Відповідно до Законів України "Про інформацію", "Про підприємництво", "Про захист прав споживачів"; на виконання вимог Положення про порядок здійснення криптографічного захисту інформації в Україні, яке затверджене Указом Президента України від 22 травня 1998 року N 505/98, та Інструкції про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням, яка затверджена наказом Ліцензійної палати України та Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 17 листопада 1998 року N 104/81 та зареєстрована в Міністерстві юстиції України 30 листопада 1998 року за N 760/3200, а також Тимчасової інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, яка затверджена спільним наказом Держстандарту України та Служби безпеки України від 28 листопада 1997 року N 708/156, з метою вдосконалення порядку розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації в Україні

1. Затвердити Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації (далі - Положення), що додається.

2. Головному управлінню криптографічного захисту та розвитку спеціальних телекомунікаційних систем Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України в установленому порядку подати Положення в п'ятиденний термін на державну реєстрацію до Міністерства юстиції України, а також забезпечити публікацію Положення в засобах масової інформації.

3. Контроль за виконанням цього наказу покласти на першого заступника керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України.

1.1. Це Положення розроблено відповідно до Законів України "Про інформацію", "Про ліцензування певних видів господарської діяльності", "Про захист прав споживачів", "Про Національну систему конфіденційного зв'язку", "Про електронний цифровий підпис", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505.

1.2. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису.

1.3. Вимоги цього Положення обов'язкові для виконання:

суб'єктами господарювання незалежно від форм власності, діяльність яких пов'язана з розробленням, виробництвом, сертифікаційними випробуваннями (експертними роботами) та експлуатацією засобів криптографічного захисту конфіденційної інформації, а також відкритої інформації з використанням електронного цифрового підпису;

державними органами в частині розроблення, виробництва, сертифікаційних випробувань (експертних робіт) та експлуатації засобів криптографічного захисту відкритої інформації з використанням електронного цифрового підпису.

Дія цього Положення не поширюється на діяльність, пов'язану із розробленням, виробництвом та експлуатацією засобів криптографічного захисту конфіденційної інформації, що є державною власністю.

1.4. Використані в цьому Положенні терміни мають такі значення:

експертний висновок - документально оформлені результати експертизи;

експертний заклад - підприємство, установа та організація, яким відповідно до законодавства України надано право здійснювати експертні роботи у сфері криптографічного захисту інформації (далі - КЗІ);

експертні роботи - дослідження та аналіз конкретних властивостей об'єкта експертизи з метою перевірки його відповідності вимогам нормативних документів, оцінки рівня захисту інформації цим об'єктом або його науково-технічного рівня;

засіб КЗІ - програмний, апаратно-програмний та апаратний засіб, призначений для криптографічного захисту інформації.

Залежно від способу реалізації розрізняють такі типи засобів КЗІ:

програмні засоби, що функціонують у середовищі операційних систем електронно-обчислювальної техніки та взаємодіють із загальним прикладним програмним забезпеченням;

апаратно-програмні засоби, у яких частину криптографічних функцій реалізовано в спеціальному апаратному пристрої до електронно-обчислювальної техніки, керування яким здійснюється за допомогою спеціального програмного забезпечення;

апаратні засоби, алгоритм функціонування (включаючи криптографічні функції) яких реалізується в оптичних, механічних, мікроелектронних або інших спеціалізованих пристроях.

Звичайно користувач апаратних засобів КЗІ не має доступу до змісту запам'ятовувальних елементів, що зберігають мікропрограми керування пристроєм, алгоритм функціонування пристрою змінюється тільки їх розробником або виробником.

До засобів КЗІ належать:

засоби шифрування інформації (далі - засоби категорії "Ш");

засоби, призначені для виготовлення ключових даних або документів (незалежно від виду носія ключової інформації) та управління ключовими даними, що використовуються в засобах КЗІ (далі - засоби категорії "К");

засоби захисту від нав'язування неправдивої інформації або захисту від несанкціонованої модифікації, що реалізують алгоритми криптографічного перетворення інформації (криптоалгоритми), включаючи засоби імітозахисту та електронного цифрового підпису (далі - засоби категорії "П");

засоби захисту інформації від несанкціонованого доступу (у тому числі засоби розмежування доступу до ресурсів електронно-обчислювальної техніки), у яких реалізовані криптоалгоритми (далі - засоби категорії "Р");

ключові дані - деякий набір даних (значень) змінних параметрів криптографічного перетворення, використання яких дає змогу досягти мети цього перетворення;

ключові документи - матеріальні об'єкти із зафіксованими відповідним чином ключовими даними для подальшого практичного застосування у процесі криптографічного перетворення повідомлення;

компрометація - будь-який випадок (утрата, розголошення, крадіжка, несанкціоноване копіювання тощо) з ключовими документами (ключовими даними) та засобами КЗІ, який призвів (може призвести) до розголошення (витоку) інформації про них, а також інформації, яка обробляється та передається;

конфіденційна інформація - відомості, які перебувають у володінні, користуванні або розпорядженні окремих фізичних та (або) юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов;

криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

режим безпеки - система правових норм, організаційних та організаційно-технічних заходів, яка створена на підприємствах, установах та організаціях під час розроблення, дослідження, виробництва та експлуатації засобів КЗІ з метою обмеження доступу до інформації;

сертифікаційні випробування - випробування засобів КЗІ, що проводяться з метою встановлення відповідності характеристик їх властивостей нормативним документам;

спеціальні вимоги - вимоги до принципів побудови засобів КЗІ та технічної реалізації криптографічних алгоритмів у засобах КЗІ, вимоги до криптографічних якостей, а також вимоги і норми щодо захисту від можливих каналів витоку небезпечних сигналів засобів КЗІ;

технічний засіб обробки інформації - технічний засіб, призначений для приймання, накопичення, зберігання, пошуку, перетворення, відображення та передавання інформації;

управління ключовими даними - дії, пов'язані з генерацією, розподіленням, доставлянням, уведенням у дію, зміненням, зберіганням, обліком та знищенням ключових даних, а також носіїв ключових даних;

шифрування - криптографічне перетворення даних відкритого тексту в шифртекст при відомих ключах.

1.5. Конфіденційність, цілісність та підтвердження авторства інформації під час її оброблення та (або) передавання в інформаційно-телекомунікаційних системах забезпечуються застосуванням засобів криптографічного та технічного захисту інформації, а також виконанням відповідних організаційних та організаційно-технічних заходів.

1.6. У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою:

замовники;

розробники;

виробники;

випробувальні лабораторії (експертні заклади);

організації, що експлуатують засоби КЗІ;

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент).

1.7. Замовниками виступають державні органи та суб'єкти господарювання, які здійснюють фінансування робіт з розроблення засобів КЗІ, або ті, що уклали з виробниками договір про виготовлення та (або) постачання цих засобів.

1.8. Суб'єкти господарювання, які здійснюють розроблення, виробництво, сертифікаційні випробування (експертні роботи) та експлуатацію засобів КЗІ, повинні мати відповідні ліцензії Департаменту на розроблення, виробництво, сертифікаційні випробування, експертизу та експлуатацію криптосистем та засобів КЗІ, крім випадків, передбачених законодавством України.

1.9. Суб'єкти господарювання, які здійснюють розроблення, виробництво та експлуатацію засобів КЗІ, з урахуванням вимог замовника визначають режим доступу до інформації про ці засоби, установлюють і підтримують відповідний режим безпеки.

1.10. Розробники та виробники реалізують спеціальні вимоги до засобів КЗІ шляхом вибору і розробки необхідних алгоритмічних, програмних, схемно-технічних, конструкторських та технологічних рішень, які забезпечують виконання вимог національних стандартів та нормативно-правових актів Департаменту.

1.11. Інформація з питань криптографічного захисту інформації, яка надається з боку Департаменту суб'єктам господарювання недержавної форми власності, якщо не обумовлене інше, уважається конфіденційною. Поширення цієї інформації здійснюється за погодженням з Департаментом.

Департамент забезпечує конфіденційність інформації та дотримання авторських прав щодо наданих йому матеріалів.

1.12. На підставі цього Положення Національний банк України може визначати особливості експлуатації засобів КЗІ в інтересах банківської сфери.

2.1. Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів і національних стандартів у сфері КЗІ, а також нормативних документів з питань розроблення та поставлення продукції на виробництво.

2.2. Розроблення засобів КЗІ здійснюється шляхом поставлення та виконання відповідних науково-дослідних робіт (далі - НДР) з розробки нових принципів побудови і функціонування засобів КЗІ та дослідно-конструкторських робіт (далі - ДКР) зі створення нових або модернізації існуючих зразків засобів КЗІ.

2.3. НДР з розробки нових принципів побудови і функціонування засобів КЗІ виконуються згідно з технічним завданням (далі - ТЗ), яке погоджується виконавцем НДР.

Залежно від організаційної форми робіт з розроблення засобів КЗІ розробники засобів КЗІ в цьому Положенні йменуються як виконавці НДР (ДКР).

2.4. Погоджене виконавцем ТЗ на НДР надсилається на погодження до Департаменту, який протягом одного місяця його погоджує або надає мотивовану відмову. Після затвердження ТЗ замовником один його примірник надсилається до Департаменту.

2.5. За результатами НДР готується ТЗ на ДКР з розробки нового або модернізації існуючого зразка засобу КЗІ з підготовкою, за необхідності, техніко-економічного обґрунтування ДКР.

2.6. За наявності необхідного доробку та досвіду з проведення відповідних робіт припускається розроблення ТЗ на ДКР без попереднього виконання НДР.

2.7. ТЗ на ДКР розробляється спільно замовником і виконавцем або виконавцем на підставі вихідних даних замовника, у яких указуються перелік можливих загроз криптографічній системі (перехоплення повідомлень, крадіжка ключових документів та іншої критичної інформації, реєстрація побічних випромінювань тощо), прогнозні характеристики технічних можливостей потенційного порушника та припустимі заходи протидії (застосування просторового зашумлення, фізико-хімічні методи знищення критичної інформації тощо). Особлива увага при цьому приділяється забезпеченню безпеки системи управління ключовими документами (ключовими даними).