ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
Н А К А З
N 53 від 30.11.99 Зареєстровано в Міністерстві
м.Київ юстиції України
15 грудня 1999 р.
vd991130 vn53 за N 868/4161
Про затвердження Положення про порядок розроблення,
виготовлення та експлуатації засобів криптографічного
захисту конфіденційної інформації
Відповідно до Законів України "Про інформацію" ( 2657-12 ),
"Про підприємництво" ( 698-12 ), "Про захист прав споживачів"
( 1023-12 ); на виконання вимог Положення про порядок здійснення
криптографічного захисту інформації в Україні, яке затверджене
Указом Президента України від 22 травня 1998 року N 505/98, та
Інструкції про умови і правила провадження підприємницької
діяльності (ліцензійні умови), пов'язаної з розробленням,
виготовленням, ввезенням, вивезенням, реалізацією та використанням
засобів криптографічного захисту інформації, а також з наданням
послуг із криптографічного захисту інформації, та контроль за їх
дотриманням, яка затверджена наказом Ліцензійної палати України та
Департаменту спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України від 17 листопада 1998 року
N 104/81 ( z0760-98 ) та зареєстрована в Міністерстві юстиції
України 30 листопада 1998 року за N 760/3200, а також Тимчасової
інструкції про порядок постачання і використання ключів до засобів
криптографічного захисту інформації, яка затверджена спільним
наказом Держстандарту України та Служби безпеки України від
28 листопада 1997 року N 708/156 ( z0598-97 ), з метою
вдосконалення порядку розроблення, виготовлення та експлуатації
засобів криптографічного захисту конфіденційної інформації в
Україні Н А К А З У Ю:
1. Затвердити Положення про порядок розроблення, виготовлення
та експлуатації засобів криптографічного захисту конфіденційної
інформації (далі - Положення), що додається.
2. Головному управлінню криптографічного захисту та розвитку
спеціальних телекомунікаційних систем Департаменту спеціальних
телекомунікаційних систем та захисту інформації СБ України в
установленому порядку подати Положення в п'ятиденний термін на
державну реєстрацію до Міністерства юстиції України, а також
забезпечити публікацію Положення в засобах масової інформації.
3. Контроль за виконанням цього наказу покласти на першого
заступника керівника Департаменту спеціальних телекомунікаційних
систем та захисту інформації СБ України.
Заступник Голови Служби Г.Лазарєв
Затверджено
Наказ Департаменту спеціальних
телекомунікаційних систем та
захисту інформації Служби
безпеки України 30.11.99 N 53
Зареєстровано в Міністерстві
юстиції України
15 грудня 1999 р.
за N 868/4161
Положення
про порядок розроблення, виготовлення та експлуатації
засобів криптографічного захисту конфіденційної
інформації
1. Загальні положення
1.1. Це Положення розроблене відповідно до Законів України
"Про інформацію" ( 2657-12 ), "Про підприємництво" ( 698-12 ),
"Про захист прав споживачів" ( 1023-12 ), Положення про порядок
здійснення криптографічного захисту інформації в Україні, що
затверджене Указом Президента України від 22 травня 1998 року
N 505/98, Інструкції про умови і правила провадження
підприємницької діяльності (ліцензійні умови), пов'язаної з
розробленням, виготовленням, ввезенням, вивезенням, реалізацією та
використанням засобів криптографічного захисту інформації, а також
з наданням послуг із криптографічного захисту інформації, та
контроль за їх дотриманням, яка затверджена наказом Ліцензійної
палати України та Департаменту спеціальних телекомунікаційних
систем та захисту інформації Служби безпеки України від
17 листопада 1998 року N 104/81 ( z0760-98z0760-98 ).
1.2. Вимоги цього Положення обов'язкові для виконання
суб'єктами підприємницької діяльності (далі - підприємства), що
здійснюють розробку, виготовлення та сертифікаційні випробування
засобів криптографічного захисту конфіденційної інформації (далі -
засоби КЗІ), а також для фізичних та юридичних осіб, що здійснюють
їх експлуатацію.
Дія цього Положення не поширюється на засоби, які призначені
для криптографічного захисту конфіденційної інформації, яка є
державною власністю.
1.3. Використані в цьому Положенні терміни та поняття мають
таке значення:
засіб КЗІ - апаратний, програмний, апаратно-програмний або
інший засіб, призначений для криптографічного захисту інформації.
До засобів КЗІ належать:
апаратні, програмні, апаратно-програмні засоби, що реалізують
криптографічні алгоритми перетворення інформації;
апаратні, програмні, апаратно-програмні засоби захисту від
нав'язування неправдивої інформації, включаючи засоби імітозахисту
та "електронного підпису", що реалізують криптографічні алгоритми
перетворення інформації;
апаратні, програмні, апаратно-програмні засоби, призначені
для виготовлення ключових документів або розподілу (управління)
ключових даних, які використовуються в засобах криптографічного
захисту інформації, незалежно від виду носія ключової інформації;
апаратні, програмні та апаратно-програмні засоби захисту
інформації від несанкціонованого доступу (НСД), що реалізують
криптографічні алгоритми перетворення інформації;
ключові дані - деякий набір значень змінних параметрів
криптографічного перетворення, використання яких дає змогу досягти
мети цього перетворення;
ключові документи - матеріальні об'єкти із зафіксованими
відповідним чином ключовими даними для подальшого практичного
застосування щодо криптографічного перетворення повідомлення;
конфіденційна інформація - відомості, які знаходяться у
володінні, користуванні або розпорядженні окремих фізичних або
юридичних осіб і поширюються за їх бажанням відповідно до
передбачених ними умов;
криптографічний захист інформації - вид захисту, що
реалізується за допомогою перетворень інформації з використанням
спеціальних даних (ключових даних) з метою приховування (або
відновлення) змісту інформації, підтвердження її справжності,
цілісності, авторства тощо;
обладнання КЗІ - технічні засоби, що взаємодіють із засобами
КЗІ або керують ними та можуть впливати на їх криптографічні
якості;
режим безпеки - реалізована система правових норм,
організаційних та організаційно-технічних заходів, яка створюється
на підприємствах під час розроблення, дослідження, виробництва та
експлуатації засобів КЗІ з метою обмеження доступу до
конфіденційної інформації;
спеціальні вимоги - вимоги до принципів побудови засобів КЗІ
та технічної реалізації криптографічних алгоритмів у засобах КЗІ,
вимоги до криптографічних якостей, а також вимоги і норми щодо
захисту від можливих каналів витоку небезпечних сигналів засобів
КЗІ;
спеціальні інформаційно-телекомунікаційні системи -
інформаційно-телекомунікаційні системи, призначені для обробки
інформації з обмеженим доступом, у яких захист інформації
забезпечується у тому числі з використанням засобів КЗІ;
технічний засіб обробки інформації - технічний засіб,
призначений для приймання, накопичення, зберігання, пошуку,
перетворення, відображення та передавання інформації каналами
зв'язку;
управління ключовими даними - дії, пов'язані з генерацією,
розподіленням, доставлянням, уведенням у дію, зміненням,
зберіганням, обліком та знищенням ключових даних, а також носіїв
ключових даних;
експертиза в галузі КЗІ (далі - експертиза) -
науково-технічна діяльність, метою якої є дослідження, аналіз,
оцінка або перевірка рівня захисту інформації в засобах КЗІ;
експертний висновок - відповідним чином документально
оформлені результати експертизи.
1.4. Захист конфіденційної інформації, що циркулює
(передається, приймається), обробляється та (або) зберігається в
спеціальних інформаційно-телекомунікаційних та інших системах,
забезпечується застосуванням засобів КЗІ, а також виконанням
відповідних організаційно-технічних та режимних заходів.
1.5. У процесі розробки, виготовлення та експлуатації засобів
беруть участь і взаємодіють між собою:
замовники;
розробники;
виробники;
організації (особи), що експлуатують засоби КЗІ.
1.6. Підприємства, що здійснюють розробку, виготовлення
засобів КЗІ, визначають режим безпеки та режим доступу до
інформації про вироби, що розроблюються (виготовляються),
включаючи належність її до категорії конфіденційної, та
встановлюють для неї систему (способи) захисту.
1.7. Інформація з питань криптографічного захисту інформації,
що надається з боку Департаменту спеціальних телекомунікаційних
систем та захисту інформації Служби безпеки України (далі -
Департамент), уважається конфіденційною. Режим безпеки щодо
використання цієї інформації встановлюється Департаментом.
1.8. Підприємства, що здійснюють розробку та виготовлення
засобів КЗІ, повинні мати ліцензію від Департаменту на право
провадження таких робіт.
Порядок видачі, переоформлення, призупинення, анулювання та
поновлення дії ліцензії, обліку виданих ліцензій визначається
Положенням про порядок ліцензування підприємницької діяльності,
затвердженим постановою Кабінету Міністрів України від 3 липня
1998 року N 1020 ( 1020-98-п ) "Про порядок ліцензування
підприємницької діяльності".
1.9. Замовниками засобів КЗІ можуть виступати юридичні та
фізичні особи, які здійснюють на договірній основі фінансування
робіт зі створення засобів КЗІ, або ті, що уклали договір на
виготовлення та постачання цих засобів з підприємствами.
1.10. Підприємства, що розробляють та виготовляють засоби
КЗІ, реалізують спеціальні вимоги до цих засобів шляхом розробки
та вибору потрібних алгоритмічних, програмних, схемно-технічних,
конструкторських та технологічних рішень, які забезпечують
виконання державних стандартів України та нормативно-правових
актів Департаменту.
2. Особливості розроблення засобів КЗІ
2.1. Розроблення засобів КЗІ здійснюється у відповідності з
технічним завданням (ТЗ), яке готується замовником цих виробів або
спільно замовником і виконавцем, та узгоджується до початку цих
робіт з їх виконавцем.
2.2. Замовники засобів КЗІ на підставі відповідних договорів
узгоджують з Департаментом ТЗ на створення засобів КЗІ.
ТЗ, яке подається на узгодження в Департамент, має бути
оформлено відповідно до вимог чинних стандартів та інших
нормативних документів.
2.3. До ТЗ на розробку засобів КЗІ включаються такі
відомості:
тип засобів КЗІ, в тому числі:
види інформації, що підлягає обробці;
швидкість обробки інформації;
необхідний рівень захисту інформації, що обробляється засобом
КЗІ;
виконання і технологічні особливості реалізації виробу;
типи обладнання КЗІ;
типова схема організації зв'язку;
тип каналів зв'язку із зазначенням допустимих відхилень
параметра каналу, при яких має бути забезпечене стійке
функціонування засобів КЗІ;
тип протоколу входження у зв'язок, включаючи вимоги до
синхронізації обміну даними;
спеціальні вимоги до засобів КЗІ;
тип криптографічного алгоритму і вимоги до його реалізації, в
тому числі:
порядок моделювання і верифікації моделей;
порядок реалізації і тестування програмного забезпечення
засобів КЗІ;
вимоги щодо перешкодостійкості і криптостійкості алгоритму;
тип ключової системи та її організації, в тому числі:
вид ключів;
періодичність зміни ключів;
вимоги до систем генерації, розподілу та управління ключами;
вимоги до носіїв ключової інформації;
вимоги до імітозахисту повідомлень;
режим безпеки.
2.4. Для розробки засобів КЗІ використовується тільки
ліцензійне програмне забезпечення.
2.5. У засобах КЗІ повинні використовуватися криптоалгоритми
та криптопротоколи, які є державними стандартами України або
рекомендовані Департаментом.
Для отримання рекомендації щодо застосування криптоалгоритму
та (або) криптопротоколу розробник засобу КЗІ (розробник
криптоалгоритму та (або) криптопротоколу) надає Департаменту
комплект матеріалів, склад якого визначається у кожному випадку
окремо. Департамент забезпечує конфіденційність наданих
матеріалів.
2.6. Засоби КЗІ повинні розроблятися з урахуванням можливих
загроз з боку середовища, у якому передбачається їх застосування.
Розробник повинен передбачити організаційно-технічні заходи щодо
захисту від НСД, контролю цілісності програмного забезпечення
засобу КЗІ, забезпечення надійного механізму тестування засобу КЗІ
на правильність функціонування, а також обов'язкового блокування
роботи засобу КЗІ у разі виявлення порушень.
2.7. Розробник засобів КЗІ розробляє технічні умови (ТУ),
технічну та експлуатаційну документацію на засоби КЗІ.
3. Виробництво засобів КЗІ
3.1. Виробництво засобів КЗІ може здійснюватись тільки за
наявності ТУ, які розробляються, оформлюються та реєструються
відповідно до вимог чинних державних стандартів та інших
нормативних документів.
ТУ на засоби КЗІ в обов'язковому порядку узгоджуються з
Департаментом.
3.2. У ТУ на засоби КЗІ організацією-розробником цих виробів
при потребі включається перелік допустимих змін, які можуть
уноситись до виробів КЗІ без узгодження з Департаментом.
3.3. Виробники засобів КЗІ повинні:
забезпечити виконання усіх вимог ТУ, включаючи спеціальні
параметри, а також узгоджувати зміни, що вносяться у вироби та
документацію на них, з Департаментом;
визначати, за наявності вимог у ТУ, контрольний еталонний
зразок від партії виробів, що виготовляється, та утримувати його у
відповідності з установленими до нього вимогами;
забезпечити здійснення заходів щодо сертифікації або
експертизи засобів КЗІ;
забезпечити технічне обслуговування та гарантійний ремонт
засобів КЗІ, а також випуск і поставку запасних частин для засобів
КЗІ відповідно до Закону України "Про захист прав споживачів"
( 1023-121023-12 ).
4. Експлуатація засобів КЗІ
4.1. Для криптографічного захисту конфіденційної інформації
використовуються засоби КЗІ, які мають сертифікат відповідності,
або експертний висновок Департаменту, що видані відповідно до
вимог чинного законодавства.
Порядок і правила проведення сертифікації та експертизи
визначаються окремими нормативно-правовими актами.
4.2. Засоби КЗІ без уведених діючих ключових даних мають гриф
обмеження доступу, який відповідає грифу опису криптосхеми. Гриф
обмеження доступу засобів КЗІ із завантаженими ключовими даними
визначається грифом обмеження доступу ключових документів.
4.3. Гриф обмеження доступу ключових документів, що
використовуються засобами КЗІ, повинен відповідати максимальному
грифу обмеження доступу інформації, яка захищається.
4.4. Ключові документи, що постачаються Департаментом, не
можуть тиражуватися або використовуватися для засобів КЗІ, які не
обумовлені договором на постачання ключових документів.
4.5. Постачання та використання ключових даних і ключових
документів здійснюється у порядку, встановленому Департаментом.
4.6. Порядок обліку та зберігання ключових документів, які
отримані від Департаменту, узгоджується з Департаментом.
4.7. Користувачі засобів КЗІ повинні використовувати їх у
відповідності з вимогами експлуатаційної документації, інших
нормативних документів, що визначають порядок експлуатації, а
також забезпечення режиму безпеки.
4.8. Експлуатація засобів КЗІ здійснюється відповідно до
інструкцій щодо забезпечення безпеки експлуатації засобів КЗІ в
спеціальній інформаційно-телекомунікаційній (іншій) системі та
порядку використання ключових документів. Зазначені інструкції
затверджуються керівником організації, яка здійснює експлуатацію
засобів КЗІ.
4.9. Унесення змін до засобів КЗІ здійснюється за узгодженням
з виробником засобів КЗІ та з Департаментом.
Начальник 1 відділу 1 Управління
ГУ КЗРСТС ДСТСЗІ СБ України М.Вольський