3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації

Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.

Державна експертиза в сфері технічного захисту інформації (далі -- експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі -- об'єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.

Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.

Суб'єктами експертизи є:

юридичні та фізичні особи, які є замовниками експертизи (далі -- замовники);

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі -- Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі -- організатори);

фізичні особи -- виконавці експертних робіт з технічного захисту інформації (далі -- експерти). Об'єктами експертизи є:

комплексні системи захисту інформації (далі -- КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі -- засоби забезпечення технічного захисту інформації, ЗТЗІ).

КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку.

Експертиза може бути первинною та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби -- для перевірки висновків первинної експертизи.

Державна служба для організації та проведення експертизи:

- розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;

- формує Реєстри організаторів та експертів;

реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;

приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема -- контрольної;

реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;

здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.

Замовник експертизи має право:

використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;

заявляти клопотання про потребу проведення контрольної експертизи - брати, за погодженням з організатором, участь у проведенні експертних робіт.

Замовник експертизи зобов'язаний:

сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;

передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.

Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.

Організатор експертизи має право:

здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;

готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;

готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.

Організатор експертизи зобов'язаний:

забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;

за залучення Державною службою -- розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;

створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.

Експерт має право:

вільно викладати в документах з експертизи особисту думку з питань експертизи, а також -- особливі думки відносно результатів виконання робіт;

вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;

вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.

Експерт зобов'язаний:

- об'єктивно, неупереджено та своєчасно виконувати експертні роботи;

не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;

пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.

Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.

З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі -- Експертна рада).

Для проведення експертизи замовник надсилає на ім'я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.

За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Державної служби про проведення контрольної експертизи.

Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.

Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.

Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.

Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.

Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.

Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.

Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.

За результатами проведених робіт організатор складає "Експертний висновок" щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.

Положення про державну експертизу визначає також порядок надання "Експертного висновку" та "Атестата відповідності". "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.

Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.

На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності", який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності". Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.

Ліцензійні умови провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.

Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України "Про ліцензування певних видів господарської діяльності", "Про інформацію", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі -- господарська діяльність у галузі ТЗІ).

В установчих документах суб'єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв'язку та захисту інформації України.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21