УПРАВЛІННЯ ДЕРЖАВНОЇ ОХОРОНИ УКРАЇНИ
НАКАЗ
31.05.2018 N 222
Зареєстровано
в Міністерстві юстиції України
18 червня 2018 р. за N 728/32180
Про затвердження Порядку проведення державної експертизи в сфері
технічного захисту інформації в Управлінні державної охорони України
Відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку від 16 травня 2007 року N 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за N 820/14087 (зі змінами), з метою впорядкування діяльності, пов'язаної з проведенням державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України, наказую:
1. Затвердити Порядок проведення державної експертизи в сфері технічного захисту інформації в Управлінні державної охорони України, що додається.
2. Центру захисту інформації спільно зі Службою юридичного забезпечення надати цей наказ на державну реєстрацію у визначеному порядку.
3. Контроль за виконанням цього наказу залишаю за собою.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
Начальник Управління генерал-полковник В. В. Гелетей
Затверджено
Наказ Управління державної охорони України
31.05.2018 N 222
Зареєстровано
в Міністерстві юстиції України
18 червня 2018 р. за N 728/32180
Порядок
проведення державної експертизи в сфері технічного захисту інформації
в Управлінні державної охорони України
I. Загальні положення
1. Цей Порядок розроблено відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України 29 березня 2006 року N 373, Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України 16 травня 2007 року N 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за N 820/14087 (зі змінами) (далі - Положення N 93), та інших актів нормативно-технічного характеру щодо технічного захисту інформації (далі - ТЗІ).
2. Цей Порядок встановлює організаційні засади проведення Управлінням державної охорони України (далі - УДО України) державної експертизи в сфері ТЗІ комплексних систем захисту інформації (далі - КСЗІ) в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - ІТС), призначених для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.
3. Державна експертиза (далі - Експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки КСЗІ в ІТС підрозділів УДО України щодо їх відповідності вимогам нормативних документів щодо ТЗІ та можливості їх використання для забезпечення ТЗІ.
4. Суб'єктами проведення Експертизи в УДО України є:
організатор Експертизи - підрозділ захисту інформації УДО України (далі - Організатор);
замовник Експертизи - підрозділ УДО України, для потреб якого створюється об'єкт Експертизи (далі - Замовник);
експерти з питань ТЗІ (далі - Експерти) - військовослужбовці та працівники підрозділу захисту інформації УДО України, до службових обов'язків яких належить виконання завдань з проведення Експертизи КСЗІ в ІТС.
5. Об'єктом Експертизи згідно з цим Порядком є КСЗІ в ІТС, що призначені для обробки інформації, вимога щодо захисту якої встановлена законом, в підрозділах УДО України.
6. Дія цього Порядку не поширюється на такі об'єкти Експертизи:
1) технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану захисту інформації;
2) організаційно-технічне рішення на розгортання типової складової компоненти КСЗІ в ІТС (далі - ОТР КСЗІ) - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження.
Експертиза зазначених об'єктів має здійснюватися відповідно до вимог Положення N 93.
7. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів щодо ТЗІ, що проводиться шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів щодо ТЗІ (далі - декларація) або шляхом експертних випробувань.
8. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:
1) КСЗІ створено в ІТС:
що є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;
у кожний момент часу з якою може працювати тільки один користувач, при цьому осіб, що мають доступ до комплексу, може бути декілька;
у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі необхідності створення комплексу ТЗІ) засвідчено зареєстрованим в установленому порядку актом атестації комплексу ТЗІ;
2) КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та типову форму декларації для цієї ІТС у складі документації.
У всіх інших випадках Експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.
9. Організація роботи Експертів, координація заходів щодо об'єктивного і своєчасного проведення Експертизи КСЗІ в підрозділах УДО України, строків її проведення, формування програм і методик Експертизи, оформлення експертних висновків, атестатів відповідності та організація реєстрації атестатів відповідності або декларацій в Адміністрації Держспецзв'язку покладаються на підрозділ захисту інформації УДО України.
10. Організатор:
здійснює всі заходи, визначені цим Порядком, з метою організації і проведення Експертизи відповідно до цього Порядку та контролю за дотриманням вимог, що впливають на захищеність інформації;
складає пропозиції щодо розроблення та розробляє у встановленому порядку проекти організаційно-розпорядчих документів УДО України з питань проведення Експертизи.
11. Дія цього Порядку поширюється на Організатора, Експертів та Замовників.
12. Експертиза, що виконується відповідно до цього Порядку, є первинною або додатковою.
13. Список Експертів, які залучаються до виконання експертних робіт під час проведення конкретної Експертизи, визначається Організатором.
14. В якості Експертів забороняється залучати військовослужбовців та працівників УДО України, які брали участь у створенні КСЗІ, що є об'єктом Експертизи.
II. Порядок організації та проведення Експертизи шляхом експертних випробувань
1. З метою проведення Експертизи шляхом експертних випробувань Замовник складає та надає Організатору заяву (додаток 1) про проведення Експертизи КСЗІ ІТС (далі - заява), технічне завдання на створення КСЗІ в ІТС та формуляр ІТС.
2. За результатами розгляду наданих документів Організатор у місячний строк приймає рішення щодо доцільності проведення Експертизи та:
при позитивному рішенні складає проект організаційно-розпорядчого акта УДО України про проведення Експертизи, в якому визначаються Замовник, об'єкт Експертизи та Експерти, які проводитимуть Експертизу КСЗІ;
при негативному рішенні письмово повідомляє Замовника із зазначенням підстав (недоліків).
3. Строк проведення Експертизи визначається Організатором та не має перевищувати:
для КСЗІ в автоматизованих системах класу 1 - двох місяців;
для КСЗІ в автоматизованих системах класу 2 - чотирьох місяців;
для КСЗІ в автоматизованих системах класу 3 - шести місяців.
У випадку значного обсягу експертних робіт, необхідності узгодження документації щодо порядку та обсягу проведення експертних випробувань з Адміністрацією Держспецзв'язку або іншими власниками (розпорядниками) ІТС (для автоматизованих систем класу 2 та 3) термін проведення Експертизи може бути продовжений з повідомленням про це Організатором керівника УДО України відповідно до розподілу службових обов'язків та Замовника.
4. Замовник надає Організатору комплект технічної документації на об'єкт Експертизи, необхідної для проведення експертних випробувань.
5. Організатор за результатами аналізу наданих документів та з урахуванням загальних методик оцінювання реалізованих характеристик КСЗІ формує програму і методику проведення Експертизи.
У разі створення КСЗІ в ІТС за типовим технічним проектом проведення Експертизи такої КСЗІ дозволяється за типовою програмою та методикою.
Програма і методика проведення Експертизи затверджуються Начальником УДО України або його заступником відповідно до розподілу службових обов'язків.
У разі створення КСЗІ в автоматизованих системах класу 3, програма і методика проведення Експертизи погоджуються уповноваженим структурним підрозділом Адміністрації Держспецзв'язку.
6. Під час проведення Експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та відповідно до визначеної методики.
7. Результати експертних робіт оформлюються протоколом за підписом Експертів, які їх виконували. Форма протоколу наведена у додатку 7 до Положення N 93. Протокол затверджується Організатором та реєструється у встановленому законодавством порядку.
8. Узгодження результатів окремих експертних робіт між Експертом та Організатором, а також унесення змін до протоколу після його оформлення забороняються.
9. Організатор може рекомендувати Експерту здійснити лише стилістичне редагування протоколу виконаних експертних робіт без зміни його змісту.
10. У протоколі можуть бути зафіксовані особливі думки Експертів щодо результатів виконаних робіт.
11. У разі виявлення невідповідності об'єкта Експертизи вимогам нормативних документів щодо ТЗІ в процесі експертних робіт Організатор може надати Замовнику консультації з процедурних питань або запропонувати йому виконати доопрацювання об'єкта Експертизи чи документів на нього.
Відомості щодо всіх доопрацювань, а також результати додаткових експертних робіт оформлюються окремими протоколами.
12. Строк доопрацювання об'єкта Експертизи (документів) визначається спільним протоколом Організатора та Замовника.
13. Результати експертних робіт, викладені у протоколах, узагальнюються Організатором в експертному висновку.
Експертний висновок реєструється та підписується Організатором.
14. Висновки щодо кожного пункту методики, а також особливі думки Експертів, зафіксовані у протоколах, включаються до експертного висновку як складові частини без унесення до них будь-яких змін.
15. Експертний висновок має містити:
загальні відомості щодо об'єкта Експертизи (тип, місце розташування, власник);
загальну характеристику об'єкта Експертизи (призначення, функції, можливості);
вимоги нормативних документів щодо ТЗІ, на відповідність яким здійснюється оцінка об'єкта Експертизи;
назви програми та методики, згідно з якими здійснювалася оцінка об'єкта Експертизи, ким розроблені та затверджені, реєстраційний номер та дату затвердження;
перелік документів і специфікацій програмних та технічних засобів, які надано Замовником Організатору;
результати робіт щодо кожного пункту методики Експертизи об'єкта;
розгорнутий висновок щодо відповідності об'єкта Експертизи вимогам нормативних документів системи ТЗІ;
сферу використання (вимоги до умов експлуатації) об'єкта Експертизи;
строк дії експертного висновку;
особливі думки експертів, зафіксовані в протоколах.
16. На підставі позитивного експертного висновку Організатором складається атестат відповідності КСЗІ в ІТС вимогам нормативних документів щодо ТЗІ.
17. Атестат відповідності підписується Начальником УДО України або його заступником відповідно до розподілу службових обов'язків та скріплюється гербовою печаткою.
18. Для реєстрації Організатор подає до Адміністрації Держспецзв'язку атестат відповідності.
Адміністрація Держспецзв'язку реєструє атестат відповідності та повертає його до УДО України.
19. Строк дії атестата відповідності КСЗІ автоматизованої системи класу 1 є необмеженим.
Строк дії атестата відповідності КСЗІ автоматизованої системи класів 2, 3 визначається Організатором з урахуванням складності архітектури ІТС та засобів захисту, які використовуються при побудові КСЗІ, та не може перевищувати 5 років з моменту його реєстрації в Адміністрації Держспецзв'язку.
Строк дії експертного висновку визначається строком дії атестата відповідності.
20. Зареєстрований атестат відповідності зберігається у Організатора. Копію атестата відповідності та інші подані документи Організатор направляє Замовнику.
21. За неможливості проведення Експертизи власними силами УДО України може звернутися до Адміністрації Держспецзв'язку з метою організації Експертизи. Необхідні документи для такого звернення оформлюються Організатором.
III. Порядок організації та проведення Експертизи шляхом аналізу декларації
1. Для проведення Експертизи КСЗІ в ІТС шляхом аналізу декларації Замовник складає та надає Організатору декларацію про відповідність КСЗІ вимогам нормативних документів щодо ТЗІ, формуляр ІТС, акт про завершення робіт зі створення КСЗІ, акт атестації комплексу ТЗІ, зареєстрований в Адміністрації Держспецзв'язку (за необхідності створення комплексу ТЗІ).
Для проведення Експертизи КСЗІ в ІТС, що створена на основі ОТР КСЗІ, Замовник складає та надає Організатору декларацію про відповідність КСЗІ вимогам нормативних документів щодо ТЗІ та додатки до неї згідно із вимогами ОТР КСЗІ.
2. Експертиза КСЗІ в ІТС шляхом аналізу декларації проводиться Експертами, визначеними Організатором.
3. Експертиза КСЗІ в ІТС шляхом аналізу декларації проводиться в такому обсязі:
1) перевірка відповідності вимогам цього Порядку, а саме:
перевірка комплектності наданих документів на відповідність вимогам пункту 1 цього розділу;
перевірка форми наданої декларації на відповідність вимогам додатка 4 до Положення N 93;
перевірка відповідності об'єкта Експертизи вимогам підпункту 1 пункту 8 розділу I цього Порядку.
Невідповідність наданих документів будь-яким зазначеним вимогам унеможливлює проведення подальшої Експертизи КСЗІ шляхом аналізу декларації;
2) перевірка відповідності вимогам нормативних документів щодо ТЗІ:
перелік проектних, експлуатаційних і нормативно-технічних документів КСЗІ, наведений в декларації, має надавати можливість зробити висновок щодо відповідності їх номенклатури вимогам чинних нормативних документів з питань створення КСЗІ;
акт виконання робіт зі створення КСЗІ має відображати результати та висновки щодо виконання вимог нормативних документів стосовно переліку, етапності та змісту виконаних робіт під час створення КСЗІ;
форма та зміст формуляра ІТС мають відповідати вимогам чинних нормативних документів щодо ТЗІ. Усі компоненти (складові частини) комплексу засобів захисту КСЗІ мають бути відображені в формулярі ІТС.
4. Експертиза КСЗІ в ІТС, створеної на основі ОТР КСЗІ, проводиться в такому обсязі:
перевірка відповідності об'єкта Експертизи вимогам підпункту 2 пункту 8 розділу I цього Порядку;
перевірка комплектності та форми наданих документів на відповідність вимогам документації ОТР КСЗІ.
5. За позитивних результатів Експертизи декларація підписується Начальником УДО України або його заступником відповідно до розподілу службових обов'язків та скріплюється гербовою печаткою. Організатор здійснює заходи з реєстрації декларації в Адміністрації Держспецзв'язку.
6. Для реєстрації декларацій Організатор надає до Адміністрації Держспецзв'язку необхідні відомості про створення КСЗІ в ІТС за формою, наведеною у додатку 2 до цього Порядку.
Адміністрація Держспецзв'язку на підставі отриманих відомостей реєструє декларації та надає УДО України інформацію про реєстраційні номери та дати реєстрації.
Після отримання зазначених відомостей Організатор проставляє реєстраційний номер та дату реєстрації на декларації.
7. Строк дії зареєстрованої декларації є необмеженим.
8. Зареєстрована декларація зберігається у Організатора. Копію декларації та інші подані документи Організатор направляє Замовнику.
IV. Порядок зупинення дії експертного висновку, атестата відповідності
та скасування експертного висновку, атестата відповідності та декларації
1. Зареєстрована декларація або атестат відповідності КСЗІ скасовуються Адміністрацією Держспецзв'язку в разі внесення змін до КСЗІ, не передбачених техноробочим проектом на КСЗІ, та/або порушення вимог з експлуатації КСЗІ.
2. Рішення про зупинення дії експертного висновку та/або атестата відповідності КСЗІ приймається у разі, якщо після вжиття погоджених з Адміністрацією Держспецзв'язку коригувальних заходів, спрямованих на усунення виявлених недоліків, власник експертного висновку та/або атестата відповідності КСЗІ без проведення додаткової експертизи може підтвердити відповідність засобів ТЗІ/ОТР КСЗІ/КСЗІ вимогам нормативних документів. В інакшому випадку експертний висновок та/або атестат відповідності КСЗІ скасовуються.
Начальник Центру захисту інформації Управління державної охорони України полковник В. П. Зачепа
Додаток 1
до Порядку проведення державної
експертизи в сфері технічного захисту
інформації в Управлінні державної
охорони України
(пункт 1 розділу II)
Заява
Заява (Додаток 1) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".
Додаток 2
до Порядку проведення державної
експертизи в сфері технічного захисту
інформації в Управлінні державної
охорони України
(пункт 6 розділу III)
Відомості
про створення комплексної системи захисту інформації в інформаційно-телекомунікаційній
системі, що надаються для реєстрації декларацій про відповідність
комплексної системи захисту інформації
Номер реєстрації декларації про відповідність комплексної системи захисту інформації в Адміністрації Держспецзв'язку | Обліковий номер декларації про відповідність комплексної системи захисту інформації | Власник (розпорядник, користувач) інформаційно- телекомунікаційної системи |
Категорія об'єкта інформаційної діяльності / відомості про інформаційну діяльність на об'єкті інформаційної діяльності (обробка та/або озвучування інформації) | Назва та клас інформаційно- телекомунікаційної системи |
Виконавець атестації комплексу технічного захисту інформації та реєстраційний номер акта атестації комплексу технічного захисту інформації (у разі обробки секретної інформації) |