2015-05-30
660
Згідно з Законом основними суб’єктами національної системи КЗІ в Україні є:
ØДержавна служба спеціального зв’язку та захисту інформації України (колишній Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України), як спеціальний уповноважений центральний орган виконавчої влади, що відповідальний за формування та реалізацію державної політики у сфері КЗІ (Держспецзв’язок України);
Øоргани державної влади та місцевого самоврядування, силові структури, підприємства, установи та організації усіх форм власності, громадяни щодо яких здійснюється КЗІ;
Øпідприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з криптографічного захисту інформації за відповідними дозволами (ліцензіями).
Порядок здійснення криптографічного захисту інформації в Україні затверджений Указом Президента України від 22 травня 1998 року № 505/98 (в редакції Указу Президента № 333/2008 від 11.04.2008 року). Він визначає основні позиції державної політики у сфері КЗІ та містить наступні основні положення.
|
|
|
Державні органи, підприємства, установи і організації закуповують, ввозять в Україну, вивозять з України, використовують криптосистеми і засоби КЗІ за погодженням з Адміністрацією Держспецзв’язку України.
Для криптографічного захисту інформації, що становить державну таємницю, та конфіденційної інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до експлуатації. Зазначені криптосистеми і засоби перебувають у державній власності.
Засоби криптографічного захисту конфіденційної інформації та криптосистеми з відповідного дозволу можуть перебувати і в недержавній власності.
Для криптографічного захисту конфіденційної інформації використовуються криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності в системі УкрСЕПРО або експертний висновок Держспецзв’язку України.
До користування криптосистемами та засобами криптографічного захисту секретної інформації допускаються особи, які у встановленому законодавством України порядку одержали допуск до державної таємниці.
Діяльність, пов'язану з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із криптографічного захисту інформації, можуть здійснювати суб'єкти підприємницької діяльності, зареєстровані в порядку, встановленому законодавством. Ліцензування діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із криптографічного захисту інформації, здійснюється згідно із законодавством України.
|
|
|
Порядок розроблення, виготовлення, розповсюдження, експлуатації, збереження, використання, випробування, сертифікації та допуску до експлуатації криптосистем і засобів КЗІ, контролю за додержанням вимог безпеки при проведенні цих робіт визначається відповідними положеннями.
У разі порушення вимог щодо порядку здійснення КЗІ суб'єкти підприємницької діяльності, установи, організації посадові особи та громадяни несуть відповідальність згідно із законодавством України.
Державна служба спеціального зв'язку та захисту інформації України є державним органом, який призначений для забезпечення функціонування і розвитку Державної системи урядового зв'язку, Національної системи конфіденційного зв'язку, захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації
Основними завданнями Держспецзв’язку України (спеціального уповноваженого центрального органу виконавчої влади) є:
Øучасть у формуванні та реалізація державної політики у сфері захисту державних інформаційних ресурсів в ІТС, криптографічного та технічного захисту інформації;
Øзабезпечення в установленому порядку урядовим зв'язком Президента України, Голови Верховної Ради України, Прем'єр-міністра України, інших посадових осіб органів державної влади, органів місцевого самоврядування, органів військового управління, керівників підприємств, установ і організацій у мирний час, в умовах надзвичайного та воєнного стану, а також у разі виникнення надзвичайної ситуації;
Øзабезпечення функціонування, безпеки та розвитку Державної системи урядового зв'язку і Національної системи конфіденційного зв'язку;
Øвизначення вимог і порядку створення та розвитку систем технічного та криптографічного захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом;
Øздійснення державного контролю за станом криптографічного та технічного захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, а також за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису.
Нормативно-правове регулювання КЗІ в Україні, як і в інших країнах світу, стосується питань:
Ø стандартизації методів, засобів і систем КЗІ;
Ø адміністративно-правового регулювання господарської діяльності у сфері КЗІ;
Ø організаційно-правового та організаційно-технічного регулювання систем спеціального зв’язку і систем ЕЦП (архітектури відкритих ключів, РКІ).
На сьогоднішній день в Україні прийняті п’ять державних стандартів у сфері КЗІ – це ГОСТ 28147-89, ГОСТ 34311-95, ГОСТ 34310-95, ДСТУ 4145-2002 та ДСТУ ISO/IEC 15946-3:2006, а також:
Ø технічні специфікації форматів представлення базових об’єктів національної системи електронного цифрового підпису, затверджені наказом ДСТСЗІ СБ України від 11.09.2006 № 99¤166 (формат сертифікату відкритого ключа);
Ø технічні специфікації форматів криптографічних повідомлень, затверджені наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 04.05.2010 р. №112.
ДСТУ ГОСТ 28147:2009 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» визначає алгоритм шифрування та МАС-код (імітовставки). Це стандарт був прийнятий у 1989 році в Радянському Союзі. Тепер він є стандартом Російської Федерації, СНГ та України.
ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хеширования» визначає алгоритм функції хешування. Це стандарт розроблений у Російській Федерації, є стандартом також СНГ та України.
|
|
|
ГОСТ 34.310-95 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки цифровой подписи.» визначає алгоритм електронного цифрового підпису. Це стандарт розроблений у Російській Федерації, є стандартом також СНГ та України. Поступово виходить із обігу та заміняється новим стандартом ДСТУ 4145-2002.
ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння» визначає алгоритм електронного цифрового підпису. Це стандарт розроблений в Україні.
ДСТУ ISO/IEC 15946-3:2006 «Інформаційні технології – Методи захисту – Криптографічні методи, що ґрунтуються на еліптичних кривих»: Частина 3: Установлення ключів» визначає механізми узгодження та передавання ключів, що використовують криптографічні методи в групах точок еліптичних кривих.
Наказ ДСТСЗІ СБ України від 11.09.2006 № 99¤166 «Про затвердження Технічних специфікацій форматів представлення базових об’єктів національної системи електронного цифрового підпису» визначає формат посиленого сертифіката відкритого ключа (сертифіката), що заснований на міжнародному стандарті ISO/IEC 9594-8: «Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks». Визначення формату сертифіката не дублює зазначений міжнародний стандарт, а додатково описує особливості змісту сертифіката та форматів його полів.
Наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 04.05.2010 р. №112 визначає синтаксис (формат представлення) зашифрованого повідомлення (даних) в електронній формі, а також протоколи, які повинні застосовуватися для цього синтаксису з метою узгодження ключів. Встановлення єдиних форматів криптографічних повідомлень має на меті визначення технічних умов щодо забезпечення сумісності засобів криптографічного захисту інформації різних розробників.
|
|
|
Основні методи адміністративно-правового регулювання господарської діяльності у сфері КЗІ, що не пов’язана з державною таємницею, затверджені наказами Держспецзв’язку України, які визначають:
Øліцензійні умови провадження господарської діяльності у сфері КЗІ (Наказ Адміністрації Держспецзв’язку від 26.01.2008 №8∕216);
Øпорядок розроблення, виробництва та експлуатації засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 20.07.2007 №141);
Øпорядок забезпечення режиму безпеки, що повинен бути створений в організаціях, які здійснюють підприємницьку діяльність у сфері КЗІ, що є власністю держави (Наказ ДСТСЗІ СБ України від 22.10.1999 № 45);
Øпорядок постачання і використання ключів до засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 12.06.2007 №114);
Øпорядок проведення державної експертизи у сфері КЗІ (Наказ Адміністрації Держспецзв’язку від 23.06.2008 №100);
Øпорядок проведення сертифікації засобів КЗІ (Наказ ДСТСЗІ СБ України від 24. 09.1999 № 202∕213; Наказ ДСТСЗІ СБ України від 15.12.1999).
Далі розглянемо лише основні положення нормативно-правових актів України, що регламентують перелічені вище питання. Більш детально з положеннями нормативно-правових актів України у сфері КЗІ потрібно ознайомитись на офіційному сайті Державної служби спеціального зв'язку та захисту інформації України (http://www.dstszi.org.ua).
Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до всіх суб'єктів господарювання, незалежно від організаційно-правової форми та форми власності, виконання яких є обов'язковою умовою для здійснення господарської діяльності у сфері КЗІ із наступних видів робіт: Надання послуг у сфері КЗІ (окрім послуг електронного цифрового підпису), ввезення, вивезення засобів КЗІ та криптосистем.
Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у сфері КЗІ, які відображаються у ліцензії, що видається суб'єкту господарювання:
Ø з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю;
Ø з наданням права провадження робіт у сфері криптографічного захисту конфіденційної інформації, що є власністю держави;
Ø з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Отримання суб'єктом господарювання ліцензії з наданням права провадження робіт у сфері КЗІ, що становить державну таємницю, також надає право провадження робіт у сфері криптографічного захисту конфіденційної інформації, у тому числі тієї, що є власністю держави.
Ліцензія на право провадження робіт у сфері криптографічного захисту конфіденційної інформації, що є власністю держави, також надає право на роботи у сфері криптографічного захисту конфіденційної інформації.
В свою чергу, ліцензія на право провадження робіт у сфері криптографічного захисту конфіденційної інформації надає право на роботи тільки у сфері криптографічного захисту конфіденційної інформації.
Суб'єкт господарювання, який має намір провадити господарську діяльність у сфері КЗІ та відповідає ліцензійним умовам, подає до органу ліцензування заяву про видачу ліцензії. Він може провадити господарську діяльність у сфері КЗІ в повному обсязі або частково, з окремих робіт, операцій чи послуг. У разі забезпечення суб'єктом господарювання КЗІ клієнтів послугами з шифрування, дія ліцензійних умов поширюється на суб'єкт господарювання, який організовує використання, експлуатацію засобів КЗІ та встановлює відповідний режим безпеки і порядок доступу до засобів захисту інформації. Клієнти, які використовують послуги з шифрування, ліцензію у сфері КЗІ не отримують.
У разі наявності у суб'єкта господарювання філій, інших відокремлених підрозділів, які провадитимуть господарську діяльність у сфері КЗІ, загальне керівництво провадженням ними робіт здійснює суб'єкт господарювання, у тому числі забезпечує їх відповідність ліцензійним умовам.
Нормативний документ (НД) Порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації визначає вимоги до порядку розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису.
Розроблення, виготовлення, уведення в експлуатацію та експлуатація засобів КЗІ, що становить державну таємницю, та конфіденційної інформації, що є власністю держави, здійснюються в порядку, визначеному іншими нормативно-правовими актами.
У процесі розроблення, виробництва та експлуатації засобів КЗІ беруть участь і взаємодіють між собою: замовники; розробники; виробники; організації, що експлуатують засоби КЗІ; організації, що проводять сертифікаційні випробування (експертні роботи); Державна служба спеціального зв'язку та захисту інформації України.
Порядок розроблення засобів КЗІ включає в себе:
Ø проведення науково-дослідних робіт з розроблення нових принципів побудови і функціонування засобів КЗІ;
Ø проведення дослідно-конструкторських робіт зі створення нових або модернізації існуючих зразків засобів КЗІ;
Ø створення дослідних зразків засобу КЗІ та розробка робочої конструкторської документації на засіб КЗІ.
Виробництво засобів КЗІ здійснюється тільки за наявності сертифіката відповідності або позитивного експертного висновку на засіб, ТУ та інструкції із забезпечення безпеки експлуатації засобів КЗІ.
Експлуатація засобів КЗІ здійснюється відповідно до вимог експлуатаційної документації, інструкції із забезпечення безпеки експлуатації засобів КЗІ, а також інструкції щодо порядку генерації ключових даних та поводження з ключовими документами.
Підставою для початку експлуатації засобів КЗІ в організації (у тому числі її філіях або регіональних представництвах), яка здійснює експлуатацію засобів КЗІ, є відповідний наказ керівника цієї організації.
З початку експлуатації кожний екземпляр засобу КЗІ береться на облік в організації, яка експлуатує засоби КЗІ.
НД Порядок забезпечення режиму безпеки визначає конкретні вимоги щодо режиму безпеки, який повинен бути створений при проведенні робіт з криптографічного захисту конфіденційної інформації, що є власністю держави.
Для забезпечення режиму безпеки при проведенні робіт у сфері криптографічного захисту конфіденційної інформації, що є власністю держави (далі – інформація з грифом «Для службового користування» або ДСК), суб'єкти господарювання повинні керуватися постановою Кабінету Міністрів України від 27.11.98 N 1893, а також забезпечити виконання вимог цієї інструкції, що стосуються питань:
Ø номенклатури посадових інструкцій;
Ø специфіки організаційних заходів безпеки при проведенні робіт з криптографічного захисту інформації.
Порядок постачання і використання ключів до засобів криптографічного захисту інформації (Інструкція) встановлює порядок постачання та використання ключів до засобів КЗІ, які реалізують криптографічний алгоритм, визначений ГОСТ 2814789.
Дія Інструкції не розповсюджується на діяльність, пов'язану з постачанням і використанням ключів до засобів КЗІ, що становить державну таємницю.
Порядок постачання і використання ключів включає в себе наступні процедури.
У разі необхідності одержання ключів, замовник направляє до Адміністрації Держспецзв'язку України заявку, у якій вказуються:
Ø місцезнаходження та інші реквізити замовника;
Ø відомості щодо наявності ліцензії на право провадження господарської діяльності у сфері КЗІ (серія, номер ліцензії, термін дії, види робіт, особливі умови);
Ø призначення ключів (у тому числі, у яких засобах КЗІ будуть використовуватися ключі, наявність сертифіката відповідності або експертного висновку на зазначені засоби КЗІ, криптосистеми тощо);
Ø тип, необхідна кількість комплектів (серій) носіїв ключової інформації та кількість примірників у кожному комплекті (серії);
Ø ступінь обмеження доступу до ключів;
Ø гарантії оплати робіт за договором постачання ключових документів.
Адміністрація Держспецзв'язку України розглядає заявку та приймає рішення про можливість постачання чи відмову в постачанні ключових документів. За умови позитивного рішення щодо постачання ключових документів Адміністрація Держспецзв'язку України повідомляє замовника та передає матеріали постачальнику, який надсилає замовнику проект відповідного договору. У разі негативних результатів розгляду заявки Держспецзв'язок інформує замовника про причини відмови в постачанні ключових документів.
НД Порядок проведення державної експертизи в сфері КЗІ встановлює вимоги щодо організації та проведення державної експертизи у сфері КЗІ в Україні.
Суб'єктами експертизи є:
Ø замовники експертизи;
Ø Адміністрація Держспецзв’язку;
Ø експертні заклади.
Замовниками експертизи можуть бути юридичні особи, які зацікавлені в проведенні експертизи та замовляють (замовляли) проведення експертизи.
Експертними закладами можуть бути підприємства, установи та організації, які мають ліцензію на право провадження господарської діяльності у сфері КЗІ в частині робіт з експертизи криптографічних систем та засобів КЗІ.
Експертні дослідження проводять експертні заклади або Адміністрація Держспецзв’язку за договорами на проведення експертних досліджень. Для координації та здійснення експертизи в Адміністрації Держспецзв’язку створюється Експертна комісія з питань проведення державної експертизи в сфері криптографічного захисту інформації Держспецзв’язку.
Порядок проведення державної експертизи в сфері КЗІ включає в себе наступні процедури.
Замовник подає до Адміністрації Держспецзв’язку України заявку на проведення державної експертизи у сфері КЗІ та комплект документів та матеріалів згідно з визначеним переліком.
Адміністрація Держспецзв’язку України в місячний термін з дня отримання заявки розглядає її та здійснює аналіз наданих документів і матеріалів. У разі невідповідності заявки встановленим вимогам, Адміністрація Держспецзв’язку України повідомляє замовника про відмову в проведенні експертизи та причини, через які проведення експертизи неможливе. В свою чергу, у разі відповідності заявки вимогам, готується рішення, у якому визначаються:
Ø умови проведення експертизи;
Ø перелік додаткових документів та матеріалів, що необхідні для проведення експертизи;
Ø схема проведення експертизи згідно до визначених варіантів;
Ø експертний заклад, що призначається Адміністрацією Держспецзв`язку України з урахуванням пропозицій замовника.
Договір на проведення експертних досліджень між замовником та експертним закладом укладається після отримання ними рішення Адміністрації Держспецзв’язку України.
Об'єктами експертизи є:
Ø засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ;
Ø звіти про наукові дослідження і розробки, результати тематичних досліджень, інші результати наукової та науково-технічної діяльності у сфері КЗІ;
Ø криптографічні алгоритми та протоколи;
Ø методи, засоби та системи генерації, тестування та розподілу ключових даних;
Ø криптографічні системи, засоби та обладнання КЗІ;
Ø положення державних і міждержавних програм та проектів державного значення в частині, що стосується КЗІ.
Експертиза є обов'язковою або добровільною. Обов'язковій експертизі підлягають:
Ø засоби та методи, призначені для розробки, дослідження, виробництва та випробувань засобів КЗІ, що є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
Ø криптографічні алгоритми та криптографічні протоколи, які планується визначити як такі, що рекомендовані для використання;
Ø методи, засоби та системи генерації, тестування та розподілу ключів; методи, засоби та системи генерації, тестування та розподілу ключів;
Ø криптосистеми, засоби й обладнання КЗІ, що є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
Ø криптосистеми, засоби та обладнання КЗІ іноземного виробництва, які підлягають експортному контролю.
Експертний висновок може бути виданий на один зразок криптографічного засобу, партію засобів, а також засіб, що виробляється серійно, за наявності технічних умов на нього. Дія експертного висновку на криптографічні засоби, що виготовляються серійно, поширюється на всі засоби, які вироблені в період дії експертного висновку, з урахуванням гарантійного терміну їх експлуатації.
