Відомчі документи з питань ТЗІ, що погоджені Державною службою і стосуються досліджень заходів ТЗІ та досліджень їх ефективності

4. Відомчі документи з питань ТЗІ, що погоджені Державною службою і стосуються досліджень заходів ТЗІ та досліджень їх ефективності.

У сукупності всі ці документи встановлюють основні положення, загальні правила, визначають порядок здійснення різних видів діяльності в сфері ТЗІ, формулюють вимоги до якості послуг і продукції, викладають методичні вказівки по впровадженню заходів захисту і оцінюванню їх ефективності.

3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації

Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.

Державна експертиза в сфері технічного захисту інформації (далі — експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі — об'єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.

Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.

Суб'єктами експертизи є:

юридичні та фізичні особи, які є замовниками експертизи (далі — замовники);

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі — Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі — організатори);

фізичні особи — виконавці експертних робіт з технічного захисту інформації (далі — експерти). Об'єктами експертизи є:

комплексні системи захисту інформації (далі — КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі — засоби забезпечення технічного захисту інформації, ЗТЗІ).

КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку.

Експертиза може бути первинною та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби — для перевірки висновків первинної експертизи.

Державна служба для організації та проведення експертизи:

- розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;

- формує Реєстри організаторів та експертів;

-  реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;

-  приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема — контрольної;

-  реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;

-  здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.

Замовник експертизи має право:

-  використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;

заявляти клопотання про потребу проведення контрольної експертизи - брати, за погодженням з організатором, участь у проведенні експертних робіт.

Замовник експертизи зобов'язаний:

-  сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;

-  передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.

Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.

Організатор експертизи має право:

-  здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;

-  готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;

-  готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.

Організатор експертизи зобов'язаний:

-  забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;

-  за залучення Державною службою — розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;

-  створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.

Експерт має право:

-  вільно викладати в документах з експертизи особисту думку з питань експертизи, а також — особливі думки відносно результатів виконання робіт;

-  вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;

-  вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.

Експерт зобов'язаний:

- об'єктивно, неупереджено та своєчасно виконувати експертні роботи;

-  не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;

-  пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.

Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.

З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі — Експертна рада).

Для проведення експертизи замовник надсилає на ім'я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.

За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Державної служби про проведення контрольної експертизи.

Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.

Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.

Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.

Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.

Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.

Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.

Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.

За результатами проведених робіт організатор складає "Експертний висновок" щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.

Положення про державну експертизу визначає також порядок надання "Експертного висновку" та "Атестата відповідності". "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.

Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.

На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності", який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності". Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.

Ліцензійні умови провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.

Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України "Про ліцензування певних видів господарської діяльності", "Про інформацію", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі — господарська діяльність у галузі ТЗІ).

В установчих документах суб'єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв'язку та захисту інформації України.

У межах господарської діяльності в галузі ТЗІ можуть виконуватися види робіт або надаватися види послуг (далі — види робіт), які визначаються зазначеними Ліцензійними умовами. У разі, якщо суб'єкт господарювання провадить господарську діяльність у галузі ТЗІ не в повному обсязі, а частково, ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.

Суб'єкт господарювання, який має намір провадити господарську діяльність в галузі ТЗІ та відповідає цим Ліцензійним умовам, подає до Державної служби заяву за встановленою формою про видачу ліцензії.

Ліцензуванню підлягають такі види робіт, які виконуються в межах господарської діяльності з технічного захисту інформації:

-  розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;

-  розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;

-  розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;

-  виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;

-  виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;

-  виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

-  розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.

Для провадження господарської діяльності в галузі ТЗІ суб'єкт господарювання повинен мати:

- штатних або найманих за договором спеціалістів, які мають повну вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років;

-  нормативно-правові акти з технічного захисту інформації, що забезпечують проведення обраного виду роботи;

-  власні або орендовані засоби вимірювань і контролю, перелік яких визначається нормативними документами з питань технічного захисту інформації, та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;

-  власну або створену на договірній основі виробничу базу, яка дає змогу виробляти засоби забезпечення технічного захисту інформації згідно з вимогами нормативних документів з питань технічного захисту інформації;

-  методику виявлення витоку мовної або видової інформації через закладні пристрої на об'єктах інформаційної діяльності (власної розробки з урахуванням апаратурного забезпечення, узгодженої з Державною службою).

Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження господарської діяльності в галузі ТЗІ:

-  з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю;

-  з наданням права технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.

Для провадження господарської діяльності в галузі ТЗІ з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю, суб'єкт господарювання повинен мати:

-  дозвіл на здійснення діяльності, пов'язаної з державною таємницею;

-  оформлені у встановленому порядку допуски до державної таємниці на спеціалістів, що залучаються до виконання робіт, пов'язаних із державною таємницею;

-  матеріали, які відповідно до компетенції, державних завдань, програм, замовлень, договорів (контрактів) підтверджують, що суб'єкт господарювання передбачає провадити господарську діяльність у галузі ТЗІ, що містить відомості, які становлять державну таємницю;

- приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби).

Виконання робіт із захисту таємної інформації дозволяється в межах терміну дії відповідного дозволу на здійснення діяльності, пов'язаної з державною таємницею. При виконанні робіт на об'єктах інформаційної діяльності, на яких циркулює інформація, що містить відомості, які становлять державну таємницю, а також у державних органах та установах суб'єкт господарювання зобов'язаний:

-  щорічно (до 20 грудня) надавати відомості до Державної служби щодо змісту виконаних робіт;

-  терміново (не пізніше наступного дня) інформувати Державну службу про виявлення закладних пристроїв.