ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ
СИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
Н А К А З
N 62 від 29.12.99 Зареєстровано в Міністерстві
м.Київ юстиції України
24 січня 2000 р.
vd991229 vn62 за N 40/4261
Про затвердження Положення про державну
експертизу в сфері технічного захисту
інформації
З метою удосконалення діяльності системи технічного захисту
інформації в Україні в напрямах, які пов'язані з оцінкою
ефективності заходів щодо технічного захисту інформації,
відповідно до Законів України "Про захист інформації в
автоматизованих системах" ( 80/94-ВР ) та "Про наукову і
науково-технічну експертизу" ( 51/95-ВР ), Положення про технічний
захист інформації в Україні, затвердженого Указом Президента
України від 27 вересня 1999 року N 1229 ( 1229/99 ), та Концепції
технічного захисту інформації в Україні, затвердженої постановою
Кабінету Міністрів України від 8 жовтня 1997 року N 1126
( 1126-97-п ), Н А К А З У Ю:
1. Затвердити Положення про державну експертизу в сфері
технічного захисту інформації (додається).
2. Начальнику Головного управління технічного захисту
інформації:
у встановленому порядку в п'ятиденний термін подати на
державну реєстрацію наказ "Про затвердження Положення про державну
експертизу в сфері технічного захисту інформації";
у місячний термін розробити та подати на затвердження проект
Положення про Експертну раду з питань державної експертизи у сфері
технічного захисту інформації.
3. Контроль за виконанням цього наказу покласти на першого
заступника керівника Департаменту Барлабанова В.В.
Заступник Голови Служби Г.Лазарєв
Затверджено
Наказ Департаменту спеціальних
телекомунікаційних систем та
захисту інформації Служби
безпеки України
від 29 грудня 1999 р. N 62
Зареєстровано в Міністерстві
юстиції України
24 січня 2000 р.
за N 40/4261
Положення
про державну експертизу в сфері технічного захисту інформації
1. Загальна частина
1.1. Це Положення розроблене відповідно до Законів України
"Про захист інформації в автоматизованих системах" ( 80/94-ВР80/94-ВР ),
"Про наукову і науково-технічну експертизу" ( 51/95-ВР51/95-ВР ),
Положення про технічний захист інформації в Україні, затвердженого
Указом Президента України від 27 вересня 1999 року N 1229
( 1229/991229/99 ), Концепції технічного захисту інформації в Україні,
затвердженої постановою Кабінету Міністрів України від 8 жовтня
1997 року N 1126 ( 1126-97-п1126-97-п ), інших нормативно-правових актів та
нормативних документів системи технічного захисту інформації в
Україні й визначає порядок проведення експертизи в цій сфері.
1.2. Державна експертиза в сфері технічного захисту
інформації (далі - експертиза) проводиться з метою оцінки
захищеності інформації, яка обробляється або циркулює в
автоматизованих системах, комп'ютерних мережах, системах зв'язку,
приміщеннях, інженерно-технічних спорудах тощо (далі - об'єкти
інформаційної діяльності), та підготовки обгрунтованих висновків
для прийняття відповідних рішень.
1.3. Дія цього Положення поширюється на всіх юридичних та
фізичних осіб, які належать до числа суб'єктів експертизи.
Суб'єктами експертизи є:
юридичні та фізичні особи, які є замовниками експертизи
(далі - замовники);
Департамент спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України (далі - Департамент), а також
підприємства, установи та організації, які проводять експертизу за
його дорученням (далі - організатори);
фізичні особи - виконавці експертних робіт з технічного
захисту інформації (далі - експерти).
1.4. Об'єктами експертизи є:
комплексні системи захисту інформації (далі - КСЗІ), кожна з
яких є невід'ємною складовою частиною конкретного об'єкта
інформаційної діяльності і поєднує організаційні та інженерні
заходи, програмні й технічні засоби, призначені для попередження
навмисних чи ненавмисних дій щодо блокування інформації, порушення
її цілісності або конфіденційності;
окремі технічні та програмні засоби, які реалізують функції
технічного захисту інформації (далі - засоби забезпечення
технічного захисту інформації, ЗТЗІ).
1.5. КСЗІ на об'єктах інформаційної діяльності, де
обробляється інформація, яка є власністю держави або захист якої
гарантується державою, підлягають експертизі в обов'язковому
порядку.
1.6. Експертиза може бути первинною та контрольною.
Первинна експертиза є основним видом експертизи і передбачає
виконання всіх потрібних заходів для підготовки та прийняття
рішення щодо об'єкта експертизи.
Контрольна експертиза провадиться іншим організатором: з
ініціативи замовника, за наявності в нього обгрунтованих претензій
до висновку первинної експертизи, або з ініціативи Департаменту -
для перевірки висновків первинної експертизи.
1.7. Департамент для організації та проведення експертизи:
розробляє необхідні нормативно-правові акти та нормативні
документи, що забезпечують проведення експертизи, інформує
організаторів та експертів про введення їх у дію;
формує Реєстри організаторів та експертів;
реєструє заяви на проведення експертизи та надає замовникові
консультації з процедурних питань;
приймає рішення щодо можливості й доцільності проведення та
організації експертизи, зокрема - контрольної;
реєструє, видає, призупиняє дію або анулює документи, що
засвідчують рішення щодо можливості використання ЗТЗІ чи
відповідності КСЗІ вимогам нормативних документів з технічного
захисту інформації;
здійснює контроль за дотриманням тих вимог експлуатації
об'єкта експертизи, недотримання яких впливає на захищеність
інформації.
2. Права та обов'язки суб'єктів експертизи
2.1. Замовник експертизи має право:
використовувати без обмежень висновки, результати і матеріали
експертизи у своїй діяльності, якщо іншого не передбачено
договором на проведення експертизи;
заявляти клопотання про потребу проведення контрольної
експертизи;
брати, за погодженням з організатором, участь у проведенні
експертних робіт.
2.2. Замовник експертизи зобов'язаний:
сприяти організатору в проведенні всебічного комплексного
дослідження об'єкта експертизи, виробленні експертної оцінки;
передавати в установлені договором терміни організатору
потрібні матеріали, розрахунки, дані, додаткові відомості, що
стосуються об'єкта експертизи, та надавати потрібне обладнання.
2.3. Результати, матеріали, висновки експертизи та створене
або придбане за кошти замовника матеріально-технічне забезпечення
є його власністю, якщо іншого не передбачено договором між
замовником і організатором.
2.4. Організатор експертизи має право:
здійснювати всі потрібні заходи з метою організації та
проведення експертизи відповідно до положень договору із
замовником;
готувати пропозиції щодо включення (виключення) фахівців з
питань технічного захисту інформації до (з) Реєстру експертів;
готувати пропозиції щодо розроблення та розробляти проекти
нормативних документів з питань проведення експертизи.
2.5. Організатор експертизи зобов'язаний:
забезпечувати неупереджене, об'єктивне та своєчасне
проведення експертизи;
за залучення Департаментом - розглядати проекти нормативних
документів щодо виконання експертних робіт і надавати змістовні,
обгрунтовані пропозиції та зауваження;
створювати умови, які б забезпечували виконання вимог до
конфіденційності проведення експертизи, якщо це передбачено
договором.
2.6. Експерт має право:
вільно викладати в документах з експертизи особисту думку з
питань експертизи, а також - особливі думки відносно результатів
виконання робіт;
вимагати від організатора надання достовірних відомостей,
матеріалів та інженерно-технічного забезпечення, потрібних для
виконання експертних робіт та підготовки висновків;
вносити пропозиції щодо вдосконалення форм і методів
проведення експертизи.
2.7. Експерт зобов'язаний:
об'єктивно, неупереджено та своєчасно виконувати експертні
роботи;
не допускати розголошення інформації, яка міститься у
матеріалах та висновках експертизи;
пред'являти на вимогу замовника документи, які підтверджують
його досвід та рівень кваліфікації.
2.8. Суб'єкти експертизи, винні у скоєнні правопорушень,
пов'язаних з проведенням експертизи, притягаються до
відповідальності згідно із законодавством України.
3. Порядок організації та проведення експертизи
3.1. З метою координації заходів та прийняття рішень щодо
проведення експертиз при Департаменті створюється Експертна рада з
питань державної експертизи в сфері технічного захисту інформації
(далі - Експертна рада), діяльність якої визначається відповідним
положенням про цей орган.
3.2. Для проведення експертизи замовник надсилає на ім'я
керівника Департаменту у двох примірниках з копією на магнітному
носії заяву про проведення експертизи комплексної системи захисту
інформації об'єкта інформаційної діяльності (додаток 1) або заяву
про проведення експертизи засобу технічного захисту інформації
(додаток 2).
3.3. За результатами розгляду заяви Експертна рада у місячний
термін приймає рішення про доцільність проведення експертизи та
визначає її організатора.
3.4. У разі наявності у замовника обгрунтованих претензій
щодо результатів або порядку проведення експертизи він може
звернутися із заявою на ім'я керівника Департаменту (за формою,
наведеною в додатках 3 та 4, відповідно) про проведення
контрольної експертизи.
3.5. Порядок подання та розгляду заяви замовника про
проведення контрольної експертизи здійснюється відповідно до
пп.3.2, 3.3 цього Положення.
3.6. Основним юридичним документом, що регламентує відносини
між замовником і організатором, є договір на проведення
експертизи.
3.7. Порядок фінансування експертизи визначається відповідно
до законодавства України, а оплата витрат на проведення
експертизи, оплата праці експертів та послуг організаторів
здійснюється на підставі договору.
3.8. Термін проведення експертизи визначається договором і не
повинен перевищувати шести місяців. Збільшення терміну проведення
експертизи допускається лише за узгодженням з Департаментом у
випадку значного обсягу експертних робіт.
3.9. Питання оплати контрольної експертизи визначається у
договорі на проведення експертизи.
3.10. Список експертів, які залучаються до виконання
експертних робіт під час проведення конкретної експертизи,
визначається організатором.
3.11. Замовник надає організатору визначений нормативними
документами системи ТЗІ комплект організаційно-технічної
документації на об'єкт експертизи.
3.12. Організатор, за результатами аналізу наданих документів
і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та
КСЗІ, формує програму і окремі методики проведення експертизи
об'єкта та розробляє, у разі потреби, відповідне
програмно-технічне забезпечення.
3.13. Програма проведення експертизи узгоджується із
замовником та Головним управлінням ТЗІ Департаменту, а окремі
методики - з Головним управлінням ТЗІ Департаменту.
3.14. Терміни розроблення окремої методики та потрібних
програмно-апаратних засобів залежать від характеру та складності
об'єкта експертизи і визначаються у договорі на проведення
експертизи.
3.15. Під час проведення експертизи кожен експерт виконує
тільки доручені організатором роботи, визначені окремою методикою.
3.16. Результати роботи оформлюються у вигляді протоколу
(додаток 5) за підписом експертів, які її виконували. Протокол
затверджується організатором.
3.17. Організатор може рекомендувати експерту здійснити лише
стилістичне редагування протоколів виконаних робіт без зміни їх
змісту.
3.18. Узгодження результатів окремих робіт між експертом та
організатором, а також внесення змін до протоколів після їх
оформлення або поєднання результатів окремих робіт в одному
протоколі не дозволяється.
3.19. У протоколі можуть бути зафіксовані особливі думки
експертів щодо результатів виконаних робіт.
3.20. У разі виявлення невідповідності об'єкта експертизи
вимогам нормативних документів системи технічного захисту
інформації організатор може запропонувати замовнику виконати
доробку об'єкта.
3.21. Термін доробки об'єкта експертизи визначається спільним
протоколом між замовником та організатором.
3.22. Відомості щодо кожної з доробок, а також результати
додаткових експертних робіт оформлюються окремими протоколами.
3.23. Результати робіт, визначених окремою методикою,
узагальнюються організатором в експертному висновку.
3.24. Висновки щодо кожного пункту окремої методики, а також
особливі думки експертів, зафіксовані в протоколах, включаються до
експертного висновку як складові частини, без унесення до них
будь-яких змін.
3.25. За результатами проведених робіт організатор складає
"Експертний висновок" (додатки 6, 7) щодо відповідності об'єкта
експертизи вимогам нормативних документів системи технічного
захисту інформації, підписує його і подає до Департаменту.
4. Порядок надання "Експертного висновку" та "Атестата
відповідності"
4.1. "Експертний висновок" розглядається Експертною радою і в
разі затвердження результатів експертизи реєструється та видається
замовнику.
4.2. Наявність позитивного рішення щодо експертизи ЗТЗІ є
підставою для включення цього засобу до переліку технічних засобів
загального призначення, що дозволені Департаментом для
використання з метою технічного захисту інформації.
4.3. На підставі позитивного рішення щодо експертизи КСЗІ
замовнику видається зареєстрований "Атестат відповідності"
(додаток 8), який підписується керівником (заступником керівника)
Департаменту.
4.4. Департамент має право призупинити або анулювати дію
"Експертного висновку" та "Атестата відповідності". Порядок
призупинення або анулювання дії зазначених документів визначається
окремим нормативно-правовим документом системи ТЗІ.
Заступник керівника Департаменту -
начальник ГУ ТЗІ І.Котельчук
Додаток 1
до п.3.2 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки
України
________________________________
Заява
про проведення експертизи комплексної системи захисту інформації
об'єкта інформаційної діяльності
_________________________________________________________________,
(назва об'єкта інформаційної діяльності)
що належить ______________________________________________________
(назва організації, яка є власником (розпорядником)
__________________________________________________________________
об'єкта інформаційної діяльності)
_________________________________________________________________.
(юридична адреса організації)
Додаток: технічне завдання на створення комплексної системи
захисту інформації зазначеного об'єкта інформаційної діяльності.
Замовник
експертизи ________________ ____________________
(підпис) (ініціали, прізвище)
м.п.
"___" _____________ ____ р.
Додаток 2
до п.3.2 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки
України
________________________________
Заява
про проведення експертизи засобу технічного захисту інформації
_________________________________________________________________,
(назва засобу технічного захисту інформації)
наданого _________________________________________________________
(назва організації - заявника)
_________________________________________________________________.
(юридична адреса організації - заявника)
Потреба в проведенні експертизи зумовлена:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Додаток: технічне завдання та/або паспорт (формуляр) на засіб
технічного захисту інформації.
Замовник
експертизи __________________ ____________________
(підпис) (ініціали, прізвище)
м.п.
"___" ____________ ____ р.
Додаток 3
до п.3.4 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки
України
________________________________
Заява
про проведення контрольної експертизи комплексної системи захисту
інформації об'єкта інформаційної діяльності
_________________________________________________________________,
(назва об'єкта інформаційної діяльності)
що належить ______________________________________________________
(назва організації, яка є власником об'єкта
__________________________________________________________________
інформаційної діяльності)
_________________________________________________________________.
(юридична адреса організації)
Потреба проведення контрольної експертизи зумовлена:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Додаток: експертний висновок первинної експертизи та технічне
завдання на створення комплексної системи захисту інформації
зазначеного об'єкта інформаційної діяльності.
Замовник
експертизи __________________ ____________________
(підпис) (ініціали, прізвище)
м.п.
"___" ____________ ____ р.
Додаток 4
до п.3.4 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки
України
________________________________
Заява
про проведення контрольної експертизи засобу технічного захисту
інформації
_________________________________________________________________,
(назва засобу технічного захисту інформації)
наданого _________________________________________________________
(назва організації - заявника)
_________________________________________________________________.
(юридична адреса організації - заявника)
Потреба у проведенні контрольної експертизи обумовлена:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Додаток: експертний висновок первинної експертизи, технічне
завдання та/або паспорт (формуляр) на засіб технічного захисту
інформації.
Замовник
експертизи __________________ ____________________
(підпис) (ініціали, прізвище)
м.п.
"___" _____________ ____ р.
Додаток 5
до п.3.16 Положення про державну
експертизу в сфері технічного
захисту інформації
ЗАТВЕРДЖУЮ
________________________________
(посада керівника організатора
експертизи)
________________________________
(підпис) (ініціали, прізвище)
м.п.
"___" _______ ____ р.
Протокол
виконання робіт відповідно до пункту ____ окремої
методики експертизи комплексної системи (засобу)
технічного захисту інформації
1. Зміст пункту ___ окремої методики експертизи об'єкта
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
2. Перелік документів і специфікації програмних та технічних
засобів, наданих замовником для виконання робіт:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
3. Результати робіт
__________________________________________________________________
__________________________________________________________________
4. Висновок щодо відповідності об'єкта експертизи вимогам
нормативних документів системи ТЗІ в обсязі функцій, зазначених у
паспорті (формулярі) на засіб захисту інформації, технічному
завданні на створення комплексної системи захисту інформації
__________________________________________________________________
__________________________________________________________________
5. Особлива думка експерта:
__________________________________________________________________
__________________________________________________________________
Експерти ______________ ____________________
(підпис) (ініціали, прізвище)
"___" ____________ ____ р.
Додаток 6
до п.3.25 Положення про
державну експертизу в сфері
технічного захисту інформації
Експертний висновок
Зареєстровано в Департаменті спеціальних
телекомунікаційних систем та захисту
інформації Служби безпеки України
"___" ____________ ____ р. за N _______.
Дійсний до "___" ____________ ____ р.
Керівник Департаменту
__________ ____________________
(підпис) (ініціали, прізвище)
м.п.
Результати експертизи свідчать про те, що комплексна система
(засіб) технічного захисту інформації в
__________________________________________________________________
(назва об'єкта інформаційної діяльності (засобу технічного захисту
_________________________________________________________________,
інформації))
що належить (наданий на експертизу) ______________________________
(назва організації)
__________________________________________________________________
(юридична адреса організації)
_________________________________________________________________,
___________________________
(відповідає, не відповідає)
вимогам нормативних документів системи технічного захисту
інформації в Україні в обсязі функцій, зазначених у технічному
завданні (паспорті або формулярі) N ______________.
Вимоги до умов експлуатації (сфера використання) об'єкта
експертизи визначено у відповідному розділі цього експертного
висновку.
Керівник
організатора експертизи __________ ____________________
(підпис) (ініціали, прізвище)
м.п.
Додаток 7
до п.3.25 Положення про
державну експертизу в сфері
технічного захисту інформації
Зміст
експертного висновку
1. Загальні відомості щодо об'єкта інформаційної діяльності -
тип, місцезнаходження, власник.
2. Загальна характеристика об'єкта експертизи (призначення,
функції, можливості).
3. Вимоги нормативних документів системи ТЗІ в Україні, на
відповідність яким оцінюється об'єкт експертизи.
4. Назва окремої методики, згідно з якою здійснювалася оцінка
об'єкта експертизи, ким розроблена та затверджена, реєстраційний
номер та дата затвердження.
5. Перелік документів і специфікації програмних та технічних
засобів, які надано замовником організатору експертизи.
6. Результати робіт щодо кожного пункту окремої методики
експертизи об'єкта.
7. Докладний висновок щодо відповідності об'єкта експертизи
вимогам нормативних документів системи ТЗІ.
8. Сфера використання (вимоги до умов експлуатації) об'єкта
експертизи.
9. Термін дії експертного висновку.
10. Особливі думки експертів, зафіксовані в протоколах.
Додаток 8
до п.4.3 Положення про
державну експертизу в сфері
технічного захисту інформації
(Герб України)
ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ
СИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ
СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
СИСТЕМА ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Атестат відповідності
Зареєстровано в Департаменті спеціальних
телекомунікаційних систем та захисту
інформації Служби безпеки України
"___" ___________ ____ р. за N ________.
Дійсний до "___" ___________ ____ р.
Департамент спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України засвідчує, що комплексна система
захисту інформації об'єкта інформаційної діяльності
_________________________________________________________________,
(назва об'єкта інформаційної діяльності)
що належить ______________________________________________________
(назва організації, яка є власником (розпорядником)
__________________________________________________________________
об'єкта інформаційної діяльності)
_________________________________________________________________,
(юридична адреса організації)
забезпечує захист інформації відповідно до вимог нормативних
документів системи технічного захисту інформації в Україні.
Атестат видано на підставі експертного висновку, який
додається до цього атестата і є його невід'ємною частиною.
Вимоги до умов експлуатації об'єкта експертизи визначено у
відповідному розділі експертного висновку.
Керівник Департаменту ______________ ____________________
(підпис) (ініціали, прізвище)
м.п.