Наказ : Про затвердження Змін до Положення про державну експертизу в сфері технічного захисту інформації

АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ
10.10.2012 N 567

Зареєстровано
в Міністерстві юстиції України
6 листопада 2012 р. за N 1863/22175

Про затвердження Змін до Положення
про державну експертизу в сфері
технічного захисту інформації

Відповідно до Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717, з метою удосконалення державної експертизи в сфері технічного захисту інформації наказую:

1. Затвердити Зміни до Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року N 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за N 820/14087, що додаються.

2. Директору Департаменту технічного захисту інформації Адміністрації Держспецзв'язку забезпечити подання наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу функціональних обов'язків.

Голова Служби Г.А.Резніков

Затверджено
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
10.10.2012 N 567

Зареєстровано
в Міністерстві юстиції України
6 листопада 2012 р. за N 1863/22175

Зміни
до Положення про державну експертизу
в сфері технічного захисту інформації

1. У розділі 1:

1.1. Пункт 1.2 після слів "об'єктів експертизи щодо" доповнити словами "їх відповідності вимогам нормативних документів із технічного захисту інформації та".

1.2. Абзац третій пункту 1.3 викласти в такій редакції:

"юридичні та фізичні особи - власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі - Замовники);".

1.3. Після пункту 1.4 доповнити новими пунктами 1.5, 1.6 такого змісту:

"1.5. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів із ТЗІ і проводиться шляхом експертних випробувань або шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів із ТЗІ (далі - декларація).

Експертиза засобів ТЗІ проводиться шляхом експертних випробувань.

1.6. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

КСЗІ створено в ІТС, яка згідно з нормативним документом системи технічного захисту інформації НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу", затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 року N 22, класифікована як автоматизована система класу "1" і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці, і де використовуються засоби захисту інформації, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

закінчився строк дії атестата відповідності КСЗІ в ІТС вимогам нормативних документів із ТЗІ (далі - Атестат), яка згідно з нормативними документами із ТЗІ класифікується як автоматизована система класу "1" і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці.

У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.".

У зв'язку з цим пункти 1.5, 1.6 вважати відповідно пунктами 1.7, 1.8.

1.4. У пункті 1.8:

1.4.1. Абзац сьомий викласти в такій редакції:

"реєструє, видає, зупиняє дію або скасовує експертні висновки щодо можливості використання засобів ТЗІ (далі - Експертні висновки) та атестати".

1.4.2. Після абзацу сьомого доповнити новим абзацом такого змісту: "реєструє декларації, зупиняє дію або скасовує реєстрацію декларацій;".

У зв'язку з цим абзац восьмий вважати абзацом дев'ятим.

2. У розділі 3:

2.1. Пункти 3.1, 3.2 викласти в такій редакції:

"3.1. Для проведення експертизи шляхом експертних випробувань Замовник надсилає заяву на ім'я Голови (заступника Голови) Держспецзв'язку (крім випадків, передбачених у розділі 5 цього Положення) про проведення експертизи КСЗІ в ІТС (додаток 1) або засобу ТЗІ (додаток 2), а шляхом аналізу декларації - декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ (додаток 3), формуляр ІТС і акт про завершення робіт зі створення КСЗІ згідно з керівним документом із стандартизації РД 50-34.698-90 "Автоматизированные системы. Требования к содержанию документов".

3.2. З метою розгляду декларацій і заяв, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації створюється експертна рада з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна рада).".

2.2. Після пункту 3.2 доповнити новими пунктами 3.3-3.6 такого змісту:

"3.3. За результатами аналізу декларації і поданих разом із нею документів Експертна рада в місячний строк приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація повертає Замовнику.

3.4. У разі ненадання документів, зазначених у пункті 3.1 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам нормативних документів із ТЗІ Адміністрація в місячний строк повертає Замовнику декларацію для доопрацювання.

3.5. Адміністрація має право в установленому порядку зупинити дію декларації або скасувати її реєстрацію.

3.6. Строк дії зареєстрованої декларації є необмеженим. У разі внесення змін, не передбачених у технічному завданні на створення КСЗІ, Замовник зобов'язаний надіслати на ім'я Голови (заступника Голови) Держспецзв'язку декларацію в порядку, передбаченому в пункті 3.1 цього розділу.".

У зв'язку з цим пункти 3.3-3.25 вважати відповідно пунктами 3.7-3.29.

2.3. Пункт 3.29 після слів "підписує його і" доповнити словами "разом із протоколами виконання робіт".

3. У розділі 4:

3.1. Пункт 4.3 виключити.

У зв'язку з цим пункт 4.4 вважати пунктом 4.3.

3.2. Пункт 4.3 викласти в такій редакції:

"4.3. Адміністрація має правов установленому порядку зупинити дію або скасувати Експертний висновок або Атестат.".

4. У розділі 5:

4.1. Пункт 5.1 після абревіатур і слова "КСЗІ в ІТС" доповнити словами "шляхом експертних випробувань".

4.2. Абзац другий пункту 5.2 після слів "у сфері свого управління" доповнити словами "шляхом експертних випробувань".

5. Доповнити Положення новим додатком 3, що додається.

У зв'язку з цим додатки 3-8 уважати відповідно додатками 4-9. У тексті Положення посилання на додатки 3-8 замінити посиланнями відповідно на додатки 4-9.

Заступник директора Департаменту технічного захисту
інформації Адміністрації Держспецзв'язку О.С.Зубрицький

Додаток 3
до Положення про державну
експертизу в сфері
технічного захисту
інформації

                                      Зареєстровано
                                      адміністрації Державної
                                      служби спеціального зв'язку
                                      та захисту інформації
                                      України __.__.__ за N _____

                                      Голова (заступник Голови)
                                      Держспецзв'язку

                                      (підпис)       (ініціали,
                                                      прізвище)

                                      М.П.

                            ДЕКЛАРАЦІЯ
                  про відповідність КСЗІ вимогам
                  нормативних документів із ТЗІ

 ________________________________________________________________,
      (найменування організації, підприємства, установи або
              прізвище, ім'я та по батькові фізичної
   особи - власника (розпорядника) ІТС; ідентифікаційний код за
 ЄДРПОУ (реєстраційний номер облікової картки платника податків)

 в особі ________________________________________________________,
              (посада, прізвище, ім'я та по батькові керівника
         організації, підприємства, установи або прізвище, ім'я
      та по батькові фізичної особи - власника (розпорядника) ІТС

 підтверджує, що комплексна система захисту інформації
 ________________________________________________________________,
                        (повна назва ІТС)

 що належить
 ________________________________________________________________,
      (найменування організації, підприємства, установи або
     прізвище, ім'я та по батькові фізичної особи - власника
              (розпорядника) ІТС; місцезнаходження)

 забезпечує захист _________________________ інформації відповідно
                       (вид інформації
                     за порядком доступу)

 до вимог нормативних документів із технічного захисту  інформації
 в обсязі функцій, зазначених у технічному завданні N
 _________________________________________________________________

 Виконання робіт зі створення КСЗІ підтверджено такими проектними,
 експлуатаційними і розпорядчими документами
 _________________________________________________________________
                     (повні назви документів)

 Керівник організації,
 підприємства, установи
 або фізична особа - власник
 (розпорядник) ІТС            ____________  ______________________
                                (підпис)    (ініціали та прізвище)

     М.П.