АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
24.04.2026 м. Київ № 302
Зареєстровано в Міністерстві юстиції України
20 травня 2026 р. за № 721/46115
Про внесення змін до Положення про державну експертизу в сфері криптографічного захисту інформації
Відповідно до пункту 30 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", підпункту 17 пункту 4, пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, з метою приведення нормативно-правового акта Адміністрації Державної служби спеціального зв'язку та захисту інформації України у відповідність до законодавства,
НАКАЗУЮ:
1. Внести зміни до Положення про державну експертизу в сфері криптографічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 23 червня 2008 року № 100, зареєстрованого в Міністерстві юстиції України 16 липня 2008 року за № 651/15342, виклавши його в новій редакції, що додається.
2. Департаменту захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу обов'язків.
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України
23 червня 2008 року № 100
(у редакції наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України
від 24 квітня 2026 року № 302)
Положення
про державну експертизу в сфері криптографічного захисту інформації
I. Загальні положення
1. Це Положення встановлює порядок організації та проведення державної експертизи в сфері криптографічного захисту інформації (далі - КЗІ) в Україні.
2. Вимоги цього Положення поширюються на органи державної влади, державні органи та органи місцевого самоврядування, юридичні особи незалежно від організаційно-правової форми (далі - юридичні особи) та фізичні особи - підприємці, які здійснюють діяльність у галузі КЗІ та є суб'єктами експертизи.
3. У цьому Положенні терміни вживаються в такому значенні:
державна експертиза в сфері КЗІ (далі - експертиза) - діяльність, метою якої є визначення за результатами аналізу матеріалів експертних (тематичних) досліджень (далі - дослідження) відповідності об'єктів експертизи вимогам нормативно-правових актів у сфері КЗІ, оцінка рівня та механізмів захисту інформації об'єктом експертизи або науково-технічного рівня об'єкта експертизи, підготовка обґрунтованих висновків і надання рекомендацій для прийняття рішення про використання (застосування) об'єкта експертизи за призначенням;
експертна організація - юридична особа або фізична особа - підприємець, що проводить експертні дослідження засобів КЗІ, криптографічних систем, засобів обробки інформації з функціями КЗІ (далі разом - криптографічні засоби) та криптографічних алгоритмів і протоколів;
експертний висновок - документально оформлений результат експертизи, який видається Адміністрацією Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку) за проведеним аналізом результатів досліджень;
засіб обробки інформації з функціями КЗІ - засіб обробки інформації, який функціонує як єдине ціле та в якому функції КЗІ реалізовано додатково до основного призначення такого засобу;
контрольні експертні дослідження - експертні дослідження криптографічних засобів та криптографічних алгоритмів і протоколів, які мають експертний висновок, що проводяться з метою підтвердження можливості подальшого їх використання за призначенням та визначення можливості видачі експертного висновку на новий термін;
матеріали експертних (тематичних) досліджень - усі матеріали та документи щодо об'єкта експертизи (у тому числі програми та методики проведення експертних (тематичних) досліджень, протоколи (звіти) та рекомендації), які отримані або створені під час її проведення;
спеціалізована експертна організація - експертна організація, що здійснює тематичні дослідження засобів КЗІ, криптосистем, криптографічних алгоритмів і протоколів та засобів обробки інформації з функціями КЗІ, призначених для захисту службової інформації або інформації, що становить державну таємницю.
Інші терміни у цьому Положенні вживаються у значенні, наведеному в Законах України "Про Державну службу спеціального зв'язку та захисту інформації України", "Про захист інформації в інформаційно-комунікаційних системах", Технічному регламенті засобів криптографічного захисту інформації, затвердженому постановою Кабінету Міністрів України від 21 жовтня 2020 року № 991, Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (у редакції наказу Адміністрації Держспецзв'язку від 14 грудня 2015 року № 767).
4. Суб'єктами експертизи є замовники експертних (тематичних) досліджень, експертні (спеціалізовані експертні) організації, а також Адміністрація Держспецзв'язку.
Замовниками експертних (тематичних) досліджень є органи державної влади, державні органи, військові формування, утворені відповідно до Закону, органи місцевого самоврядування, юридичні особи, фізичні особи - підприємці, заінтересовані в проведенні експертизи.
5. Об'єктами експертизи є:
криптографічні засоби;
криптографічні алгоритми та протоколи;
алгоритми, протоколи, засоби та системи генерації, тестування та розподілу ключів (управління ключами);
засоби, спеціально призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;
матеріали з оцінки відповідності засобів КЗІ, які мають чинний документ про відповідність міжнародному стандарту ISO/IEC 15408 "The Common Criteria for Information Technology Security Evaluation" (з рівнем гарантії оцінювання не нижче четвертого (EAL4)), або засобів КЗІ, які внесені до переліку сертифікованих продуктів у НАТО (NATO Information Assurance Product Catalogue, NIAPC), що плануються до застосування для криптографічного захисту службової інформації в Україні;
звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ.
6. Організацію експертизи проводить Адміністрація Держспецзв'язку на безоплатній основі.
7. Для координації та проведення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв'язку (далі - Експертна комісія).
8. Експертна комісія підпорядковується Голові Держспецзв'язку.
9. Основними завданнями Експертної комісії є:
аналіз стану та розробка пропозицій щодо вдосконалення методології проведення експертних (тематичних) досліджень і процедур проведення експертизи їх результатів;
формування та розгляд пропозицій щодо розробки та вдосконалення нормативно-правових актів з питань організації та проведення експертизи;
розгляд матеріалів з оцінки відповідності засобів КЗІ, які мають чинний документ про відповідність міжнародному стандарту ISO/IEC 15408 "The Common Criteria for Information Technology Security Evaluation" (з рівнем гарантії оцінювання не нижче четвертого (EAL4)), або засобів КЗІ, які внесені до переліку сертифікованих продуктів у НАТО (NATO Information Assurance Product Catalogue, NIAPC), що плануються до застосування для криптографічного захисту службової інформації в Україні;
аналіз та оцінка повноти, об'єктивності, достовірності результатів експертних (тематичних) досліджень, інших документів і матеріалів, які необхідні для прийняття остаточного рішення за результатами експертизи;
формування пропозицій щодо надання експертних висновків, зупинення дії або скасування експертних висновків;
підготовка пропозицій щодо погодження нормативної та технічної документації, що регламентує використання об'єктів експертизи;
розгляд питань щодо залучення юридичних осіб, фізичних осіб - підприємців як експертних (спеціалізованих експертних) організацій;
розгляд питань щодо залучення фахівців Держспецзв'язку, інших центральних органів виконавчої влади, юридичних осіб, фізичних осіб - підприємців як експертів у сфері КЗІ;
розгляд питань (у разі потреби) щодо напрямів та обсягу експертних (тематичних) досліджень;
розгляд та узгодження питань, що виникають у сфері організації та під час проведення експертизи.
10. Суб'єкти експертизи забезпечують конфіденційність інформації та дотримання авторських прав щодо наданих матеріалів.
11. Під час проведення досліджень та експертизи поводження з інформацією з обмеженим доступом здійснюється з дотриманням встановлених правил роботи з такою інформацією.
II. Порядок проведення експертних досліджень
1. Для проведення експертних досліджень замовник, заінтересований в отриманні експертного висновку, самостійно обирає експертну організацію, яка має ліцензію на провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації, що підлягає ліцензуванню.
2. Основним документом, що регламентує відносини між замовником експертних досліджень та експертною організацією, є укладений між ними договір на проведення експертних досліджень.
3. Орієнтовний перелік документів та матеріалів, необхідних для проведення експертних досліджень криптографічних засобів вітчизняного виробництва, наведено у додатку 1 до цього Положення.
4. Орієнтовний перелік документів та матеріалів, необхідних для проведення експертних досліджень криптографічних засобів іноземного виробництва, наведено у додатку 2 до цього Положення.
5. Зазначені у пунктах 3, 4 цього розділу переліки можуть обґрунтовано уточнюватися експертними організаціями з урахуванням особливостей криптографічних засобів.
6. Для проведення експертних досліджень таких об'єктів експертизи, як звіти про наукові дослідження і розробки, інші результати наукової та науково-технічної діяльності у сфері КЗІ, замовник експертних досліджень надає експертній організації відповідний об'єкт експертизи.
Для проведення експертних досліджень таких об'єктів експертизи, як криптографічні алгоритми та протоколи, замовник експертних досліджень надає експертній організації відповідний опис об'єктів експертизи, а також матеріали щодо визначення їх якостей, які повинні містити обґрунтування коректності об'єктів експертизи, математичне обґрунтування їх стійкості, програмну модель об'єктів експертизи на будь-якій мові програмування високого рівня.
7. Документи та матеріали на об'єкт експертизи надаються українською мовою. Для об'єктів експертизи іноземного виробництва допускається надання документів та матеріалів англійською мовою за погодженням з експертною організацією.
8. Після укладення договору на проведення експертних досліджень замовник експертних досліджень письмово інформує Адміністрацію Держспецзв'язку про:
найменування об'єкта експертних досліджень та його ідентифікаційні ознаки (назва об'єкта експертних досліджень, його виробник (розробник), одиниця виміру (кількість), розмір партії, які підлягають експертним дослідженням (із зазначенням серійних (заводських) номерів), кількість та серійні (заводські) номери зразків, які планується пред'явити для відбору та ідентифікації, дата їх виготовлення тощо);
обрану експертну організацію;
мету проведення експертних досліджень;
термін проведення експертних досліджень за договором;
орієнтовну дату готовності до пред'явлення зразків об'єкта експертних досліджень для ідентифікації та відбору.
9. У разі змін за договором, що стосуються найменування об'єкта експертних досліджень, мети та термінів проведення експертних досліджень або припинення договірних відносин між замовником експертних досліджень і експертною організацією замовник експертних досліджень додатково письмово інформує про зазначене Адміністрацію Держспецзв'язку.
10. Після укладення договору на проведення експертних досліджень між замовником експертних досліджень та експертною організацією проводиться процедура ідентифікації та відбору зразків об'єктів досліджень.
11. Ідентифікація та відбір зразків об'єктів досліджень здійснюються представниками Адміністрації Держспецзв'язку та експертної організації у присутності представника замовника досліджень.
12. Ідентифікація та контроль цілісності програмного забезпечення (його складових частин) криптографічних засобів, які надаються на дослідження, здійснюються шляхом застосування програмного забезпечення для обчислення геш-функції за ДСТУ 7564:2014 "Інформаційні технології. Криптографічний захист інформації. Функція ґешування" (в одному з режимів "Купина-256", "Купина-384" або "Купина-512", з використанням нульового вектора ініціалізації), яке має позитивний експертний висновок у сфері КЗІ. При цьому в технічній документації вказується результат гешування.
Для ідентифікації та контролю цілісності програмного забезпечення (його складових частин) криптографічних засобів допускається застосування іншого програмного забезпечення для обчислення геш-функцій за державними стандартами, що визначають вимоги до геш-функцій, яке має позитивний експертний висновок у сфері КЗІ. Для контролю цілісності може також використовуватися в порядку, визначеному законодавством, електронний підпис.
Ідентифікація доопрацьованого в ході досліджень програмного забезпечення (його складових частин) криптографічних засобів здійснюється згідно з абзацом першим або другим цього пункту. Усі внесені в таке програмне забезпечення (його складові частини) зміни викладаються у відповідній пояснювальній записці.
13. Під час ідентифікації та відбору зразків перевіряються найменування об'єктів досліджень, комплектність, наявність необхідної технічної та (або) програмної документації, відповідність серійних (заводських) номерів зразків номерам, зазначеним у документації.
14. За результатами ідентифікації та відбору зразків об'єктів досліджень Адміністрація Держспецзв'язку складає акт ідентифікації та відбору зразків для проведення експертних (тематичних) досліджень за формою, наведеною у додатку 3 до цього Положення (далі - акт ідентифікації та відбору).
15. Відомості, що вказуються в актах приймання-передачі, які складаються під час передачі представником замовника досліджень та приймання представником експертної організації зразків об'єкта досліджень, технічної та експлуатаційної документації, або у супровідних листах, якими надсилаються зразки об'єкта досліджень, технічна та експлуатаційна документація, повинні відповідати відомостям, що вказуються в акті ідентифікації та відбору.
16. Для проведення експертних досліджень експертними організаціями розробляються програми та методики проведення експертних досліджень.
Під час підготовки програм та методик експертні організації можуть уточнити перелік необхідних для проведення досліджень документів, матеріалів та спеціального устаткування.
Розроблені програма та методика затверджуються керівником експертної організації, після чого надсилаються до Адміністрації Держспецзв'язку на погодження.
За результатами розгляду програма та методика погоджуються Адміністрацією Держспецзв'язку протягом десяти робочих днів.
17. За результатами експертних досліджень експертні організації готують, затверджують протоколи (звіти) досліджень, зміст яких повинен відповідати вимогам програми та методики проведення досліджень, а також повинен містити:
загальні відомості щодо об'єкта досліджень (найменування, склад, призначення, функції);
результати відбору та ідентифікації зразків об'єкта досліджень, а також результати гешування програмного забезпечення (його складових частин) об'єкта досліджень;
мету проведення експертних досліджень;
порядок та результати проведення експертних досліджень;
висновки щодо відповідності об'єкта експертних досліджень вимогам нормативно-правових актів у сфері КЗІ, оцінки ступеня захищеності інформації та можливості використання об'єкта досліджень за призначенням;
висновки (у разі потреби) щодо погодження нормативної та технічної документації об'єкта експертних досліджень (зокрема, технічних умов).
18. Програми та методики, протоколи (звіти) експертних досліджень експертна організація надсилає до Адміністрації Держспецзв'язку на експертизу. Додатково експертна організація надсилає до Адміністрації Держспецзв'язку проєкт технічних умов та/або іншу документацію (у разі їх надання заявником у складі матеріалів експертних досліджень), що підлягають погодженню Адміністрацією Держспецзв'язку.
19. Проведення тематичних досліджень криптографічних засобів, криптографічних алгоритмів і протоколів, призначених для захисту службової інформації або інформації, що становить державну таємницю, здійснюється спеціалізованою експертною організацією в порядку, визначеному окремим нормативно-правовим актом Адміністрації Держспецзв'язку.
III. Порядок проведення експертизи
1. Структурний підрозділ Адміністрації Держспецзв'язку, який організовує експертизу, протягом тридцяти календарних днів з дня отримання протоколів (звітів) експертних (тематичних) досліджень розглядає їх на предмет відповідності програмі та методиці проведення експертних (тематичних) досліджень, повноти, об'єктивності, достатності та інших характеристик, та у разі їх відповідності готує пропозиції та вносить їх на засідання Експертної комісії.
2. У разі невідповідності протоколів (звітів) експертних (тематичних) досліджень вимогам пункту 1 цього розділу Адміністрація Держспецзв'язку повертає їх до експертної (спеціалізованої експертної) організації на доопрацювання.
3. У разі відповідності протоколів (звітів) експертних (тематичних) досліджень вимогам пункту 1 цього розділу на підставі рішення Експертної комісії Адміністрація Держспецзв'язку готує та надсилає замовнику експертний висновок за формою, наведеною у додатку 4 до цього Положення, а також погоджує технічні умови (у разі їх наявності). Строк підготовки та надсилання замовнику експертного висновку не повинен перевищувати двадцяти календарних днів з дати ухвалення рішення Експертною комісією.
4. Експертний висновок може бути виданий на один зразок криптографічного засобу, партію криптографічних засобів, а також криптографічний засіб, що виробляється серійно (за наявності технічних умов на нього).
5. В експертному висновку на криптографічний засіб, для якого не розроблялися технічні умови, наводиться значення щодо гешування програмного забезпечення такого засобу (програмного коду, його складових частин, програмних модулів тощо), яке здійснюється відповідно до пункту 12 розділу II цього Положення.
Експертний висновок на конкретний програмний (вбудований програмний, гібридний, вбудований гібридний) криптографічний засіб поширюється на його копії, якщо результати їх гешування, обчислені відповідно до вимог пункту 12 розділу II цього Положення, збігаються з результатом гешування, наведеним в експертному висновку.
6. Термін дії експертного висновку визначається з урахуванням якостей криптографічного засобу, умов та граничного терміну його експлуатації та може становити:
на одиничний криптографічний засіб або партію криптографічних засобів - до 3 років;
на криптографічні засоби, що виготовляються серійно (за наявності технічних умов) - до 5 років;
на програмний (вбудований програмний, гібридний, вбудований гібридний) криптографічний засіб (із зазначенням значення щодо його гешування в експертному висновку) - до 5 років.
Термін дії експертного висновку на криптографічний засіб, виданий за результатами експертизи матеріалів з оцінки відповідності цього криптографічного засобу міжнародному стандарту ISO/IEC 15408 "The Common Criteria for Information Technology Security Evaluation", не може перевищувати терміну дії чинного документа про його відповідність міжнародному стандарту ISO/IEC 15408 "The Common Criteria for Information Technology Security Evaluation".
Термін дії експертного висновку на криптографічний засіб, внесений до переліку сертифікованих продуктів у НАТО (NATO Information Assurance Product Catalogue, NIAPC), виданого за результатами експертизи матеріалів з оцінки відповідності такого засобу КЗІ в НАТО, не може перевищувати терміну дії чинного сертифіката, на підставі якого він був внесений до зазначеного переліку сертифікованих продуктів у НАТО.
Термін дії експертного висновку на криптографічні алгоритми та протоколи - до 5 років.
7. Дія експертного висновку на криптографічні засоби, що виготовляються серійно, поширюється на всі засоби, які вироблені в період дії експертного висновку, з урахуванням гарантійного терміну їх експлуатації.
8. Експертні висновки, термін дії яких закінчився, втрачають чинність.
9. З метою забезпечення безперервності використання об'єкта експертизи за шість місяців до закінчення терміну дії експертного висновку на нього проводяться контрольні експертні дослідження. Контрольні експертні дослідження проводяться у порядку, визначеному в розділі II цього Положення.
10. Залежно від умов експлуатації та специфіки застосування об'єкта експертизи та з метою забезпечення безперервності його використання за призначенням, а також у випадку, якщо термін дії його чинного експертного висновку закінчується раніше завершення контрольних експертних досліджень, на підставі обґрунтованого запиту замовника за рішенням Експертної комісії може бути виданий експертний висновок на період проведення контрольних експертних досліджень. Дія такого експертного висновку не може перевищувати терміну дії договору. Строк підготовки та надсилання замовнику експертного висновку не повинен перевищувати двадцяти календарних днів з дати ухвалення рішення Експертною комісією.
11. Протягом періоду дії правового режиму воєнного стану та трьох місяців з дня його припинення або скасування та з метою забезпечення безперервності використання криптографічного засобу за призначенням термін дії експертного висновку на нього може бути продовжений на шість місяців на підставі запиту замовника за рішенням Експертної комісії у разі надання замовником досліджень обґрунтованих підстав щодо неможливості своєчасного проведення контрольних експертних (контрольних тематичних) досліджень. Про прийняте рішення Адміністрація Держспецзв'язку повідомляє замовника протягом двадцяти календарних днів з дня отримання його запиту.
12. У разі виникнення потреби у внесенні змін до криптографічного засобу, що має експертний висновок, або до документації на такий криптографічний засіб, зміни технології його виробництва замовник повинен письмово повідомити про це Адміністрацію Держспецзв'язку та надати відповідні матеріали з пояснювальною запискою щодо обґрунтування впливу змін на якості зазначеного криптографічного засобу. Адміністрація Держспецзв'язку за результатами аналізу наданих замовником матеріалів приймає рішення щодо надання дозволу на внесення змін або необхідності проведення експертних (тематичних) досліджень. Замовник або Адміністрація Держспецзв'язку мають право залучати до прийняття такого рішення експертну (спеціалізовану експертну) організацію, яка проводила дослідження. Про прийняте рішення Адміністрація Держспецзв'язку повідомляє замовника протягом тридцяти календарних днів з дня отримання його повідомлення.
13. Експертний висновок може бути зупинений або скасований Адміністрацією Держспецзв'язку за пропозицією Експертної комісії.
14. Підставами для зупинення дії експертного висновку є:
отримання відповідної заяви власника експертного висновку (надсилається у довільній формі до Адміністрації Держспецзв'язку із зазначенням реєстраційного номера Експертного висновку);
наявність фактів порушення вимог щодо технології виготовлення, правил приймання, методів контролю та випробувань, зміни конструкції (складу) та комплектності криптографічних засобів або інших відомостей, узгоджених під час проведення експертизи;
наявність персональних спеціальних економічних санкцій та інших обмежувальних заходів до замовників експертних (тематичних) досліджень (власників експертного висновку), які унеможливлюють використання об'єкта експертизи в обсязі, визначеному експертним висновком.
Підставами для скасування експертного висновку є:
отримання відповідної заяви власника експертного висновку (надсилається у довільній формі до Адміністрації Держспецзв'язку із зазначенням реєстраційного номера Експертного висновку);
наявність фактів несанкціонованого внесення змін в об'єкт експертизи або документацію на нього;
наявність фактів надання недостовірної інформації в документах та матеріалах експертизи, якщо така інформація мала значення для вирішення питання про надання позитивного експертного висновку на об'єкт експертизи;
наявність фактів правопорушення в сфері наукової і науково-технічної експертизи відповідно до Закону України "Про наукову і науково-технічну експертизу";
наявність фактів неналежного рівня (ступеня) захищеності інформації з використанням криптографічного засобу, криптографічного алгоритму чи протоколу або їх невідповідності криптографічного засобу сучасним вимогам щодо криптографічного захисту інформації;
встановлення невідповідності криптографічного засобу, криптографічного алгоритму чи протоколу вимогам нормативно-правових актів у сфері КЗІ за результатами проведення його контрольних експертних досліджень та державної експертизи їх результатів.
15. У разі зупинення дії або скасування експертного висновку Адміністрація Держспецзв'язку протягом семи календарних днів інформує про це власника експертного висновку, який у свою чергу інформує органи державної влади, державні органи та органи місцевого самоврядування, юридичні особи, фізичні особи - підприємці, яким надавався або за місцезнаходженням яких надсилався експертний висновок (його копії).
16. Рішення, прийняті у рамках проведення експертизи, можуть бути оскаржені у порядку адміністративного оскарження відповідно до Закону України "Про адміністративну процедуру".
| Директор Департаменту захисту інформації Адміністрації Держспецзв'язку | Андрій ГОЛОВЕНКО |
Додаток 1
до Положення про державну експертизу в сфері криптографічного захисту інформації
(пункт 3 розділу II)
Орієнтовний перелік документів та матеріалів, необхідних для проведення експертних досліджень криптографічних засобів вітчизняного виробництва
1. Зразки криптографічних засобів.
2. Експлуатаційна документація та документація із забезпечення безпеки інформації при використанні криптографічного засобу (інструкція (настанова, керівництво тощо) з експлуатації, інструкція із забезпечення безпеки експлуатації криптографічного засобу та інструкція щодо порядку генерації ключових даних і поводження (облік, зберігання, знищення) з ключовими документами (для криптографічних засобів видів А та Б, підвидів Б1 та Б2), а також інструкція про порядок застосування виробу у складі криптографічного засобу виду А або Б, підвидів Б1 та Б2 (для криптографічних засобів виду В).
3. Опис системи генерації, тестування та розподілу ключів криптографічних систем або засобів КЗІ.
4. Опис інтерфейсів (протоколів).
5. Висновки відповідних органів державного контролю та нагляду (за наявності).
6. Результати проєктних розрахунків, випробувань.
7. Звіти про випробування.
8. Технічні умови (для криптографічних засобів, які заплановано виготовляти серійно) або проєкт технічних умов (для криптографічних засобів, які заплановано виготовляти серійно та які вперше подаються на експертні дослідження)*.
9. Технічна документація на апаратні компоненти:
технічні завдання (згідно з ДСТУ 3973-2000 "Система розроблення та поставлення продукції на виробництво. Правила виконання науково-дослідних робіт. Загальні положення", ДСТУ 3974-2000 "Система розроблення та поставлення продукції на виробництво. Правила виконання дослідно-конструкторських робіт. Загальні положення");
функціональні, принципові та монтажні схеми компонентів;
специфікація на елементну базу; у разі застосування спеціальної елементної бази - документація на спеціальну елементну базу;
опис методів перетворення мовного сигналу (для мовних пристроїв);
опис схемотехнічних рішень із забезпечення захисту від несанкціонованого доступу до критичної (ключової) інформації;
опис змісту запам'ятовувальних пристроїв та відомості про можливість здійснення контролю цього змісту;
опис протоколів взаємодії складових частин (модулів) компонентів;
програмний імітатор роботи компонентів (за наявності).
10. Програмна документація на програмні компоненти:
технічне завдання;
технічні умови;
специфікація;
тексти програм;
описи програм;
програма та методика випробувань (за наявності);
настанова системного програміста;
настанова програміста;
настанова оператора.
Примітка.
____________
* рішення щодо необхідності розроблення проєкту технічних умов для програмних (вбудованих програмних, гібридних, вбудованих гібридних) криптографічних засобів приймається замовником їх розробки.
____________
Додаток 2
до Положення про державну експертизу в сфері криптографічного захисту інформації
(пункт 4 розділу II)
Орієнтовний перелік документів та матеріалів, необхідних для проведення експертних досліджень криптографічних засобів іноземного виробництва
1. Зразки криптографічних засобів.
2. Документ виробника про гарантії та відповідність криптографічних засобів вимогам чинних нормативних документів країни походження криптографічних засобів та/або уповноваженого органу з оцінки відповідності іноземної держави.
3. Документи, що підтверджують походження об'єкта експертних досліджень.
4. Висновки відповідних органів державного контролю та нагляду (за наявності).
5. Сертифікати відповідності, інші документи, які підтверджують властивості криптографічних засобів, видані іноземними відомствами та органами, матеріали та результати випробувань.
6. Нормативні документи (стандарти, специфікації тощо), які встановлюють вимоги до криптографічних засобів.
7. Настанова користувача та технічні вимоги до забезпечення безпеки інформації при використанні криптографічних засобів.
8. Опис усіх застосованих у криптографічних засобах алгоритмів криптографічних перетворень та криптопротоколів.
9. Опис системи генерації, тестування та розподілу ключів.
10. Опис зовнішніх протоколів роботи криптографічних засобів.
11. Технічна документація на апаратні компоненти криптографічних засобів:
функціональні, принципові та монтажні схеми компонентів;
специфікація на елементну базу, а у разі застосування спеціальної елементної бази - документація на спеціальну елементну базу;
опис методів перетворення мовного сигналу (для мовних пристроїв);
опис схемотехнічних рішень із забезпечення захисту від несанкціонованого доступу до критичної (ключової) інформації;
опис змісту запам'ятовувальних пристроїв та відомості про можливість здійснення контролю цього змісту;
опис протоколів взаємодії складових частин (модулів) компонентів;
програмний імітатор роботи компонентів (за наявності).
12. Документація на програмні компоненти криптографічних засобів:
специфікація;
описи та тексти програм;
програма та методика випробувань (за наявності);
настанова системного програміста;
настанова програміста;
настанова оператора.
____________
Додаток 3
до Положення про державну експертизу в сфері криптографічного захисту інформації
(пункту 14 розділу II)
АКТ
ІДЕНТИФІКАЦІЇ ТА ВІДБОРУ ЗРАЗКІВ
| Найменування засобу, виробник (розробник) | Розмір партії (кількість наданих зразків) | Кількість відібраних зразків | Номери відібраних зразків | Дата виготовлення | Примітки |
| Назви файлів | Значення геш-векторів |
____________
Додаток 4
до Положення про державну експертизу в сфері криптографічного захисту інформації
(пункт 3 розділу III)
ЕКСПЕРТНИЙ ВИСНОВОК
____________