Порядок здійснення криптографічного захисту інформації в Україні.

Про порядок здійснення криптографічного захисту інформації в Україні

1. Це Положення визначає порядок здійснення криптографічного захисту інформації з обмеженим доступом, розголошення якої завдає (може завдати) шкоди державі, суспільству або особі.

2. Вжиті у цьому Положенні терміни мають таке значення:

криптографічний захист - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних.

засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;

криптографічна система (криптосистема) - сукупність засобів криптографічного захисту інформації, необхідної ключової, нормативної, експлуатаційної, а також іншої документації.

система криптографічного захисту інформації - сукупність органів, підрозділів, груп, діяльність яких спрямована на забезпечення криптографічного захисту інформації,

3. Державну політику щодо криптографічного захисту інформації реалізує Головне управління урядового зв'язку Служби безпеки України (далі - Головне управління).

4. Ліцензування діяльності (видача дозволів на здійснення діяльності), пов'язаної з виконанням робіт і наданням послуг щодо криптографічного захисту інформації, розроблення, виготовлення, реалізації, використання, ввезення на територію України та вивезення за її межі засобів цього захисту, здійснюється згідно із законодавством України.

5. Державні органи, підприємства, установи і організації придбавають, ввозять в Україну, вивозять з України, використовують криптосистеми і засоби криптографічного захисту інформації за погодженням з органом, зазначеним у пункті 3 цього Положення.

6. З метою визначення рівня захищеності від несанкціонованого доступу до інформації з обмеженим доступом проводяться сертифікаційні випробування криптосистем і засобів криптографічного захисту.

7. Для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до експлуатації.

8. Для криптографічного захисту конфіденційної інформації використовуються криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності.

9. Порядок розроблення, виготовлення, розповсюдження, експлуатації, збереження, використання, випробування, сертифікації та допуску до експлуатації криптосистем і засобів криптографічного захисту інформації, контролю за додержанням вимог безпеки при проведенні цих робіт визначається відповідними положеннями.

10. Роботи, передбачені пунктами 4, 6 і 7 цього Положення, виконує, а положення та Інструкцію, зазначені у пункті 9, затверджує Головне управління. Положення та Інструкція є обов'язковими для державних органів, а також підприємств, установ, організацій усіх форм власності та громадян.

11. Розроблення, виготовлення, випробування та використання криптосистем і засобів криптографічного захисту інформації здійснюють юридичні або фізичні особи, які мають відповідну ліцензію (дозвіл).

12. До користування криптосистемами та засобами криптографічного захисту секретної інформації допускаються особи, які у встановленому законодавством України порядку одержали допуск до державної таємниці.

13. Відповідно до Інструкції, зазначеної в пункті 9 цього Положення, міністерства, інші центральні органи виконавчої влади затверджують відомчі інструкції.

14. У разі порушення вимог щодо порядку здійснення криптографічного захисту інформації посадові особи та громадяни несуть відповідальність згідно із законодавством України.

Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.

Загальні положення

1.1. Це Положення розроблено відповідно до Законів України "Про інформацію", "Про ліцензування певних видів господарської діяльності", "Про захист прав споживачів", "Про Національну систему конфіденційного зв'язку", "Про електронний цифровий підпис", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505.

1.2. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису.

1.3. Вимоги цього Положення обов'язкові для виконання:

суб'єктами господарювання незалежно від форм власності, діяльність яких пов'язана з розробленням, виробництвом, сертифікаційними випробуваннями, а також відкритої інформації з використанням електронного цифрового підпису;

державними органами в частині розроблення, виробництва, сертифікаційних випробувань (експертних робіт) та експлуатації засобів криптографічного захисту відкритої інформації з використанням електронного цифрового підпису.

Залежно від способу реалізації розрізняють такі типи засобів КЗІ:

програмні засоби, що функціонують у середовищі операційних систем електронно-обчислювальної техніки та взаємодіють із загальним прикладним програмним забезпеченням;

апаратно-програмні засоби, у яких частину криптографічних функцій реалізовано в спеціальному апаратному пристрої до електронно-обчислювальної техніки, керування яким здійснюється за допомогою спеціального програмного забезпечення;

До засобів КЗІ належать:

засоби шифрування інформації (далі - засоби категорії "Ш"); засоби, призначені для виготовлення ключових даних, що використовуються в засобах КЗІ (далі - засоби категорії "К");

засоби захисту від нав'язування неправдивої інформації або захисту від несанкціонованої модифікації, що реалізують та електронного цифрового підпису (далі - засоби категорії "П");

засоби захисту інформації від несанкціонованого доступу у яких реалізовані криптоалгоритми (далі - засоби категорії "Р");

1.5. Конфіденційність, цілісність та підтвердження авторства інформації під час її оброблення.

1.6. У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою:

замовники; розробники; виробники; випробувальні лабораторії (експертні заклади); організації, що експлуатують засоби КЗІ;

1.7. Замовниками виступають державні органи та суб'єкти господарювання, які здійснюють фінансування робіт з розроблення засобів КЗІ, або ті, що уклали з виробниками договір про виготовлення та (або) постачання цих засобів.

1.8. Суб'єкти господарювання, які здійснюють розроблення, виробництво, сертифікаційні випробування (експертні роботи) та експлуатацію засобів КЗІ, повинні мати відповідні ліцензії

1.9. Суб'єкти господарювання, які здійснюють розроблення, виробництво та експлуатацію засобів КЗІ, з урахуванням вимог замовника визначають режим доступу до інформації

1.10. Розробники та виробники реалізують спеціальні вимоги до засобів КЗІ шляхом вибору і розробки необхідних алгоритмічних, програмних, схемно-технічних, конструкторських та технологічних рішень.

Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (КЗІ).

Визначення основних принципів ліцензування господарської діяльності у сфері криптографічного захисту інформації, порядок видачі ліцензії, встановлює державний контроль у сфері ліцензування господарської діяльності криптографічного захисту інформації та відповідальність суб'єктів господарювання за порушення законодавства про ліцензування.

Ліцензійні умови провадження господарської, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту