АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
Н А К А З
Зареєстровано в Міністерстві
юстиції України
6 листопада 2012 р.
за N 1863/22175
Про затвердження Змін до Положення про державну експертизу в сфері технічного захисту інформації
Відповідно до Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717 (
717/2011)
, з метою удосконалення державної експертизи в сфері технічного захисту інформації НАКАЗУЮ:
1. Затвердити Зміни до Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року N 93 (
z0820-07)
, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за N 820/14087, що додаються.
2. Директору Департаменту технічного захисту інформації Адміністрації Держспецзв'язку забезпечити подання наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу функціональних обов'язків.
Голова Служби
|
Г.А.Резніков
|
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
10.10.2012 N 567
Зареєстровано в Міністерстві
юстиції України
6 листопада 2012 р.
за N 1863/22175
ЗМІНИ
до Положення про державну експертизу в сфері технічного захисту інформації ( z0820-07 )
1. У розділі 1:
1.1. Пункт 1.2 після слів "об'єктів експертизи щодо" доповнити словами "їх відповідності вимогам нормативних документів із технічного захисту інформації та".
1.2. Абзац третій пункту 1.3 викласти в такій редакції:
"юридичні та фізичні особи - власники (розпорядники) інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі - Замовники);".
1.3. Після пункту 1.4 доповнити новими пунктами 1.5, 1.6 такого змісту:
"1.5. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів із ТЗІ і проводиться шляхом експертних випробувань або шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів із ТЗІ (далі - декларація).
Експертиза засобів ТЗІ проводиться шляхом експертних випробувань.
1.6. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:
КСЗІ створено в ІТС, яка згідно з нормативним документом системи технічного захисту інформації НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу", затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 року N 22, класифікована як автоматизована система класу "1" і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці, і де використовуються засоби захисту інформації, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
закінчився строк дії атестата відповідності КСЗІ в ІТС вимогам нормативних документів із ТЗІ (далі - Атестат), яка згідно з нормативними документами із ТЗІ класифікується як автоматизована система класу "1" і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці.
У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.".
У зв'язку з цим пункти 1.5, 1.6 вважати відповідно пунктами 1.7, 1.8.
1.4. У пункті 1.8:
1.4.1. Абзац сьомий викласти в такій редакції:
"реєструє, видає, зупиняє дію або скасовує експертні висновки щодо можливості використання засобів ТЗІ (далі - Експертні висновки) та атестати".
1.4.2. Після абзацу сьомого доповнити новим абзацом такого змісту: "реєструє декларації, зупиняє дію або скасовує реєстрацію декларацій;".
У зв'язку з цим абзац восьмий вважати абзацом дев'ятим.
2. У розділі 3:
2.1. Пункти 3.1, 3.2 викласти в такій редакції:
"3.1. Для проведення експертизи шляхом експертних випробувань Замовник надсилає заяву на ім'я Голови (заступника Голови) Держспецзв'язку (крім випадків, передбачених у розділі 5 цього Положення) про проведення експертизи КСЗІ в ІТС (додаток 1) або засобу ТЗІ (додаток 2), а шляхом аналізу декларації - декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ (додаток 3), формуляр ІТС і акт про завершення робіт зі створення КСЗІ згідно з керівним документом із стандартизації РД 50-34.698-90 "Автоматизированные системы. Требования к содержанию документов".
3.2. З метою розгляду декларацій і заяв, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації створюється експертна рада з питань державної експертизи у сфері технічного захисту інформації (далі - Експертна рада).".
2.2. Після пункту 3.2 доповнити новими пунктами 3.3-3.6 такого змісту:
"3.3. За результатами аналізу декларації і поданих разом із нею документів Експертна рада в місячний строк приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація повертає Замовнику.
3.4. У разі ненадання документів, зазначених у пункті 3.1 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам нормативних документів із ТЗІ Адміністрація в місячний строк повертає Замовнику декларацію для доопрацювання.
3.5. Адміністрація має право в установленому порядку зупинити дію декларації або скасувати її реєстрацію.
3.6. Строк дії зареєстрованої декларації є необмеженим. У разі внесення змін, не передбачених у технічному завданні на створення КСЗІ, Замовник зобов'язаний надіслати на ім'я Голови (заступника Голови) Держспецзв'язку декларацію в порядку, передбаченому в пункті 3.1 цього розділу.".
У зв'язку з цим пункти 3.3-3.25 вважати відповідно пунктами 3.7-3.29.
2.3. Пункт 3.29 після слів "підписує його і" доповнити словами "разом із протоколами виконання робіт".
3. У розділі 4:
3.1. Пункт 4.3 виключити.
У зв'язку з цим пункт 4.4 вважати пунктом 4.3.
3.2. Пункт 4.3 викласти в такій редакції:
"4.3. Адміністрація має правов установленому порядку зупинити дію або скасувати Експертний висновок або Атестат.".
4. У розділі 5:
4.1. Пункт 5.1 після абревіатур і слова "КСЗІ в ІТС" доповнити словами "шляхом експертних випробувань".
4.2. Абзац другий пункту 5.2 після слів "у сфері свого управління" доповнити словами "шляхом експертних випробувань".
5. Доповнити Положення (
z0820-07)
новим додатком 3, що додається.
У зв'язку з цим додатки 3-8 уважати відповідно додатками 4-9. У тексті Положення (
z0820-07)
посилання на додатки 3-8 замінити посиланнями відповідно на додатки 4-9.
Заступник директора Департаменту
технічного захисту інформації
Адміністрації Держспецзв'язку
|
О.С.Зубрицький
|
Додаток 3
до Положення про державну
експертизу в сфері
технічного захисту
інформації
( z0820-07 )
Зареєстровано
адміністрації Державної
служби спеціального зв'язку
та захисту інформації
України __.__.__ за N _____
Голова (заступник Голови)
Держспецзв'язку
(підпис) (ініціали,
прізвище)
М.П.
ДЕКЛАРАЦІЯ
про відповідність КСЗІ вимогам нормативних документів із ТЗІ
________________________________________________________________,
(найменування організації, підприємства, установи або
прізвище, ім'я та по батькові фізичної
особи - власника (розпорядника) ІТС; ідентифікаційний код за
ЄДРПОУ (реєстраційний номер облікової картки платника податків)
в особі ________________________________________________________,
(посада, прізвище, ім'я та по батькові керівника
організації, підприємства, установи або прізвище, ім'я
та по батькові фізичної особи - власника (розпорядника) ІТС
підтверджує, що комплексна система захисту інформації
________________________________________________________________,
(повна назва ІТС)
що належить
________________________________________________________________,
(найменування організації, підприємства, установи або
прізвище, ім'я та по батькові фізичної особи - власника
(розпорядника) ІТС; місцезнаходження)
забезпечує захист _________________________ інформації відповідно
(вид інформації
за порядком доступу)
до вимог нормативних документів із технічного захисту інформації
в обсязі функцій, зазначених у технічному завданні N
_________________________________________________________________
Виконання робіт зі створення КСЗІ підтверджено такими проектними,
експлуатаційними і розпорядчими документами
_________________________________________________________________
(повні назви документів)
Керівник організації,
підприємства, установи
або фізична особа - власник
(розпорядник) ІТС ____________ ______________________
(підпис) (ініціали та прізвище)
М.П.