- •Закон України "Про інформацію". Основна мета та призначення.
- •Закон України "Про інформацію". Поняття інформації. Класифікація інформації відповідно до зу. Порядок віднесення інформації до державної таємниці.
- •Закон України "Про державну таємницю". Рішення державного експерта з питань таємниць. Засекречування та розсекречування матеріальних носіїв інформації.
- •Закон України "Про державну таємницю". Порядок проведення діяльності, пов'язаної з державною таємницею. Режим секретності. Права режимно-секретних відділів.
- •Загрози інформаційній безпеці України згідно Концепції інформаційної безпеки України
- •Зу «Національна система конфіденційного зв’язку». Основна мета та призначення.
- •Основна мета та призначення зу: «Про радіочастотний ресурс».
- •Основна мета та призначення зу: «Про зв’язок ».
- •Основні положення Закону України "Про радіочастотний ресурс України".
- •Закон України "Про радіочастотний ресурс України". Управління у сфері радіочастотного ресурсу України.
- •Основні положення «Концепції технічного захисту інформації в Україні».
- •Задачі та функції «Положення про технічний захист інформації в Україні та контроль за його функціонуванням».
- •Основні положення Закону України "Про захист інформації в автоматизованих системах".
- •Відповідальність
- •5 Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •5.1 Загальні положення
- •5.2 Основні напрями захисту
- •6.1 Основні загрози інформації
- •Основні положення Закону України "Про електронний цифровий підпис".
- •Порядок здійснення криптографічного захисту інформації в Україні.
- •Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.
- •Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (кзі).
- •Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів кзі.
- •5. Порядок проведення сертифікації засобів криптографічного захисту інформації
- •1. Галузь використання
- •2. Нормативні посилання
- •3. Терміни та визначення
- •4. Загальні положення
- •Цей документ містить у собі:
- •4 Загальні положення
- •5 Специфікації гарантій безпеки середовища персоналу
- •6 Специфікації гарантій стандартизації технологічного середовища
- •7 Специфікації гарантій забезпечення спостережності
- •4 Загальні положення
- •8 Специфікації гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища
- •9 Специфікації гарантій якості документації
- •1 Галузь використання
- •4 Загальні положення
Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.
Загальні положення
1.1. Це Положення розроблено відповідно до Законів України "Про інформацію", "Про ліцензування певних видів господарської діяльності", "Про захист прав споживачів", "Про Національну систему конфіденційного зв'язку", "Про електронний цифровий підпис" , Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505.
1.2. Це Положення визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису.
1.3. Вимоги цього Положення обов'язкові для виконання:
суб'єктами господарювання незалежно від форм власності, діяльність яких пов'язана з розробленням, виробництвом, сертифікаційними випробуваннями (експертними роботами) та експлуатацією засобів криптографічного захисту конфіденційної інформації, а також відкритої інформації з використанням електронного цифрового підпису;
державними органами в частині розроблення, виробництва, сертифікаційних випробувань (експертних робіт) та експлуатації засобів криптографічного захисту відкритої інформації з використанням електронного цифрового підпису.
Дія цього Положення не поширюється на діяльність, пов'язану із розробленням, виробництвом та експлуатацією засобів криптографічного захисту конфіденційної інформації, що є державною власністю.
1.4. Використані в цьому Положенні терміни мають такі значення:
експертний висновок - документально оформлені результати експертизи;
експертний заклад - підприємство, установа та організація, яким відповідно до законодавства України надано право здійснювати експертні роботи у сфері криптографічного захисту інформації (далі - КЗІ);
експертні роботи - дослідження та аналіз конкретних властивостей об'єкта експертизи з метою перевірки його відповідності вимогам нормативних документів, оцінки рівня захисту інформації цим об'єктом або його науково-технічного рівня;
засіб КЗІ - програмний, апаратно-програмний та апаратний засіб, призначений для криптографічного захисту інформації.
Залежно від способу реалізації розрізняють такі типи засобів КЗІ:
програмні засоби, що функціонують у середовищі операційних систем електронно-обчислювальної техніки та взаємодіють із загальним прикладним програмним забезпеченням;
апаратно-програмні засоби, у яких частину криптографічних функцій реалізовано в спеціальному апаратному пристрої до електронно-обчислювальної техніки, керування яким здійснюється за допомогою спеціального програмного забезпечення;
апаратні засоби, алгоритм функціонування (включаючи криптографічні функції) яких реалізується в оптичних, механічних, мікроелектронних або інших спеціалізованих пристроях.
Звичайно користувач апаратних засобів КЗІ не має доступу до змісту запам'ятовувальних елементів, що зберігають мікропрограми керування пристроєм, алгоритм функціонування пристрою змінюється тільки їх розробником або виробником.
До засобів КЗІ належать:
засоби шифрування інформації (далі - засоби категорії "Ш"); засоби, призначені для виготовлення ключових даних або документів (незалежно від виду носія ключової інформації) та управління ключовими даними, що використовуються в засобах КЗІ (далі - засоби категорії "К");
засоби захисту від нав'язування неправдивої інформації або захисту від несанкціонованої модифікації, що реалізують алгоритми криптографічного перетворення інформації (криптоалгоритми), включаючи засоби імітозахисту та електронного цифрового підпису (далі - засоби категорії "П");
засоби захисту інформації від несанкціонованого доступу (у тому числі засоби розмежування доступу до ресурсів електронно-обчислювальної техніки), у яких реалізовані криптоалгоритми (далі - засоби категорії "Р");
ключові дані - деякий набір даних (значень) змінних параметрів криптографічного перетворення, використання яких дає змогу досягти мети цього перетворення;
ключові документи - матеріальні об'єкти із зафіксованими відповідним чином ключовими даними для подальшого практичного застосування у процесі криптографічного перетворення повідомлення; компрометація - будь-який випадок (утрата, розголошення, крадіжка, несанкціоноване копіювання тощо) з ключовими документами (ключовими даними) та засобами КЗІ, який призвів (може призвести) до розголошення (витоку) інформації про них, а також інформації, яка обробляється та передається;
конфіденційна інформація - відомості, які перебувають у володінні, користуванні або розпорядженні окремих фізичних та (або) юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов;
криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
режим безпеки - система правових норм, організаційних та організаційно-технічних заходів, яка створена на підприємствах, установах та організаціях під час розроблення, дослідження, виробництва та експлуатації засобів КЗІ з метою обмеження доступу до інформації;
сертифікаційні випробування - випробування засобів КЗІ, що проводяться з метою встановлення відповідності характеристик їх властивостей нормативним документам;
спеціальні вимоги - вимоги до принципів побудови засобів КЗІ та технічної реалізації криптографічних алгоритмів у засобах КЗІ, вимоги до криптографічних якостей, а також вимоги і норми щодо захисту від можливих каналів витоку небезпечних сигналів засобів КЗІ;
технічний засіб обробки інформації - технічний засіб, призначений для приймання, накопичення, зберігання, пошуку, перетворення, відображення та передавання інформації;
управління ключовими даними - дії, пов'язані з генерацією, розподіленням, доставлянням, уведенням у дію, зміненням, зберіганням, обліком та знищенням ключових даних, а також носіїв ключових даних;
шифрування - криптографічне перетворення даних відкритого тексту в шифртекст при відомих ключах.
1.5. Конфіденційність, цілісність та підтвердження авторства інформації під час її оброблення та (або) передавання в інформаційно-телекомунікаційних системах забезпечуються застосуванням засобів криптографічного та технічного захисту інформації, а також виконанням відповідних організаційних та організаційно-технічних заходів.
1.6. У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою:
замовники; розробники; виробники; випробувальні лабораторії (експертні заклади); організації, що експлуатують засоби КЗІ;
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент).
1.7. Замовниками виступають державні органи та суб'єкти господарювання, які здійснюють фінансування робіт з розроблення засобів КЗІ, або ті, що уклали з виробниками договір про виготовлення та (або) постачання цих засобів.
1.8. Суб'єкти господарювання, які здійснюють розроблення, виробництво, сертифікаційні випробування (експертні роботи) та експлуатацію засобів КЗІ, повинні мати відповідні ліцензії Департаменту на розроблення, виробництво, сертифікаційні випробування, експертизу та експлуатацію криптосистем та засобів КЗІ, крім випадків, передбачених законодавством України.
1.9. Суб'єкти господарювання, які здійснюють розроблення, виробництво та експлуатацію засобів КЗІ, з урахуванням вимог замовника визначають режим доступу до інформації про ці засоби, установлюють і підтримують відповідний режим безпеки.
1.10. Розробники та виробники реалізують спеціальні вимоги до засобів КЗІ шляхом вибору і розробки необхідних алгоритмічних, програмних, схемно-технічних, конструкторських та технологічних рішень, які забезпечують виконання вимог національних стандартів та нормативно-правових актів Департаменту.
1.11. Інформація з питань криптографічного захисту інформації, яка надається з боку Департаменту суб'єктам господарювання недержавної форми власності, якщо не обумовлене інше, уважається конфіденційною. Поширення цієї інформації здійснюється за погодженням з Департаментом.
Департамент забезпечує конфіденційність інформації та дотримання авторських прав щодо наданих йому матеріалів.
1.12. На підставі цього Положення Національний банк України може визначати особливості експлуатації засобів КЗІ в інтересах банківської сфери.