Обзор законодательства Украины: Криптография

Обзор законодательства Украины в сфере информационной безопасности. Часть 7: Криптография

В Украине государственным органом, который отвечает за формирование и реализацию государственной политики в сфере криптографической защиты информации является Государственная служба специальной связи и защиты информации Украины.

Оглавление (показать/скрыть): Часть 1: Общий обзор законодательства Украины в сфере информационной безопасности
Часть 2: Стратегия национальной безопасности Украины
Часть 3: Персональные данные
Часть 4: Государственная тайна
Часть 5: Коммерческая тайна
Часть 6: Иные виды тайн
Часть 7: Криптография
Часть 8: Сертификация криптографии
Часть 9: Стандарты криптографической защиты
Часть 10: Техническая защита информации
Часть 11: Прослушка
Часть 12: Борьба с киберпреступностью

Согласно Закону Украины «О Государственной службе специальной связи и защиты информации Украины» № 3475-IV на ведомство в соответствии с определенными задачами возлагаются следующие обязанности в сфере криптографической защиты информации:

формирование и реализацию государственной политики в сфере криптографической защиты информации;
осуществления полномочия органа лицензирования в сфере криптографической защиты информации;
установление порядка создания и допуска к эксплуатации, допуск к эксплуатации средств криптографической защиты служебной информации, определение криптографических алгоритмов для применения в средствах криптографической защиты информации;
обеспечение развития в сфере криптографической защиты информации;
обеспечение нормативно-правового регулирования в сфере криптографической защиты информации;
техническое регулирование в сфере криптографической защиты информации;
методическое руководство и координация деятельности государственных органов, органов местного самоуправления, воинских формирований, образованных в соответствии с законами Украины, предприятий, учреждений и организаций независимо от форм собственности в сфере криптографической защиты информации;
установление порядка осуществления государственного контроля и осуществление государственного контроля за состоянием криптографической защиты государственных информационных ресурсов и соблюдением требований безопасности при разработке, производстве, использовании, эксплуатации, сертификационных испытаний, проведении тематических исследований, экспертизы, вывоза и уничтожения криптографических систем и средств криптографической защиты информации;
установление порядка организации и проведения государственной экспертизы в сфере криптографической защиты информации, проведение государственной экспертизы и экспертных исследований в области криптографической защиты информации, определение криптографических алгоритмов как рекомендованных, допуска к эксплуатации средств криптографической защиты информации, предоставление и/или регистрация экспертных заключений по результатам государственной экспертизы в сфере криптографической защиты информации, свидетельств о допуске к эксплуатации средств криптографической защиты информации;
установление порядка предоставления выводов и согласований, предоставление заключений и согласований международных передач криптосистем, средств криптографической защиты информации, в том числе тех, которые являются составными частями вооружения, военной и специальной техники;
организация и координация работ по проведению сертификации средств криптографической защиты информации вместе с центральным органом исполнительной власти по вопросам технического регулирования;
разработка, изготовление и поставка в порядке, установленном центральным органом исполнительной власти, который обеспечивает формирование и реализацию государственной политики в сферах организации специальной связи, защиты информации, телекоммуникаций и пользования радиочастотным ресурсом Украины, ключевых документов к средствам криптографической защиты информации, содержащей государственную тайну, служебную информацию и публичной информации с ограниченным доступом;
организация и обеспечение службы по охране объектов, помещений, систем, сетей, комплексов, средств правительственной и специальной связи, ключевых документов к средствам криптографической защиты информации;
осуществление совместно с центральным органом исполнительной власти в области образования и науки научно-методического управления подготовкой специалистов в сфере криптографической защиты информации.

Основным нормативно-правовым документом регулирующим деятельность криптографической защиты информации в Украине является Указ Президента Украины «О Положении о порядке осуществления криптографической защиты информации в Украине» от 22 мая 1998 года № 505.

Данное Положение определяет порядок осуществления криптографической защиты информации с ограниченным доступом, разглашение которой наносит (может нанести) ущерб государству, обществу или лицу.

Основные понятия

криптографическая защита — вид защиты, который реализуется при помощи преобразований информации с использованием специальных данных (ключевых данных) с целью сокрытия (или восстановления) содержания информации, подтверждения ее подлинности, целостности, авторства;

средство криптографической защиты информации — программное, аппаратно-программное, аппаратное или другое средство, предназначенное для криптографической защиты информации;

криптографическая система (криптосистема) — совокупность средств криптографической защиты информации, необходимой ключевой, нормативной, эксплуатационной, а также другой документации (в том числе такой, что определяет меры безопасности), использование которых обеспечивает надлежащий уровень защищенности информации, которая обрабатывается, хранится и (или) передается;

система криптографической защиты информации — совокупность органов, подразделений, групп, деятельность которых направлена на обеспечения криптографической защиты информации, и предприятий, учреждений и организаций, разрабатывающих, производящих, эксплуатирующих и (или) распространяющих криптосистемы и средства криптографической защиты информации.

Государственные органы, предприятия, учреждения и организации приобретают, вывозят из Украины, используют криптосистемы и средства криптографической защиты информации по согласованию с Администрацией Государственной службы специальной связи и защиты информации Украины.

Для криптографической защиты информации, составляющей государственную тайну, и служебной информации, созданной на заказ государственных органов или которая является собственностью государства, используются криптосистемы и средства криптографической защиты, допущены к эксплуатации Госспецсвязью (положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации). Такие криптосистемы и средства находятся исключительно в государственной собственности.

Однако средства криптографической защиты служебной информации и криптосистемы с соответствующего разрешения могут находиться и в негосударственной собственности.

Относительно криптосистем и средств криптографической защиты конфиденциальной информации установлено только требование наличия сертификата соответствия.

Деятельность, связанную с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств криптографической защиты информации, а также с предоставлением услуг по криптографической защиты информации, могут осуществлять субъекты предпринимательской деятельности, зарегистрированные в порядке, установленном законодательством.

К пользованию криптосистемами и средствами криптографической защиты секретной информации допускаются лица, которые в установленном законодательством Украины порядке получили допуск к государственной тайне.

Приказом Администрации Госспецсвязи от 20 июля 2007 года № 141 утверждено Положение о порядке разработке, производстве и эксплуатации средств криптографической защиты информации.

В процессе разработки, производства и эксплуатации средств криптографической защиты участвуют и взаимодействуют между собой:

заказчики;
разработчики;
производители;
организации, эксплуатирующие средства криптографической защиты;
организации, производящие сертификационные испытания (экспертные работы);
поставщики ключевых документов (организация или подразделение, которые определяются Администрацией Госспецсвязи для осуществления поставки ключевых документов к средствам криптографической защиты информации;
Администрация Госспецсвязи.

Администрация Госспецсвязи обеспечивает конфиденциальность информации и соблюдение авторских прав по предоставленным ей материалам.

Для криптографической защиты государственных информационных ресурсов или информации, требование относительно защиты, которой установлено законом, используются средства криптографической защиты, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации, а субъекты, которые их используют, имеют на это права.

Читать далее: Часть 8: Сертификация криптографии