АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
Н А К А З
22.04.2013 N 237
Зареєстровано в Міністерстві
юстиції України
24 травня 2013 р.
за N 806/23338

Про внесення змін до наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 23 червня 2008 року N 100

Відповідно до статті 3 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" (3475-15) , Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717 (717/2011) , з метою удосконалення системи криптографічного захисту інформації НАКАЗУЮ:
1. У преамбулі наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 23 червня 2008 року N 100 (z0651-08) "Про затвердження Положення про державну експертизу в сфері криптографічного захисту інформації", зареєстрованого в Міністерстві юстиції України 16 липня 2008 року за N 651/15342 (із змінами), слова та цифри "Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868" замінити словами та цифрами "Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717 (717/2011) ".
2. Затвердити Зміни до Положення про державну експертизу в сфері криптографічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 23 червня 2008 року N 100 (z0651-08) , зареєстрованого в Міністерстві юстиції України 16 липня 2008 року за N 651/15342 (із змінами), що додаються.
3. Директору Департаменту криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України у п'ятиденний строк після підписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.
5. Цей наказ набирає чинності з дня його офіційного опублікування.
Голова Служби
ПОГОДЖЕНО:
Міністр освіти і науки України
Голова Державної служби України
з питань регуляторної політики
та розвитку підприємництва
Г.А.Резніков
Д.В.Табачник
М.Ю.Бродський

ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
22.04.2013  N 237
Зареєстровано в Міністерстві
юстиції України
24 травня 2013 р.
за N 806/23338

ЗМІНИ

до Положення про державну експертизу в сфері криптографічного захисту інформації ( z0651-08 )

1. У розділі I:
1.1. У пункті 1.1 слова та цифри "Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868" замінити словами та цифрами "Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717 (717/2011) ".
1.2. Пункт 1.2 після слів "всіх форм власності" доповнити словами "(далі - підприємства, установи та організації)".
1.3. У пункті 1.3:
абзац третій викласти в такій редакції:
"державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є визначення за результатами аналізу матеріалів експертних (тематичних) досліджень відповідності об'єктів експертизи вимогам нормативних документів та (або) нормативно-правових актів у сфері КЗІ, оцінка рівня та механізмів захисту інформації об'єктом експертизи або науково-технічного рівня об'єкта експертизи, підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єкта експертизи за призначенням;";
абзац п'ятий викласти в такій редакції:
"експертні дослідження - дослідження та аналіз конкретних властивостей об'єкта експертизи, застосування якого передбачається для криптографічного захисту конфіденційної інформації, державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, з метою перевірки їх відповідності вимогам нормативних документів та (або) нормативно-правових актів, оцінки рівня та механізмів захисту інформації або його науково-технічного рівня;";
абзац сьомий після слів "щодо об'єкта експертизи" доповнити словами "(у тому числі програми та методики проведення досліджень, протоколи, звіти та рекомендації)";
доповнити пункт після абзацу сьомого новими абзацами восьмим - десятим такого змісту:
"обладнання КЗІ - обладнання, що функціонально взаємодіє або здійснює керування засобом КЗІ та відносно якого висуваються вимоги щодо побудови та експлуатації з метою унеможливлення впливу цього обладнання на якості засобу КЗІ;
спеціалізована організація - установа, організація чи підприємство, що здійснює тематичні дослідження криптографічних алгоритмів або засобів КЗІ та засобів спеціального зв'язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації;
тематичні дослідження - дослідження щодо встановлення відповідності засобів КЗІ та засобів спеціального зв'язку, які призначені для захисту інформації, що становить державну таємницю, або службової інформації, криптографічного алгоритму вимогам тактико-технічного завдання, нормативних документів у сфері КЗІ та вимогам із захисту від витоку інформації каналами побічних електромагнітних випромінювань і наведень.".
У зв'язку з цим абзац восьмий уважати відповідно абзацом одинадцятим;
абзац одинадцятий після слів і цифр "Указом Президента України від 22 травня 1998 року N 505" доповнити словами та цифрами ", Правилах посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року N 3 (z0104-05) , зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за N 104/10384, Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20 липня 2007 року N 141 (z0862-07) , зареєстрованому у Міністерстві юстиції України 30 липня 2007 року за N 862/14129 (із змінами)".
1.4. Пункт 1.4 викласти в такій редакції:
"1.4. Суб'єктами експертизи є:
замовники експертизи;
Адміністрація Держспецзв'язку;
експертні заклади;
спеціалізовані організації.".
1.5. У пункті 1.5:
абзац п'ятий викласти в такій редакції:
"алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключових даних;";
абзац шостий після слів "криптографічні системи, засоби та обладнання КЗІ" доповнити словами ", програмно-технічні комплекси центрів сертифікації ключів, надійні засоби електронного цифрового підпису (далі - криптографічні засоби)".
1.6. У пункті 1.6:
абзац третій після слів "для використання" доповнити словами "або як національні стандарти";
абзац четвертий викласти в такій редакції:
"алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключів;";
абзац п'ятий після слів "встановлена законом" доповнити словами ", програмно-технічні комплекси центрів сертифікації ключів, які передбачають акредитацію, надійні засоби електронного цифрового підпису";
доповнити пункт новим абзацом сьомим такого змісту:
"результати тематичних досліджень.".
1.7. Пункт 1.9 викласти в такій редакції:
"1.9. Експертні (тематичні) дослідження проводять експертні заклади (спеціалізовані організації) або Адміністрація Держспецзв'язку за договорами на проведення експертних (тематичних) досліджень.".
1.8. Доповнити розділ після пункту 1.10 новими пунктами 1.11-1.13 такого змісту:
"1.11. Результати експертних (тематичних) досліджень розглядаються Експертною комісією, за результатами чого Адміністрація Держспецзв'язку видає експертний висновок.
1.12. Експертна комісія підпорядковується Голові Держспецзв'язку.
1.13. Основними завданнями Експертної комісії є:
аналіз стану та розробка пропозицій щодо вдосконалення методології проведення експертних (тематичних) досліджень і процедур проведення експертизи їх результатів;
формування та розгляд пропозицій щодо розробки та вдосконалення нормативно-правових актів і нормативних документів з питань організації та проведення експертизи;
розгляд проектів програм і методик проведення експертних (тематичних) досліджень і прийняття рішення щодо їх затвердження та погодження;
розгляд висновків експертизи з метою оцінки їх повноти, об'єктивності, достовірності та інших характеристик;
аналіз та оцінка результатів експертних (тематичних) досліджень, інших документів і матеріалів, які необхідні для прийняття остаточного рішення за результатами експертизи;
формування пропозицій щодо надання (анулювання) експертних висновків;
підготовка пропозицій щодо погодження (затвердження) нормативної та технічної документації, що регламентує використання об'єктів експертизи;
розгляд питань щодо залучення підприємств, установ і організацій як експертних закладів (спеціалізованих організацій);
розгляд питань щодо залучення фахівців Держспецзв'язку, інших центральних органів виконавчої влади, підприємств, установ і організацій як експертів у сфері КЗІ;
розгляд питань (у разі потреби) щодо напрямів та обсягу експертних (тематичних) досліджень;
розгляд та узгодження питань, що виникають у сфері організації та під час проведення державної експертизи у сфері КЗІ.".
У зв'язку з цим пункти 1.11-1.14 уважати відповідно пунктами 1.14-1.17.
1.9. У пункті 1.16 слова "та експертні заклади" замінити словами ", експертні заклади та спеціалізовані організації".
2. У розділі II:
2.1. У пункті 2.1:
у підпункті 2.1.1:
абзац четвертий після слів "засоби та обладнання КЗІ," доповнити словами "програмно-технічні комплекси центрів сертифікації ключів, які передбачають акредитацію, надійні засоби електронного цифрового підпису,";
доповнити підпункт новими абзацами шостим та сьомим такого змісту:
"У складі комплекту документів на проведення державної експертизи криптографічних засобів вітчизняного виробництва, які виготовляються серійно, обов'язково подаються технічні умови, затверджені та зареєстровані в установленому порядку.
Для криптографічних засобів вітчизняного виробництва, які заплановано виготовляти серійно та які вперше подані на державну експертизу, подається погоджений замовником розробки криптографічного засобу проект технічних умов. За позитивними результатами державної експертизи проект технічних умов погоджується Адміністрацією Держспецзв'язку.";
доповнити пункт після підпункту 2.1.5 новим підпунктом 2.1.6 такого змісту:
"2.1.6. У разі визначення в заявці експертного закладу, що планується до проведення експертних досліджень вперше, до неї додатково додаються:
перелік фахівців, що мають проводити експертні дослідження, із зазначенням рівня їх освіти (який вищий навчальний заклад та в якому році закінчив, яка присвоєна кваліфікація, отримана спеціальність) і досвіду з розробки або досліджень у сфері криптографічного захисту інформації;
перелік матеріальних засобів (із зазначенням їх технічних характеристик), що призначені для проведення досліджень.".
У зв'язку з цим підпункти 2.1.6-2.1.12 уважати відповідно підпунктами 2.1.7-2.1.13;
підпункт 2.1.11 викласти в такій редакції:
"2.1.11. Про рішення Адміністрації Держспецзв'язку замовнику експертизи та експертному закладу протягом десяти днів після його прийняття надсилається письмове повідомлення.";
підпункт 2.1.12 після слів "проведення експертних" доповнити словами "(тематичних)", після слів "експертним закладом" доповнити словами "(спеціалізованою організацією)", після слів "отримання ними" доповнити словами "повідомлення про";
доповнити пункт новим підпунктом 2.1.14 такого змісту:
"2.1.14. Про передбачений договором термін завершення експертних (тематичних) досліджень замовник експертизи інформує Адміністрацію Держспецзв'язку.
Якщо цей договір не укладено протягом шести місяців, рішення Адміністрації Держспецзв'язку втрачає чинність. Повторне рішення Адміністрації Держспецзв'язку надається замовнику експертизи за його зверненням не раніше ніж через рік після оформлення попереднього рішення Адміністрації Держспецзв'язку.
Якщо зміни у законодавстві вимагають унесення змін до технічних умов на криптографічний засіб, замовник експертизи інформує про це Адміністрацію Держспецзв'язку та повторно подає заявку після унесення цих змін".
2.2. У пункті 2.2:
підпункт 2.2.2 викласти в такій редакції:
"2.2.2. Ідентифікація та відбір зразків об'єкта експертизи проводяться представниками Адміністрації Держспецзв'язку у присутності представників замовника та визначеного у рішенні Адміністрації Держспецзв'язку експертного закладу.";
підпункт 2.2.3 доповнити новим абзацом такого змісту:
"Для ідентифікації програмних криптографічних засобів (їх складових частин) застосовується програмне забезпечення для обчислення геш-функції об'єктів експертизи згідно з ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования", яке має позитивний експертний висновок у сфері КЗІ. При цьому в акті ідентифікації зразків вказується значення обраного стартового вектора та значення довгострокового ключового елемента, обраного з додатка 1 до Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженої наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 12 червня 2007 року N 114 (z0729-07) , зареєстрованої в Міністерстві юстиції України 25 червня 2007 року за N 729/13996 (із змінами), а також результат гешування (далі - значення щодо гешування)";
підпункти 2.2.5 та 2.2.6 викласти в такій редакції:
"2.2.5. Під час ідентифікації та відбору зразків перевіряються найменування об'єкта експертизи, комплектність, наявність необхідної технічної та (або) програмної документації, відповідність серійних (заводських) номерів зразків номерам, що зазначені в документації.
2.2.6. Відомості, що вказуються в актах приймання-передачі, які складаються під час передачі представником замовника та приймання представником експертної організації зразків об'єкта експертизи, технічної та експлуатаційної документації та надалі при їх поверненні, повинні відповідати відомостям, що вказуються в актах ідентифікації та відбору.";
у підпункті 2.2.7 слова "транспортувати нерентабельно або" замінити словами "не підлягає транспортуванню та/або".
2.3. У пункті 2.3:
підпункт 2.3.3 викласти в такій редакції:
"2.3.3. За результатами розгляду Експертною комісією програми затверджуються, а методики погоджуються керівником структурного підрозділу Адміністрації Держспецзв'язку, який організовує експертизу, або особою, яка виконує його обов'язки.";
підпункт 2.3.7 викласти в такій редакції:
"2.3.7. Підрозділ Адміністрації Держспецзв'язку, який організовує експертизу, протягом місяця з дня отримання протоколів експертних досліджень розглядає їх на предмет відповідності програмі та методиці проведення експертних досліджень, повноти, об'єктивності, достатності та інших характеристик, готує пропозиції та вносить їх на засідання Експертної комісії.";
підпункт 2.3.14 доповнити новими абзацами другим - четвертим такого змісту:
"На програмний криптографічний засіб, зазначений в абзаці сьомому підпункту 2.1.1 пункту 2.1 цього розділу, який виготовляється серійно, видається експертний висновок за відсутності технічних умов.
В експертному висновку на програмний (апаратно-програмний) криптографічний засіб наводиться значення щодо гешування такого засобу (програмного коду, його складових частин, програмних модулів тощо), яке здійснюється відповідно до підпункту 2.2.3 пункту 2.2 цього розділу.
Експертний висновок, виданий на конкретний програмний криптографічний засіб, поширюється на його копії, якщо результати їх гешування, обчислені із застосуванням програмного забезпечення, зазначеного в підпункті 2.2.3 пункту 2.2 цього розділу, збігаються з результатом гешування, наведеним в експертному висновку.";
доповнити пункт після підпункту 2.3.19 новим підпунктом 2.3.20 такого змісту:
"2.3.20. Експертний висновок може бути анульований за пропозицією Експертної комісії.".
У зв'язку з цим підпункти 2.3.20, 2.3.21 вважати відповідно підпунктами 2.3.21, 2.3.22;
підпункт 2.3.21 доповнити новим абзацом п'ятим такого змісту:
"виявлення факту надання недостовірної інформації в документах та матеріалах, що додаються до заявки на проведення державної експертизи, якщо така інформація мала значення для вирішення питання про надання позитивного експертного висновку на об'єкт експертизи.";
доповнити пункт після підпункту 2.3.21 новим підпунктом 2.3.22 такого змісту:
"2.3.22. У разі анулювання експертного висновку про це інформується замовник експертизи, який у свою чергу інформує органи державної влади та органи місцевого самоврядування, підприємства, установи та організації, яким надавався або за місцезнаходженням яких надсилався експертний висновок (його копії).".
У зв'язку з цим підпункт 2.3.22 вважати відповідно підпунктом 2.3.23.
3. Додаток 8 до Положення (z0651-08) викласти в новій редакції (додається).
Директор Департаменту
криптографічного захисту інформації
Адміністрації Державної служби
спеціального зв'язку
та захисту інформації України
А.І.Пушкарьов

Додаток 8
до Положення про державну
експертизу в сфері
криптографічного захисту
інформації
( z0651-08 )

ЕКСПЕРТНИЙ ВИСНОВОК

 Дата видачі: __.__. 20__   м. Київ   N ___________
 Виданий _________________________________________________________
                     (найменування юридичної особи,
                     ідентифікаційний код за ЄДРПОУ)
 на підставі  рішення  Експертної  комісії  з  питань   проведення
 державної  експертизи в сфері криптографічного захисту інформації
 Державної  служби  спеціального  зв'язку  та  захисту  інформації
 України, протокол від ___.___. 20___ N _____________.
 Об'єкт експертизи: ______________________________________________
                             (повна назва об'єкта експертизи)
 Розроблений (виготовлений) ______________________________________
                                 (найменування юридичної особи,
                                ідентифікаційний код за ЄДРПОУ)
 Експертний заклад _______________________________________________
                   (найменування та реквізити експертного закладу)
 Висновки: _______________________________________________________
 Особливі умови (рекомендації): __________________________________
 Термін дії експертного висновку - до ___.___. 20___.
 _________________________________________________________________
                  (посада, підпис, ініціали, прізвище)
 М.П.