МІНІСТЕРСТВО ВНУТРІШНІХ СПРАВ УКРАЇНИ
НАКАЗ
30.03.2016 N 228
Зареєстровано
в Міністерстві юстиції України
21 квітня 2016 р. за N 614/28744
Про затвердження Порядку організації та проведення первинної
та додаткової експертизи комплексної системи захисту інформації
в інформаційно-телекомунікаційних системах органів
і підрозділів Національної поліції України
Відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року N 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за N 820/14087, з метою забезпечення проведення експертизи комплексної системи захисту інформації в інформаційно-телекомунікаційних системах органів і підрозділів Національної поліції України НАКАЗУЮ:
1. Затвердити Порядок організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації в інформаційно-телекомунікаційних системах органів і підрозділів Національної поліції України, що додається.
2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Деканоідзе Х.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
Міністр А.Б. Аваков
Затверджено
Наказ Міністерства внутрішніх справ України
30.03.2016 N 228
Зареєстровано
в Міністерстві юстиції України
21 квітня 2016 р. за N 614/28744
Порядок
організації та проведення первинної та додаткової експертизи
комплексної системи захисту інформації в
інформаційно-телекомунікаційних системах
органів і підрозділів Національної поліції України
І. Загальні положення
1. Цей Порядок розроблено відповідно Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373, Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року N 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за N 820/14087 (далі - Положення), та наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 червня 2015 року N 023, зареєстрованого в Міністерстві юстиції України 17 липня 2015 року за N 858/27303.
2. Цей Порядок визначає основи організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації (далі - КСЗІ) в інформаційно-телекомунікаційних системах (далі - ІТС) територіальних (міжрегіональних) органів (далі - органи) і структурних підрозділів (далі - підрозділи) Національної поліції України.
3. Вимоги цього Порядку є обов’язковими для органів і підрозділів Національної поліції України, в ІТС яких обробляється відкрита інформація та інформація з обмеженим доступом.
4. Первинна експертиза є основним видом експертизи і передбачає виконання організатором експертизи усіх необхідних заходів для підготовки та прийняття рішення щодо відповідності об’єкта експертизи вимогам чинного законодавства.
5. Додаткова експертиза проводиться стосовно об’єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини або в зв'язку із закінченням терміну дії документів, що засвідчують результати експертизи.
ІІ. Загальні відомості щодо створення КСЗІ в ІТС
1. Роботи зі створення КСЗІ в ІТС виконуються органом або підрозділом Національної поліції України, що експлуатує ІТС. Виконання робіт під час створення КСЗІ здійснюється відповідно до вимог чинного законодавства, а в разі захисту інформації, що становить державну таємницю, з врахуванням вимог наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 червня 2015 року N 023, зареєстрованого в Міністерстві юстиції України 17 липня 2015 року за N 858/27303, та інших нормативних документів з технічного захисту інформації (далі - ТЗІ).
2. Організація та проведення робіт із захисту інформації в ІТС здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.
Служба захисту інформації утворюється згідно з рішенням керівника органу або підрозділу Національної поліції України, що є власником (розпорядником) ІТС.
У разі коли обсяг робіт, пов'язаних із захистом інформації в ІТС, є незначний, захист інформації може здійснюватися однією особою.
3. Роботи зі створення КСЗІ завершуються проведенням експертизи щодо відповідності КСЗІ вимогам нормативних документів з ТЗІ.
ІІІ. Порядок організації та проведення експертизи КСЗІ в ІТС
1. Експертиза у сфері ТЗІ проводиться згідно з цим Порядком з метою визначення відповідності КСЗІ технічному завданню, вимогам нормативних документів з ТЗІ та визначення можливості введення КСЗІ у складі ІТС в експлуатацію.
2. Експертиза КСЗІ в ІТС, де обробляється інформація, що становить державну таємницю, проводиться шляхом експертних випробувань.
3. Експертиза КСЗІ шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів з ТЗІ (далі - декларація) проводиться у випадку, якщо КСЗІ створено в ІТС, яка відповідно до чинного законодавства, класифікована як автоматизована система класу 1 і в якій передбачається обробка інформації, що не становить державну таємницю, і де використовуються засоби захисту інформації, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ.
4. Суб’єктами експертизи є:
замовник - орган або підрозділ Національної поліції України, що є власником (розпорядником) ІТС, який замовляє проведення експертизи;
організатор - підрозділ ТЗІ центрального органу управління Національної поліції України, який проводить експертизу;
працівники підрозділу ТЗІ центрального органу управління Національної поліції України, що є виконавцями експертних робіт з ТЗІ (далі - експерти).
5. Для проведення експертизи шляхом аналізу декларації замовник надсилає до Адміністрації Державної служби спеціального зв’язку та захисту інформації України декларацію, формуляр ІТС і акт про завершення робіт зі створення КСЗІ.
6. Для проведення підрозділом ТЗІ центрального органу управління Національної поліції України експертизи КСЗІ в ІТС шляхом експертних випробувань замовник надсилає на ім'я керівника підрозділу ТЗІ центрального органу управління Національної поліції України заяву про проведення експертизи комплексної системи захисту інформації в ІТС, формуляр ІТС та у разі необхідності іншу організаційно-технічну документацію на КСЗІ, яка визначається організатором експертизи.
7. За результатами розгляду заяви та матеріалів, які є додатками до неї, підрозділ ТЗІ центрального органу управління Національної поліції України у місячний строк приймає рішення про доцільність проведення експертизи.
8. У разі виявлення неповноти відомостей у наданих документах або невідповідності порядку створення КСЗІ вимогам нормативних документів з ТЗІ підрозділ ТЗІ центрального органу управління Національної поліції України повертає замовнику надані ним для проведення експертизи документи для доопрацювання.
9. Строк проведення експертизи не повинен перевищувати шести місяців.
10. Експерти, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначаються організатором експертизи.
11. Підрозділ ТЗІ центрального органу управління Національної поліції України проводить експертизу за програмою та методикою проведення експертизи, яка погоджується Департаментом технічного захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України.
12. Експертиза здійснюється безпосередньо на об’єкті експертизи за умови надання експертам організаційно-технічної документації на КСЗІ, доступу до приміщень, де розташовано технічні засоби ІТС, а також до програмно-апаратних засобів ІТС.
Під час проведення робіт ІТС має бути в робочому стані та здатною функціонувати за призначенням.
Експерти мають право в рамках проведення експертизи отримувати консультації у працівників органу або підрозділу Національної поліції України, які здійснювали пусконалагоджувальні роботи та роботи з ТЗІ в ІТС.
Для здійснення робіт з оцінки виконання вимог забезпечення режиму секретності в ІТС за пропозицією експертів до цих робіт можуть бути залучені працівники органу або підрозділу Національної поліції України, який експлуатує ІТС.
13. За результатами експертних робіт складається протокол виконання робіт, форма якого наведена в додатку 6 до Положення (далі - протокол виконання робіт), який підписується експертами, які виконували роботи, та затверджується керівником підрозділу ТЗІ центрального органу управління Національної поліції України.
У протоколі виконання робіт експерт має право викласти особливу думку щодо результатів виконаних ним робіт. Організатор може рекомендувати експерту здійснити редагування протоколів виконання робіт без зміни їх змісту (стилістичне редагування).
14. За результатами експертних робіт складається перелік виявлених недоліків та порушень (за їх наявності), а також зауважень щодо усунення зазначених недоліків та вдосконалення КСЗІ.
Якщо під час проведення експертизи виявлено недоліки, замовнику експертизи може бути запропоновано здійснити такі заходи:
оперативне усунення недоліків у процесі проведення експертизи;
припинення експертних робіт для усунення встановлених недоліків.
Після усунення недоліків проводиться перевірка цих робіт та завершення експертизи зі складанням протоколу виконання робіт.
15. За результатами експертизи складається експертний висновок, форма та зміст якого наведена в додатках 7, 8 до Положення (далі - експертний висновок), щодо відповідності КСЗІ вимогам нормативних документів з ТЗІ. Експертний висновок підписується експертами, що проводили експертизу, та затверджується керівником підрозділу ТЗІ центрального органу управління Національної поліції України.
16. Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколі виконання робіт, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.
IV. Порядок надання атестата відповідності
1. На підставі позитивного експертного висновку щодо відповідності КСЗІ вимогам нормативних документів з ТЗІ складається атестат відповідності, форма якого наведена в додатку 9 до Положення (далі - атестат відповідності), за підписом Голови Національної поліції України або його заступника відповідно до розподілу функціональних обов’язків.
2. Підрозділ ТЗІ центрального органу управління Національної поліції України забезпечує реєстрацію атестата відповідності в Адміністрації Державної служби спеціального зв’язку та захисту інформації України.
3. Замовнику експертизи надсилається атестат відповідності та експертний висновок.
4. Дозвіл на оброблення в ІТС інформації з обмеженим доступом надається керівником органу або підрозділу Національної поліції України, що експлуатує ІТС, на підставі атестата відповідності.
Директор Департаменту формування політики щодо
підконтрольних Міністрові органів влади та моніторингу МВС
В.Є. Боднар