Неофициальный перевод. (с) СоюзПравоИнформ

ПРИКАЗ АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ

от 20 июля 2007 года №141

Об утверждении Положения о порядке разработки, производства и эксплуатации средств криптографической защиты информации

Список изменяющих документов

Во исполнение Положения о порядке осуществления криптографической защиты информации в Украине, утвержденного Указом Президента Украины от 22 мая 1998 года N505, в соответствии с Законами Украины "О Государственной службе специальной связи и защиты информации Украины", "Об информации", "Об электронной цифровой подписи", "О стандартах, технических регламентах и процедурах оценки соответствия", с целью установления порядка разработки, производства и эксплуатации средств криптографической защиты информации и средств электронной цифровой подписи ПРИКАЗЫВАЮ:

1. Утвердить Положение о порядке разработки, производства и эксплуатации средств криптографической защиты информации (прилагается).

2. Признать утратившим силу приказ Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины от 30.11.99 N53 "Об утверждении Положения о порядке разработки, изготовления и эксплуатации средств криптографической защиты конфиденциальной информации", зарегистрированный в Министерстве юстиции Украины 15.12.99 за N868/4161.

3. Начальнику Департамента стратегии развития специальных информационно-телекоммуникационных систем Администрации Государственной службы специальной связи и защиты информации Украины обеспечить предоставление в установленном порядке приказа на государственную регистрацию в Министерство юстиции Украины.

4. Контроль за выполнением приказа возложить на первого заместителя Председателя Государственной службы специальной связи и защиты информации Украины.

 

Утверждено Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 20 июля 2007 года №141

Положение о порядке разработки, производства и эксплуатации средств криптографической защиты информации

Настоящее Положение разработано в соответствии с Законами Украины "О Государственной службе специальной связи и защиты информации Украины", "Об информации", "Об электронной цифровой подписи", "О защите информации в информационно-телекоммуникационных системах", "О стандартах, технических регламентах и процедурах оценки соответствия" и Положением о порядке осуществления криптографической защиты информации в Украине, утвержденным Указом Президенте Украины от 22 мая 1998 года N505.

1. Общие положения

1.1. Настоящее Положение определяет требования к порядку разработки, производства и эксплуатации средств криптографической защиты информации.

Особенности разработки, изготовления, введения в эксплуатацию и эксплуатации средств криптографической защиты информации, составляющей государственную тайну, и служебной информации, определяются в соответствии с действующим законодательством.

1.2. Требования настоящего Положения обязательны для выполнения государственными органами, предприятиями, учреждениями и организациями независимо от форм собственности, деятельность которых связана с разработкой, производством, сертификационными испытаниями (экспертными работами) и эксплуатацией средств криптографической защиты конфиденциальной информации, государственных информационных ресурсов или информации, требование относительно защиты которой установлено законом, а также надежных средств электронной цифровой подписи.

1.3. На основании настоящего Положения Национальным банком Украины определяются особенности разработки, производства, испытаний, внедрения и эксплуатации средств криптографической защиты информации (далее - КЗИ), которые разрабатываются, производятся и испытываются непосредственно Национальным банком Украины для собственных потребностей и потребностей банковской системы Украины, а также особенности эксплуатации средств КЗИ Национального банка Украины в небанковских учреждениях, которые их используют.

Требования относительно применения и особенности эксплуатации средств КЗИ для защиты информации, которая циркулирует в банковской системе Украины, в том числе служебной информации Национального банка Украины, определяются Национальным банком Украины. Эта норма не распространяется на служебную информацию других субъектов властных полномочий и информацию, составляющую государственную тайну.

1.4. Использованные в настоящем Положении термины отвечают терминам, определенным в нормативно-правовых актах в сфере криптографической защиты информации и в сфере электронной цифровой подписи. Кроме того, используются такие термины:

средство КЗИ - программное, аппаратно-программное и аппаратное средство, предназначенное для криптографической защиты информации;

ключевые данные (ключ) - конкретное состояние некоторых параметров криптографического алгоритма, которые обеспечивают выбор одного криптографического преобразования из совокупности всех возможных для этого криптографического алгоритма;

ключевой документ - материальный носитель с зафиксированными соответствующим образом ключевыми данными;

компрометация - любой случай (потеря, разглашение, кража, несанкционированное копирование и тому подобное) с ключевыми документами (ключевыми данными) и средствами КЗИ, который привел (может привести) к разглашению (утечке) информации о них, а также информации, которая обрабатывается и передается;

криптографический модуль - блок, плата, микросхема, программный компонент и тому подобное или их совокупность, в которых реализованы криптографические преобразования и/или генерация (хранение) ключевых данных;

криптографическое преобразование информации - преобразование информации с использованием ключевых данных с целью сокрытия (восстановления) содержания информации, подтверждения ее действительности, целостности, авторства, даты создания и тому подобное;

режим безопасности - система правовых норм, организационных и организационно-технических мер, которая создана в государственных органах, на предприятиях, в учреждениях и организациях во время разработки, исследования, производства и эксплуатации средств КЗИ с целью ограничения доступа к информации;

сертификационные испытания - испытания средств КЗИ, которые проводятся с целью установления соответствия их характеристик и свойств требованиям нормативных документов в сфере КЗИ;

требования к средствам КЗИ - требования к принципам построения средств КЗИ и технической реализации криптографических алгоритмов в средствах КЗИ, требования к криптографическим качествам, а также требования и нормы относительно защиты средств КЗИ от утечки информативных сигналов каналами побочных электромагнитных излучений и наведений (далее - ПЭМИН);

нарушитель - юридическое или физическое лицо, которое умышленно или неумышленно осуществляет несанкционированные действия относительно информации в системе;

техническое средство обработки информации - техническое средство, предназначенное для принятия, накопления, хранения, преобразования, отображения и передачи информации;

управление ключевыми данными - действия, связанные с генерацией, распределением, доставкой, вводом в действие, изменением, хранением, учетом и уничтожением ключевых данных, а также носителей ключевых данных;

шифровка - преобразование открытого текста в шифртекст (зашифровывание) и восстановление открытого текста с шифртекста (расшифровывание) при известных ключевых данных.

1.5. В зависимости от способа реализации различают такие типы средств КЗИ:

аппаратные средства, алгоритм функционирования (в том числе криптографические функции) которых реализуется в оптических, механических микроэлектронных или других специализированных устройствах и не может быть изменен во время эксплуатации;

аппаратно-программные средства, алгоритм функционирования (в том числе криптографические функции) которых реализуется программным обеспечением, которое устанавливается во время производства средства КЗИ в специальном запоминающем устройстве, выполняется в нем и может быть изменено только во время производства;

программные средства, алгоритм функционирования которых реализуется программным обеспечением, функционирующим под управлением операционных систем электронно-вычислительной техники; отдельные функции программного средства КЗИ (в том числе криптографические преобразования) могут выполняться аппаратными или аппаратно-программными устройствами, функционирующими под управлением программного обеспечения средства КЗИ.

Изменение алгоритма функционирования (в том числе криптографических преобразований) является разработкой нового средства КЗИ или модернизацией существующего и должна осуществляться в соответствии с порядком разработки средств КЗИ, определенным настоящим Положением. Пользователь средств КЗИ не должен иметь возможности изменения алгоритма функционирования (в том числе криптографических функций) средства КЗИ.

В зависимости от выполнения устанавливаются такие виды средств КЗИ:

вид А - средства, которые на конструктивном, алгоритмическом и программном уровнях являются едиными изделиями, которые функционируют (эксплуатируются) обособленно от любых других технических средств;

вид Б - средства, которые на конструктивном, алгоритмическом и программном уровнях являются едиными изделиями и предназначены для использования в составе комплексов обработки и передачи информации;

средства вида Б подразделяются на:

подвид Б1 - изделия, которые устанавливаются в разрыв телекоммуникационного канала и/или разделяют потоки защищенной информации и информации, подлежащей защите, а также изделия, обеспечивающие отделение обработки защищенной информации и информации, подлежащей защите в вычислительной системе;

подвид Б2 - аппаратные, аппаратно-программные или программные изделия, которые подключаются к другим средствам и выполняют функции криптографических преобразований во взаимодействии с ними или под их управлением;

вид В - криптографические модули, которые не используются (не эксплуатируются) отдельно, а применяются как составные части при построении средств КЗИ видов А и Б.

В зависимости от назначения устанавливаются такие категории средств КЗИ:

средства шифровки информации (далее - средства категории "Ш");

средства, предназначенные для изготовления ключевых данных или ключевых документов (независимо от вида носителя ключевой информации) и управления ключевыми данными, которые используются в средствах КЗИ (далее - средства категории "К");

средства защиты от навязывания неправдивой информации или защиты от несанкционированной модификации, которые реализуют алгоритмы криптографического преобразования информации (далеекриптоалгоритмы), в том числе средства имитозащиты и электронной цифровой подписи (далее - средства категории "П");

средства защиты информации от несанкционированного доступа (в том числе средства разграничения доступа к ресурсам электронно-вычислительной техники), в которых реализованы криптоалгоритмы (далее - средства категории "Р").

1.6. В процессе разработки, производства и эксплуатации средств КЗИ участвуют и взаимодействуют между собой:

заказчики;

разработчики;

производители;

организации, которые эксплуатируют средства КЗИ;

организации, которые проводят сертификационные испытания (экспертные работы);

Государственная служба специальной связи и защиты информации Украины (далее - Госспецсвязи).

1.7. Заказчиками выступают органы государственной власти и местного самоуправления, а также субъекты хозяйствования, которые осуществляют финансирование работ по разработке средств КЗИ, или те, которые заключили с производителями договор об изготовлении и (или) поставке этих средств.

1.8. Лицензирование хозяйственной деятельности в отрасли криптографической защиты информации осуществляется в соответствии с действующим законодательством.

1.9. Субъекты, которые осуществляют разработку, производство и эксплуатацию средств КЗИ, определяют режим доступа к информации об этих средствах, устанавливают и поддерживают соответствующий режим безопасности с учетом требований заказчика и в соответствии с нормативно-правовыми актами в сфере КЗИ.

1.10. Разработчики и производители реализуют требования к средствам КЗИ путем выбора и разработки необходимых алгоритмических, программных, схемно-технических, конструкторских и технологических решений, которые обеспечивают выполнение установленных требований.

1.11. Распространение информации по вопросам КЗИ, которая предоставляется Госспецсвязи субъектам хозяйствования, осуществляется по согласованию с Госспецсвязи.

Госспецсвязи обеспечивает конфиденциальность информации и соблюдение авторских прав относительно предоставленных ей материалов.

2. Разработка средств КЗИ

2.1. Разработка средств КЗИ осуществляется в соответствии с требованиями нормативно-правовых актов и национальными стандартами в сфере КЗИ, а также нормативными документами по вопросам разработки и постановки продукции на производство.

2.2. Разработка средств КЗИ осуществляется путем выполнения соответствующих научно-исследовательских работ (далее - НИР) по разработке новых принципов построения и функционированию средств КЗИ и опытно-конструкторских работ (далее - ОКР) по созданию новых или модернизации существующих образцов средств КЗИ.

В зависимости от организационной формы работ по разработке средств КЗИ разработчики средств КЗИ в настоящем Положении именуются как исполнители НИР (ОКР).

2.3. НИР по разработке новых принципов построения и функционирования средств КЗИ и ОКР по разработке или модернизации существующего образца средства КЗИ выполняются согласно техническим заданиям (далее - ТЗ), которые согласовываются исполнителем НИР (ОКР).

2.4. Согласованное исполнителем ТЗ на НИР и ОКР посылается в Госспецсвязи, которая в течение одного месяца его согласовывает или предоставляет мотивированный отказ. После утверждения ТЗ заказчиком один его экземпляр посылается в Госспецсвязи.

2.5. По результатам НИР готовится ТЗ на ОКР по разработке нового или модернизации существующего образца средства КЗИ с подготовкой, по необходимости, технико-экономического обоснования ОКР.

2.6. При наличии необходимого опыта по проведению соответствующих работ допускается разработка ТЗ на ОКР без предварительного выполнения НИР.

2.7. ТЗ на ОКР разрабатывается совместно заказчиком и исполнителем или исполнителем на основании исходных данных заказчика, в которых указываются перечень возможных угроз криптографической системе (перехват сообщений, кража ключевых документов и другой критической информации и тому подобное), прогнозируемые характеристики технических возможностей потенциального нарушителя и возможные меры противодействия (физико-химические методы уничтожения критической информации и тому подобное). Особое внимание при этом уделяется обеспечению безопасности системы управления ключевыми данными (ключами).

К разработке ТЗ могут привлекаться организации, имеющие лицензию Администрации Госспецсвязи и осуществляющие сертификационные испытания (экспертные работы) криптосистем и средств КЗИ. Такие организации не привлекаются к выполнению сертификационных испытаний (экспертных работ) относительно средств КЗИ, в разработке ТЗ на которые они принимали участие.

2.8. В зависимости от достоверных условий эксплуатации средств КЗИ и в соответствии с ценностью информации, которая защищается, определяются четыре уровня возможностей нарушителя:

нулевой уровень - неумышленное нарушение конфиденциальности, целостности и подтверждения авторства информации;

первый уровень - нарушитель имеет ограниченные средства и самостоятельно создает средства, разрабатывает методы атак на средства КЗИ, а также информационно-телекоммуникационные системы с применением широко распространенных программных средств и электронно-вычислительной техники;

второй уровень - нарушитель корпоративного типа имеет возможность создания специальных технических средств, стоимость которых соотносится с возможными финансовыми убытками, которые будут возникать от нарушения конфиденциальности, целостности и подтверждения авторства информации, в частности при потере, искажении и уничтожении информации, которая защищается. В этом случае для распределения вычислений при проведении атак могут применяться локальные вычислительные сети;

третий уровень - нарушитель имеет научно-технический ресурс, который приравнивается к научно-техническому ресурсу специальной службы экономически развитого государства.

2.9. С учетом установленного уровня возможностей нарушителя выбирается необходимый класс средств КЗИ:

класс А1 - отвечает требованиям обеспечения устойчивости криптопреобразования в условиях, когда возможности нарушителя ограничены только современным состоянием науки и техники (защита от нарушителя третьего уровня);

класс Б1 - отвечает требованиям обеспечения устойчивости криптопреобразования в условиях недокументируемых возможностей в прикладном программном обеспечении (защита от нарушителя второго уровня);

класс Б2 - отвечает требованиям обеспечения устойчивости криптопреобразования в условиях осуществления нарушителем умышленного внешнего воздействия (защита от нарушителя второго уровня);

класс В1 - отвечает требованиям обеспечения устойчивости криптопреобразования в условиях несанкционированных действий со стороны легального пользователя системы (защита от нарушителя первого уровня);

класс В2 - отвечает требованиям обеспечения устойчивости криптопреобразования в условиях ошибочных действий обслуживающего персонала и отказов технических средств (защита от нарушителя первого и нулевого уровней);

класс В3 - отвечает требованиям обеспечения устойчивости криптопреобразования за счет стойкости криптоалгоритма и правильной его реализации в средстве КЗИ (защита от нарушителя нулевого уровня).

Классы средств КЗИ приведены в порядке уменьшения требований таким образом, что уровень, приведенный выше, предусматривает выполнение требований всех приведенных ниже классов.

2.10. В ТЗ на ОКР по разработке нового типа или модернизации существующего образца средства КЗИ вносятся:

сведения о заказчике и исполнителе ОКР;

сведения о категории, типе, виде и классе средства и сведения об его применении (в том числе типовая схема организации связи с указанием способа применения средства КЗИ, максимальное количество абонентов в сети, вид информации, подлежащей обработке, скорость обработки, необходимый уровень защиты информации, тип выполнения и конструктивные особенности реализации изделия);

требования к криптоалгоритму и его реализации (в том числе требования относительно помехоустойчивости и криптоустойчивости алгоритма, требования к имитозащите сообщений, порядок моделирования и верификации моделей, порядок реализации и тестирования программного обеспечения средства);

требования к ключевой системе и ее организации;

требования к носителям ключевой информации;

требования к управлению ключевыми данными (в том числе их генерации);

требования к показателям надежности средств КЗИ (обязательнодля средств категорий "Ш" и "К");

требования к электромагнитной совместимости и помехозащищенности (обязательно для средств категории "К");

сведения о типах технических средств обработки информации, которые предусматриваются для совместной работы со средствами КЗИ, в том числе требования к интерфейсам;

требования к каналам связи с указанием допустимых отклонений параметров канала, при которых должно обеспечиваться устойчивое функционирование средства;

требования к протоколу вхождения в связь;

перечень нормативно-правовых, нормативных и других документов, которые содержат требования и положения относительно разработки или модернизации существующего образца средства КЗИ;

требования к опытному участку для испытаний средств КЗИ;

требования относительно сертификационных испытаний (экспертных работ).

В ТЗ на разработку средств КЗИ видов А и Б может, по необходимости, указываться порядок применения криптографических модулей и/или криптографических функций, которые выполняются такими модулями.

Требования безопасности для криптографических модулей, а также относительно проверки криптографических модулей определяются национальными стандартами.

Требования этого пункта относительно содержания ТЗ на средства КЗИ, которые предусматриваются для использования в банковской системе Украины, уточняются Национальным банком Украины.

ТЗ на НИР и ОКР по разработке средств КЗИ, предназначенных исключительно для защиты информации, циркулирующей в банковской системе Украины, перед предоставлением на согласование в Администрацию Госспецсвязи согласовывается с Национальным банком Украины.

2.11. Требования к средствам КЗИ и требования к ключевым данным (документам) могут быть изложены в частичном (специальном) ТЗ, порядок оформления, согласования и утверждения которого соответствует порядку, установленному для основного ТЗ, и осуществляется одновременно с оформлением, согласованием и утверждением основного ТЗ.

2.12. В средствах КЗИ используются криптоалгоритмы и криптопротоколы, которые являются национальными стандартами или рекомендованы Администрацией Госспецсвязи, или согласованы Администрацией Госспецсвязи для использования в банковской системе Украины по соответствующему обращению и обоснованию Национального банка Украины.

Методики генерации ключевых данных и управления ключами согласовываются с Администрацией Госспецсвязи.

В этих методиках должны приводиться методы и способы управления ключевыми данными и порядок их использования в соответствии с избранным криптографическим алгоритмом, виды и количество ключей, периодичность их изменения, протоколы распределения ключей. Возможность согласования этих методик определяется по результатам государственной экспертизы в сфере криптографической защиты информации.

2.13. Средства КЗИ разрабатываются с учетом возможных угроз в достоверных условиях их эксплуатации.

2.14. В средствах КЗИ должны быть реализованы методы защиты, которые отвечают установленным требованиям, в зависимости от вида, типа, категории, класса средства КЗИ.

В частности в средствах КЗИ видов А и Б категорий "Ш" и "П" должны быть реализованы:

для класса В3 - механизмы контроля целостности криптографических преобразований и защиты ключевых данных (для программных средств КЗИконтроля целостности программного обеспечения), надежного тестирования средства на правильность функционирования и блокирования его работы в случае выявления нарушений;

для класса В2 - механизмы защиты от нарушения конфиденциальности информации вследствие ошибочных действий оператора или в случае отклонений в работе составляющих элементов средства КЗИ;

для класса В1 - механизмы разграничения доступа к функциям средства КЗИ, криптографической схеме и ключевым данным; доверенный канал для получения информации, подлежащей защите; механизмы уничтожения ключевых данных после окончания срока их действия; механизмы защиты ключевых данных на их носителях от несанкционированного считывания;

для класса Б2 - механизмы защиты средства КЗИ от осуществления нарушителем умышленного внешнего воздействия; механизмы защиты от нарушения конфиденциальности и целостности ключевых данных на ключевых документах;

для класса Б1 - механизмы защиты критической информации (ключевых данных, открытой информации) от недокументированных возможностей прикладного программного обеспечения;

для класса А1 - механизмы гарантированного уничтожения ключевых данных после окончания срока их действия или в случае несанкционированного доступа к криптографической схеме (или по команде оператора); механизмы защиты ключевых данных на их носителях от несанкционированного считывания.

Требования к средствам КЗИ приведены в порядке увеличения требований таким образом, что класс, приведенный ниже, предусматривает выполнение требований всех приведенных выше классов средств КЗИ.

Требования для средств КЗИ категории "К" определяются с учетом их назначения, условий расположения и эксплуатации.

Требования для средств КЗИ категории "Р" определяются с учетом требований нормативных документов системы технической защиты информации.

При потребности, могут определяться специальные требования относительно защиты средств КЗИ любого класса от утечки информации каналами ПЭМИН.

Для криптографической защиты информации средства КЗИ подвида Б2 классов А1, Б1, Б2, В1 применяются как составляющая часть комплекса средств защиты. Программное обеспечение, под управлением которого средства КЗИ подвида Б2 выполняют свои функции, является неотъемлемой частью этих средств.

Если для обеспечения контроля подлинности, целостности, авторства информации используются криптографические преобразования, которые осуществляются аппаратными или аппаратно-программными средствами подвида Б2 и/или вида В категорий "П" и "Р", обязательным является обеспечение взаимной аутентификации этих средств и программного применения, которое формирует данные, подлежащие защите.

2.15. На этапе эскизно-технического проектирования осуществляются проработка и практическая реализация функций защиты согласно требованиям к средствам КЗИ. При этом основное внимание при проектировании средства КЗИ уделяется узлам, которые обрабатывают критическую информацию, в том числе:

ввод и обработка ключевых данных;

обработка входной и выходной информации;

шифровка информации;

формирование/проверка электронной цифровой подписи;

генераторы случайных (псевдослучайных) последовательностей, которые используются для формирования ключей, векторов инициализации и тому подобное;

самотестирование;

системы сигнализации при несанкционированном доступе к средству КЗИ, изменении параметров окружающей среды, электропитания и тому подобное.

2.16. Разработка средств КЗИ осуществляется с использованием только лицензионного программного обеспечения или, по согласованию с заказчиком, компьютерных программ свободного использования, которые должны быть обеспечены документацией, подтверждающей правомерность их использования согласно лицензии или принадлежность к компьютерным программам свободного использования.

2.17. Разработчик разрабатывает рабочую конструкторскую документацию на средство КЗИ, в состав которой обязательно входят проект технических условий (для аппаратных и аппаратно-программных средств КЗИ), эксплуатационные документы, инструкция по обеспечению безопасности эксплуатации средства КЗИ и инструкция относительно порядка генерации ключевых данных и обращения (учета, хранения, уничтожения) с ключевыми документами.

2.18. Проект технических условий (далее - ТУ) согласовывается с Госспецсвязи.

При потребности, разработчиком в ТУ вносится перечень допустимых изменений, которые без согласования с Госспецсвязи могут вноситься во время производства средства КЗИ в его конструкцию, схемотехнические решения, программное обеспечение и перечень комплектующих изделий и тому подобное. В этом случае в проект ТУ, которое подается на согласование, прилагается объяснительная записка с обоснованием возможности внесения соответствующих изменений без воздействия на криптографические и специальные качества средств КЗИ.

В случае определения в техническом задании требований относительно защиты средства КЗИ от утечки информации каналами ПЭМИН в ТУ приводятся ссылка на методику контроля специальных показателей в условиях серийного производства средств КЗИ, которая должна быть согласована с организацией, осуществляющей сертификационные испытания (экспертные работы), и Госспецсвязи.

2.19. В конструкторской документации на средство КЗИ обязательно приводятся:

состав аппаратных и программных (микропрограммных) компонентов средства КЗИ и технических средств, которые предусматриваются к совместной работе со средствами КЗИ, а также требования к интерфейсам;

спецификация разработки аппаратного и общего программного обеспечения, узлов средств КЗИ (документирование разработки рекомендуется осуществлять с использованием языков программирования высокого уровня для общего программного обеспечения и узлов, которые программируются, а также функциональных и принципиальных электрических схем для аппаратной части);

схемы аппаратной и программной компоненты средства КЗИ, их взаимосвязь, в том числе все микроконтроллеры, логические интегральные микросхемы, буферные регистры ввода/вывода данных и тому подобное;

технические характеристики (по необходимости - специальные характеристики) интерфейсов соединения средств КЗИ, в том числе физические и логические порты, внешние устройства ввода/вывода информации, средств дистанционного управления, внешних средств механической защиты (крышки, замки и тому подобное);

криптографические алгоритмы, которые реализованы в средстве КЗИ;

алгоритмы тестирования и методы ручной проверки средства КЗИ, в том числе индикация (отображение) допустимых и недопустимых его состояний.

2.20. В инструкции по обеспечению безопасности эксплуатации средств КЗИ указываются:

права и обязанности лиц, ответственных за обеспечение безопасности эксплуатации средства КЗИ;

права и обязанности пользователей средств КЗИ;

порядок обеспечения безопасности средства КЗИ во время его установки, эксплуатации, выведения из эксплуатации, ремонта, а также в случае нарушения функционирования информационно-телекоммуникационной системы;

вопрос проведения тестирования средств КЗИ и их резервирования в системе;

действия персонала в условиях чрезвычайных ситуаций, стихийного бедствия и подозрения компрометации ключей;

порядок проведения контроля за состоянием обеспечения безопасности средств КЗИ;

порядок допуска в помещения, в которых установлены средства КЗИ.

2.21. В ходе выполнения ОКР разработчиком предусматривается создание оборудования (вспомогательного оборудования) для проведения сертификационных испытаний (экспертных работ) средства КЗИ. Перечень вспомогательного оборудования, средств измерительной техники и количество опытных образцов средства КЗИ, необходимых для проведения таких работ, определяются разработчиком и согласовываются с заказчиком, испытательной лабораторией (экспертным заведением).

2.22. Технические и эксплуатационные характеристики опытных образцов средства КЗИ, которое разрабатывается, эффективность и достаточность организационно-технических мер относительно обеспечения безопасности информации проверяются во время испытаний средств КЗИ на опытном участке разработчика.

По согласованию с заказчиком испытания опытных образцов средства КЗИ могут осуществляться в составе информационно-телекоммуникационной системы, эксплуатацию которой осуществляет заказчик или услугами которой он пользуется.

В ходе испытаний обработка и передача информации, указанной в пункте 1.2 настоящего Положения, запрещаются.

2.23. Выводы из утвержденного заказчиком отчета по результатам испытаний опытных образцов средства КЗИ посылаются в Госспецсвязи.

2.24. По результатам испытаний опытных образцов средства КЗИ инструкция по обеспечению безопасности эксплуатации средства КЗИ и инструкция относительно порядка обращения с ключевыми документами, при необходимости, дорабатываются разработчиком.

Инструкция по обеспечению безопасности эксплуатации средства КЗИ согласовывается с заказчиком и посылается в Госспецсвязи во время проведения государственной экспертизы в сфере КЗИ. Инструкция по обеспечению безопасности эксплуатации средства КЗИ, предназначенного для защиты открытой информации, являющейся собственностью государства, и информации с ограниченным доступом, требование относительно защиты которой установлено законом, согласовывается с Госспецсвязи обязательно, после чего утверждается разработчиком.

2.25. Если ключевые документы к средствам КЗИ предоставляются Госспецсвязи, то инструкция относительно порядка генерации ключевых данных и обращения с ключевыми документами предоставляется Госспецсвязи вместе с инструкцией по обеспечению безопасности эксплуатации средства КЗИ.

2.26. Инструкции по обеспечению безопасности эксплуатации и относительно порядка генерации ключевых данных и обращения с ключевыми документами для средств КЗИ вида В могут не разрабатываться.

Порядок работы со средствами этого вида и требования относительно обеспечения безопасности информации во время их использования указываются соответственно в отдельных разделах указанных инструкций для средств КЗИ видов А и Б.

2.27. Порядок обеспечения режима безопасности во время разработки средств КЗИ определяется разработчиком в отдельной инструкции, в которой приводятся требования относительно обращения со средствами КЗИ, оборудования помещений, меры по предотвращению компрометации средств КЗИ и тому подобное.

3. Производство средств КЗИ

3.1. Производство средств КЗИ осуществляется только при наличии сертификата соответствия (позитивного экспертного заключения) на средство, ТУ и инструкции по обеспечению безопасности эксплуатации средств КЗИ.

3.2. Производители средств КЗИ должны:

принять меры относительно своевременной сертификации или экспертизы средств КЗИ (в том числе повторной - после окончания срока действия ранее полученного сертификата соответствия или экспертного заключения);

согласовать изменения, которые вносятся в изделия и документацию на них, с заказчиком и Госспецсвязи;

обеспечить выполнение всех требований ТУ;

при наличии требований в ТУ из всей партии изделий, которая изготавливается, выбрать контрольный эталонный образец и хранить его в соответствии с установленными требованиями;

обеспечить техническое обслуживание и гарантийный ремонт средств КЗИ, а также выпуск и поставку запасных частей для этих средств в соответствии с Законом Украины "О защите прав потребителей".

3.3. Производство средств КЗИ осуществляется с использованием программного обеспечения, которое отвечает требованиям пункта 2.17 настоящего Положения.

4. Эксплуатация средств КЗИ

4.1. Для криптографической защиты информации используются средства КЗИ, которые имеют сертификат соответствия или позитивное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации.

Сертификация средств КЗИ и государственная экспертиза в сфере криптографической защиты информации проводятся в порядке, определенном другими нормативно-правовыми актами.

4.2. Основанием для начала эксплуатации средств КЗИ в организации (в том числе ее филиалах или региональных представительствах), которая осуществляет эксплуатацию средств КЗИ, является соответствующий приказ руководителя этой организации.

4.3. С начала эксплуатации каждый экземпляр средства КЗИ берется на учет в организации, которая эксплуатирует средства КЗИ.

Единицей учета каждого экземпляра средства КЗИ является:

для аппаратных и аппаратно-программных средств - конструктивно законченное техническое средство;

для программных средств - инсталляционная дискета, компакт-диск (CDROM) и тому подобное.

4.4. Передача средств КЗИ осуществляется на основании соответствующих договоров, в которых указываются порядок установки средств КЗИ у пользователей и обслуживание этих средств, обеспечение ключевыми документами (ключевыми данными), а также принятие мер относительно обеспечения режима безопасности и тому подобное.

4.5. Эксплуатация средств КЗИ осуществляется в соответствии с требованиями эксплуатационной документации, инструкцией по обеспечению безопасности эксплуатации средств КЗИ, а также инструкцией относительно порядка генерации ключевых данных и обращения с ключевыми документами.

4.6. Внесение изменений в инструкцию относительно порядка генерации ключевых данных и обращения с ключевыми документами, которые получены от Госспецсвязи, осуществляется по согласованию с Госспецсвязи.

4.7. Поставка ключевых документов (ключевых данных) от Госспецсвязи организациям, которые эксплуатируют средства КЗИ, осуществляется в порядке, установленном Администрацией Госспецсвязи.

4.8. Ключевые документы, которые поставляются Госспецсвязи, не могут тиражироваться или использоваться для других средств КЗИ, если это не предусмотрено договором о поставке ключевых документов.

4.9. Пользователи средств КЗИ должны быть ознакомлены с инструкцией относительно порядка генерации ключевых данных и обращения с ключевыми документами в части, которая их касается, и следовать требованиям этой инструкции.

В полном объеме с инструкцией относительно порядка генерации ключевых данных и обращения с ключевыми документами должен быть ознакомлен ограниченный круг лиц, которые имеют непосредственное отношение к проведению соответствующих работ.

4.10. Средства КЗИ без введенных ключевых данных имеют гриф ограничения доступа, который отвечает грифу ограничения доступа описания криптосхемы. Гриф ограничения доступа средств КЗИ с введенными ключевыми данными определяется грифом ограничения доступа ключевых документов, но не ниже грифа ограничения доступа описания криптосхемы.

4.11. Гриф ограничения доступа ключевых документов, которые используются для криптографической защиты информации, должен отвечать грифу ограничения доступа информации, которая защищается.

4.12. Применение средств КЗИ во время международного обмена информацией осуществляется в соответствии с законодательством и международными соглашениями (договорами) Украины.