Открытое тестирование
ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ
СИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
НАКАЗ
N 62 від 29.12.99
Зареєстровано
в Міністерстві юстиції України
24 січня 2000 р. за N 40/4261
(Наказ втратив чиність на підставі Наказу
Адміністрація Державної служби спеціального зв'язку та
захисту інформації України
від 16.05.2007 N 93)
Про затвердження Положення про державну
експертизу в сфері технічного захисту інформації
( Із змінами, внесеними згідно з Наказом Департаменту
спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України
N 25 від 13.03.2006 )
З метою удосконалення діяльності системи технічного захисту інформації в Україні в напрямах, які пов'язані з оцінкою ефективності заходів щодо технічного захисту інформації, відповідно до Законів України "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ) та "Про наукову і науково-технічну експертизу" ( 51/95-ВР ), Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229, та Концепції технічного захисту інформації в Україні, затвердженої постановою Кабінету Міністрів України від 8 жовтня 1997 року N 1126, наказую: ( Преамбула із змінами, внесеними згідно з Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України N 25 від 13.03.2006 )
1. Затвердити Положення про державну експертизу в сфері технічного захисту інформації (додається).
2. Начальнику Головного управління технічного захисту інформації:
у встановленому порядку в п'ятиденний термін подати на державну реєстрацію наказ "Про затвердження Положення про державну експертизу в сфері технічного захисту інформації";
у місячний термін розробити та подати на затвердження проект Положення про Експертну раду з питань державної експертизи у сфері технічного захисту інформації.
3. Контроль за виконанням цього наказу покласти на першого заступника керівника Департаменту Барлабанова В.В.
Заступник Голови Служби Г.Лазарєв
Затверджено
Наказ Департаменту спеціальних
телекомунікаційних систем та
захисту інформації Служби
безпеки України
від 29 грудня 1999 р. N 62
Зареєстровано
в Міністерстві юстиції України
24 січня 2000 р.за N 40/4261
Положення
про державну експертизу в сфері технічного захисту інформації
1. Загальна частина
1.1. Це Положення розроблене відповідно до Законів України "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), "Про наукову і науково-технічну експертизу" ( 51/95-ВР ), Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229, Концепції технічного захисту інформації в Україні, затвердженої постановою Кабінету Міністрів України від 8 жовтня 1997 року N 1126, інших нормативно-правових актів та нормативних документів системи технічного захисту інформації в Україні й визначає порядок проведення експертизи в цій сфері. ( Пункт 1.1 із змінами, внесеними згідно з Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України N 25 від 13.03.2006 )
1.2. Державна експертиза в сфері технічного захисту інформації (далі - експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі - об'єкти інформаційної діяльності), та підготовки обгрунтованих висновків для прийняття відповідних рішень. ( Пункт 1.2 із змінами, внесеними згідно з Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України N 25 від 13.03.2006 )
1.3. Дія цього Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.
Суб'єктами експертизи є:
юридичні та фізичні особи, які є замовниками експертизи (далі - замовники);
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі - організатори);
фізичні особи - виконавці експертних робіт з технічного захисту інформації (далі - експерти).
1.4. Об'єктами експертизи є:
комплексні системи захисту інформації (далі - КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;
окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі - засоби забезпечення технічного захисту інформації, ЗТЗІ).
1.5. КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку. ( Пункт 1.5 із змінами, внесеними згідно з Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України N 25 від 13.03.2006 )
1.6. Експертиза може бути первинною та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.
Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обгрунтованих претензій до висновку первинної експертизи, або з ініціативи Департаменту - для перевірки висновків первинної експертизи.
1.7. Департамент для організації та проведення експертизи:
розробляє необхідні нормативно-правові акти та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;
формує Реєстри організаторів та експертів;
реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;
приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема - контрольної;
реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;
здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.
2. Права та обов'язки суб'єктів експертизи
2.1. Замовник експертизи має право:
використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;
заявляти клопотання про потребу проведення контрольної експертизи;
брати, за погодженням з організатором, участь у проведенні експертних робіт.
2.2. Замовник експертизи зобов'язаний:
сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;
передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.
2.3. Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.
2.4. Організатор експертизи має право:
здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;
готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;
готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.
2.5. Організатор експертизи зобов'язаний:
забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;
за залучення Департаментом - розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обгрунтовані пропозиції та зауваження;
створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.
2.6. Експерт має право:
вільно викладати в документах з експертизи особисту думку з питань експертизи, а також - особливі думки відносно результатів виконання робіт;
вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;
вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.
2.7. Експерт зобов'язаний:
об'єктивно, неупереджено та своєчасно виконувати експертні роботи;
не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;
пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.
2.8. Суб'єкти експертизи, винні у скоєнні правопорушень, пов'язаних з проведенням експертизи, притягаються до відповідальності згідно із законодавством України.
3. Порядок організації та проведення експертизи
3.1. З метою координації заходів та прийняття рішень щодо проведення експертиз при Департаменті створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі - Експертна рада), діяльність якої визначається відповідним положенням про цей орган.
3.2. Для проведення експертизи замовник надсилає на ім'я керівника Департаменту у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності (додаток 1) або заяву про проведення експертизи засобу технічного захисту інформації (додаток 2).
3.3. За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора.
3.4. У разі наявності у замовника обгрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Департаменту (за формою, наведеною в додатках 3 та 4, відповідно) про проведення контрольної експертизи.
3.5. Порядок подання та розгляду заяви замовника про проведення контрольної експертизи здійснюється відповідно до пп.3.2, 3.3 цього Положення.
3.6. Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи.
3.7. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору.
3.8. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Департаментом у випадку значного обсягу експертних робіт.
3.9. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.
3.10. Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.
3.11. Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи.
3.12. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.
3.13. Програма проведення експертизи узгоджується із замовником та Головним управлінням ТЗІ Департаменту, а окремі методики - з Головним управлінням ТЗІ Департаменту.
3.14. Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи.
3.15. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою.
3.16. Результати роботи оформлюються у вигляді протоколу (додаток 5) за підписом експертів, які її виконували. Протокол затверджується організатором.
3.17. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.
3.18. Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється.
3.19. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт.
3.20. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.
3.21. Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором.
3.22. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.
3.23. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.
3.24. Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.
3.25. За результатами проведених робіт організатор складає "Експертний висновок" (додатки 6, 7) щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Департаменту.
4. Порядок надання "Експертного висновку" та
"Атестата відповідності"
4.1. "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.
4.2. Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Департаментом для використання з метою технічного захисту інформації.
4.3. На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності" (додаток 8), який підписується керівником (заступником керівника) Департаменту.
4.4. Департамент має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності". Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.
Заступник керівника Департаменту - начальник ГУ ТЗІ I.Котельчук
Додаток 1
до п.3.2 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки |
Додаток 2
до п.3.2 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки |
Додаток 3
до п.3.4 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки |
Додаток 4
до п.3.4 Положення про
державну експертизу в сфері
технічного захисту інформації
Заступнику Голови Служби безпеки |
Додаток 5
до п.3.16 Положення про державну
експертизу в сфері технічного
захисту інформації
ЗАТВЕРДЖУЮ |
Протокол |
Додаток 6
до п.3.25 Положення про
державну експертизу в сфері
технічного захисту інформації
Експертний висновок |
Зареєстровано в Департаменті спеціальних |
Результати експертизи свідчать про те, що комплексна система |
Додаток 7
до п.3.25 Положення про
державну експертизу в сфері
технічного захисту інформації
Зміст
експертного висновку
1. Загальні відомості щодо об'єкта інформаційної діяльності - тип, місцезнаходження, власник.
2. Загальна характеристика об'єкта експертизи (призначення, функції, можливості).
3. Вимоги нормативних документів системи ТЗІ в Україні, на відповідність яким оцінюється об'єкт експертизи.
4. Назва окремої методики, згідно з якою здійснювалася оцінка об'єкта експертизи, ким розроблена та затверджена, реєстраційний номер та дата затвердження.
5. Перелік документів і специфікації програмних та технічних засобів, які надано замовником організатору експертизи.
6. Результати робіт щодо кожного пункту окремої методики експертизи об'єкта.
7. Докладний висновок щодо відповідності об'єкта експертизи вимогам нормативних документів системи ТЗІ.
8. Сфера використання (вимоги до умов експлуатації) об'єкта експертизи.
9. Термін дії експертного висновку.
10. Особливі думки експертів, зафіксовані в протоколах.
Додаток 8
до п.4.3 Положення про
державну експертизу в сфері
технічного захисту інформації
(Герб України) |
ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ |
Атестат відповідності |