Атестація відповідності КСЗІ

Порядок проведення експертизи (визначений Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087 та НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах").

Для проведення експертизи КСЗІ в ІТС або засобу технічного захисту інформації (далі - засіб ТЗІ) Замовник надсилає заяву встановленої форми на ім’я Голови (заступника Голови) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку).

За результатами розгляду заяви Держспецзв’язку у місячний термін приймає рішення про можливість та доцільність проведення експертизи та визначає IT Engineering у якості організатора експертизи.

Відносини між Замовником та організатором експертизи регламентуються укладеним між ними договором. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. У разі значного обсягу експертних робіт термін проведення експертизи може бути продовжений за згодою Адміністрації Держспецзв’язку та Замовника.

Замовник надає Організатору експертизи комплект організаційно-технічної документації на КСЗІ в ІТС, необхідної для проведення експертних випробувань.

Організатор експертизи, за результатами аналізу наданих Замовником документів і з урахуванням загальних методик оцінювання задекларованих характеристик об’єкта експертизи, формує програму і окремі методики проведення експертизи та розробляє, у разі необхідності, порядок відбору зразків засобів ТЗІ для проведення випробувань і відповідне програмно-технічне забезпечення.

Програма проведення експертизи узгоджується із Замовником та Департаментом з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації Держспецзв’язку, а окремі методики - з зазначеним департаментом. 

Терміни розробки окремих методик та необхідного програмно-технічного забезпечення залежать від характеру та складності об’єкта експертизи і визначаються у договорі.

Результати експертних робіт за окремими методиками оформлюються у вигляді протоколу виконання робіт, затвердженого організатором експертизи.

У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ, організатор експертизи може запропонувати Замовнику виконати доробку КСЗІ в ІТС або засобу ТЗІ. Терміни доробки визначається спільним протоколом або додатковою угодою до договору між Замовником та організатором експертизи.

Відомості щодо всіх доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.

За результатами проведених робіт організатор експертизи складає експертний висновок щодо відповідності КСЗІ в ІТС або засобу ТЗІ вимогам нормативних документів з ТЗІ і разом з протоколом виконання робіт подає до Адміністрації Держспецзв’язку.

У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи, він може звернутися до Адміністрації Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням організатором експертизи експертних робіт.