалення рішення Адміністрації Держспецзв'язку, а у разі укладення договору – після його підписання.
{Підпункт 2.2.1 пункту 2.2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 570 від 22.09.2015}
2.2.2. Ідентифікація та відбір зразків об'єкта експертизи проводяться представниками Адміністрації Держспецзв'язку у присутності представників замовника та визначеного у рішенні Адміністрації Держспецзв'язку експертного закладу.
{Підпункт 2.2.2. пункту 2.2 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.2.3. Ідентифікація зразків оформлюється актом ідентифікації зразків для проведення державної експертизи у сфері криптографічного захисту інформації (додаток 6).
Для ідентифікації програмних криптографічних засобів (їх складових частин) застосовується програмне забезпечення для обчислення геш-функції об'єктів експертизи згідно з ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования", яке має позитивний експертний висновок у сфері КЗІ. При цьому в акті ідентифікації зразків вказується значення обраного стартового вектора та значення довгострокового ключового елемента, обраного з додатка 1 до Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженої наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованої в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (із змінами), а також результат гешування (далі - значення щодо гешування).
{Підпункт 2.2.3 пункту 2.2 розділу II доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
Допускається застосування для ідентифікації та контролю цілісності програмного забезпечення (його складових частин) засобу, програмного забезпечення для обчислення геш-функції за ДСТУ 7564:2014 (у режимах роботи "Купина-256", "Купина-284", "Купина-512"). При цьому використовується нульовий вектор ініціалізації.
{Підпункт 2.2.3 пункту 2.2 розділу II доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 61 від 06.02.2018}
2.2.4. Відбір зразків оформлюється актом відбору зразків для проведення державної експертизи у сфері криптографічного захисту інформації (додаток 7).
2.2.5. Під час ідентифікації та відбору зразків перевіряються найменування об'єкта експертизи, комплектність, наявність необхідної технічної та (або) програмної документації, відповідність серійних (заводських) номерів зразків номерам, що зазначені в документації.
{Підпункт 2.2.5 пункту 2.2 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.2.6. Відомості, що вказуються в актах приймання-передачі, які складаються під час передачі представником замовника та приймання представником експертної організації зразків об'єкта експертизи, технічної та експлуатаційної документації та надалі при їх поверненні, повинні відповідати відомостям, що вказуються в актах ідентифікації та відбору.
{Підпункт 2.2.6 пункту 2.2 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.2.7. Якщо криптографічний засіб не підлягає транспортуванню та/або він потребує монтажу на місці експлуатації, або під час експертних досліджень необхідно використовувати унікальне дослідницьке обладнання, допускається (за погодженням з Адміністрацією Держспецзв'язку) експертні дослідження проводити на підприємстві-виробнику криптографічного засобу.
{Підпункт 2.2.7 пункту 2.2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.3. Порядок проведення експертизи і підготовки експертного висновку
2.3.1. Експертні дослідження здійснюються експертними закладами або Адміністрацією Держспецзв'язку в порядку і в терміни, що передбачені договорами та цим Положенням. Для проведення експертних досліджень експертні заклади можуть на договірних засадах залучати фахівців, що не входять до постійного штату експертного закладу.
2.3.2. Для проведення експертних досліджень експертними закладами у місячний термін з моменту укладання договору на проведення досліджень та отримання об'єкта експертизи і необхідного комплекту документів розробляються програми та методики проведення експертних досліджень. Під час підготовки програм та методик експертні заклади можуть уточнити перелік необхідних для проведення досліджень документів, матеріалів та спеціального устаткування. Зазначений перелік погоджується з Адміністрацією Держспецзв'язку.
2.3.3. За результатами розгляду Експертною комісією програми затверджуються, а методики погоджуються керівником структурного підрозділу Адміністрації Держспецзв'язку, який організовує експертизу, або особою, яка виконує його обов'язки.
{Підпункт 2.3.3 пункту 2.3 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.3.4. Під час проведення експертних досліджень суб'єктами експертизи повинен забезпечуватися належний захист інформації з обмеженим доступом відповідно до вимог чинного законодавства України та договору на проведення експертних досліджень.
2.3.5. Замовник експертизи має право отримувати інформацію про хід експертизи.
2.3.6. За результатами експертних досліджень експертні заклади готують, затверджують та подають до Адміністрації Держспецзв'язку протоколи експертних досліджень. Зміст протоколів експертних досліджень повинен відповідати вимогам програми та методики проведення експертних досліджень.
2.3.7. Підрозділ Адміністрації Держспецзв'язку, який організовує експертизу, протягом місяця з дня отримання протоколів експертних досліджень розглядає їх на предмет відповідності програмі та методиці проведення експертних досліджень, повноти, об'єктивності, достатності та інших характеристик, готує пропозиції та вносить їх на засідання Експертної комісії.
{Підпункт 2.3.7 пункту 2.3 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.3.8. У разі невідповідності протоколів експертних досліджень програмі та методиці проведення експертних досліджень вони повертаються на доопрацювання до експертного закладу.
2.3.9. У разі відповідності протоколів експертних досліджень програмі та методиці проведення експертних досліджень на підставі рішення Експертної комісії Адміністрацією Держспецзв'язку готується та надсилається замовнику експертний висновок (додаток 8). Термін підготовки та надсилання замовнику експертного висновку не повинен перевищувати 20 робочих днів з дати ухвалення рішення Експертною комісією.
2.3.10. Повторне проведення експертизи може бути здійснено тільки після подання замовником нової заявки з укладанням нового договору на проведення експертних досліджень.
2.3.11. Після закінчення експертизи всі матеріальні цінності, у тому числі зразки-свідки, в обов'язковому порядку повертаються замовнику, який повинен забезпечити зберігання зразка-свідка протягом терміну дії експертного висновку в стані, що дає змогу його використання для верифікації.
2.3.12. Адміністрація Держспецзв'язку здійснює контроль за проведенням експертних досліджень, а також за виробництвом криптографічних засобів.
2.3.13. Термін дії експертного висновку визначається з урахуванням криптографічних якостей криптографічного засобу, терміну дії нормативних документів, умов та граничного терміну експлуатації криптографічного засобу, але не більше термінів, зазначених у додатку 5 до цього Положення.
2.3.14. Експертний висновок може бути виданий на один зразок криптографічного засобу, партію засобів, а також засіб, що виробляється серійно, за наявності технічних умов на нього.
На програмний криптографічний засіб, зазначений в абзаці сьомому підпункту 2.1.1 пункту 2.1 цього розділу, який виготовляється серійно, видається експертний висновок за відсутності технічних умов.
{Підпункт 2.3.14 пункту 2.3 розділу II доповнено новим абзацом другим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
В експертному висновку на програмний (апаратно-програмний) криптографічний засіб наводиться значення щодо гешування такого засобу (програмного коду, його складових частин, програмних модулів тощо), яке здійснюється відповідно до підпункту 2.2.3 пункту 2.2 цього розділу.
{Підпункт 2.3.14 пункту 2.3 розділу II доповнено новим абзацом третім згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
Експертний висновок, виданий на конкретний програмний криптографічний засіб, поширюється на його копії, якщо результати їх гешування, обчислені із застосуванням програмного забезпечення, зазначеного в підпункті 2.2.3 пункту 2.2 цього розділу, збігаються з результатом гешування, наведеним в експертному висновку.
{Підпункт 2.3.14 пункту 2.3 розділу II доповнено новим абзацом четвертим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
При застосуванні у криптографічних засобах видів А та/або Б засобів виду В як їх складової частини термін дії експертного висновку на засоби видів А та/або Б не повинен перевищувати термін дії експертного висновку засобів виду В.
{Підпункт 2.3.14 пункту 2.3 розділу II доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 570 від 22.09.2015}
При застосуванні у криптографічних засобах видів А та/або Б засобів підвиду Б2 як їх складової частини термін дії експертного висновку на засоби видів А та/або Б не може перевищувати термін дії експертного висновку таких засобів підвиду Б2 (крім випадків, якщо експертні дослідження на засоби підвиду Б2 були проведені в повному обсязі).
{Підпункт 2.3.14 пункту 2.3 розділу II доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 570 від 22.09.2015}
2.3.15. Дія експертного висновку на криптографічні засоби, що виготовляються серійно, поширюється на всі засоби, які вироблені в період дії експертного висновку, з урахуванням гарантійного терміну їх експлуатації.
2.3.16. Дія експертного висновку може бути розповсюджена на зразки криптографічного засобу, що пройшли верифікацію. За результатами верифікації видається експертний висновок, термін дії якого не може перевищувати терміну дії експертного висновку, який розповсюджується на зразок-свідок цього засобу.
2.3.17. Експертні висновки, термін дії яких закінчився, утрачають чинність.
2.3.18. Для отримання експертного висновку на новий термін, з метою забезпечення безперервності використання об'єкта експертизи заявнику рекомендується не пізніше як за шість місяців до закінчення терміну дії діючого експертного висновку надіслати до Адміністрації Держспецзв'язку заявку за формою, наведеною в додатку 1 до цього Положення.
Залежно від умов експлуатації та специфіки застосування об’єкта експертизи, з метою забезпечення безперервності його використання за призначенням, а також у випадку, якщо термін дії його чинного експертного висновку закінчується раніше завершення експертних (тематичних) досліджень, за рішенням Експертної комісії може бути виданий експертний висновок на період проведення експертних (тематичних) досліджень. Дія такого експертного висновку не може перевищувати терміну дії договору.
{Підпункт 2.3.18 пункту 2.3 розділу II доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 570 від 22.09.2015}
2.3.19. У разі виникнення необхідності внесення змін до об'єкта експертизи або в нормативні та інші документи на об'єкт експертизи, зміни технології виробництва криптографічних засобів замовник повинен письмово сповістити про це Адміністрацію Держспецзв'язку та надати відповідні матеріали з пояснювальною запискою щодо обґрунтування впливу змін на якості об'єкта експертизи. Адміністрація Держспецзв'язку за результатами аналізу наданих замовником матеріалів приймає рішення щодо надання дозволу на внесення змін або необхідності проведення експертизи. Про прийняте рішення Адміністрація Держспецзв'язку повідомляє замовника протягом місяця з дня отримання його повідомлення.
2.3.20. Експертний висновок може бути анульований за пропозицією Експертної комісії.
{Пункт 2.3 розділу II доповнено новим підпунктом 2.3.20 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.3.21. Підставами для анулювання Адміністрацією Держспецзв'язку експертного висновку є:
закінчення терміну дії експертного висновку;
несанкціоноване внесення змін в об'єкт експертизи або документацію на нього;
зміна (порушення) технології виробництва криптографічних засобів;
виявлення факту надання недостовірної інформації в документах та матеріалах, що додаються до заявки на проведення державної експертизи, якщо така інформація мала значення для вирішення питання про надання позитивного експертного висновку на об'єкт експертизи.
{Підпункт 2.3.21 пункту 2.3 розділу II доповнено новим абзацом п'ятим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.3.22. У разі анулювання експертного висновку про це інформується замовник експертизи, який у свою чергу інформує органи державної влади та органи місцевого самоврядування, підприємства, установи та організації, яким надавався або за місцезнаходженням яких надсилався експертний висновок (його копії).
{Пункт 2.3 розділу II доповнено новим підпунктом 2.3.22 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}
2.3.23. Оскарження результатів експертизи здійснюється відповідно до вимог законодавства України.
Начальник Департаменту |
|
ЗАЯВКА
на проведення державної експертизи в сфері криптографічного захисту інформації
{Додаток 1 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 61 від 06.02.2018}
ПЕРЕЛІК
документів та матеріалів, необхідних для проведення експертизи криптографічних засобів вітчизняного виробництва
1. Зразки криптографічних засобів.
2. Інструкція з експлуатації та вимоги до забезпечення безпеки інформації при використанні криптографічних систем або засобів КЗІ.
3. Опис системи генерації, тестування та розподілу ключів криптографічних систем або засобів КЗІ.
4. Опис інтерфейсів (протоколів).
5. Висновки відповідних органів державного контролю та нагляду (за наявності).
6. Результати проектних розрахунків, випробувань тощо.
8. Технічна документація на апаратні (апаратно-програмні) компоненти:
технічні завдання (згідно з ДСТУ 3973-2000 Система розроблення та поставлення продукції на виробництво. Правила виконання науково-дослідних робіт. Загальні положення, ДСТУ 3974-2000 Система розроблення та поставлення продукції на виробництво. Правила виконання дослідно-конструкторських робіт. Загальні положення);
функціональні, принципові та монтажні схеми компонентів;
специфікація на елементну базу, у разі застосування спеціальної елементної бази - документація на спеціальну елементну базу;
опис методів перетворення мовного сигналу (для мовних пристроїв);
опис схемотехнічних рішень із забезпечення захисту від несанкціонованого доступу до критичної (ключової) інформації (за наявності);
опис змісту запам'ятовувальних пристроїв та відомості про можливість здійснення контролю цього змісту;
опис протоколів взаємодії складових частин (модулів) компонентів;
програмний імітатор роботи компонентів (за наявності).
9. Програмна документація на програмні компоненти:
програма та методика випробувань;
настанова системного програміста;
{Додаток 2 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 129 від 04.03.2020}
ПЕРЕЛІК
документів та матеріалів, необхідних для проведення експертизи криптографічних засобів іноземного виробництва
1. Зразки криптографічних засобів.
2. Документ виробника про гарантії та відповідність криптографічних засобів вимогам чинних нормативних документів.
3. Документи, що підтверджують походження криптографічних систем або засобів КЗІ.
4. Висновки відповідних органів державного контролю та нагляду (за наявності).
5. Сертифікати відповідності, інші документи, які підтверджують властивості криптографічних засобів, видані іноземними відомствами та органами, матеріали та результати випробувань (за наявності).
6. Нормативні документи (стандарти, технічні умови, специфікації тощо), які встановлюють вимоги до криптографічних засобів.
7. Настанова користувача та технічні вимоги до забезпечення безпеки інформації при використанні криптографічних засобів.
8. Опис усіх застосованих у криптографічних засобах алгоритмів криптографічних перетворень та криптопротоколів.
9. Опис системи генерації, тестування та розподілу ключів.
10. Опис зовнішніх протоколів роботи криптографічних засобів.
11. Технічна документація на апаратні компоненти криптографічних засобів:
функціональні, принципові та монтажні схеми компонентів;
специфікація на елементну базу, у разі застосування спеціальної елементної бази - документація на спеціальну елементну базу;
опис методів перетворення мовного сигналу (для мовних пристроїв);
опис схемотехнічних рішень із забезпечення захисту від несанкціонованого доступу до критичної (ключової) інформації (за наявності);
опис змісту запам'ятовувальних пристроїв та відомості про можливість здійснення контролю цього змісту;
опис протоколів взаємодії складових частин (модулів) компонентів;
програмний імітатор роботи компонентів (за наявності).
12. Документація на програмні компоненти криптографічних засобів:
програма та методика випробувань;
настанова системного програміста;
РІШЕННЯ
Адміністрації Держспецзв'язку за заявкою на проведення державної експертизи в сфері криптографічного захисту інформації
ВАРІАНТИ СХЕМ
проведення експертизи криптографічних засобів
Засоби, що проходять експертизу | Контроль за виробництвом | Експертні дослідження | Документ, що видається, термін його дії |
Одиночні засоби | Не проводиться | Здійснюються для кожного засобу | Експертний висновок на кожний засіб терміном дії до 3 років |
Партія засобів | Не проводиться | Здійснюються для засобів, відібраних у порядку та кількості, визначених Адміністрацією Держспецзв'язку | Експертний висновок на партію засобів терміном дії до 3 років |
Засоби, що виготовляються серійно | Здійснюється | Здійснюються для засобів, відібраних у порядку та кількості, визначених Адміністрацією Держспецзв'язку | Експертний висновок на засоби, що виготовлені серійно, терміном дії до 5 років |
АКТ
ідентифікації зразків для проведення державної експертизи в сфері криптографічного захисту інформації
АКТ
відбору зразків для проведення державної експертизи в сфері криптографічного захисту інформації
{Додаток 7 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України № 570 від 22.09.2015}
{Додаток 8 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 237 від 22.04.2013}