Парус Iнтернет-Консультант

Открытое тестирование

Редакции

АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ
23.06.2008 N 100

Зареєстровано
в Міністерстві юстиції України
16 липня 2008 р. за N 651/15342

Про затвердження Положення про державну
експертизу в сфері криптографічного
захисту інформації

( Із змінами, внесеними згідно з
Наказом Адміністрації
Державної служби спеціального зв'язку
та захисту інформації
N 90 від 02.03.20
12 )

Відповідно до Законів України "Про наукову і науково-технічну експертизу" ( 51/95-ВР ), "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505, Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868, наказую:

1. Затвердити Положення про державну експертизу в сфері криптографічного захисту інформації, що додається.

2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 25.12.2000 N 62 "Про затвердження Положення про державну експертизу у сфері криптографічного захисту інформації", зареєстрований у Міністерстві юстиції України 12.01.2001 за N 9/5200.

3. Начальнику Департаменту регулювання діяльності в сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

Т.в.о Голови Служби Ю.В.Кіцул

Погоджено:

Голова Державного комітету України з питань
регуляторної політики та підприємництва К.Ващенко

Заступник Міністра юстиції України В.В.Лутковська

Заступник Міністра освіти і науки України М.В.Стріха

Голова Державного комітету України з питань
технічного регулювання та споживчої політики Л.В.Лосюк

Затверджено
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
23.06.2008 N 100

Зареєстровано
в Міністерстві юстиції України
16 липня 2008 р. за N 651/15342

Положення
про державну експертизу в сфері
криптографічного захисту інформації

I. Загальні положення

1.1. Це Положення, розроблене відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), "Про наукову і науково-технічну експертизу" ( 51/95-ВР ), "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505, Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868, установлює порядок організації та проведення державної експертизи у сфері криптографічного захисту інформації (далі - КЗІ) в Україні.

1.2. Вимоги цього Положення поширюються на органи державної влади та органи місцевого самоврядування, підприємства, установи та організації всіх форм власності, які здійснюють діяльність у галузі КЗІ та є суб'єктами експертизи.

1.3. Використані в цьому Положенні терміни вживаються в такому значенні:

верифікація - експертні дослідження, які здійснюються з метою установлення відповідності об'єкта експертизи зразку-свідку;

державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єктів експертизи та яка передбачає перевірку відповідності об'єктів експертизи вимогам нормативних документів та (або) нормативно-правових актів, оцінку рівня захисту інформації об'єктами експертизи або науково-технічного рівня об'єктів експертизи;

експертний висновок - документально оформлений результат експертизи, який надається Адміністрацією Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку) за проведеним аналізом результатів експертних досліджень;

експертні дослідження - дослідження та аналіз конкретних властивостей об'єкта експертизи з метою перевірки його відповідності вимогам нормативних документів та (або) нормативно-правових актів, оцінки рівня захисту інформації цим об'єктом або його науково-технічного рівня;

зразок-свідок - зразок об'єкта експертизи, який отримав позитивний експертний висновок та призначений для проведення верифікації інших зразків об'єкта експертизи на відповідність цьому зразку;

матеріали експертизи - усі матеріали та документи щодо об'єкта експертизи, які отримані або створені під час її проведення.

Інші терміни вживаються у значенні, наведеному в Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ), Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 року N 505.

1.4. Суб'єктами експертизи є:

замовники експертизи;

Адміністрація Держспецзв'язку;

експертні заклади.

Замовниками експертизи можуть бути юридичні особи, які зацікавлені в проведенні експертизи та замовляють (замовляли) проведення експертизи.

Експертними закладами можуть бути підприємства, установи та організації, які мають ліцензію на право провадження господарської діяльності в галузі КЗІ в частині робіт з експертизи криптографічних систем та засобів КЗІ.

1.5. Об'єктами експертизи є:

засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;

звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;

криптографічні алгоритми та протоколи;

методи, засоби та системи генерації, тестування та розподілу ключових даних;

криптографічні системи, засоби та обладнання КЗІ;

положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ.

1.6. Експертиза є обов'язковою або добровільною. Обов'язковій експертизі підлягають:

засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом; ( Абзац другий пункту 1.6 розділу І із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 90 від 02.03.2012 )

криптографічні алгоритми та криптографічні протоколи, які планується визначити як такі, що рекомендовані для використання;

методи, засоби та системи генерації, тестування та розподілу ключів;

криптосистеми, засоби й обладнання криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом; ( Абзац п'ятий пункту 1.6 розділу І із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 90 від 02.03.2012 )

криптосистеми, засоби та обладнання КЗІ іноземного виробництва, які підлягають експортному контролю.

1.7. Експертиза об'єктів, які не зазначені в пункті 1.6, є добровільною.

1.8. Організація експертизи здійснюється безкоштовно Адміністрацією Держспецзв'язку.

1.9. Експертні дослідження проводять експертні заклади або Адміністрація Держспецзв'язку за договорами на проведення експертних досліджень.

1.10. Для координації та здійснення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв'язку (далі - Експертна комісія).

1.11. Право власності на експертний висновок належить замовнику, якщо інше не передбачено законодавством України.

1.12. Поширення інформації з питань організації та проведення експертизи, яка надається Адміністрацією Держспецзв'язку іншим суб'єктам експертизи, здійснюється за погодженням з Адміністрацією Держспецзв'язку.

1.13. Адміністрація Держспецзв'язку та експертні заклади забезпечують конфіденційність інформації та дотримання авторських прав щодо наданих матеріалів.

1.14. Під час проведення експертизи поводження з інформацією з обмеженим доступом здійснюється відповідно до чинного законодавства України.

II. Порядок організації та проведення експертизи

2.1. Подання та розгляд заявки, укладання договорів

2.1.1. Для проведення експертизи таких об'єктів, як:

засоби, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ,

засоби та системи генерації, тестування і розподілу ключових даних;

криптографічні системи, засоби та обладнання КЗІ, замовник подає до Адміністрації Держспецзв'язку заявку на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 1). До заявки на експертизу перелічених вище об'єктів (далі - криптографічні засоби) додається комплект документів та матеріалів згідно з переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів вітчизняного виробництва (додаток 2), або переліком документів та матеріалів, необхідних для проведення експертизи криптографічних засобів іноземного виробництва (додаток 3).

З урахуванням особливостей криптографічних засобів зазначені вище переліки можуть уточнюватися.

2.1.2. Для проведення експертизи таких об'єктів, як:

методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;

звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;

криптографічні алгоритми та протоколи, методи генерації, тестування та розподілу ключових даних;

положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ, замовник експертизи подає до Адміністрації Держспецзв'язку заявку на проведення експертизи, відповідний об'єкт експертизи, а також документи та матеріали з обґрунтуванням змісту об'єкта експертизи.

2.1.3. Документи та матеріали на об'єкт експертизи надаються українською мовою.

2.1.4. Адміністрація Держспецзв'язку в місячний термін з дня отримання заявки розглядає її та здійснює аналіз наданих документів і матеріалів.

2.1.5. Під час аналізу наданих документів та матеріалів перевіряються:

наявність та достатність документів, матеріалів, зразків для проведення експертизи;

наявність документів, що підтверджують походження об'єкта експертизи, розміри партії криптографічних засобів;

перелік документів, матеріалів, спеціального устаткування для проведення експертних досліджень;

можливість ідентифікації криптографічних засобів;

достовірність, правильність оформлення та термін дії наданої замовником документації;

можливість експертних закладів проводити відповідні експертні дослідження.

2.1.6. Адміністрацією Держспецзв'язку може бути обґрунтовано визначено необхідність надання замовником додаткових документів, матеріалів, спеціального устаткування з урахуванням особливостей об'єкта експертизи, у тому числі особливостей реалізації криптографічного засобу, порядку та схеми проведення експертизи, мети проведення експертизи, можливості (необхідності) виходу з ладу або руйнації зразків криптографічного засобу, його габаритних показників тощо.

2.1.7. У разі невідповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку повідомляє замовника про відмову в проведенні експертизи та причини, через які проведення експертизи неможливе. Після усунення причин неможливості проведення експертизи замовник має право подати нову заявку.

2.1.8. У разі відповідності заявки вимогам підпунктів 2.1.1-2.1.3 пункту 2.1 цього Положення Адміністрація Держспецзв'язку готує рішення Адміністрації Держспецзв'язку за заявкою на проведення державної експертизи в сфері криптографічного захисту інформації (додаток 4) (далі - рішення Адміністрації Держспецзв'язку), у якому визначаються умови проведення експертизи, перелік додаткових документів та матеріалів, необхідних для проведення експертизи, схема проведення експертизи за варіантами схем проведення експертизи криптографічних засобів (додаток 5), а також експертний заклад.

2.1.9. Експертний заклад призначається Адміністрацією Держспецзв'язку з урахуванням пропозицій замовника.

2.1.10. Рішення Адміністрації Держспецзв'язку надсилається замовникові та експертному закладу.

2.1.11. Договір на проведення експертних досліджень між замовником та експертним закладом укладається після отримання ними рішення Адміністрації Держспецзв'язку.

2.1.12. У договорі обов'язково вказується:

предмет договору;

найменування сторін договору;

найменування об'єкта експертизи та його ідентифікаційні ознаки;

реєстраційний номер рішення Адміністрації Держспецзв'язку;

мета проведення експертних досліджень відповідно до рішення Адміністрації Держспецзв'язку, визначеного в підпункті 2.1.8 цього Положення;

умови забезпечення проведення експертних досліджень (у тому числі розробки, створення спеціального устаткування, передачі та (або) використання лабораторного, вимірювального та стендового обладнання, порядку та умов надання додаткових документів, матеріалів тощо);

термін проведення робіт за договором;

умови, що впливають на зміну або припинення договірних відносин;

вимоги до конфіденційності (обмеження доступу до інформації);

порядок передачі об'єктів експертизи між суб'єктами експертизи;

умови виходу з ладу або руйнації зразків криптографічного засобу та поводження з ними;

відповідальність за невиконання або неналежне виконання умов договору.

2.2. Відбір та ідентифікація зразків криптографічних засобів

2.2.1. Процедури відбору та ідентифікації зразків криптографічних засобів проводяться після ухвалення рішення Адміністрації Держспецзв'язку.

2.2.2. Ідентифікація та відбір зразків криптографічних засобів проводяться представниками Адміністрації Держспецзв'язку у присутності представника замовника та експертного закладу, які визначені у рішенні Адміністрації Держспецзв'язку.

2.2.3. Ідентифікація зразків оформлюється актом ідентифікації зразків для проведення державної експертизи у сфері криптографічного захисту інформації (додаток 6).

2.2.4. Відбір зразків оформлюється актом відбору зразків для проведення державної експертизи у сфері криптографічного захисту інформації (додаток 7).

2.2.5. Під час відбору зразків перевіряються найменування криптографічного засобу, комплектність, наявність необхідної технічної та (або) програмної документації, відповідність серійних (заводських) номерів зразків номерам, що зазначені в документації на криптографічний засіб.

2.2.6. Відібрані зразки разом з комплектом документів та матеріалів передаються Адміністрацією Держспецзв'язку до експертного закладу для проведення експертних досліджень.

2.2.7. Якщо криптографічний засіб транспортувати нерентабельно або він потребує монтажу на місці експлуатації, або під час експертних досліджень необхідно використовувати унікальне дослідницьке обладнання, допускається (за погодженням з Адміністрацією Держспецзв'язку) експертні дослідження проводити на підприємстві-виробнику криптографічного засобу.

2.3. Порядок проведення експертизи і підготовки експертного висновку

2.3.1. Експертні дослідження здійснюються експертними закладами або Адміністрацією Держспецзв'язку в порядку і в терміни, що передбачені договорами та цим Положенням. Для проведення експертних досліджень експертні заклади можуть на договірних засадах залучати фахівців, що не входять до постійного штату експертного закладу.

2.3.2. Для проведення експертних досліджень експертними закладами у місячний термін з моменту укладання договору на проведення досліджень та отримання об'єкта експертизи і необхідного комплекту документів розробляються програми та методики проведення експертних досліджень. Під час підготовки програм та методик експертні заклади можуть уточнити перелік необхідних для проведення досліджень документів, матеріалів та спеціального устаткування. Зазначений перелік погоджується з Адміністрацією Держспецзв'язку.

2.3.3. Програми затверджуються, а методики погоджуються керівником підрозділу Адміністрації Держспецзв'язку, який організовує експертизу.

2.3.4. Під час проведення експертних досліджень суб'єктами експертизи повинен забезпечуватися належний захист інформації з обмеженим доступом відповідно до вимог чинного законодавства України та договору на проведення експертних досліджень.

2.3.5. Замовник експертизи має право отримувати інформацію про хід експертизи.

2.3.6. За результатами експертних досліджень експертні заклади готують, затверджують та подають до Адміністрації Держспецзв'язку протоколи експертних досліджень. Зміст протоколів експертних досліджень повинен відповідати вимогам програми та методики проведення експертних досліджень.

2.3.7. Експертна комісія протягом місяця з дня отримання протоколів експертних досліджень розглядає їх на предмет відповідності програмі та методиці проведення експертних досліджень, повноти, об'єктивності, достатності та інших характеристик, а також готує рішення.

2.3.8. У разі невідповідності протоколів експертних досліджень програмі та методиці проведення експертних досліджень вони повертаються на доопрацювання до експертного закладу.

2.3.9. У разі відповідності протоколів експертних досліджень програмі та методиці проведення експертних досліджень на підставі рішення Експертної комісії Адміністрацією Держспецзв'язку готується та надсилається замовнику експертний висновок (додаток 8). Термін підготовки та надсилання замовнику експертного висновку не повинен перевищувати 20 робочих днів з дати ухвалення рішення Експертною комісією.

2.3.10. Повторне проведення експертизи може бути здійснено тільки після подання замовником нової заявки з укладанням нового договору на проведення експертних досліджень.

2.3.11. Після закінчення експертизи всі матеріальні цінності, у тому числі зразки-свідки, в обов'язковому порядку повертаються замовнику, який повинен забезпечити зберігання зразка-свідка протягом терміну дії експертного висновку в стані, що дає змогу його використання для верифікації.

2.3.12. Адміністрація Держспецзв'язку здійснює контроль за проведенням експертних досліджень, а також за виробництвом криптографічних засобів.

2.3.13. Термін дії експертного висновку визначається з урахуванням криптографічних якостей криптографічного засобу, терміну дії нормативних документів, умов та граничного терміну експлуатації криптографічного засобу, але не більше термінів, зазначених у додатку 5 до цього Положення.

2.3.14. Експертний висновок може бути виданий на один зразок криптографічного засобу, партію засобів, а також засіб, що виробляється серійно, за наявності технічних умов на нього.

2.3.15. Дія експертного висновку на криптографічні засоби, що виготовляються серійно, поширюється на всі засоби, які вироблені в період дії експертного висновку, з урахуванням гарантійного терміну їх експлуатації.

2.3.16. Дія експертного висновку може бути розповсюджена на зразки криптографічного засобу, що пройшли верифікацію. За результатами верифікації видається експертний висновок, термін дії якого не може перевищувати терміну дії експертного висновку, який розповсюджується на зразок-свідок цього засобу.

2.3.17. Експертні висновки, термін дії яких закінчився, утрачають чинність.

2.3.18. Для отримання експертного висновку на новий термін, з метою забезпечення безперервності використання об'єкта експертизи заявнику рекомендується не пізніше як за шість місяців до закінчення терміну дії діючого експертного висновку надіслати до Адміністрації Держспецзв'язку заявку за формою, наведеною в додатку 1 до цього Положення.

2.3.19. У разі виникнення необхідності внесення змін до об'єкта експертизи або в нормативні та інші документи на об'єкт експертизи, зміни технології виробництва криптографічних засобів замовник повинен письмово сповістити про це Адміністрацію Держспецзв'язку та надати відповідні матеріали з пояснювальною запискою щодо обґрунтування впливу змін на якості об'єкта експертизи. Адміністрація Держспецзв'язку за результатами аналізу наданих замовником матеріалів приймає рішення щодо надання дозволу на внесення змін або необхідності проведення експертизи. Про прийняте рішення Адміністрація Держспецзв'язку повідомляє замовника протягом місяця з дня отримання його повідомлення.

2.3.20. Підставами для анулювання Адміністрацією Держспецзв'язку експертного висновку є:

закінчення терміну дії експертного висновку;

несанкціоноване внесення змін в об'єкт експертизи або документацію на нього;

зміна (порушення) технології виробництва криптографічних засобів.

2.3.21. Оскарження результатів експертизи здійснюється відповідно до вимог законодавства України.

Начальник Департаменту регулювання діяльності
у сфері криптографічного захисту інформації Адміністрації Держспецзв'язку В.П.Грєбнєв

Додаток 1
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації
Адміністрація Державної
служби спеціального зв'язку
та захисту інформації
України

                              ЗАЯВКА
на проведення державної експертизи в сфері
криптографічного захисту інформації

 _________________________________________________________________
(найменування об'єкта експертизи)

_________________________________________________________________
(стислий опис об'єкта експертизи)

та призначений для ______________________________________________
(призначення об'єкта експертизи, галузь використання)

Просимо провести державну експертизу в сфері криптографічного

захисту інформації _______________________________________________
(найменування об'єкта експертизи)

з метою _________________________________________________________
(мета проведення експертизи)

Реквізити замовника: ____________________________________________
(місцезнаходження, поточний рахунок,
код за ЄДРПОУ, індивідуальний податковий
номер, номер свідоцтва платника податку)

Роботи з державної експертизи ___________________________________
(найменування об'єкта експертизи)

просимо провести ________________________________________________
(найменування експертного закладу)

Оплату робіт з проведення державної експертизи гарантуємо.

Документи та матеріали, що додаються:

Керівник підприємства ________ ___________________
(підпис) (ініціали, прізвище)

Головний бухгалтер ________ ___________________
(підпис) (ініціали, прізвище)

____.____. 20____

М.П.

Додаток 2
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

Перелік
документів та матеріалів, необхідних
для проведення експертизи криптографічних
засобів вітчизняного виробництва

1. Зразки криптографічних засобів.

2. Інструкція з експлуатації та вимоги до забезпечення безпеки інформації при використанні криптографічних систем або засобів КЗІ.

3. Опис системи генерації, тестування та розподілу ключів криптографічних систем або засобів КЗІ.

4. Опис інтерфейсів (протоколів).

5. Висновки відповідних органів державного контролю та нагляду (за наявності).

6. Результати проектних розрахунків, випробувань тощо.

7. Звіти про випробування.

8. Технічна документація на апаратні (апаратно-програмні) компоненти:

технічні завдання (згідно з ДСТУ 3973-2000 Система розроблення та поставлення продукції на виробництво. Правила виконання науково-дослідних робіт. Загальні положення, ДСТУ 3974-2000 Система розроблення та поставлення продукції на виробництво. Правила виконання дослідно-конструкторських робіт. Загальні положення) та технічні умови (згідно з ДСТУ 1.3:2004 "Національна стандартизація. Правила побудови, викладання, оформлення, погодження, прийняття та позначення технічних умов, ДСТУ - Н 4486:2005 Система конструкторської документації. Настанови щодо типової побудови технічних умов, ГОСТ 2.114-95 "Единая система конструкторской документации. Технические условия");

функціональні, принципові та монтажні схеми компонентів;

специфікація на елементну базу, у разі застосування спеціальної елементної бази - документація на спеціальну елементну базу;

опис методів перетворення мовного сигналу (для мовних пристроїв);

опис схемотехнічних рішень із забезпечення захисту від несанкціонованого доступу до критичної (ключової) інформації (за наявності);

опис змісту запам'ятовувальних пристроїв та відомості про можливість здійснення контролю цього змісту;

опис протоколів взаємодії складових частин (модулів) компонентів;

програмний імітатор роботи компонентів (за наявності).

9. Програмна документація на програмні компоненти:

технічне завдання (згідно з ГОСТ 19.201-78 "Единая система программной документации. Техническое задание. Требования к содержанию и оформлению");

технічні умови (згідно з ДСТУ 1.3:2004 Національна стандартизація. Правила побудови, викладання, оформлення, погодження, прийняття та позначення технічних умов (за потреби);

специфікація (згідно з ГОСТ 19.202-78 "Единая система программной документации. Спецификация. Требования к содержанию и оформлению");

тексти програм (згідно з ГОСТ 19.401-78 "Единая система программной документации. Текст программы. Требования к содержанию и оформлению");

описи програм (згідно з ГОСТ 19.402-78 "Единая система программной документации. Описание программы");

програма та методика випробувань (згідно з ГОСТ 19.301-79 "Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению");

настанова системного програміста (згідно з ГОСТ 19.503-79 "Единая система программной документации. Руководство системного программиста. Требования к содержанию и оформлению");

настанова програміста (згідно з ГОСТ 19.504-79 "Единая система программной документации. Руководство программиста. Требования к содержанию и оформлению");

настанова оператора (згідно з ГОСТ 19.505-79 "Единая система программной документации. Руководство оператора. Требования к содержанию и оформлению").

Додаток 3
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

Перелік
документів та матеріалів, необхідних
для проведення експертизи криптографічних
засобів іноземного виробництва

1. Зразки криптографічних засобів.

2. Документ виробника про гарантії та відповідність криптографічних засобів вимогам чинних нормативних документів.

3. Документи, що підтверджують походження криптографічних систем або засобів КЗІ.

4. Висновки відповідних органів державного контролю та нагляду (за наявності).

5. Сертифікати відповідності, інші документи, які підтверджують властивості криптографічних засобів, видані іноземними відомствами та органами, матеріали та результати випробувань (за наявності).

6. Нормативні документи (стандарти, технічні умови, специфікації тощо), які встановлюють вимоги до криптографічних засобів.

7. Настанова користувача та технічні вимоги до забезпечення безпеки інформації при використанні криптографічних засобів.

8. Опис усіх застосованих у криптографічних засобах алгоритмів криптографічних перетворень та криптопротоколів.

9. Опис системи генерації, тестування та розподілу ключів.

10. Опис зовнішніх протоколів роботи криптографічних засобів.

11. Технічна документація на апаратні компоненти криптографічних засобів:

функціональні, принципові та монтажні схеми компонентів;

специфікація на елементну базу, у разі застосування спеціальної елементної бази - документація на спеціальну елементну базу;

опис методів перетворення мовного сигналу (для мовних пристроїв);

опис схемотехнічних рішень із забезпечення захисту від несанкціонованого доступу до критичної (ключової) інформації (за наявності);

опис змісту запам'ятовувальних пристроїв та відомості про можливість здійснення контролю цього змісту;

опис протоколів взаємодії складових частин (модулів) компонентів;

програмний імітатор роботи компонентів (за наявності).

12. Документація на програмні компоненти криптографічних засобів:

специфікація;

описи та тексти програм;

програма та методика випробувань;

настанова системного програміста;

настанова програміста;

настанова оператора.

Додаток 4
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

                             РІШЕННЯ
Адміністрації Держспецзв'язку за заявкою
на проведення державної експертизи
в сфері криптографічного захисту інформації

 ____.____. 20___                     N ________

 Розглянувши заявку ______________________________________________
(найменування замовника)

N __________ від ___________ на проведення державної експертизи в
(реєстраційний номер) (дата)

сфері криптографічного захисту інформації________________________,
(назва об'єкта експертизи)

Адміністрація Держспецзв'язку вирішила:

1. Державна експертиза у сфері криптографічного захисту

інформації буде проведена ________________________________________
(мета проведення експертизи, схема проведення експертизи)

2. Ідентифікацію та відбір зразків об'єкта експертизи

провести _________________________________________________________
(терміни та інші умови відбору зразків)

_________________________________________________________________
(посада, підпис, ініціали, прізвище)

М.П.

Додаток 5
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

                          ВАРІАНТИ СХЕМ
проведення експертизи криптографічних засобів

------------------------------------------------------------------
| Засоби, що | Контроль за | Експертні | Документ, що |
| проходять | виробництвом | дослідження | видається, |
| експертизу | | |термін його дії|
|----------------+---------------+---------------+---------------|
|Одиночні засоби |Не проводиться |Здійснюються |Експертний |
| | |для кожного |висновок на |
| | |засобу |кожний засіб |
| | | |терміном дії до|
| | | |3 років |
|----------------+---------------+---------------+---------------|
|Партія засобів |Не проводиться |Здійснюються |Експертний |
| | |для засобів, |висновок на |
| | |відібраних у |партію засобів |
| | |порядку та |терміном дії до|
| | |кількості, |3 років |
| | |визначених | |
| | |Адміністрацією | |
| | |Держспецзв'язку| |
|----------------+---------------+---------------+---------------|
|Засоби, що |Здійснюється |Здійснюються |Експертний |
|виготовляються | |для засобів, |висновок на |
|серійно | |відібраних у |засоби, що |
| | |порядку та |виготовлені |
| | |кількості, |серійно, |
| | |визначених |терміном дії |
| | |Адміністрацією |до 5 років |
| | |Держспецзв'язку| |
------------------------------------------------------------------

Додаток 6
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

                               АКТ
ідентифікації зразків для проведення
державної експертизи в сфері
криптографічного захисту інформації

 ____.____. 20___                     N _____

 Представником Адміністрації Держспецзв'язку ____________________,
(посада, прізвище, ініціали)

представником експертного закладу ______________________________,
(посада, прізвище, ініціали)

у присутності представника замовника ____________________________
(посада, прізвище, ініціали)

відповідно до рішення N_____ від _________ .____.20____ проведено

ідентифікацію ____________________________________________________
(найменування об'єкта експертизи)

Результати ідентифікації наведено в додатку.

Представник Адміністрації
Держспецзв'язку _________ ___________________
(підпис) (ініціали, прізвище)

Представник замовника _________ ___________________
(підпис) (ініціали, прізвище)

Представник експертного
закладу _________ ___________________
(підпис) (ініціали, прізвище)

Додаток 7
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

                               АКТ
відбору зразків для проведення державної
експертизи в сфері криптографічного
захисту інформації

 ____.____. 20___                     N ______

 На ______________________________________________________________
(найменування замовника, код за ЄДРПОУ, місце відбору зразків)

мною, __________________________________________________________,
(прізвище, ініціали представника
Адміністрації Держспецзв'язку)

відібрані зразки ________________________________________________
(найменування об'єкта експертизи)

відповідно до рішення N ________ від "___"________ 20___

за заявкою N________ від "___"________ 20___

--------------------------------------------------------------------------
| Назва |Одиниця| Розмір |Кількість |Номери | Дата |Примітка|
|продукції, |виміру | партії |відібраних|зразків|виготовлення| |
| виробник | |(кількість)| зразків | | | |
|(розробник)| | | | | | |
|-----------+-------+-----------+----------+-------+------------+--------|
| | | | | | | |
--------------------------------------------------------------------------

Стан зразків ____________________________________________________
(у технологічній упаковці, у транспортній тарі)

Під час відбору встановлено:
наявність (відсутність) технічного завдання або технічних
умов;
найменування зразків відповідають (не відповідають) наведеним
у технічному завданні, технічних умовах або заявці найменуванням;
комплектність зразків відповідає (не відповідає) технічному
завданню, технічним умовам;
серійні номери зразків відповідають (не відповідають)
номерам, які зазначені в документації зразків.

Документація ____________________________________________________
(наводиться перелік)

Представник Адміністрації
Держспецзв'язку ________ ____________________
(підпис) (ініціали, прізвище)

Представник замовника ________ ____________________
(підпис) (ініціали, прізвище)

Додаток 8
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації

                       ЕКСПЕРТНИЙ ВИСНОВОК

 Дата видачі:                м. Київ            N ________

 Виданий _________________________________________________________
(найменування юридичної особи,
ідентифікаційний код за ЄДРПОУ)

 на підставі   рішення  Експертної  комісії  з  питань  проведення
державної експертизи в сфері криптографічного захисту інформації
Державної служби спеціального зв'язку та захисту інформації
України, протокол N ___________ від ___. ___. 20___.

Об'єкт експертизи: ______________________________________________
(повна назва об'єкта експертизи)

Розроблений
(виготовлений) __________________________________________________
(найменування юридичної особи,
ідентифікаційний код за ЄДРПОУ)

Експертний заклад _______________________________________________
(найменування та реквізити експертного закладу)

Висновки: _______________________________________________________
Рекомендації: ___________________________________________________
Особливі умови: _________________________________________________

Термін дії експертного висновку з__.__.20__ до __.__.20__

_________________________________________________________________
(посада, підпис, ініціали, прізвище)

М.П.