• Посилання скопійовано
Документ підготовлено в системі iplex

Про затвердження Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації

Адміністрація Державної служби спеціального звязку та захисту інформації України | Наказ, Перелік, Інструкція від 12.06.2007 № 114
Реквізити
  • Видавник: Адміністрація Державної служби спеціального звязку та захисту інформації України
  • Тип: Наказ, Перелік, Інструкція
  • Дата: 12.06.2007
  • Номер: 114
  • Статус: Документ діє
  • Посилання скопійовано
Реквізити
  • Видавник: Адміністрація Державної служби спеціального звязку та захисту інформації України
  • Тип: Наказ, Перелік, Інструкція
  • Дата: 12.06.2007
  • Номер: 114
  • Статус: Документ діє
Документ підготовлено в системі iplex
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
Н А К А З
12.06.2007 N 114
Зареєстровано в Міністерстві
юстиції України
25 червня 2007 р.
за N 729/13996
Про затвердження Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації
( Із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації N 90 від 02.03.2012 N 275 від 20.05.2013 N 129 від 04.03.2020 )
Відповідно до Законів України "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про електронний цифровий підпис", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868,
НАКАЗУЮ:
1. Затвердити Інструкцію про порядок постачання і використання ключів до засобів криптографічного захисту інформації, що додається.
2. Начальнику Департаменту регулювання діяльності у сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.
Голова Служби
ПОГОДЖЕНО: 
 
В.о. Голови Державного комітету
України з питань регуляторної
політики та підприємництва
Заступник Голови Державного
комітету України з питань технічного
регулювання та споживчої політики 
Ю.Б.Чеботаренко




К.Ващенко


С.Т.Черепков
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
12.06.2007 N 114
Зареєстровано в Міністерстві
юстиції України
25 червня 2007 р.
за N 729/13996
ІНСТРУКЦІЯ
про порядок постачання і використання ключів до засобів криптографічного захисту інформації
( У тексті Інструкції слова "конфіденційної інформації, що є власністю держави" замінено словами "службової інформації" згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 90 від 02.03.2012 )( За текстом абревіатуру та цифри "ГОСТ 28147-89" замінено абревіатурою та цифрами "ДСТУ ГОСТ 28147:2009" згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 129 від 04.03.2020 )
1. Загальні положення
1.1. Інструкція про порядок постачання і використання ключів до засобів криптографічного захисту інформації (далі - Інструкція) розроблена відповідно до Законів України "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про електронні довірчі послуги", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717.
( Пункт 1.1 глави 1 із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації N 275 від 20.05.2013, N 129 від 04.03.2020 )
1.2. Інструкція встановлює порядок постачання та використання ключів до засобів криптографічного захисту інформації (далі - КЗІ), які реалізують криптографічний алгоритм, визначений ДСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования" (далі - ДСТУ ГОСТ 28147:2009).
1.3. Вимоги цієї Інструкції обов'язкові для виконання органами державної влади та органами місцевого самоврядування, підприємствами, установами та організаціями всіх форм власності, які здійснюють розроблення, виробництво, використання, експлуатацію, сертифікаційні випробування, тематичні дослідження, експертизу, увезення, вивезення криптосистем і засобів КЗІ, що реалізують криптографічний алгоритм, визначений ДСТУ ГОСТ 28147:2009, надають послуги в галузі КЗІ з використанням зазначених засобів КЗІ (у тому числі електронні довірчі послуги), здійснюють їх постачання або торгівлю ними.
( Пункт 1.3 глави 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 129 від 04.03.2020 )
1.4. Дія цієї Інструкції не розповсюджується на діяльність, пов'язану з постачанням і використанням ключів до засобів КЗІ, що становить державну таємницю.
1.5. Використані в цій Інструкції терміни мають такі значення:
довгостроковий ключовий елемент (далі - ДКЕ) - ключ, що визначає заповнення таблиць блока підстановки алгоритму криптографічного перетворення, визначеного ДСТУ ГОСТ 28147:2009;
замовник - юридична особа будь-якої форми власності, яка замовляє встановленим порядком ключі до засобів КЗІ, у тому числі засобів удосконаленого електронного підпису чи печатки, засобів кваліфікованого електронного підпису чи печатки, у яких реалізується криптографічний алгоритм, визначений ДСТУ ГОСТ 28147:2009. Як замовники можуть виступати розробники, виробники, постачальники та користувачі засобами КЗІ;
( Абзац третій пункту 1.5 глави 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 129 від 04.03.2020 )
методика генерації ключів - опис послідовності операцій (алгоритму), що виконуються у процесі генерації ключів;
методика розподілу ключів - опис послідовності операцій (алгоритму), що виконуються у мережі захищеного інформаційного обміну з метою формування (отримання) необхідних ключів;
носій ключової інформації (далі - НКІ) - матеріальний носій інформації, що призначений для запису та збереження ключів;
постачальник - підприємство, установа, організація або підрозділ Державної служби спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку), які визначаються Держспецзв'язку для здійснення постачання ключових документів до засобів КЗІ;
разовий (сеансовий) ключ (далі - РК) - ключ, який визначає порядок заповнення ключового запам'ятовувального пристрою засобу КЗІ, що реалізує алгоритм криптографічного перетворення, визначений ДСТУ ГОСТ 28147:2009.
Інші терміни застосовуються у значеннях, наведених у нормативно-правових актах з питань криптографічного захисту інформації, електронних довірчих послуг, а також ДСТУ ГОСТ 28147:2009.
( Абзац дев’ятий пункту 1.5 глави 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 129 від 04.03.2020 )
2. Порядок використання ключів
2.1. РК можуть бути отримані від постачальника або генеруватися замовником із застосуванням засобу КЗІ, який має сертифікат відповідності або позитивний експертний висновок Адміністрації Держспецзв'язку.
2.2. ДКЕ можуть бути отримані від постачальника або обираються з переліку ДКЕ, які рекомендуються до застосування у засобах КЗІ, який наведений в додатку 1 до цієї Інструкції.
2.3. ДКЕ можуть обиратися з переліку, наведеного в додатку 1 до цієї Інструкції, у разі:
використання у генераторах випадкових послідовностей згідно з додатком А до ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння";
обчислення ґешфункції згідно з ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования;
криптографічного захисту конфіденційної інформації (крім інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом) з метою забезпечення її конфіденційності та імітозахисту при зберіганні та (або) обміні інформацією каналами (лініями) зв'язку;
використання у засобах КЗІ категорії "Р" (крім засобів, призначених для криптографічного захисту службової інформації).
2.4. У випадках, передбачених пунктом 2.3 цієї Інструкції, ДКЕ можуть також обиратися з сертифікатів відкритого ключа.
( Пункт 2.4 глави 2 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації N 129 від 04.03.2020 )
2.5. ДКЕ для криптографічного захисту службової інформації, постачаються встановленим порядком.
При цьому генерація ДКЕ та їх запис на НКІ здійснюються постачальником.
2.6. Генерація РК у засобах КЗІ повинна здійснюватися відповідно до національних стандартів або за методикою генерації ключів, яка погоджується встановленим порядком на підставі результатів державної експертизи у сфері КЗІ.
2.7. Ключі можуть розподілятися між засобами КЗІ каналами (лініями) зв'язку в захищеному вигляді. Розподіл ключів повинен здійснюватися відповідно до національних стандартів або за методикою розподілу ключів, погодженою встановленим порядком на підставі результатів державної експертизи у сфері КЗІ.
2.8. Дозволяється методику генерації ключів та методику розподілу ключів викладати в одному документі - методиці генерації та розподілу ключів.
2.9. Термін дії ДКЕ, наведених у додатку 1 до цієї Інструкції, а також термін дії РК, генерація яких здійснена відповідно до національних стандартів, визначається замовником.
В інших випадках термін дії ДКЕ та РК визначається за результатами сертифікації або державної експертизи у сфері КЗІ конкретного засобу КЗІ, до якого вони призначені.
2.10. Необхідність обмеження доступу до ДКЕ, що призначені для використання у випадках, які передбачені пунктом 2.3 цієї Інструкції, у тому числі отриманих від постачальника, визначається замовником.
В інших випадках ступінь обмеження доступу до ДКЕ, а також ступінь обмеження доступу до РК повинен відповідати ступеню обмеження доступу, установленому для інформації, криптографічні перетворення якої здійснюються із застосуванням цих ключів.
2.11. Умови зберігання, використання, формування та обміну ключами повинні унеможливлювати їх несанкціоновану модифікацію або підміну.
Для ключів, щодо яких установлена необхідність обмеження доступу, умови зберігання, використання та обміну ключами додатково повинні унеможливлювати ознайомлення з їх змістом сторонніх осіб.
2.12. Порядок використання ключів та поводження з НКІ, термін дії та ступінь обмеження доступу вказуються в експлуатаційній документації на засоби КЗІ, для яких призначені НКІ.
3. Порядок постачання ключів
3.1. Постачання ключів здійснюється на підставі укладених договорів між постачальником та замовником.
3.2. Ключі постачаються на НКІ у вигляді ключових документів. Ключовий документ містить один НКІ, який вміщено в спеціальну захисну упаковку, на яку нанесено відповідне маркування.
Типи рекомендованих НКІ та форматів ключів, що розміщуються на них, наведені в додатку 2 до цієї Інструкції.
3.3. Постачання ключів здійснюється у такому порядку:
подача замовником заявки;
розгляд заявки та прийняття відповідного рішення щодо постачання ключів;
укладання договору постачання ключових документів з постачальником;
здійснення постачання ключових документів замовнику;
контроль за дотриманням порядку постачання та використання ключів.
3.4. Подача замовником заявки
3.4.1. У разі необхідності одержання замовником ключів він направляє до Адміністрації Держспецзв'язку заявку, у якій вказуються:
місцезнаходження та інші реквізити замовника;
відомості щодо наявності ліцензії на право провадження господарської діяльності у сфері КЗІ (серія, номер ліцензії, термін дії, види робіт, особливі умови);
призначення ключів (у тому числі, у яких засобах КЗІ будуть використовуватися ключі, наявність сертифіката відповідності або експертного висновку на зазначені засоби КЗІ, криптосистеми тощо);
тип, необхідна кількість комплектів (серій) НКІ та кількість примірників у кожному комплекті (серії);
ступінь обмеження доступу до ключів;
гарантії оплати робіт за договором постачання ключових документів.
3.4.2. У разі, коли тип НКІ, структура та формат даних, що міститься на ньому, не відповідають вимогам, зазначеним у додатку 2 до цієї Інструкції, до заявки додаються матеріали, у яких викладаються:
опис зовнішнього вигляду НКІ (тип носія, зміст та порядок маркування НКІ, порядок розташування даних на НКІ тощо);
повний та однозначний опис структури даних, що повинні міститися на НКІ, у тому числі опис усіх елементів даних та порядку їх розташування, спосіб нанесення інформації, порядок застосування вільних ділянок, опис алгоритму або порядку формування службової інформації, яка міститься на НКІ, особливості розташування та змісту даних у залежності від серії та номера примірника у серії тощо).
3.5. Розгляд заявки та прийняття відповідного рішення
3.5.1. Адміністрація Держспецзв'язку розглядає заявку та приймає рішення про можливість постачання чи відмову в постачанні ключових документів.
3.5.2. Про прийняте рішення Адміністрація Держспецзв'язку повідомляє замовника в письмовому вигляді протягом 30 днів з дня отримання заявки.
3.5.3. За умови позитивного рішення щодо постачання ключових документів Адміністрація Держспецзв'язку повідомляє замовника та передає матеріали постачальнику, який надсилає замовнику проект відповідного договору.
3.5.4. У разі негативних результатів розгляду заявки Адміністрація Держспецзв'язку інформує замовника про причини відмови в постачанні ключових документів.
3.6. Укладання договору постачання ключових документів
3.6.1. Договір постачання ключових документів укладається за домовленістю між постачальником та замовником.
3.6.2. Зміст договору постачання ключових документів повинен відповідати вимогам законодавства України.
Крім того, у договорі постачання ключових документів обов'язково вказуються:
порядок оплати, умови та терміни постачання ключових документів;
порядок звітності та здійснення контролю за використанням ключових документів;
порядок використання та постачання ключових документів іншим учасникам захищеного інформаційного обміну або підрозділам (філіям) замовника (за потреби у разі такого використання чи постачання).
3.7. Здійснення постачання ключових документів
3.7.1. Постачання ключових документів здійснюється відповідно до договору постачання ключових документів, який укладено між постачальником та замовником.
3.7.2. Про виконання договору постачання ключових документів постачальник повідомляє Адміністрацію Держспецзв'язку.
3.8. Замовник має право здійснювати постачання ключових документів, отриманих від постачальника, своїм структурним підрозділам та взаємодіючим з ним юридичним та фізичним особам у порядку, передбаченому договором, який укладається відповідно до пункту 3.6 цієї Інструкції.
При цьому забороняється тиражувати отримані від постачальника ключові документи та копіювати ключі на інші НКІ, якщо це не визначено експлуатаційною документацією на конкретний засіб КЗІ.
Начальник Департаменту
регулювання діяльності
у сфері криптографічного
захисту інформації
Адміністрації Держспецзв'язку




В.П.Грєбнєв
Додаток 1
до пункту 2.2 Інструкції
про порядок постачання
і використання ключів
до засобів криптографічного
захисту інформації
ПЕРЕЛІК ДКЕ,
які рекомендуються до застосування у засобах КЗІ
ДКЕ N 1
0123456789101112131415
К1a9d6eb45f13c7082
К280c4967b231f5ead
К3f658eba4c037291d
К438d96bf025ca4e17
К5f8e9720dc615b43a
К628975f0bc1dea364
К738b564ea2c179fd0
К8123e6db8fac57904
ДКЕ N 2
0123456789101112131415
К1e937f4cb6ad10582
К2adc76e81f3b40952
К34b1f92ec6a87350d
К4451c7e92afbd0863
К5cb39f04572ed1a86
К6873a96e5d04c12fb
К7f0e68d59a31c4b72
К843ed502b1a769f8c
ДКЕ N 3
0123456789101112131415
К1d91e72c54b6f38a0
К2786b034d95feac21
К3a53c98d64fe02b17
К4bac1569e2df70438
К55b30f9e41c862a7d
К643bd1f827ec9a065
К7378b1e50d4ca29f6
К86dcab793fe120845
ДКЕ N 4
0123456789101112131415
К19c3d76e1a2048f5b
К2a5be760c28f4d391
К34c30d2eb7f5918a6
К43945e786d02fbca1
К529cfdb41753e68a0
К6e5db1942f8703ca6
К7e65a9d48bc0371f2
К819cb76832fe05a4d
ДКЕ N 5
0123456789101112131415
К134d8c7a20e9fb156
К2c76938b5fa0d421e
К3e487b3ac1269df05
К4396d8fa27ec0b415
К55ca721fde3b40896
К618be74a0c35d9f62
К79bad5e23064cf178
К8e9185fb062c7a4d3
ДКЕ N 6
0123456789101112131415
К1fc96e21b0d4a7835
К2ec5074a3261d9bf8
К356d9bea3f281407c
К41f742ec36b9805ad
К5f9e6d158423cab07
К6b0d7ce142368a5f9
К77ef8d0b3a1429c65
К815eb2c38a097f64d