Для КЗІ, що становить державну таємницю, та службової інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до експлуатації.
Зазначені криптосистеми і засоби перебувають у державній власності.
Засоби криптографічного захисту службової інформації та криптосистеми з відповідного дозволу можуть перебувати і в недержавній власності (п. 7).
Порядок розроблення, виготовлення, розповсюдження, експлуатації, збереження, використання, випробування, сертифікації та допуску до експлуатації криптосистем і засобів криптографічного захисту інформації, контролю за додержанням вимог безпеки при проведенні цих робіт визначається відповідними положеннями.
Діяльність, пов’язана зі створенням і експлуатацією систем криптографічного захисту секретної інформації, забезпеченням безпеки інформації, що циркулює в цих системах, регламентується Інструкцією (п. 9 цього Положення).
Діяльність, пов’язану з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із КЗІ, можуть здійснювати суб’єкти підприємницької діяльності, зареєстровані в порядку, встановленому законодавством (п. 11). До користування криптосистемами та засобами криптографічного захисту секретної інформації допускаються особи, які у встановленому законодавством України порядку одержали допуск до державної таємниці (п. 12).
Суб’єкт господарювання, який має намір провадити господарську діяльність у галузі КЗІ та відповідає цим Ліцензійним умовам, подає до Департаменту заяву про видачу ліцензії за встановленою формою.
У разі забезпечення суб’єктом господарювання криптографічного захисту інформації клієнтів (юридичних або фізичних осіб) шляхом надання послуг з шифрування, дія цих Ліцензійних умов поширюється на суб’єкт господарювання, який організовує використання, експлуатацію засобів КЗІ, та встановлює відповідний режим безпеки і порядок доступу до засобів захисту інформації. Клієнти, які отримують послуги з шифрування, ліцензію на право здійснення діяльності в галузі КЗІ не одержують (п. 3.1 Ліцензійних умов).
Порядок проведення розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі КЗІ визначається окремими нормативно-правовими актами та є обов’язковим до виконання всіма суб’єктами господарювання (п. 3.2).
Вимоги для провадження господарськоїдіяльності у галузі КЗІ.
1. Кваліфікаційні вимоги.
- Суб’єкт господарювання має бути укомплектований штатними спеціалістами, які відповідають заявленому виду діяльності та обсягу робіт (за кількістю, освітою, професійною підготовкою, кваліфікацією, досвідом роботи).
- Спеціалісти повинні забезпечувати:
Проведення повного циклу розроблення криптосистем і засобів КЗІ, що може включати або бути пов’язаний з прикладними науковими дослідженнями, вибором напрямків та проведенням теоретичних (експериментальних) досліджень (фундаментальних наукових досліджень), ескізним (технічним) проектуванням і макетуванням, проектно-пошуковими роботами та технологічним проектуванням, створенням і виготовленням конструкторської документації (п. 5.1).
2. Організаційні вимоги.
Для провадження господарської діяльності у галузі КЗІ:
2.1 Суб’єкт господарювання повинен мати затверджені керівником документи, у яких визначені:
- підрозділ (підрозділи) або група співробітників, які безпосередньо організовуватимуть та забезпечуватимуть проведення робіт у галузі КЗІ, його структура (склад) та завдання;
- інструкції щодо порядку проведення робіт у галузі КЗІ;
- функціональні обов’язки та кваліфікаційні вимоги до спеціалістів, які залучаються до виконання робіт у галузі КЗІ;
- відповідальність спеціалістів, які забезпечуватимуть проведення робіт у галузі КЗІ, за забезпечення збереження інформації з обмеженим доступом при виконанні робіт (п. 5.2.1).
2.2 Суб’єкт господарювання повинен мати визначений у документальному вигляді перелік відомостей, які відносяться до інформації з обмеженим доступом (п. 5.2.2).
3. Технологічні та інші вимоги.
Суб’єкт господарювання повинен мати власні (або такі, що використовуються на інших законних підставах) приміщення, виробничі потужності (зокрема, дослідне виробництво, випробувальну базу, обладнані робочі місця для збирання та налагодження макетів розроблених криптосистем і засобів КЗІ, налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури, інформаційно-обчислювальні комплекси, оснащені сучасними апаратними та програмними засобами, перевірені згідно з діючими нормативними вимогами технічні засоби вимірювання і контролю, інструмент, оснащене виробництво, ліцензійне програмне забезпечення), потрібні для провадження господарської діяльності у галузі КЗІ.
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, суб’єкт господарювання повинен мати спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації приміщення та (або) об’єкти електронно-обчислювальної техніки (п. 5.3).
4. Особливі вимоги провадження господарської діяльності у галузі КЗІ.
Залежно від важливості інформації для особистості, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у галузі КЗІ, які відображаються у ліцензії, що видається суб’єкту господарювання:
- з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю;
- з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є державною власністю;
- з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, суб’єкти господарювання повинні забезпечити встановлений режим секретності, а також мати матеріали, які відповідно до завдань, програм та замовлень державних органів підтверджують залучення заявника до їх виконання. Провадження цих робіт дозволяється лише в межах терміну дії дозволу на здійснення діяльності, пов’язаної з державною таємницею (п. 6).
Суб’єкти господарювання, які здійснюють господарську діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави, в разі використання бойових кодів, паролів доступу, шифрів для засобів криптографічного захисту інформації повинні забезпечити режим безпеки (секретності) відповідно до вимог нормативно-правових актів Департаменту (п. 7 Інструкції).
Суб’єкти господарювання, які здійснюють розроблення, виробництво, сертифікаційні випробування (експертні роботи) та експлуатацію засобів КЗІ, повинні мати відповідні ліцензії Департаменту на розроблення, виробництво, сертифікаційні випробування, експертизу та експлуатацію криптосистем та засобів КЗІ, крім випадків, передбачених законодавством України (п. 1.7 Наказу).
Розроблення засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів і національних стандартів у сфері КЗІ, а також нормативних документів з питань розроблення та поставлення продукції на виробництво.
Розроблення засобів КЗІ здійснюється шляхом поставлення та виконання відповідних науково-дослідних робіт (далі — НДР) з розробки нових принципів побудови і функціонування засобів КЗІ та дослідно-конструкторських робіт (далі — ДКР) зі створення нових або модернізації існуючих зразків засобів КЗІ.
НДР з розробки нових принципів побудови і функціонування засобів КЗІ виконуються згідно з технічним завданням (далі — ТЗ), яке погоджується виконавцем НДР.
Погоджене виконавцем ТЗ на НДР надсилається на погодження до Департаменту, який протягом одного місяця його погоджує або надає мотивовану відмову. Після затвердження ТЗ замовником один його примірник надсилається до Департаменту.
За результатами НДР готується ТЗ на ДКР з розробки нового або модернізації існуючого зразка засобу КЗІ з підготовкою, за необхідності, техніко-економічного обґрунтування ДКР.
У ТЗ на ДКР з розробки нового типу або модернізації існуючого зразка засобу КЗІ включаються:
- відомості про замовника та виконавця ДКР, а також про випробувальну лабораторію (експертний заклад), яка провадитиме сертифікаційні випробування (експертні роботи) засобу КЗІ;
- відомості про тип і клас засобу та відомості про його застосування (у тому числі типова схема організації зв’язку із зазначенням способу застосування засобу КЗІ, максимальна кількість абонентів у мережі, вид інформації, що підлягає обробці, швидкість обробки, необхідний рівень захисту інформації, тип виконання і конструктивні особливості реалізації виробу);
- вимоги до криптоалгоритму та його реалізації (у тому числі вимоги щодо завадостійкості і криптостійкості алгоритму, вимоги до імітозахисту повідомлень, порядок моделювання і верифікації моделей, порядок реалізації і тестування програмного забезпечення засобу);
- вимоги до ключової системи та її організації (у тому числі вид та кількість ключів, періодичність їх зміни, вимоги до носіїв ключової інформації);
- вимоги до управління ключовими даними (у тому числі їх генерації) та дещо інше.
Засоби КЗІ розробляються з урахуванням можливих загроз з боку середовища, у якому передбачається їх застосування.