Про затвердження Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації

Відповідно до Законів України "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про електронний цифровий підпис", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868,

1. Затвердити Інструкцію про порядок постачання і використання ключів до засобів криптографічного захисту інформації, що додається.

2. Начальнику Департаменту регулювання діяльності у сфері криптографічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

1.1. Інструкція про порядок постачання і використання ключів до засобів криптографічного захисту інформації (далі - Інструкція) розроблена відповідно до Законів України "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про електронні довірчі послуги", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року N 717.

1.2. Інструкція встановлює порядок постачання та використання ключів до засобів криптографічного захисту інформації (далі - КЗІ), які реалізують криптографічний алгоритм, визначений ДСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования" (далі - ДСТУ ГОСТ 28147:2009).

1.3. Вимоги цієї Інструкції обов'язкові для виконання органами державної влади та органами місцевого самоврядування, підприємствами, установами та організаціями всіх форм власності, які здійснюють розроблення, виробництво, використання, експлуатацію, сертифікаційні випробування, тематичні дослідження, експертизу, увезення, вивезення криптосистем і засобів КЗІ, що реалізують криптографічний алгоритм, визначений ДСТУ ГОСТ 28147:2009, надають послуги в галузі КЗІ з використанням зазначених засобів КЗІ (у тому числі електронні довірчі послуги), здійснюють їх постачання або торгівлю ними.

1.4. Дія цієї Інструкції не розповсюджується на діяльність, пов'язану з постачанням і використанням ключів до засобів КЗІ, що становить державну таємницю.

1.5. Використані в цій Інструкції терміни мають такі значення:

довгостроковий ключовий елемент (далі - ДКЕ) - ключ, що визначає заповнення таблиць блока підстановки алгоритму криптографічного перетворення, визначеного ДСТУ ГОСТ 28147:2009;

замовник - юридична особа будь-якої форми власності, яка замовляє встановленим порядком ключі до засобів КЗІ, у тому числі засобів удосконаленого електронного підпису чи печатки, засобів кваліфікованого електронного підпису чи печатки, у яких реалізується криптографічний алгоритм, визначений ДСТУ ГОСТ 28147:2009. Як замовники можуть виступати розробники, виробники, постачальники та користувачі засобами КЗІ;

методика генерації ключів - опис послідовності операцій (алгоритму), що виконуються у процесі генерації ключів;

методика розподілу ключів - опис послідовності операцій (алгоритму), що виконуються у мережі захищеного інформаційного обміну з метою формування (отримання) необхідних ключів;

носій ключової інформації (далі - НКІ) - матеріальний носій інформації, що призначений для запису та збереження ключів;

постачальник - підприємство, установа, організація або підрозділ Державної служби спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку), які визначаються Держспецзв'язку для здійснення постачання ключових документів до засобів КЗІ;

разовий (сеансовий) ключ (далі - РК) - ключ, який визначає порядок заповнення ключового запам'ятовувального пристрою засобу КЗІ, що реалізує алгоритм криптографічного перетворення, визначений ДСТУ ГОСТ 28147:2009.

Інші терміни застосовуються у значеннях, наведених у нормативно-правових актах з питань криптографічного захисту інформації, електронних довірчих послуг, а також ДСТУ ГОСТ 28147:2009.

2.1. РК можуть бути отримані від постачальника або генеруватися замовником із застосуванням засобу КЗІ, який має сертифікат відповідності або позитивний експертний висновок Адміністрації Держспецзв'язку.

2.2. ДКЕ можуть бути отримані від постачальника або обираються з переліку ДКЕ, які рекомендуються до застосування у засобах КЗІ, який наведений в додатку 1 до цієї Інструкції.

2.3. ДКЕ можуть обиратися з переліку, наведеного в додатку 1 до цієї Інструкції, у разі:

використання у генераторах випадкових послідовностей згідно з додатком А до ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння";

обчислення ґешфункції згідно з ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования;

криптографічного захисту конфіденційної інформації (крім інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом) з метою забезпечення її конфіденційності та імітозахисту при зберіганні та (або) обміні інформацією каналами (лініями) зв'язку;

використання у засобах КЗІ категорії "Р" (крім засобів, призначених для криптографічного захисту службової інформації).

2.4. У випадках, передбачених пунктом 2.3 цієї Інструкції, ДКЕ можуть також обиратися з сертифікатів відкритого ключа.

2.5. ДКЕ для криптографічного захисту службової інформації, постачаються встановленим порядком.

При цьому генерація ДКЕ та їх запис на НКІ здійснюються постачальником.

2.6. Генерація РК у засобах КЗІ повинна здійснюватися відповідно до національних стандартів або за методикою генерації ключів, яка погоджується встановленим порядком на підставі результатів державної експертизи у сфері КЗІ.

2.7. Ключі можуть розподілятися між засобами КЗІ каналами (лініями) зв'язку в захищеному вигляді. Розподіл ключів повинен здійснюватися відповідно до національних стандартів або за методикою розподілу ключів, погодженою встановленим порядком на підставі результатів державної експертизи у сфері КЗІ.

2.8. Дозволяється методику генерації ключів та методику розподілу ключів викладати в одному документі - методиці генерації та розподілу ключів.

2.9. Термін дії ДКЕ, наведених у додатку 1 до цієї Інструкції, а також термін дії РК, генерація яких здійснена відповідно до національних стандартів, визначається замовником.

В інших випадках термін дії ДКЕ та РК визначається за результатами сертифікації або державної експертизи у сфері КЗІ конкретного засобу КЗІ, до якого вони призначені.

2.10. Необхідність обмеження доступу до ДКЕ, що призначені для використання у випадках, які передбачені пунктом 2.3 цієї Інструкції, у тому числі отриманих від постачальника, визначається замовником.

В інших випадках ступінь обмеження доступу до ДКЕ, а також ступінь обмеження доступу до РК повинен відповідати ступеню обмеження доступу, установленому для інформації, криптографічні перетворення якої здійснюються із застосуванням цих ключів.

2.11. Умови зберігання, використання, формування та обміну ключами повинні унеможливлювати їх несанкціоновану модифікацію або підміну.

Для ключів, щодо яких установлена необхідність обмеження доступу, умови зберігання, використання та обміну ключами додатково повинні унеможливлювати ознайомлення з їх змістом сторонніх осіб.

2.12. Порядок використання ключів та поводження з НКІ, термін дії та ступінь обмеження доступу вказуються в експлуатаційній документації на засоби КЗІ, для яких призначені НКІ.

3.1. Постачання ключів здійснюється на підставі укладених договорів між постачальником та замовником.

3.2. Ключі постачаються на НКІ у вигляді ключових документів. Ключовий документ містить один НКІ, який вміщено в спеціальну захисну упаковку, на яку нанесено відповідне маркування.

Типи рекомендованих НКІ та форматів ключів, що розміщуються на них, наведені в додатку 2 до цієї Інструкції.

3.3. Постачання ключів здійснюється у такому порядку:

подача замовником заявки;

розгляд заявки та прийняття відповідного рішення щодо постачання ключів;

укладання договору постачання ключових документів з постачальником;

здійснення постачання ключових документів замовнику;

контроль за дотриманням порядку постачання та використання ключів.

3.4. Подача замовником заявки

3.4.1. У разі необхідності одержання замовником ключів він направляє до Адміністрації Держспецзв'язку заявку, у якій вказуються:

місцезнаходження та інші реквізити замовника;

відомості щодо наявності ліцензії на право провадження господарської діяльності у сфері КЗІ (серія, номер ліцензії, термін дії, види робіт, особливі умови);

призначення ключів (у тому числі, у яких засобах КЗІ будуть використовуватися ключі, наявність сертифіката відповідності або експертного висновку на зазначені засоби КЗІ, криптосистеми тощо);

тип, необхідна кількість комплектів (серій) НКІ та кількість примірників у кожному комплекті (серії);

ступінь обмеження доступу до ключів;

гарантії оплати робіт за договором постачання ключових документів.

3.4.2. У разі, коли тип НКІ, структура та формат даних, що міститься на ньому, не відповідають вимогам, зазначеним у додатку 2 до цієї Інструкції, до заявки додаються матеріали, у яких викладаються:

опис зовнішнього вигляду НКІ (тип носія, зміст та порядок маркування НКІ, порядок розташування даних на НКІ тощо);

повний та однозначний опис структури даних, що повинні міститися на НКІ, у тому числі опис усіх елементів даних та порядку їх розташування, спосіб нанесення інформації, порядок застосування вільних ділянок, опис алгоритму або порядку формування службової інформації, яка міститься на НКІ, особливості розташування та змісту даних у залежності від серії та номера примірника у серії тощо).

3.5. Розгляд заявки та прийняття відповідного рішення

3.5.1. Адміністрація Держспецзв'язку розглядає заявку та приймає рішення про можливість постачання чи відмову в постачанні ключових документів.

3.5.2. Про прийняте рішення Адміністрація Держспецзв'язку повідомляє замовника в письмовому вигляді протягом 30 днів з дня отримання заявки.

3.5.3. За умови позитивного рішення щодо постачання ключових документів Адміністрація Держспецзв'язку повідомляє замовника та передає матеріали постачальнику, який надсилає замовнику проект відповідного договору.

3.5.4. У разі негативних результатів розгляду заявки Адміністрація Держспецзв'язку інформує замовника про причини відмови в постачанні ключових документів.

3.6. Укладання договору постачання ключових документів

3.6.1. Договір постачання ключових документів укладається за домовленістю між постачальником та замовником.

3.6.2. Зміст договору постачання ключових документів повинен відповідати вимогам законодавства України.

Крім того, у договорі постачання ключових документів обов'язково вказуються:

порядок оплати, умови та терміни постачання ключових документів;

порядок звітності та здійснення контролю за використанням ключових документів;

порядок використання та постачання ключових документів іншим учасникам захищеного інформаційного обміну або підрозділам (філіям) замовника (за потреби у разі такого використання чи постачання).

3.7. Здійснення постачання ключових документів

3.7.1. Постачання ключових документів здійснюється відповідно до договору постачання ключових документів, який укладено між постачальником та замовником.

3.7.2. Про виконання договору постачання ключових документів постачальник повідомляє Адміністрацію Держспецзв'язку.

3.8. Замовник має право здійснювати постачання ключових документів, отриманих від постачальника, своїм структурним підрозділам та взаємодіючим з ним юридичним та фізичним особам у порядку, передбаченому договором, який укладається відповідно до пункту 3.6 цієї Інструкції.

При цьому забороняється тиражувати отримані від постачальника ключові документи та копіювати ключі на інші НКІ, якщо це не визначено експлуатаційною документацією на конкретний засіб КЗІ.