АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
13.10.2017 № 565 |
Про внесення змін до Положення про державну експертизу в сфері технічного захисту інформації
Відповідно до статті 3 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, з метою удосконалення системи технічного захисту інформації НАКАЗУЮ:
1. Унести зміни до Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (із змінами), виклавши його в новій редакції, що додається.
2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому законодавством порядку на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
ПОГОДЖЕНО: Голова Антимонопольного комітету України Міністр освіти і науки України Голова Державної регуляторної служби України | Ю. Терентьєв Л.М. Гриневич Ксенія Ляпіна |
ЗАТВЕРДЖЕНО |
ПОЛОЖЕННЯ
про державну експертизу у сфері технічного захисту інформації
1. Це Положення, розроблене відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України", "Про наукову і науково-технічну експертизу", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про інформацію", постанови Кабінету Міністрів України від 29 березня 2006 року № 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", актів нормативно-технічного характеру з технічного захисту інформації, визначає порядок проведення експертизи у сфері технічного захисту інформації.
2. Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів із технічного захисту інформації та можливості їх використання для забезпечення технічного захисту інформації (далі - ТЗІ).
3. Дія цього Положення поширюється на всіх юридичних та фізичних осіб, які є суб'єктами експертизи.
юридичні та фізичні особи - власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі - Замовники);
Адміністрація Держспецзв’язку;
територіальні органи Адміністрації Держспецзв'язку, які проводять експертизу шляхом аналізу декларацій про відповідність комплексних систем захисту інформації (далі - КСЗІ) вимогам нормативних документів із ТЗІ (далі - декларація);
навчальні заклади, науково-дослідні, науково-виробничі установи Державної служби спеціального зв'язку та захисту інформації України, підприємства, установи та організації, які проводять експертизу (далі - Організатори);
державні органи, які проводять експертизу у сфері свого управління;
фізичні особи, які на постійній або професійній основі здійснюють діяльність, пов’язану з наданням експертних послуг, - виконавці експертних робіт з ТЗІ (далі - Експерти).
КСЗІ, які є невід'ємною складовою інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);
технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації (далі - засоби ТЗІ);
організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження (далі - ОТР КСЗІ).
5. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів із ТЗІ, що проводиться шляхом експертних випробувань або шляхом аналізу декларації.
Експертиза засобів ТЗІ та ОТР КСЗІ проводиться шляхом експертних випробувань.
6. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:
яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;
у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;
у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі необхідності створення комплексу ТЗІ) засвідчено зареєстрованим в установленому порядку актом атестації комплексу технічного захисту інформації.
КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та має у складі документації типову форму декларації для цієї ІТС.
У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.
7. Експертиза може бути первинною, додатковою та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання Організатором усіх потрібних заходів, визначених у розділі ІІ цього Положення, для підготовки та прийняття рішення щодо об'єкта експертизи.
Додаткова експертиза проводиться стосовно об'єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини, а також у зв'язку із закінченням строку дії документів, що засвідчують результати експертизи.
Контрольна експертиза проводиться іншим Організатором з ініціативи Замовника у разі наявності у нього обґрунтованих претензій до висновку первинної чи додаткової експертизи або з ініціативи Адміністрації Держспецзв’язку для перевірки висновку первинної чи додаткової експертизи.
8. Для організації та проведення експертизи Адміністрація Держспецзв’язку:
реєструє заяви на проведення експертизи, надає Замовникам та Організаторам методичну допомогу стосовно порядку та організації проведення експертизи, оформлення документів за результатами проведення експертизи;
приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема контрольної;
у разі проведення експертизи засобу ТЗІ приймає рішення щодо необхідності відбору зразків для проведення випробувань;
реєструє, зупиняє дію або скасовує реєстрацію експертних висновків щодо можливості використання засобів ТЗІ, ОТР КСЗІ (далі - Експертні висновки) та атестатів відповідності КСЗІ;
реєструє декларації, зупиняє дію або скасовує реєстрацію декларацій;
здійснює контроль за проведенням Організатором експертних випробувань та за дотриманням вимог щодо експлуатації об'єкта експертизи, які впливають на захищеність інформації.
9. Рішення про реєстрацію декларації за результатами експертизи КСЗІ в ІТС шляхом аналізу декларації приймає територіальний орган Адміністрації Держспецзв'язку.
II. Порядок організації та проведення експертизи
1. З метою організації та проведення експертиз, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації Держспецзв’язку створюється експертна рада з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна рада).
2. З метою проведення експертизи КСЗІ в ІТС шляхом аналізу декларації в територіальних органах Адміністрації Держспецзв'язку створюється експертна комісія з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна комісія).
3. Для проведення експертизи шляхом експертних випробувань Замовник надсилає на ім'я Голови (заступника Голови) Держспецзв'язку (крім випадків, передбачених розділом ІV цього Положення) заяву про проведення експертизи КСЗІ ІТС (додаток 1), заяву про проведення експертизи ОТР КСЗІ (додаток 2), заяву про проведення експертизи засобу ТЗІ (додаток 3).
Для проведення експертизи КСЗІ в ІТС шляхом аналізу декларації (крім випадків, передбачених розділом ІV цього Положення) Замовник надсилає декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ (додаток 4), формуляр ІТС, акт про завершення робіт зі створення КСЗІ, акт атестації комплексу технічного захисту інформації, зареєстрований в Адміністрації Держспецзв’язку:
до Адміністрації Держспецзв’язку - на ім’я Голови (заступника Голови) Держспецзв'язку для ІТС, які розташовано за територіальною ознакою у місті Києві і Київській області;
до відповідного територіального органу Адміністрації Держспецзв'язку - на ім’я керівника територіального органу Держспецзв'язку за місцезнаходженням ІТС.
Експертиза КСЗІ в ІТС, що створена на основі ОТР КСЗІ, проводиться шляхом аналізу декларації Замовник надсилає до Адміністрації Держспецзв'язку декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ та додатки до неї згідно із вимогами ОТР КСЗІ.
4. За результатами аналізу декларації і поданих разом із нею документів Експертна рада (Експертна комісія) в місячний строк приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація Держспецзв’язку (її територіальний орган) повертає Замовнику.
5. У разі неподання документів, зазначених у пункті 3 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам нормативних документів із ТЗІ Адміністрація Держспецзв’язку (територіальний орган Адміністрації Держспецзв’язку) письмово повідомляє Замовника про відмову в реєстрації декларації, причини, через які реєстрація не є можливою, та повертає декларацію на доопрацювання. Після усунення причин, що стали підставою для відмови у реєстрації декларації, Замовник надсилає для повторного розгляду до Адміністрації Держспецзв’язку (територіального органу Адміністрації Держспецзв’язку) доопрацьовану декларацію.
6. Зареєстрована декларація або атестат відповідності КСЗІ скасовуються Адміністрацією Держспецзв’язку в разі внесення змін до КСЗІ, не передбачених техноробочим проектом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ.
7. Строк дії зареєстрованої декларації є необмеженим, крім декларацій на КСЗІ в ІТС, які створено на основі ОТР КСЗІ, строк дії якої встановлюється вимогами ОТР КСЗІ (але не більше ніж 5 років).
8. За результатами розгляду заяви Експертна рада у місячний строк приймає рішення про доцільність проведення експертизи та визначає її Організатора.
9. У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи він може звернутися до Адміністрації Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням Організатором експертних випробувань або із заявою на ім'я Голови (заступника Голови) Держспецзв'язку про проведення контрольної експертизи.
10. Порядок подання та розгляду від Замовника заяви про проведення контрольної експертизи КСЗІ ІТС/ОТР КСЗІ (додаток 5) або заяви про проведення контрольної експертизи засобу ТЗІ (додаток 6) здійснюється відповідно до пунктів 1 - 3 цього розділу.
11. Основним документом, що регламентує відносини між Замовником і Організатором, є укладений між ними договір на проведення експертизи.
12. Витрати, пов’язані з проведенням експертизи, здійснюються на підставі договору відповідно до законодавства України.
13. Строк проведення експертизи визначається договором.
14. Кількість і персональний склад експертів, які залучаються до виконання експертних робіт, визначається Організатором.
15. Замовник надає Організатору комплект технічної документації на об'єкт експертизи, необхідної для проведення експертних випробувань.
16. Організатор за результатами аналізу наданих документів та з урахуванням загальних методик оцінювання задекларованих характеристик засобів ТЗІ, ОТР КСЗІ та КСЗІ формує програму і методику проведення експертизи об'єкта, здійснює відбір зразків засобів ТЗІ та складає перелік необхідного програмно-технічного забезпечення для проведення випробувань.
17. Програма проведення експертизи погоджується із Замовником та уповноваженим структурним підрозділом Адміністрації Держспецзв’язку, а методика проведення експертизи - з уповноваженим структурним підрозділом Адміністрації Держспецзв’язку.
18. Під час проведення експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до визначеної методики.
19. Результати роботи оформлюються у вигляді протоколу виконання робіт (додаток 7) за підписом Експертів, які її виконували. Протокол затверджується Організатором.
20. Узгодження результатів окремих робіт між Експертом та Організатором, а також унесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяються.
21. У протоколі можуть бути зафіксовані особливі думки Експертів відносно результатів виконаних робіт.
22. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів з ТЗІ Організатор може запропонувати Замовнику виконати доопрацювання.
23. Строк доопрацювання об'єкта експертизи визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором.
24. Відомості щодо всіх доопрацювань, а також результати додаткових експертних робіт оформлюються окремими протоколами.
25. Результати робіт, визначених методикою, узагальнюються Організатором в Експертному висновку.
26. Висновки щодо кожного пункту методики, а також особливі думки Експертів, зафіксовані в протоколах, включаються до Експертного висновку як складові частини без унесення до них будь-яких змін.
27. За результатами проведених робіт Організатор складає:
Експертний висновок (додаток 8) та в разі позитивних результатів експертної оцінки - атестат відповідності КСЗІ (додаток 9);
Експертний висновок (додаток 10) для засобу ТЗІ;
Експертний висновок (додаток 11) для ОТР КСЗІ.
Зазначені документи, що підтверджують відповідність вимогам нормативних документів з ТЗІ, засвідчуються Організатором і разом з протоколами виконання робіт подаються до Адміністрації Держспецзв’язку.
Експертний висновок повинен містити:
загальні відомості щодо об'єкта експертизи (тип, місце розташування, власник);
загальну характеристику об'єкта експертизи (призначення, функції, можливості);
вимоги нормативних документів з ТЗІ, на відповідність яким здійснюється оцінка об'єкта експертизи;
назви програми та методики, згідно з якими здійснювалася оцінка об'єкта експертизи, ким розроблені та затверджені, реєстраційний номер та дату затвердження;
перелік документів і специфікацій програмних та технічних засобів, які надано Замовником Організатору;
результати робіт щодо кожного пункту методики експертизи об'єкта;
розгорнутий висновок щодо відповідності об'єкта експертизи вимогам нормативних документів системи ТЗІ;
сферу використання (вимоги до умов експлуатації) об'єкта експертизи;
строк дії Експертного висновку;
особливі думки експертів, зафіксовані в протоколах.
28. Строк дії атестата відповідності КСЗІ, Експертного висновку на засіб ТЗІ або ОТР КСЗІ визначається Організатором:
для атестата відповідності КСЗІ автоматизованої системи класу 1 - безстроковий;
для атестата відповідності КСЗІ автоматизованої системи класів 2, 3 - до 5 років;
для Експертного висновку на засіб ТЗІ - до 3 років;
для Експертного висновку на ОТР КСЗІ - до 5 років.
29. Строк дії атестата відповідності КСЗІ або Експертного висновку на ОТР КСЗІ визначається з урахуванням складності архітектури ІТС та засобів захисту, які використовуються при побудові КСЗІ.
IІІ. Порядок надання і скасування Експертного висновку та атестата відповідності КСЗІ
1. Експертний висновок для засобів ТЗІ/ОТР КСЗІ розглядається Експертною радою і у разі затвердження результатів експертизи реєструється та повертається Організатору.
2. На підставі позитивного рішення щодо експертизи КСЗІ в ІТС атестат відповідності реєструється та повертається Організатору.
3. Адміністрація Держспецзв’язку може зупинити дію, скасувати Експертний висновок та/або атестат відповідності КСЗІ в разі:
1) отримання відповідної заяви власника Експертного висновку або атестата відповідності КСЗІ (складається у довільній формі на ім’я Голови (заступника Голови) Держспецзв’язку із зазначенням реєстраційного номера Експертного висновку або атестата відповідності КСЗІ);
2) наявності фактів внесення змін до КСЗІ, не передбачених техноробочим проектом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ;
3) наявності фактів порушення вимог щодо технології виготовлення, правил приймання, методів контролю та випробувань, зміни конструкції (складу) та комплектності засобів ТЗІ, що узгоджені під час проведення експертизи;
4) якщо висновки експертизи, за результатами якої зареєстровано Експертний висновок та/або атестат відповідності КСЗІ, суперечать вимогам чинних нормативно-правових актів у сфері ТЗІ;
5) наявності персональних спеціальних економічних та інших обмежувальних заходів (санкцій) до Замовників, які унеможливлюють використання засобів ТЗІ/КСЗІ в обсязі, визначеному Експертним висновком та/або атестатом відповідності КСЗІ.
4. Факти внесення змін до КСЗІ, не передбачених техноробочим проектом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ підтверджуються:
протоколами та експертними висновками контрольної експертизи;
актами державного контролю за станом технічного захисту інформації;
актами оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
5. Факти порушення вимог щодо технології виготовлення, правил приймання, методів контролю та випробувань, зміни конструкції (складу) та комплектності засобів ТЗІ, що узгоджені під час проведення експертизи, підтверджуються протоколами та експертними висновками контрольної експертизи.
6. Рішення про зупинення дії Експертного висновку та/або атестата відповідності КСЗІ приймається у разі, якщо після вжиття погоджених з Адміністрацією Держспецзв’язку коригувальних заходів, спрямованих на усунення виявлених недоліків, власник Експертного висновку та/або атестата відповідності КСЗІ без проведення додаткової експертизи може підтвердити відповідність засобів ТЗІ/ОТР КСЗІ/КСЗІ вимогам нормативних документів. В інакшому випадку Експертний висновок та/або атестат відповідності КСЗІ скасовуються.
7. Інформація про рішення щодо зупинення дії, скасування Експертного висновку та/або атестата відповідності КСЗІ не пізніше семи робочих днів надсилається Замовнику із зазначенням відповідних підстав.
8. Рішення Адміністрації Держспецзв’язку може бути оскаржене до суду.
ІV. Особливості проведення експертиз комплексних систем захисту інформації державними органами, які проводять роботи з ТЗІ для власних потреб
1. Державні органи, які мають дозвіл Адміністрації Держспецзв’язку на проведення робіт з ТЗІ для власних потреб, можуть здійснювати роботи з організації та проведення первинних або додаткових експертиз КСЗІ в ІТС (крім контрольних експертиз) шляхом експертних випробувань та аналізу декларацій у сфері свого управління.
2. Порядок проведення експертних випробувань погоджується з Адміністрацією Держспецзв’язку.
Додаток 1 |
Додаток 2 |
Додаток 3 |
Додаток 4 |
ДЕКЛАРАЦІЯ
про відповідність КСЗІ вимогам нормативних документів із ТЗІ
Додаток 5 |
Додаток 6 |
Додаток 7 |
ПРОТОКОЛ
виконання робіт відповідно до _____ (пункту) методики експертизи комплексної системи/ОТР/засобу технічного захисту інформації
Додаток 8 |
Додаток 9 |
Додаток 10 |