СЛУЖБА БЕЗПЕКИ УКРАЇНИ
ДЕПАРТАМЕНТ СПЕЦIАЛЬНИХ ТЕЛЕКОМУНIКАЦIЙНИХ
СИСТЕМ ТА ЗАХИСТУ IНФОРМАЦIЇ
НАКАЗ
| вiд 29 грудня 1999 року | N 62 |
|---|
Про затвердження Положення про державну
експертизу в сферi технiчного захисту iнформацiї
| Зареєстровано в Мiнiстерствi юстицiї України 24 сiчня 2000 р. за N 40/4261 |
Iз змiнами i доповненнями, внесеними
наказом Департаменту спецiальних
телекомунiкацiйних систем та захисту iнформацiї
Служби безпеки України
вiд 13 березня 2006 року N 25
З метою удосконалення дiяльностi
системи технiчного захисту iнформацiї в Українi в
напрямах, якi пов'язанi з оцiнкою ефективностi
заходiв щодо технiчного захисту iнформацiї,
вiдповiдно до Законiв України "Про
захист iнформацiї в
iнформацiйно-телекомунiкацiйних системах" та
"Про наукову i науково-технiчну експертизу",
Положення про технiчний захист iнформацiї в
Українi, затвердженого Указом Президента України
вiд 27 вересня 1999 року N 1229, та Концепцiї
технiчного захисту iнформацiї в Українi,
затвердженої постановою Кабiнету Мiнiстрiв
України вiд 8 жовтня 1997 року N 1126, наказую:
| (преамбула iз змiнами, внесеними згiдно з наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 13.03.2006 р. N 25) |
1. Затвердити Положення про державну експертизу в сферi технiчного захисту iнформацiї (додається).
2. Начальнику Головного управлiння технiчного захисту iнформацiї:
у встановленому порядку в п'ятиденний термiн подати на державну реєстрацiю наказ "Про затвердження Положення про державну експертизу в сферi технiчного захисту iнформацiї";
у мiсячний термiн розробити та подати на затвердження проект Положення про Експертну раду з питань державної експертизи у сферi технiчного захисту iнформацiї.
3. Контроль за виконанням цього наказу покласти на першого заступника керiвника Департаменту Барлабанова В. В.
| Заступник Голови Служби | Г. Лазарєв |
| ЗАТВЕРДЖЕНО наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 29 грудня 1999 р. N 62 |
|
| Зареєстровано в Мiнiстерствi юстицiї України 24 сiчня 2000 р. за N 40/4261 |
ПОЛОЖЕННЯ
про державну експертизу в сферi технiчного
захисту iнформацiї
1. Загальна частина
1.1. Це Положення розроблене вiдповiдно до Законiв України "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах", "Про наукову i науково-технiчну експертизу", Положення про технiчний захист iнформацiї в Українi, затвердженого Указом Президента України вiд 27 вересня 1999 року N 1229, Концепцiї технiчного захисту iнформацiї в Українi, затвердженої постановою Кабiнету Мiнiстрiв України вiд 8 жовтня 1997 року N 1126, iнших нормативно-правових актiв та нормативних документiв системи технiчного захисту iнформацiї в Українi й визначає порядок проведення експертизи в цiй сферi.
| (пункт 1.1 iз змiнами, внесеними згiдно з наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 13.03.2006 р. N 25) |
1.2. Державна експертиза в сферi технiчного захисту iнформацiї (далi - експертиза) проводиться з метою оцiнки захищеностi iнформацiї, яка обробляється або циркулює в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах, примiщеннях, iнженерно-технiчних спорудах тощо (далi - об'єкти iнформацiйної дiяльностi), та пiдготовки обґрунтованих висновкiв для прийняття вiдповiдних рiшень.
| (пункт 1.2 iз змiнами, внесеними згiдно з наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 13.03.2006 р. N 25) |
1.3. Дiя цього Положення поширюється на всiх юридичних та фiзичних осiб, якi належать до числа суб'єктiв експертизи.
Суб'єктами експертизи є:
юридичнi та фiзичнi особи, якi є замовниками експертизи (далi - замовники);
Департамент спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України (далi - Департамент), а також пiдприємства, установи та органiзацiї, якi проводять експертизу за його дорученням (далi - органiзатори);
фiзичнi особи - виконавцi експертних робiт з технiчного захисту iнформацiї (далi - експерти).
1.4. Об'єктами експертизи є:
комплекснi системи захисту iнформацiї (далi - КСЗI), кожна з яких є невiд'ємною складовою частиною конкретного об'єкта iнформацiйної дiяльностi i поєднує органiзацiйнi та iнженернi заходи, програмнi й технiчнi засоби, призначенi для попередження навмисних чи ненавмисних дiй щодо блокування iнформацiї, порушення її цiлiсностi або конфiденцiйностi;
окремi технiчнi та програмнi засоби, якi реалiзують функцiї технiчного захисту iнформацiї (далi - засоби забезпечення технiчного захисту iнформацiї, ЗТЗI).
1.5. КСЗI на об'єктах iнформацiйної дiяльностi, де обробляється iнформацiя, яка є власнiстю держави, або iнформацiя з обмеженим доступом, вимога щодо захисту якої встановлена законом, пiдлягають експертизi в обов'язковому порядку.
| (пункт 1.5 iз змiнами, внесеними згiдно з наказом Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 13.03.2006 р. N 25) |
1.6. Експертиза може бути первинною та контрольною.
Первинна експертиза є основним видом експертизи i передбачає виконання всiх потрiбних заходiв для пiдготовки та прийняття рiшення щодо об'єкта експертизи.
Контрольна експертиза провадиться iншим органiзатором: з iнiцiативи замовника, за наявностi в нього обґрунтованих претензiй до висновку первинної експертизи, або з iнiцiативи Департаменту - для перевiрки висновкiв первинної експертизи.
1.7. Департамент для органiзацiї та проведення експертизи:
розробляє необхiднi нормативно-правовi акти та нормативнi документи, що забезпечують проведення експертизи, iнформує органiзаторiв та експертiв про введення їх у дiю;
формує Реєстри органiзаторiв та експертiв;
реєструє заяви на проведення експертизи та надає замовниковi консультацiї з процедурних питань;
приймає рiшення щодо можливостi й доцiльностi проведення та органiзацiї експертизи, зокрема - контрольної;
реєструє, видає, призупиняє дiю або анулює документи, що засвiдчують рiшення щодо можливостi використання ЗТЗI чи вiдповiдностi КСЗI вимогам нормативних документiв з технiчного захисту iнформацiї;
здiйснює контроль за дотриманням тих вимог експлуатацiї об'єкта експертизи, недотримання яких впливає на захищенiсть iнформацiї.
2. Права та обов'язки суб'єктiв експертизи
2.1. Замовник експертизи має право:
використовувати без обмежень висновки, результати i матерiали експертизи у своїй дiяльностi, якщо iншого не передбачено договором на проведення експертизи;
заявляти клопотання про потребу проведення контрольної експертизи;
брати, за погодженням з органiзатором, участь у проведеннi експертних робiт.
2.2. Замовник експертизи зобов'язаний:
сприяти органiзатору в проведеннi всебiчного комплексного дослiдження об'єкта експертизи, виробленнi експертної оцiнки;
передавати в установленi договором термiни органiзатору потрiбнi матерiали, розрахунки, данi, додатковi вiдомостi, що стосуються об'єкта експертизи, та надавати потрiбне обладнання.
2.3. Результати, матерiали, висновки експертизи та створене або придбане за кошти замовника матерiально-технiчне забезпечення є його власнiстю, якщо iншого не передбачено договором мiж замовником i органiзатором.
2.4. Органiзатор експертизи має право:
здiйснювати всi потрiбнi заходи з метою органiзацiї та проведення експертизи вiдповiдно до положень договору iз замовником;
готувати пропозицiї щодо включення (виключення) фахiвцiв з питань технiчного захисту iнформацiї до (з) Реєстру експертiв;
готувати пропозицiї щодо розроблення та розробляти проекти нормативних документiв з питань проведення експертизи.
2.5. Органiзатор експертизи зобов'язаний:
забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;
за залучення Департаментом - розглядати проекти нормативних документiв щодо виконання експертних робiт i надавати змiстовнi, обґрунтованi пропозицiї та зауваження;
створювати умови, якi б забезпечували виконання вимог до конфiденцiйностi проведення експертизи, якщо це передбачено договором.
2.6. Експерт має право:
вiльно викладати в документах з експертизи особисту думку з питань експертизи, а також - особливi думки вiдносно результатiв виконання робiт;
вимагати вiд органiзатора надання достовiрних вiдомостей, матерiалiв та iнженерно-технiчного забезпечення, потрiбних для виконання експертних робiт та пiдготовки висновкiв;
вносити пропозицiї щодо вдосконалення форм i методiв проведення експертизи.
2.7. Експерт зобов'язаний:
об'єктивно, неупереджено та своєчасно виконувати експертнi роботи;
не допускати розголошення iнформацiї, яка мiститься у матерiалах та висновках експертизи;
пред'являти на вимогу замовника документи, якi пiдтверджують його досвiд та рiвень квалiфiкацiї.
2.8. Суб'єкти експертизи, виннi у скоєннi правопорушень, пов'язаних з проведенням експертизи, притягаються до вiдповiдальностi згiдно iз законодавством України.
3. Порядок органiзацiї та проведення експертизи
3.1. З метою координацiї заходiв та прийняття рiшень щодо проведення експертиз при Департаментi створюється Експертна рада з питань державної експертизи в сферi технiчного захисту iнформацiї (далi - Експертна рада), дiяльнiсть якої визначається вiдповiдним положенням про цей орган.
3.2. Для проведення експертизи замовник надсилає на iм'я керiвника Департаменту у двох примiрниках з копiєю на магнiтному носiї заяву про проведення експертизи комплексної системи захисту iнформацiї об'єкта iнформацiйної дiяльностi (додаток 1) або заяву про проведення експертизи засобу технiчного захисту iнформацiї (додаток 2).
3.3. За результатами розгляду заяви Експертна рада у мiсячний термiн приймає рiшення про доцiльнiсть проведення експертизи та визначає її органiзатора.
3.4. У разi наявностi у замовника обґрунтованих претензiй щодо результатiв або порядку проведення експертизи вiн може звернутися iз заявою на iм'я керiвника Департаменту (за формою, наведеною в додатках 3 та 4, вiдповiдно) про проведення контрольної експертизи.
3.5. Порядок подання та розгляду заяви замовника про проведення контрольної експертизи здiйснюється вiдповiдно до пп. 3.2, 3.3 цього Положення.
3.6. Основним юридичним документом, що регламентує вiдносини мiж замовником i органiзатором, є договiр на проведення експертизи.
3.7. Порядок фiнансування експертизи визначається вiдповiдно до законодавства України, а оплата витрат на проведення експертизи, оплата працi експертiв та послуг органiзаторiв здiйснюється на пiдставi договору.
3.8. Термiн проведення експертизи визначається договором i не повинен перевищувати шести мiсяцiв. Збiльшення термiну проведення експертизи допускається лише за узгодженням з Департаментом у випадку значного обсягу експертних робiт.
3.9. Питання оплати контрольної експертизи визначається у договорi на проведення експертизи.
3.10. Список експертiв, якi залучаються до виконання експертних робiт пiд час проведення конкретної експертизи, визначається органiзатором.
3.11. Замовник надає органiзатору визначений нормативними документами системи ТЗI комплект органiзацiйно-технiчної документацiї на об'єкт експертизи.
3.12. Органiзатор, за результатами аналiзу наданих документiв i з урахуванням загальних методик оцiнювання ефективностi ЗТЗI та КСЗI, формує програму i окремi методики проведення експертизи об'єкта та розробляє, у разi потреби, вiдповiдне програмно-технiчне забезпечення.
3.13. Програма проведення експертизи узгоджується iз замовником та Головним управлiнням ТЗI Департаменту, а окремi методики - з Головним управлiнням ТЗI Департаменту.
3.14. Термiни розроблення окремої методики та потрiбних програмно-апаратних засобiв залежать вiд характеру та складностi об'єкта експертизи i визначаються у договорi на проведення експертизи.
3.15. Пiд час проведення експертизи кожен експерт виконує тiльки дорученi органiзатором роботи, визначенi окремою методикою.
3.16. Результати роботи оформлюються у виглядi протоколу (додаток 5) за пiдписом експертiв, якi її виконували. Протокол затверджується органiзатором.
3.17. Органiзатор може рекомендувати експерту здiйснити лише стилiстичне редагування протоколiв виконаних робiт без змiни їх змiсту.
3.18. Узгодження результатiв окремих робiт мiж експертом та органiзатором, а також внесення змiн до протоколiв пiсля їх оформлення або поєднання результатiв окремих робiт в одному протоколi не дозволяється.
3.19. У протоколi можуть бути зафiксованi особливi думки експертiв щодо результатiв виконаних робiт.
3.20. У разi виявлення невiдповiдностi об'єкта експертизи вимогам нормативних документiв системи технiчного захисту iнформацiї органiзатор може запропонувати замовнику виконати доробку об'єкта.
3.21. Термiн доробки об'єкта експертизи визначається спiльним протоколом мiж замовником та органiзатором.
3.22. Вiдомостi щодо кожної з доробок, а також результати додаткових експертних робiт оформлюються окремими протоколами.
3.23. Результати робiт, визначених окремою методикою, узагальнюються органiзатором в експертному висновку.
3.24. Висновки щодо кожного пункту окремої методики, а також особливi думки експертiв, зафiксованi в протоколах, включаються до експертного висновку як складовi частини, без унесення до них будь-яких змiн.
3.25. За результатами проведених робiт органiзатор складає "Експертний висновок" (додатки 6, 7) щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв системи технiчного захисту iнформацiї, пiдписує його i подає до Департаменту.
4. Порядок надання "Експертного висновку" та "Атестата вiдповiдностi"
4.1. "Експертний висновок" розглядається Експертною радою i в разi затвердження результатiв експертизи реєструється та видається замовнику.
4.2. Наявнiсть позитивного рiшення щодо експертизи ЗТЗI є пiдставою для включення цього засобу до перелiку технiчних засобiв загального призначення, що дозволенi Департаментом для використання з метою технiчного захисту iнформацiї.
4.3. На пiдставi позитивного рiшення щодо експертизи КСЗI замовнику видається зареєстрований "Атестат вiдповiдностi" (додаток 8), який пiдписується керiвником (заступником керiвника) Департаменту.
4.4. Департамент має право призупинити або анулювати дiю "Експертного висновку" та "Атестата вiдповiдностi". Порядок призупинення або анулювання дiї зазначених документiв визначається окремим нормативно-правовим документом системи ТЗI.
| Заступник керiвника Департаменту - начальник ГУ ТЗI | I. Котельчук |
| Додаток 1 до п. 3.2 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
|
| Заступнику Голови Служби безпеки України | |
 |
Заява
про проведення експертизи комплексної системи
захисту iнформацiї об'єкта iнформацiйної
дiяльностi
| |
, |
| (назва об'єкта iнформацiйної дiяльностi) |
| що належить | |
| (назва органiзацiї, яка є власником (розпорядником) об'єкта iнформацiйної дiяльностi) |
| |
. |
| (юридична адреса органiзацiї) |
| Додаток: технiчне завдання на створення комплексної системи захисту iнформацiї зазначеного об'єкта iнформацiйної дiяльностi. |
| Замовник експертизи | |
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. | |||
| "___" __________________ _______ р. | |||
| Додаток 2 до п. 3.2 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
|
| Заступнику Голови Служби безпеки України | |
| |
Заява
про проведення експертизи засобу технiчного
захисту iнформацiї
| |
, |
| (назва засобу технiчного захисту iнформацiї) |
| наданого | |
| (назва органiзацiї-заявника) |
| |
. |
| (юридична адреса органiзацiї-заявника) |
| Потреба в проведеннi експертизи зумовлена: |
| |
| |
| |
| Додаток: технiчне завдання та/або паспорт (формуляр) на засiб технiчного захисту iнформацiї. |
| Замовник експертизи | |
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. | |||
| "___" __________________ _______ р. | |||
| Додаток 3 до п. 3.4 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
|
| Заступнику Голови Служби безпеки України | |
| |
Заява
про проведення контрольної експертизи
комплексної системи захисту iнформацiї об'єкта
iнформацiйної дiяльностi
| |
, |
| (назва об'єкта iнформацiйної дiяльностi) |
| що належить | |
| (назва органiзацiї, яка є власником об'єкта iнформацiйної дiяльностi) |
| |
. |
| (юридична адреса органiзацiї) |
| Потреба проведення контрольної експертизи зумовлена: |
| |
| |
| |
| |
| Додаток: експертний висновок первинної експертизи та технiчне завдання на створення комплексної системи захисту iнформацiї зазначеного об'єкта iнформацiйної дiяльностi. |
| Замовник експертизи | |
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. | |||
| "___" __________________ _______ р. | |||
| Додаток 4 до п. 3.4 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
|
| Заступнику Голови Служби безпеки України | |
| |
Заява
про проведення контрольної експертизи засобу
технiчного захисту iнформацiї
| |
, |
| (назва засобу технiчного захисту iнформацiї) |
| наданого | |
| (назва органiзацiї-заявника) |
| |
. |
| (юридична адреса органiзацiї-заявника) |
| Потреба у проведеннi контрольної експертизи обумовлена: |
| |
| |
| |
| |
| Додаток: експертний висновок первинної експертизи, технiчне завдання та/або паспорт (формуляр) на засiб технiчного захисту iнформацiї. |
| Замовник експертизи | |
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. | |||
| "___" __________________ _______ р. | |||
| Додаток 5 до п. 3.16 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
||
| ЗАТВЕРДЖУЮ | ||
| |
||
| (посада керiвника - органiзатора експертизи) | ||
| |
||
| (пiдпис) | (iнiцiали, прiзвище) | |
| М. П. | ||
| "___" __________________ _______ р. | ||
Протокол
виконання робiт вiдповiдно до пункту ____ окремої
методики експертизи комплексної системи (засобу)
технiчного захисту iнформацiї
| 1. Змiст пункту ___ окремої методики експертизи об'єкта |
| |
| |
| |
| 2. Перелiк документiв i специфiкацiї програмних та технiчних засобiв, наданих замовником для виконання робiт: |
| |
| |
| |
| 3. Результати робiт |
| |
| |
| 4. Висновок щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв системи ТЗI в обсязi функцiй, зазначених у паспортi (формулярi) на засiб захисту iнформацiї, технiчному завданнi на створення комплексної системи захисту iнформацiї |
| |
| |
| 5. Особлива думка експерта: |
| |
| |
| Експерти | |
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| "___" __________________ _______ р. | |||
| Додаток 6 до п. 3.25 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
ЕКСПЕРТНИЙ ВИСНОВОК
| Зареєстровано в Департаментi спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України | |||
| "___" __________________ _______ р. за N _______ | |||
| Дiйсний до "___" __________________ _______ р. | |||
| Керiвник Департаменту | |||
| |
|
||
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. | |||
| Результати експертизи свiдчать про те, що комплексна система (засiб) технiчного захисту iнформацiї в | |||
| |
, |
| (назва об'єкта iнформацiйної дiяльностi (засобу технiчного захисту iнформацiї)) |
| що належить (наданий на експертизу) | |
| (назва органiзацiї) |
| |
| (юридична адреса органiзацiї) |
| |
| ________________________ (вiдповiдає, не вiдповiдає) |
| вимогам нормативних документiв системи технiчного захисту iнформацiї в Українi в обсязi функцiй, зазначених у технiчному завданнi (паспортi або формулярi) N ______________. |
| Вимоги до умов експлуатацiї (сфера використання) об'єкта експертизи визначено у вiдповiдному роздiлi цього експертного висновку. |
| Керiвник органiзатора експертизи |
|
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. |
| Додаток 7 до п. 3.25 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
Змiст
експертного висновку
1. Загальнi вiдомостi щодо об'єкта iнформацiйної дiяльностi - тип, мiсцезнаходження, власник.
2. Загальна характеристика об'єкта експертизи (призначення, функцiї, можливостi).
3. Вимоги нормативних документiв системи ТЗI в Українi, на вiдповiднiсть яким оцiнюється об'єкт експертизи.
4. Назва окремої методики, згiдно з якою здiйснювалася оцiнка об'єкта експертизи, ким розроблена та затверджена, реєстрацiйний номер та дата затвердження.
5. Перелiк документiв i специфiкацiї програмних та технiчних засобiв, якi надано замовником органiзатору експертизи.
6. Результати робiт щодо кожного пункту окремої методики експертизи об'єкта.
7. Докладний висновок щодо вiдповiдностi об'єкта експертизи вимогам нормативних документiв системи ТЗI.
8. Сфера використання (вимоги до умов експлуатацiї) об'єкта експертизи.
9. Термiн дiї експертного висновку.
10. Особливi думки експертiв, зафiксованi в протоколах.
| Додаток 8 до п. 4.3 Положення про державну експертизу в сферi технiчного захисту iнформацiї |
ДЕПАРТАМЕНТ СПЕЦIАЛЬНИХ ТЕЛЕКОМУНIКАЦIЙНИХ СИСТЕМ ТА ЗАХИСТУ IНФОРМАЦIЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
СИСТЕМА ТЕХНIЧНОГО ЗАХИСТУ IНФОРМАЦIЇ
АТЕСТАТ ВIДПОВIДНОСТI
| Зареєстровано в Департаментi спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України | |
| "___" __________________ _______ р. за N _______ | |
| Дiйсний до "___" __________________ _______ р. | |
| Департамент спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України засвiдчує, що комплексна система захисту iнформацiї об'єкта iнформацiйної дiяльностi | |
| |
, |
| (назва об'єкта iнформацiйної дiяльностi) |
| що належить | |
| |
, |
| (юридична адреса органiзацiї) |
| забезпечує захист iнформацiї вiдповiдно до вимог нормативних документiв системи технiчного захисту iнформацiї в Українi. |
| Атестат видано на пiдставi експертного висновку, який додається до цього атестата i є його невiд'ємною частиною. |
| Вимоги до умов експлуатацiї об'єкта експертизи визначено у вiдповiдному роздiлi експертного висновку. |
| Керiвник Департаменту | |
|
|
| (пiдпис) | (iнiцiали, прiзвище) | ||
| М. П. |
 | Copyright © 2024 НТФ «Интес» Все права сохранены. |