Законодавство з питань криптографічного захисту інформації

Территория рекламы

Вступ

Розвиток сучасних інформаційно-телекомунікаційних технологій та методів криптографії призвів до появи нового ринку засобів, систем і послуг криптографічного захисту інформації, що призначені для захисту як інформації з обмеженим доступом, так і відкритої інформації від загроз витоку і нав'язування. Відповідно, криптографічний захист інформації є, фактично, окремою галуззю діяльності з широким спектром адміністративних і технічних питань.

В зв'язку з цим з'явилась об'єктивна необхідність у регулюванні порядку здійснення криптографічного захисту інформації на державному. Мова йде про питання державної регуляторної політики для господарської діяльності у сфері КЗІ, стандартизації методів КЗІ, організаційно-правового та організаційно-технічного забезпечення систем спеціального зв'язку і систем електронного цифрового підпису (архітектури відкритих ключів).

1. Основні поняття криптології що визначені на законодавчому рівні. Рівняння криптоперетворення у загальному вигляді

Під криптографічним захистом інформації (КЗІ) прийнято розуміти вид захисту, що спрямований на унеможливлення реалізації загроз несанкціонованого доступу до інформації з обмеженим доступом, або модифікації інформації (нав'язування хибної інформації) (тобто порушенню конфіденційності, цілісності та авторства на інформацію) шляхом використання математичних перетворень із секретним параметром, який отримав назву ключа. Тобто, передбачається, що потенційний противник має змогу отримати інформацію, але не може нею скористатись.

Методи та проблеми КЗІ вивчає криптологія (cryptology) – це технічна область знань та наука, що включає як криптографію, так і криптоаналіз. Хоча її традиційно досить часто називають криптографією.

Теоретична криптологія – це технічна область знань та наука, але вона використовує досить потужний математичний апарат для побудови та оцінки властивостей криптографічних перетворень. Тому її можна вважати одним із напрямів прикладної математики, що вивчає методи побудови та аналізу математичних перетворень інформації.

Практична криптологія – це технічна область знань, що описує методи криптографічного захисту інформації та криптоаналізу без математичного обґрунтування методів їх побудови та оцінки криптографічних властивостей.

КЗІ реалізується шляхом шифрування інформації згідно певних (криптографічних) алгоритмів шифрування, застосуванням методів захисту від нав'язування фальшивої інформації з використанням МАС-кодів та алгоритмів електронного цифрового підпису) та методи передачі інформації з технічним механізмом відповідальності сторін за виконані дії (криптографічні протоколи розподілу ключів, автентифікації та підтвердження факту прийому або передачі інформації).

Під шифруванням розуміють процедури зашифрування і розшифрування відкритих текстів (повідомлень, даних, інформації) за допомогою певного криптографічного алгоритму та деякого ключу, а під дешифруванням – процес відновлення відкритого тексту з шифрованого тексту без знання ключа (атака на КЗІ).

Під відкритим текстом прийнято розуміти подане у деякому алфавіті повідомлення (текст, мова, зображення та будь-які інші дані), що підлягає зашифруванню. Відповідно, під шифрованим текстом (або шифротекстом) розуміється текст, який отримано в результаті зашифрування відкритого тексту.

Зауважимо, що згідно з Положенням про порядок криптографічного захисту інформації в Україні (затверджено Указом Президента України №505/1998), криптографічна система – це сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається.

Виходячи з цього визначення можливо зрозуміти, вивчення методів побудови та аналізу криптографічних систем включає наступні аспекти:

Нормативно-правові вимоги щодо створення засобів КЗІ та забезпечення безпеки їх застосування;

Організаційно-технічні заходи щодо безпеки криптографічного захисту інформації;

Математичні методи, які використовуються для криптографічного захисту;

Фізичні, програмні та схемно-технічні методи та технології побудови засобів КЗІ.

З урахування зробленого зауваження надалі у рамках курсу мають бути розглянуті перелічені аспекти побудови криптосистем та забезпечення безпеки їх застосування.

У загальному математичне перетворення що використовується для шифрування інформації можливо подати у наступному загальному вигляді:

C=E(M,Ke ),

Де Е – деяке обернене математичне перетворення (криптографічний алгоритм), вимоги стосовно якого мають бути обговорені у наступних главах;

М – послідовність символів початкового, так званого відкритого тексту;

С – послідовність символів шифрованого тексту;

Кe – спеціальний параметр – ключова інформація для зашифрування.

Зворотне перетворення за допомогою якого отримують відкрите повідомлення має вигляд:

M=E-1(C,Kd ),

Де Е-1 – зворотне до Е математичне перетворення,

Кd – спеціальний параметр – ключова інформація для розшифрування.

Далі звернемо увагу на те, що алгоритми шифрування та криптографічні алгоритми в цілому, поділяють на симетричні та асиметричні.

Симетричними називають класичні криптографічні перетворення з секретним ключем, при цьому ключи зашифрування і розшифрування співпадають Ке=Кd, або один з другого може бути досить легко обчислений.

Асиметричними (або алгоритмами з відкритим ключем) називають алгоритми в яких використовуються два різних ключа Ке≠Kd, при цьому обчислення одного з другою є практично не розв'язною задачею. Один з двох ключів зберігається як секретний, інший відкритий зберігається в певних базах даних для абонентів деякої мережі.

Зважаючи на особливий вплив методів криптографічного захисту інформації на чутливі сфери діяльності держави, а саме її оборону, національну безпеку, економіку тощо у багатьох країнах світу КЗІ реалізується на підставі національної політики у цій сфері.

Національна політика у сфері КЗІ визначає основні принципи, механізми і форми нормативно-правового регулювання цієї області діяльності.

У загальному випадку, метою національного законодавства у сфері КЗІ, що реалізує політику у сфері КЗІ, можна вважати результат досягнення компромісу при вирішенні наступних завдань:

1. Усунення адміністративних і технічних перешкод для розгортання і використання широкими масами населення сучасних послуг у мережі Інтернет, що безпосередньо впливають на темпи розвитку економіки, як на національному, так і міжнародному рівнях. Мається на увазі системи електронної комерції і електронного документообігу, що забезпечують правовий статус електронних документів.

2. Усунення адміністративних і технічних перешкод для виробництва, впровадження і експлуатації сучасних інформаційних, комп'ютерних і телекомунікаційних технологій із функціями автентифікації і забезпечення цілісності інформації, що безпосередньо впливають на темпи розвитку сучасних технологій автоматизованого управління на національному і міжнародному рівнях. Тобто мова йде про уніфікацію методів, засобів і систем КЗІ, які використовуються різними виробниками сучасних інформаційно-телекомунікаційних технологій.

3. Створення умов для забезпечення достатнього рівня криптографічного захисту інформації державних структур, організацій і підприємств усіх форм власності.

4. Протидія спробам використання стійких засобів шифрування в противоправній діяльності, у тому числі і терористичного характеру.

5. Забезпечення прав і свобод громадян на захист приватного життя і персональних даних при використанні послуг сучасних інформаційно-телекомунікаційних послуг.

В світі відбулося істотне ослаблення контролю над криптографією, що обумовлене, перш за все, достатньо вагомим впливом на національну політику у сфері КЗІ міжнародних суспільних організацій та правозахисних груп.

Так, організація по міжнародному співробітництву та розвитку (ОЕСР) у 1996 році запропонувала наступні основні принципи у сфері КЗІ як рекомендації для формування національної політики.

1. Методи криптографічного захисту інформації повинні користуватися довірою, щоб такою ж довірою користувалися інформаційно-телекомунікаційні системи.

2. Користувачі методів криптографічного захисту інформації повинні мати право обирати будь-який метод, що не забороняється законом.

3. Розвиток криптографічних засобів повинен визначатися потребами приватних осіб, комерційних організацій і державних структур.

4. Технічні стандарти, щодо алгоритмів, протоколів та засобів криптографічного захисту інформації повинні розроблятися і підтримуватися на як національному, так і міжнародному рівнях.

5. Основні права людини на недоторканність приватного життя, включаючи таємницю телекомунікацій і захист персональних даних, повинні бути недоторканими в національній політиці у сфері криптографічного захисту інформації і в практиці використання криптографічних засобів.

6. Національна політика у сфері криптографічного захисту інформації може передбачати законний доступ до зашифрованих даних або ключів з урахуванням решти вже зазначених принципів.

7. Відповідальність приватних осіб і організацій, що пропонують послуги із криптографічного захисту інформації повинна бути чітко визначена законом або договором.

В загальному випадку, нормативно-правові акти у сфері КЗІ охоплюють питання стандартизації методів, засобів і систем КЗІ, адміністративно-правового регулювання господарської діяльності у сфері КЗІ, організаційно-правового і організаційно-технічного регулювання порядку забезпечення КЗІ в системах спеціального зв’язку та ЕЦП.

Механізм стандартизації у сфері криптографічного захисту інформації обумовлений необхідністю формування єдиних технічних норм до методів, засобів і систем КЗІ з метою їх уніфікації і реалізації простого механізму довіри до рівня стійкості у виробників, системних інтеграторів, власників і користувачів відповідно.

Механізм адміністративно-правового регулювання господарської діяльності у сфері КЗІ створює систему довіри між суб'єктами господарської діяльності у сфері КЗІ, споживачами засобів і послуг КЗІ, а також державою – гарантом забезпечення достатнього рівня захисту національних інформаційних ресурсів. Як правило, адміністративно-правове регулювання включає в себе порядок ліцензування, розробки, експертизи, експорту та імпорту, впровадження, експлуатації засобів і систем КЗІ.

Ліцензування – це процедура підтвердження спроможності суб'єкта господарської діяльності виконувати заявлені види робіт шляхом перевірки державою кваліфікаційних, організаційних, технологічних та інших необхідних характеристик.

Сертифікація та експертиза – це процедури державного підтвердження якості виконання заявлених видів робіт суб'єктом господарської діяльності, що включає в себе перевірку математичних, технічних і організаційно-технічних характеристик засобів і систем КЗІ.

Сертифікація – це процедура перевірки відповідності характеристик засобів КЗІ до вимог нормативно-правових актів у сфері КЗІ (стандартів, технічних специфікацій) та технічної документації, що додається.

В свою чергу, в рамках експертизи окрім верифікації, також обґрунтовуються висновки щодо рівня захисту інформації і надаються рекомендації щодо порядку використання (експлуатації) засобів КЗІ та криптосистем.

Порядок розробки засобів КЗІ визначає, перш за все, технічні норми безпеки до засобів і систем КЗІ в залежності від їх призначення і виду інформації, яка потребує захисту.

Питання імпорту та експорту засобів КЗІ розглядаються у якості одного із способів протидії можливості використання стійких засобів шифрування для організації противоправної діяльності, у тому числі, і терористичного характеру. Сучасний етап розвитку стандартизації у сфері КЗІ і відкритої криптографії призводить до того, що ця норма поступово стає недієвою і уходить в історію.

Адміністративно-правове регулювання у сфері КЗІ визначає також додаткові норми до організаційно-технічних заходів безпеки і порядку технічного захисту інформації у засобах і системах КЗІ, вибір характеристик яких визначається в залежності від введеного законодавством режиму доступу до інформації з обмеженим доступом.

Окремо розглядається питання щодо використання засобів КЗІ громадянами в особистих цілях, яке пов'язане із реалізацією права людини на захист персональних даних, тайну переписки, телефонних переговорів, почтових і телеграфних повідомлень в контексті основних прав і свобод людини і громадянина.

На сьогоднішній день відомі два основних підходи до вирішення цієї проблеми. Це механізми депонування ключів (key escrow) та юридичної відповідальності громадян у випадках відмови пред'явити використаний ключ шифрування згідно до вимог, встановлених законом.

Кожний із цих підходів знайшов певний супротив у суспільній думці, тому вони застосовуються на практиці далеко не у всіх країнах.

Організаційно-правове і організаційно-технічне регулювання порядку забезпечення КЗІ представляє собою набір формальних вимог до порядку експлуатації засобів і систем КЗІ. Тобто, організаційні і технічні норми для систем спеціального зв’язку та систем ЕЦП.

2. Структура законодавства у галузі криптографічного захисту інформації

Базовим нормативним актом держави є її Конституція, на підставі якої формується національне законодавство. Конституція встановлює основні права держави та людини, зокрема, право на таємницю особистої інформації, захист інформації з обмеженим доступом.

Наступний рівень – це закони України, серед яких базисними для сфери КЗІ є закони: «Про державну таємницю», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про Державну службу спеціального зв’язку та захисту інформації», «Про банки та банківську діяльність».

Відповідно до повноважень встановлених Законом порядок криптографічного захисту інформації встановлюється указами Президента України. Саме цей порядок визначений Указом Президента України від 1998 року №505.

Питання криптографічного захисту інформації, які потребують врегулювання з урахуванням фінансово-економічних витрат регулюються Кабінетом Міністрів України. Зокрема, питання захисту службової інформації за допомогою засобів КЗІ регулюються Постановою КМУ від 1998 року №1893.

Особливості та технічні аспекти КЗІ встановлюються Держспецзв'язком України у вигляді наказів, що зареєстровані в Мінюсті України.

Особливу категорію нормативно-технічних документів становлять державні стандарти України, якими у поточний час визначені криптографічні алгоритмі.

3. Вимоги законодавства щодо розроблення, виробництва, досліджень, сертифікації та експлуатації криптосистем

Згідно з Законом основними суб'єктами національної системи КЗІ в Україні є:

Державна служба спеціального зв'язку та захисту інформації України (колишній Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України), як спеціальний уповноважений центральний орган виконавчої влади, що відповідальний за формування та реалізацію державної політики у сфері КЗІ (Держспецзв'язок України);

органи державної влади та місцевого самоврядування, силові структури, підприємства, установи та організації усіх форм власності, громадяни щодо яких здійснюється КЗІ;

підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з криптографічного захисту інформації за відповідними дозволами (ліцензіями).

Порядок здійснення криптографічного захисту інформації в Україні затверджений Указом Президента України від 22 травня 1998 року № 505/98 (в редакції Указу Президента № 333/2008 від 11.04.2008 року). Він визначає основні позиції державної політики у сфері КЗІ та містить наступні основні положення.

Державні органи, підприємства, установи і організації закуповують, ввозять в Україну, вивозять з України, використовують криптосистеми і засоби КЗІ за погодженням з Адміністрацією Держспецзв’язку України.

Для криптографічного захисту інформації, що становить державну таємницю, та конфіденційної інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до експлуатації. Зазначені криптосистеми і засоби перебувають у державній власності.

Засоби криптографічного захисту конфіденційної інформації та криптосистеми з відповідного дозволу можуть перебувати і в недержавній власності.

Для криптографічного захисту конфіденційної інформації використовуються криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності в системі УкрСЕПРО або експертний висновок Держспецзв’язку України.

До користування криптосистемами та засобами криптографічного захисту секретної інформації допускаються особи, які у встановленому законодавством України порядку одержали допуск до державної таємниці.

Діяльність, пов'язану з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із криптографічного захисту інформації, можуть здійснювати суб'єкти підприємницької діяльності, зареєстровані в порядку, встановленому законодавством. Ліцензування діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із криптографічного захисту інформації, здійснюється згідно із законодавством України.

Порядок розроблення, виготовлення, розповсюдження, експлуатації, збереження, використання, випробування, сертифікації та допуску до експлуатації криптосистем і засобів КЗІ, контролю за додержанням вимог безпеки при проведенні цих робіт визначається відповідними положеннями.

У разі порушення вимог щодо порядку здійснення КЗІ суб'єкти підприємницької діяльності, установи, організації посадові особи та громадяни несуть відповідальність згідно із законодавством України.

Державна служба спеціального зв'язку та захисту інформації України є державним органом, який призначений для забезпечення функціонування і розвитку Державної системи урядового зв'язку, Національної системи конфіденційного зв'язку, захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації

Основними завданнями Держспецзв’язку України (спеціального уповноваженого центрального органу виконавчої влади) є:

участь у формуванні та реалізація державної політики у сфері захисту державних інформаційних ресурсів в ІТС, криптографічного та технічного захисту інформації;

забезпечення в установленому порядку урядовим зв'язком Президента України, Голови Верховної Ради України, Прем'єр-міністра України, інших посадових осіб органів державної влади, органів місцевого самоврядування, органів військового управління, керівників підприємств, установ і організацій у мирний час, в умовах надзвичайного та воєнного стану, а також у разі виникнення надзвичайної ситуації;

забезпечення функціонування, безпеки та розвитку Державної системи урядового зв'язку і Національної системи конфіденційного зв'язку;

визначення вимог і порядку створення та розвитку систем технічного та криптографічного захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом;

здійснення державного контролю за станом криптографічного та технічного захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, а також за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису.

Нормативно-правове регулювання КЗІ в Україні, як і в інших країнах світу, стосується питань:

стандартизації методів, засобів і систем КЗІ;

адміністративно-правового регулювання господарської діяльності у сфері КЗІ;

організаційно-правового та організаційно-технічного регулювання систем спеціального зв’язку і систем ЕЦП (архітектури відкритих ключів, РКІ).

На сьогоднішній день в Україні прийняті п'ять державних стандартів у сфері КЗІ – це ГОСТ 28147-89, ГОСТ 34311-95, ГОСТ 34310-95, ДСТУ 4145-2002 та ДСТУ ISO/IEC 15946-3:2006, а також:

технічні специфікації форматів представлення базових об'єктів національної системи електронного цифрового підпису, затверджені наказом ДСТСЗІ СБ України від 11.09.2006 № 99166 (формат сертифікату відкритого ключа);

технічні специфікації форматів криптографічних повідомлень, затверджені наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 04.05.2010 р. №112.

ДСТУ ГОСТ 28147:2009 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» визначає алгоритм шифрування та МАС-код (імітовставки). Це стандарт був прийнятий у 1989 році в Радянському Союзі. Тепер він є стандартом Російської Федерації, СНГ та України.

ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хеширования» визначає алгоритм функції хешування. Це стандарт розроблений у Російській Федерації, є стандартом також СНГ та України.

ГОСТ 34.310-95 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки цифровой подписи.» визначає алгоритм електронного цифрового підпису. Це стандарт розроблений у Російській Федерації, є стандартом також СНГ та України. Поступово виходить із обігу та заміняється новим стандартом ДСТУ 4145-2002.

ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння» визначає алгоритм електронного цифрового підпису. Це стандарт розроблений в Україні.

ДСТУ ISO/IEC 15946-3:2006 «Інформаційні технології – Методи захисту – Криптографічні методи, що ґрунтуються на еліптичних кривих»: Частина 3: Установлення ключів» визначає механізми узгодження та передавання ключів, що використовують криптографічні методи в групах точок еліптичних кривих.

Наказ ДСТСЗІ СБ України від 11.09.2006 № 99166 «Про затвердження Технічних специфікацій форматів представлення базових об'єктів національної системи електронного цифрового підпису» визначає формат посиленого сертифіката відкритого ключа (сертифіката), що заснований на міжнародному стандарті ISO/IEC 9594-8: «Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks». Визначення формату сертифіката не дублює зазначений міжнародний стандарт, а додатково описує особливості змісту сертифіката та форматів його полів.

Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 04.05.2010 р. №112 визначає синтаксис (формат представлення) зашифрованого повідомлення (даних) в електронній формі, а також протоколи, які повинні застосовуватися для цього синтаксису з метою узгодження ключів. Встановлення єдиних форматів криптографічних повідомлень має на меті визначення технічних умов щодо забезпечення сумісності засобів криптографічного захисту інформації різних розробників.

Основні методи адміністративно-правового регулювання господарської діяльності у сфері КЗІ, що не пов'язана з державною таємницею, затверджені наказами Держспецзв'язку України, які визначають:

ліцензійні умови провадження господарської діяльності у сфері КЗІ (Наказ Адміністрації Держспецзв’язку від 26.01.2008 №8∕216);

порядок розроблення, виробництва та експлуатації засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 20.07.2007 №141);

порядок забезпечення режиму безпеки, що повинен бути створений в організаціях, які здійснюють підприємницьку діяльність у сфері КЗІ, що є власністю держави (Наказ ДСТСЗІ СБ України від 22.10.1999 № 45);

порядок постачання і використання ключів до засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 12.06.2007 №114);

порядок проведення державної експертизи у сфері КЗІ (Наказ Адміністрації Держспецзв’язку від 23.06.2008 №100);

порядок проведення сертифікації засобів КЗІ (Наказ ДСТСЗІ СБ України від 24. 09.1999 № 202∕213; Наказ ДСТСЗІ СБ України від 15.12.1999).

Далі розглянемо лише основні положення нормативно-правових актів України, що регламентують перелічені вище питання. Більш детально з положеннями нормативно-правових актів України у сфері КЗІ потрібно ознайомитись на офіційному сайті Державної служби спеціального зв'язку та захисту інформації України (http://www.dstszi.org.ua).

Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до всіх суб'єктів господарювання, незалежно від організаційно-правової форми та форми власності, виконання яких є обов'язковою умовою для здійснення господарської діяльності у сфері КЗІ із наступних видів робіт: Надання послуг у сфері КЗІ (окрім послуг електронного цифрового підпису), ввезення, вивезення засобів КЗІ та криптосистем.

Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у сфері КЗІ, які відображаються у ліцензії, що видається суб'єкту господарювання:

з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю;

з наданням права провадження робіт у сфері криптографічного захисту конфіденційної інформації, що є власністю держави;

з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації.

Отримання суб'єктом господарювання ліцензії з наданням права провадження робіт у сфері КЗІ, що становить державну таємницю, також надає право провадження робіт у сфері криптографічного захисту конфіденційної інформації, у тому числі тієї, що є власністю держави.

Ліцензія на право провадження робіт у сфері криптографічного захисту конфіденційної інформації, що є власністю держави, також надає право на роботи у сфері криптографічного захисту конфіденційної інформації.

В свою чергу, ліцензія на право провадження робіт у сфері криптографічного захисту конфіденційної інформації надає право на роботи тільки у сфері криптографічного захисту конфіденційної інформації.

Суб'єкт господарювання, який має намір провадити господарську діяльність у сфері КЗІ та відповідає ліцензійним умовам, подає до органу ліцензування заяву про видачу ліцензії. Він може провадити господарську діяльність у сфері КЗІ в повному обсязі або частково, з окремих робіт, операцій чи послуг. У разі забезпечення суб'єктом господарювання КЗІ клієнтів послугами з шифрування, дія ліцензійних умов поширюється на суб'єкт господарювання, який організовує використання, експлуатацію засобів КЗІ та встановлює відповідний режим безпеки і порядок доступу до засобів захисту інформації. Клієнти, які використовують послуги з шифрування, ліцензію у сфері КЗІ не отримують.

У разі наявності у суб'єкта господарювання філій, інших відокремлених підрозділів, які провадитимуть господарську діяльність у сфері КЗІ, загальне керівництво провадженням ними робіт здійснює суб'єкт господарювання, у тому числі забезпечує їх відповідність ліцензійним умовам.

Нормативний документ (НД) Порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису.

Розроблення, виготовлення, уведення в експлуатацію та експлуатація засобів КЗІ, що становить державну таємницю, та конфіденційної інформації, що є власністю держави, здійснюються в порядку, визначеному іншими нормативно-правовими актами.

У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою: замовники; розробники; виробники; організації, що експлуатують засоби КЗІ; організації, що проводять сертифікаційні випробування (експертні роботи); Державна служба спеціального зв'язку та захисту інформації України.

Порядок розроблення засобів КЗІ включає в себе:

проведення науково-дослідних робіт з розроблення нових принципів побудови і функціонування засобів КЗІ;

проведення дослідно-конструкторських робіт зі створення нових або модернізації існуючих зразків засобів КЗІ;

створення дослідних зразків засобу КЗІ та розробка робочої конструкторської документації на засіб КЗІ.

Виробництво засобів КЗІ здійснюється тільки за наявності сертифіката відповідності або позитивного експертного висновку на засіб, ТУ та інструкції із забезпечення безпеки експлуатації засобів КЗІ.

Експлуатація засобів КЗІ здійснюється відповідно до вимог експлуатаційної документації, інструкції із забезпечення безпеки експлуатації засобів КЗІ, а також інструкції щодо порядку генерації ключових даних та поводження з ключовими документами.

Підставою для початку експлуатації засобів КЗІ в організації (у тому числі її філіях або регіональних представництвах), яка здійснює експлуатацію засобів КЗІ, є відповідний наказ керівника цієї організації.

З початку експлуатації кожний екземпляр засобу КЗІ береться на облік в організації, яка експлуатує засоби КЗІ.

НД Порядок забезпечення режиму безпеки визначає конкретні вимоги щодо режиму безпеки, який повинен бути створений при проведенні робіт з криптографічного захисту конфіденційної інформації, що є власністю держави.

Для забезпечення режиму безпеки при проведенні робіт у сфері криптографічного захисту конфіденційної інформації, що є власністю держави (далі – інформація з грифом «Для службового користування» або ДСК), суб'єкти господарювання повинні керуватися постановою Кабінету Міністрів України від 27.11.98 N 1893, а також забезпечити виконання вимог цієї інструкції, що стосуються питань:

номенклатури посадових інструкцій;

специфіки організаційних заходів безпеки при проведенні робіт з криптографічного захисту інформації.

Порядок постачання і використання ключів до засобів криптографічного захисту інформації (Інструкція) встановлює порядок постачання та використання ключів до засобів КЗІ, які реалізують криптографічний алгоритм, визначений ГОСТ 2814789.

Дія Інструкції не розповсюджується на діяльність, пов'язану з постачанням і використанням ключів до засобів КЗІ, що становить державну таємницю.

Порядок постачання і використання ключів включає в себе наступні процедури.

У разі необхідності одержання ключів, замовник направляє до Адміністрації Держспецзв'язку України заявку, у якій вказуються:

місцезнаходження та інші реквізити замовника;

відомості щодо наявності ліцензії на право провадження господарської діяльності у сфері КЗІ (серія, номер ліцензії, термін дії, види робіт, особливі умови);

призначення ключів (у тому числі, у яких засобах КЗІ будуть використовуватися ключі, наявність сертифіката відповідності або експертного висновку на зазначені засоби КЗІ, криптосистеми тощо);

тип, необхідна кількість комплектів (серій) носіїв ключової інформації та кількість примірників у кожному комплекті (серії);

ступінь обмеження доступу до ключів;

гарантії оплати робіт за договором постачання ключових документів.

Адміністрація Держспецзв'язку України розглядає заявку та приймає рішення про можливість постачання чи відмову в постачанні ключових документів. За умови позитивного рішення щодо постачання ключових документів Адміністрація Держспецзв'язку України повідомляє замовника та передає матеріали постачальнику, який надсилає замовнику проект відповідного договору. У разі негативних результатів розгляду заявки Держспецзв'язок інформує замовника про причини відмови в постачанні ключових документів.

НД Порядок проведення державної експертизи в сфері КЗІ встановлює вимоги щодо організації та проведення державної експертизи у сфері КЗІ в Україні.

Суб'єктами експертизи є:

замовники експертизи;

Адміністрація Держспецзв’язку;

експертні заклади.

Замовниками експертизи можуть бути юридичні особи, які зацікавлені в проведенні експертизи та замовляють (замовляли) проведення експертизи.

Експертними закладами можуть бути підприємства, установи та організації, які мають ліцензію на право провадження господарської діяльності у сфері КЗІ в частині робіт з експертизи криптографічних систем та засобів КЗІ.

Експертні дослідження проводять експертні заклади або Адміністрація Держспецзв'язку за договорами на проведення експертних досліджень. Для координації та здійснення експертизи в Адміністрації Держспецзв'язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв'язку.

Порядок проведення державної експертизи в сфері КЗІ включає в себе наступні процедури.

Замовник подає до Адміністрації Держспецзв'язку України заявку на проведення державної експертизи у сфері КЗІ та комплект документів та матеріалів згідно з визначеним переліком.

Адміністрація Держспецзв'язку України в місячний термін з дня отримання заявки розглядає її та здійснює аналіз наданих документів і матеріалів. У разі невідповідності заявки встановленим вимогам, Адміністрація Держспецзв'язку України повідомляє замовника про відмову в проведенні експертизи та причини, через які проведення експертизи неможливе. В свою чергу, у разі відповідності заявки вимогам, готується рішення, у якому визначаються:

умови проведення експертизи;

перелік додаткових документів та матеріалів, що необхідні для проведення експертизи;

схема проведення експертизи згідно до визначених варіантів;

експертний заклад, що призначається Адміністрацією Держспецзв`язку України з урахуванням пропозицій замовника.

Договір на проведення експертних досліджень між замовником та експертним закладом укладається після отримання ними рішення Адміністрації Держспецзв’язку України.

Об'єктами експертизи є:

засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;

звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;

криптографічні алгоритми та протоколи;

методи, засоби та системи генерації, тестування та розподілу ключових даних;

криптографічні системи, засоби та обладнання КЗІ;

положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ.

Експертиза є обов'язковою або добровільною. Обов'язковій експертизі підлягають:

засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ, що є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

криптографічні алгоритми та криптографічні протоколи, які планується визначити як такі, що рекомендовані для використання;

методи, засоби та системи генерації, тестування та розподілу ключів; методи, засоби та системи генерації, тестування та розподілу ключів;

криптосистеми, засоби й обладнання КЗІ, що є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

криптосистеми, засоби та обладнання КЗІ іноземного виробництва, які підлягають експортному контролю.

Експертний висновок може бути виданий на один зразок криптографічного засобу, партію засобів, а також засіб, що виробляється серійно, за наявності технічних умов на нього. Дія експертного висновку на криптографічні засоби, що виготовляються серійно, поширюється на всі засоби, які вироблені в період дії експертного висновку, з урахуванням гарантійного терміну їх експлуатації.

Порядок проведення сертифікації засобів КЗІ.

Згідно наказу ДСТСЗІ СБ України від 24. 09.1999 № 202∕213 «Про введення в дію нормативного документу «Про орган із сертифікації засобів криптографічного захисту інформації» на Департамент спеціальних телекомунікаційних систем та захисту інформації (ДСТСЗІ) Служби безпеки України (нині Держспецзв'язок України) покладено безпосереднє керівництво роботою щодо проведення сертифікації у галузі КЗІ в Системі УкрСЕПРО. Відповідно до якого в структурі ДСТСЗІ створено орган із сертифікації засобів криптографічного захисту інформації (далі – ОС КЗІ).

В наказі ДСТСЗІ СБ України від 15.12.1999 «Порядок проведення сертифікації засобів криптографічного захисту інформації» визначено порядок проведення сертифікації засобів КЗІ, що включає:

подання заявки підприємствами, організаціями та установами щодо сертифікації засобів КЗІ і розгляд її ОС КЗІ;

аналіз наданої документації;

прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації засобів КЗІ;

обстеження виробництва або атестація виробництва засобів КЗІ, що сертифікується (при необхідності);

відбір, ідентифікація зразків засобів КЗІ;

сертифікаційні випробування;

аналіз отриманих результатів та прийняття рішення про можливість видачі сертифіката відповідності;

видача сертифікату відповідності та занесення сертифікованих засобів КЗІ до Реєстру Системи;

технічний нагляд за сертифікованими засобами КЗІ під час їх виробництва;

інформування про результати робіт із сертифікації засобів КЗІ.

Основними схемами проведення сертифікації засобів КЗІ є:

сертифікат відповідності на одиничний засіб КЗІ;

сертифікат відповідності на партію засобів КЗІ;

сертифікат відповідності на право застосування засобів КЗІ, які виготовляються виробником серійно протягом встановленого ліцензією терміну.

Далі слід зазначити, що питання організаційно-правового і організаційно-технічного регулювання порядку забезпечення КЗІ в системах спеціального зв’язку та системах ЕЦП є достатньо складними і тому будуть розглянуті окремо.

Заключна частина

Існуюча нормативно-правова база криптографічного захисту інформації в цілому відповідає вимогам європейського законодавства, створює надійне підґрунтя для забезпечення ефективної діяльності в цій галузі, гармонійне враховує інтереси суб’єктів системи КЗІ та всебічно розглядає їх права та обв’язки.

Оскільки система КЗІ динамічно розвивається, то нормативна правова база діяльності також зазнає постійних змін, що потребує від дослідників, розробників, виробників та користувачів засобів та систем КЗІ постійного вдосконалення рівня правової підготовки та врахування останніх змін у повсякденній діяльності.

Контрольні запитання:

1. Пояснити основні механізми нормативно-правового регулювання у сфері КЗІ?

2. Які питання криптографічного захисту інформації підлягають державному регулюванню в Україні?

3. У чому полягає різниця в порядку використання криптосистем і засобів КЗІ для захисту різних видів ІзОД, що визначені в Україні?

4. Пояснити основні завдання спеціального уповноваженого центрального органу виконавчої влади з питань КЗІ?

5. Пояснити мету та завдання стандартизації у сфері КЗІ, основні принципи класифікації криптографічних стандартів.

6. Охарактеризувати сучасний стан стандартизації у сфері КЗІ в Україні.

7. Навіщо потрібен механізм ліцензування у сфері КЗІ, які види робіт підлягають ліцензуванню в Україні?

8. Які особливі умови провадження робіт у межах господарської діяльності у сфері КЗІ відображаються в ліцензії?

9. Який порядок розроблення засобів КЗІ встановлений в Україні?

10. Які вимоги до виробництва та експлуатації засобів КЗІ встановлені в Україні?

11. Які суб'єкти та об'єкти державної експертизи у сфері КЗІ Ви знаєте?

12. Який порядок проведення державної експертизи у сфері КЗІ встановлений в Україні?

13. За яких умов державна експертиза у сфері КЗІ є обов’язковою?

14. Які основні схеми проведення сертифікації засобів КЗІ Ви знаєте?

15. Який порядок проведення сертифікації засобів КЗІ встановлений в Україні?

16. Які основні схеми проведення сертифікації засобів КЗІ Ви знаєте?

17. У чому полягає різниця між процедурами експертизи та сертифікації?

← Предыдущая
Страница 1
Следующая →

Скачать

ПАК_Лекция_Т1(Л1).docx

ПАК_Лекция_Т1(Л1).docx
Размер: 52.7 Кб

Бесплатно Скачать

Пожаловаться на материал

Основні поняття криптології що визначені на законодавчому рівні. Рівняння криптоперетворення у загальному вигляді. Структура законодавства у галузі криптографічного захисту інформації. Вимоги законодавства щодо розроблення, виробництва, досліджень, сертифікації та експлуатації криптосистем

У нас самая большая информационная база в рунете, поэтому Вы всегда можете найти походите запросы

Искать ещё по теме...

Похожие материалы:

Экономическая информация в автоматизированных информационных системах. Организация хранения данных

Цель занятия: усвоить знания основных понятий, особенностей и требований к экономической информации; основных понятий экономических информационных систем, их информационного обеспечения.

Преступления против здоровья населения и общественной нравственности

Понятие и виды преступлений против здоровья населения и общественной нравственности. Незаконное занятие частной медицинской практикой или частной фармацевтической деятельностью (ст. 235 УК РФ). Организация объединения, посягающего на личность и права граждан (ст. 239 УК РФ)

Современные правила адаптации на рабочем месте

Принимая решение писать об универсальных правилах адаптации на рабочем месте, мы ориентировались прежде всего на сотрудников, желающих стать успешными и быстро и профессионально влиться в новый коллектив.

Особливості розслідування серійних вбивств

Дипломний проект по спеціальності «Правознавство». Серійні вбивства: поняття, ознаки та світова практика розслідування. Поняття та ознаки серійного убивства. Розслідування серійних убивств у світовій практиці. Криміналістична характеристика серійних вбивств. Поняття та зміст криміналістичної характеристики серійних убивств. Спосіб вчинення серійних вбивств як обставина, що підлягає встановленню під час досудового розслідування. Методичні рекомендації з організації досудового розслідування серійних вбивств.

Исследование биохимических характеристик ферментных препарато в- источников гемицеллюлаз и скрининг наиболее эффективного для спиртового производства

Дипломная работа Специализация «Технология ферментных препаратов» Специальность «Биотехнология»

Сохранить?

Пропустить...

Введите код

Ok