Недействующая редакция. Принята: 13.10.2017 / Вступила в силу: 12.12.2017

Недействующая редакция, не действует с 30 октября 2020 года

Неофициальный перевод. (с) СоюзПравоИнформ

Зарегистрирован

Министерством юстиции Украины

16 июля 2007 года

№820/14087

ПРИКАЗ АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ

от 16 мая 2007 года №93

Об утверждении Положения о государственной экспертизе в сфере технической защиты информации

(В редакции Приказов Администрации Государственной службы специальной связи и защиты информации Украины от 10.10.2012 г. №567, 30.06.2016 г. №407, 13.10.2017 г. №565)

В соответствии со статьей 17, пункта 2 раздела IX "Заключительные и переходные положения" Закона Украины "О Государственной службе специальной связи и защиты информации Украины", Положением об Администрации Государственной службы специальной связи и защиты информации, утвержденным постановлением Кабинета Министров Украины от 24.06.2006 №868, ПРИКАЗЫВАЮ:

1. Утвердить Положение о государственной экспертизе в сфере технической защиты информации, которое прилагается.

2. Признать утратившим силу приказ Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины от 29 декабря 1999 года №62 "Об утверждении Положения о государственной экспертизе в сфере технической защиты информации", зарегистрированный в Министерстве юстиции Украины 24 января 2000 года за №40/4261.

3. Департаменту по вопросам защиты информации в информационно-телекоммуникационных системах Администрации Госспецсвязи обеспечить в установленном порядке предоставление приказа на государственную регистрацию в Министерство юстиции Украины.

4. Контроль за исполнением приказа возложить на заместителя Председателя Государственной службы специальной связи и защиты информации Украины Фролова О.В.

Председатель Службы

Ю.Б.Чеботаренко

Утверждено Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 16 мая 2007 года №93

Положение о государственной экспертизе в сфере технической защиты информации

I. Общая часть

1. Настоящее Положение, разработанное в соответствии с Законами Украины "О Государственной службе специальной связи и защиты информации Украины", "О научной и научно-технической экспертизе", "О защите информации в информационно-телекоммуникационных системах", "Об информации", постановлением Кабинета Министров Украины от 29 марта 2006 года №373 "Об утверждении Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах", актами нормативно-технического характера по технической защите информации, определяет порядок проведения экспертизы в сфере технической защиты информации.

2. Государственная экспертиза в сфере технической защиты информации (далее - экспертиза) проводится с целью исследования, проверки, анализа и оценки объектов экспертизы на предмет их соответствия требованиям нормативных документов по технической защите информации и возможности их использования для обеспечения технической защиты информации (далее - ТЗИ).

3. Действие настоящего Положения распространяется на всех юридических и физических лиц, являющихся субъектами экспертизы.

Субъектами экспертизы являются:

юридические и физические лица-собственники (распорядители) информационных, телекоммуникационных, информационно-телекоммуникационных систем, технических и программных средств, реализующих функции ТЗИ - заказчики экспертизы (далее - Заказчики);

Администрация Госспецсвязи;

территориальные органы Администрации Госспецсвязи, которые проводят экспертизу путем анализа деклараций о соответствии комплексных систем защиты информации (далее - КСЗИ) требованиям нормативных документов по ТЗИ (далее - декларация);

учебные заведения, научно-исследовательские, научно-производственные учреждения Государственной службы специальной связи и защиты информации Украины, предприятия, учреждения и организации, которые проводят экспертизу (далее - Организаторы);

государственные органы, которые проводят экспертизу в сфере своего управления;

физические лица, которые на постоянной или профессиональной основе осуществляют деятельность, связанную с предоставлением экспертных услуг, - исполнители экспертных работ по ТЗИ (далее - Эксперты).

4. Объектами экспертизы являются:

КСЗИ, которые являются неотъемлемой составляющей информационной, телекоммуникационной или информационно-телекоммуникационной системы (далее - ИТС);

технические и программные средства, реализующие функции ТЗИ и/или оценки состояния защиты информации (далее - средства ТЗИ);

организационно-техническое решение на развертывание обычной составляющей компоненты КСЗИ в ИТС - задокументированное унифицированное решение для многократного развертывания составляющих КСЗИ в ИТС или КСЗИ типовой составляющей компоненты КСЗИ в ИТС, самодостаточной для решения определенной задачи, включающей проектные решения программно-технического комплекса, организационно-технические решение по регламенту функционирования типовой компоненты ИТС и описание (алгоритм) процедуры внедрения (далее - ОТР КСЗИ).

5. Экспертиза КСЗИ является процедурой подтверждения соответствия КСЗИ требованиям нормативных документов по ТЗИ, проводимой путем экспертных испытаний или путем анализа декларации.

Экспертиза средств ТЗИ и ОТР КСЗИ проводится путем экспертных испытаний.

6. Экспертиза КСЗИ путем анализа декларации проводится в случаях, если:

КСЗИ создан в ИТС:

которая является одномашинным однопользовательским комплексом, который обрабатывает информацию одного или нескольких степеней ограничения доступа;

в каждый момент времени с которой может работать только один пользователь, хотя в общем случае лиц, имеющих доступ к комплексу, может быть несколько;

в которой для защиты информации от несанкционированного доступа используются средства, имеющие действующее на момент подачи декларации положительное экспертное заключение по результатам государственной экспертизы в сфере ТЗИ;

в которой для антивирусной защиты используются средства, имеющие действующее на момент подачи декларации положительное экспертное заключение по результатам государственной экспертизы в сфере ТЗИ;

в которой внедрение мер защиты информации от утечки по техническим каналам (в случае необходимости создания комплекса ТЗИ) засвидетельствовано зарегистрированным в установленном порядке актом аттестации комплекса технической защиты информации.

КСЗИ в ИТС создан на основе ОТР КСЗИ, которая имеет на момент декларирования действующее положительное экспертное заключение по результатам государственной экспертизы в сфере ТЗИ и имеет в составе документации типовую форму декларации для этой ИТС.

Во всех остальных случаях экспертиза КСЗИ в ИТС проводится путем экспертных испытаний.

7. Экспертиза может быть первичной, дополнительной и контрольной.

Первичная экспертиза является основным видом экспертизы и предполагает выполнение Организатором всех нужных мероприятий, определенных в разделе II настоящего Положения, для подготовки и принятия решения по объекту экспертизы.

Дополнительная экспертиза проводится в отношении объектов экспертизы, в отношении которых открылись новые научные и научно-технические обстоятельства, а также в связи с окончанием срока действия документов, удостоверяющих результаты экспертизы.

Контрольная экспертиза проводится иным Организатором по инициативе Заказчика в случае наличия у него обоснованных претензий к заключению первичной или дополнительной экспертизы или по инициативе Администрации Госспецсвязи для проверки заключения первичной или дополнительной экспертизы.

8. Для организации и проведения экспертизы Администрация Госспецсвязи:

регистрирует заявления на проведение экспертизы, предоставляет Заказчикам и Организаторам методическую помощь относительно порядка и организации проведения экспертизы, оформление документов по результатам проведения экспертизы;

принимает решение о возможности и целесообразности проведения и организации экспертизы, в том числе контрольной;

при проведении экспертизы средства ТЗИ принимает решение о необходимости отбора образцов для проведения испытаний;

регистрирует, останавливает действие или отменяет регистрацию экспертных заключений о возможности использования средств ТЗИ, ОТР КСЗИ (далее - экспертные заключения) и аттестатов соответствия КСЗИ;

регистрирует декларации, останавливает действие или отменяет регистрацию деклараций;

осуществляет контроль за проведением Организатором экспертных испытаний и за соблюдением требований по эксплуатации объекта экспертизы, влияющих на защищенность информации.

9. Решение о регистрации декларации по результатам экспертизы КСЗИ в ИТС путем анализа декларации принимает территориальный орган Администрации Госспецсвязи.

II. Порядок организации и проведения экспертизы

1. В целях организации и проведения экспертиз, координации мероприятий и принятия решений о проведении экспертиз в Администрации Госспецсвязи создается экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации (далее - Экспертный совет).

2. С целью проведения экспертизы КСЗИ в ИТС путем анализа декларации в территориальных органах Администрации Госспецсвязи создается экспертная комиссия по вопросам государственной экспертизы в сфере технической защиты информации (далее - Экспертная комиссия).

3. Для проведения экспертизы путем экспертных испытаний Заказчик направляет на имя Председателя (заместителя Председателя) Госспецсвязи (кроме случаев, предусмотренных разделом IV настоящего Положения) заявление о проведении экспертизы КСЗИ ИТС (приложение 1), заявление о проведении экспертизы ОТР КСЗИ (приложение 2), заявление о проведении экспертизы средства ТЗИ (приложение 3).

Для проведения экспертизы КСЗИ в ИТС путем анализа декларации (кроме случаев, предусмотренных разделом IV настоящего Положения) Заказчик направляет декларацию о соответствии КСЗИ требованиям нормативных документов по ТЗИ (приложение 4), форму ИТС, акт о завершении работ по созданию КСЗИ, акт аттестации комплекса технической защиты информации, зарегистрированный в Администрации Госспецсвязи:

в Администрацию Госспецсвязи - на имя Председателя (заместителя Председателя) Госспецсвязи для ИТС, расположенных по территориальному признаку в городе Киеве и Киевской области;

в соответствующий территориальный орган Администрации Госспецсвязи - на имя руководителя территориального органа Госспецсвязи по местонахождению ИТС.

Экспертиза КСЗИ в ИТС, созданной на основе ОТР КСЗИ, проводится путем анализа декларации. Заказчик направляет в Администрацию Госспецсвязи декларацию о соответствии КСЗИ требованиям нормативных документов по ТЗИ и приложения к ней согласно требованиям ОТР КСЗИ.

4. По результатам анализа декларации и представленных вместе с ней документов Экспертный совет (Экспертная комиссия) в месячный срок принимает решение о регистрации декларации. Зарегистрированную декларацию и другие представленные документы Администрация Госспецсвязи (ее территориальный орган) возвращает Заказчику.

5. В случае непредставления документов, указанных в пункте 3 настоящего раздела, неполноты предоставленных в них сведений или несоответствия порядка создания КСЗИ требованиям нормативных документов по ТЗИ Администрация Госспецсвязи (территориальный орган Администрации Госспецсвязи) письменно уведомляет Заказчика об отказе в регистрации декларации, причинах, по которым регистрация невозможна, и возвращает декларацию на доработку. После устранения причин, послуживших основанием для отказа в регистрации декларации, Заказчик направляет для повторного рассмотрения в Администрацию Госспецсвязи (территориальный орган Администрации Госспецсвязи) доработанную декларацию.

6. Зарегистрированная декларация или аттестат соответствия КСЗИ отменяются Администрацией Госспецсвязи в случае внесения изменений в КСЗИ, не предусмотренных Технорабочим проектом на КСЗИ и/или нарушения требований по эксплуатации КСЗИ.

7. Срок действия зарегистрированной декларации является неограниченным, кроме деклараций на КСЗИ в ИТС, созданные на основе ОТР КСЗИ, срок действия которой устанавливается требованиями ОТР КСЗИ (но не более 5 лет).

8. По результатам рассмотрения заявления Экспертный совет в месячный срок принимает решение о целесообразности проведения экспертизы и определяет ее Организатора.

9. В случае наличия у Заказчика обоснованных претензий относительно порядка проведения или результатов экспертизы он может обратиться к Администрации Госспецсвязи с предложением по осуществлению контроля за проведением Организатором экспертных испытаний или с заявлением на имя Председателя (заместителя Председателя) Госспецсвязи о проведении контрольной экспертизы.

10. Порядок подачи и рассмотрения от Заказчика заявления о проведении контрольной экспертизы КСЗИ ИТС/ОТР КСЗИ (приложение 5) или заявления о проведении контрольной экспертизы средства ТЗИ (приложение 6) осуществляется в соответствии с пунктами 1 - 3 настоящего раздела.

11. Основным документом, регламентирующим отношения между Заказчиком и Организатором, является заключенный между ними договор на проведение экспертизы.

12. Расходы, связанные с проведением экспертизы, осуществляются на основании договора в соответствии с законодательством Украины.

13. Срок проведения экспертизы определяется договором.

14. Количество и персональный состав экспертов, привлекаемых к выполнению экспертных работ, определяется Организатором.

15. Заказчик предоставляет Организатору комплект технической документации на объект экспертизы, необходимой для проведения экспертных испытаний.

16. Организатор по результатам анализа предоставленных документов и с учетом общих методик оценивания задекларированных характеристик средств ТЗИ, ОТР КСЗИ и КСЗИ формирует программу и методику проведения экспертизы объекта, осуществляет отбор образцов средств ТЗИ и составляет перечень необходимого программно-технического обеспечения для проведения испытаний.

17. Программа проведения экспертизы согласовывается с Заказчиком и уполномоченным структурным подразделением Администрации Госспецсвязи, а методика проведения экспертизы - с уполномоченным структурным подразделением Администрации Госспецсвязи.

18. При проведении экспертизы каждый Эксперт выполняет экспертные работы только по поручению Организатора и в соответствии с определенной методикой.

19. Результаты работы оформляются в виде протокола выполнения работ (приложение 7) за подписью Экспертов, которые ее выполняли. Протокол утверждается Организатором.

20. Согласование результатов отдельных работ между Экспертом и Организатором, а также внесение изменений в протоколы после их оформления или совмещение результатов отдельных работ в одном протоколе не допускаются.

21. В протоколе могут быть зафиксированы особые мнения Экспертов относительно результатов выполненных работ.

22. В случае выявления несоответствия объекта экспертизы требованиям нормативных документов по ТЗИ Организатор может предложить Заказчику выполнить доработку.

23. Срок доработки объекта экспертизы определяется общим протоколом или дополнительным соглашением к договору между Заказчиком и Организатором.

24. Сведения относительно всех доработок, а также результаты дополнительных экспертных работ оформляются отдельными протоколами.

25. Результаты работ, определенных методикой, обобщаются Организатором в Экспертном заключении.

26. Выводы по каждому пункту методики, а также особые мнения Экспертов, зафиксированные в протоколах, включаются в Экспертное заключение как составные части без внесения в них каких-либо изменений.

27. По результатам проведенных работ Организатор составляет:

Экспертное заключение (приложение 8) и в случае положительных результатов экспертной оценки - аттестат соответствия КСЗИ (приложение 9);

Экспертное заключение (приложение 10) для средства ТЗИ;

Экспертное заключение (приложение 11) для ОТР КСЗИ.

Указанные документы, подтверждающие соответствие требованиям нормативных документов по ТЗИ, удостоверяются Организатором и вместе с протоколами выполнения работ подаются в Администрацию Госспецсвязи.

Экспертное заключение должно содержать:

общие сведения по объекту экспертизы (тип, местоположение, владелец);

общую характеристику объекта экспертизы (назначение, функции, возможности);

требования нормативных документов по ТЗИ, на соответствие которым осуществляется оценка объекта экспертизы;

названия программы и методики, согласно которым осуществлялась оценка объекта экспертизы, кем разработаны и утверждены, регистрационный номер и дату утверждения;

перечень документов и спецификаций программных и технических средств, предоставленных Заказчиком Организатору;

результаты работ по каждому пункту методики экспертизы объекта;

развернутый вывод о соответствии объекта экспертизы требованиям нормативных документов системы ТЗИ;

сферу использования (требования к условиям эксплуатации) объекта экспертизы;

срок действия Экспертного заключения;

особые мнения экспертов, зафиксированные в протоколах.

28. Срок действия аттестата соответствия КСЗИ, Экспертного заключения на средство ТЗИ или ОТР КСЗИ определяется Организатором:

для аттестата соответствия КСЗИ автоматизированной системы класса 1 - бессрочный;

для аттестата соответствия КСЗИ автоматизированной системы классов 2, 3 - до 5 лет;

для Экспертного заключения на средство ТЗИ - до 3 лет;

для Экспертного заключения на ОТР КСЗИ - до 5 лет.

29. Срок действия аттестата соответствия КСЗИ или Экспертного заключения на ОТР КСЗИ определяется с учетом сложности архитектуры ИТС и средств защиты, используемых при построении КСЗИ.

III. Порядок предоставления и отмены экспертного заключения и аттестата соответствия КСЗИ

1. Экспертное заключение для средств ТЗИ/ОТР КСЗИ рассматривается Экспертным советом и в случае утверждения результатов экспертизы регистрируется и возвращается Организатору.

2. На основании положительного решения по экспертизе КСЗИ в ИТС аттестат соответствия регистрируется и возвращается Организатору.

3. Администрация Госспецсвязи может приостановить действие, отменить Экспертное заключение и/или аттестат соответствия КСЗИ в случае:

1) получения соответствующего заявления владельца Экспертного заключения или аттестата соответствия КСЗИ (составляется в произвольной форме на имя Председателя (заместителя Председателя) Госспецсвязи с указанием регистрационного номера Экспертного заключения или аттестата соответствия КСЗИ);

2) наличия фактов внесения изменений в КСЗИ, не предусмотренных Технорабочим проектом на КСЗИ и/или нарушения требований по эксплуатации КСЗИ;

3) наличия фактов нарушения требований по технологии изготовления, правил приемки, методов контроля и испытаний, изменения конструкции (состава) и комплектности средств ТЗИ, согласованных во время проведения экспертизы;

4) если выводы экспертизы, по результатам которой зарегистрировано Экспертное заключение и/или аттестат соответствия КСЗИ, противоречат требованиям действующих нормативно-правовых актов в сфере ТЗИ;

5) наличия персональных специальных экономических и других ограничительных мер (санкций) у Заказчиков, которые делают невозможным использование средств ТЗИ/КСЗИ в объеме, определенном Экспертным заключением и/или аттестатом соответствия КСЗИ.

4. Факты внесении изменений в КСЗИ, не предусмотренных Технорабочим проектом на КСЗИ и/или нарушения требований по эксплуатации КСЗИ подтверждаются:

протоколами и экспертными заключениями контрольной экспертизы;

актами государственного контроля за состоянием технической защиты информации;

актами оценки состояния защищенности государственных информационных ресурсов в информационных, телекоммуникационных и информационно-телекоммуникационных системах.

5. Факты нарушения требований по технологии изготовления, правил приемки, методов контроля и испытаний, изменения конструкции (состава) и комплектности средств ТЗИ, согласованных во время проведения экспертизы, подтверждаются протоколами и экспертными заключениями контрольной экспертизы.

6. Решение о приостановлении действия Экспертного заключения и/или аттестата соответствия КСЗИ принимается в случае, если после принятия согласованных с Администрацией Госспецсвязи корректирующих мероприятий, направленных на устранение выявленных недостатков, владелец Экспертного заключения и/или аттестата соответствия КСЗИ без проведения дополнительной экспертизы может подтвердить соответствие средств ТЗИ/ОТР КСЗИ/КСЗИ требованиям нормативных документов. В противном случае Экспертное заключение и/или аттестат соответствия КСЗИ отменяются.

7. Информация о решении о приостановлении действия, отмене Экспертного заключения и/или аттестата соответствия КСЗИ не позднее семи рабочих дней направляется Заказчику с указанием соответствующих оснований.

8. Решение Администрации Госспецсвязи может быть обжаловано в суд.

IV. Особенности проведения экспертиз комплексных систем защиты информации государственными органами, осуществляющими работы по тзи для собственных нужд

1. Государственные органы, имеющие разрешение Администрации Госспецсвязи на проведение работ по ТЗИ для собственных нужд, могут осуществлять работы по организации и проведению первичных или дополнительных экспертиз КСЗИ в ИТС (кроме контрольных экспертиз) путем экспертных испытаний и анализа деклараций в сфере своего управления.

2. Порядок проведения экспертных испытаний согласовывается с Администрацией Госспецсвязи.

(Положение изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)

(см. предыдущую редакцию)

Директор Департамента защиты информации Администрации Госспецсвязи
А.И.Пушкарев

Приложение 1

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 3 раздела II)

Заявление

См. Приложение 1

(Приложение 1 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)

(см. предыдущую редакцию)

Приложение 2

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 3 раздела II)

Заявление

См. Приложение 2

(Приложение 2 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 3

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 3 раздела II)

Заявление

См. Приложение 3

(Приложение 3 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 4

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 3 раздела II)

Декларация о соответствии КСЗИ требованиям нормативных документов по ТЗИ

См. Приложение 4

(Приложение 4 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 5

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 10 раздела II)

Заявление

См. Приложение 5

(Приложение 5 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 6

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 10 раздела II)

Заявление

См. Приложение 6

(Приложение 6 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 7

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 10 раздела II)

Протокол выполнения работ согласно _____ (пункту) методики экспертизы комплексной системы/ОТР/средства технической защиты информации

См. Приложение 7

(Приложение 7 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 8

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 27 раздела II)

Экспертное заключение

См. Приложение 8

(Приложение 8 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 9

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 27 раздела II)

Аттестат соответствия

См. Приложение 9

(Приложение 9 изложено в новой редакции в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)
(см. предыдущую редакцию)

Приложение 10

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 27 раздела II)

Экспертное заключение

См. Приложение 10

(Приложение 10 введено в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)

Приложение 11

к Положению о государственной экспертизе в сфере технической защиты информации (пункт 27 раздела II)

Экспертное заключение

См. Приложение 11

(Приложение 10 введено в соответствии с Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 13.10.2017 г. №565)