Про затвердження Порядку організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації в інформаційно-телекомунікаційних системах органів і підрозділів Національної поліції України

Відповідно до Закону України "Про захист інформації в інформаційно-комунікаційних системах", Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087, з метою забезпечення проведення експертизи комплексної системи захисту інформації в інформаційно-комунікаційних системах органів і підрозділів Національної поліції України НАКАЗУЮ:

1. Затвердити Порядок організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації в інформаційно-комунікаційних системах органів і підрозділів Національної поліції України, що додається.

2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Деканоідзе Х.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок розроблено відповідно до Закону України "Про захист інформації в інформаційно-комунікаційних системах", Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (далі – Положення), та наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 червня 2015 року № 023, зареєстрованого в Міністерстві юстиції України 17 липня 2015 року за № 858/27303.

2. Цей Порядок визначає основи організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації (далі – КСЗІ) в інформаційно-комунікаційних системах (далі – ІКС) територіальних (міжрегіональних) органів (далі – органи) і структурних підрозділів (далі – підрозділи) Національної поліції України.

3. Вимоги цього Порядку є обов’язковими для органів і підрозділів Національної поліції України, в ІКС яких обробляється відкрита інформація та інформація з обмеженим доступом.

4. Первинна експертиза є основним видом експертизи і передбачає виконання організатором експертизи усіх необхідних заходів для підготовки та прийняття рішення щодо відповідності об’єкта експертизи вимогам чинного законодавства.

5. Додаткова експертиза проводиться стосовно об’єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини або в зв'язку із закінченням терміну дії документів, що засвідчують результати експертизи.

1. Роботи зі створення КСЗІ в ІКС виконуються органом або підрозділом Національної поліції України, що експлуатує ІКС. Виконання робіт під час створення КСЗІ здійснюється відповідно до вимог чинного законодавства, а в разі захисту інформації, що становить державну таємницю, - з врахуванням вимог наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 червня 2015 року № 023, зареєстрованого в Міністерстві юстиції України 17 липня 2015 року за № 858/27303, та інших нормативних документів з технічного захисту інформації (далі – ТЗІ).

2. Організація та проведення робіт із захисту інформації в ІКС здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.

Служба захисту інформації утворюється згідно з рішенням керівника органу або підрозділу Національної поліції України, що є власником (розпорядником) ІКС.

У разі коли обсяг робіт, пов'язаних із захистом інформації в ІКС, є незначний, захист інформації може здійснюватися однією особою.

3. Роботи зі створення КСЗІ завершуються проведенням експертизи щодо відповідності КСЗІ вимогам нормативних документів з ТЗІ.

1. Експертиза у сфері ТЗІ проводиться згідно з цим Порядком з метою визначення відповідності КСЗІ технічному завданню, вимогам нормативних документів з ТЗІ та визначення можливості введення КСЗІ у складі ІКС в експлуатацію.

2. Експертиза КСЗІ в ІКС, де обробляється інформація, що становить державну таємницю, проводиться шляхом експертних випробувань.

3. Експертиза КСЗІ шляхом аналізу декларації про відповідність КСЗІ вимогам нормативних документів з ТЗІ (далі – декларація) проводиться у випадку, якщо КСЗІ створено в ІКС, яка відповідно до чинного законодавства класифікована як автоматизована система класу 1 і в якій передбачається обробка інформації, що не становить державну таємницю, і де використовуються засоби захисту інформації, які мають чинний сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ.

4. Суб’єктами експертизи є:

замовник – орган або підрозділ Національної поліції України, що є власником (розпорядником) ІКС, який замовляє проведення експертизи;

організатор – підрозділ ТЗІ центрального органу управління Національної поліції України, який проводить експертизу;

працівники підрозділу ТЗІ центрального органу управління Національної поліції України, що є виконавцями експертних робіт з ТЗІ (далі – експерти).

5. Для проведення експертизи шляхом аналізу декларації замовник надсилає до Адміністрації Державної служби спеціального зв’язку та захисту інформації України декларацію, формуляр ІКС і акт про завершення робіт зі створення КСЗІ.

6. Для проведення підрозділом ТЗІ центрального органу управління Національної поліції України експертизи КСЗІ в ІКС шляхом експертних випробувань замовник надсилає на ім'я керівника підрозділу ТЗІ центрального органу управління Національної поліції України заяву про проведення експертизи комплексної системи захисту інформації в ІКС, формуляр ІКС та у разі необхідності іншу організаційно-технічну документацію на КСЗІ, яка визначається організатором експертизи.

7. За результатами розгляду заяви та матеріалів, які є додатками до неї, підрозділ ТЗІ центрального органу управління Національної поліції України у місячний строк приймає рішення про доцільність проведення експертизи.

8. У разі виявлення неповноти відомостей у наданих документах або невідповідності порядку створення КСЗІ вимогам нормативних документів з ТЗІ підрозділ ТЗІ центрального органу управління Національної поліції України повертає замовнику надані ним для проведення експертизи документи для доопрацювання.

9. Строк проведення експертизи не повинен перевищувати шести місяців.

10. Експерти, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначаються організатором експертизи.

11. Підрозділ ТЗІ центрального органу управління Національної поліції України проводить експертизу за програмою та методикою проведення експертизи, яка погоджується Департаментом технічного захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України.

12. Експертиза здійснюється безпосередньо на об’єкті експертизи за умови надання експертам організаційно-технічної документації на КСЗІ, доступу до приміщень, де розташовано технічні засоби ІКС, а також до програмно-апаратних засобів ІКС.

Під час проведення робіт ІКС має бути в робочому стані та здатною функціонувати за призначенням.

Експерти мають право в рамках проведення експертизи отримувати консультації у працівників органу або підрозділу Національної поліції України, які здійснювали пусконалагоджувальні роботи та роботи з ТЗІ в ІКС.

Для здійснення робіт з оцінки виконання вимог забезпечення режиму секретності в ІКС за пропозицією експертів до цих робіт можуть бути залучені працівники органу або підрозділу Національної поліції України, який експлуатує ІКС.

13. За результатами експертних робіт складається протокол виконання робіт, форма якого наведена в додатку 6 до Положення (далі – протокол виконання робіт), який підписується експертами, які виконували роботи, та затверджується керівником підрозділу ТЗІ центрального органу управління Національної поліції України.

У протоколі виконання робіт експерт має право викласти особливу думку щодо результатів виконаних ним робіт. Організатор може рекомендувати експерту здійснити редагування протоколів виконання робіт без зміни їх змісту (стилістичне редагування).

14. За результатами експертних робіт складається перелік виявлених недоліків та порушень (за їх наявності), а також зауважень щодо усунення зазначених недоліків та вдосконалення КСЗІ.

Якщо під час проведення експертизи виявлено недоліки, замовнику експертизи може бути запропоновано здійснити такі заходи:

оперативне усунення недоліків у процесі проведення експертизи;

припинення експертних робіт для усунення встановлених недоліків.

Після усунення недоліків проводиться перевірка цих робіт та завершення експертизи зі складанням протоколу виконання робіт.

15. За результатами експертизи складається експертний висновок, форма та зміст якого наведена в додатках 7, 8 до Положення (далі – експертний висновок), щодо відповідності КСЗІ вимогам нормативних документів з ТЗІ. Експертний висновок підписується експертами, що проводили експертизу, та затверджується керівником підрозділу ТЗІ центрального органу управління Національної поліції України.

16. Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколі виконання робіт, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.

1. На підставі позитивного експертного висновку щодо відповідності КСЗІ вимогам нормативних документів з ТЗІ складається атестат відповідності, форма якого наведена в додатку 9 до Положення (далі – атестат відповідності), за підписом Голови Національної поліції України або його заступника відповідно до розподілу функціональних обов’язків.

2. Підрозділ ТЗІ центрального органу управління Національної поліції України забезпечує реєстрацію атестата відповідності в Адміністрації Державної служби спеціального зв’язку та захисту інформації України.

3. Замовнику експертизи надсилається атестат відповідності та експертний висновок.

4. Дозвіл на оброблення в ІКС інформації з обмеженим доступом надається керівником органу або підрозділу Національної поліції України, що експлуатує ІКС, на підставі атестата відповідності.