Роботи організуються відповідно до вимог ліцензії на провадження господарської діяльності з надання послуг в галузі технічного захисту інформації .
Порядок проведення експертизи (визначений Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087 та НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах").
Для проведення експертизи КСЗІ в ІТС або засобу технічного захисту інформації Замовник надсилає заяву встановленої форми на ім’я Голови (заступника Голови) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку) за адресою: м. Київ, вул. Солом'янська, 13.
За результатами розгляду заяви у місячний термін приймається рішення про можливість й доцільність проведення експертизи та визначення підрозділу Держспецзв’язку, підприємства, установи або організації, які проводитимуть експертизу (далі - Організатор експертизи).
Відносини між Замовником і Організатором експертизи регламентуються укладеним між ними договором про проведення експертизи. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. У разі значного обсягу експертних робіт термін проведення експертизи може бути продовжений за згодою Адміністрації Держспецзв’язку та Замовника.
Процедура проведення державної експертизи передбачає виконання наступних робіт:
- попереднє ознайомлення з ОЕ;
- поглиблене обстеження ОЕ;
- розроблення програми експертизи;
- розроблення методики експертизи;
- проведення експертних випробувань та досліджень ОЕ за розробленими програмою та методикою;
- документування та затвердження результатів експертизи.
Для цього Замовник надає Організатору експертизи комплект організаційно-технічної документації на КСЗІ в ІТС або засіб ТЗІ, необхідний для проведення експертних випробувань.
Організатор експертизи, за результатами аналізу наданих Замовником документів і з урахуванням загальних методик оцінювання задекларованих характеристик об’єкта експертизи, формує програму і окремі методики проведення експертизи та розробляє, у разі необхідності, порядок відбору зразків засобів ТЗІ для проведення випробувань і відповідне програмно-технічне забезпечення (Використовуються НД ТЗІ 2.7-009-09 "Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу" та НД ТЗІ 2.7-010-09 "Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу").
Програма проведення експертизи узгоджується із Замовником та Адміністрацією Держспецзв’язку.
Терміни розробки окремих методик та необхідного програмно-технічного забезпечення залежать від характеру та складності об’єкта експертизи і визначаються у договорі на проведення експертизи.
Результати експертних робіт за окремими методиками оформлюються у вигляді протоколу виконання робіт, затвердженого Організатором експертизи.
У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ, Організатор експертизи може запропонувати Замовнику виконати доробку КСЗІ в ІТС або засобу ТЗІ. Терміни доробки визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором експертизи.
Відомості щодо всіх доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.
За результатами проведених робіт Організатор експертизи складає експертний висновок щодо відповідності КСЗІ в ІТС або засобу ТЗІ вимогам нормативних документів з ТЗІ й разом з протоколом виконання робіт та подає до Адміністрації Держспецзв’язку.
У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи, він може звернутися до Адміністрації Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням Організатором експертизи експертних робіт.
