Приказ ФСБ РФ от 30 августа 2012 г. Приказ шифровальные

Оглавление:

Приказ ФСБ РФ от 30 августа 2012 г. N 440 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за искл., . «

Приказ ФСБ РФ от 30 августа 2012 г. N 440
«Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

В соответствии с Федеральным законом от 27 июля 2010 г. N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»*(1), постановлением Правительства Российской Федерации от 16 мая 2011 г. N 373 «О разработке и утверждении административных регламентов исполнения государственных функций и административных регламентов предоставления государственных услуг»*(2) приказываю:

1. Утвердить прилагаемый Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

2. Признать утратившими силу приказы ФСБ России от 16 марта 2009 г. N 104*(3), от 16 марта 2009 г. N 105*(4), от 16 марта 2009 г. N 106*(5) и от 24 июня 2009 г. N 286*(6), пункты 3 — 5, 7 приложения к приказу ФСБ России от 12 апреля 2010 г. N 173*(7).

3. Контроль за исполнением настоящего приказа возложить на Центр по лицензированию, сертификации и защите государственной тайны ФСБ России.

*(1) Собрание законодательства Российской Федерации, 2010, N 31, ст. 4179; 2011, N 15, ст. 2038; N 27, ст. 3873, 3880; N 29, ст. 4291; N 30 (ч. 1), ст. 4587; N 49 (ч. V), ст. 7061; Российская газета, 2012, 30 июля, N 172.

*(2) Собрание законодательства Российской Федерации, 2011, N 22, ст. 3169; N 35, ст. 5092; 2012, N 28, ст. 3908.

*(3) Зарегистрирован Минюстом России 23 апреля 2009 г., регистрационный N 13820.

*(4) Зарегистрирован Минюстом России 14 апреля 2009 г., регистрационный N 13753.

*(5) Зарегистрирован Минюстом России 16 апреля 2009 г., регистрационный N 13789.

*(6) Зарегистрирован Минюстом России 5 августа 2009 г., регистрационный N 14473.

*(7) Зарегистрирован Минюстом России 25 мая 2010 г., регистрационный N 17350.

Зарегистрировано в Минюсте РФ 27 сентября 2012 г.

Утвержден Административный регламент ФСБ России по лицензированию разработки, производства, распространения шифровальных (криптографических) средств, защищенных с их использованием телекоммуникационных и информсистем, а также работ, услуг в области шифрования информации и техобслуживания указанных средств и систем. Исключение — обслуживание для обеспечения собственных нужд юрлица или ИП.

Лицензия предоставляется в срок не более 45 рабочих дней, переоформляется (по общему правилу) в течение максимум 10 рабочих дней. Также 10 дней дается на прекращение ее действия. Дубликат выдается в срок не более 3 рабочих дней.

Пошлина за предоставление лицензии, за переоформление из-за дополнения сведений об адресах осуществления деятельности, о выполняемых работах и услугах составляет 2 600 руб., за переоформление в прочих случаях и выдачу дубликата — 200 руб.

Сведения из реестра лицензий предоставляются безвозмездно.

Регламенты по лицензированию услуг в области шифрования; обслуживания, распространения шифровальных (криптографических) средств; разработки, производства последних и защищенных с их использованием систем признаны утратившими силу.

Приказ ФСБ РФ от 30 августа 2012 г. N 440 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

Регистрационный N 25563

Текст приказа опубликован в «Российской газете» от 26 октября 2012 г. N 248

Приказ шифровальные

Законодательство

Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну . (Далее)

Настоящее Положение определяет порядок лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), осуществляемой юридическими лицами и индивидуальными предпринимателями . (Далее)

Принят Государственной Думой 25 марта 2011 года
Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами. (в ред. Федерального закона от 05.04.2013 N 60-ФЗ). . (Далее)

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» приказываю утвердить Требования к форме квалифицированного сертификата ключа проверки электронной подписи (прилагаются) . (Далее)

Настоящий документ описывает правила формирования аккредитованными УЦ квалифицированных сертификатов ключей проверки электронной подписи, которые могут использоваться в государственных информационных системах.

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» приказываю утвердить:
Требования к средствам электронной подписи (приложение N 1);
Требования к средствам удостоверяющего центра (приложение N 2).
(Далее)

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» 1 приказываю: утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. (Далее)

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации»*, Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 «О федеральных органах правительственной связи и информации»** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029***, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю: (Далее)

УТВЕРЖДЕНЫ
руководством 8 Центра ФСБ России
от 31 марта 2015 года N 149/7/2/6-432
Настоящие методические рекомендации предназначены для федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, иных государственных органов (далее — органы власти) которые, в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее — Закон), в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее — ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (далее — НПА). (Далее)

Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (с изменениями и дополнениями)

Приказ ФСБ РФ от 9 февраля 2005 г. N 66
«Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

С изменениями и дополнениями от:

12 апреля 2010 г.

В целях определения порядка разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, приказываю:

2. Приказ ФАПСИ от 23 сентября 1999 года N 158 (зарегистрирован Минюстом России 28 декабря 1999 года, регистрационный N 2029) не применять с даты вступления в силу настоящего приказа.

Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

Зарегистрировано в Минюсте РФ 3 марта 2005 г.

Регистрационный N 6382

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в Бюллетене нормативных актов федеральных органов исполнительной власти от 14 марта 2005 г. N 11, в «Российской газете» от 19 марта 2005 г. N 55

В настоящий документ внесены изменения следующими документами:

Приказ ФСБ РФ от 12 апреля 2010 г. N 173

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного приказа

Приказ Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. N 66 г. Москва «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

Зарегистрирован в Минюсте РФ 3 марта 2005 г.

Регистрационный N 6382

В целях определения порядка разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, приказываю:

1. Утвердить прилагаемое Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

Настоящее Положение разработано во исполнение Федерального закона от 3 апреля 1995 года N 40-ФЗ «О федеральной службе безопасности» 1 и Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 года N 960 2 .

I. Общие положения

1. Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).

2. Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее — СКЗИ). К СКЗИ относятся 3 :

а) средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации).

3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:

если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;

при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее — государственные органы);

при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее — организации, выполняющие государственные заказы);

если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;

при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;

при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.

4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:

средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лицами, не являющихся государственными органами или организациями, выполняющими государственные заказы;

средств криптографической защиты информации открытых и общедоступных государственных информационных ресурсов Российской Федерации;

средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;

информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.

5. Настоящее Положение не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства.

6. Режим защиты информации путем использования СКЗИ устанавливается обладателем информации конфиденциального характера, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации.

7. При организации обмена информацией конфиденциального характера, участниками которого являются государственные органы и организации, выполняющие государственные заказы, необходимость криптографической защиты информации и выбор применяемых СКЗИ определяются государственными органами или организациями, выполняющими государственные заказы.

8. При организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмена.

9. Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи по каналам связи, а также выбор применяемых СКЗИ определяются обладателем или пользователем (потребителем) данной информации.

10. СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года N 184-ФЗ «О техническом регулировании» 4 .

11. Качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевой системе СКЗИ, а также к сетям связи (системам), используемым СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении (далее — сети (системы) конфиденциальной связи) и условиям размещения СКЗИ при их использовании (далее — требования по безопасности информации).

12. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.

Реализация в конкретных образцах СКЗИ и сетях (системах) конфиденциальной связи требований по безопасности информации возлагается на разработчика СКЗИ.

II. Порядок разработки СКЗИ

13. Задание разработки СКЗИ для федеральных государственных нужд осуществляется государственным заказчиком по согласованию с ФСБ России.

14. Разработка СКЗИ в интересах негосударственных организаций может осуществляться по заказу конкретного потребителя информации конфиденциального характера или по инициативе разработчика СКЗИ. При этом в качестве заказчика СКЗИ может выступать любое лицо.

15. Разработка СКЗИ осуществляется путем постановки и проведения необходимых научно-исследовательских работ (далее — НИР) по исследованию возможности создания нового образца СКЗИ и опытно-конструкторских работ (далее — ОКР) по созданию нового образца СКЗИ или модернизации действующего образца СКЗИ.

16. НИР по исследованию возможности создания нового образца СКЗИ проводится в соответствии с тактико-техническим заданием (далее — ТТЗ) или техническим заданием (далее — ТЗ), разработанным на основе национальных стандартов на проведение НИР.

Допускается проведение исследований возможности создания нового образца СКЗИ в рамках составной части НИР. При этом функции заказчика возлагаются на головного исполнителя НИР, составной частью которой являются проведение исследований возможности создания нового образца СКЗИ.

17. В ТТЗ или ТЗ на проведение НИР рекомендуется дополнительно включать сведения:

о заказчике СКЗИ (для юридического лица — наименование юридического лица с указанием номера лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, при ее наличии, и срока ее действия, адрес юридического лица, телефон; для индивидуального предпринимателя — фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, при ее наличии, срок ее действия, адрес индивидуального предпринимателя и телефон);

о предполагаемой области применения планируемого к разработке нового образца СКЗИ (указывается система связи, в составе которой планируется использование создаваемого образца СКЗИ, ее основные технические характеристики, в том числе требования по безопасности информации, а также вид защищаемой информации (речевая, данные и т.д.);

о предполагаемом исполнителе НИР (приводятся данные о предполагаемом исполнителе (наименование юридического лица, его адрес, телефон) и соисполнителе (при его наличии) с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия (при их наличии).

18. ТТЗ (ТЗ) на проведение НИР (составной части НИР) по исследованию возможности создания нового образца СКЗИ заказчик СКЗИ направляет на рассмотрение в ФСБ России, которая в течение двух месяцев с момента получения документов обязана согласовать ТТЗ (ТЗ) на проведение НИР (составной части НИР) или дать мотивированный отказ.

Письменное согласование с ФСБ России ТТЗ (ТЗ) на проведение НИР (составной части НИР) является основанием для проведения НИР (составной части НИР).

19. ТТЗ (ТЗ) на проведение НИР (составной части НИР), согласованное с ФСБ России, утверждается заказчиком СКЗИ. Экземпляр утвержденного ТТЗ (ТЗ) на проведение НИР (составной части НИР) направляется заказчиком СКЗИ в ФСБ России.

20. Результатом НИР (составной части НИР) являются проект ТТЗ (ТЗ) на проведение ОКР по созданию нового образца СКЗИ или модернизации действующего образца СКЗИ и технико-экономическое обоснование данной ОКР.

ТЗ разрабатывается на составную часть ОКР, в рамках которой создается новый образец СКЗИ или проводится модернизация действующего образца СКЗИ. При этом функции заказчика выполняет головной исполнитель ОКР, составной частью которой являются создание нового или модернизация действующего образца СКЗИ.

21. ОКР (составная часть ОКР) по созданию нового образца СКЗИ или модернизации действующего образца СКЗИ проводится в соответствии с ТТЗ (ТЗ), разработанным на основе действующих стандартов на проведение ОКР (составной части ОКР).

22. Разработка ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) может осуществляться без предварительного выполнения НИР.

23. В ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) должны указываться следующие дополнительные сведения:

по криптографической защите информации — цель криптографической защиты информации с описанием предполагаемой модели нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое (модернизируемое) СКЗИ;

по условиям использования СКЗИ — требования, предъявляемые к условиям использования создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ в типовой схеме организации конфиденциальной связи, или исходные данные по сети (системе) конфиденциальной связи, в составе которой планируется использование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ (типы каналов связи, скорость передачи информации, предполагаемое количество пользователей сети (системы) конфиденциальной связи, планируемая интенсивность информационного обмена, планирование размещения СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, и т.д.);

по ключам СКЗИ — количество ключей, используемых в СКЗИ, предполагаемый срок их действия, организация их смены, тип ключевого носителя и т.д.;

по системе изготовления (распределения) ключей — вид системы изготовления ключей (встроенная в СКЗИ или внешняя), требования по безопасности информации, которые должны обеспечиваться применяемой системой изготовления (распределения) ключей и т.п.;

по предполагаемому ходу выполнения работ — сведения по планируемому порядку и срокам проведения работ, включая проведение экспертных криптографических, инженерно-криптографических, специальных исследований СКЗИ и работ по выявлению в технических средствах, входящих в состав СКЗИ электронных устройств, предназначенных для негласного получения информации, разработку тактико-технических требований на ключевые документы (если предполагается изготовление ключевых документов внешней по отношению к СКЗИ системой изготовления) с указанием этапов ОКР, на которых должны быть проведены планируемые работы.

Кроме того, в ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) рекомендуется включать сведения:

о заказчике СКЗИ: для юридического лица — наименование юридического лица с указанием номера лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (при ее наличии) и срока ее действия, адрес юридического лица и телефон; для индивидуального предпринимателя — фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (при ее наличии), и срок ее действия, адрес индивидуального предпринимателя и телефон;

о предполагаемой области применения создаваемого (модернизируемого) образца СКЗИ: указывается система связи, в составе которой планируется использование создаваемого (модернизируемого) образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и т.д.). При модернизации СКЗИ также приводится полное наименование и индекс серийно выпускаемого или разрабатываемого образца СКЗИ;

о предполагаемом разработчике и изготовителе создаваемых (модернизируемых) образцов СКЗИ: приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе СКЗИ с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;

о предполагаемом разработчике и изготовителе ключевых документов (в случае внешней системы изготовления): приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе ключевых документов с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;

о планируемом объеме выпуска создаваемых (модернизируемых) образцов СКЗИ: указывается количество планируемых к выпуску создаваемых (модернизируемых) образцов СКЗИ;

о планируемом объеме выпуска ключевых документов: указывается планируемое среднегодовое количество изготавливаемых ключевых документов (в случае внешней системы изготовления) для создаваемых (модернизируемых) образцов СКЗИ;

о планируемой стоимости единичного создаваемого (модернизируемого) образца СКЗИ: приводятся данные о планируемой стоимости единичного образца СКЗИ при организации серийного выпуска;

о планируемой стоимости ключевых документов: приводятся данные о планируемой стоимости ключевых документов для создаваемого (модернизируемого) образца СКЗИ при организации их серийного выпуска;

о реализации создаваемых (модернизируемых) образцов СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять реализацию создаваемых (модернизируемых) образцов СКЗИ, с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;

о сервисном обслуживании СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять сервисное (техническое) обслуживание создаваемых (модернизируемых) образцов СКЗИ в процессе их использования, с указанием номеров лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;

о предложениях по сопряжению с государственными сетями (системами) конфиденциальной связи: приводятся в случае необходимости организации обмена защищаемой информацией с государственными органами и (или) организациями, выполняющими государственные заказы.

24. Требования к СКЗИ (цель криптографической защиты информации с описанием предполагаемой модели нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое (модернизируемое) СКЗИ, требования к аппаратным, программно-аппаратным и программным средствам сети (системы) конфиденциальной связи, совместно с которыми предполагается использование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ, требования к условиям размещения СКЗИ при их эксплуатации, требования к ключевой системе СКЗИ и т.д.) могут оформляться специальным техническим заданием (далее — СТЗ), которое является неотъемлемой частью общего ТТЗ (ТЗ) на проведение ОКР (составной части ОКР).

25. ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) или СТЗ заказчик СКЗИ направляет на рассмотрение в ФСБ России, которая в течение двух месяцев с момента получения документов обязана согласовать ТТЗ (ТЗ) или дать мотивированный отказ с указанием конкретного образца СКЗИ, рекомендуемого заказчику СКЗИ к использованию или модернизации.

Письменное согласование с ФСБ России ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) является основанием для проведения ОКР (составной части ОКР).

26. ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) или СТЗ, согласованное с ФСБ России, утверждается заказчиком СКЗИ. Один экземпляр утвержденного ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) или СТЗ представляется заказчиком СКЗИ в экспертную организацию.

27. При разработке СКЗИ рекомендуется использовать криптографические алгоритмы, утвержденные в качестве национальных стандартов или определенные перечнями, утверждаемыми в порядке, установленном постановлением Правительства Российской Федерации от 23 сентября 2002 года N 691 5 .

28. Выбор носителя ключевой информации должен производиться с учетом возможности его приобретения изготовителем ключевых документов в течение всего предполагаемого срока эксплуатации СКЗИ. Оценка эксплуатационных характеристик применяемого носителя осуществляется разработчиком СКЗИ.

В случае использования внешней системы изготовления ключей разработанные тактико-технические требования на ключевые документы направляются в экспертную организацию для проведения экспертизы и утверждения.

На основе утвержденных тактико-технических требований выполняются работы, необходимые для организации серийного выпуска ключевых документов (включая разработку или приобретение аппаратно-программных средств, обеспечение требований по безопасности информации, подготовку технической, конструкторско-технологической и эксплуатационной документации и т.п.). В рамках этих работ создаются опытные образцы (макеты) ключевых документов, используемые при испытаниях штатного функционирования СКЗИ.

ФСБ России проводит экспертизу результатов разработки внешней системы изготовления ключей и подготавливает заключение о соответствии изготавливаемых с ее использованием ключевых документов требованиям по безопасности информации.

Разработка ключевых документов может осуществляться путем задания и проведения отдельной ОКР.

29. Правила пользования создаваемым новым образцом СКЗИ или модернизируемым действующим образцом СКЗИ составляются разработчиком СКЗИ и согласовываются с ФСБ России. О согласовании с ФСБ России на последней странице правил пользования СКЗИ разработчик СКЗИ делает соответствующую запись.

30. При разработке СКЗИ создается рабочая конструкторская документация (далее — РКД) на СКЗИ и опытный образец (опытные образцы) СКЗИ, разработанный (разработанные) в соответствии с РКД на него (них).

31. Составной частью разработки СКЗИ является проведение криптографических, инженерно-криптографических и специальных исследований СКЗИ (далее — тематические исследования СКЗИ), целью которых является оценка достаточности мер противодействия возможным угрозам безопасности информации, определенным моделью нарушителя, изложенной в СТЗ или ТТЗ (ТЗ) на проведение ОКР (составной части ОКР).

32. Тематические исследования СКЗИ выполняются в процессе всего цикла создания, производства и эксплуатации СКЗИ организациями, имеющими право на осуществление отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (далее специализированные организации).

33. Экспертиза результатов тематических исследований СКЗИ осуществляется ФСБ России, по результатам которой определяется возможность допуска СКЗИ к эксплуатации.

34. Тематические исследования СКЗИ и экспертиза их результатов, являются отдельным этапом опытно-конструкторской работы, составляют ее неотъемлемую часть и не могут быть объединены с другими этапами выполнения ОКР.

35. Состав аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ, влияющих на выполнение заданных требований к СКЗИ, определяется разработчиком СКЗИ и согласовывается с заказчиком СКЗИ, специализированной организацией и ФСБ России.

Оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией.

36. Результаты тематических исследований и оценки влияния аппаратных, программно-аппаратных и програм-мных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, а также опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФСБ России для проведения экспертизы.

Аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, и опытные образцы СКЗИ для проведения тематических исследований и экспертизы передаются специализированной организации и ФСБ России на время выполнения указанных исследований.

Дальнейшее использование указанных опытных образцов СКЗИ и аппаратных, программно-аппаратных и программных средств определяется заказчиком СКЗИ.

37. РКД на СКЗИ передается в производство при наличии:

положительных результатов испытаний функционирования СКЗИ в штатных режимах;

положительных результатов экспертизы тематических исследований СКЗИ;

правил пользования СКЗИ, согласованных с ФСБ России.

III. Порядок производства СКЗИ

38. Принятие решения о производстве СКЗИ осуществляется после утверждения акта о завершении корректировки РКД на СКЗИ, доработки опытных образцов по результатам испытаний штатного функционирования СКЗИ и оценки их соответствия требованиям по безопасности информации.

39. Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.

40. СКЗИ изготавливаются в полном соответствии с конструкцией и технологией изготовления опытных образцов СКЗИ, прошедших испытания на функционирование опытного образца СКЗИ в штатных режимах и имеющих положительное заключение экспертизы тематических исследований СКЗИ.

41. Все изменения в конструкции СКЗИ и технологии их изготовления изготовитель СКЗИ должен согласовывать со специализированной организацией и ФСБ России. Согласование внесения изменений в конструкцию СКЗИ и технологию их изготовления осуществляется путем представления изготовителем СКЗИ в специализированную организацию и ФСБ России обоснованного перечня предполагаемых изменений и получения от них соответствующих положительных заключений.

42. Производство ключевых документов с использованием внешней системы изготовления осуществляется с использованием программно-аппаратных средств, созданных разработчиком ключевых документов, в соответствии с технической, конструкторско-технологической и эксплуатационной документацией при наличии положительного заключения ФСБ России о соответствии изготавливаемых с использованием данной системы ключевых документов заданным требованиям по безопасности информации.

IV. Порядок реализации (распространения) СКЗИ

43. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФСБ России.

44. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется юридическим лицом или индивидуальным предпринимателем, имеющим право на осуществление данного вида деятельности, связанного с шифровальными (криптографическими) средствами.

45. Приобретение РКД на СКЗИ (включая тиражирование программных СКЗИ) осуществляют юридические лица, являющиеся разработчиками и (или) изготовителями СКЗИ.

V. Порядок эксплуатации СКЗИ

46. СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.

В случае планирования размещения СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, технические средства, входящие в состав СКЗИ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.

47. СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям, конкретные сроки проведения которых определяются заказчиком СКЗИ по согласованию с разработчиком СКЗИ, специализированной организацией и ФСБ России.

48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.

Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.

Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.

Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.

49. Организация централизованного (количественного) поэкземплярного учета опытных образцов СКЗИ, а также изготовленных и используемых СКЗИ осуществляется ФСБ России.

50. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, а также условий производства ключевых документов, осуществляется в соответствии с требованиями Федерального закона от 8 августа 2001 года N 134-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» 6 .

51. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:

обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;

собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;

ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.

Контроль за соблюдением условий производства ключевых документов, указанных в технической, конструкторско-технологической и эксплуатационной документации к внешней системе изготовления ключей, осуществляется изготовителем ключевых документов, а также ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.

52. С целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера, обладатель, пользователь (потребитель) данной информации, установивший режим ее защиты с применением СКЗИ, а также собственник (владелец) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ.

1 Собрание законодательства Российской Федерации, 1995 г., N 15, ст. 1269; 2000, N 1, ст. 9; N 46, ст. 4537; 2002, N 19, ст. 1794; N 30, ст. 3033; 2003, N2, ст. 156; «Российская газета» от 1 июля 2003 года N 126 (3240).

2 «Российская газета», 2003 г., N 161 (3275).

3 Постановление Правительства Российской Федерации от 23 сентября 2002 года N 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» (Собрание законодательства Российской Федерации, 2002 г., N 39, ст. 3792).

4 Собрание законодательства Российской Федерации, 2002, N 52 (часть 1), ст. 5140.

5 Собрание законодательства Российской Федерации, 2002, N 39, ст. 3792.

6 Собрание законодательства Российской Федерации, 2001, N 33 (часть 1), ст.3436; 2002, N 44, ст. 4297; 2003, N 40, ст. 3820.

Законодательная база Российской Федерации

Бесплатная консультация
Навигация
Федеральное законодательство

Действия

  • Главная
  • ПРИКАЗ МВД РФ от 30.09.99 N 750 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ДЕНЕЖНОМ ДОВОЛЬСТВИИ СОТРУДНИКОВ ОРГАНОВ ВНУТРЕННИХ ДЕЛ»
  • Наименование документ ПРИКАЗ МВД РФ от 30.09.99 N 750 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ДЕНЕЖНОМ ДОВОЛЬСТВИИ СОТРУДНИКОВ ОРГАНОВ ВНУТРЕННИХ ДЕЛ»
    Вид документа приказ, положение
    Принявший орган мвд рф
    Номер документа 750
    Дата принятия 01.01.1970
    Дата редакции 30.09.1999
    Номер регистрации в Минюсте 2037
    Дата регистрации в Минюсте 31.12.1999
    Статус отменен/утратил силу
    Публикация
    • «Бюллетень нормативных актов федеральных органов исполнительной власти», N 3, 17.01.2000,
    • «Российская газета», N 100, 25.05.2000 (Приказ)
    Навигатор Примечания

    XIX. Надбавка за шифровальную работу

    89. Выплата надбавки за работу с шифрами производится сотрудникам, назначенным на штатные должности сотрудников шифровальной службы, либо осуществляющим в структурных подразделениях органов внутренних дел работу с шифрами, либо привлекаемым для этой работы по решению начальников органов внутренних дел на основании утвержденных этими начальниками перечней должностей сотрудников шифровальной службы, а также руководящему, преподавательскому и учебно — вспомогательному составу курсов подготовки, переподготовки и повышения квалификации работников шифровальных служб, занятому на работе с шифрами .

    90. Шифрработникам выплачивается ежемесячная надбавка (в процентах) к должностному окладу при общем стаже шифровальной работы в следующих размерах:

    в сетях шифрованной связи
    1-го класса 2-го класса
    до 3 лет 15 5
    от 3 до 6 лет 20 10
    от 6 лет и выше 30 20

    91. В общий стаж шифровальной работы, дающий право на получение надбавки, включается время работы с шифрами в шифровальной службе органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, учреждений и организаций независимо от их организационно — правовой формы.

    92. Выплата ежемесячной надбавки за шифровальную работу производится сверх установленных в соответствии с законодательством Российской Федерации других надбавок и доплат на основании приказа начальника органа внутренних дел или образовательного учреждения (подразделения) с приложением списка шифрработников, имеющих необходимый стаж шифровальной работы и право на получение этой надбавки.

    93. Выплата надбавки, указанной в пункте 90 настоящего Положения, производится к должностным окладам лиц, указанных в пункте 89 настоящего Положения, без учета повышений должностных окладов за службу в районах Крайнего Севера, местностях, приравненных к районам Крайнего Севера, а также повышения оклада по иным причинам.

    94. Выплата надбавки за работу с шифрами сохраняется в период нахождения штатных шифрработников в отпусках (кроме отпуска по уходу за ребенком), служебных командировках, на сборах и курсах подготовки, переподготовки и повышения квалификации шифрработников, на излечении амбулаторно или в лечебном учреждении с учетом пунктов 71 и 72 настоящего Положения. Ее выплата прекращается со дня, следующего за днем освобождения от должности или освобождения от работы с шифрами.

    Канистра бензина на защите тайн. Что обещал Гитлер за секретные коды СССР?

    Умение хранить государственные и военные секреты ценилось во все времена. Но не всегда удавалось утаить их от противника. Первое упоминание о «тайнописчиках» имеет отношение к созданному в России в 1549 году Посольскому приказу. На службе в этом приказе состояли и разработчики шифров, называвшихся «азбука», «цифирь» и «цифра». Впрочем, в те стародавние времена дипломаты пользовались довольно бесхитростными способами шифрования. Так, например, русский посол в Грузии просто разбивал текст на слоги и переставлял буквы в каждом слоге.

    Первым дошедшим до наших дней русским шифром считается введенный в действие в 1633 году шифр патриарха Филарета. А первые официальные распоряжения о необходимости специальных мер по защите государственной тайны приводятся в указах Петра I «О содержании в коллегиях и канцеляриях дел в тайне», «О делах тайности подлежащих» и др. За разглашение или утерю важных сведений полагалось суровое наказание. Свод законов Российской империи, изданный к началу 1840-х годов, запрещал должностным лицам разглашать государственные тайны под страхом смертной казни или каторги.

    Утонувшая папка

    Однако к началу ХХ века Россия пришла с довольно слабым криптографическим багажом. Кодирование секретных сообщений происходило с помощью шифра простой замены (одного символа на другой), без какого-либо усложнения. Впрочем, простейшими шифрами пользовались в то время и в Западной Европе, Японии, США. Уже осенью 1914 года часть русских военных шифров была расшифрована австрийцами. В 1916 году в русской армии ввели новый тип шифра со множеством шифровальных групп, но и это не помогло обеспечить полную секретность. По сравнению с армией флотские специалисты добились куда больших успехов. На поврежденном в Балтийском море германском крейсере «Магдебург» нашли папку кодов, а вторую, выброшенную немцами, достали со дна водолазы. Для перехвата германских радиосообщений в Балтийском море и в Севастополе построили специальные подслушивающие станции. Несколько раз немцы и пользующиеся немецкими шифрами турки меняли коды, но все они были разгаданы русскими дешифровщиками.

    5 мая — День шифровальщика в России.

    На фото: советская шифровальная машинка Фиалка М-125 pic.twitter.com/AbgJWAvl7R

    — Популярная механика (@PopMechanica) 5 мая 2020 г.

    После революции защитой государственных и военных тайн озаботились уже большевики. В шифровальном отделении, организованном приказом Реввоенсовета в ноябре 1918 года, работало поначалу всего 14 человек. Уровень защиты ценнейшей информации молодой советской республики оказался в те времена весьма посредственным. Нередко для экономии времени шифровались только отдельные участки секретных сообщений, а остальная их часть передавалась открытым текстом. Плюс советские шифры повторяли старые ошибки: все они представляли собой простейшие замены слов на цифровые группы. Осенью 1919 года польские дешифровальщики смогли взломать шифры РККА и до конца 1920 года перехватили несколько тысяч радиограмм, подписанных Троцким, Тухачевским, Якиром и другими. На основе этих сообщений командование польской армии смогло принять верные стратегические решения и одержать победу в Варшавском сражении и во всей польско-советской войне.

    Немалый урон наносили и случаи прямого предательства со стороны шифровальщиков Красной армии. Так, в 1919 году в руки противника попало более 20 шифров, в 1920 — около 30. Специалисты армии Врангеля буквально через час после перехвата читали все телеграммы красного комфронта Фрунзе. Советские дипломатические шифры также успешно взламывались почти всеми дешифровальными отделами европейских стран.

    «Русский код» оказался не по зубам

    Ситуация начала меняться только в 1920 году, когда в Политбюро ЦК РКП(б) обсудили меры по повышению уровня защиты секретных сообщений. В апреле следующего года был создан центральный шифровальный отдел штаба РККА, а 5 мая 1921 года декретом Совнаркома был учрежден спецотдел ВЧК, занимающийся «наблюдением за всеми государственными учреждениями, партийными и общественными организациями по сохранению государственной тайны». Впоследствии сотрудники спецотдела смогли дешифровать телеграммы иностранных шпионов, работавших в советской России под прикрытием, раскрыть немецкий дипломатический код, взломать шифры разведотдела польского Генштаба. В 1927 году наши умельцы начали читать японскую шифропереписку, а в 1930 — американскую.

    Что касается разработки своих собственных шифров, то еще в 1924 году на основе 52 различных шифров был создан «русский код», расшифровать который не смогла ни одна спецслужба мира. В середине 1930-х в СССР стали создавать шифровальные машины, которые могли обеспечить гарантированную стойкость применяемых шифров. Во время Великой Отечественной войны дешифровальщики противника не смогли прочесть ни одной перехваченной советской криптограммы, обработанной машинными шифрами. Такая система шифрования могла быть уязвима только в одном случае: при наличии самой техники и ключей к ней. Недаром по инструкции советских шифровальщиков обеспечивали надежной охраной, но, помимо этого, они обычно ставили перед собой канистру с бензином и держали под рукой несколько гранат, чтобы при приближении врага уничтожить документы, технику и себя.

    Приказ Гитлера по вермахту от августа 1942 года, который так и не был выполнен, гласил: «. кто возьмет в плен русского шифровальщика либо захватит русскую шифровальную технику, будет награжден Железным крестом, отпуском на родину и обеспечен работой в Берлине, а после окончания войны — поместьем в Крыму». В военные годы на машинную шифросвязь легла огромная нагрузка по передаче секретных телеграмм. В штабах армии ежедневно получали до 60 телеграмм, в штабах фронтов нормальной считалась нагрузка до 400 телеграмм в день.

    С 1970-х годов криптография стала компьютерной, что обеспечило большую скорость шифрования и максимально высокую устойчивость к взлому.

    О принципах разработки и модернизации шифровальных средств

    О принципах разработки и модернизации шифровальных средств

    В связи с этим в отечественной и зарубежной практике к настоящему моменту разработан ряд методических документов, касающихся требований к разработке, характеристикам и эксплуатации средств криптографической защиты информации. В качестве примеров можно привести опубликованный в 2001 г. стандарт США FIPS 140-2 «Security requirements for cryptographic modules», а также стандарт ИСО/МЭК 19790 с аналогичным названием, последняя редакция которого датируется 2006 г.

    В Российской Федерации разработка, эксплуатация, функциональные требования, требования по применению и требования по безопасности шифровальных (криптографических) средств защиты информации регулируются различными нормативными и нормативно-методическими документами, среди которых можно выделить следующие основные:

  • Федеральный закон Российской Федерации от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
  • постановление Правительства Российской Федерации от 16.04.2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…»;
  • приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
  • приказ ФСБ России от 27.12.2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»;
  • приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…».
  • В соответствии с п. 7 Положения ПКЗ-2005 одним из важнейших вопросов, стоящих перед заказчиком, определившимся в необходимости криптографической защиты информации, является выбор планируемых к применению средств криптографической защиты информации (СКЗИ). Перечень сертифицированных средств защиты информации, в том числе СКЗИ, актуализируется и публикуется на сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России – www.clsz.fsb.ru. Информация, приведенная в указанном перечне, включает регистрационный номер сертификата соответствия, срок действия сертификата соответствия, условное наименование (индекс) средства, выполняемые им функции с указанием класса защищенности, а также наименование организации – изготовителя средства. Однако зачастую заказчику затруднительно корректно определить набор криптографических функций, которые должны быть реализованы в создаваемом/модернизируемом СКЗИ, а также определить класс защищенности создаваемого/модернизируемого СКЗИ.

    Рекомендации

    С целью устранения данного пробела техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) в 2016 г. был подготовлен проект рекомендаций по стандартизации «Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации»1, в которых систематизирована информация по криптографической и инженерно-криптографической безопасности СКЗИ, необходимая для взаимодействия заказчика и разработчика при их общении:

  • между собой;
  • со специализированными организациями, проводящими тематические исследования СКЗИ;
  • с ФСБ России, осуществляющей экспертизу результатов тематических исследований СКЗИ.

Рассматриваемые Рекомендации, подготовленные на основе опыта организаций – членов ТК 26 по разработке СКЗИ и взаимодействию с заказчиками, в некотором смысле дополняют указанные выше нормативные и нормативно-методические документы в области криптографической защиты информации в части:

  • терминологии в области информационных технологий и информационной безопасности с точки зрения криптографии;
  • совокупности возможностей, которые могут быть использованы нарушителем при создании способов, подготовке и проведения атак на СКЗИ;
  • существенного расширения перечня принципов построения СКЗИ и применения в них криптографических и инженерно-криптографических механизмов защиты.
  • Весь набор принципов разделяется на два больших класса – принципы применения криптографических механизмов защиты и принципы применения инженерно-криптографических механизмов защиты.

    Общие принципы построения СКЗИ сохраняют методологию определения СКЗИ через их функции, заданные Положением ПКЗ-2005, и разделяют их на:

  • средства шифрования;
  • средства имитозащиты;
  • средства электронной подписи;
  • средства кодирования;
  • средства изготовления ключевых документов;
  • ключевые документы.
  • Заметим, что действующие в настоящее время Требования к средствам электронной подписи (приказ ФСБ России № 796) определяют юридические требования и требования по безопасности информации. Данный юридически-криптографический дуализм свойственен исключительно одному типу шифровальных средств – средствам электронной подписи – и в совокупности обеспечивает возможность признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью.

    Рекомендации содержат определения более 50 терминов. При этом часть определений заимствована из существующих нормативных документов, национальных стандартов и рекомендаций по стандартизации в области информационных технологий и защиты информации, а также из «Словаря криптографических терминов», разработанного под редакцией Б.А. Погорелова и В.Н. Сачкова. В силу специфики предметной области некоторые определения не имеют аналогов в существующих методических и нормативных документах и введены впервые.

    Рекомендации следует рассматривать как методический документ, который в первую очередь ориентирован на реализацию криптографических функций и определяет некоторые дополнительные принципы применения механизмов защиты.

    В Рекомендациях определяется, что СКЗИ, согласно принятому в существующих нормативных документах подходу, подразделяются на пять классов: КС1, КС2, КС3, КВ и КА, упорядоченных в порядке усиления требований к реализуемым криптографическим и инженерно-криптографическим механизмам защиты.

    В Рекомендациях определены наиболее важные принципы применения криптографических механизмов, реализуемых, разрабатываемых или модернизируемых СКЗИ. Одним из таких принципов является необходимость использования криптографических механизмов, утвержденных в качестве национальных стандартов Российской Федерации, или рекомендаций по стандартизации Росстандарта, которые разрабатываются ТК 26. В Рекомендациях также сформулированы основные принципы применения датчиков случайных чисел, которые подразделяются на физические, биологические и программные. В Рекомендациях отдельно оговариваются принципы выработки и использования ключевой информации в СКЗИ, в том числе определяющих возможность выработки ключевой информации с использованием протоколов выработки общего ключа при условии обязательности аутентификации хотя бы одного субъекта, участвующего в протоколе выработки общего ключа (односторонней аутентификации).

    Отдельный раздел Рекомендаций посвящен вопросам применения инженерно-криптографических механизмов защиты, включающих в себя:

  • защиту от опасных событий, возникающих вследствие неисправностей или сбоев аппаратных средств СКЗИ, а также непреднамеренных действий пользователей. В качестве таких механизмов в Рекомендациях предлагаются механизмы диагностического контроля работы СКЗИ, контроля целостности СКЗИ и ключевой информации, регистрации событий, а также блокирования работы СКЗИ;
  • базовые положения о разработке программного обеспечения СКЗИ и принципы взаимодействия его со средой функционирования. Для СКЗИ классов КВ и КА определяется необходимость полной фиксации среды функционирования СКЗИ, а также обоснование в ходе тематических исследований СКЗИ мер по нейтрализации атак, использующих недокументированные возможности программного обеспечения среды функционирования.
  • В приложении к Рекомендациям приводится базовая совокупность возможностей, которые могут быть использованы при создании способов, подготовке и проведении атак. Исходя из предлагаемой базовой совокупности, условий эксплуатации СКЗИ и ценности обрабатываемой информации, заказчик может определить: сведения (табл. 1), средства, которые могут быть использованы при проведении атак (табл. 2), а также места проведения атак (табл. 3).

    По результатам анализа данной совокупности заказчик способен осуществить выбор класса защищенности создаваемых/модернизируемых СКЗИ.

    Рассматривая разработанные Рекомендации более детально и проведя их сравнительный анализ с существующими нормативно-методическими документами в области криптографии, можно сделать вывод о том, что:

  • некоторые положения Рекомендаций и требований приказа ФСБ России № 796 практически дословно совпадают. Например, п. 24 Требований, утвержденных приказом ФСБ России № 796 определяет случаи, в которых аппаратные средства иностранного производства, входящие в состав средств электронной подписи, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации. Аналогичные принципы в отношении СКЗИ определены в п. 6.3 Рекомендаций. П. 28 Требований, утвержденных приказом ФСБ России № 796 определяет требования к механизмам аутентификации, входящим в состав средства электронной подписи, а пп. 5.5.7 и 5.5.8 Рекомендаций определяют аналогичные принципы;
  • в приказе ФСБ России № 796 можно найти определенные криптографические требования, специфичные только для средств электронной подписи. Например, п. 36 определяет требования к сроку действия ключа проверки электронной подписи, который не должен превышать 15 лет. Положения этого пункта являются в некотором смысле уникальными и применимы только к средствам криптографической защиты информации, являющимся средствами электронной подписи. Рекомендации же охватывают более широкий класс СКЗИ – средства шифрования, средства имитозащиты и т.д.;
  • часть способов применения механизмов защиты, определяемых Рекомендациями, при сравнении с соответствующими положениями приказа ФСБ России № 796 значительно расширена, в первую очередь в части криптографических принципов: применения датчиков случайных чисел (п. 5.2), выработки и использования ключевой информации (пп. 5.3 и 5.4 соответственно), то есть тех функционально важных с криптографической точки зрения механизмов, которые используются практически во всех средствах криптографической защиты информации;
  • значительная часть требований, утвержденных приказом ФСБ России № 378, ни в каком виде не интегрирована в Рекомендации. Следует заметить, что данный приказ в значительной степени определяет набор требований по безопасности в части организационных мер защиты информации. Рекомендации ТК 26 в первую очередь определяют перечень способов применения криптографических и инженерно-криптографических механизмов защиты информации.
  • Необходимо отметить, что в состав Рекомендаций вошел ряд положений, которые являются, нововведением, например определены принципы разработки документации для СКЗИ, содержащей:

    • формуляр на СКЗИ;
    • технические условия на СКЗИ;
    • правила пользования СКЗИ.
    • Так, например, в правилах пользования СКЗИ в том числе должны быть определены инструкции по встраиванию СКЗИ в информационные системы, инструкции по восстановлению работы СКЗИ в случае нарушения их целостности, а также инструкции по контролю технических характеристик СКЗИ при эксплуатации и хранении. Положения, определяемые документацией на СКЗИ, не зависят от класса СКЗИ и необходимы, в первую очередь, для адекватного выполнения организационно-технических мер защиты при вводе в действие СКЗИ и их эксплуатации. Основным механизмом контроля полноты и корректности сведений, указанных в документации на СКЗИ, являются результаты тематических исследований СКЗИ.

По admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *