Обговорити проєкт
§ Підготовка до експертизи

Покрокова процедура отримання експертного висновку

Що відбувається після подання заявки до Адміністрації Держспецзв'язку: етапи, терміни, документи, ітерації.

ЧАС: 14 хв читання СКЛАДНІСТЬ: Розширена ОНОВЛЕНО: 2026-05-14

Експертиза захищеності — не одноразова перевірка, а процедура з 6 етапів, що триває від 3 до 9 місяців. Замовник, який не розуміє цієї послідовності, втрачає тижні на кожному переході. Стаття описує, що відбувається на кожному кроці і що готувати заздалегідь.

Нормативна основа

Процедура регулюється Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» та підзаконними актами Адміністрації Держспецзв’язку. Для конкретних класів АС додатково діють спеціальні нормативи (наприклад, для систем з державною таємницею).

Етап 1. Підготовка пакету документів

Тривалість: 4-12 тижнів, залежно від готовності системи.

Замовник готує: ТЗ на КСЗІ, повний пакет КСЗІ-документів (див. матеріал «КСЗІ для системи на UBD»), акт приймальних випробувань, протоколи тестування, документацію системи (архітектура, налаштування, схеми мереж).

Що готувати заздалегідь: повний пакет КСЗІ. Багато заявників починають готувати документи після подання заявки — це затягує процес на 1-2 місяці. Краще: повний пакет за тиждень до подання, перевірений зовнішнім консультантом.

Етап 2. Подання заявки і вибір експертної організації

Тривалість: 2-4 тижні.

Замовник подає заявку на проведення експертизи до Адміністрації Держспецзв’язку. Заявка містить: відомості про замовника, відомості про систему, перелік документів, що додаються, бажаний термін початку робіт.

Адміністрація призначає експертну організацію зі свого реєстру акредитованих. Замовник не вибирає експерта прямо, але може запропонувати кандидата з підстав (вже працюємо з цією організацією, наявність спеціалізації). Призначення затверджується Адміністрацією.

Що готувати: заявка з повним переліком документів, контактна особа з боку замовника, бюджет (експертиза — платна послуга).

Етап 3. Укладання договору з експертною організацією

Тривалість: 2-3 тижні.

Після призначення замовник і експертна організація укладають договір. Договір визначає: обсяг робіт, терміни, вартість, формат проміжних звітів. Стандартний термін експертизи у договорі — 60-90 робочих днів.

Що готувати: повноваження особи, що підписує договір, бюджетні документи (для держустанов — закупівельна процедура).

Етап 4. Власне проведення експертизи

Тривалість: 8-16 тижнів.

Це найбільший за тривалістю етап. Експертна організація проводить:

  • Аналіз документації (2-4 тижні): перевірка ТЗ, моделі загроз, програми випробувань, КСЗІ-пакету.
  • Виїзний аудит (1-2 тижні): фізична перевірка системи на майданчику замовника, інтерв’ю з адміністраторами, перегляд налаштувань.
  • Перевірочні тести (2-4 тижні): експерт самостійно проводить ключові тест-кейси з програми випробувань, можуть бути додаткові тести.
  • Формулювання зауважень (1-2 тижні): експерт оформлює перелік виявлених недоліків.
  • Усунення зауважень замовником (2-6 тижнів): замовник відповідає на зауваження, надає виправлення.
  • Повторна перевірка (1-2 тижні): експерт перевіряє усунення.

Що готувати: контактну особу з боку замовника, яка зможе оперативно відповідати на запити експерта. Більшість затримок виникають через повільні відповіді замовника.

Етап 5. Підготовка та видача висновку

Тривалість: 2-4 тижні.

Експертна організація формує експертний висновок. Висновок містить: опис системи, проведені перевірки, виявлені та усунуті недоліки, остаточну оцінку. Класи висновків — від «не відповідає» до «Г-3» (для систем без державної таємниці).

Висновок підписується експертом, погоджується Адміністрацією Держспецзв’язку, реєструється у єдиному реєстрі.

Етап 6. Дії після отримання висновку

Висновок отриманий — це не кінець. Замовник:

  • Реєструє систему у відповідних реєстрах державних інформаційних систем (для держустанов).
  • Використовує висновок у тендерах як підтвердження відповідності захищеності.
  • Підтримує актуальність КСЗІ — будь-які істотні зміни в системі вимагають оновлення документів і, можливо, повторної експертизи.
  • Готується до періодичної переатестації — як правило, кожні 3-5 років.

Орієнтовні терміни і вартість

Параметр Мінімум Типовий Максимум
Загальна тривалість 3 місяці 5-6 місяців 9 місяців
Кількість ітерацій зауважень 1 2-3 4+
Очікуваний обсяг ресурсу замовника (людино-тижні) 4-6 10-15 25+

Конкретні вартісні показники потребують запиту в експертної організації — публічних прайс-листів немає, оскільки вартість залежить від обсягу і класу АС.

Поширені причини затримок

  • Несвоєчасні відповіді замовника на запити експерта — до 30% загального часу.
  • Виявлення критичних дефектів, які потребують доопрацювання системи — додає 4-12 тижнів.
  • Зміни в системі під час експертизи — кожна істотна зміна вимагає повторної перевірки відповідних частин.
  • Кадрові зміни з боку замовника (звільнення відповідального) — затягує на 2-4 тижні мінімум.

Поради для скорочення термінів

  • Призначайте окрему особу, що працює виключно з експертизою — без перемикання на інші задачі.
  • Готуйте всі документи до подання, а не паралельно з ходом експертизи.
  • Не змінюйте систему під час експертизи (за винятком виправлення зауважень).
  • Якщо отримали зауваження — відповідайте протягом тижня, не довше.
  • Для повторних експертиз — зберігайте всю переписку з попередньої експертизи, експерт може бути той самий і пам’ятає історію.
[ ПРАКТИЧНА РЕАЛІЗАЦІЯ ]
Як UBD прискорює експертизу

UBD має чинний експертний висновок Г-3 з 2018 року, оновлювався 2 рази. Це означає: для нової системи, побудованої на UBD, обсяг експертизи значно менший. Експерт перевіряє прикладну специфіку, а не повторно сертифікує функції безпеки платформи. На практиці це скорочує тривалість експертизи на 30-50% і відповідно зменшує вартість.

UnityBaseDefense — технічна довідка →

Мітки
← Попередня
Типові зауваження експертів і як їх уникнути
Референсні архітектури →
Як принципи втілюються у конкретних системах