|
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
04.03.2020 № 129 |
Про затвердження Змін до деяких наказів Адміністрації Державної служби спеціального зв’язку та захисту інформації України
Відповідно до підпункту 2 пункту 3, пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою приведення нормативно-правових актів криптографічного захисту інформації у відповідність до законодавства НАКАЗУЮ:
1. Затвердити Зміни до деяких наказів Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі - Зміни), що додаються.
2. У наказі Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 18 грудня 2012 року № 739 «Про затвердження Вимог до форматів криптографічних повідомлень», зареєстрованому в Міністерстві юстиції України 14 січня 2013 року за № 108/22640 (зі змінами):
1) пункти 2 і 3 викласти у такій редакції:
«2. Установити, що державні органи при електронній взаємодії, що здійснюється з використанням кваліфікованих електронних довірчих послуг, при здійсненні обміну електронних даних конфіденційного характеру через глобальні мережі передачі даних забезпечують конфіденційність таких даних з використанням засобів криптографічного захисту інформації та сертифікатів шифрування, що відповідають Вимогам.
3. Установити, що кваліфіковані надавачі електронних довірчих послуг мають право надавати послуги з обслуговування сертифікатів шифрування та у разі фактичного їх надання інформують про це Адміністрацію Держспецзв’язку.»;
2) пункт 4 виключити.
У зв’язку з цим пункти 5, 6, 7 вважати відповідно пунктами 4, 5, 6.
3. Визнати такими, що втратили чинність:
1) наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3 «Про затвердження Правил посиленої сертифікації», зареєстрований в Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (зі змінами);
2) наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24 липня 2007 року № 143 «Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису», зареєстрований в Міністерстві юстиції України 8 серпня 2007 року за № 914/14181 (зі змінами).
4. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
5. Цей наказ набирає чинності з дня його офіційного опублікування, крім пунктів 1 та 2 Змін, затверджених цим наказом, які набирають чинності через шість місяців з дня його офіційного опублікування.
6. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.
ПОГОДЖЕНО: |
|
ЗАТВЕРДЖЕНО |
ЗМІНИ
до деяких наказів Адміністрації Державної служби спеціального зв’язку та захисту інформації України
1. У Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому в Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (у редакції наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 грудня 2015 року № 767):
1) у розділі I:
пункт 1 викласти у такій редакції:
«1. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, засобів, спеціально призначених для розроблення, дослідження, виробництва та випробування засобів криптографічного захисту інформації (далі - засоби КЗІ).
Особливості розроблення, виготовлення, уведення в експлуатацію та експлуатації засобів КЗІ, призначених для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, визначаються відповідно до чинного законодавства.
Розроблення засобів КЗІ, що фінансується за рахунок коштів Державного бюджету України, погоджується з Адміністрацією Державної служби спеціального зв’язку та захисту інформації України (далі - Адміністрація Держспецзв’язку).
Національний банк України може розробляти засоби КЗІ, призначені виключно для забезпечення власних потреб та потреб банківської системи України, без погодження з Адміністрацією Держспецзв’язку.»;
у пункті 2 слова «надійних засобів електронного цифрового підпису та засобів, спеціально призначених для розроблення, дослідження, виробництва та випробування засобів КЗІ» виключити;
у пункті 4:
абзац сьомий після слів «криптографічне перетворення інформації» доповнити словами «(далі - криптоперетворення)», а після слів «інформації з використанням» доповнити словами «криптографічних алгоритмів та»;
в абзаці дванадцятому слова «нормативних документів у сфері КЗІ» замінити словами «законодавства та нормативних документів у сферах захисту інформації та інформаційної безпеки»;
в абзаці шістнадцятому слова «сфері криптографічного захисту інформації та у сфері електронного цифрового підпису» замінити словами «сферах захисту інформації та електронних довірчих послуг»;
абзац шістнадцятий пункту 5 викласти у такій редакції:
«засоби, що реалізують криптоперетворення та/або механізми імітозахисту та призначені для забезпечення захисту (підтвердження) хоча б однієї з таких властивостей інформації: справжності (авторства), цілісності, неспростовності, дати створення (далі - засоби категорії «П»);»;
у пункті 8 слова «послуг електронного цифрового підпису» замінити словами «електронних довірчих послуг»;
у пункті 9 слова «сфері КЗІ» замінити словами «сферах захисту інформації та інформаційної безпеки»;
2) у розділі II:
пункт 1 викласти у такій редакції:
«1. Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів у сферах захисту інформації та інформаційної безпеки, розроблення та поставлення продукції на виробництво.»;
у пункті 10:
в абзаці першому слово «типу» виключити;
абзац двадцятий виключити.
У зв’язку з цим абзаци двадцять перший - двадцять третій вважати відповідно абзацами двадцятим - двадцять другим;
абзац двадцять другий викласти у такій редакції:
«Вимоги до механізмів захисту інформації в засобах категорії «П», що використовуються як засоби кваліфікованого електронного підпису чи печатки, встановлюються Вимогами у сфері електронних довірчих послуг, затвердженими постановою Кабінету Міністрів України від 7 листопада 2018 р. № 992, та спільними наказами Міністерства юстиції України та Адміністрації Держспецзв’язку»;
в абзаці третьому пункту 12 слова «сфері КЗІ» замінити словами «сфері криптографічного захисту інформації (далі - КЗІ)»;
у пункті 15:
в абзаці першому слова «практична реалізація» замінити словами «реалізація функцій захисту відповідних проєктних рішень»;
в абзаці п’ятому слово «електронного» виключити;
3) пункт 1 розділу IV викласти у такій редакції:
«1. Для криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, використовуються засоби КЗІ, які мають позитивний експертний висновок за результатами державної експертизи у сфері КЗІ, що підтверджують клас засобу КЗІ (рівень гарантій) та реалізовані методи захисту, а суб’єкти, що їх використовують, мають на це права.
Державна експертиза у сфері криптографічного захисту інформації проводиться в порядку, визначеному відповідними нормативно-правовими актами.».
2. У Положенні про державну експертизу в сфері криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 23 червня 2008 року № 100, зареєстрованому в Міністерстві юстиції України 16 липня 2008 року за № 651/15342 (зі змінами):
1) у розділі I:
абзац одинадцятий пункту 1.3 викласти в такій редакції:
«Інші терміни вживаються у значенні, наведеному в Законах України «Про Державну службу спеціального зв’язку та захисту інформації України», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про електронні довірчі послуги», Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 року № 505, Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (із змінами).»;
в абзаці шостому пункту 1.5 слова «, програмно-технічні комплекси центрів сертифікації ключів, надійні засоби електронного цифрового підпису» виключити;
у пункті 1.6:
абзац п’ятий викласти в такій редакції:
«криптосистеми, засоби й обладнання криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;»;
доповнити після абзацу п’ятого новими абзацами шостим - восьмим такого змісту:
«засоби категорії «П», що використовуються як засоби кваліфікованого електронного підпису чи печатки;
засоби, що реалізують криптоперетворення та/або механізми імітозахисту та використовуються в системах зв’язку, управління та озброєння;
засоби обробки та передачі державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, які реалізують функції криптографічного захисту інформації;».
У зв’язку з цим абзаци шостий - сьомий вважати відповідно абзацами дев’ятим - десятим;
2) в абзаці четвертому підпункту 2.1.1 пункту 2.1 розділу II слова «програмно-технічні комплекси центрів сертифікації ключів, які передбачають акредитацію, надійні засоби електронного цифрового підпису» виключити;
3) у додатку 2:
в абзаці другому пункту 8 слова і цифри «та технічні умови (згідно з ДСТУ 1.3:2004 «Національна стандартизація. Правила побудови, викладання, оформлення, погодження, прийняття та позначення технічних умов, ДСТУ - Н 4486:2005 Система конструкторської документації. Настанова щодо типової побудови технічних умов, ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия»)» виключити;
у пункті 9:
в абзаці другому слова і цифри «(згідно з ГОСТ 19.201-78 «Единая система документации. Техническое задание. Требования к содержанию и оформлению»)» виключити;
в абзаці третьому слова і цифри «(згідно з ДСТУ 1.3:2004 Національна стандартизація. Правила побудови, викладання, оформлення, погодження, прийняття та позначення технічних умов (за потреби)» виключити;
в абзаці четвертому слова і цифри «(згідно з ГОСТ 19.202-78 «Единая система программной документации. Спецификация. Требования к содержанию и оформлению»)» виключити;
в абзаці п’ятому слова і цифри «(згідно з ГОСТ 19.401-78 «Единая система программной документации. Текст программы. Требования к содержанию и оформлению»)» виключити;
в абзаці шостому слова і цифри «(згідно з ГОСТ 19.402-78 «Единая система программной документации. Описание программы»)» виключити;
в абзаці сьомому слова і цифри «(згідно з ГОСТ 19.301-79 «Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению»)» виключити;
в абзаці восьмому слова і цифри «(згідно з ГОСТ 19.503-79 «Единая система программной документации. Руководство системного программиста. Требования к содержанию и оформлению»)» виключити;
в абзаці дев’ятому слова і цифри «(згідно з ГОСТ 19.504-79 «Единая система программной документации. Руководство программиста. Требования к содержанию и оформлению»)» виключити;
в абзаці десятому слова і цифри «(згідно з ГОСТ 19.505-79 «Единая система программной документации. Руководство оператора. Требования к содержанию и оформлению»)» виключити.
3. У Вимогах до форматів криптографічних повідомлень, затверджених наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 18 грудня 2012 року № 739, зареєстрованих в Міністерстві юстиції України 14 січня 2013 року за № 108/22640 (зі змінами):
у пункті 1.1 слова «та надійних засобів електронного цифрового підпису (далі - ЕЦП)» виключити;
пункт 1.2 викласти у такій редакції:
«1.2. Положення цих Вимог є обов’язковими для засобів КЗІ, призначених для забезпечення конфіденційності інформації з використанням сертифіката шифрування. Правильність реалізації у засобах КЗІ цих Вимог повинна бути підтверджена позитивним експертним висновком за результатами державної експертизи у сфері КЗІ.
Державна експертиза у сфері КЗІ проводиться в порядку, визначеному відповідними нормативно-правовими актами.»;
в абзаці п’ятому слова «у циклічній групі поля або» виключити;
доповнити після абзацу п’ятого новим абзацом шостим такого змісту:
«сертифікат шифрування - сертифікат відкритого ключа, виданий надавачем електронних довірчих послуг і призначений для використання у протоколі узгодження ключа;».
У зв’язку з цим абзаци шостий - дев’ятий вважати відповідно абзацами сьомим - десятим;
абзац десятий викласти у такій редакції:
«Інші терміни вживаються у значеннях, наведених у Законі України «Про електронні довірчі послуги» та нормативно-правових актах у сфері електронних довірчих послуг.»;
У зв’язку з цим абзаци четвертий та п’ятий вважати відповідно абзацами третім та четвертим;
абзац третій після слова «протокол» доповнити словами «узгодження ключів»;
в абзаці першому слова і цифри «ГОСТ 34.310-95 «Информационная технология. Криптографическая защита информации. Процессы выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма» (далі - ГОСТ 34.310-95),» виключити;
в абзаці другому абревіатуру «ЕЦП» замінити словами «цифрового підпису»;
пункт 1.8 викласти у такій редакції:
«1.8. Ці Вимоги розроблено з урахуванням Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженої наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованої в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (далі - Інструкція № 114), Вимог до електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992 (далі - Вимоги до електронних довірчих послуг).»;
пункт 1.9 викласти у такій редакції:
«1.9. У цих Вимогах повинні застосовуватися криптографічні алгоритми, встановленні пунктом 3 наказу Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 18 листопада 2019 року № 3563/5/610 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання електронних довірчих послуг», зареєстрованого в Міністерстві юстиції України 20 листопада 2019 року за № 1172/34143.».
пункт 2.2 викласти у такій редакції:
«2.2. Тип повідомлення «ContentInfo» подано в нотації ASN.1, яка визначена ДСТУ ISO/IEC 8824-1:2017 (ISO/IEC 8824-1:2015, IDT) «Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1). Частина 1. Специфікація базової нотації», ДСТУ ISO/IEC 8824-2:2017 (ISO/IEC 8824-2:2015, IDT) «Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1). Частина 2. Специфікація інформаційного об’єкта», ДСТУ ISO/IEC 8824-3:2008 (ISO/IEC 8824-3:2002, IDT) «Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1). Частина 3. Специфікація обмежень», ДСТУ ISO/IEC 8824-4:2017 (ISO/IEC 8824-4:2015, IDT) «Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1). Частина 4. Параметризація специфікацій ASN.1.»;
в абзаці першому пункту 2.7 слова «формату підписаних даних» замінити словами «електронних довірчих послуг»;
3) пункт 3.2 глави 3 розділу III викласти у такій редакції:
«3.2. Для формування повідомлення «захищені дані» застосовується статичний або динамічний механізм узгодження ключів за протоколом Діффі-Геллмана.
3.2.1. Статичний механізм узгодження ключів («Static-Static mode») - узгодження ключів за протоколом Діффі-Геллмана, за якого як відправник, так і одержувач мають статичну ключову пару, відкритий ключ якої засвідчено кваліфікованим надавачем електронних довірчих послуг.
Статичний механізм узгодження ключів може використовуватися лише у випадку, коли параметри криптографічного алгоритму статичної ключової пари відправника еквівалентні параметрам криптографічного алгоритму статичної ключової пари одержувача. Якщо зазначені параметри не еквівалентні, повинен застосовуватися динамічний механізм узгодження ключів.
При статичному механізмі узгодження ключа для формування узгодженого ключа відправник повинен використовувати особистий ключ відправника та відкритий ключ одержувача. Одержувач повинен використовувати особистий ключ одержувача та відкритий ключ відправника.
Відкриті ключі відправника та одержувача обираються із сертифікатів шифрування.
3.2.2. Під час динамічного механізму узгодження ключа для формування узгодженого ключа відправник повинен використовувати особистий сеансовий ключ відправника і відкритий ключ одержувача. Одержувач повинен використовувати особистий ключ одержувача і відкритий сеансовий ключ відправника, що отримує від відправника, під час кожного сеансу в полі «originatorKey» структури «RecipientInfo».
При цьому параметри криптографічного алгоритму динамічної ключової пари відправника повинні бути еквівалентні параметрам криптографічного алгоритму статичної ключової пари одержувача.
При динамічному механізмі узгодження ключа для формування узгодженого ключа відправник повинен використовувати особистий ключ відправника і відкритий ключ одержувача. Одержувач повинен використовувати особистий ключ одержувача і відкритий ключ відправника, що отримується від відправника, при кожному сеансі у полі «originatorKey» структури «RecipientInfo».
Особливості кодування параметрів протоколу узгодження ключа визначено у главі 4 розділу V цих Вимог.
Протокол узгодження ключів Діффі-Геллмана в групі точок еліптичної кривої використовується для ключових пар (відправника та одержувача), що відповідають ДСТУ 4145-2002.»;
пункт 3.2 викласти у такій редакції:
«3.2. Поле «originatorInfo» містить сертифікат шифрування відправника та додатково може містити пов’язані з ним кваліфіковані сертифікати відкритих ключів і списки відкликаних сертифікатів. Поле є необов’язковим.»;
підпункт 3.3.1 пункту 3.3 викласти у такій редакції:
«3.3.1. Поле «certs» містить сертифікат шифрування відправника та додатково може містити пов’язані з ним кваліфіковані сертифікати відкритих ключів для побудови шляху сертифікації від довіреного «кореня». Сертифікати розміщуються в такому порядку: першим (з найменшим індексом) розміщується кваліфікований сертифікат відкритого ключа вищого рівня (кореневий), останнім (з найбільшим індексом) розміщується сертифікат шифрування відправника, який було застосовано для статичного механізму.»;
підпункт 3.4.1 пункту 3.4 викласти у такій редакції:
«3.4.1. Поле «crls» містить набір списків відкликаних сертифікатів (CRL). Набір CRL містить інформацію, достатню для того, щоб визначити, чи є сертифікати в полі «certs» чинними. Послідовність розміщення CRL у полі «crls» повинна відповідати послідовності розміщення сертифікатів у наборі «certs». Наявність списків відкликаних сертифікатів дає змогу одержувачу визначити чинність сертифіката шифрування відправника на момент формування захищених даних без необхідності звернення до зовнішніх джерел розміщення CRL.»;
в абзаці другому слова «центру сертифікації» замінити словами «надавача електронних довірчих послуг»;
абзаци четвертий - дев’ятий виключити;
у зв’язку з цим абзаци десятий - двадцятий вважати відповідно абзацами четвертим - чотирнадцятим;
абзац третій підпункту 4 виключити.
У зв’язку з цим абзац четвертий вважати відповідно абзацом третім;
У зв’язку з цим підпункт 4 вважати підпунктом 3;
в абзаці тридцять п’ятому підпункту 3 цифру «4» замінити цифрою «3»;
абзац третій глави 1 викласти у такій редакції:
«У цих Вимогах визначено протокол узгодження ключа Діффі-Геллмана у групі точок еліптичної кривої (ECDH).»;
в абзаці п’ятому глави 2 та абзаці дванадцятому глави 3 слова «для визначеного протоколу в циклічній групі поля або в групі точок еліптичної кривої» виключити;
У зв’язку з цим пункти 4.2, 4.3 вважати відповідно пунктами 4.1, 4.2;
пункт 4.2 викласти у такій редакції:
«4.2. Кодування ДКЕ виконується як:
Для ДСТУ 4145-2002 ДКЕ кодується в упакованому форматі.
За відсутності ДКЕ в параметрах криптоалгоритму використовується ДКЕ № 1 Переліку ДКЕ, які рекомендуються до застосування у засобах КЗІ, наведеному у додатку 1 до Інструкції № 114.
Спосіб представлення ДКЕ № 1 повинен відповідати вимогам до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг, встановлених у нормативно-правових актах Мін’юсту та Адміністрації Держспецзв’язку.»;
У зв’язку з цим пункти 5.2, 5.3 вважати відповідно пунктами 5.1, 5.2;
в абзаці сьомому пункту 5.2 слова «у циклічній групі простого поля та у групі точок еліптичної кривої» виключити;
У зв’язку з цим пункт 6.4 вважати пунктом 6.3;
підпункт 1 викласти у такій редакції:
«1) KDF-функція в групі точок еліптичної кривої (ECDH) ґрунтується на ДСТУ ISO/IEC 11770-3:2015.»;
в абзаці четвертому підпункту 2 цифру «4» замінити цифрою «3»;
в абзаці третьому слова та цифри «(аналогічний полю «partyAInfo» структури «OtherInfo», наведеної у позиції 3 пункту 6.3 глави 6 розділу V цих Вимог)» виключити;
в абзаці четвертому слова та цифри «(аналогічно полю «suppPubInfo» структури «OtherInfo», наведеної у позиції 3 пункту 4.1 глави 4 розділу V)» виключити;
6) у главі 4 розділу VI слова «алгоритмами узгодження ключа DH або» замінити словом «алгоритмом»;
пункти 8.1 і 8.2 викласти у такій редакції:
«8.1. Сертифікат шифрування у цих Вимогах призначається для використання у протоколі узгодження ключа Діффі-Геллмана в групі точок еліптичної кривої.
8.2. Формат сертифіката шифрування повинен відповідати формату кваліфікованого сертифіката відкритого ключа, встановленого у Вимогах до електронних довірчих послуг.»;
в абзацах восьмому - десятому пункту 8.3 слово «електронний» виключити.
4. В Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженій наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованій в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (зі змінами):
1) за текстом абревіатуру та цифри «ГОСТ 28147-89» замінити абревіатурою та цифрами «ДСТУ ГОСТ 28147:2009»;
у пункті 1.1 слова «електронний цифровий підпис» замінити словами «електронні довірчі послуги»;
у пункті 1.3 слова «послуги електронного цифрового підпису» замінити словами «електронні довірчі послуги»;
в абзаці третьому слова «засобів електронного цифрового підпису» замінити словами «засобів удосконаленого електронного підпису чи печатки, засобів кваліфікованого електронного підпису чи печатки»;
в абзаці дев’ятому слова «електронного цифрового підпису» замінити словами «електронних довірчих послуг»;
3) у пункті 2.4 глави 2 слова «посилених» та «електронного цифрового підпису» виключити.
-
скопійовано
-
