АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
07.05.2021 № 278 |
Про затвердження Вимог до засобів криптографічного захисту інформації, призначених для захисту таємної інформації, яка не становить державної таємниці, та конфіденційної інформації в державних органах, органах місцевого самоврядування, на підприємствах, в установах та організаціях, які належать до сфери їх управління, військових формуваннях, які створені відповідно до закону
Відповідно до статті 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 4 постанови Кабінету Міністрів України від 08 лютого 2021 року № 92 «Питання забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах», з метою удосконалення системи криптографічного захисту інформації НАКАЗУЮ:
1. Затвердити Вимоги до засобів криптографічного захисту інформації, призначених для захисту таємної інформації, яка не становить державної таємниці, та конфіденційної інформації в державних органах, органах місцевого самоврядування, на підприємствах, в установах та організаціях, які належать до сфери їх управління, військових формуваннях, які створені відповідно до закону, що додаються.
2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв’язку та захисту інформації України відповідно до розподілу обов’язків.
ЗАТВЕРДЖЕНО |
ВИМОГИ
до засобів криптографічного захисту інформації, призначених для захисту таємної інформації, яка не становить державної таємниці, та конфіденційної інформації в державних органах, органах місцевого самоврядування, на підприємствах, в установах та організаціях, які належать до сфери їх управління, військових формуваннях, які створені відповідно до закону
1. Ці Вимоги встановлюють вимоги до засобів криптографічного захисту інформації, які призначені для захисту таємної інформації, що не становить державної таємниці, та конфіденційної інформації під час її використання в інформаційно-телекомунікаційних системах, а також які використовуються в державних органах, органах місцевого самоврядування, на підприємствах, в установах та організаціях, що належать до сфери їх управління, у військових формуваннях, які створені відповідно до закону.
2. У цих Вимогах терміни вживаються у значеннях, наведених у Положенні про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованому в Міністерстві юстиції України 30 липня 2007 року за № 862/14129.
3. Для захисту таємної інформації, яка не становить державної таємниці, та конфіденційної інформації, що обробляється і захищається в інформаційно-телекомунікаційних системах, застосовуються програмні, апаратно-програмні та апаратні засоби, призначені для криптографічного захисту інформації (далі - засоби КЗІ), в яких за результатами державної експертизи у сфері криптографічного захисту інформації підтверджено реалізацію методів захисту, враховуючи вид та категорію засобу КЗІ.
У засобах КЗІ видів А, Б (підвиду Б 1 або Б 2) категорій «Ш» та «К» повинні бути реалізовані:
механізми контролю цілісності криптографічних перетворень і захисту ключових даних (для програмних засобів КЗІ - контролю цілісності програмного забезпечення), надійного тестування засобу на правильність функціонування та блокування його роботи в разі виявлення порушень;
механізми захисту від порушення конфіденційності інформації внаслідок помилкових дій оператора або в разі відхилень у роботі складових елементів засобу КЗІ;
механізми розмежування доступу до функцій засобу КЗІ, криптографічної схеми та ключових даних;
довірений канал для отримання інформації, що підлягає захисту;
механізми знищення ключових даних після закінчення строку їх дії;
механізми захисту ключових даних на їх носіях від несанкціонованого зчитування (крім відкритих параметрів криптографічних перетворень);
механізми захисту засобу КЗІ від здійснення порушником навмисного зовнішнього впливу;
механізми захисту від порушення конфіденційності та цілісності ключових даних;
механізми захисту критичної інформації (ключових даних) від недокументованих можливостей прикладного програмного забезпечення;
ведення електронних реєстрів спроб несанкціонованих дій.
4. Програмне забезпечення засобів КЗІ необхідно досліджувати на відсутність недокументованих функцій (функції програмних засобів, які не прописані або не відповідають тим, які прописані в документації, під час використання яких можливе порушення конфіденційності, доступності або цілісності оброблюваної інформації). Таке дослідження виконується під час проведення державної експертизи у сфері криптографічного захисту інформації.
5. Відповідність засобів КЗІ цим Вимогам підтверджується за результатами державної експертизи у сфері криптографічного захисту інформації.
6. Для захисту таємної інформації, що не становить державної таємниці, та конфіденційної інформації в державних органах, органах місцевого самоврядування, на підприємствах, в установах та організаціях, які належать до сфери їх управління, військових формуваннях, які створені відповідно до закону, можуть застосовуватися засоби КЗІ, призначені для криптографічного захисту службової інформації та/або інформації, що становить державну таємницю, які мають чинне свідоцтво про допуск до експслуатації.