АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ
04.12.2009 N 254

Зареєстровано
в Міністерстві юстиції України
29 грудня 2009 р. за N 1264/17280

Про внесення змін до наказу Адміністрації
Держспецзв'язку від 20.07.2007 N 141

Відповідно до частини першої статті 3 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ) та Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22.05.98 N 505, наказую:

1. Унести до наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 N 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису", зареєстрованого у Міністерстві юстиції України 30.07.2007 за N 862/14129, такі зміни:

1.1. Назву наказу викласти у такій редакції:

"Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації".

1.2. У пункті 1 наказу слова "конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису" замінити словом "інформації".

2. Затвердити Зміни до Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 N 141, зареєстрованого у Міністерстві юстиції України 30.07.2007 за N 862/14129, що додаються.

3. Начальнику Департаменту стратегії розвитку спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання в установленому порядку наказу на державну реєстрацію до Міністерства юстиції України.

4. Контроль за виконанням наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

5. Цей наказ набирає чинності з дня його офіційного опублікування.

Голова Служби Ю.Б.Чеботаренко

Затверджено
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
04.12.2009 N 254

Зареєстровано
в Міністерстві юстиції України
29 грудня 2009 р.за N 1264/17280

Зміни
до Положення про порядок розроблення,
виробництва та експлуатації засобів
криптографічного захисту конфіденційної
інформації та відкритої інформації
з використанням електронного цифрового підпису

1. Назву Положення викласти в такій редакції:

"Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації".

2. У пункті 1.1:

в абзаці першому слова "конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису" замінити словом "інформації";

абзац другий викласти в такій редакції:

"Особливості розроблення, виготовлення, уведення в експлуатацію та експлуатації засобів криптографічного захисту інформації, що становить державну таємницю, та конфіденційної інформації, що є власністю держави, визначаються відповідно до чинного законодавства.".

3. У пункті 1.2 слова "а також відкритої інформації з використанням електронного цифрового підпису" замінити словами "інформації, що є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також надійних засобів електронного цифрового підпису".

4. Пункт 1.3 викласти в такій редакції:

"1.3. На підставі цього Положення Національним банком України визначаються особливості розроблення, виробництва, випробувань, упровадження та експлуатації засобів криптографічного захисту інформації (далі - КЗІ), які розробляються, виробляються та випробовуються безпосередньо Національним банком України для власних потреб та потреб банківської системи України, а також особливості експлуатації засобів КЗІ Національного банку України в небанківських установах, що їх використовують.

Вимоги щодо застосування та особливості експлуатації засобів КЗІ для захисту інформації, що циркулює в банківській системі України, визначаються Національним банком України. Ця норма не поширюється на інформацію з обмеженим доступом, що є власністю держави.".

5. Пункт 1.4 після абзацу п'ятого доповнити новим абзацом шостим такого змісту:

"криптографічний модуль - блок, плата, мікросхема, програмний компонент тощо або їх сукупність, у яких реалізовані криптографічні перетворення та/або генерація (зберігання) ключових даних".

У зв'язку з цим абзаци шостий - тринадцятий вважати відповідно абзацами сьомим - чотирнадцятим.

6. У пункті 1.5:

абзаци другий - п'ятий викласти в такій редакції:

"апаратні засоби, алгоритм функціонування (у тому числі криптографічні функції) яких реалізовується в оптичних, механічних мікроелектронних або інших спеціалізованих пристроях та не може бути змінений під час експлуатації;

апаратно-програмні засоби, алгоритм функціонування (у тому числі криптографічні функції) яких реалізується програмним забезпеченням, яке встановлюється під час виробництва засобу КЗІ у спеціальному запам'ятовуючому пристрої, виконується в ньому та може бути змінено лише під час виробництва;

програмні засоби, алгоритм функціонування яких реалізується програмним забезпеченням, що функціонує під управлінням операційних систем електронно-обчислювальної техніки; окремі функції програмного засобу КЗІ (у тому числі криптографічні перетворення) можуть виконуватися апаратними або апаратно-програмними пристроями, що функціонують під управлінням програмного забезпечення засобу КЗІ.

Зміна алгоритму функціонування (у тому числі криптографічних перетворень) є розробкою нового засобу КЗІ або модернізацією існуючого та повинна здійснюватися відповідно до порядку розробки засобів КЗІ, визначеного цим Положенням. Користувач засобів КЗІ не повинен мати можливості зміни алгоритму функціонування (у тому числі криптографічних функцій) засобу КЗІ.";

після абзацу восьмого доповнити новими абзацами дев'ятим - одинадцятим такого змісту:

"засоби виду Б поділяються на:

підвид Б1 - вироби, які встановлюються в розрив телекомунікаційного каналу та/або розділяють потоки захищеної інформації та інформації, що підлягає захисту, а також вироби, що забезпечують відокремлення оброблення захищеної інформації та інформації, що підлягає захисту в обчислювальній системі;

підвид Б2 - апаратні, апаратно-програмні або програмні вироби, які підключаються до інших засобів та виконують функції криптографічних перетворень у взаємодії з ними або під їх управлінням;".

У зв'язку з цим абзаци дев'ятий - чотирнадцятий вважати відповідно абзацами дванадцятим - сімнадцятим;

абзац дванадцятий викласти в такій редакції:

"вид В - криптографічні модулі, які не використовуються (не експлуатуються) окремо, а застосовуються як складові частини при побудові засобів КЗІ видів А та Б.".

7. Пункт 2.3 викласти в такій редакції:

"2.3. НДР з розроблення нових принципів побудови і функціонування засобів КЗІ та ДКР з розроблення або модернізації існуючого зразка засобу КЗІ виконуються згідно з технічними завданнями (далі - ТЗ), які погоджуються виконавцем НДР (ДКР).".

8. Пункт 2.4 після абревіатури "НДР" доповнити словом та абревіатурою "та ДКР".

9. Абзац другий пункту 2.7 викласти в такій редакції:

"До розроблення ТЗ можуть залучатися організації, які мають ліцензію Адміністрації Держспецзв'язку та здійснюють сертифікаційні випробування (експертні роботи) криптосистем та засобів КЗІ. Такі організації не залучаються до виконання сертифікаційних випробувань (експертних робіт) щодо засобів КЗІ, у розробці ТЗ на які вони брали участь.".

10. У пункті 2.10:

абзац п'ятий викласти в такій редакції:

"вимоги до ключової системи та її організації;";

доповнити пункт новим абзацом шостим такого змісту:

"вимоги до носіїв ключової інформації;".

У зв'язку з цим абзаци шостий - чотирнадцятий вважати відповідно абзацами сьомим - п'ятнадцятим;

доповнити пункт новими абзацами шістнадцятим - дев'ятнадцятим такого змісту:

"У ТЗ на розроблення засобів КЗІ видів А та Б може, за необхідності, зазначатися порядок застосування криптографічних модулів та/або криптографічних функцій, що виконуються такими модулями.

Вимоги безпеки для криптографічних модулів, а також щодо перевіряння криптографічних модулів визначаються національними стандартами.

Вимоги цього пункту щодо змісту ТЗ на засоби КЗІ, які передбачаються для використання в банківській системі України, уточнюються Національним банком України.

ТЗ на НДР та ДКР з розроблення засобів КЗІ, призначених виключно для захисту інформації, що циркулює в банківській системі України, перед поданням на погодження до Адміністрації Держспецзв'язку погоджується з Національним банком України.".

11. Пункт 2.11 виключити.

У зв'язку з цим пункти 2.12 - 2.28 вважати відповідно пунктами 2.11 - 2.27.

12. Пункт 2.11 викласти в такій редакції:

"2.11. Вимоги до засобів КЗІ та вимоги до ключових даних (документів) можуть бути викладені в частковому (спеціальному) ТЗ, порядок оформлення, погодження та затвердження якого відповідає порядку, установленому для основного ТЗ, та здійснюється одночасно з оформленням, погодженням та затвердженням основного ТЗ.".

13. У пункті 2.12:

абзац другий викласти в такій редакції:

"Методики генерації ключових даних та управління ключами погоджуються з Адміністрацією Держспецзв'язку.";

доповнити пункт абзацом такого змісту:

"У цих методиках повинні наводитися методи та способи управління ключовими даними і порядок їх використання відповідно до обраного криптографічного алгоритму, види та кількість ключів, періодичність їх зміни, протоколи розподілу ключів. Можливість погодження цих методик визначається за результатами державної експертизи у сфері криптографічного захисту інформації.".

14. У пункті 2.14:

абзац третій викласти в такій редакції:

"для класу В3 - механізми контролю цілісності криптографічних перетворень та захисту ключових даних (для програмних засобів КЗІ - контролю цілісності програмного забезпечення), надійного тестування засобу на правильність функціонування та блокування його роботи в разі виявлення порушень;";

абзац п'ятий викласти в такій редакції:

"для класу В1 - механізми розмежування доступу до функцій засобу КЗІ, криптографічної схеми та ключових даних; довірений канал для отримання інформації, що підлягає захисту; механізми знищення ключових даних після закінчення терміну їх дії; механізми захисту ключових даних на їх носіях від несанкціонованого зчитування;";

доповнити пункт абзацами тринадцятим, чотирнадцятим такого змісту:

"Для криптографічного захисту інформації засоби КЗІ підвиду Б2 класів А1, Б1, Б2, В1 застосовуються як складова частина комплексу засобів захисту. Програмне забезпечення, під управлінням якого засоби КЗІ підвиду Б2 виконують свої функції, є невід'ємною частиною цих засобів.

Якщо для забезпечення контролю справжності, цілісності, авторства інформації використовуються криптографічні перетворення що здійснюються апаратними або апаратно-програмними засобами підвиду Б2 та/або виду В категорій "П" та "Р", обов'язковим є забезпечення взаємної автентифікації цих засобів та програмного застосування, що формує дані, які підлягають захисту.".

15. Пункт 2.15 після абзацу четвертого доповнити новим абзацом п'ятим такого змісту:

"формування/перевіряння електронного цифрового підпису;".

У зв'язку з цим абзаци п'ятий - сьомий вважати відповідно абзацами шостим - восьмим.

16. У пункті 2.22:

у першому абзаці слова "у ході виконання ДКР" виключити;

третій абзац викласти в такій редакції:

"У ході випробувань обробка та передавання інформації, зазначеної в пункті 1.2 цього Положення, забороняються.".

17. Пункт 2.24 викласти в такій редакції:

"2.24. За результатами випробувань дослідних зразків засобу КЗІ інструкція із забезпечення безпеки експлуатації засобу КЗІ та інструкція щодо порядку поводження з ключовими документами, за необхідності, доопрацьовуються розробником.

Інструкція із забезпечення безпеки експлуатації засобу КЗІ погоджується із замовником та надсилається до Держспецзв'язку під час проведення державної експертизи у сфері КЗІ. Інструкція із забезпечення безпеки експлуатації засобу КЗІ, призначеного для захисту відкритої інформації, що є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, погоджується з Держспецзв'язку обов'язково, після чого затверджується розробником.".

Начальник Департаменту стратегії розвитку спеціальних
інформаційно-телекомунікаційних систем
Адміністрації Держспецзв'язку О.А.Муригін