Положение о криптографической защите информации в Республике Узбекистан (Приложение N 1 к Постановлению Президента РУз от 03.04.2007 г. N ПП-614)

Функция недоступна

ПРИЛОЖЕНИЕ N 1

к Постановлению Президента РУз

от 03.04.2007 г. N ПП-614

ПОЛОЖЕНИЕ

о криптографической защите информации

в Республике Узбекистан

   

I. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение определяет порядок осуществления криптографической защиты информации, включая разработку, реализацию, использование, ввоз и вывоз из страны средств криптографической защиты информации, подлежащей защите в соответствии с законодательством Республики Узбекистан (далее - конфиденциальная информация) или содержащей государственные секреты.

2. Требования настоящего Положения являются обязательным при криптографической защите:

информации, содержащей сведения, отнесенные к государственным секретам;

конфиденциальной информации, собственником которой являются государственные организации;

конфиденциальной информации в организациях независимо от их ведомственной принадлежности и форм собственности при поставке ими товаров и услуг для нужд государственных организаций.

В остальных случаях требования настоящего Положения носят рекомендательный характер.

3. В настоящем Положении используются следующие основные понятия:

криптографическая защита информации - комплекс мероприятий, направленных на обеспечение целостности, доступности и конфиденциальности информации, осуществляемых при помощи алгоритмов криптографического преобразования (криптоалгоритмов);

криптографический алгоритм (криптоалгоритм) - математический алгоритм преобразования информации (данных) с целью предотвращения возможности ее искажения и защиты от несанкционированного доступа;

средства криптографической защиты информации (СКЗИ) - аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности, в том числе:

а) средства шифрования - аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее обработке, хранении и передаче по каналам связи;

б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи - совокупность технических и программных средств, обеспечивающих создание электронной цифровой подписи в электронном документе, подтверждение подлинности электронной цифровой подписи, создание открытых и закрытых ключей электронной цифровой подписи;

г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций;

д) средства изготовления ключевых документов и сами ключевые документы (независимо от вида носителя ключевой информации);

криптографическая система (криптосистема) - совокупность организационных, технических и программных средств, обеспечивающих криптографическое преобразование информации и (или) управление, в том числе автоматизированное, процессом изготовления и распределения криптографических ключей.

4. Специально уполномоченным органом в области криптографической защиты информации является Служба государственной безопасности Республики Узбекистан (далее - Уполномоченный орган).

5. Криптографическая защита информации в информационно-коммуникационных системах (в системах связи, локальных и корпоративных компьютерных сетях) является составной частью работ по их созданию и эксплуатации.

6. Деятельность, связанную с проектированием, разработкой, производством, ввозом, вывозом, реализацией, использованием и ремонтом СКЗИ и криптосистем, а также с предоставлением услуг по криптографической защите информации, могут осуществлять субъекты предпринимательской деятельности Республики Узбекистан, имеющие лицензии на право осуществления отдельных видов деятельности в области криптографической защиты информации.

7. К использованию и ремонту криптосистем и средств криптографической защиты секретной информации допускаются лица, получившие в установленном законодательством порядке допуск к государственным секретам Республики Узбекистан.

8. Качество криптографической защиты информации обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевым документам и системам, использующим СКЗИ, а также полнотой проведения сертификационных испытаний.

9. В целях криптографической защиты информации используются СКЗИ, имеющие сертификат соответствия, а также криптосистемы, пользование которыми согласовано с Уполномоченным органом.

10. Порядок сертификации, допуска к эксплуатации СКЗИ, а также контроля за соблюдением требований безопасности при использовании СКЗИ определяется соответствующими положениями.

11. Подготовка кадров в области криптографической защиты информации в образовательных учреждениях Республики Узбекистан осуществляется при методическом руководстве Уполномоченного органа с обязательным согласованием с ним учебных программ дисциплин по криптологии.

12. В соответствии с настоящим Положением министерства, ведомства и органы государственной власти на местах, предприятия и учреждения разрабатывают и утверждают ведомственные инструкции по криптографической защите информации.

Ведомственные инструкции по криптографической защите информации подлежат согласованию с Уполномоченным органом.

II. ПОРЯДОК РАЗРАБОТКИ СКЗИ

13. Разработка новых или модернизация используемых (далее - разработка) СКЗИ осуществляется в соответствии с требованиями нормативно-правовых актов и стандартов Республики Узбекистан в сфере криптографической защиты информации и настоящего Положения.

14. При разработке СКЗИ используется лицензионное программное обеспечение.

15. Задание на разработку СКЗИ составляется заказчиком по согласованию с Уполномоченным органом.

16. Разработка СКЗИ осуществляется путем проведения необходимых научно-исследовательских работ (далее - НИР) и опытно-конструкторских разработок (далее - ОКР).

17. НИР (ОКР) по созданию новых образцов СКЗИ проводится на основе технического задания (далее - ТЗ), разработанного в соответствии с действующими в Республике Узбекистан нормативными документами.

18. ТЗ на проведение НИР по разработке СКЗИ заказчик направляет на рассмотрение в Уполномоченный орган, который в течение месяца с момента получения обязан согласовать ТЗ или дать мотивированный отказ.

19. ТЗ на проведение НИР, согласованное с Уполномоченным органом, утверждается заказчиком СКЗИ.

20. Результатом НИР является проект ТЗ на проведение ОКР по разработке СКЗИ и технико-экономическое обоснование данной ОКР.

21. В ТЗ на проведение ОКР должны указываться следующие дополнительные сведения:

цель криптографической защиты информации, с описанием предполагаемой модели действий нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое СКЗИ;

количество ключей, одновременно используемых в СКЗИ, предполагаемый срок их действия, организация их смены, тип ключевого носителя, порядок и срок уничтожения;

вид системы изготовления ключей (встроенная в СКЗИ или внешняя), требования по безопасности информации, которые должны обеспечиваться применяемой системой изготовления (распределения) ключей;

сведения по планируемому порядку и срокам проведения работ, включая проведение экспертных криптографических, инженерно-криптографических, специальных исследований СКЗИ и работ по выявлению в технических средствах, входящих в состав СКЗИ, возможностей, предназначенных для негласного получения информации, разработку технических требований на ключевые документы с указанием этапов ОКР;

сведения о системе, в составе которой планируется использование разрабатываемого СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, текстовая, графическая и другая). При модернизации СКЗИ также приводится его полное наименование и индекс;

данные о предполагаемом разработчике (наименование юридического лица, его адрес, номер контактного телефона) и соразработчике (при его наличии), а также изготовителе СКЗИ или ключевых документов с указанием номеров лицензий на право осуществления отдельных видов деятельности в области криптографической защиты информации и сроков их действия;

перечень юридических лиц, с помощью которых планируется осуществлять сервисное (техническое) обслуживание разрабатываемых СКЗИ в процессе их использования, с указанием номеров лицензий на право осуществления отдельных видов деятельности в области криптографической защиты информации и сроков их действия.

22. ТЗ на проведение ОКР заказчик СКЗИ направляет на рассмотрение в Уполномоченный орган, который в течение месяца с момента получения обязан согласовать ТЗ или дать мотивированный отказ.

23. ТЗ на проведение ОКР, согласованное с Уполномоченным органом, утверждается заказчиком.

24. Правила пользования к разрабатываемым СКЗИ составляются разработчиком и согласовываются с Уполномоченным органом.

25. При проведении ОКР создается конструкторская документация (далее - КД) на разрабатываемое СКЗИ.

26. В целях оценки достаточности мер противодействия возможным угрозам безопасности информации, определенным моделью действий нарушителя, изложенной в ТЗ на проведение ОКР, при разработке, производстве и эксплуатации СКЗИ проводятся криптографические, инженерно-криптографические и специальные исследования СКЗИ (далее - тематические исследования СКЗИ).

Тематические исследования СКЗИ выполняются организациями, имеющими право на осуществление отдельных видов деятельности в области криптографической защиты информации.

27. Экспертиза результатов тематических исследований СКЗИ осуществляется Уполномоченным органом. По результатам экспертизы определяется возможность допуска СКЗИ к эксплуатации.

28. Тематические исследования СКЗИ и экспертиза их результатов являются отдельным этапом ОКР, составляют ее неотъемлемую часть и не могут быть объединены с другими этапами выполнения ОКР.

29. КД на СКЗИ согласовывается с Уполномоченным органом и передается в производство при наличии:

положительных результатов испытаний функционирования СКЗИ в штатных режимах;

положительных результатов экспертизы тематических исследований СКЗИ;

правил пользования СКЗИ, согласованных с Уполномоченным органом.

III. ПОРЯДОК ПРОИЗВОДСТВА СКЗИ

30. Принятие решения о производстве СКЗИ осуществляется после согласования КД на СКЗИ, доработки опытных образцов по результатам испытаний штатного функционирования СКЗИ и оценки их соответствия требованиям по безопасности информации.

31. Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с Уполномоченным органом.

32. СКЗИ изготавливаются в полном соответствии с конструкцией и технологией изготовления опытных образцов СКЗИ, прошедших испытания на функционирование в штатных режимах и имеющих положительное заключение экспертизы тематических исследований СКЗИ.

33. Изменения в конструкции СКЗИ и технологии их изготовления изготовитель СКЗИ должен согласовывать с Уполномоченным органом. Согласование внесения изменений в конструкцию СКЗИ и технологию их изготовления осуществляется путем представления изготовителем СКЗИ в Уполномоченный орган обоснованного перечня предполагаемых изменений и получения соответствующих положительных заключений.

34. Производство ключевых документов с использованием внешней системы изготовления осуществляется при наличии положительного заключения Уполномоченного органа о соответствии изготавливаемых с использованием данной системы ключевых документов требованиям по безопасности информации.

35. Эксплуатационно-техническая документация к производимым СКЗИ составляются разработчиком и согласовываются с Уполномоченным органом.

36. Контроль за соблюдением требований технических условий при производстве СКЗИ осуществляется Уполномоченным органом.

IV. ПОРЯДОК РЕАЛИЗАЦИИ (РАСПРОСТРАНЕНИЯ) СКЗИ

37. СКЗИ реализуются (распространяются) вместе с правилами пользования и эксплуатационно-технической документацией к ним, согласованными с Уполномоченным органом.

38. Реализация (распространение) СКЗИ или КД к ним осуществляется юридическим лицом, имеющим лицензию на право осуществления данного вида деятельности.

39. Приобретение КД к СКЗИ (включая тиражирование программных СКЗИ) осуществляют юридические лица, являющиеся разработчиками и/или изготовителями СКЗИ.

40. Реализация (распространение) СКЗИ и/или КД к ним резидентам зарубежных стран осуществляется по согласованию с Уполномоченным органом.

V. ПОРЯДОК ИСПОЛЬЗОВАНИЯ СКЗИ

41. В целях криптографической защиты информации используются СКЗИ, имеющие сертификат соответствия, выданный органом сертификации СКЗИ.

42. СКЗИ эксплуатируются в соответствии с правилами пользования, предписаниями и рекомендациями Уполномоченного органа. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с Уполномоченным органом.

43. СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям, конкретные сроки проведения которых определяются заказчиком по согласованию с разработчиком и Уполномоченным органом.

44. СКЗИ, их опытные образцы и отдельные шифрующие элементы, а также блоки, не укомплектованные в составе СКЗИ, подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ, их опытных образцов и отдельных шифрующих элементов, а также блоков, не укомплектованных в составе СКЗИ, определяет Уполномоченный орган.

Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.

Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.

Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика и конечного пользователя СКЗИ.

45. Организация централизованного (количественного) поэкземплярного учета опытных образцов СКЗИ, а также изготовленных и используемых СКЗИ осуществляется Уполномоченным органом.

46. Гриф секретности СКЗИ, ключевых документов к нему, а также наивысший гриф секретности информации, обрабатываемой на СКЗИ, определяется разработчиком СКЗИ и согласуется с Уполномоченным органом.

47. Применение СКЗИ во время международного обмена информацией осуществляется в соответствии с законодательством и международными договорами.

48. Контроль за соблюдением правил пользования СКЗИ, а также условий производства ключевых документов к внешней системе изготовления ключей осуществляется Уполномоченным органом.

49. Отчетные сведения по разрабатываемым опытным образцам, изготовленным и используемым СКЗИ, представляются в Уполномоченный орган соответственно разработчиком, производителем и пользователем один раз в год.

VI. ПОРЯДОК ВВОЗА В УЗБЕКИСТАН И ВЫВОЗА

ИЗ РЕСПУБЛИКИ СКЗИ

50. Перечень разрешенных к ввозу в Узбекистан и вывозу из республики СКЗИ и криптосистем определяется Уполномоченным органом.

51. Государственные органы и предприятия, хозяйственные объединения приобретают, ввозят в Республику Узбекистан, вывозят из Республики Узбекистан криптосистемы и средства криптографической защиты информации (далее - СКЗИ), предназначенные для защиты государственных секретов, по согласованию с Уполномоченным органом.

52. Ввоз и вывоз СКЗИ и криптосистем иностранными представительствами, аккредитованными в республике, производится в установленном порядке по разрешению Уполномоченного органа через Бюро по обслуживанию дипломатического корпуса Министерства иностранных дел.

53. Ввоз на территорию Республики Узбекистан СКЗИ и криптосистем, временно вывезенных за границу юридическими лицами республики, производится на основании обязательств об обратном ввозе этих средств, оформленных таможенным органом при их вывозе.

54. СКЗИ и криптосистемы, не входящие в перечень разрешенных к ввозу и вывозу, подлежат изъятию таможенными органами при пересечении таможенной границы Республики Узбекистан с последующим информированием Уполномоченного органа.

55. Порядок изъятия, хранения и утилизации изъятых СКЗИ определяется действующим законодательством Республики Узбекистан.

VII. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

56. Министерства и ведомства, предприятия и организации несут ответственность за выполнение требований настоящего Положения подведомственными им предприятиями, учреждениями в соответствии с действующим законодательством.

57. В случае нарушения требований относительно порядка осуществления криптографической защиты информации виновные в этом лица несут ответственность, согласно законодательству Республики Узбекистан.

"Собрание законодательства Республики Узбекистан",

2007 г., N 14, ст. 140