АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ

НАКАЗ

вiд 4 грудня 2009 року	N 254

Про внесення змiн до наказу Адмiнiстрацiї Держспецзв'язку вiд 20.07.2007 N 141

Зареєстровано в Мiнiстерствi юстицiї України 29 грудня 2009 р. за N 1264/17280

     Вiдповiдно до частини першої статтi 3 Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України" та Положення про порядок здiйснення криптографiчного захисту iнформацiї в Українi, затвердженого Указом Президента України вiд 22.05.98 N 505, наказую:

     1. Унести до наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 20.07.2007 N 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту конфiденцiйної iнформацiї та вiдкритої iнформацiї з використанням електронного цифрового пiдпису", зареєстрованого у Мiнiстерствi юстицiї України 30.07.2007 за N 862/14129, такi змiни:

     1.1. Назву наказу викласти у такiй редакцiї:

     "Про затвердження Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї".

     1.2. У пунктi 1 наказу слова "конфiденцiйної iнформацiї та вiдкритої iнформацiї з використанням електронного цифрового пiдпису" замiнити словом "iнформацiї".

     2. Затвердити Змiни до Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту конфiденцiйної iнформацiї та вiдкритої iнформацiї з використанням електронного цифрового пiдпису, затвердженого наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 20.07.2007 N 141, зареєстрованого у Мiнiстерствi юстицiї України 30.07.2007 за N 862/14129, що додаються.

     3. Начальнику Департаменту стратегiї розвитку спецiальних iнформацiйно-телекомунiкацiйних систем Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України забезпечити подання в установленому порядку наказу на державну реєстрацiю до Мiнiстерства юстицiї України.

     4. Контроль за виконанням наказу покласти на першого заступника Голови Державної служби спецiального зв'язку та захисту iнформацiї України.

     5. Цей наказ набирає чинностi з дня його офiцiйного опублiкування.

Голова Служби

Ю. Б. Чеботаренко

 

	ЗАТВЕРДЖЕНО наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 4 грудня 2009 р. N 254
	Зареєстровано в Мiнiстерствi юстицiї України 29 грудня 2009 р. за N 1264/17280

ЗМIНИ
до Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту конфiденцiйної iнформацiї та вiдкритої iнформацiї з використанням електронного цифрового пiдпису

     1. Назву Положення викласти в такiй редакцiї:

     "Положення про порядок розроблення, виробництва та експлуатацiї засобiв криптографiчного захисту iнформацiї".

     2. У пунктi 1.1:

     в абзацi першому слова "конфiденцiйної iнформацiї та вiдкритої iнформацiї з використанням електронного цифрового пiдпису" замiнити словом "iнформацiї";

     абзац другий викласти в такiй редакцiї:

     "Особливостi розроблення, виготовлення, уведення в експлуатацiю та експлуатацiї засобiв криптографiчного захисту iнформацiї, що становить державну таємницю, та конфiденцiйної iнформацiї, що є власнiстю держави, визначаються вiдповiдно до чинного законодавства.".

     3. У пунктi 1.2 слова "а також вiдкритої iнформацiї з використанням електронного цифрового пiдпису" замiнити словами "iнформацiї, що є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також надiйних засобiв електронного цифрового пiдпису".

     4. Пункт 1.3 викласти в такiй редакцiї:

     "1.3. На пiдставi цього Положення Нацiональним банком України визначаються особливостi розроблення, виробництва, випробувань, упровадження та експлуатацiї засобiв криптографiчного захисту iнформацiї (далi - КЗI), якi розробляються, виробляються та випробовуються безпосередньо Нацiональним банком України для власних потреб та потреб банкiвської системи України, а також особливостi експлуатацiї засобiв КЗI Нацiонального банку України в небанкiвських установах, що їх використовують.

     Вимоги щодо застосування та особливостi експлуатацiї засобiв КЗI для захисту iнформацiї, що циркулює в банкiвськiй системi України, визначаються Нацiональним банком України. Ця норма не поширюється на iнформацiю з обмеженим доступом, що є власнiстю держави.".

     5. Пункт 1.4 пiсля абзацу п'ятого доповнити новим абзацом шостим такого змiсту:

     "криптографiчний модуль - блок, плата, мiкросхема, програмний компонент тощо або їх сукупнiсть, у яких реалiзованi криптографiчнi перетворення та/або генерацiя (зберiгання) ключових даних".

     У зв'язку з цим абзаци шостий - тринадцятий вважати вiдповiдно абзацами сьомим - чотирнадцятим.

     6. У пунктi 1.5:

     абзаци другий - п'ятий викласти в такiй редакцiї:

     "апаратнi засоби, алгоритм функцiонування (у тому числi криптографiчнi функцiї) яких реалiзовується в оптичних, механiчних, мiкроелектронних або iнших спецiалiзованих пристроях та не може бути змiнений пiд час експлуатацiї;

     апаратно-програмнi засоби, алгоритм функцiонування (у тому числi криптографiчнi функцiї) яких реалiзується програмним забезпеченням, яке встановлюється пiд час виробництва засобу КЗI у спецiальному запам'ятовуючому пристрої, виконується в ньому та може бути змiнено лише пiд час виробництва;

     програмнi засоби, алгоритм функцiонування яких реалiзується програмним забезпеченням, що функцiонує пiд управлiнням операцiйних систем електронно-обчислювальної технiки; окремi функцiї програмного засобу КЗI (у тому числi криптографiчнi перетворення) можуть виконуватися апаратними або апаратно-програмними пристроями, що функцiонують пiд управлiнням програмного забезпечення засобу КЗI.

     Змiна алгоритму функцiонування (у тому числi криптографiчних перетворень) є розробкою нового засобу КЗI або модернiзацiєю iснуючого та повинна здiйснюватися вiдповiдно до порядку розробки засобiв КЗI, визначеного цим Положенням. Користувач засобiв КЗI не повинен мати можливостi змiни алгоритму функцiонування (у тому числi криптографiчних функцiй) засобу КЗI.";

     пiсля абзацу восьмого доповнити новими абзацами дев'ятим - одинадцятим такого змiсту:

     "засоби виду Б подiляються на:

     пiдвид Б1 - вироби, якi встановлюються в розрив телекомунiкацiйного каналу та/або роздiляють потоки захищеної iнформацiї та iнформацiї, що пiдлягає захисту, а також вироби, що забезпечують вiдокремлення оброблення захищеної iнформацiї та iнформацiї, що пiдлягає захисту в обчислювальнiй системi;

     пiдвид Б2 - апаратнi, апаратно-програмнi або програмнi вироби, якi пiдключаються до iнших засобiв та виконують функцiї криптографiчних перетворень у взаємодiї з ними або пiд їх управлiнням;".

     У зв'язку з цим абзаци дев'ятий - чотирнадцятий вважати вiдповiдно абзацами дванадцятим - сiмнадцятим;

     абзац дванадцятий викласти в такiй редакцiї:

     "вид В - криптографiчнi модулi, якi не використовуються (не експлуатуються) окремо, а застосовуються як складовi частини при побудовi засобiв КЗI видiв А та Б.".

     7. Пункт 2.3 викласти в такiй редакцiї:

     "2.3. НДР з розроблення нових принципiв побудови i функцiонування засобiв КЗI та ДКР з розроблення або модернiзацiї iснуючого зразка засобу КЗI виконуються згiдно з технiчними завданнями (далi - ТЗ), якi погоджуються виконавцем НДР (ДКР).".

     8. Пункт 2.4 пiсля абревiатури "НДР" доповнити словом та абревiатурою "та ДКР".

     9. Абзац другий пункту 2.7 викласти в такiй редакцiї:

     "До розроблення ТЗ можуть залучатися органiзацiї, якi мають лiцензiю Адмiнiстрацiї Держспецзв'язку та здiйснюють сертифiкацiйнi випробування (експертнi роботи) криптосистем та засобiв КЗI. Такi органiзацiї не залучаються до виконання сертифiкацiйних випробувань (експертних робiт) щодо засобiв КЗI, у розробцi ТЗ на якi вони брали участь.".

     10. У пунктi 2.10:

     абзац п'ятий викласти в такiй редакцiї:

     "вимоги до ключової системи та її органiзацiї;";

     доповнити пункт новим абзацом шостим такого змiсту:

     "вимоги до носiїв ключової iнформацiї;".

     У зв'язку з цим абзаци шостий - чотирнадцятий вважати вiдповiдно абзацами сьомим - п'ятнадцятим;

     доповнити пункт новими абзацами шiстнадцятим - дев'ятнадцятим такого змiсту:

     "У ТЗ на розроблення засобiв КЗI видiв А та Б може, за необхiдностi, зазначатися порядок застосування криптографiчних модулiв та/або криптографiчних функцiй, що виконуються такими модулями.

     Вимоги безпеки для криптографiчних модулiв, а також щодо перевiряння криптографiчних модулiв визначаються нацiональними стандартами.

     Вимоги цього пункту щодо змiсту ТЗ на засоби КЗI, якi передбачаються для використання в банкiвськiй системi України, уточнюються Нацiональним банком України.

     ТЗ на НДР та ДКР з розроблення засобiв КЗI, призначених виключно для захисту iнформацiї, що циркулює в банкiвськiй системi України, перед поданням на погодження до Адмiнiстрацiї Держспецзв'язку погоджується з Нацiональним банком України.".

     11. Пункт 2.11 виключити.

     У зв'язку з цим пункти 2.12 - 2.28 вважати вiдповiдно пунктами 2.11 - 2.27.

     12. Пункт 2.11 викласти в такiй редакцiї:

     "2.11. Вимоги до засобiв КЗI та вимоги до ключових даних (документiв) можуть бути викладенi в частковому (спецiальному) ТЗ, порядок оформлення, погодження та затвердження якого вiдповiдає порядку, установленому для основного ТЗ, та здiйснюється одночасно з оформленням, погодженням та затвердженням основного ТЗ.".

     13. У пунктi 2.12:

     абзац другий викласти в такiй редакцiї:

     "Методики генерацiї ключових даних та управлiння ключами погоджуються з Адмiнiстрацiєю Держспецзв'язку.";

     доповнити пункт абзацом такого змiсту:

     "У цих методиках повиннi наводитися методи та способи управлiння ключовими даними i порядок їх використання вiдповiдно до обраного криптографiчного алгоритму, види та кiлькiсть ключiв, перiодичнiсть їх змiни, протоколи розподiлу ключiв. Можливiсть погодження цих методик визначається за результатами державної експертизи у сферi криптографiчного захисту iнформацiї.".

     14. У пунктi 2.14:

     абзац третiй викласти в такiй редакцiї:

     "для класу В3 - механiзми контролю цiлiсностi криптографiчних перетворень та захисту ключових даних (для програмних засобiв КЗI - контролю цiлiсностi програмного забезпечення), надiйного тестування засобу на правильнiсть функцiонування та блокування його роботи в разi виявлення порушень;";

     абзац п'ятий викласти в такiй редакцiї:

     "для класу В1 - механiзми розмежування доступу до функцiй засобу КЗI, криптографiчної схеми та ключових даних; довiрений канал для отримання iнформацiї, що пiдлягає захисту; механiзми знищення ключових даних пiсля закiнчення термiну їх дiї; механiзми захисту ключових даних на їх носiях вiд несанкцiонованого зчитування;";

     доповнити пункт абзацами тринадцятим, чотирнадцятим такого змiсту:

     "Для криптографiчного захисту iнформацiї засоби КЗI пiдвиду Б2 класiв А1, Б1, Б2, В1 застосовуються як складова частина комплексу засобiв захисту. Програмне забезпечення, пiд управлiнням якого засоби КЗI пiдвиду Б2 виконують свої функцiї, є невiд'ємною частиною цих засобiв.

     Якщо для забезпечення контролю справжностi, цiлiсностi, авторства iнформацiї використовуються криптографiчнi перетворення, що здiйснюються апаратними або апаратно-програмними засобами пiдвиду Б2 та/або виду В категорiй "П" та "Р", обов'язковим є забезпечення взаємної автентифiкацiї цих засобiв та програмного застосування, що формує данi, якi пiдлягають захисту.".

     15. Пункт 2.15 пiсля абзацу четвертого доповнити новим абзацом п'ятим такого змiсту:

     "формування/перевiряння електронного цифрового пiдпису;".

     У зв'язку з цим абзаци п'ятий - сьомий вважати вiдповiдно абзацами шостим - восьмим.

     16. У пунктi 2.22:

     у першому абзацi слова "у ходi виконання ДКР" виключити;

     третiй абзац викласти в такiй редакцiї:

     "У ходi випробувань обробка та передавання iнформацiї, зазначеної в пунктi 1.2 цього Положення, забороняються.".

     17. Пункт 2.24 викласти в такiй редакцiї:

     "2.24. За результатами випробувань дослiдних зразкiв засобу КЗI iнструкцiя iз забезпечення безпеки експлуатацiї засобу КЗI та iнструкцiя щодо порядку поводження з ключовими документами, за необхiдностi, доопрацьовуються розробником.

     Iнструкцiя iз забезпечення безпеки експлуатацiї засобу КЗI погоджується iз замовником та надсилається до Держспецзв'язку пiд час проведення державної експертизи у сферi КЗI. Iнструкцiя iз забезпечення безпеки експлуатацiї засобу КЗI, призначеного для захисту вiдкритої iнформацiї, що є власнiстю держави, та iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, погоджується з Держспецзв'язку обов'язково, пiсля чого затверджується розробником.".

Начальник Департаменту стратегiї розвитку спецiальних iнформацiйно-телекомунiкацiйних систем Адмiнiстрацiї Держспецзв'язку

О. А. Муригiн