АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ

НАКАЗ
м. Київ

14.12.2015	N 767

Про внесення змiн до Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї

Зареєстровано в Мiнiстерствi юстицiї України 06 сiчня 2016 р. за N 22/28152

     Вiдповiдно до статтi 3 Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України", пiдпункту 1 пункту 3 Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 03 вересня 2014 року N 411, з метою удосконалення системи криптографiчного захисту iнформацiї наказую:

     1. Унести змiни до Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї, затвердженого наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 20 липня 2007 року N 141, зареєстрованого в Мiнiстерствi юстицiї України 30 липня 2007 року за N 862/14129 (iз змiнами), виклавши його в новiй редакцiї, що додається.

     2. Директору Департаменту криптографiчного захисту iнформацiї Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України в п'ятиденний строк пiсля пiдписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацiю до Мiнiстерства юстицiї України.

     3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спецiального зв'язку та захисту iнформацiї України.

     4. Цей наказ набирає чинностi з дня його офiцiйного опублiкування.

Голова Служби	Л. О. Євдоченко
ПОГОДЖЕНО:
Голова Нацiонального банку України	В. О. Гонтарева
Голова Нацiональної комiсiї, що здiйснює державне регулювання у сферi зв'язку та iнформатизацiї	О. Животовський
Голова Антимонопольного комiтету України	Ю. Терентьєв
Голова Державної регуляторної служби України	К. Ляпiна
В. о. Голови Державного комiтету телебачення i радiомовлення України	Б. О. Червак
Заступник Мiнiстра освiти i науки України	М. Стрiха

 

	ЗАТВЕРДЖЕНО Наказ Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України 20 липня 2007 року N 141 (у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 14 грудня 2015 року N 767)
	Зареєстровано в Мiнiстерствi юстицiї України 06 сiчня 2016 р. за N 22/28152

Положення
про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї

I. Загальнi положення

     1. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту державних iнформацiйних ресурсiв або iнформацiї, вимога щодо захисту якої встановлена законом.

     Особливостi розроблення, виготовлення, уведення в експлуатацiю та експлуатацiї засобiв криптографiчного захисту iнформацiї (далi - КЗI), що становить державну таємницю, та службової iнформацiї визначаються вiдповiдно до чинного законодавства.

     Розроблення засобiв КЗI, що фiнансується за рахунок коштiв Державного бюджету України, погоджується з Адмiнiстрацiєю Державної служби спецiального зв'язку та захисту iнформацiї України (далi - Адмiнiстрацiя Держспецзв'язку).

     Нацiональний банк України може розробляти засоби КЗI, призначенi виключно для забезпечення власних потреб та потреб банкiвської системи України, без погодження з Адмiнiстрацiєю Держспецзв'язку.

     2. Вимоги цього Положення обов'язковi для виконання державними органами, пiдприємствами, установами i органiзацiями незалежно вiд форм власностi (далi - органiзацiї), дiяльнiсть яких пов'язана з розробленням, виробництвом, сертифiкацiйними випробуваннями (експертними роботами) та експлуатацiєю засобiв КЗI, надiйних засобiв електронного цифрового пiдпису та засобiв, спецiально призначених для розроблення, дослiдження, виробництва та випробування засобiв КЗI.

     3. Порядок розроблення, виробництва, випробувань та експлуатацiї засобiв КЗI, якi розробляються та виробляються органiзацiями виключно для потреб Нацiонального банку України та банкiвської системи України, а також особливостi експлуатацiї таких засобiв КЗI небанкiвськими установами в iнформацiйних завданнях Нацiонального банку України визначаються Нацiональним банком України з урахуванням вимог цього Положення.

     Порядок розроблення, виробництва, випробувань та експлуатацiї засобiв КЗI, якi розробляються, виробляються, випробовуються безпосередньо Нацiональним банком України, використовуються ним виключно для власних потреб i потреб банкiвської системи України та небанкiвськими установами в iнформацiйних завданнях Нацiонального банку України, визначається Нацiональним банком України.

     4. У цьому Положеннi використовуються такi термiни:

     вимоги до засобiв КЗI - вимоги до принципiв побудови засобiв КЗI та технiчної реалiзацiї криптографiчних алгоритмiв у засобах КЗI, вимоги до криптографiчних якостей, а також вимоги i норми щодо захисту засобiв КЗI вiд витоку iнформативних сигналiв каналами побiчних електромагнiтних випромiнювань та наведень (далi - ПЕМВН);

     засiб КЗI - програмний, апаратно-програмний та апаратний засiб, призначений для криптографiчного захисту iнформацiї;

     ключовий документ - матерiальний носiй iз зафiксованими вiдповiдним чином ключовими даними;

     ключовi данi (ключ) - конкретний стан деяких параметрiв криптографiчного алгоритму, якi забезпечують вибiр одного криптографiчного перетворення iз сукупностi усiх можливих для цього криптографiчного алгоритму;

     компрометацiя - будь-який випадок (втрата, розголошення, крадiжка, несанкцiоноване копiювання тощо) з ключовими документами (ключовими даними) та засобами КЗI, який призвiв (може призвести) до розголошення (витоку) iнформацiї про них, а також iнформацiї, яка обробляється та передається;

     криптографiчне перетворення iнформацiї - перетворення iнформацiї з використанням ключових даних з метою приховування (вiдновлення) змiсту iнформацiї, пiдтвердження її справжностi, цiлiсностi, авторства, дати створення тощо;

     криптографiчний модуль - блок, плата, мiкросхема, програмний компонент тощо або їх сукупнiсть, у яких реалiзованi криптографiчнi перетворення та/або генерацiя (зберiгання) ключових даних;

     порушник - умовне позначення суб'єкта, який може навмисно чи ненавмисно здiйснити несанкцiонованi дiї щодо iнформацiї в системi;

     постачальник ключових документiв - органiзацiя або пiдроздiл, якi визначаються Адмiнiстрацiєю Держспецзв'язку для здiйснення постачання ключових документiв до засобiв КЗI;

     режим безпеки - система норм, органiзацiйних та органiзацiйно-технiчних заходiв, яка створена в державних органах, в органiзацiях пiд час розроблення, дослiдження, виробництва та експлуатацiї засобiв КЗI з метою обмеження доступу до iнформацiї;

     сертифiкацiйнi випробування - випробування засобiв КЗI, що проводяться з метою встановлення вiдповiдностi їх характеристик та властивостей вимогам нормативних документiв у сферi КЗI;

     технiчний засiб оброблення iнформацiї - технiчний засiб, призначений для приймання, накопичення, зберiгання, перетворення, вiдображення та передавання iнформацiї;

     управлiння ключовими даними - дiї, пов'язанi з генерацiєю, розподiленням, доставлянням, уведенням у дiю, змiненням, зберiганням, облiком та знищенням ключових даних, а також носiїв ключових даних;

     шифрування - перетворення вiдкритого тексту в шифротекст (зашифрування) та вiдновлення вiдкритого тексту iз шифротексту (розшифрування) при вiдомих ключових даних.

     Iншi термiни, використанi в цьому Положеннi, вiдповiдають термiнам, визначеним у нормативно-правових актах у сферi криптографiчного захисту iнформацiї та у сферi електронного цифрового пiдпису.

     5. Залежно вiд способу реалiзацiї розрiзняють такi типи засобiв КЗI:

     апаратнi засоби, алгоритм функцiонування (у тому числi криптографiчнi функцiї) яких реалiзовано в оптичних, механiчних, електронних або iнших спецiалiзованих пристроях та не може бути змiнено без змiни цих пристроїв;

     апаратно-програмнi засоби, алгоритм функцiонування (або окремi функцiї, у тому числi криптографiчнi) яких реалiзовано у їх спецiально для цього використаних апаратних компонентах (програмованих логiчних iнтегральних схемах, контролерах) i замiна алгоритму функцiонування (або окремих функцiй, у тому числi криптографiчних) яких можлива виробником цих засобiв без змiни апаратних компонентiв;

     програмнi засоби, алгоритм функцiонування (у тому числi криптографiчнi функцiї) яких реалiзовано програмним забезпеченням, що працює пiд управлiнням операцiйної системи обчислювальних або комунiкацiйних пристроїв загального призначення i може бути змiнено розробником цього програмного забезпечення, при цьому для роботи засобу непотрiбнi додатковi спецiально застосованi апаратнi компоненти.

     Змiна алгоритму функцiонування (у тому числi криптографiчних перетворень) є розробкою нового засобу КЗI або модернiзацiєю iснуючого та повинна здiйснюватися вiдповiдно до порядку розробки засобiв КЗI, визначеного роздiлом II цього Положення. Користувач засобiв КЗI не повинен мати можливостi змiни алгоритму функцiонування (у тому числi криптографiчних функцiй) засобу КЗI.

     Залежно вiд виконання встановлюються такi види засобiв КЗI:

     вид А - засоби, якi на конструктивному, алгоритмiчному та програмному рiвнях є єдиними виробами, що функцiонують (експлуатуються) вiдокремлено вiд будь-яких iнших технiчних засобiв;

     вид Б - засоби, якi на конструктивному, алгоритмiчному та програмному рiвнях є єдиними виробами та призначенi для використання у складi комплексiв оброблення та передавання iнформацiї.

     Засоби виду Б подiляються на:

     пiдвид Б1 - вироби, якi встановлюються в розрив телекомунiкацiйного каналу та/або роздiляють потоки захищеної iнформацiї та iнформацiї, що пiдлягає захисту, а також вироби, що забезпечують вiдокремлення оброблення захищеної iнформацiї та iнформацiї, що пiдлягає захисту, в обчислювальнiй системi;

     пiдвид Б2 - апаратнi, апаратно-програмнi або програмнi вироби, якi пiдключаються до iнших засобiв та виконують функцiї криптографiчних перетворень у взаємодiї з ними або пiд їх управлiнням;

     вид В - криптографiчнi модулi, якi не використовуються (не експлуатуються) окремо, а застосовуються як складовi частини при побудовi засобiв КЗI видiв А та Б.

     Залежно вiд призначення встановлюються такi категорiї засобiв КЗI:

     засоби шифрування iнформацiї (далi - засоби категорiї "Ш");

     засоби, призначенi для виготовлення ключових даних або ключових документiв (незалежно вiд виду носiя ключової iнформацiї) та управлiння ключовими даними, що використовуються в засобах КЗI (далi - засоби категорiї "К");

     засоби захисту вiд нав'язування неправдивої iнформацiї або захисту вiд несанкцiонованої модифiкацiї, що реалiзовують алгоритми криптографiчного перетворення iнформацiї (далi - криптоалгоритми), у тому числi засоби iмiтозахисту та електронного цифрового пiдпису (далi - засоби категорiї "П");

     засоби захисту iнформацiї вiд несанкцiонованого доступу (у тому числi засоби розмежування доступу до ресурсiв електронно-обчислювальної технiки), у яких реалiзованi криптоалгоритми (далi - засоби категорiї "Р");

     засоби (засоби, об'єднанi в комплекси), спецiально призначенi для розроблення, дослiдження, виробництва та випробувань засобiв КЗI, у тому числi програмування та/або запису в їх апаратнi компоненти (програмованi логiчнi iнтегральнi схеми, контролери), перевiрки та контролю правильностi реалiзацiї в засобах КЗI криптографiчних функцiй (далi - засоби категорiї "З").

     6. У процесi розроблення, виробництва та експлуатацiї засобiв КЗI беруть участь i взаємодiють мiж собою:

     замовники;

     розробники;

     виробники;

     органiзацiї, що експлуатують засоби КЗI;

     органiзацiї, що проводять сертифiкацiйнi випробування (експертнi роботи);

     постачальники ключових документiв;

     Адмiнiстрацiя Держспецзв'язку.

     7. Замовниками виступають органи державної влади та мiсцевого самоврядування, а також суб'єкти господарювання, якi здiйснюють фiнансування робiт з розроблення засобiв КЗI, або тi, що уклали з виробниками договiр про виготовлення та/або постачання, а також виконання iнших робiт щодо цих засобiв.

     8. Роботи щодо засобiв КЗI виконують органiзацiї, якi мають лiцензiю на право провадження господарської дiяльностi з надання послуг у галузi криптографiчного захисту iнформацiї (крiм послуг електронного цифрового пiдпису) та технiчного захисту iнформацiї, за перелiком, що визначається Кабiнетом Мiнiстрiв України.

     9. Суб'єкти, якi здiйснюють розроблення, виробництво та експлуатацiю засобiв КЗI, визначають режим доступу до iнформацiї про цi засоби, установлюють i пiдтримують вiдповiдний режим безпеки з урахуванням вимог замовника та вiдповiдно до нормативно-правових актiв у сферi КЗI.

     10. Розробники та виробники реалiзовують вимоги до засобiв КЗI шляхом вибору i розробки необхiдних алгоритмiчних, програмних, схемно-технiчних, конструкторських та технологiчних рiшень, якi забезпечують виконання встановлених вимог.

     11. Поширення iнформацiї з питань КЗI, яка надається Адмiнiстрацiєю Держспецзв'язку суб'єктам господарювання, здiйснюється за погодженням з Адмiнiстрацiєю Держспецзв'язку.

     Адмiнiстрацiя Держспецзв'язку забезпечує конфiденцiйнiсть iнформацiї та дотримання авторських прав щодо наданих їй матерiалiв.

II. Розроблення засобiв КЗI

     1. Розроблення засобiв КЗI здiйснюється вiдповiдно до вимог нормативно-правових актiв i нацiональних стандартiв у сферi КЗI, а також нормативних документiв з питань розроблення та поставлення продукцiї на виробництво.

     2. Розроблення засобiв КЗI здiйснюється шляхом виконання вiдповiдних науково-дослiдних робiт (далi - НДР) з розроблення нових принципiв побудови i функцiонування засобiв КЗI та дослiдно-конструкторських робiт (далi - ДКР) зi створення нових або модернiзацiї iснуючих зразкiв засобiв КЗI.

     Залежно вiд органiзацiйної форми робiт з розроблення засобiв КЗI розробники засобiв КЗI в цьому Положеннi йменуються як виконавцi НДР (ДКР).

     3. НДР з розроблення нових принципiв побудови i функцiонування засобiв КЗI та ДКР з розроблення або модернiзацiї iснуючого зразка засобу КЗI виконуються згiдно з технiчними завданнями (далi - ТЗ), якi погоджуються виконавцем НДР (ДКР).

     4. Погоджене виконавцем ТЗ на НДР та ДКР надсилається до Адмiнiстрацiї Держспецзв'язку, яка протягом одного мiсяця його погоджує або надає умотивовану вiдмову. Пiсля затвердження ТЗ замовником один його примiрник надсилається до Адмiнiстрацiї Держспецзв'язку.

     5. За результатами НДР готується ТЗ на ДКР з розроблення нового або модернiзацiї iснуючого зразка засобу КЗI з пiдготовкою (за необхiдностi) технiко-економiчного обґрунтування ДКР.

     6. За наявностi необхiдного досвiду з проведення вiдповiдних робiт допускається розроблення ТЗ на ДКР без попереднього виконання НДР.

     7. ТЗ на ДКР розробляється спiльно замовником i виконавцем або виконавцем на пiдставi вихiдних даних замовника, у яких указуються перелiк можливих загроз криптографiчнiй системi (перехоплення повiдомлень, крадiжка ключових документiв та iншої критичної iнформацiї тощо), прогнозованi характеристики технiчних можливостей потенцiйного порушника та можливi заходи протидiї (фiзико-хiмiчнi методи знищення критичної iнформацiї тощо). Особлива увага при цьому придiляється забезпеченню безпеки системи управлiння ключовими даними (ключами).

     До виконання сертифiкацiйних випробувань (експертних робiт) щодо конкретного засобу КЗI не залучаються органiзацiї, якi розробляли (брали участь у розробленнi) ТЗ на його розроблення.

     8. Залежно вiд вiрогiдних умов експлуатацiї засобiв КЗI та вiдповiдно до цiнностi iнформацiї, що захищається, визначаються чотири рiвнi можливостей порушника:

     нульовий рiвень - ненавмисне порушення конфiденцiйностi, цiлiсностi та пiдтвердження авторства iнформацiї;

     перший рiвень - порушник має обмеженi кошти та самостiйно створює засоби, розробляє методи атак на засоби КЗI, а також iнформацiйно-телекомунiкацiйнi системи iз застосуванням поширених програмних засобiв та електронно-обчислювальної технiки;

     другий рiвень - порушник корпоративного типу має змогу створення спецiальних технiчних засобiв, вартiсть яких спiввiдноситься з можливими фiнансовими збитками, що виникатимуть вiд порушення конфiденцiйностi, цiлiсностi та пiдтвердження авторства iнформацiї, зокрема при втратi, спотвореннi та знищеннi iнформацiї, що захищається. У цьому разi для розподiлу обчислень при проведеннi атак можуть застосовуватися локальнi обчислювальнi мережi;

     третiй рiвень - порушник має науково-технiчний ресурс, який прирiвнюється до науково-технiчного ресурсу спецiальної служби економiчно розвинутої держави.

     9. З урахуванням установленого рiвня можливостей порушника обирається необхiдний клас засобiв КЗI:

     клас А1 - вiдповiдає вимогам забезпечення стiйкостi криптоперетворення в умовах, коли можливостi порушника обмеженi лише сучасним станом науки i технiки (захист вiд порушника третього рiвня);

     клас Б1 - вiдповiдає вимогам забезпечення стiйкостi криптоперетворення в умовах недокументованих можливостей у прикладному програмному забезпеченнi (захист вiд порушника другого рiвня);

     клас Б2 - вiдповiдає вимогам забезпечення стiйкостi криптоперетворення в умовах здiйснення порушником навмисного зовнiшнього впливу (захист вiд порушника другого рiвня);

     клас В1 - вiдповiдає вимогам забезпечення стiйкостi криптоперетворення в умовах несанкцiонованих дiй з боку легального користувача системи (захист вiд порушника першого рiвня);

     клас В2 - вiдповiдає вимогам забезпечення стiйкостi криптоперетворення в умовах помилкових дiй обслуговувального персоналу та вiдмов технiчних засобiв (захист вiд порушника першого та нульового рiвнiв);

     клас В3 - вiдповiдає вимогам забезпечення стiйкостi криптоперетворення за рахунок стiйкостi криптоалгоритму та правильної його реалiзацiї в засобi КЗI (захист вiд порушника нульового рiвня).

     Класи засобiв КЗI наведено в порядку зменшення вимог таким чином, що рiвень, наведений вище, передбачає виконання вимог усiх наведених нижче класiв.

     10. До ТЗ на ДКР з розроблення нового типу або модернiзацiї iснуючого зразка засобу КЗI вносяться:

     вiдомостi про замовника та виконавця ДКР;

     вiдомостi про категорiю, тип, вид i клас засобу та вiдомостi про його застосування (у тому числi типова схема органiзацiї зв'язку iз зазначенням способу застосування засобу КЗI, максимальна кiлькiсть абонентiв у мережi, вид iнформацiї, що пiдлягає обробцi, швидкiсть обробки, необхiдний рiвень захисту iнформацiї, тип виконання i конструктивнi особливостi реалiзацiї виробу);

     вимоги до криптоалгоритму та його реалiзацiї (у тому числi вимоги щодо завадостiйкостi i криптостiйкостi алгоритму, вимоги до iмiтозахисту повiдомлень, порядок моделювання i верифiкацiї моделей, порядок реалiзацiї i тестування програмного забезпечення засобу);

     вимоги до ключової системи та її органiзацiї;

     вимоги до носiїв ключової iнформацiї;

     вимоги до управлiння ключовими даними (у тому числi їх генерацiї);

     вимоги до показникiв надiйностi засобiв КЗI (обов'язково для засобiв категорiй "Ш" i "К");

     вимоги до електромагнiтної сумiсностi та завадозахищеностi (обов'язково для засобiв категорiї "К");

     вiдомостi про типи технiчних засобiв оброблення iнформацiї, якi передбачаються для спiльної роботи iз засобами КЗI, у тому числi вимоги до iнтерфейсiв;

     вимоги до каналiв зв'язку iз зазначенням допустимих вiдхилень параметрiв каналу, за яких повинно забезпечуватися стiйке функцiонування засобу;

     вимоги до протоколу входження у зв'язок;

     перелiк нормативно-правових актiв, нормативних та iнших документiв, якi мiстять вимоги та положення щодо розроблення або модернiзацiї iснуючого зразка засобу КЗI;

     вимоги до дослiдної дiлянки для випробувань засобiв КЗI;

     вимоги щодо сертифiкацiйних випробувань (експертних робiт);

     вiдомостi про розроблення нових або застосування iснуючих засобiв (комплексiв), призначених для розроблення, дослiдження, виробництва та випробувань засобiв КЗI;

     вiдомостi та вимоги щодо захисту засобiв КЗI вiд витоку iнформацiї каналами ПЕМВН;

     iншi вiдомостi з урахуванням типу, виду, класу, категорiї та способу застосування засобу КЗI.

     У ТЗ на розроблення засобiв КЗI видiв А та Б може (за необхiдностi) зазначатися порядок застосування криптографiчних модулiв та/або криптографiчних функцiй, що виконуються такими модулями.

     Вимоги безпеки для криптографiчних модулiв, а також щодо перевiряння криптографiчних модулiв визначаються нацiональними стандартами.

     Вимоги цього пункту щодо змiсту ТЗ на засоби КЗI, якi передбачаються для використання в банкiвськiй системi України, уточнюються Нацiональним банком України.

     ТЗ на НДР та ДКР з розроблення засобiв КЗI, призначених для захисту iнформацiї, що циркулює виключно в банкiвськiй системi України, перед поданням на погодження до Адмiнiстрацiї Держспецзв'язку погоджується з Нацiональним банком України.

     Вимоги до форматiв даних та протоколiв засобiв КЗI, призначених для застосування в системах електронного документообiгу з використанням посилених сертифiкатiв вiдкритих ключiв електронного цифрового пiдпису, визначаються Мiнiстерством юстицiї України та Адмiнiстрацiєю Держспецзв'язку.

     11. Вимоги до засобiв КЗI та вимоги до ключових даних (документiв) можуть бути викладенi в частковому (спецiальному) ТЗ, порядок оформлення, погодження та затвердження якого вiдповiдає порядку, установленому для основного ТЗ, та виконуються одночасно з оформленням, погодженням та затвердженням основного ТЗ.

     12. У засобах КЗI використовуються криптоалгоритми та криптопротоколи, якi є нацiональними стандартами, або тi, на якi за результатами експертних дослiджень Адмiнiстрацiєю Держспецзв'язку видано позитивний експертний висновок. Iншi криптоалгоритми та криптопротоколи для використання виключно в банкiвськiй системi України погоджуються Адмiнiстрацiєю Держспецзв'язку за вiдповiдним зверненням та обґрунтуванням Нацiонального банку України.

     Методики генерацiї ключових даних та управлiння ключами погоджуються з Адмiнiстрацiєю Держспецзв'язку.

     У цих методиках повиннi наводитися методи та способи управлiння ключовими даними i порядок їх використання вiдповiдно до обраного криптографiчного алгоритму, види та кiлькiсть ключiв, перiодичнiсть їх змiни, протоколи розподiлу ключiв, а також повний опис криптографiчних функцiй, що застосованi для генерацiї ключових даних та управлiння ключами, якщо вони вiдрiзняються вiд тих криптоалгоритмiв та криптопротоколiв, що зазначенi в абзацi першому цього пункту. Можливiсть погодження цих методик визначається за результатами державної експертизи у сферi КЗI.

     13. Засоби КЗI розробляються з урахуванням можливих загроз у вiрогiдних умовах їх експлуатацiї.

     14. У засобах КЗI повиннi бути реалiзованi методи захисту, що вiдповiдають установленим вимогам, залежно вiд виду, типу, категорiї, класу засобу КЗI.

     Зокрема, в засобах КЗI видiв А та Б категорiй "Ш" та "П" повиннi бути реалiзованi:

     для класу В3 - механiзми контролю цiлiсностi криптографiчних перетворень та захисту ключових даних (для програмних засобiв КЗI - контролю цiлiсностi програмного забезпечення), надiйного тестування засобу на правильнiсть функцiонування та блокування його роботи в разi виявлення порушень;

     для класу В2 - механiзми захисту вiд порушення конфiденцiйностi iнформацiї внаслiдок помилкових дiй оператора або в разi вiдхилень у роботi складових елементiв засобу КЗI;

     для класу В1 - механiзми розмежування доступу до функцiй засобу КЗI, криптографiчної схеми та ключових даних; довiрений канал для отримання iнформацiї, що пiдлягає захисту; механiзми знищення ключових даних пiсля закiнчення строку їх дiї; механiзми захисту ключових даних на їх носiях вiд несанкцiонованого зчитування;

     для класу Б2 - механiзми захисту засобу КЗI вiд здiйснення порушником навмисного зовнiшнього впливу; механiзми захисту вiд порушення конфiденцiйностi та цiлiсностi ключових даних на ключових документах;

     для класу Б1 - механiзми захисту критичної iнформацiї (ключових даних, вiдкритої iнформацiї) вiд недокументованих можливостей прикладного програмного забезпечення;

     для класу А1 - механiзми гарантованого знищення ключових даних пiсля закiнчення термiну їх дiї в разi несанкцiонованого доступу до криптографiчної схеми (або за командою оператора); механiзми захисту ключових даних на їх носiях вiд несанкцiонованого зчитування.

     Вимоги до засобiв КЗI наведено в порядку збiльшення вимог таким чином, що клас, наведений нижче, передбачає виконання вимог усiх наведених вище класiв засобiв КЗI.

     Вимоги для засобiв КЗI категорiї "К" визначаються з урахуванням їх призначення, умов розташування та експлуатацiї.

     Вимоги для засобiв КЗI категорiї "Р" визначаються з урахуванням вимог нормативних документiв системи технiчного захисту iнформацiї.

     За потреби можуть визначатися спецiальнi вимоги щодо захисту засобiв КЗI будь-якого класу вiд витоку iнформацiї каналами ПЕМВН.

     Для криптографiчного захисту iнформацiї засоби КЗI пiдвиду Б2 класiв А1, Б1, Б2, В1 застосовуються як складова частина комплексу засобiв захисту. Програмне забезпечення, пiд управлiнням якого засоби КЗI пiдвиду Б2 виконують свої функцiї, є невiд'ємною частиною цих засобiв.

     Якщо для забезпечення контролю справжностi, цiлiсностi, авторства iнформацiї використовуються криптографiчнi перетворення, що здiйснюються апаратними або апаратно-програмними засобами пiдвиду Б2 та/або виду В категорiй "П" та "Р", обов'язковим є забезпечення автентифiкацiї цих засобiв.

     У разi використання при побудовi засобiв КЗI видiв А i Б, пiдвидiв Б1 та Б2 засобiв КЗI виду В правильнiсть використання криптографiчних функцiй засобiв КЗI виду В повинна пiдтверджуватись експертним висновком за результатами державної експертизи у сферi КЗI.

     15. На етапi ескiзно-технiчного проектування здiйснюються опрацювання та практична реалiзацiя функцiй захисту згiдно з вимогами до засобiв КЗI. При цьому основна увага при проектуваннi засобу КЗI придiляється вузлам оброблення критичної iнформацiї, у тому числi:

     уведення та оброблення ключових даних;

     оброблення вхiдної та вихiдної iнформацiї;

     шифрування iнформацiї;

     формування/перевiряння електронного цифрового пiдпису;

     генераторiв випадкових (псевдовипадкових) послiдовностей, якi використовуються для формування ключiв, векторiв iнiцiалiзацiї тощо;

     самотестування;

     системи сигналiзацiї при несанкцiонованому доступi до засобу КЗI, змiнi параметрiв навколишнього середовища, електроживлення тощо.

     16. Розроблення засобiв КЗI здiйснюється з використанням тiльки лiцензiйного програмного забезпечення або за погодженням iз замовником комп'ютерних програм вiльного використання, якi повиннi бути забезпеченi документацiєю, що пiдтверджує правомiрнiсть їх використання згiдно з лiцензiєю або належнiсть до комп'ютерних програм вiльного використання.

     17. Розробник розробляє робочу конструкторську документацiю на засiб КЗI, до складу якої обов'язково входять проект технiчних умов (для апаратних та апаратно-програмних засобiв КЗI, що виготовляються серiйно), експлуатацiйнi документи, iнструкцiя iз забезпечення безпеки експлуатацiї засобу КЗI та iнструкцiя щодо порядку генерацiї ключових даних i поводження (облiк, зберiгання, знищення) з ключовими документами (обов'язково для засобiв КЗI видiв А та Б, пiдвидiв Б1 та Б2), а також iнструкцiю про порядок застосування виробу в складi засобу КЗI виду А або Б, пiдвидiв Б1 та Б2 (для засобiв КЗI виду В).

     Технiчнi умови на програмнi засоби КЗI можуть не розроблятися.

     18. Проект технiчних умов (далi - ТУ) погоджується з Адмiнiстрацiєю Держспецзв'язку.

     За потреби розробником до ТУ вноситься перелiк допустимих змiн, якi без погодження з Адмiнiстрацiєю Держспецзв'язку можуть уноситися пiд час виробництва засобу КЗI до його конструкцiї, схемотехнiчних рiшень, програмного забезпечення та перелiку комплектувальних виробiв тощо. У цьому разi до проекту ТУ, що подається на погодження, додається пояснювальна записка з обґрунтуванням можливостi внесення вiдповiдних змiн без впливу на криптографiчнi та спецiальнi якостi засобiв КЗI.

     У разi визначення в технiчному завданнi вимог щодо захисту засобу КЗI вiд витоку iнформацiї каналами ПЕМВН у ТУ наводяться посилання на методику контролю спецiальних показникiв в умовах серiйного виробництва засобiв КЗI, яка має бути узгоджена з органiзацiєю, що здiйснює сертифiкацiйнi випробування (експертнi роботи), та Адмiнiстрацiєю Держспецзв'язку.

     19. У конструкторськiй документацiї на засiб КЗI обов'язково наводяться:

     склад апаратних i програмних (мiкропрограмних) компонентiв засобу КЗI та технiчних засобiв, якi передбачаються до спiльної роботи iз засобами КЗI, а також вимоги до iнтерфейсiв;

     специфiкацiя розроблення апаратного та загального програмного забезпечення, вузлiв засобiв КЗI (документування розроблення рекомендується здiйснювати з використанням мов програмування високого рiвня для загального програмного забезпечення та вузлiв, що програмуються, а також функцiональних i принципових електричних схем для апаратної частини);

     схеми апаратної та програмної компоненти засобу КЗI, їх взаємозв'язок, у тому числi всi мiкроконтролери, логiчнi iнтегральнi мiкросхеми, буфернi регiстри введення/виведення даних тощо;

     технiчнi характеристики (за необхiдностi - спецiальнi характеристики) iнтерфейсiв сполучення засобiв КЗI, у тому числi фiзичнi та логiчнi порти, зовнiшнi пристрої введення/виведення iнформацiї, засобiв дистанцiйного керування, зовнiшнiх засобiв механiчного захисту (кришки, замки тощо);

     криптографiчнi алгоритми, якi реалiзовано в засобi КЗI;

     алгоритми тестування та методи ручної перевiрки засобу КЗI, у тому числi iндикацiя (вiдображення) припустимих i неприпустимих його станiв.

     20. В iнструкцiї iз забезпечення безпеки експлуатацiї засобiв КЗI вказуються:

     права та обов'язки осiб, вiдповiдальних за забезпечення безпеки експлуатацiї засобу КЗI;

     права та обов'язки користувачiв засобiв КЗI;

     порядок забезпечення безпеки засобу КЗI пiд час його встановлення, експлуатацiї, виведення з експлуатацiї, ремонту, знищення, а також у разi порушення функцiонування iнформацiйно-телекомунiкацiйної системи;

     порядок облiку засобiв КЗI;

     питання проведення тестування засобiв КЗI та їх резервування в системi;

     дiї персоналу в умовах надзвичайних ситуацiй, стихiйного лиха та пiдозри компрометацiї ключiв;

     порядок проведення контролю за станом забезпечення безпеки засобiв КЗI;

     порядок допуску в примiщення, у яких установленi засоби КЗI;

     порядок знищення засобiв КЗI.

     В iнструкцiї щодо порядку генерацiї ключових даних i поводження (облiк, зберiгання, знищення) з ключовими документами вказуються:

     опис ключової системи та ключових документiв;

     термiн дiї ключових даних, ключових документiв;

     порядок генерацiї ключових даних, їх запису на носiї ключової iнформацiї;

     порядок облiку, зберiгання носiїв ключової iнформацiї та їх знищення;

     особливостi повторного використання носiїв ключової iнформацiї;

     особливостi використання ключових даних за призначенням та їх знищення.

     Необхiднiсть розроблення, склад та змiст методик, зазначених у пунктi 12 цього роздiлу, та iнструкцiй, зазначених у цьому пунктi, для засобiв КЗI категорiї "З" визначаються з урахуванням цiлей та способу їх застосування i погоджуються з Адмiнiстрацiєю Держспецзв'язку.

     21. У ходi виконання ДКР розробником передбачається створення устаткування (допомiжного обладнання) для проведення сертифiкацiйних випробувань (експертних робiт) засобу КЗI. Перелiк допомiжного обладнання, засобiв вимiрювальної технiки та кiлькiсть дослiдних зразкiв засобу КЗI, необхiдних для проведення таких робiт, визначаються розробником i погоджуються iз замовником та випробувальною лабораторiєю (експертним закладом).

     22. Технiчнi та експлуатацiйнi характеристики дослiдних зразкiв засобу КЗI, який розробляється, ефективнiсть та достатнiсть органiзацiйно-технiчних заходiв щодо забезпечення безпеки iнформацiї перевiряються пiд час випробувань засобiв КЗI на дослiднiй дiлянцi розробника.

     За погодженням iз замовником випробування дослiдних зразкiв засобу КЗI можуть здiйснюватися у складi iнформацiйно-телекомунiкацiйної системи, експлуатацiю якої здiйснює замовник або послугами якої вiн користується.

     У ходi випробувань обробка та передавання iнформацiї, зазначеної в пунктi 2 роздiлу I цього Положення, забороняються.

     23. Висновки iз затвердженого замовником звiту за результатами випробувань дослiдних зразкiв засобу КЗI надсилаються до Адмiнiстрацiї Держспецзв'язку.

     24. За результатами випробувань дослiдних зразкiв засобу КЗI iнструкцiя iз забезпечення безпеки експлуатацiї засобу КЗI та iнструкцiя щодо порядку поводження з ключовими документами (за необхiдностi) доопрацьовуються розробником та пiсля погодження замовником надсилаються до Адмiнiстрацiї Держспецзв'язку пiд час проведення державної експертизи у сферi КЗI.

     Позитивний експертний висновок за результатами державної експертизи у сферi КЗI щодо засобу КЗI є погодженням Адмiнiстрацiї Держспецзв'язку iнструкцiї iз забезпечення безпеки експлуатацiї засобу КЗI та iнструкцiї щодо порядку поводження з ключовими документами.

     25. Якщо ключовi документи до засобiв КЗI надаються постачальником ключових документiв, то iнструкцiя щодо порядку генерацiї ключових даних та поводження з ключовими документами надається разом з iнструкцiєю iз забезпечення безпеки експлуатацiї засобу КЗI.

     26. Iнструкцiї iз забезпечення безпеки експлуатацiї та щодо порядку генерацiї ключових даних та поводження з ключовими документами для засобiв КЗI виду В можуть не розроблятися.

     Порядок роботи iз засобами цього виду та вимоги щодо забезпечення безпеки iнформацiї пiд час їх використання вказуються вiдповiдно в окремих роздiлах зазначених iнструкцiй для засобiв КЗI видiв А та Б.

     27. Порядок забезпечення режиму безпеки пiд час розроблення засобiв КЗI визначається розробником в окремiй iнструкцiї, в якiй наводяться вимоги щодо поводження iз засобами КЗI, обладнання примiщень, заходи iз запобiгання компрометацiї засобiв КЗI тощо.

III. Виробництво засобiв КЗI

     1. Виробництво засобiв КЗI здiйснюється тiльки за наявностi чинного сертифiката вiдповiдностi (позитивного експертного висновку) на засiб КЗI та на засоби (комплекси), призначенi для розроблення, дослiдження, виробництва та випробувань засобiв КЗI (у разi його використання), ТУ та iнструкцiї iз забезпечення безпеки експлуатацiї засобiв КЗI.

     2. Виробники засобiв КЗI повиннi:

     ужити заходiв щодо своєчасної сертифiкацiї або експертизи засобiв КЗI (у тому числi повторної - пiсля закiнчення строку дiї ранiше отриманого сертифiката вiдповiдностi або експертного висновку);

     погодити змiни, якi вносяться у вироби та документацiю на них, iз замовником та Адмiнiстрацiєю Держспецзв'язку;

     забезпечити виконання усiх вимог ТУ;

     з усiєї партiї виробiв, що виготовляється, вибрати контрольний еталонний зразок та зберiгати його вiдповiдно до встановлених вимог (за наявностi таких вимог у ТУ);

     забезпечити технiчне обслуговування та гарантiйний ремонт засобiв КЗI, а також випуск i постачання запасних частин для цих засобiв вiдповiдно до Закону України "Про захист прав споживачiв".

     3. Виробництво засобiв КЗI здiйснюється з використанням програмного забезпечення, що вiдповiдає вимогам пункту 16 роздiлу II цього Положення.

IV. Експлуатацiя засобiв КЗI

     1. Для криптографiчного захисту державних iнформацiйних ресурсiв або iнформацiї, вимога щодо захисту якої встановлена законом, використовуються засоби КЗI, якi мають сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi КЗI, а суб'єкти, що їх використовують, мають на це права.

     Сертифiкацiя засобiв КЗI та державна експертиза у сферi криптографiчного захисту iнформацiї проводяться в порядку, визначеному вiдповiдними нормативно-правовими актами.

     2. Пiдставою для початку експлуатацiї таких засобiв КЗI в органiзацiї (у тому числi її фiлiях або регiональних представництвах), яка здiйснює експлуатацiю засобiв КЗI, є вiдповiдний акт органiзацiйно-розпорядчого характеру цiєї органiзацiї.

     3. Кожний екземпляр засобiв КЗI береться на облiк в органiзацiї з дати їх отримання.

     Облiк здiйснюється у вiдповiдному журналi облiку засобiв КЗI та носiїв ключової iнформацiї до них. Облiк програмних засобiв КЗI здiйснюється за формулярами на кожну ПЕОМ, на якiй встановлено (проiнстальовано) такий засiб. Журнал облiку повинен мiстити такi вiдомостi:

     назва засобу КЗI та його заводський номер;

     тип носiя ключової iнформацiї та його облiковий номер;

     акт органiзацiйно-розпорядчого характеру щодо введення в експлуатацiю засобiв КЗI;

     дата взяття на облiк засобiв КЗI та носiїв ключової iнформацiї;

     для програмних засобiв КЗI - iнвентарнi номери ПЕОМ, на яких встановлено (проiнстальовано) програмнi засоби КЗI;

     прiзвище, iм'я та по батьковi особи, вiдповiдальної за облiк засобiв КЗI та носiїв ключової iнформацiї, пiдпис;

     прiзвище, iм'я та по батьковi особи, що отримала засiб КЗI та носiї ключової iнформацiї (дата, пiдпис);

     вiдмiтка про повернення засобу КЗI та носiїв ключової iнформацiї (дата, пiдпис вiдповiдальної особи);

     вiдмiтка про знищення засобiв КЗI та носiїв ключової iнформацiї (номер акта, дата, пiдпис вiдповiдальної особи).

     Одиницею облiку кожного екземпляра засобу КЗI є:

     для апаратних та апаратно-програмних засобiв - конструктивно закiнчений технiчний засiб;

     для програмних засобiв - iнсталяцiйна дискета, компакт-диск (CD, DVD) тощо;

     ПЕОМ користувачiв, на яких встановлено (проiнстальовано) програмнi засоби КЗI.

     Облiк засобiв КЗI та носiїв ключової iнформацiї до них в органiзацiї забезпечується вiдповiдальними особами, визначеними вiдповiдними актами органiзацiйно-розпорядчого характеру цiєї органiзацiї.

     Збереження засобiв КЗI, носiїв ключової iнформацiї забезпечується вiдповiдальною особою, функцiональними обов'язками якої це визначено.

     Особливостi облiку засобiв КЗI, зазначених в пунктi 3 роздiлу I цього Положення, визначаються Нацiональним банком України.

     4. Передача засобiв КЗI здiйснюється на пiдставi вiдповiдних договорiв, у яких вказується порядок встановлення засобiв КЗI у користувачiв та обслуговування цих засобiв, забезпечення ключовими документами (ключовими даними), а також ужиття заходiв щодо забезпечення режиму безпеки тощо.

     Порядок передачi засобiв КЗI, зазначених в пунктi 3 роздiлу I цього Положення, та вимоги до вiдповiдних договорiв визначаються Нацiональним банком України.

     5. Експлуатацiя засобiв КЗI, облiкованих вiдповiдно до пункту 3 цього роздiлу, здiйснюється вiдповiдно до вимог експлуатацiйної документацiї, iнструкцiї iз забезпечення безпеки експлуатацiї засобiв КЗI, а також iнструкцiї щодо порядку генерацiї ключових даних та поводження з ключовими документами.

     6. Унесення змiн до iнструкцiї щодо порядку генерацiї ключових даних та поводження з ключовими документами, якi отриманi вiд постачальника ключових документiв, здiйснюється за погодженням з Адмiнiстрацiєю Держспецзв'язку.

     7. Постачання ключових документiв (ключових даних) до засобiв КЗI постачальником ключових документiв органiзацiям, якi експлуатують засоби КЗI, здiйснюється у порядку, встановленому Адмiнiстрацiєю Держспецзв'язку.

     8. Ключовi документи, отриманi вiд постачальника ключових документiв, не можуть тиражуватися або використовуватися для iнших засобiв КЗI, якщо це не передбачено договором про постачання ключових документiв.

     9. Користувачi засобiв КЗI повиннi бути ознайомленi з iнструкцiєю щодо порядку генерацiї ключових даних та поводження з ключовими документами в частинi, що їх стосується, та дотримуватися вимог цiєї iнструкцiї.

     У повному обсязi з iнструкцiєю щодо порядку генерацiї ключових даних та поводження з ключовими документами повинно бути ознайомлено обмежене коло осiб, якi мають безпосереднє вiдношення до проведення вiдповiдних робiт.

     10. Засоби КЗI без уведених ключових даних мають гриф обмеження доступу, який вiдповiдає грифу обмеження доступу до опису криптосхеми. Гриф обмеження доступу засобiв КЗI з уведеними ключовими даними визначається грифом обмеження доступу до ключових документiв, але не нижче грифа обмеження доступу до опису криптосхеми.

     11. Гриф обмеження доступу до ключових документiв, що використовуються для криптографiчного захисту iнформацiї, повинен вiдповiдати грифу обмеження доступу до iнформацiї, що захищається.

     12. Застосування засобiв КЗI пiд час мiжнародного обмiну iнформацiєю здiйснюється вiдповiдно до законодавства та мiжнародних угод (договорiв) України.

V. Виведення з експлуатацiї та утилiзацiя (знищення) засобiв КЗI

     1. Засоби КЗI, якi стали не придатними до використання або характеристики яких не вiдповiдають сучасним вимогам щодо криптографiчного захисту iнформацiї, виводяться з експлуатацiї вiдповiдно до вимог iнструкцiї iз забезпечення безпеки експлуатацiї засобiв КЗI.

     2. Утилiзацiя (знищення) засобiв КЗI проводиться вiдповiдно до вимог iнструкцiї iз забезпечення безпеки експлуатацiї засобiв КЗI.

     3. Порядок утилiзацiї (знищення) засобiв КЗI, зазначених в пунктi 3 роздiлу I цього Положення, визначається Нацiональним банком України.

Директор Департаменту криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку

А. I. Пушкарьов