На виконання Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року № 505, відповідно до Законів України "Про Державну службу спеціального зв'язку та захисту інформації України", "Про інформацію", "Про електронний цифровий підпис", "Про стандарти, технічні регламенти та процедури оцінки відповідності", з метою встановлення порядку розроблення, виробництва та експлуатації засобів криптографічного захисту інформації та засобів електронного цифрового підпису НАКАЗУЮ:

1. Затвердити Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації (додається).

2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 30.11.99 № 53 "Про затвердження Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації", зареєстрований у Міністерстві юстиції України 15.12.99 за № 868/4161.

3. Начальнику Департаменту стратегії розвитку спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання в установленому порядку наказу на державну реєстрацію до Міністерства юстиції України.

4. Контроль за виконанням наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

1. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, засобів, спеціально призначених для розроблення, дослідження, виробництва та випробування засобів криптографічного захисту інформації (далі - засоби КЗІ).

Особливості розроблення, виготовлення, уведення в експлуатацію та експлуатації засобів КЗІ, призначених для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, визначаються відповідно до чинного законодавства.

Розроблення засобів КЗІ, що фінансується за рахунок коштів Державного бюджету України, погоджується з Адміністрацією Державної служби спеціального зв’язку та захисту інформації України (далі - Адміністрація Держспецзв’язку).

Національний банк України може розробляти засоби КЗІ, призначені виключно для забезпечення власних потреб та потреб банківської системи України, без погодження з Адміністрацією Держспецзв’язку.

2. Вимоги цього Положення обов'язкові для виконання державними органами, підприємствами, установами і організаціями незалежно від форм власності (далі - організації), діяльність яких пов'язана з розробленням, виробництвом, сертифікаційними випробуваннями (експертними роботами) та експлуатацією засобів КЗІ.

3. Порядок розроблення, виробництва, випробувань та експлуатації засобів КЗІ, які розробляються та виробляються організаціями виключно для потреб Національного банку України та банківської системи України, а також особливості експлуатації таких засобів КЗІ небанківськими установами в інформаційних завданнях Національного банку України визначаються Національним банком України з урахуванням вимог цього Положення.

Порядок розроблення, виробництва, випробувань та експлуатації засобів КЗІ, які розробляються, виробляються, випробовуються безпосередньо Національним банком України, використовуються ним виключно для власних потреб і потреб банківської системи України та небанківськими установами в інформаційних завданнях Національного банку України, визначається Національним банком України.

4. У цьому Положенні використовуються такі терміни:

вимоги до засобів КЗІ - вимоги до принципів побудови засобів КЗІ та технічної реалізації криптографічних алгоритмів у засобах КЗІ, вимоги до криптографічних якостей, а також вимоги і норми щодо захисту засобів КЗІ від витоку інформативних сигналів каналами побічних електромагнітних випромінювань та наведень (далі - ПЕМВН);

засіб КЗІ - програмний, апаратно-програмний та апаратний засіб, призначений для криптографічного захисту інформації;

ключовий документ - матеріальний носій із зафіксованими відповідним чином ключовими даними;

ключові дані (ключ) - конкретний стан деяких параметрів криптографічного алгоритму, які забезпечують вибір одного криптографічного перетворення із сукупності усіх можливих для цього криптографічного алгоритму;

компрометація - будь-який випадок (втрата, розголошення, крадіжка, несанкціоноване копіювання тощо) з ключовими документами (ключовими даними) та засобами КЗІ, який призвів (може призвести) до розголошення (витоку) інформації про них, а також інформації, яка обробляється та передається;

криптографічне перетворення інформації (далі - криптоперетворення) - перетворення інформації з використанням криптографічних алгоритмів та ключових даних з метою приховування (відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства, дати створення тощо;

криптографічний модуль - блок, плата, мікросхема, програмний компонент тощо або їх сукупність, у яких реалізовані криптографічні перетворення та/або генерація (зберігання) ключових даних;

порушник - умовне позначення суб’єкта, який може навмисно чи ненавмисно здійснити несанкціоновані дії щодо інформації в системі;

постачальник ключових документів - організація або підрозділ, які визначаються Адміністрацією Держспецзв`язку для здійснення постачання ключових документів до засобів КЗІ;

режим безпеки - система норм, організаційних та організаційно-технічних заходів, яка створена в державних органах, в організаціях під час розроблення, дослідження, виробництва та експлуатації засобів КЗІ з метою обмеження доступу до інформації;

сертифікаційні випробування - випробування засобів КЗІ, що проводяться з метою встановлення відповідності їх характеристик та властивостей вимогам законодавства та нормативних документів у сферах захисту інформації та інформаційної безпеки;

технічний засіб оброблення інформації - технічний засіб, призначений для приймання, накопичення, зберігання, перетворення, відображення та передавання інформації;

управління ключовими даними - дії, пов'язані з генерацією, розподіленням, доставлянням, уведенням у дію, зміненням, зберіганням, обліком та знищенням ключових даних, а також носіїв ключових даних;

шифрування - перетворення відкритого тексту в шифротекст (зашифрування) та відновлення відкритого тексту із шифротексту (розшифрування) при відомих ключових даних.

Інші терміни, використані в цьому Положенні, відповідають термінам, визначеним у нормативно-правових актах у сферах захисту інформації та електронних довірчих послуг.

5. Залежно від способу реалізації розрізняють такі типи засобів КЗІ:

апаратні засоби, алгоритм функціонування (у тому числі криптографічні функції) яких реалізовано в оптичних, механічних, електронних або інших спеціалізованих пристроях та не може бути змінено без зміни цих пристроїв;

апаратно-програмні засоби, алгоритм функціонування (або окремі функції, у тому числі криптографічні) яких реалізовано у їх спеціально для цього використаних апаратних компонентах (програмованих логічних інтегральних схемах, контролерах) і заміна алгоритму функціонування (або окремих функцій, у тому числі криптографічних) яких можлива виробником цих засобів без зміни апаратних компонентів;

програмні засоби, алгоритм функціонування (у тому числі криптографічні функції) яких реалізовано програмним забезпеченням, що працює під управлінням операційної системи обчислювальних або комунікаційних пристроїв загального призначення і може бути змінено розробником цього програмного забезпечення, при цьому для роботи засобу непотрібні додаткові спеціально застосовані апаратні компоненти.

Зміна алгоритму функціонування (у тому числі криптографічних перетворень) є розробкою нового засобу КЗІ або модернізацією існуючого та повинна здійснюватися відповідно до порядку розробки засобів КЗІ, визначеного розділом II цього Положення. Користувач засобів КЗІ не повинен мати можливості зміни алгоритму функціонування (у тому числі криптографічних функцій) засобу КЗІ.

Залежно від виконання встановлюються такі види засобів КЗІ:

вид А - засоби, які на конструктивному, алгоритмічному та програмному рівнях є єдиними виробами, що функціонують (експлуатуються) відокремлено від будь-яких інших технічних засобів;

вид Б - засоби, які на конструктивному, алгоритмічному та програмному рівнях є єдиними виробами та призначені для використання у складі комплексів оброблення та передавання інформації.

Засоби виду Б поділяються на:

підвид Б1 - вироби, які встановлюються в розрив каналу електронних комунікацій та/або розділяють потоки захищеної інформації та інформації, що підлягає захисту, а також вироби, що забезпечують відокремлення оброблення захищеної інформації та інформації, що підлягає захисту, в обчислювальній системі;

підвид Б2 - апаратні, апаратно-програмні або програмні вироби, які підключаються до інших засобів та виконують функції криптографічних перетворень у взаємодії з ними або під їх управлінням;

вид В - криптографічні модулі, які не використовуються (не експлуатуються) окремо, а застосовуються як складові частини при побудові засобів КЗІ видів А та Б.

Залежно від призначення встановлюються такі категорії засобів КЗІ:

засоби шифрування інформації (далі - засоби категорії "Ш");

засоби, призначені для виготовлення ключових даних або ключових документів (незалежно від виду носія ключової інформації) та управління ключовими даними, що використовуються в засобах КЗІ (далі - засоби категорії "К");

засоби, що реалізують криптоперетворення та/або механізми імітозахисту та призначені для забезпечення захисту (підтвердження) хоча б однієї з таких властивостей інформації: справжності (авторства), цілісності, неспростовності, дати створення (далі - засоби категорії "П");

засоби захисту інформації від несанкціонованого доступу (у тому числі засоби розмежування доступу до ресурсів електронно-обчислювальної техніки), у яких реалізовані криптоалгоритми (далі - засоби категорії "Р");

засоби (засоби, об’єднані в комплекси), спеціально призначені для розроблення, дослідження, виробництва та випробувань засобів КЗІ, у тому числі програмування та/або запису в їх апаратні компоненти (програмовані логічні інтегральні схеми, контролери), перевірки та контролю правильності реалізації в засобах КЗІ криптографічних функцій (далі - засоби категорії "З").

6. У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою:

замовники;

розробники;

виробники;

організації, що експлуатують засоби КЗІ;

організації, що проводять сертифікаційні випробування (експертні роботи);

постачальники ключових документів;

Адміністрація Держспецзв'язку.

7. Замовниками виступають органи державної влади та місцевого самоврядування, а також суб'єкти господарювання, які здійснюють фінансування робіт з розроблення засобів КЗІ, або ті, що уклали з виробниками договір про виготовлення та/або постачання, а також виконання інших робіт щодо цих засобів.

8. Роботи щодо засобів КЗІ виконують організації, які мають ліцензію на право провадження господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім електронних довірчих послуг) та технічного захисту інформації, за переліком, що визначається Кабінетом Міністрів України.

9. Суб'єкти, які здійснюють розроблення, виробництво та експлуатацію засобів КЗІ, визначають режим доступу до інформації про ці засоби, установлюють і підтримують відповідний режим безпеки з урахуванням вимог замовника та відповідно до нормативно-правових актів у сферах захисту інформації та інформаційної безпеки.

10. Розробники та виробники реалізовують вимоги до засобів КЗІ шляхом вибору і розробки необхідних алгоритмічних, програмних, схемно-технічних, конструкторських та технологічних рішень, які забезпечують виконання встановлених вимог.

11. Поширення інформації з питань КЗІ, яка надається Адміністрацією Держспецзв'язку суб'єктам господарювання, здійснюється за погодженням з Адміністрацією Держспецзв'язку.

Адміністрація Держспецзв'язку забезпечує конфіденційність інформації та дотримання авторських прав щодо наданих їй матеріалів.

1. Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів у сферах захисту інформації та інформаційної безпеки, розроблення та поставлення продукції на виробництво.

2. Розроблення засобів КЗІ здійснюється шляхом виконання відповідних науково-дослідних робіт (далі - НДР) з розроблення нових принципів побудови і функціонування засобів КЗІ та дослідно-конструкторських робіт (далі - ДКР) зі створення нових або модернізації існуючих зразків засобів КЗІ.

Залежно від організаційної форми робіт з розроблення засобів КЗІ розробники засобів КЗІ в цьому Положенні йменуються як виконавці НДР (ДКР).

3. НДР з розроблення нових принципів побудови і функціонування засобів КЗІ та ДКР з розроблення або модернізації існуючого зразка засобу КЗІ виконуються згідно з технічними завданнями (далі - ТЗ), які погоджуються виконавцем НДР (ДКР).

4. Погоджене виконавцем ТЗ на НДР та ДКР надсилається до Адміністрації Держспецзв'язку, яка протягом одного місяця його погоджує або надає умотивовану відмову. Після затвердження ТЗ замовником один його примірник надсилається до Адміністрації Держспецзв'язку.

5. За результатами НДР готується ТЗ на ДКР з розроблення нового або модернізації існуючого зразка засобу КЗІ з підготовкою (за необхідності) техніко-економічного обґрунтування ДКР.

6. За наявності необхідного досвіду з проведення відповідних робіт допускається розроблення ТЗ на ДКР без попереднього виконання НДР.

7. ТЗ на ДКР розробляється спільно замовником і виконавцем або виконавцем на підставі вихідних даних замовника, у яких указуються перелік можливих загроз криптографічній системі (перехоплення повідомлень, крадіжка ключових документів та іншої критичної інформації тощо), прогнозовані характеристики технічних можливостей потенційного порушника та можливі заходи протидії (фізико-хімічні методи знищення критичної інформації тощо). Особлива увага при цьому приділяється забезпеченню безпеки системи управління ключовими даними (ключами).

До виконання сертифікаційних випробувань (експертних робіт) щодо конкретного засобу КЗІ не залучаються організації, які розробляли (брали участь у розробленні) ТЗ на його розроблення.

8. Залежно від вірогідних умов експлуатації засобів КЗІ та відповідно до цінності інформації, що захищається, визначаються чотири рівні можливостей порушника:

нульовий рівень - ненавмисне порушення конфіденційності, цілісності та підтвердження авторства інформації;

перший рівень - порушник має обмежені кошти та самостійно створює засоби, розробляє методи атак на засоби КЗІ, а також інформаційно-комунікаційні системи із застосуванням поширених програмних засобів та електронно-обчислювальної техніки;

другий рівень - порушник корпоративного типу має змогу створення спеціальних технічних засобів, вартість яких співвідноситься з можливими фінансовими збитками, що виникатимуть від порушення конфіденційності, цілісності та підтвердження авторства інформації, зокрема при втраті, спотворенні та знищенні інформації, що захищається. У цьому разі для розподілу обчислень при проведенні атак можуть застосовуватися локальні обчислювальні мережі;

третій рівень - порушник має науково-технічний ресурс, який прирівнюється до науково-технічного ресурсу спеціальної служби економічно розвинутої держави.

9. З урахуванням установленого рівня можливостей порушника обирається необхідний клас засобів КЗІ:

клас А1 - відповідає вимогам забезпечення стійкості криптоперетворення в умовах, коли можливості порушника обмежені лише сучасним станом науки і техніки (захист від порушника третього рівня);

клас Б1 - відповідає вимогам забезпечення стійкості криптоперетворення в умовах недокументованих можливостей у прикладному програмному забезпеченні (захист від порушника другого рівня);

клас Б2 - відповідає вимогам забезпечення стійкості криптоперетворення в умовах здійснення порушником навмисного зовнішнього впливу (захист від порушника другого рівня);

клас В1 - відповідає вимогам забезпечення стійкості криптоперетворення в умовах несанкціонованих дій з боку легального користувача системи (захист від порушника першого рівня);

клас В2 - відповідає вимогам забезпечення стійкості криптоперетворення в умовах помилкових дій обслуговувального персоналу та відмов технічних засобів (захист від порушника першого та нульового рівнів);

клас В3 - відповідає вимогам забезпечення стійкості криптоперетворення за рахунок стійкості криптоалгоритму та правильної його реалізації в засобі КЗІ (захист від порушника нульового рівня).

Класи засобів КЗІ наведено в порядку зменшення вимог таким чином, що рівень, наведений вище, передбачає виконання вимог усіх наведених нижче класів.

10. До ТЗ на ДКР з розроблення нового або модернізації існуючого зразка засобу КЗІ вносяться:

відомості про замовника та виконавця ДКР;

відомості про категорію, тип, вид і клас засобу та відомості про його застосування (у тому числі типова схема організації зв'язку із зазначенням способу застосування засобу КЗІ, максимальна кількість абонентів у мережі, вид інформації, що підлягає обробці, швидкість обробки, необхідний рівень захисту інформації, тип виконання і конструктивні особливості реалізації виробу);

вимоги до криптоалгоритму та його реалізації (у тому числі вимоги щодо завадостійкості і криптостійкості алгоритму, вимоги до імітозахисту повідомлень, порядок моделювання і верифікації моделей, порядок реалізації і тестування програмного забезпечення засобу);

вимоги до ключової системи та її організації;

вимоги до носіїв ключової інформації;

вимоги до управління ключовими даними (у тому числі їх генерації);

вимоги до показників надійності засобів КЗІ (обов'язково для засобів категорій "Ш" і "К");

вимоги до електромагнітної сумісності та завадозахищеності (обов'язково для засобів категорії "К");

відомості про типи технічних засобів оброблення інформації, які передбачаються для спільної роботи із засобами КЗІ, у тому числі вимоги до інтерфейсів;

вимоги до каналів зв'язку із зазначенням допустимих відхилень параметрів каналу, за яких повинно забезпечуватися стійке функціонування засобу;

вимоги до протоколу входження у зв'язок;