Зарегистрировано в НРПА РБ 30 июля 2001 г. N 8/6450
В соответствии с Законом Республики Беларусь от 6 сентября 1995 г. N 3850-XII "Об информатизации", Законом Республики Беларусь от 3 декабря 1997 г. N 102-З "Об органах государственной безопасности Республики Беларусь" и с целью упорядочения процесса разработки, производства, реализации и использования средств криптографической защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, на территории Республики Беларусь Комитет государственной безопасности Республики Беларусь ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемое Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
Председатель Л.Т.ЕРИН
УТВЕРЖДЕНО
Постановление Комитета
государственной безопасности
Республики Беларусь
28.06.2001 N 7
ПОЛОЖЕНИЕ
О ПОРЯДКЕ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И
ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОДЕРЖАЩЕЙ
СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (далее - Положение), определяет единый на территории Республики Беларусь порядок разработки, реализации и использования сертифицированных Комитетом государственной безопасности Республики Беларусь (далее - КГБ) средств криптографической защиты информации ограниченного доступа, не содержащей сведений, составляющих государственные секреты, при ее обработке, хранении и передаче по каналам связи в случае принятия решения о необходимости криптографической защиты данной информации.
2. Сертифицированные КГБ средства криптографической защиты конфиденциальной информации в настоящем Положении именуются СКЗИ. К СКЗИ относятся:
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
3. Необходимость обязательной криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственные секреты (далее - конфиденциальная информация), определяется законодательством Республики Беларусь или пользователем (потребителем) данной информации.
Требования настоящего Положения не распространяются на использование средств криптографической защиты информации импортного производства.
Доступ правоохранительных органов Республики Беларусь к конфиденциальной информации, защищенной с использованием СКЗИ, осуществляется в соответствии с действующим законодательством Республики Беларусь.
4. При организации обмена подлежащей обязательной защите конфиденциальной информацией, участниками которого являются государственные органы, государственные организации, другие организации независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов, а также юридические лица-пользователи (потребители) конфиденциальной информации, не являющиеся государственными органами или государственными организациями и другими организациями, выполняющими государственные оборонные заказы (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), и физические лица - пользователи (потребители) конфиденциальной информации (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), необходимость криптографической защиты конфиденциальной информации и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются государственными органами или государственными организациями.
5. При организации информационного обмена конфиденциальной информацией, не подлежащей обязательной защите, необходимость ее криптографической защиты и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются соглашениями между участниками обмена.
6. Необходимость криптографической защиты конфиденциальной информации (как подлежащей обязательной защите, так и не подлежащей обязательной защите) при ее обработке, хранении и передаче по каналам связи в случае отсутствия обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы, и выбор типа СКЗИ определяются ее пользователем (в случае если собственником информационных ресурсов или уполномоченным им лицом предварительно не определена необходимость криптографической защиты конфиденциальной информации и не выбран требуемый тип СКЗИ).
7. При принятии решения о необходимости криптографической защиты конфиденциальной информации, подлежащей в соответствии с действующим законодательством обязательной защите, требования настоящего Положения являются обязательными для:
государственных органов и государственных организаций;
юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица (далее - индивидуальные предприниматели), осуществляющих виды деятельности, подлежащие в соответствии с законодательством Республики Беларусь лицензированию КГБ;
негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы;
других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.
В отношении иных лиц требования настоящего Положения носят рекомендательный характер.
8. СКЗИ должны удовлетворять разрабатываемым КГБ требованиям и допускаться к использованию после экспертизы в КГБ.
9. Для криптографической защиты конфиденциальной информации могут использоваться СКЗИ, имеющие сертификат КГБ (сертифицированные СКЗИ).
Порядок сертификации СКЗИ определяется соответствующей системой сертификации.
Глава 2. ПОРЯДОК РАЗРАБОТКИ СКЗИ
10. Заказ разработки СКЗИ для государственных нужд осуществляется КГБ или иным государственным органом по согласованию с КГБ.
11. Заказ разработки СКЗИ осуществляется юридическими лицами и (или) индивидуальными предпринимателями, имеющими лицензии КГБ.
12. Разработка СКЗИ осуществляется путем постановки и проведения необходимых научно-исследовательских работ (далее - НИР) по разработке нового типа СКЗИ и опытно-конструкторских работ (далее - ОКР) по созданию нового типа или модернизации действующего образца СКЗИ.
13. НИР по разработке нового типа СКЗИ проводится в соответствии с тактико-техническим заданием (далее - ТТЗ) или техническим заданием (далее - ТЗ), разработанным на основе действующих стандартов на проведение НИР.
14. В ТТЗ или ТЗ на проведение НИР рекомендуется включать сведения:
о заказчике СКЗИ (для юридического лица - наименование юридического лица с указанием номера лицензии КГБ и срока ее действия, адрес юридического лица, телефон; для индивидуального предпринимателя - фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии КГБ и срок ее действия, адрес индивидуального предпринимателя и телефон);
о предполагаемой области применения планируемого к разработке нового типа СКЗИ (указывается система связи, в составе которой планируется использование создаваемого образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и т.д.);
о планируемых этапах выполнения НИР (приводятся данные о планируемых этапах и сроках выполнения НИР);
о предполагаемом исполнителе НИР (приводятся данные о предполагаемом исполнителе (наименование юридического лица, его адрес, телефон) и соисполнителе (при его наличии) с указанием номеров лицензий КГБ и сроков их действия (при их наличии).
15. ТТЗ или ТЗ на проведение НИР заказчик СКЗИ направляет на рассмотрение в КГБ. КГБ в течение трех месяцев с момента получения документов обязан согласовать ТТЗ или ТЗ на проведение НИР или дать мотивированный отказ.
Письменное согласование с КГБ ТТЗ или ТЗ на проведение НИР является основанием для проведения НИР.
16. ТТЗ или ТЗ на проведение НИР, согласованное с КГБ, утверждается заказчиком СКЗИ. Экземпляр утвержденного ТТЗ или ТЗ на проведение НИР направляется заказчиком СКЗИ в КГБ.
17. Результатом НИР являются проект ТТЗ или ТЗ на проведение ОКР по созданию нового типа СКЗИ или модернизации действующего образца СКЗИ и технико-экономическое обоснование данной ОКР.
18. ОКР по созданию нового типа или модернизации действующего образца СКЗИ проводится в соответствии с ТТЗ или ТЗ, разработанным на основе действующих стандартов на проведение ОКР.
19. Разработка ТТЗ или ТЗ на проведение ОКР может осуществляться без предварительного выполнения НИР.
20. ТТЗ или ТЗ на проведение ОКР должно разрабатываться в соответствии с действующими нормативными документами с обязательным указанием следующих сведений:
по криптографической защите информации - уровень криптографической защиты конфиденциальной информации, определяемый в соответствии с требованиями, предъявляемыми заказчиком СКЗИ к свойствам СКЗИ по обеспечению безопасности конфиденциальной информации, или цель криптографической защиты конфиденциальной информации с описанием предлагаемой модели несанкционированного доступа к ней;
по условиям использования СКЗИ - требования, предъявляемые к условиям использования создаваемого нового типа или модернизируемого действующего образца СКЗИ в типовой схеме организации конфиденциальной связи, или исходные данные по конфиденциальной сети (системе), в составе которой планируется использование создаваемого нового типа или модернизируемого действующего образца СКЗИ (типы каналов связи, скорость передачи информации, предполагаемое количество пользователей сети, планируемая интенсивность информационного обмена и так далее);
по ключам СКЗИ - предполагаемый срок действия ключа, количество ключей, используемых в СКЗИ, организация их смены, тип ключевого носителя и так далее;
по предполагаемому ходу выполнения работ - сведения по планируемому порядку проведения работ, включая сертификационные испытания СКЗИ, с указанием этапов ОКР, на которых должны быть проведены планируемые работы.
Кроме того, в ТТЗ или ТЗ на проведение ОКР рекомендуется включать сведения:
о заказчике СКЗИ: для юридического лица - наименование юридического лица с указанием номера лицензии КГБ и срока ее действия, адрес юридического лица и телефон; для индивидуального предпринимателя - фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии КГБ и срок ее действия, адрес индивидуального предпринимателя и телефон;
о предполагаемой области применения создаваемого (модернизируемого) образца СКЗИ: указывается система связи, в составе которой планируется использование создаваемого (модернизируемого) образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и так далее). При модернизации СКЗИ также приводится полное наименование и индекс серийно выпускаемого или разрабатываемого образца СКЗИ;
о предполагаемом разработчике и изготовителе создаваемых (модернизируемых) образцов СКЗИ: приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе СКЗИ с указанием номеров лицензий КГБ и сроков их действия;
о планируемом объеме выпуска создаваемых (модернизируемых) образцов СКЗИ: указывается количество планируемых к выпуску создаваемых (модернизируемых) образцов СКЗИ;
о планируемой стоимости единичного создаваемого (модернизируемого) образца СКЗИ: приводятся данные о планируемой стоимости единичного образца СКЗИ при организации серийного выпуска;
о реализации создаваемых (модернизируемых) образцах СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять реализацию создаваемых (модернизируемых) образцов СКЗИ, с указанием номеров лицензий КГБ и сроков их действия;
о сервисном обслуживании СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять сервисное (техническое) обслуживание создаваемых (модернизируемых) образцов СКЗИ в процессе их использования с указанием номеров лицензий КГБ и сроков их действия;
о предложениях по сопряжению с государственными конфиденциальными системами: приводятся в случае необходимости организации обмена конфиденциальной информацией с государственными органами, государственными организациями и (или) организациями независимо от их организационно-правовой формы и формы собственности, выполняющими государственные оборонные заказы.
21. Требования к СКЗИ (задаваемый уровень криптографической защиты конфиденциальной информации или цель криптографической защиты конфиденциальной информации, требования к аппаратным, программно-аппаратным и программным средствам конфиденциальной сети (системы), совместно с которыми предполагается использование создаваемого нового типа или модернизируемого действующего образца СКЗИ, требования к ключевой системе СКЗИ и так далее) могут оформляться специальным техническим заданием (далее - СТЗ), которое является неотъемлемой частью общего ТТЗ или ТЗ на проведение ОКР.
22. ТТЗ или ТЗ на проведение ОКР заказчик СКЗИ направляет на рассмотрение в КГБ. КГБ в течение трех месяцев с момента получения документов обязан согласовать ТТЗ или ТЗ или дать мотивированный отказ с указанием конкретного образца СКЗИ, рекомендуемого заказчику СКЗИ к использованию или модернизации.
Письменное согласование с КГБ ТТЗ или ТЗ на проведение ОКР является основанием для проведения ОКР.
23. ТТЗ или ТЗ на проведение ОКР, согласованное с КГБ, утверждается заказчиком СКЗИ. Один экземпляр утвержденного ТТЗ или ТЗ на проведение ОКР представляется заказчиком СКЗИ в КГБ.
По решению заказчика СКЗИ ОКР может быть совмещена с НИР путем задания научно-исследовательской опытно-конструкторской работы (далее - НИОКР). Порядок задания НИОКР аналогичен порядку задания ОКР.
24. При разработке СКЗИ должны использоваться криптографические алгоритмы, рекомендованные КГБ, то есть определенные государственными стандартами или разработанные (согласованные) КГБ.
25. Состав аппаратных, программно-аппаратных и программных средств конфиденциальной сети (системы), совместно с которыми предполагается штатное функционирование создаваемого нового типа или модернизируемого действующего образца СКЗИ, влияющих на выполнение заданных требований к СКЗИ, определяется разработчиком СКЗИ и согласовывается с заказчиком СКЗИ, сертификационной испытательной лабораторией (центром) и КГБ.
Оценка влияния аппаратных, программно-аппаратных и программных средств конфиденциальной сети (системы), совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение заданных к ним требований осуществляется разработчиком СКЗИ совместно с КГБ.
26. Опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в КГБ для проведения экспертизы результатов проверок выполнения требований безопасности конфиденциальной информации. Дальнейшее их использование определяется заказчиком СКЗИ.
27. Правила пользования создаваемым новым типом или модернизируемым действующим образцом СКЗИ разрабатываются разработчиком СКЗИ и согласовываются с КГБ. О согласовании с КГБ на последней странице правил пользования СКЗИ разработчик СКЗИ делает соответствующую запись. Например: "С КГБ согласовано (письмо N 123 от 21.03.01)".
28. При разработке СКЗИ создается опытный образец СКЗИ и рабочая конструкторская документация (далее - РКД) на него в соответствии с ТТЗ или ТЗ заказчика СКЗИ.
29. РКД на СКЗИ передается в производство при положительных результатах сертификационных испытаний опытного образца СКЗИ, наличии сертификата КГБ и правил пользования СКЗИ, согласованных с КГБ.
Глава 3. ПОРЯДОК ПРОИЗВОДСТВА СКЗИ
30. Производство СКЗИ осуществляется при наличии правил пользования, согласованных с КГБ, и опытных образцов, которые успешно выдержали сертификационные испытания и имеют сертификат КГБ.
31. Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с КГБ и сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания опытного образца СКЗИ.
32. СКЗИ изготавливаются в полном соответствии с конструкцией и технологией изготовления опытных образцов СКЗИ, прошедших сертификационные испытания и получивших сертификат КГБ.
33. Все изменения в конструкцию и технологию изготовления СКЗИ изготовитель СКЗИ должен согласовывать с сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания, и с КГБ. Согласование внесения изменений в конструкцию и технологию изготовления СКЗИ осуществляется путем представления изготовителем СКЗИ в сертификационную испытательную лабораторию (центр) и в КГБ обоснованного перечня предполагаемых изменений.
Глава 4. ПОРЯДОК РЕАЛИЗАЦИИ (РАСПРОСТРАНЕНИЯ) СКЗИ
34. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с КГБ.
35. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется лицом на основании соответствующей лицензии КГБ.
Операторы связи, предоставляющие на основании лицензии КГБ услуги конфиденциальной связи с использованием СКЗИ (далее - операторы конфиденциальной связи), могут реализовывать (распространять) СКЗИ абонентам своих сетей конфиденциальной связи без получения последними лицензии КГБ.
36. Лицо, реализующее СКЗИ и (или) РКД на них, письменно уведомляет об этом КГБ с указанием реквизитов контрагентов по договору.
37. Приобретение РКД на СКЗИ (включая тиражирование программных СКЗИ) осуществляют юридические лица, являющиеся разработчиками и (или) изготовителями СКЗИ.
Глава 5. ПОРЯДОК ИСПОЛЬЗОВАНИЯ СКЗИ
38. СКЗИ используются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с КГБ и с сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания.
39. Использование СКЗИ осуществляется лицами, имеющими лицензию КГБ.
40. Лицам, не имеющим лицензии КГБ, могут предоставляться услуги по криптографической защите их конфиденциальной информации с использованием СКЗИ лицами, имеющими лицензии КГБ, на основании соответствующего договора.
41. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в сертификате КГБ, осуществляется оператором конфиденциальной связи и (или) КГБ.
42. Послегарантийное обслуживание, ремонт и уничтожение (утилизация) СКЗИ осуществляются лицами, имеющими соответствующую лицензию КГБ.
43. Лицо, уничтожившее СКЗИ, уведомляет об этом КГБ путем направления ему акта об уничтожении СКЗИ.
44. Об утрате СКЗИ, а также других обстоятельствах, при которых условия применения СКЗИ становятся неизвестными, лица, использующие СКЗИ, в трехдневный срок уведомляют КГБ.
45. Ключевые документы, используемые в СКЗИ, или исходная ключевая информация для выработки ключевых документов изготавливаются КГБ или лицами, имеющими соответствующую лицензию КГБ.
Производство ключевых документов или исходной ключевой информации для выработки ключевых документов лицами, имеющими соответствующую лицензию КГБ, должно осуществляться на технических средствах, сертифицированных КГБ.
46. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет КГБ.
Единицей поэкземплярного учета СКЗИ и их опытных образцов является:
для аппаратных и программно-аппаратных СКЗИ и их опытных образцов - конструктивно законченное техническое устройство;
для программных СКЗИ и их опытных образцов - инсталлирующая дискета или компакт-диск.
47. Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на оператора конфиденциальной связи и (или) лицо, имеющее лицензию КГБ и использующее СКЗИ.
Организация централизованного (количественного) поэкземплярного учета опытных образцов СКЗИ, а также изготовленных и используемых сертифицированных СКЗИ осуществляется КГБ.
48. Разработчик СКЗИ на этапе разработки РКД на опытный образец СКЗИ направляет заявку в КГБ на выделение индекса (условного наименования) и требуемого количества регистрационных номеров поэкземплярного учета изготавливаемых опытных образцов СКЗИ с указанием типа опытных образцов СКЗИ и планируемого объема их производства.
Изготовитель СКЗИ не позднее чем за квартал до начала серийного производства СКЗИ направляет заявку в КГБ на выделение индексов (условных наименований) и требуемого количества регистрационных номеров поэкземплярного учета изготавливаемых СКЗИ с указанием типа СКЗИ и планируемого объема их производства.
49. КГБ в течение месяца с момента получения заявки сообщает заявителю (разработчику опытных образцов СКЗИ или изготовителю СКЗИ) индекс (условное наименование) и перечень регистрационных номеров изготавливаемых СКЗИ (разрабатываемых опытных образцов СКЗИ).
50. Регистрационный номер наносится на корпус единицы поэкземплярного учета изготавливаемого СКЗИ (разрабатываемого опытного образца СКЗИ).
Место маркировки должно обеспечивать возможность его визуального обзора, а способ маркировки - ее сохранность с момента нанесения до окончания срока использования СКЗИ (опытного образца СКЗИ).
51. Изготовитель (разработчик) СКЗИ (опытных образцов СКЗИ), лицо, реализующее СКЗИ, осуществляют поэкземплярный учет выпускаемых СКЗИ (опытных образцов СКЗИ) в книге поэкземплярного учета СКЗИ (опытных образцов СКЗИ) с указанием адресов лиц, имеющих лицензию КГБ, которым реализованы СКЗИ (опытные образцы СКЗИ), и ежегодно до 31 марта представляет в КГБ сведения за прошедший год об изготовлении и реализации СКЗИ (опытных образцов СКЗИ) по установленной форме.
Операторы конфиденциальной связи и лица, имеющие лицензии КГБ и использующие СКЗИ, осуществляют поэкземплярный учет СКЗИ, находящихся у них и у абонентов их сетей конфиденциальной связи в использовании или на хранении, в книге поэкземплярного учета СКЗИ и ежегодно до 31 марта направляют в КГБ сведения за прошедший год о номенклатуре и количестве имеющихся в наличии СКЗИ по установленной форме.
52. Контроль за порядком поэкземплярного учета СКЗИ (опытных образцов СКЗИ) осуществляет КГБ.
|