Про затвердження Змін до деяких наказів Адміністрації Державної служби спеціального зв’язку та захисту інформації України

{Із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку
та захисту інформації
№ 687 від 27.10.2020}

Відповідно до підпункту 2 пункту 3, пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою приведення нормативно-правових актів криптографічного захисту інформації у відповідність до законодавства НАКАЗУЮ:

1. Затвердити Зміни до деяких наказів Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі - Зміни), що додаються.

{Пункт 2 втратив чинність на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 687 від 27.10.2020}

3. Визнати такими, що втратили чинність:

2) наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24 липня 2007 року № 143 «Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису», зареєстрований в Міністерстві юстиції України 8 серпня 2007 року за № 914/14181 (зі змінами).

4. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

5. Цей наказ набирає чинності з дня його офіційного опублікування, крім пунктів 1 та 2 Змін, затверджених цим наказом, які набирають чинності через шість місяців з дня його офіційного опублікування.

6. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.

ЗМІНИ
до деяких наказів Адміністрації Державної служби спеціального зв’язку та захисту інформації України

1. У Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому в Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (у редакції наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 грудня 2015 року № 767):

1) у розділі I:

пункт 1 викласти у такій редакції:

«1. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, засобів, спеціально призначених для розроблення, дослідження, виробництва та випробування засобів криптографічного захисту інформації (далі - засоби КЗІ).

Особливості розроблення, виготовлення, уведення в експлуатацію та експлуатації засобів КЗІ, призначених для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, визначаються відповідно до чинного законодавства.

Розроблення засобів КЗІ, що фінансується за рахунок коштів Державного бюджету України, погоджується з Адміністрацією Державної служби спеціального зв’язку та захисту інформації України (далі - Адміністрація Держспецзв’язку).

Національний банк України може розробляти засоби КЗІ, призначені виключно для забезпечення власних потреб та потреб банківської системи України, без погодження з Адміністрацією Держспецзв’язку.»;

у пункті 2 слова «надійних засобів електронного цифрового підпису та засобів, спеціально призначених для розроблення, дослідження, виробництва та випробування засобів КЗІ» виключити;

у пункті 4:

абзац сьомий після слів «криптографічне перетворення інформації» доповнити словами «(далі - криптоперетворення)», а після слів «інформації з використанням» доповнити словами «криптографічних алгоритмів та»;

в абзаці дванадцятому слова «нормативних документів у сфері КЗІ» замінити словами «законодавства та нормативних документів у сферах захисту інформації та інформаційної безпеки»;

в абзаці шістнадцятому слова «сфері криптографічного захисту інформації та у сфері електронного цифрового підпису» замінити словами «сферах захисту інформації та електронних довірчих послуг»;

абзац шістнадцятий пункту 5 викласти у такій редакції:

«засоби, що реалізують криптоперетворення та/або механізми імітозахисту та призначені для забезпечення захисту (підтвердження) хоча б однієї з таких властивостей інформації: справжності (авторства), цілісності, неспростовності, дати створення (далі - засоби категорії «П»);»;

у пункті 8 слова «послуг електронного цифрового підпису» замінити словами «електронних довірчих послуг»;

у пункті 9 слова «сфері КЗІ» замінити словами «сферах захисту інформації та інформаційної безпеки»;

2) у розділі II:

пункт 1 викласти у такій редакції:

«1. Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів у сферах захисту інформації та інформаційної безпеки, розроблення та поставлення продукції на виробництво.»;

у пункті 10:

в абзаці першому слово «типу» виключити;

абзац двадцятий виключити.

У зв’язку з цим абзаци двадцять перший - двадцять третій вважати відповідно абзацами двадцятим - двадцять другим;

абзац двадцять другий викласти у такій редакції:

«Вимоги до механізмів захисту інформації в засобах категорії «П», що використовуються як засоби кваліфікованого електронного підпису чи печатки, встановлюються Вимогами у сфері електронних довірчих послуг, затвердженими постановою Кабінету Міністрів України від 7 листопада 2018 р. № 992, та спільними наказами Міністерства юстиції України та Адміністрації Держспецзв’язку»;

в абзаці третьому пункту 12 слова «сфері КЗІ» замінити словами «сфері криптографічного захисту інформації (далі - КЗІ)»;

у пункті 15:

в абзаці першому слова «практична реалізація» замінити словами «реалізація функцій захисту відповідних проєктних рішень»;

в абзаці п’ятому слово «електронного» виключити;

3) пункт 1 розділу IV викласти у такій редакції:

«1. Для криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, використовуються засоби КЗІ, які мають позитивний експертний висновок за результатами державної експертизи у сфері КЗІ, що підтверджують клас засобу КЗІ (рівень гарантій) та реалізовані методи захисту, а суб’єкти, що їх використовують, мають на це права.

Державна експертиза у сфері криптографічного захисту інформації проводиться в порядку, визначеному відповідними нормативно-правовими актами.».

2. У Положенні про державну експертизу в сфері криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 23 червня 2008 року № 100, зареєстрованому в Міністерстві юстиції України 16 липня 2008 року за № 651/15342 (зі змінами):

1) у розділі I:

абзац одинадцятий пункту 1.3 викласти в такій редакції:

«Інші терміни вживаються у значенні, наведеному в Законах України «Про Державну службу спеціального зв’язку та захисту інформації України», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про електронні довірчі послуги», Положенні про порядок здійснення криптографічного захисту інформації в Україні, затвердженому Указом Президента України від 22 травня 1998 року № 505, Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (із змінами).»;

в абзаці шостому пункту 1.5 слова «, програмно-технічні комплекси центрів сертифікації ключів, надійні засоби електронного цифрового підпису» виключити;

у пункті 1.6:

абзац п’ятий викласти в такій редакції:

«криптосистеми, засоби й обладнання криптографічного захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом;»;

доповнити після абзацу п’ятого новими абзацами шостим - восьмим такого змісту:

«засоби категорії «П», що використовуються як засоби кваліфікованого електронного підпису чи печатки;

засоби, що реалізують криптоперетворення та/або механізми імітозахисту та використовуються в системах зв’язку, управління та озброєння;

засоби обробки та передачі державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, які реалізують функції криптографічного захисту інформації;».

У зв’язку з цим абзаци шостий - сьомий вважати відповідно абзацами дев’ятим - десятим;

2) в абзаці четвертому підпункту 2.1.1 пункту 2.1 розділу II слова «програмно-технічні комплекси центрів сертифікації ключів, які передбачають акредитацію, надійні засоби електронного цифрового підпису» виключити;

3) у додатку 2:

в абзаці другому пункту 8 слова і цифри «та технічні умови (згідно з ДСТУ 1.3:2004 «Національна стандартизація. Правила побудови, викладання, оформлення, погодження, прийняття та позначення технічних умов, ДСТУ - Н 4486:2005 Система конструкторської документації. Настанова щодо типової побудови технічних умов, ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия»)» виключити;

у пункті 9:

в абзаці другому слова і цифри «(згідно з ГОСТ 19.201-78 «Единая система документации. Техническое задание. Требования к содержанию и оформлению»)» виключити;

в абзаці третьому слова і цифри «(згідно з ДСТУ 1.3:2004 Національна стандартизація. Правила побудови, викладання, оформлення, погодження, прийняття та позначення технічних умов (за потреби)» виключити;

в абзаці четвертому слова і цифри «(згідно з ГОСТ 19.202-78 «Единая система программной документации. Спецификация. Требования к содержанию и оформлению»)» виключити;

в абзаці п’ятому слова і цифри «(згідно з ГОСТ 19.401-78 «Единая система программной документации. Текст программы. Требования к содержанию и оформлению»)» виключити;

в абзаці шостому слова і цифри «(згідно з ГОСТ 19.402-78 «Единая система программной документации. Описание программы»)» виключити;

в абзаці сьомому слова і цифри «(згідно з ГОСТ 19.301-79 «Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению»)» виключити;

в абзаці восьмому слова і цифри «(згідно з ГОСТ 19.503-79 «Единая система программной документации. Руководство системного программиста. Требования к содержанию и оформлению»)» виключити;

в абзаці дев’ятому слова і цифри «(згідно з ГОСТ 19.504-79 «Единая система программной документации. Руководство программиста. Требования к содержанию и оформлению»)» виключити;

в абзаці десятому слова і цифри «(згідно з ГОСТ 19.505-79 «Единая система программной документации. Руководство оператора. Требования к содержанию и оформлению»)» виключити.

{Пункт 3 втратив чинність на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 687 від 27.10.2020}

4. В Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженій наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованій в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (зі змінами):

1) за текстом абревіатуру та цифри «ГОСТ 28147-89» замінити абревіатурою та цифрами «ДСТУ ГОСТ 28147:2009»;

2) у главі 1:

у пункті 1.1 слова «електронний цифровий підпис» замінити словами «електронні довірчі послуги»;

у пункті 1.3 слова «послуги електронного цифрового підпису» замінити словами «електронні довірчі послуги»;

у пункті 1.5:

в абзаці третьому слова «засобів електронного цифрового підпису» замінити словами «засобів удосконаленого електронного підпису чи печатки, засобів кваліфікованого електронного підпису чи печатки»;

в абзаці дев’ятому слова «електронного цифрового підпису» замінити словами «електронних довірчих послуг»;

3) у пункті 2.4 глави 2 слова «посилених» та «електронного цифрового підпису» виключити.