13. Нормативно-правові акти з державної експертизи у сферах інформаційної безпеки

Правові, організаційні і фінансові основи експертної діяльності в науково-технічній сфері визначає Закон України «Про наукову і науково-технічну експертизу» (далі - Закон).

Згідно статті 1 Закону наукова і науково-технічна експертиза (далі - експертиза) - це діяльність, метою якої є дослідження, перевірка, аналіз та оцінка науково-технічного рівня об'єктів експертизи і підготовка обгрунтованих висновків для прийняття рішень щодо таких об'єктів.

Експертиза у сфері науково-технічних розробок та дослідно-конструкторських робіт (далі - НДР), фундаментальних і прикладних досліджень, у тому числі на стадії їх практичного застосування, проводиться науково-дослідними організаціями та установами, вищими навчальними закладами, іншими організаціями та окремими юридичними і фізичними особами, які акредитовані на цей вид діяльності.

Згідно статті 2 Закону основними завданнями експертизи є:
- об'єктивне, комплексне дослідження об'єктів експертизи;
- перевірка відповідності об'єктів експертизи вимогам і нормам чинного законодавства;
- оцінка відповідності об'єктів експертизи сучасному рівню наукових і технічних знань, тенденціям науково-технічного прогресу, принципам державної науково-технічної політики, вимогам екологічної безпеки, економічної доцільності;
- аналіз рівня використання науково-технічного потенціалу, оцінка результативності НДР;
- прогнозування науково-технічних, соціально-економічних і екологічних наслідків реалізації чи діяльності об'єкта експертизи;
- підготовка науково обгрунтованих експертних висновків.

Згідно статті 4 Закону суб'єктами експертизи є замовники, організатори експертизи та експерти. Замовниками експертизи можуть бути державні органи і органи місцевого самоврядування, підприємства, установи і організації, громадяни, заінтересовані у проведенні такої експертизи.

Замовники експертизи формують завдання на проведення експертизи, забезпечують оплату витрат на її проведення та праці експертів або послуг організаторів експертизи. Організаторами експертизи є фізичні та юридичні особи, які на підставі доручення або договору з замовниками організовують та проводять експертизу і подають експертні висновки.

Експертизу можуть проводити:
- органи виконавчої влади у межах своєї компетенції;
- підприємства, установи та організації всіх форм власності, тимчасові творчі колективи, що здійснюють наукову і науково-технічну діяльність, спеціалізовані експертні організації;
- окремі експерти, групи експертів та експертні ради.

Експертами є фізичні особи, які мають високу  кваліфікацію, спеціальні знання і безпосередньо здійснюють наукову чи науково-технічну експертизу та несуть персональну відповідальність за достовірність і повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи. Не дозволяється поєднання в одній особі функцій автора розробки чи іншим чином заінтересованої особи та її експерта.

Згідно статті 5 Закону об'єктами експертизи можуть бути:
- діючі об'єкти техніки та промисловості, споруди, природні об'єкти тощо, стосовно яких виникає потреба отримати науково обгрунтовані експертні висновки;
- проекти, програми, пропозиції різного рівня, щодо яких необхідно провести науково обгрунтований аналіз і дати висновок про доцільність їх прийняття, впровадження, подальшого використання тощо.

Згідно статті 6 Закону підставами для проведення експертизи є:
- рішення органів виконавчої влади та органів місцевого самоврядування, прийняті в межах їх повноважень;
- договори на проведення експертизи, укладені підприємствами, установами та організаціями, фізичними особами.

Згідно статті 7 Закону фізичні особи, які на постійній або професійній основі здійснюють діяльність, пов'язану з наданням експертних послуг, крім осіб, зазначених у частині другій цієї статті, та юридичні особи, статутом яких передбачено таку діяльність, повинні пройти державну акредитацію і отримати свідоцтво, що підтверджує кваліфікацію його отримувача з питання організації та проведення експертизи.

Порядок проведення державної акредитації фізичних і юридичних осіб на право проведення експертизи, форму свідоцтва на  право проведення такої експертизи та перелік документів державного зразка, що дають фізичним особам право на провадження експертної діяльності і надання експертних послуг без отримання свідоцтва, визначаються центральним органом виконавчої влади, що забезпечує формування державної політики у сфері науки.

Державну акредитацію осіб на право проведення експертизи проводить центральний орган виконавчої влади, що реалізує державну політику у сфері наукової, науково-технічної діяльностію.

Згідно статті 10 Закону державну експертизу проводять:
- органи виконавчої влади;
- державні установи (підприємства, організації).

Згідно статті 13 Закону об'єкти експертизи можуть передаватися на попередню, первинну, повторну, додаткову, контрольну експертизи.

Згідно статті 14 Закону попередня експертиза проводиться з метою з'ясування відповідності формальних ознак об'єкта експертизи встановленим нормам і правилам технічної та екологічної безпеки, вимогам стандартів тощо.

Згідно статті 15 Закону первинна експертиза передбачає здійснення всіх необхідних заходів у процесі підготовки обгрунтованого висновку щодо об'єктів експертизи, які передаються заінтересованими фізичними та юридичними особами - замовниками експертизи на аналіз та оцінку експертним організаціям або експертам.

Згідно статті 16 Закону повторна експертиза може проводитися:
- у разі порушення встановлених вимог і правил під час проведення первинної експертизи;
- на вимогу замовника експертизи чи автора розробки за наявності обгрунтованих претензій до висновку первинної експертизи.

Згідно статті 17 Закону додаткова експертиза проводиться стосовно об'єктів, щодо яких відкрилися нові наукові і науково-технічні обставини.

Згідно статті 18 Закону контрольна експертиза здійснюється з ініціативи замовника для перевірки висновків первинної експертизи або з ініціативи фізичних чи юридичних осіб, заінтересованих у спростуванні окремих положень, частин або в цілому висновків раніше проведених експертиз.

Згідно статті 22 Закону основним юридичним документом, що регламентує відносини між замовником і організатором у сфері експертизи, є договір на її проведення.

Згідно статті 34 Закону у сфері державної експертизи фінансову підтримку діяльності експертів забезпечує держава. В усіх інших випадках матеріальне стимулювання експертів здійснюється за рахунок коштів замовника експертизи або інших організацій і установ за дорученням замовника.

Максимальний розмір коштів, що спрямовуються на покриття витрат на експертизу, не може перевищувати:
- для експертизи наукових і науково-технічних програм та проектів - 1,5 % кошторису витрат, передбачених на їх виконання;
- для експертизи виконаних науково-дослідних або проектно-конструкторських  робіт - 3 % вартості обсягу виконаних робіт.

24 квітня 1998 року наказом Міністерства України у справах науки і технологій № 131, зареєстрованим в Міністерстві юстиції України 16 липня 1998 року за № 462/2902, було затверджено «Положення про організацію та проведення наукової та науково-технічної експертизи» (далі - Положення), яке встановлює такі вимоги:

1.11. Під час проведення експертизи встановлюються відповідність об'єктів експертизи вимогам національної економічної, оборонної та екологічної безпеки; науково-технічна новизна об'єктів експертизи; відповідність технологій, обладнання, устаткування кращим вітчизняним та зарубіжним аналогам; відповідність вимогам чинних  стандартів, вимогам технічної безпеки; реальність термінів упровадження об'єктів експертизи та актуальність об'єктів на момент її завершення; ступінь економічної ефективності, матеріаломісткості технологій і обладнання.

2. Види експертизи

2.1. Експертиза може бути попередня, первинна, повторна, додаткова та контрольна.

2.7. Експертиза набуває статусу державної, якщо вона провадиться державними  органами або на виконання їх доручень академіями наук.

3. Координація діяльності суб'єктів експертизи

3.1. Замовник експертизи подає до організатора експертизи заяву про проведення експертизи разом з супровідними документами щодо об'єкта експертизи. Замовник експертизи формує завдання на проведення експертизи, забезпечує оплату витрат на її проведення.

3.6. Основним документом, що регламентує стосунки між замовником і організатором експертизи, є договір на її проведення. До договору додаються документи, які визначають об'єкт експертизи та забезпечують її проведення. Документи подаються на паперовому та магнітному носіях.

3.8. Організатор веде реєстр поданих проектів та надає авторам проектів довідку про реєстраційний номер та консультації з процедурних питань.

4. Вимоги до експертного висновку

4.1. Висновок експертизи складається із вступної, констатувальної та заключної частин. Чітка і ясна оцінка проекту у висновках експертизи (за одним із вказаних варіантів) є обов'язковою. Висновок, що не має такої оцінки, не може бути підписаний чи затверджений уповноваженими посадовими особами.

4.2. Підготовлений експертний висновок підписується експертом і керівником організації (установи) - організатором експертизи.

4.6. Висновок експертизи зберігає чинність протягом терміну, визначеного договором на її проведення. Після закінчення терміну дії висновку експертизи відповідні об'єкти експертизи підлягають повторній експертизі.

5. Права та обов'язки експертів

5.1. Експертами є фізичні особи, які мають сертифікат на проведення експертизи або інший документ, що його заміняє, високу кваліфікацію, знання з даної галузі науки або техніки, володіють методикою науково-експертної оцінки, безпосередньо здійснюють експертизу та персонально відповідають за достовірність, повноту, об'єктивність аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи та чинного законодавства.

Експерти залучаються на підставі договорів або контрактів.

5.4. Експерт письмово оформляє висновок експертизи. Не допускається повторне проведення експертизи щодо конкретного проекту одним і тим самим експертом.

6. Порядок організації та проведення експертизи

6.3. Термін проведення експертизи визначається замовником і, як правило, не повинен перевищувати 30 календарних днів. У разі потреби, за погодженням із замовником, термін може бути продовжений до 45 календарних днів. У виняткових випадках, залежно від складності проблеми, - до 90 календарних днів.

Термін проведення експертизи в кожному окремому випадку визначається договорами між виконавцями і замовниками експертизи.

6.4. Термін дії висновку експертизи визначається договором, але не перевищує 2 років від дня його видачі.

6.5. Проведення експертизи здійснюється за рахунок замовника експертизи. Сума коштів, спрямованих на проведення експертизи проектів, визначається договором на проведення експертизи, але не перевищує норми, встановлені Законом України «Про  наукову і науково-технічну експертизу».

6.6. Розмір оплати експертів визначається згідно з «Нормами оплати праці експертів, які залучаються для проведення державної наукової та науково-технічної експертизи, що проводяться за рахунок коштів державного бюджету», затвердженими наказом Міністерства соціальної політики України від 29 грудня 2016 року № 1650, зареєстрованим у Міністерстві юстиції України 16 січня 2017 року за № 44/29912), або окремим договором.

6.7. Право на інтелектуальну власність, що може виникнути під час проведення експертизи, належить замовнику експертизи або визначається відповідно до договору на її проведення.

Головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сферах наукової та науково-технічної діяльностіє Міністерство освіти та науки України (далі - МОНУ). Офіційний сайт МОНУ знаходиться тут.

Згідно вимог «Положення про МОНУ» (далі - Положення), затвердженого постановою Кабінету Міністрів України від 16 жовтня 2014 року № 630, МОНУ відповідно до покладених на нього завдань:
29) здійснює керівництво системою наукової і науково-технічної експертизи;
37) визначає порядок та проводить державну акредитацію фізичних і юридичних осіб на право проведення наукової та науково-технічної експертизи, а також визначає форму свідоцтва на право проведення зазначеної експертизи та перелік документів державного зразка, що дають фізичним особам право на провадження експертної діяльності і надання експертних послуг без отримання свідоцтва;
74) забезпечує розвиток системи наукової і науково-технічної експертизи проектів державних, міжнародних та регіональних програм.

З метою здійснення та наукового супроводу заходів з реалізації державної політики у сфері науково-технічної експертизи, науково-технічної інформації, інноваційної діяльності та трансферу технологій була утворена Державна наукова установа «Український інститут науково-технічної експертизи та інформації» (далі - УкрІНТЕІ) згідно постанови Кабінету Міністрів України від 25 листопада 2015 року № 1027 і Наказу МОНУ від 21 грудня 2015 року № 1330Офіційний сайт УкрІНТЕІ знаходиться тут.

16 травня 2007 року наказом Адміністрації Держспецзв'язку № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087, було затверджене «Положення про державну експертизу в сфері ТЗІ», яке визначає такі вимоги:

1.2. Державна експертиза в сфері ТЗІ (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам НД ТЗІ та можливості їх використання для забезпечення ТЗІ.

1.3. Дія цього Положення поширюється  на  всіх  юридичних  та фізичних осіб, які є суб'єктами експертизи.

Суб'єктами експертизи є:
- юридичні та фізичні особи - власники (розпорядники) ІТС, технічних і програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі - Замовники);
- Адміністрація Держспецзв'язку (далі - Адміністрація);
- підрозділи Держспецзв'язку, підприємства, установи та організації, які проводять експертизу (далі - Організатори);
- державні органи, які проводять експертизу в сфері свого управління;
- фізичні особи - виконавці експертних робіт з ТЗІ (далі - Експерти).

1.4. Об'єктами експертизи є:
- КСЗІ, які є невід'ємною складовою частиною ІТС;
- технічні та програмні засоби, які реалізують функції ТЗІ (далі - засоби ТЗІ).

1.5. Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам нормативних документів із ТЗІ і проводиться шляхом експертних випробувань або шляхом аналізу декларації про відповідність КСЗІ вимогам НД ТЗІ (далі - декларація).

Експертиза засобів ТЗІ проводиться шляхом експертних випробувань.

1.6. Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:

- КСЗІ створено в ІТС, яка згідно з  НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу» класифікована як АС класу «1» і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці, і де використовуються засоби захисту інформації, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;

- закінчився строк дії атестата відповідності КСЗІ в ІТС вимогам НД ТЗІ (далі - Атестат), яка згідно з нормативними документами із ТЗІ класифікується як АС класу «1» і в якій передбачається обробка інформації, що не становить державної та іншої передбаченої законом таємниці.

У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань.

1.7. Експертиза може бути первинною, додатковою та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання Організатором усіх потрібних заходів, визначених у розділі 3 цього Положення, для підготовки та прийняття рішення щодо об'єкта експертизи.

Додаткова експертиза проводиться стосовно об'єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини або в зв'язку з закінченням терміну дії документів, що засвідчують результати експертизи.

Контрольна експертиза проводиться іншим Організатором з ініціативи Замовника за наявністю у нього обґрунтованих претензій до висновку первинної чи додаткової експертизи або з ініціативи Адміністрації для перевірки  висновку первинної чи додаткової експертизи.

3. Порядок організації та проведення експертизи

3.1. Для проведення експертизи шляхом експертних випробувань Замовник надсилає заяву на ім'я Голови Держспецзв'язку (крім випадків, передбачених у розділі 5 цього Положення) про проведення експертизи КСЗІ в ІТС або засобу ТЗІ, а шляхом аналізу декларації - декларацію про відповідність КСЗІ вимогам НД ТЗІ, формуляр ІТС і акт про завершення робіт зі створення КСЗІ згідно з керівним документом із стандартизації РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

3.2. З метою розгляду декларацій і заяв, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації створюється Експертна рада з питань державної експертизи у сфері ТЗІ (далі - Експертна рада).

3.3. За результатами аналізу декларації і поданих разом із нею документів Експертна рада в місячний строк приймає рішення про реєстрацію декларації. Зареєстровану декларацію та інші подані документи Адміністрація повертає Замовнику.

3.4. У разі ненадання документів, зазначених у пункті 3.1 цього розділу, неповноти наданих у них відомостей або невідповідності порядку створення КСЗІ вимогам НД ТЗІ Адміністрація в місячний строк повертає Замовнику декларацію для доопрацювання.

3.5. Адміністрація має право в установленому порядку зупинити дію декларації або скасувати її реєстрацію.

3.6. Строк дії зареєстрованої декларації є необмеженим. У разі внесення змін, не передбачених у технічному завданні на створення КСЗІ, Замовник зобов'язаний надіслати на ім'я Голови Держспецзв'язку декларацію в порядку, передбаченому в пункті 3.1 цього розділу.

3.7. За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її Організатора.

3.8. У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення  або результатів експертизи він може звернутися до Адміністрації з пропозицією щодо здійснення контролю за проведенням Організатором експертних випробувань або із заявою на ім'я Голови Держспецзв'язку про проведення контрольної експертизи.

3.10. Основним документом, що регламентує відносини між Замовником і Організатором, є укладений між ними договір на проведення експертизи.

3.12. Результати, матеріали, висновки експертизи та створене або придбане за кошти Замовника матеріально-технічне забезпечення є його власністю, якщо інше не передбачено договором між Замовником і Організатором.

3.13. Термін проведення експертизи визначається договором і не повинен перевищувати 6 місяців. У випадку значного обсягу експертних робіт термін проведення експертизи може бути продовжений за згодою Адміністрації та Замовника.

3.14. Список  Експертів, які залучаються до виконання експертних робіт, визначається Організатором.

3.16. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання задекларованих характеристик засобів ТЗІ і КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі необхідності, порядок відбору зразків засобів ТЗІ для проведення випробувань і відповідне програмно-технічне забезпечення.

3.17. Програма проведення експертизи узгоджується із Замовником та Департаментом з питань захисту інформації в ІТС (далі - ДЗІ ІТС) Адміністрації, а окремі методики - з зазначеним департаментом.

3.18. Терміни розробки окремої методики та необхідних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи.

3.19. Під час проведення експертизи кожний Експерт виконує експертні роботи тільки за дорученням Організатора та у відповідності з визначеною окремою методикою. 3.20. Результати роботи оформлюються у вигляд протоколу виконання робіт за підписом Експертів, які її виконували. Протокол затверджується Організатором.

3.23. У протоколі можуть бути зафіксовані особливі думки Експертів відносно результатів виконаних робіт.

3.24. У разі виявлення невідповідності об'єкта експертизи вимогам НД ТЗІ Організатор може запропонувати Замовнику виконати доробку об'єкта.

3.26. Відомості щодо всіх доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.

3.27. Результати робіт, визначених окремою методикою, узагальнюються Організатором в Експертному висновку.

3.28. Висновки щодо кожного пункту окремої методики, а також особливі думки Експертів, зафіксовані в протоколах, включаються до Експертного висновку як складові частини без унесення до них будь-яких змін.

3.29. За результатами проведених робіт Організатор складає Експертний висновок відповідного змісту щодо відповідності об'єкта експертизи вимогам НД ТЗІ, підписує його і разом із протоколами виконання робіт подає до Адміністрації.

4. Порядок надання Експертного висновку та Атестата

4.1. Експертний висновок на засіб ТЗІ розглядається Експертною радою і, у разі затвердження результатів експертизи, реєструється та видається Замовнику.

4.2. На підставі позитивного рішення щодо експертизи КСЗІ Замовнику видається зареєстрований Атестат відповідності за підписом Голови Держспецзв'язку.

4.3. Адміністрація має право в установленому порядку зупинити дію або скасувати Експертний висновок або Атестат.

5. Особливості проведення експертиз КСЗІ державними органами

5.1. Адміністрація надає державному органу повноваження з організації та проведення первинних або додаткових експертиз КСЗІ в ІТС шляхом експертних випробувань за умови погодження з Адміністрацією порядку їх здійснення.

5.2. Державні органи, які мають дозвіл Адміністрації на проведення робіт з ТЗІ для власних потреб та отримали від Адміністрації зазначені повноваження:
- здійснюють організацію та проведення експертиз КСЗІ в ІТС у сфері свого управління шляхом експертних випробувань;
- видають Атестат відповідності, який реєструється Адміністрацією.

19 березня 2009 року наказом Адміністрації Держспецзв'язку № 64 був затверджений «Стандарт надання адміністративної послуги з видачі атестатів відповідності КСЗІ в ІТС вимогам НД ТЗІ», метою якого є підвищення якості надання адміністративної послуги з видачі атестатів відповідності КСЗІ в ІТС вимогам НД ТЗІ.

До заяви про проведення первинної або додаткової експертизи додаються:
- технічне завдання на створення КСЗІ в ІТС;
- формуляр ІТС.

Прийняте Адміністрацією Держспецзв’язку рішення про можливість проведення експертизи КСЗІ в ІТС за заявою, поданою одержувачем, та про визначення організатора експертизи повідомляється одержувачу у термін, що не повинен перевищувати 15 робочих днів.

Атестат відповідності КСЗІ в ІТС вимогам нормативних документів з ТЗІ оформляється протягом 5 робочих днів на підставі позитивного рішення Адміністрації Держспецзв'язку щодо результатів експертизи. Зареєстрований атестат надсилається організатору експертизи для видачі одержувачу разом з експертним висновком.

Адміністративна послуга з видачі атестатів відповідності КСЗІ в ІТС вимогам НД ТЗІ надається безоплатно.

Інформація щодо порядку проведення експертизи КСЗІ в ІТС та форми заяв про проведення експертизи КСЗІ в ІТС розміщені на офіційному сайті Держспецзв’язку в мережі Інтернет (електронна адреса: www.dsszzi.gov.ua, розділ «Діяльність» - «Експертиза» - «Технічний захист інформації»).

1 жовтня 2010 року наказом Адміністрації Держспецзв’язку № 291 було затверджене «Положення про Експертну раду з питань державної експертизи в сфері ТЗІ», яка є постійно діючим колегіальним органом Адміністрації Держспецзв'язку з питань організації та проведення державної експертизи у сфері ТЗІ.

Метою діяльності Експертної ради є координація заходів з дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативно-правових актів і НД ТЗІ та оцінювання результатів експертизи.

Формою роботи Експертної ради є засідання, які проводяться за потреби, але не рідше одного разу на місяць.

На підставі рішень Експертної ради про затвердження результатів державних експертиз оформляються, реєструються та надаються замовникам Експертні висновки на засоби ТЗІ, оформляються та видаються Атестати відповідності КСЗІ.

16 квітня 2008 року наказом Адміністрації Держспецзв'язку № 64 був затверджений «Порядок формування Реєстру організаторів державної експертизи у сфері ТЗІ та Реєстру експертів з питань ТЗІ».

До реєстру Організаторів вносяться всі підрозділи Держспецзв'язку, підприємства, установи та організації, визначені Експертною радою як Організатори, за результатами розгляду заяв замовників про проведення державної експертизи у сфері ТЗІ.

До реєстру Експертів вносяться всі фахівці з питань ТЗІ, які залучаються Організаторами до виконання експертних робіт під час проведення державних експертиз у сфері ТЗІ.

Картки реєстрації Організатора та Експертів зберігаються в окремій справі ДЗІ ІТС відповідно до встановлених у Держспецзв'язку вимог щодо ведення діловодства.

25 березня 2011 року наказом Адміністрації Держспецзв'язку № 65 був затверджений НД ТЗІ 2.6-001-11 «Порядок проведення робіт з державної експертизи засобів ТЗІ від НСД та КСЗІ в ІТС», який складається з таких основних розділів:
- вступні положення щодо порядку проведення експертизи засобів ТЗІ від несанкціонованого доступу та КСЗІ;
- опис порядку проведення робіт з експертизи засобів ТЗІ від несанкціонованого доступу;
- опис порядку проведення робіт з експертизи КСЗІ.

Він має такі додатки:
- рекомендації щодо складу та змісту проектної, експлуатаційної та нормативно-розпорядчої документації, яка надається Замовником при проведенні експертизи КСЗІ;
- вимоги щодо змісту програми проведення експертизи КСЗІ в ІТС;
- вимоги щодо змісту методики проведення експертизи КСЗІ в ІТС;
- рекомендації щодо викладення змістовної частини протоколу експертизи засобу ТЗІ від несанкціонованого доступу;
- рекомендації щодо викладення змістовної частини протоколу експертизи КСЗІ;
- рекомендації щодо викладення змістовної частини Експертного висновку за результатами експертизи засобу ТЗІ від несанкціонованого доступу;
- рекомендації щодо викладення змістовної частини Експертного висновку за результатами експертизи КСЗІ.

23 червня 2008 року наказом Адміністрації Держспецзв'язку № 100, зареєстрованим в Міністерстві юстиції України 16 липня 2008 року за № 65115342, було затверджене «Положення про державну експертизу у сфері КЗІ»:

Використані в цьому Положенні терміни вживаються в такому значенні:

- державна експертиза у сфері КЗІ (далі - експертиза) - діяльність, метою якої є підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання об'єктів експертизи та яка передбачає перевірку відповідності об'єктів експертизи вимогам нормативних документів та оцінку рівня захисту інформації об'єктами експертизи;

- експертний висновок - документально оформлений результат експертизи, який надається Адміністрацією Держспецзв'язку за результатами експертних досліджень;

- експертні дослідження - дослідження та аналіз конкретних властивостей об'єкта експертизи з метою перевірки його відповідності вимогам нормативних документів та оцінки рівня захисту інформації цим об'єктом.

Суб'єктами експертизи є:
- замовники експертизи;
- Адміністрація Держспецзв'язку;
- експертні заклади.

Експертними закладами можуть бути підприємства, установи та організації, які мають ліцензію на право провадження діяльності в галузі КЗІ щодо експертизи засобів КЗІ. Організація експертизи здійснюється безкоштовно Адміністрацією Держспецзв'язку.

Експертні дослідження проводять експертні заклади або Адміністрація Держспецзв'язку за договорами на проведення експертних досліджень. Для координації та здійснення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері КЗІ Держспецзв'язку (далі - Експертна комісія).

Порядок організації та проведення експертизи

Експертний заклад призначається Адміністрацією Держспецзв'язку з урахуванням пропозицій замовника. Рішення Адміністрації Держспецзв'язку надсилається замовнику та експертному закладу. Договір на проведення експертних досліджень між замовником та експертним закладом укладається після отримання ними рішення Адміністрації Держспецзв'язку.

Процедури відбору та ідентифікації зразків засобів КЗІ проводяться після ухвалення рішення Адміністрації Держспецзв'язку. Ідентифікація зразків оформлюється актом ідентифікації зразків для проведення державної експертизи у сфері КЗІ. Відбір зразків оформлюється актом відбору зразків для проведення державної експертизи у сфері КЗІ. Відібрані зразки разом з комплектом документів та матеріалів передаються Адміністрацією Держспецзв'язку до експертного закладу для проведення експертних досліджень.

Порядок підготовки експертного висновку

Для проведення експертних досліджень експертними закладами у місячний термін з моменту укладання договору на проведення досліджень та отримання об'єкта експертизи і необхідного комплекту документів розробляються програми та методики проведення експертних досліджень.

За результатами експертних досліджень експертні заклади готують, затверджують та подають до Адміністрації Держспецзв'язку протоколи експертних досліджень. Зміст протоколів експертних досліджень повинен відповідати вимогам програми та методики проведення експертних досліджень.

Експертна комісія протягом місяця з дня отримання протоколів експертних досліджень розглядає їх на предмет відповідності програмі та методиці проведення експертних досліджень, повноти, об'єктивності, достатності та інших характеристик, а також готує рішення.

У разі відповідності протоколів експертних досліджень програмі та методиці проведення експертних досліджень на підставі рішення Експертної комісії Адміністрацією Держспецзв'язку готується та надсилається замовнику експертний висновок. Термін підготовки та надсилання замовнику експертного висновку не повинен перевищувати 20 робочих днів з дати ухвалення рішення Експертною комісією.

Термін дії експертного висновку визначається з урахуванням криптографічних якостей засобу КЗІ, терміну дії нормативних документів, умов та граничного терміну експлуатації засобу КЗІ, але не більше термінів, зазначених у додатку до цього Положення.

Експертний висновок може бути виданий на один зразок засобу КЗІ, партію засобів, а також засіб, що виробляється серійно, за наявності технічних умов на нього. Експертні висновки, термін дії яких закінчився, утрачають чинність.

Підставами для анулювання експертного висновку є:
- закінчення терміну дії експертного висновку;
- несанкціоноване внесення змін в об'єкт експертизи або документацію на нього;
- зміна (порушення) технології виробництва засобів КЗІ.

29 листопада 2008 року наказом Адміністрації Держспецзв’язку № 200 був затверджений «Стандарт надання адміністративної послуги з організації державної експертизи у сфері КЗІ», метою якого є підвищення якості надання адміністративної послуги з видачі експертних висновків на засоби КЗІ.

Експертні дослідження технічних засобів (виробів) на предмет їх віднесення до СТЗ проводяться відповідно до базового нормативно-технічного документу - «Загальна методика віднесення об'єктів до СТЗ негласного отримання інформації» (для службового користування), зареєстрованого в Міністерстві юстиції України 2 березня 2011 року за № 17.0.01.

Експертні дослідження та судові експертизи проводяться державною спеціалізованою установою - Українським науково-дослідним інститутом спеціальної техніки та судових експертиз СБУ.

Методика визначає загальні принципи проведення експертних досліджень, встановлює й регламентує порядок застосування методів та процедур проведення експертного дослідження. Це дозволяє визначити й обґрунтувати необхідну й достатню сукупність технічних ознак, на підставі яких формулюється висновок експерта щодо віднесення технічного засобу до СТЗ.

При проведенні судової експертизи (дослідження) основними критеріями віднесення засобу до СТЗ є технічна придатність та функціональна призначеність цього засобу, які встановлюються на підставі спеціальних знань судового експерта відповідно до вимог та у порядку, визначеному Методикою. При цьому, до СТЗ відносяться технічні засоби, що можуть бути скритно застосовані для негласного отримання інформації у властивих для вирішення завдань оперативно-розшукової діяльності формах та методах.

Поняття скритність і негласне отримання інформації мають таке значення:
- негласне отримання інформації - процес скритного отримання інформації, що здійснюється без відома та згоди суб'єкта інформації;
- скритність - можливість конспіративного застосування технічного засобу, яка зумовлена ступенем захисту від виявлення фактів його встановлення та застосування.

Висновок державного експерта є результатом визначення технічних характеристик, функціональних можливостей та конструктивних особливостей наданого на дослідження технічного засобу, оцінки його якісних характеристик (скритність, негласність доступу до об'єкта інформаційної діяльності, прихованість керування, безвідмовність функціонування у певних умовах застосування), що притаманні певному типу СТЗ, найближчому аналогу до досліджуваного засобу.

Прикладами суттєвих конструктивних ознак, що визначають якісні характеристики певного виду СТЗ, є:
- виконання відео-, аудіозаписуючого пристрою у вигляді звичайного побутового предмета;
- значна мінімізація розмірів відео-, аудіозаписуючого пристрою;
- конструктивна побудова технічного засобу, яка дозволяє здійснювати швидке та скритне розміщення на об'єкті;
- відсутність індикації про режими роботи технічного засобу;
- можливість отримання інформації за межами контрольованої зони об'єкта;
- мінімізація кількості та багатофункціональність елементів керування;
- розмір вхідного отвору для об'єктиву мікротелекамери, який забезпечує можливість його маскування;
- маскування місцезнаходження акустичного отвору мікрофону тощо.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайтаРейтинг@Mail.ru Яндекс.Метрика