ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
       ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ

                            Н А К А З

 N 53 від 30.11.99                    Зареєстровано в Міністерстві
м.Київ                           юстиції України
                                 15 грудня 1999 р.
                                 за N 868/4161
 

       Про затвердження Положення про порядок розроблення,
     виготовлення та експлуатації засобів криптографічного
           захисту конфіденційної інформації

      ( Із змінами, внесеними згідно з Наказом Департаменту
      спеціальних телекомунікаційних систем та захисту
                     інформації Служби безпеки України
   N 31 ( z0592-04 ) від 30.04.2004 )
 

     Відповідно до Законів України "Про інформацію" (  2657-12  ),
"Про  підприємництво"  ( 698-12 ),  "Про  захист  прав споживачів"
( 1023-12 );  на виконання вимог Положення про порядок  здійснення
криптографічного  захисту  інформації  в Україні,  яке затверджене
Указом Президента України від 22 травня 1998  року  N  505/98,  та
Інструкції   про   умови  і  правила  провадження  підприємницької
діяльності  (ліцензійні   умови),   пов'язаної   з   розробленням,
виготовленням, ввезенням, вивезенням, реалізацією та використанням
засобів криптографічного захисту інформації,  а також  з  наданням
послуг  із криптографічного захисту інформації,  та контроль за їх
дотриманням, яка затверджена наказом Ліцензійної палати України та
Департаменту  спеціальних  телекомунікаційних  систем  та  захисту
інформації  Служби  безпеки  України  від 17  листопада  1998 року
N 104/81  (  z0760-98  )  та  зареєстрована в Міністерстві юстиції
України 30 листопада 1998 року за N 760/3200,  а також  Тимчасової
інструкції про порядок постачання і використання ключів до засобів
криптографічного  захисту  інформації,  яка  затверджена  спільним
наказом  Держстандарту  України  та  Служби  безпеки  України  від
28 листопада  1997  року  N  708/156  (  z0598-97   ),   з   метою
вдосконалення  порядку  розроблення,  виготовлення та експлуатації
засобів  криптографічного  захисту  конфіденційної  інформації   в
Україні Н А К А З У Ю:

     1. Затвердити Положення про порядок розроблення, виготовлення
та експлуатації засобів  криптографічного  захисту  конфіденційної
інформації (далі - Положення), що додається.
    2. Головному управлінню криптографічного захисту та  розвитку
спеціальних  телекомунікаційних  систем  Департаменту  спеціальних
телекомунікаційних систем  та  захисту  інформації  СБ  України  в
установленому  порядку  подати  Положення  в п'ятиденний термін на
державну реєстрацію  до  Міністерства  юстиції  України,  а  також
забезпечити публікацію Положення в засобах масової інформації.
    3. Контроль за виконанням цього наказу  покласти  на  першого
заступника  керівника  Департаменту спеціальних телекомунікаційних
систем та захисту інформації СБ України.

 Заступник Голови Служби                                 Г.Лазарєв

                                              Затверджено
                               Наказ Департаменту спеціальних
                               телекомунікаційних  систем  та
                               захисту    інформації   Служби
                               безпеки України 30.11.99 N 53

                                      Зареєстровано в Міністерстві
                                 юстиції України
                                 15 грудня 1999 р.
                                 за N 868/4161

                            ПОЛОЖЕННЯ
  про порядок розроблення, виробництва та експлуатації
    засобів криптографічного захисту конфіденційної
   інформації та відкритої інформації з використанням
             електронного цифрового підпису
 

                      1. Загальні положення

     1.1. Це  Положення  розроблено  відповідно до Законів України
"Про  інформацію" ( 2657-12 ),  "Про  ліцензування  певних   видів
господарської    діяльності"   ( 1775-14 ),   "Про   захист   прав
споживачів" ( 1023-12 ),  "Про Національну систему конфіденційного
зв'язку"   ( 2919-14 ),   "Про   електронний    цифровий   підпис"
( 852-15 ),  Положення  про  порядок  здійснення  криптографічного
захисту  інформації  в  Україні,  затвердженого  Указом Президента
України від 22 травня 1998 року N 505 ( 505/98 ).

     1.2. Це Положення визначає  вимоги  до  порядку  розроблення,
виробництва   та  експлуатації  засобів  криптографічного  захисту
конфіденційної інформації та відкритої інформації з  використанням
електронного цифрового підпису.

     1.3. Вимоги цього Положення обов'язкові для виконання:
    суб'єктами господарювання  незалежно  від   форм   власності,
діяльність    яких   пов'язана   з   розробленням,   виробництвом,
сертифікаційними   випробуваннями   (експертними   роботами)    та
експлуатацією   засобів  криптографічного  захисту  конфіденційної
інформації,  а  також   відкритої   інформації   з   використанням
електронного цифрового підпису;
    державними органами  в  частині   розроблення,   виробництва,
сертифікаційних  випробувань  (експертних  робіт)  та експлуатації
засобів   криптографічного   захисту   відкритої   інформації    з
використанням електронного цифрового підпису.
    Дія цього Положення не поширюється на  діяльність,  пов'язану
із    розробленням,    виробництвом   та   експлуатацією   засобів
криптографічного захисту конфіденційної інформації, що є державною
власністю.

     1.4. Використані   в   цьому  Положенні  терміни  мають  такі
значення:
    експертний висновок   -  документально  оформлені  результати
експертизи;
    експертний заклад  -  підприємство,  установа та організація,
яким відповідно до законодавства України надано право  здійснювати
експертні роботи   у  сфері  криптографічного  захисту  інформації
(далі - КЗІ);
    експертні роботи   -   дослідження   та   аналіз   конкретних
властивостей   об'єкта   експертизи   з   метою   перевірки   його
відповідності вимогам нормативних документів, оцінки рівня захисту
інформації цим об'єктом або його науково-технічного рівня;
    засіб КЗІ  -  програмний,  апаратно-програмний  та  апаратний
засіб, призначений для криптографічного захисту інформації.
    Залежно від  способу реалізації розрізняють такі типи засобів
КЗІ:
    програмні засоби,  що  функціонують  у середовищі операційних
систем  електронно-обчислювальної  техніки   та   взаємодіють   із
загальним прикладним програмним забезпеченням;
    апаратно-програмні засоби,  у  яких  частину  криптографічних
функцій   реалізовано   в   спеціальному  апаратному  пристрої  до
електронно-обчислювальної техніки,  керування яким здійснюється за
допомогою спеціального програмного забезпечення;
    апаратні засоби,    алгоритм    функціонування     (включаючи
криптографічні функції) яких реалізується в оптичних,  механічних,
мікроелектронних або інших спеціалізованих пристроях.
    Звичайно користувач  апаратних  засобів КЗІ не має доступу до
змісту запам'ятовувальних елементів,  що зберігають  мікропрограми
керування  пристроєм,  алгоритм функціонування пристрою змінюється
тільки їх розробником або виробником.
    До засобів КЗІ належать:
    засоби шифрування інформації (далі - засоби категорії "Ш");
    засоби, призначені   для   виготовлення  ключових  даних  або
документів (незалежно  від  виду  носія  ключової  інформації)  та
управління  ключовими  даними,  що  використовуються в засобах КЗІ
(далі - засоби категорії "К");
    засоби захисту  від  нав'язування  неправдивої інформації або
захисту від несанкціонованої модифікації,  що реалізують алгоритми
криптографічного    перетворення   інформації   (криптоалгоритми),
включаючи засоби імітозахисту та  електронного  цифрового  підпису
(далі - засоби категорії "П");
    засоби захисту інформації від  несанкціонованого  доступу  (у
тому    числі    засоби    розмежування    доступу   до   ресурсів
електронно-обчислювальної    техніки),    у    яких    реалізовані
криптоалгоритми (далі - засоби категорії "Р");
    ключові дані  -  деякий   набір   даних   (значень)   змінних
параметрів  криптографічного  перетворення,  використання яких дає
змогу досягти мети цього перетворення;
    ключові документи  -  матеріальні  об'єкти  із  зафіксованими
відповідним чином  ключовими  даними  для  подальшого  практичного
застосування у процесі криптографічного перетворення повідомлення;
    компрометація -  будь-який  випадок  (утрата,   розголошення,
крадіжка, несанкціоноване копіювання тощо) з ключовими документами
(ключовими даними) та засобами КЗІ,  який призвів (може призвести)
до  розголошення (витоку) інформації про них,  а також інформації,
яка обробляється та передається;
    конфіденційна інформація   -  відомості,  які  перебувають  у
володінні,  користуванні або  розпорядженні  окремих  фізичних  та
(або)  юридичних  осіб  і поширюються за їх бажанням відповідно до
передбачених ними умов;
    криптографічний захист   інформації   -   вид   захисту,   що
реалізується за допомогою перетворень інформації  з  використанням
спеціальних  даних  (ключових  даних)  з  метою  приховування (або
відновлення)  змісту  інформації,  підтвердження  її  справжності,
цілісності, авторства тощо;
    режим безпеки -  система  правових  норм,  організаційних  та
організаційно-технічних  заходів,  яка  створена на підприємствах,
установах  та  організаціях  під  час  розроблення,   дослідження,
виробництва  та експлуатації засобів КЗІ з метою обмеження доступу
до інформації;
    сертифікаційні випробування  -  випробування засобів КЗІ,  що
проводяться з метою встановлення  відповідності  характеристик  їх
властивостей нормативним документам;
    спеціальні вимоги - вимоги до принципів побудови засобів  КЗІ
та  технічної реалізації криптографічних алгоритмів у засобах КЗІ,
вимоги до криптографічних якостей,  а також вимоги  і  норми  щодо
захисту від   можливих   каналів   витоку   небезпечних   сигналів
засобів КЗІ;
    технічний засіб   обробки   інформації   -  технічний  засіб,
призначений  для  приймання,  накопичення,   зберігання,   пошуку,
перетворення, відображення та передавання інформації;
    управління ключовими даними - дії,  пов'язані  з  генерацією,
розподіленням,   доставлянням,   уведенням   у   дію,   зміненням,
зберіганням,  обліком та знищенням ключових даних,  а також носіїв
ключових даних;
    шифрування -  криптографічне  перетворення  даних  відкритого
тексту в шифртекст при відомих ключах.

     1.5. Конфіденційність,  цілісність та підтвердження авторства
інформації  під  час  її  оброблення  та   (або)   передавання   в
інформаційно-телекомунікаційних       системах      забезпечуються
застосуванням  засобів  криптографічного  та  технічного   захисту
інформації,  а  також  виконанням  відповідних  організаційних  та
організаційно-технічних заходів.

     1.6. У  процесі  розроблення,  виробництва  та   експлуатації
засобів КЗІ беруть участь і взаємодіють між собою:
    замовники;
    розробники;
    виробники;
    випробувальні лабораторії (експертні заклади);
    організації, що експлуатують засоби КЗІ;
    Департамент спеціальних  телекомунікаційних систем та захисту
інформації Служби безпеки України (далі - Департамент).

     1.7. Замовниками  виступають  державні  органи  та   суб'єкти
господарювання,  які  здійснюють  фінансування робіт з розроблення
засобів  КЗІ,  або  ті,  що  уклали  з  виробниками  договір   про
виготовлення та (або) постачання цих засобів.

     1.8. Суб'єкти  господарювання,  які  здійснюють  розроблення,
виробництво,  сертифікаційні випробування  (експертні  роботи)  та
експлуатацію   засобів   КЗІ,  повинні  мати  відповідні  ліцензії
Департаменту   на   розроблення,    виробництво,    сертифікаційні
випробування,  експертизу  та експлуатацію криптосистем та засобів
КЗІ, крім випадків, передбачених законодавством України.

     1.9. Суб'єкти  господарювання,  які  здійснюють  розроблення,
виробництво  та  експлуатацію  засобів  КЗІ,  з  урахуванням вимог
замовника визначають режим доступу до інформації  про  ці  засоби,
установлюють і підтримують відповідний режим безпеки.

     1.10. Розробники та виробники реалізують спеціальні вимоги до
засобів КЗІ шляхом вибору  і  розробки  необхідних  алгоритмічних,
програмних,  схемно-технічних,  конструкторських  та технологічних
рішень,  які забезпечують виконання вимог національних  стандартів
та нормативно-правових актів Департаменту.

     1.11. Інформація    з    питань    криптографічного   захисту
інформації,  яка   надається   з   боку   Департаменту   суб'єктам
господарювання  недержавної  форми  власності,  якщо не обумовлене
інше,  уважається  конфіденційною.   Поширення   цієї   інформації
здійснюється за погодженням з Департаментом.
    Департамент забезпечує   конфіденційність    інформації    та
дотримання авторських прав щодо наданих йому матеріалів.

     1.12. На  підставі  цього Положення Національний банк України
може визначати особливості експлуатації засобів  КЗІ  в  інтересах
банківської сфери.
 

                    2. Розроблення засобів КЗІ

     2.1. Розроблення засобів КЗІ здійснюється відповідно до вимог
нормативно-правових актів і національних стандартів у сфері КЗІ, а
також  нормативних  документів з питань розроблення та поставлення
продукції на виробництво.

     2.2. Розроблення засобів КЗІ здійснюється шляхом  поставлення
та  виконання  відповідних  науково-дослідних робіт (далі - НДР) з
розробки нових принципів побудови і функціонування засобів КЗІ  та
дослідно-конструкторських  робіт  (далі  - ДКР) зі створення нових
або модернізації існуючих зразків засобів КЗІ.

     2.3. НДР з розробки нових принципів побудови і функціонування
засобів  КЗІ виконуються згідно з технічним завданням (далі - ТЗ),
яке погоджується виконавцем НДР.
    Залежно від організаційної форми робіт з розроблення  засобів
КЗІ  розробники  засобів  КЗІ  в  цьому  Положенні  йменуються  як
виконавці НДР (ДКР).

     2.4. Погоджене   виконавцем   ТЗ   на   НДР  надсилається  на
погодження до  Департаменту,  який  протягом  одного  місяця  його
погоджує  або  надає  мотивовану  відмову.  Після  затвердження ТЗ
замовником один його примірник надсилається до Департаменту.

     2.5. За результатами НДР  готується  ТЗ  на  ДКР  з  розробки
нового або модернізації існуючого зразка засобу КЗІ з підготовкою,
за необхідності, техніко-економічного обґрунтування ДКР.

     2.6. За наявності необхідного доробку та досвіду з проведення
відповідних   робіт   припускається  розроблення  ТЗ  на  ДКР  без
попереднього виконання НДР.

     2.7. ТЗ на ДКР розробляється спільно замовником і  виконавцем
або  виконавцем  на  підставі  вихідних  даних  замовника,  у яких
указуються  перелік  можливих   загроз   криптографічній   системі
(перехоплення  повідомлень,  крадіжка ключових документів та іншої
критичної інформації,  реєстрація  побічних  випромінювань  тощо),
прогнозні   характеристики   технічних   можливостей  потенційного
порушника та припустимі заходи протидії (застосування просторового
зашумлення,  фізико-хімічні  методи  знищення критичної інформації
тощо).  Особлива увага при цьому приділяється забезпеченню безпеки
системи управління ключовими документами (ключовими даними).
    Замовник або виконавець можуть  залучати  до  розроблення  ТЗ
сторонні   організації,   які   мають   ліцензію  Департаменту  на
розроблення криптосистем та засобів КЗІ.

     2.8. Залежно від запланованих умов експлуатації  засобів  КЗІ
та відповідно до цінності інформації, що захищається, визначаються
чотири рівні можливостей порушника:
    нульовий рівень   -   випадкове  ненавмисне  ознайомлення  зі
змістом інформації (випадкове прослуховування в каналі);
    перший рівень  -  порушник  має  обмежені кошти та самостійно
створює  засоби  і  методи   атак   на   засоби   КЗІ,   а   також
інформаційно-телекомунікаційні  системи  із  застосуванням  широко
розповсюджених  програмних  засобів  та  електронно-обчислювальної
техніки;
    другий рівень  -  порушник  корпоративного  типу  має   змогу
створення    спеціальних    технічних   засобів,   вартість   яких
співвідноситься  з  можливими  фінансовими  збитками  при  втраті,
спотворенні та знищенні інформації,  що захищається.  У цьому разі
для розподілу обчислень при проведенні атак можуть застосовуватися
локальні обчислювальні мережі;
    третій рівень - порушник має науково-технічний  ресурс,  який
прирівнюється  до  науково-технічного  ресурсу  спеціальної служби
економічно розвинутої держави.

     2.9. З урахуванням установленого рівня можливостей  порушника
обирається необхідний клас засобів КЗІ:
    клас А1   -   відповідає   вимогам   забезпечення   стійкості
криптоперетворення  в  умовах,  коли можливості порушника обмежені
лише  сучасним  станом  науки  і  техніки  (захист  від  порушника
третього рівня);
    клас Б1   -   відповідає   вимогам   забезпечення   стійкості
криптоперетворення   в   умовах   недокументованих  можливостей  у
прикладному програмному забезпеченні (захист від порушника другого
рівня);
    клас Б2   -   відповідає   вимогам   забезпечення   стійкості
криптоперетворення  в  умовах  перехоплення  порушником інформації
технічними каналами її витоку від технічних  засобів  (захист  від
порушника другого рівня);
    клас В1   -   відповідає   вимогам   забезпечення   стійкості
криптоперетворення в умовах несанкціонованих дій з боку легального
користувача системи (захист від порушника першого рівня);
    клас В2   -   відповідає   вимогам   забезпечення   стійкості
криптоперетворення  в  умовах  помилкових  дій   обслуговувального
персоналу  та  відмов  технічних  засобів  (захист  від  порушника
першого та нульового рівнів);
    клас В3   -   відповідає   вимогам   забезпечення   стійкості
криптоперетворення  за  рахунок   стійкості   криптоалгоритму   та
правильної  його  реалізації  в  засобі  КЗІ (захист від порушника
нульового рівня).
    Класи засобів  КЗІ  наведено  в порядку зменшення вимог таким
чином,  що рівень, наведений вище, передбачає виконання вимог усіх
нижчих класів.

     2.10. У  ТЗ  на  ДКР  з розробки нового типу або модернізації
існуючого зразка засобу КЗІ включаються:
    відомості про   замовника  та  виконавця  ДКР,  а  також  про
випробувальну лабораторію  (експертний  заклад),  яка  провадитиме
сертифікаційні випробування (експертні роботи) засобу КЗІ;
    відомості про  тип  і  клас  засобу  та  відомості  про  його
застосування  (у  тому  числі  типова схема організації зв'язку із
зазначенням способу застосування засобу КЗІ, максимальна кількість
абонентів у мережі, вид інформації, що підлягає обробці, швидкість
обробки,  необхідний рівень захисту інформації,  тип  виконання  і
конструктивні особливості реалізації виробу);
    вимоги до криптоалгоритму та його реалізації  (у  тому  числі
вимоги щодо завадостійкості і криптостійкості алгоритму, вимоги до
імітозахисту  повідомлень,  порядок  моделювання   і   верифікації
моделей,  порядок реалізації і тестування програмного забезпечення
засобу);
    вимоги до  ключової  системи  та її організації (у тому числі
вид та кількість ключів,  періодичність їх зміни, вимоги до носіїв
ключової інформації);
    вимоги до  управління  ключовими  даними  (у  тому  числі  їх
генерації);
    спеціальні вимоги (обов'язково - для засобів категорій "Ш" і
"К");
    вимоги до електромагнітної  сумісності  та  завадозахищеності
(обов'язково - для засобів категорії "К");
    відомості про  типи  технічних  засобів,  що  взаємодіють  із
засобами   КЗІ   або   керують   ними  і  можуть  впливати  на  їх
криптографічні  та  спеціальні   якості,   включаючи   вимоги   до
інтерфейсів;
    вимоги до каналів зв'язку із зазначенням допустимих відхилень
параметрів   каналу,   при   яких   має  бути  забезпечене  стійке
функціонування засобу;
    вимоги до протоколу входження у зв'язок;
    перелік документації на засіб КЗІ, що розробляється.

     2.11. Погоджене виконавцем та,  за  необхідності,  експертним
закладом  ТЗ  на  ДКР  надсилається на погодження до Департаменту,
який протягом одного  місяця  погоджує  ТЗ  або  надає  мотивовану
відмову.  Після  затвердження  ТЗ  замовником  один його примірник
надсилається до Департаменту.

     2.12. Спеціальні вимоги та вимоги до ключової системи  можуть
бути викладені в частковому (спеціальному) ТЗ, порядок оформлення,
погодження та затвердження якого відповідає порядку, установленому
для основного ТЗ.

     2.13. У   засобах  КЗІ  використовуються  криптоалгоритми  та
криптопротоколи, які є національними стандартами або рекомендовані
Департаментом.

     2.14. Для  отримання рекомендації (експертного висновку) щодо
застосування криптоалгоритму та  (або)  криптопротоколу  розробник
засобу  КЗІ  (розробник  криптоалгоритму та (або) криптопротоколу)
надає   до   Департаменту   комплект   документів,   склад   якого
визначається   нормативно-правовими   актами  з  питань  державної
експертизи у сфері КЗІ.

     2.15. Засоби КЗІ розробляються з урахуванням можливих  загроз
з боку середовища, у якому передбачається їх застосування.
    У засобах КЗІ,  що розробляються,  реалізуються механізми  їх
захисту   від   несанкціонованого   доступу,  контролю  цілісності
мікропрограм (змісту постійних запам'ятовувальних пристроїв),  які
конфігурують  логічну  інтегральну  мікросхему,  що програмується,
тощо (для програмних засобів КЗІ - контролю цілісності програмного
забезпечення),   надійного   тестування   засобу  на  правильність
функціонування  та  блокування  його  роботи  в   разі   виявлення
порушень.

     2.16. Розроблення   програмних  засобів  КЗІ  здійснюється  з
використанням тільки ліцензійного програмного забезпечення.

     2.17. Розробник розробляє робочу конструкторську документацію
на засіб КЗІ,  до складу якої обов'язково входять проект технічних
умов (далі - ТУ) та експлуатаційні документи.

     2.18. Проект   ТУ   погоджується    з    Департаментом.    За
необхідності,  розробником  у  ТУ  включається  перелік допустимих
змін,  які без погодження з Департаментом можуть уноситися під час
виробництва засобу КЗІ до його конструкції, схемотехнічних рішень,
програмного забезпечення,  переліку комплектувальних виробів тощо.
У цьому разі до проекту ТУ,  що подається на погодження, додається
пояснювальна  записка   з   обґрунтуванням   можливості   внесення
відповідних змін без впливу на криптографічні та спеціальні якості
засобів КЗІ.

     2.19. У  ході  виконання   ДКР   розробником   передбачається
створення  устаткування  (допоміжного  обладнання)  для проведення
сертифікаційних випробувань (експертних робіт) засобу КЗІ. Перелік
допоміжного обладнання, засобів вимірювальної техніки та кількість
дослідних зразків засобу  КЗІ,  необхідних  для  проведення  таких
робіт,  визначається  розробником  і  погоджується  із замовником,
випробувальною лабораторією (експертним закладом).

     2.20. Технічні  та  експлуатаційні  характеристики  дослідних
зразків  засобу  КЗІ,  який  розробляється  у  ході виконання ДКР,
ефективність та достатність організаційно-технічних  заходів  щодо
забезпечення  безпеки інформації перевіряються під час випробувань
засобів КЗІ на дослідній ділянці розробника.
    За погодженням  із  замовником випробування дослідних зразків
засобу      КЗІ      можуть      здійснюватися      у       складі
інформаційно-телекомунікаційної    системи,    експлуатацію   якої
здійснює замовник або послугами якої він користується.
    У ході   дослідної   експлуатації   обробку   та  передавання
інформації з обмеженим доступом (для засобів категорій "Ш", "К" та
"Р")  та (або) реальний інформаційний обмін (для засобів категорії
"П") здійснювати не рекомендується.

     2.21. До початку випробувань  дослідних  зразків  засобу  КЗІ
розробник спільно із замовником розробляє:
    проект інструкції із забезпечення безпеки експлуатації засобу
КЗІ;
    проект інструкції щодо порядку генерації  ключових  даних  та
поводження (обліку, зберігання, знищення) з ключовими документами.

     2.22. Якщо  ключові документи постачаються Департаментом,  то
проект  інструкції  щодо  порядку  генерації  ключових  даних   та
поводження  з  ключовими  документами  надається  на погодження до
Департаменту.

     2.23. У   проекті   інструкції   із   забезпечення    безпеки
експлуатації засобів КЗІ вказуються:
    права та  обов'язки  осіб,  відповідальних  за   забезпечення
безпеки експлуатації засобу КЗІ;
    права та обов'язки користувачів засобів КЗІ;
    порядок забезпечення   безпеки   засобу   КЗІ  під  час  його
встановлення,  експлуатації,  виведення з експлуатації, ремонту, а
також         у        разі        порушення        функціонування
інформаційно-телекомунікаційної системи;
    питання проведення  тестування засобів КЗІ та їх резервування
в системі;
    дії персоналу в умовах надзвичайних ситуацій, стихійного лиха
та підозри на компрометацію ключів;
    порядок проведення  контролю  за  станом забезпечення безпеки
засобів КЗІ;
    порядок допуску в приміщення,  у яких установлені засоби КЗІ,
тощо.

     2.24. Висновки   із   затвердженого   замовником   звіту   за
результатами випробувань дослідних зразків засобу КЗІ надсилаються
до Департаменту.

                    3. Виробництво засобів КЗІ

     3.1. Виробництво засобів КЗІ здійснюється тільки за наявності
сертифіката  відповідності  (позитивного  експертного висновку) на
засіб,  ТУ та  інструкції  із  забезпечення  безпеки  експлуатації
засобів КЗІ.

     3.2. Виробники засобів КЗІ повинні:
    ужити заходів щодо  своєчасної  сертифікації  або  експертизи
засобів  КЗІ (у тому числі повторної - після закінчення строку дії
раніше  отриманого  сертифіката  відповідності   або   експертного
висновку);
    погодити зміни,  які вносяться у вироби  та  документацію  на
них, із замовником та Департаментом;
    забезпечити виконання усіх  вимог  ТУ,  включаючи  спеціальні
параметри;
    визначити, за наявності вимог  у  ТУ,  контрольний  еталонний
зразок від партії виробів,  що виготовляється,  та утримувати його
відповідно до встановлених вимог;
    забезпечити технічне  обслуговування  та  гарантійний  ремонт
засобів КЗІ,  а також випуск і поставку запасних  частин  для  цих
засобів відповідно  до Закону України "Про захист прав споживачів"
( 1023-12 ).

     3.3. Виробництво  програмних  засобів  КЗІ   здійснюється   з
використанням тільки ліцензійного програмного забезпечення.

                   4. Експлуатація засобів КЗІ

     4.1. Для криптографічного захисту інформації використовуються
засоби КЗІ,  які мають  сертифікат  відповідності  або  експертний
висновок Департаменту.

     4.2. До   початку   експлуатації  керівник  організації,  яка
здійснює експлуатацію засобів КЗІ,  затверджує проекти  інструкції
із забезпечення безпеки експлуатації засобу КЗІ та інструкції щодо
порядку  генерації  ключових  даних  та  поводження  з   ключовими
документами.

     4.3. Підставою   для   початку  експлуатації  засобів  КЗІ  в
організації   (у   тому   числі   її   філіях   або   регіональних
представництвах),   яка   здійснює  експлуатацію  засобів  КЗІ,  є
відповідний наказ керівника цієї організації.

     4.4. Засоби   КЗІ   з   початку   експлуатації   беруться   в
організації, яка їх експлуатує, на поекземплярний облік.
    Одиницею поекзеплярного обліку засобів КЗІ є:
    для апаратних  та апаратно-програмних засобів - конструктивно
закінчений технічний засіб;
    для програмних  засобів - інсталяційна дискета,  компакт-диск
(CD-ROM) тощо.

     4.5. Суб'єкти господарювання,  які надають послуги  в  галузі
КЗІ,  пов'язані з шифруванням конфіденційної інформації, передають
засоби  КЗІ  користувачам  цих  послуг  без  отримання   останніми
відповідних ліцензій Департаменту.
    Передача засобів КЗІ  здійснюється  на  підставі  відповідних
договорів,  у  яких  указується порядок встановлення засобів КЗІ в
користувачів та обслуговування цих засобів, забезпечення ключовими
документами  (ключовими  даними),  а  також  ужиття  заходів  щодо
забезпечення режиму безпеки тощо.

     4.6. Експлуатація  засобів  КЗІ  здійснюється  відповідно  до
вимог  експлуатаційної  документації,  інструкції  із забезпечення
безпеки експлуатації засобів КЗІ,  а також інструкції щодо порядку
генерації ключових даних та поводження з ключовими документами.

     4.7. Унесення  змін  до  інструкції  щодо  порядку  генерації
ключових даних та поводження з ключовими документами, які отримані
від Департаменту, здійснюється за погодженням з Департаментом.

     4.8. Постачання  ключових  документів  (ключових  даних)  від
Департаменту   організаціям,   які   експлуатують   засоби    КЗІ,
здійснюється у порядку, установленому Департаментом.

     4.9. Ключові  документи,  що  постачаються Департаментом,  не
можуть тиражуватися або використовуватися для засобів КЗІ,  які не
обумовлені договором про постачання ключових документів.

     4.10. Користувачі  засобів  КЗІ  повинні  бути  ознайомлені з
інструкцією щодо порядку генерації ключових даних та поводження  з
ключовими документами в частині,  що їх стосується,  та виконувати
вимоги цієї інструкції.
    У повному   обсязі   з  інструкцією  щодо  порядку  генерації
ключових даних та поводження з ключовими документами повинно  бути
ознайомлено обмежене коло осіб,  які мають безпосереднє відношення
до проведення відповідних робіт.

     4.11. Засоби КЗІ  без  уведених  ключових  даних  мають  гриф
обмеження  доступу,  який відповідає грифу обмеження доступу опису
криптосхеми.  Гриф  обмеження  доступу  засобів  КЗІ  з  уведеними
ключовими  даними  визначається  грифом обмеження доступу ключових
документів,  але  не   нижче   грифу   обмеження   доступу   опису
криптосхеми.

     4.12. Гриф   обмеження   доступу   ключових   документів,  що
використовуються для криптографічного захисту інформації,  повинен
відповідати грифу обмеження доступу інформації, що захищається.

     4.13. Застосування  засобів  КЗІ  під час міжнародного обміну
інформацією   здійснюється   відповідно   до   законодавства    та
міжнародних угод (договорів) України.

(   Положення   в   редакції   Наказу   Департаменту   спеціальних
телекомунікаційних  систем  та  захисту  інформації Служби безпеки
України N 31 ( z0592-04 ) від 30.04.2004 )

 Начальник 1 відділу 1 Управління
 ГУ КЗРСТС ДСТСЗІ СБ України                           М.Вольський