Державна експертиза у сфері технічного захисту інформації з метою підтвердження відповідності об'єкту експертизи

Державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою підтвердження відповідності об'єкту експертизи вимогам нормативних документів із технічного захисту інформації та можливості використання об'єкту експертизи для забезпечення технічного захисту інформації.

Об’єктами експертизи є:

          • комплексні системи захисту інформації (далі - КСЗІ), які є невід’ємною складовою інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);
          • апаратні, апаратно-програмні та програмні засоби, які реалізують функції технічного захисту інформації та/або оцінки стану захисту інформації (далі - засоби ТЗІ);
          • організаційно-технічне рішення для впровадження типової компоненти КСЗІ в ІТС (далі - ОТР КСЗІ).

ОТР КСЗІ - задокументоване уніфіковане рішення для багаторазового розгортання складових КСЗІ в ІТС, самодостатнє для вирішення певного завдання, що включає проектні рішення програмно-технічного комплексу, організаційно-технічні рішення щодо регламенту функціонування типової компоненти ІТС та опис (алгоритм) процедури впровадження (розгортання) компоненти КСЗІ в ІТС.

Для використання в органах державної влади та при створенні комплексних систем захисту інформації, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації (апаратні, апаратно-програмні і програмні засоби), які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.

Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються відповідно до порядку і визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Держспецзв’язку від 16.05.2007 р. № 93 (зі змінами).

Державна експертиза:

          • КСЗІ проводиться шляхом експертних випробувань або шляхом аналізу декларації.
          • ТЗІ та ОТР КСЗІ проводиться шляхом експертних випробувань;
          • КСЗІ шляхом аналізу декларації може проводитися у випадках, якщо:

1) КСЗІ створено у складі ІТС:
яка є одномашинним однокористувачевим комплексом, який обробляє інформацію одного або кількох ступенів обмеження доступу;
у кожний момент часу з якою може працювати тільки один користувач, хоч у загальному випадку осіб, що мають доступ до комплексу, може бути декілька;
у якій для захисту інформації від несанкціонованого доступу використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій для антивірусного захисту використовуються засоби, що мають чинний на момент подання декларації позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ;
у якій впровадження заходів захисту інформації від витоку технічними каналами (у разі потреби створення комплексу ТЗІ) засвідчено зареєстрованим у встановленому порядку актом атестації комплексу ТЗІ;

2) КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування чинний позитивний експертний висновок за результатами державної експертизи у сфері ТЗІ та має у складі документації форму декларації для цієї КСЗІ, яка погоджена Адміністрацією Держспецзв'язку.
У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних випробувань. 

Етапи робіт державної експертизи КСЗІ ІТС:

Етапи робіт, які виконують "під ключ" наші фахівці в процесі експертних випробувань КСЗІ ІТС:

          • Розробка "Програми та методики експертних випробувань КСЗІ ІТС";
          • Проведення державної експертизи КСЗІ ІТС;
          • Розробка "Протоколу проведення експертних випробувань КСЗІ ІТС";
          • Розробка та реєстрація "Експертного висновку КСЗІ ІТС" у регулятора;
          • Отримання "Атестату відповідності КСЗІ ІТС" від регулятора.

Етапи робіт державної експертизи засобів ТЗІ:

Етапи робіт, які виконують "під ключ" наші фахівці в процесі експертних випробувань апаратних, апаратно-програмних та програмних засобів ІТС:

          • Отримання від Замовника експертизи комплекту технічної документації на об’єкт експертизи, а також отримання зразків об’єкту експертизи;
          • Розробка та затвердження Технічних вимог за крітеріями технічного захисту інформації;
          • Розробка "Програми проведення експертних випробувань за критеріями технічного захисту інформації для об’єкту експертизи";
          • Розробка "Методики проведення експертних випробувань за критеріями технічного захисту інформації для об’єкту експертизи";
          • Проведення експертних випробувань та оформлення "Протоколу проведення експертних випробувань за критеріями технічного захисту інформації для об’єкту експертизи";
          • Розробка та реєстрація "Експертного висновку" у регулятора.

В процесі державної експертизи експерти ТОВ "НВП "СМАРТ СОЛЮШЕНС" використовують сучасні підходи, "найкращі практики", а також виконують роботи в межах правового поля та договірних відносин із Замовником.

Слід відзначити, що ТОВ "НВП "СМАРТ СОЛЮШЕНС" має усі необхідні дозвільні документи для провадження робіт у галузі держаної експертизи в сфері технічного захисту інформації, що в свою чергу дозволяє надавати повний спектр сертифікаційних послуги в сфері технічного захисту інформації підприємствам, установам, організаціям незалежно від їх форми власності.