АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
16.05.2007 N 93
Зареєстровано
в Міністерстві юстиції України
16 липня 2007 р. за N 820/14087
Про затвердження
Положення про державну експертизу
в сфері технічного захисту інформації
( Із змінами, внесеними згідно з Наказами Адміністрації
Державної служби спеціального зв'язку
та захисту інформації
N 567 від 10.10.2012
N 407 від 30.06.2016 )
Відповідно до статті 17, пункту 2 розділу IX "Прикінцеві та перехідні положення" Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868, наказую:
1. Затвердити Положення про державну експертизу в сфері технічного захисту інформації, що додається.
2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 року N 62 "Про затвердження Положення про державну експертизу в сфері технічного захисту інформації", зареєстрований в Міністерстві юстиції України 24 січня 2000 року за N 40/4261.
3. Департаменту з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації Держспецзв'язку забезпечити в установленому порядку подання наказу на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України Фролова О.В.
Голова Служби Ю.Б.Чеботаренко
Погоджено:
В.о. Голови Державного комітету України з питань
регуляторної політики та підприємництва К.Ващенко
Голова Антимонопольного комітету України О.О.Костусєв
Міністр освіти і науки України С.М.Ніколаєнко
Затверджено
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
16.05.2007 N 93
Зареєстровано
в Міністерстві юстиції України
16 липня 2007 р. за N 820/14087
Положення
про державну експертизу
в сфері технічного захисту інформації
1. Загальна частина
1.1. Це Положення розроблено відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), "Про наукову і науково-технічну експертизу" ( 51/95-ВР ), "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), "Про інформацію" ( 2657-12 ); постанови Кабінету Міністрів України від 29 березня 2006 року N 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", документів нормативно-технічного характеру з технічного захисту інформації і визначає порядок проведення експертизи у цій сфері.
1.2. Державна експертиза в сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів із технічного захисту інформації та можливості їх використання для забезпечення технічного захисту інформації (далі - ТЗІ). ( Пункт 1.2 розділу 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
1.3. Дія цього Положення поширюється на всіх юридичних та фізичних осіб, які є суб'єктами експертизи.
Суб'єктами експертизи є:
юридичні та фізичні особи - власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі - Замовники); ( Абзац третій пункту 1.3 розділу 1 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
Адміністрація Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація);
підрозділи Державної служби спеціального зв'язку та захисту інформації України, підприємства, установи та організації, які проводять експертизу (далі - Організатори);
державні органи, які проводять експертизу в сфері свого управління;
фізичні особи - виконавці експертних робіт з ТЗІ (далі - Експерти).
1.4. Об'єктами експертизи є:
комплексні системи захисту інформації (далі - КСЗІ), які є невід'ємною складовою частиною інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);
технічні та програмні засоби, які реалізують функції ТЗІ (далі - засоби ТЗІ).
1.5. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів із ТЗІ і проводиться шляхом експертних випробувань або шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів із ТЗІ (далі - декларація).
Експертиза засобів ТЗІ проводиться шляхом експертних випробувань. ( Положення доповнено новим пунктом 1.5 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
1.6. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:
КСЗІ створено в ІТС, яка згідно з нормативним документом системи технічного захисту інформації НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу", затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 року N 22, класифікована як автоматизована система класу "1", в якій для захисту інформації від несанкціонованого доступу, у тому числі й для антивірусного захисту, використовуються засоби, що мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ, а впровадження заходів захисту інформації від витоку технічними каналами засвідчено зареєстрованим у встановленому порядку актом атестації комплексу технічного захисту інформації; ( Абзац другий пункту 1.6 розділу 1 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 407 від 30.06.2016 )
закінчився строк дії атестата відповідності КСЗІ в ІТС вимогам нормативних документів із ТЗІ (далі - Атестат), яка згідно з нормативними документами із ТЗІ класифікується як автоматизована система класу "1". ( Абзац третій пункту 1.6 розділу 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 407 від 30.06.2016 )
У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань. ( Положення доповнено новим пунктом 1.6 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
1.7. Експертиза може бути первинною, додатковою та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання Організатором усіх потрібних заходів, визначених у розділі 3 цього Положення, для підготовки та прийняття рішення щодо об'єкта експертизи.
Додаткова експертиза проводиться стосовно об'єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини або в зв'язку з закінченням терміну дії документів, що засвідчують результати експертизи.
Контрольна експертиза проводиться іншим Організатором з ініціативи Замовника за наявністю у нього обґрунтованих претензій до висновку первинної чи додаткової експертизи або з ініціативи Адміністрації для перевірки висновку первинної чи додаткової експертизи.
1.8. Для організації та проведення експертизи Адміністрація:
розробляє необхідні нормативно-правові акти та нормативні документи, що забезпечують проведення експертизи, інформує Організаторів та Експертів щодо введення їх у дію;
формує реєстри Організаторів та Експертів;
реєструє заяви на проведення експертизи, надає Замовникам та Організаторам консультації стосовно порядку та організації проведення експертизи, оформлення документів за результатами проведення експертизи;
приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема контрольної;
у разі експертизи засобу ТЗІ приймає рішення щодо необхідності розроблення порядку відбору зразків для проведення випробувань;
реєструє, видає, зупиняє дію або скасовує експертні висновки щодо можливості використання засобів ТЗІ (далі - Експертні висновки) та атестати; ( Абзац сьомий пункту 1.8 розділу 1 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
реєструє декларації, зупиняє дію або скасовує реєстрацію декларацій; ( Пункт 1.8 розділу 1 доповнено новим абзацом згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
здійснює контроль за проведенням Організатором експертних випробувань та за дотриманням вимог експлуатації об'єкта експертизи, які впливають на захищеність інформації.
2. Права та обов'язки суб'єктів експертизи
2.1. Замовник експертизи має право:
використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо інше не передбачено договором на проведення експертизи;
заявляти про необхідність проведення контрольної або додаткової експертизи;
брати за погодженням з Організатором участь у проведенні експертних робіт;
звертатися до Адміністрації з питань проведення Організатором експертних випробувань.
2.2. Замовник експертизи зобов'язаний:
сприяти Організатору в проведенні всебічного комплексного дослідження об'єкта експертизи для формування експертної оцінки;
передавати Організатору в установлені договором строки необхідні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати необхідне для проведення експертизи обладнання.
2.3. Організатор експертизи має право:
здійснювати всі необхідні заходи з метою організації та проведення експертизи відповідно до договірних умов із Замовником;
готувати пропозиції щодо внесення (вилучення) фахівців з питань ТЗІ до (з) реєстру Експертів;
готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.
2.4. Організатор експертизи зобов'язаний:
забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;
здійснювати заходи для забезпечення контролю з боку Адміністрації за проведенням експертних випробувань;
розглядати за дорученням Адміністрації проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;
виконувати вимоги до конфіденційності проведення експертизи.
2.5. Експерт має право:
вільно викладати особисту думку з питань експертизи, а також стосовно результатів виконання робіт;
вимагати від Організатора надання достовірних відомостей, матеріалів, інженерно-технічного забезпечення, необхідних для виконання експертних робіт та підготовки висновків;
уносити пропозиції щодо вдосконалення форм і методів проведення експертизи.
2.6. Експерт зобов'язаний:
об'єктивно, неупереджено та своєчасно виконувати експертні роботи;
не допускати розголошення інформації, що міститься у матеріалах та висновках експертизи;
пред'являти на вимогу Замовника документи, які підтверджують його досвід та рівень кваліфікації.
3. Порядок організації та проведення експертизи
3.1. Для проведення експертизи шляхом експертних випробувань Замовник надсилає заяву на ім'я Голови (заступника Голови) Держспецзв'язку (крім випадків, передбачених у розділі 5 цього Положення) про проведення експертизи КСЗІ в ІТС (додаток 1) або засобу ТЗІ (додаток 2), а шляхом аналізу декларації - декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ (додаток 3), формуляр ІТС і акт про завершення робіт зі створення КСЗІ згідно з керівним документом із стандартизації РД 50-34.698-90 "Автоматизированные системы. Требования к содержанию документов", а додатково для ІТС, в яких КСЗІ створено для захисту інформації, що становить державну таємницю, - акт атестації комплексу технічного захисту інформації, зареєстрований в Адміністрації Державної служби спеціального зв’язку та захисту інформації України. ( Пункт 3.1 розділу 3 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012; із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 407 від 30.06.2016 )
3.2. З метою розгляду декларацій і заяв, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації створюється експертна рада з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна рада). ( Пункт 3.2 розділу 3 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
3.3. За результатами аналізу декларації і поданих разом із нею документів Експертна рада в місячний строк приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація повертає Замовнику. ( Розділ 3 доповнено новим пунктом 3.3 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
3.4. У разі ненадання документів, зазначених у пункті 3.1 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам нормативних документів із ТЗІ Адміністрація в місячний строк повертає Замовнику декларацію для доопрацювання. ( Розділ 3 доповнено новим пунктом 3.4 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
3.5. Адміністрація має право в установленому порядку зупинити дію декларації або скасувати її реєстрацію. ( Розділ 3 доповнено новим пунктом 3.5 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
3.6. Строк дії зареєстрованої декларації є необмеженим. У разі внесення змін, не передбачених у технічному завданні на створення КСЗІ, Замовник зобов'язаний надіслати на ім'я Голови (заступника Голови) Держспецзв'язку декларацію в порядку, передбаченому в пункті 3.1 цього розділу. ( Розділ 3 доповнено новим пунктом 3.6 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
3.7. За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її Організатора.
3.8. У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи він може звернутися до Адміністрації з пропозицією щодо здійснення контролю за проведенням Організатором експертних випробувань або із заявою на ім'я Голови (заступника Голови) Держспецзв'язку про проведення контрольної експертизи.
3.9. Порядок подання та розгляду заяви Замовника про проведення контрольної експертизи КСЗІ в ІТС (додаток 4) або засобу ТЗІ (додаток 5) здійснюється відповідно до пунктів 3.1 - 3.3 цього Положення.
3.10. Основним документом, що регламентує відносини між Замовником і Організатором, є укладений між ними договір на проведення експертизи.
3.11. Порядок фінансування експертизи визначається відповідно до законодавства України.
3.12. Результати, матеріали, висновки експертизи та створене або придбане за кошти Замовника матеріально-технічне забезпечення є його власністю, якщо інше не передбачено договором між Замовником і Організатором.
3.13. Термін проведення експертизи визначається договором і не повинен перевищувати шість місяців. У випадку значного обсягу експертних робіт термін проведення експертизи може бути продовжений за згодою Адміністрації та Замовника.
3.14. Список Експертів, які залучаються до виконання експертних робіт, визначається Організатором.
3.15. Замовник надає Організатору комплект організаційно-технічної документації на об'єкт експертизи, необхідний для проведення експертних випробувань.
3.16. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання задекларованих характеристик засобів ТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі необхідності, порядок відбору зразків засобів ТЗІ для проведення випробувань і відповідне програмно-технічне забезпечення.
3.17. Програма проведення експертизи узгоджується із Замовником та Департаментом з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації, а окремі методики - з зазначеним департаментом.
3.18. Терміни розробки окремої методики та необхідних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи.
3.19. Під час проведення експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та у відповідності з визначеною окремою методикою.
3.20. Результати роботи оформлюються у вигляді протоколу виконання робіт (додаток 6) за підписом Експертів, які її виконували. Протокол затверджується Організатором.
3.21. Організатор може рекомендувати Експерту здійснити редагування протоколів виконаних робіт без зміни їх змісту (стилістичне редагування).
3.22. Узгодження результатів окремих робіт між Експертом та Організатором, а також унесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється.
3.23. У протоколі можуть бути зафіксовані особливі думки Експертів відносно результатів виконаних робіт.
3.24. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів з ТЗІ Організатор може запропонувати Замовнику виконати доробку об'єкта.
3.25. Термін доробки об'єкта експертизи визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором.
3.26. Відомості щодо всіх доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.
3.27. Результати робіт, визначених окремою методикою, узагальнюються Організатором в Експертному висновку.
3.28. Висновки щодо кожного пункту окремої методики, а також особливі думки Експертів, зафіксовані в протоколах, включаються до Експертного висновку як складові частини без унесення до них будь-яких змін.
3.29. За результатами проведених робіт Організатор складає Експертний висновок (додаток 7) відповідного змісту (додаток 8) щодо відповідності об'єкта експертизи вимогам нормативних документів з ТЗІ, підписує його і разом із протоколами виконання робіт подає до Адміністрації. ( Пункт 3.29 розділу 3 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
4. Порядок надання Експертного висновку та Атестата
4.1. Експертний висновок на засіб ТЗІ розглядається Експертною радою і, у разі затвердження результатів експертизи, реєструється та видається Замовнику.
4.2. На підставі позитивного рішення щодо експертизи КСЗІ Замовнику видається зареєстрований Атестат відповідності (додаток 9) за підписом Голови (заступника Голови) Держспецзв'язку.
( Пункт 4.3 розділу 4 виключено на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
4.3. Адміністрація має правов установленому порядку зупинити дію або скасувати Експертний висновок або Атестат. ( Пункт 4.3 розділу 4 в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
5. Особливості проведення експертиз комплексних систем захисту
інформації державними органами
5.1. Адміністрація надає державному органу повноваження з організації та проведення первинних або додаткових експертиз КСЗІ в ІТС шляхом експертних випробувань за умови погодження з Адміністрацією порядку їх здійснення. ( Пункт 5.1 розділу 5 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
5.2. Державні органи, які мають дозвіл Адміністрації на проведення робіт з ТЗІ для власних потреб та отримали від Адміністрації зазначені повноваження:
здійснюють організацію та проведення експертиз КСЗІ в ІТС у сфері свого управління шляхом експертних випробувань; ( Абзац другий пункту 5.2 розділу 5 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
видають Атестат відповідності, який реєструється Адміністрацією.
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 1
до пункту 3.1 Положення
про державну експертизу
в сфері технічного захисту
інформації
Голові (заступнику Голови)
Державної служби
спеціального зв'язку
та захисту інформації
України
____________________________
ЗАЯВА
про проведення_____________________експертизи комплексної системи
(первинної/додаткової)
захисту інформації інформаційно-телекомунікаційної системи________
_________________________________________________________________,
(назва ІТС)
що належить_______________________________________________________
(назва організації (підприємства, установи) - власника
(розпорядника) ІТС,
__________________________________________________________________
її місцезнаходження)
Додатки:
1)технічне завдання на створення КСЗІ зазначеної ІТС;
2) формуляр ІТС.
Замовник
експертизи ___________ _______________________
(підпис) (ініціали, прізвище)
М.П.
_______ ____________ ______
(дата)
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 2
до пункту 3.1 Положення
про державну експертизу
в сфері технічного захисту
інформації
Голові (заступнику Голови)
Державної служби
спеціального зв'язку
та захисту інформації
України
ЗАЯВА
про проведення______________________експертизи засобу технічного
(первинної/додаткової)
захисту інформації______________________________________________,
(назва засобу технічного захисту інформації)
наданого_________________________________________________________
(назва організації (підприємства, установи) - замовника
експертизи,
_________________________________________________________________
її місцезнаходження)
Необхідність проведення експертизи обумовлена:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Додаток: технічне завдання та/або паспорт на засіб технічного
захисту інформації.
Замовник
експертизи ___________ _______________________
(підпис) (ініціали, прізвище)
М.П.
____ ______________ _____
(дата)
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 3
до Положення про державну
експертизу в сфері
технічного захисту
інформації
Зареєстровано
адміністрації Державної
служби спеціального зв'язку
та захисту інформації
України __.__.__ за N _____
Голова (заступник Голови)
Держспецзв'язку
(підпис) (ініціали,
прізвище)
М.П.
ДЕКЛАРАЦІЯ
про відповідність КСЗІ вимогам
нормативних документів із ТЗІ
________________________________________________________________,
(найменування організації, підприємства, установи або
прізвище, ім'я та по батькові фізичної
особи - власника (розпорядника) ІТС; ідентифікаційний код за
ЄДРПОУ (реєстраційний номер облікової картки платника податків)
в особі ________________________________________________________,
(посада, прізвище, ім'я та по батькові керівника
організації, підприємства, установи або прізвище, ім'я
та по батькові фізичної особи - власника (розпорядника) ІТС
підтверджує, що комплексна система захисту інформації
________________________________________________________________,
(повна назва ІТС)
що належить
________________________________________________________________,
(найменування організації, підприємства, установи або
прізвище, ім'я та по батькові фізичної особи - власника
(розпорядника) ІТС; місцезнаходження)
забезпечує захист _________________________ інформації відповідно
(вид інформації
за порядком доступу)
до вимог нормативних документів із технічного захисту інформації
в обсязі функцій, зазначених у технічному завданні N
_________________________________________________________________
Виконання робіт зі створення КСЗІ підтверджено такими проектними,
експлуатаційними і розпорядчими документами
_________________________________________________________________
(повні назви документів)
Керівник організації,
підприємства, установи
або фізична особа - власник
(розпорядник) ІТС ____________ ______________________
(підпис) (ініціали та прізвище)
М.П.
( Положення доповнено новим додатком 3 згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 567 від 10.10.2012 )
Додаток 4
до пункту 3.9 Положення
про державну експертизу
в сфері технічного захисту
інформації
Голові (заступнику Голови)
Державної служби
спеціального зв'язку
та захисту інформації
України
ЗАЯВА
про проведення контрольної експертизи комплексної системи
захисту інформації інформаційно-телекомунікаційної системи
_________________________________________________________________,
(назва ІТС)
що належить_______________________________________________________
(назва організації (підприємства, установи)
- власника ІТС,
__________________________________________________________________
її місцезнаходження)
Необхідність проведення контрольної експертизи обумовлена:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Додатки:
1) Експертний висновок первинної експертизи;
2) технічне завдання на створення КСЗІ
зазначеної ІТС;
3) формуляр ІТС.
Замовник
експертизи ___________ _______________________
(підпис) (ініціали, прізвище)
М.П.
____ ______________ _____
(дата)
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 5
до пункту 3.9 Положення
про державну експертизу
в сфері технічного захисту
інформації
Голові (заступнику Голови)
Державної служби
спеціального зв'язку
та захисту інформації
України
____________________________
ЗАЯВА
про проведення контрольної експертизи засобу технічного
захисту інформації_______________________________________________
(назва засобу технічного захисту інформації)
наданого__________________________________________________________
(назва організації (підприємства, установи) - замовника
експертизи,
__________________________________________________________________
її місцезнаходження)
Необхідність проведення контрольної експертизи обумовлена:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Додатки:
1) Експертний висновок первинної експертизи;
2) технічне завдання та/або паспорт на засіб
технічного захисту інформації.
Замовник
експертизи ___________ _______________________
(підпис) (ініціали, прізвище)
М.П.
____ ______________ _____
(дата)
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 6
до пункту 3.20 Положення
про державну експертизу
в сфері технічного захисту
інформації
ЗАТВЕРДЖУЮ
____________________________
(посада керівника
організатора експертизи)
________ ____________________
(підпис) (ініціали, прізвище)
М.П. ___ _______ ____
ПРОТОКОЛ
виконання робіт
відповідно до _____(пункту) окремої методики
експертизи комплексної системи (засобу)
технічного захисту інформації
1. Зміст _____(пункту) окремої методики експертизи об'єкта
__________________________________________________________________
__________________________________________________________________
2. Перелік документів і специфікації програмних та технічних
засобів, наданих Замовником експертизи для виконання робіт
__________________________________________________________________
__________________________________________________________________
3. Результати робіт щодо_____(пункту) окремої методики експертизи
об'єкта
__________________________________________________________________
__________________________________________________________________
4. Висновок щодо відповідності об'єкта експертизи вимогам
нормативних документів системи ТЗІ в обсязі функцій, зазначених у
паспорті засобу технічного захисту інформації (технічному завданні
на створення комплексної системи захисту інформації)
__________________________________________________________________
__________________________________________________________________
5. Особлива думка Експерта
__________________________________________________________________
__________________________________________________________________
Експерти __________ ______________________
(підпис) (ініціали, прізвище)
____ ______________ _____
(дата)
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 7
до пункту 3.29 Положення
про державну експертизу
в сфері технічного захисту
інформації
ЕКСПЕРТНИЙ ВИСНОВОК
Зареєстровано(1)
в Адміністрації Державної
служби спеціального зв'язку
та захисту інформації
України
___ _______ ___ за N_______
Дійсний до___ ________ _____
Голова (заступник Голови)
Держспецзв'язку
__________ ___________
(підпис) (ініціали,
прізвище)
М.П.
Результати експертизи свідчать, що комплексна система (засіб)
технічного захисту інформації
__________________________________________________________________
(назва ІТС або засобу ТЗІ)
що належить (наданий на експертизу)_______________________________
(назва організації
(підприємства, установи) -
__________________________________________________________________
власника (розпорядника), її місцезнаходження)
_________________________________________________________________,
__________________________________________________________________
(відповідає, не відповідає)
вимогам нормативних документів з технічного захисту інформації
в обсязі функцій, зазначених у технічному завданні (паспорті)
N __________________.
Вимоги до умов експлуатації (сфера використання) об'єкта
експертизи визначені у відповідному розділі цього Експертного
висновку.
Керівник
організатора експертизи ____________ _____________________
(підпис) (ініціали, прізвище)
М.П.
Заступник директора Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
______________
(1) Реєстрація здійснюється тільки для засобів ТЗІ.
Додаток 8
до пункту 3.29 Положення
про державну експертизу
в сфері технічного захисту
інформації
Зміст
експертного висновку
1. Загальні відомості щодо об'єкта експертизи: тип, місце розташування, власник.
2. Загальна характеристика об'єкта експертизи (призначення, функції, можливості).
3. Вимоги нормативних документів з технічного захисту інформації, на відповідність яким здійснюється оцінка об'єкта експертизи.
4. Назва окремої методики, згідно з якою здійснювалася оцінка об'єкта експертизи, ким розроблена та затверджена, реєстраційний номер та дата затвердження.
5. Перелік документів і специфікацій програмних та технічних засобів, які надано замовником організатору експертизи.
6. Результати робіт щодо кожного пункту окремої методики експертизи об'єкта.
7. Розгорнутий висновок щодо відповідності об'єкта експертизи вимогам нормативних документів системи ТЗІ.
8. Сфера використання (вимоги до умов експлуатації) об'єкта експертизи.
9.Термін дії експертного висновку.
10. Особливі думки експертів, зафіксовані в протоколах.
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький
Додаток 9
до пункту 4.2 Положення
про державну експертизу
в сфері технічного захисту
інформації
Герб України
ДЕРЖАВНА СЛУЖБА СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ
ІНФОРМАЦІЇ УКРАЇНИ
СИСТЕМА ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
АТЕСТАТ ВІДПОВІДНОСТІ
Зареєстровано
в Адміністрації Державної
служби спеціального
зв'язку та захисту інформації
України
____ ______ 200 за N______
Дійсний до ___ _______ 200
__________________________________________________________________
(назва державного органу, яким надано Атестат)
засвідчує, що комплексна система захисту інформації_______________
( назва
_________________________________________________________________,
ІТС)
що належить_______________________________________________________
(назва державного органу /організації, підприємства,
установи/ - власника/розпорядника ІТС,
_________________________________________________________________,
її місцезнаходження)
забезпечує захист інформації відповідно до вимог нормативних
документів з технічного захисту інформації.
Атестат видано на підставі Експертного висновку, який надано
Організатором експертизи - _______________________________________
(назва державного органу
__________________________________________________________________
(організації, підприємства, установи), що є організатором
експертизи)
Експертний висновок додається до цього Атестата та є його
невід'ємною частиною.
Вимоги до умов експлуатації об'єкта експертизи визначено у
відповідному розділі Експертного висновку.
Керівник органу,
яким надано Атестат ___________ _____________________
(підпис) (ініціали, прізвище)
М.П.
Заступник директора
Департаменту з питань захисту інформації
в інформаційно-телекомунікаційних системах
Адміністрації Держспецзв'язку О.С.Зубрицький