- •Закон України "Про інформацію". Основна мета та призначення.
- •Закон України "Про інформацію". Поняття інформації. Класифікація інформації відповідно до зу. Порядок віднесення інформації до державної таємниці.
- •Закон України "Про державну таємницю". Рішення державного експерта з питань таємниць. Засекречування та розсекречування матеріальних носіїв інформації.
- •Закон України "Про державну таємницю". Порядок проведення діяльності, пов'язаної з державною таємницею. Режим секретності. Права режимно-секретних відділів.
- •Загрози інформаційній безпеці України згідно Концепції інформаційної безпеки України
- •Зу «Національна система конфіденційного зв’язку». Основна мета та призначення.
- •Основна мета та призначення зу: «Про радіочастотний ресурс».
- •Основна мета та призначення зу: «Про зв’язок ».
- •Основні положення Закону України "Про радіочастотний ресурс України".
- •Закон України "Про радіочастотний ресурс України". Управління у сфері радіочастотного ресурсу України.
- •Основні положення «Концепції технічного захисту інформації в Україні».
- •Задачі та функції «Положення про технічний захист інформації в Україні та контроль за його функціонуванням».
- •Основні положення Закону України "Про захист інформації в автоматизованих системах".
- •Відповідальність
- •5 Постановка проблеми захисту інформації в комп'ютерних системах від несанкціонованого доступу
- •5.1 Загальні положення
- •5.2 Основні напрями захисту
- •6.1 Основні загрози інформації
- •Основні положення Закону України "Про електронний цифровий підпис".
- •Порядок здійснення криптографічного захисту інформації в Україні.
- •Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації. Загальні положення.
- •Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (кзі).
- •Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів кзі.
- •5. Порядок проведення сертифікації засобів криптографічного захисту інформації
- •1. Галузь використання
- •2. Нормативні посилання
- •3. Терміни та визначення
- •4. Загальні положення
- •Цей документ містить у собі:
- •4 Загальні положення
- •5 Специфікації гарантій безпеки середовища персоналу
- •6 Специфікації гарантій стандартизації технологічного середовища
- •7 Специфікації гарантій забезпечення спостережності
- •4 Загальні положення
- •8 Специфікації гарантій забезпечення конфіденційності і цілісності інформаційних ресурсів технологічного середовища
- •9 Специфікації гарантій якості документації
- •1 Галузь використання
- •4 Загальні положення
Мета та напрями ліцензування господарської діяльності у сфері криптографічного захисту інформації (кзі).
Визначення основних принципів ліцензування господарської діяльності у сфері криптографічного захисту інформації, порядок видачі ліцензії, встановлює державний контроль у сфері ліцензування господарської діяльності криптографічного захисту інформації та відповідальність суб'єктів господарювання за порушення законодавства про ліцензування.
Ліцензійні умови провадження господарської, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту
Види робіт, які виконуються в межах господарської діяльності з КЗІ, що підлягає ліцензуванню
3.1. Розробка апаратних, апаратно-програмних засобів КЗІ та криптосистем.
3.2. Розробка програмних засобів КЗІ та криптосистем.
3.3. Виробництво апаратних, апаратно-програмних засобів КЗІ та криптосистем.
3.4. Виробництво програмних засобів КЗІ та криптосистем.
3.5. Використання, експлуатація засобів КЗІ та криптосистем.
3.6. Сертифікаційні випробування, експертиза криптосистем та засобів КЗІ.
3.7. Тематичні дослідження засобів КЗІ та криптосистем.
3.8. Надання послуг в галузі КЗІ.
3.9. Ввезення, вивезення засобів КЗІ та криптосистем.
3.10. Торгівля засобами КЗІ та криптосистемами.
Нормативно-правові умови надання послуг в сфері торгівлі криптосистемами і засобами криптографічного захисту інформації. Нормативно-правові основи та порядок сертифікації засобів кзі.
Вимоги для провадження господарської діяльності у галузі КЗІ
4.1. Кваліфікаційні вимоги
4.1.1. Суб’єкт господарювання має бути укомплектований штатними спеціалістами, які відповідають заявленому виду діяльності та обсягу робіт (за кількістю, освітою, професійною підготовкою, кваліфікацією, досвідом роботи).
4.1.2. Спеціалісти повинні забезпечувати:
проведення повного циклу розробки криптосистем і засобів КЗІ, що може включати або бути пов’язаний з прикладними науковими дослідженнями, вибором напрямків та проведенням теоретичних (експериментальних) досліджень (фундаментальних наукових досліджень), ескізним (технічним) проектуванням і макетуванням, проектно-пошуковими роботами та технологічним проектуванням, створенням і виготовленням конструкторської документації, створенням та проведенням випробувань дослідних зразків, схемою виробництва, користуванням конструкторською документацією або доопрацюванням дослідних зразків за результатами випробувань (для робіт, які визначені пунктами 3.1, 3.2);
проведення повного циклу (всіх стадій) виробництва криптосистем і засобів КЗІ, що може включати або бути пов’язаний із впровадженням технології виробництва, комплектуванням, монтажем (включаючи встановлення), виготовленням, контролем за забезпеченням якості та випробуванням (для робіт, які визначені пунктами 3.3, 3.4);
використання криптосистем і засобів КЗІ, у тому числі їх експлуатацію, налагодження, перевірку та всі види технічного обслуговування відповідно до вимог технічної документації (для робіт, які визначені п. 3.5).
4.1.3. Спеціалісти повинні мати повну вищу освіту відповідного професійного спрямування (для робіт, які визначені пунктами 3.1-3.4, 3.6-3.8).
4.1.4. За професійною підготовкою та кваліфікацією повинні бути спеціалісти з питань криптографії та програмування (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7).
4.1.5. Спеціалісти повинні володіти такими знаннями:
основних нормативних, керівних документів, що регламентують порядок виконання робіт у галузі КЗІ (в обсязі, необхідному для їх виконання);
з питань криптографії (в обсязі, необхідному для виконання робіт);
принципів роботи і технічних характеристик необхідної контрольної, вимірювальної апаратури, засобів і комплексів обчислювальної техніки, що використовуються (для робіт, які визначені пунктами 3.1-3.8);
методів проектування і розробки криптосистем і засобів КЗІ (для робіт, які визначені пунктами 3.1, 3.2);
особливостей виробництва криптосистем і засобів КЗІ (для робіт, які визначені пунктами 3.3, 3.4);
експлуатаційної документації на криптосистеми і засоби КЗІ, відповідних інструкцій та положень щодо порядку експлуатації та забезпечення безпеки (для робіт, які визначені п. 3.5);
алгебраїчних, статистичних, комбінаторних досліджень, розрахунку імовірних характеристик (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7);
методик проведення сертифікаційних випробувань та експертизи криптосистем і засобів КЗІ (для робіт, які визначені п. 3.6).
Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, або конфіденційної інформації, що є власністю держави, спеціалісти повинні додатково володіти знаннями:
з питань інженерної криптографії (для робіт, які визначені пунктами 3.1, 3.6, 3.7);
принципів роботи, побудови та технічних характеристик різних типів засобів КЗІ і працюючих спільно з ними технічних засобів (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7);
основних системотехнічних і схемотехнічних рішень, архітектурно-логічного та конструктивного будування криптосистем і засобів КЗІ (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7);
питань технічного захисту криптосистем і засобів КЗІ (для робіт, які визначені пунктами 3.1, 3.2, 3.6, 3.7);
методик проведення тематичних досліджень (для робіт, які визначені п. 3.7).
4.1.6. Спеціалісти повинні уміти:
користуватися на практиці всім інструментарієм, який є в наявності, уключаючи і використання інформаційно-обчислювальних комплексів (для робіт, які визначені пунктами 3.1-3.8);
проводити повний цикл заявлених робіт з урахуванням вимог режиму безпеки (секретності);
на практиці використовувати/експлуатувати криптосистеми і засоби КЗІ, які є в наявності (для робіт, які визначені пунктами 3.5, 3.8);
надавати необхідні пояснення та консультації з питань, пов’язаних з криптосистемами і засобами КЗІ, які пропонуються (для робіт, які визначені п. 3.10).
4.1.7. Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, або конфіденційної інформації, що є власністю держави, провідні спеціалісти повинні мати досвід роботи не менше 3 років на інженерних та (або) наукових посадах, пов’язаних із діяльністю у галузі КЗІ (для робіт, які визначені пунктами 3.1-3.10).
4.2. Організаційні вимоги
4.2.1. Для провадження господарської діяльності у галузі КЗІ суб’єкт господарювання повинен мати затверджене керівником внутрішнє положення, у якому повинні бути визначені:
підрозділ (підрозділи), який безпосередньо здійснюватиме господарську діяльність у галузі КЗІ, його організаційно-штатна структура та завдання;
конкретні інструкції щодо порядку та правил проведення робіт у галузі КЗІ;
функціональні обов`язки та кваліфікаційні вимоги до спеціалістів, які залучаються до виконання робіт у галузі КЗІ;
відповідальність цих спеціалістів за забезпечення збереження інформації з обмеженим доступом при виконанні робіт.
Кожен спеціаліст, що залучається до провадження господарської діяльності у галузі КЗІ, повинен бути ознайомлений під розписку із зазначеним положенням у частині, що його стосується.
4.2.2. В установчих документах суб’єкта господарювання повинно бути передбачено здійснення господарської діяльності у галузі КЗІ (крім банківських установ).
4.2.3. Суб’єкт господарювання для провадження господарської діяльності у галузі КЗІ, крім штатних спеціалістів, що працюють на постійній основі, може з урахуванням вимог, наведених у пунктах 4.1.1-4.1.7, залучати інших кваліфікованих спеціалістів найнятих за договором.
4.2.4 Порядок розробки суб’єктом господарювання криптосистем і засобів КЗІ повинен відповідати вимогам державних стандартів.
4.2.5. Порядок виробництва криптосистем і засобів КЗІ повинен відповідати вимогам стандартів системи розробки і поставлення продукції на виробництво (у частині, що стосується виробництва).
Суб’єкту господарювання необхідно мати та визначити у документальному вигляді партнерів, що здійснюють постачання елементної бази та окремих комплектуючих виробів для криптосистем і засобів КЗІ, що виготовляються.
Суб’єкту господарювання необхідно мати схему промислової кооперації (у випадку, коли ним здійснюється тільки збірка складових частин, які закуповуються у постачальників).
4.2.6. Суб’єкт господарювання повинен здійснювати ввезення на територію України, вивезення з території України криптосистем і засобів КЗІ за погодженням з Департаментом (для робіт, які визначені п. 3.9).
4.2.7. Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, спеціалісти повинні мати допуск до державної таємниці, оформлений у встановленому законодавством України порядку.
4.2.8. Надання послуг в галузі КЗІ суб’єкт господарювання повинен оформлювати документально.
4.2.9. Суб’єкт господарювання повинен вести облік повного обсягу робіт у галузі КЗІ, що виконуються.
4.3. Технологічні та інші вимоги
4.3.1. Суб’єкт господарювання повинен мати приміщення та виробничі потужності (зокрема, дослідне виробництво, випробувальну базу, обладнані робочі місця для збирання та налагодження макетів розроблених криптосистем і засобів КЗІ, налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури, інформаційно-обчислювальні комплекси, оснащені сучасними апаратними та програмними засобами, перевірені згідно з діючими нормативними вимогами технічні засоби вимірювання і контролю, інструмент, оснащене виробництво, ліцензійне програмне забезпечення), потрібні для провадження господарської діяльності у галузі КЗІ.
Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, суб’єкт господарювання повинен мати власні виробничі потужності, а також атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації приміщення та (або) об’єкти електронно-обчислювальної техніки.
Для проведення тематичних досліджень криптосистем і засобів КЗІ необхідно мати спеціалізовані приміщення.
Виробниче обладнання повинно:
відповідати стандарту або технічній документації на обладнання (паспорт, формуляр, технічні умови тощо);
бути перевірене (атестоване) або каліброване (для обладнання, що має метрологічні характеристики);
бути укомплектоване експлуатаційною документацією;
мати сертифікат відповідності системи державної сертифікації УкрСЕПРО (якщо продукція підлягає обов’язковій сертифікації в Україні).
4.3.2. Суб’єкт господарювання повинен мати та використовувати для провадження господарської діяльності у галузі КЗІ інформаційну базу (нормативно-правових актів і нормативних документів, у тому числі внутрішніх інструкцій та положень):
з питань ліцензування господарської діяльності;
з питань порядку проведення заявлених робіт;
технічну та експлуатаційну документацію на криптосистеми і засоби КЗІ, відповідні інструкції та графіки проведення технічного обслуговування апаратури, що потребує періодичного технічного обслуговування (для робіт, які визначені п. 3.5);
інструкції щодо забезпечення безпеки експлуатації криптосистем і засобів КЗІ та порядку постачання, обліку, зберігання та використання ключових документів, затверджені керівником організації, а також топологію мережі, де планується використання/експлуатація криптосистем і засобів КЗІ (для робіт, які визначені п. 3.5);
методики проведення досліджень (для робіт, які визначені пунктами 3.6, 3.7);
нормативні документи щодо підготовки відповідних договорів на ввезення, вивезення криптосистем і засобів КЗІ (для робіт, які визначені п. 3.9).
Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, та (або) конфіденційної інформації, що є власністю держави, суб’єкту господарювання необхідно мати нормативні документи, які регламентують порядок виконання робіт та правила поводження із зазначеною інформацією.
5. Особливі вимоги провадження господарської діяльності у галузі КЗІ 5.1. Залежно від важливості інформації для особистості, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у галузі КЗІ:
з наданням права провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці;
з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави;
з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Особливі умови провадження господарської діяльності у галузі КЗІ відображаються у ліцензії, яка видається суб’єкту господарювання.
5.2. Отримання суб’єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, також надає право провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі тієї, що є власністю держави.
Отримання суб’єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, також надає право провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Отримання суб’єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації надає право провадження робіт тільки у галузі криптографічного захисту конфіденційної інформації.
5.3. Для провадження робіт у галузі криптографічного захисту інформації, що належить до державної таємниці, суб’єкти господарювання повинні забезпечити встановлений режим секретності, а також мати матеріали, які відповідно до завдань, програм та замовлень державних органів, підтверджують залучення заявника до їх виконання. Провадження цих робіт дозволяється в межах терміну дії дозволу (ліцензії) на здійснення діяльності, пов’язаної з державною таємницею.
Для провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі тієї, що є власністю держави, суб’єкти господарювання повинні забезпечити встановлений режим безпеки.
5.4. Суб’єкт господарювання надає до Департаменту відомості про виконані роботи у галузі КЗІ, у тому числі науково-дослідні та дослідно-конструкторські роботи.