ЛІЦЕНЗІЙНА ПАЛАТА УКРАЇНИ
ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА ЗАХИСТУ
ІНФОРМАЦІЇ СБ УКРАЇНИ
Н А К А З
N 104/81 від 17.11.98 м.Київ | Зареєстровано в Міністерстві юстиції України 30 листопада 1998 р. за N 760/3200 |
( Наказ втратив чинність на підставі Наказу Держпідприємництва N 88/66 від 29.12.2000 )
Про затвердження Інструкції про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням
Відповідно до законів України "Про підприємництво", "Про інформацію" та "Про державну таємницю", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505/98, Положення про Ліцензійну палату України, затвердженого Указом Президента України від 16 липня 1997 року N 648/97, та на виконання постанови Кабінету Міністрів України від 3 липня 1998 року N 1020 "Про порядок ліцензування підприємницької діяльності"
НАКАЗУЄМО:
1. Затвердити Інструкцію про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням (додається).
2. Управлінню ліцензування підприємницької діяльності Ліцензійної палати (Хоменко Л.Г.), Головному управлінню криптографічного захисту та розвитку спеціальних телекомунікаційних систем Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України (Скрипник Л.В.) у встановленому порядку подати Інструкцію в п'ятиденний термін на державну реєстрацію до Міністерства юстиції України.
3. Управлінню ліцензування підприємницької діяльності Ліцензійної палати (Хоменко Л.Г.) довести до відома працівників Ліцензійної палати, представництв Ліцензійної палати Автономної Республіки Крим, областей, міст Києва та Севастополя Інструкцію про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням.
4. Передбачити в планах-графіках:
Управлінню контрольної роботи Ліцензійної палати (Апатенко О.П.) - перевірку додержання порядку надання ліцензій Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України (за винятком питань, що стосуються державної таємниці);
Управлінню контрольної роботи Ліцензійної палати (Апатенко О.П.) і Головному управлінню криптографічного захисту та розвитку спеціальних телекомунікаційних систем Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України - перевірку суб'єктів підприємницької діяльності щодо дотримання умов і правил провадження діяльності в галузі криптографічного захисту інформації.
5. Головному управлінню криптографічного захисту та розвитку спеціальних телекомунікаційних систем Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України забезпечити публікацію в засобах масової інформації Інструкції про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням.
6. Контроль за виконанням цього наказу покласти на заступника Голови Ліцензійної палати України Музичука В.Т. та першого заступника керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України.
Голова Ліцензійної палати України Заступник Голови СБ України | С.Третьяков Г.Лазарєв |
Затверджено
Наказ Ліцензійної палати України, Департаменту
спеціальних телекомунікаційних систем та
захисту інформації СБ України 17.11.98
N 104/81
Інструкція
про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням
1. Загальні положення
1.1. Ця Інструкція розроблена відповідно до Законів України "Про підприємництво", "Про інформацію" та "Про державну таємницю"; Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505/98; Положення про Ліцензійну палату України, затвердженого Указом Президента України від 16 липня 1997 року N 648/97, та на виконання постанови Кабінету Міністрів України від 3 липня 1998 року N 1020 "Про порядок ліцензування підприємницької діяльності".
Дія Інструкції поширюється на всіх суб'єктів підприємницької діяльності, які здійснюють діяльність у галузі криптографічного захисту інформації, незалежно від їх організаційних форм господарювання та форм власності.
1.2. Інструкція визначає умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, та контроль за їх дотриманням.
1.3. Порядок видачі, переоформлення, зупинення, анулювання та поновлення дії ліцензії, обліку виданих ліцензій визначається Положенням про порядок ліцензування підприємницької діяльності, затвердженим постановою Кабінету Міністрів України від 3 липня 1998 року N 1020 "Про порядок ліцензування підприємницької діяльності".
1.4. Ліцензія видається на вид підприємницької діяльності, пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації. Перелік робіт, що можуть здійснюватись на підставі ліцензії, додається.
1.5. Згідно з постановою Кабінету Міністрів України від 3 липня 1998 року N 1020 Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (далі - Департамент) є органом, який видає ліцензії на провадження діяльності в галузі криптографічного захисту інформації.
1.6. Ужиті в даній Інструкції терміни мають таке значення:
заявник - суб'єкт підприємницької діяльності, який подав заяву на провадження певного виду діяльності;
криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;
разовий (сеансовий) ключ - спеціальні дані, що задають програму роботи засобу криптографічного захисту інформації на певний проміжок часу;
обладнання криптографічного захисту інформації - технічні засоби, що взаємодіють із засобами криптографічного захисту інформації або керують ними, а також можуть впливати на їх криптографічні якості;
товари подвійного використання - окремі види виробів, обладнання, матеріалів, програмного забезпечення і технологій, а також роботи і послуги, пов'язані з ними, які, крім основного цивільного призначення, можуть бути використані під час розроблення, виробництва або використання озброєння, військової або спеціальної техніки, які є об'єктом купівлі-продажу або обміну.
1.7. До засобів криптографічного захисту інформації належать:
апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації;
апаратні, програмні та апаратно-програмні засоби, системи і комплекси захисту від нав'язування неправдивої інформації, включаючи засоби імітозахисту та "електронного підпису", що реалізують криптографічні алгоритми перетворення інформації;
апаратні, програмні та апаратно-програмні засоби, системи і комплекси, призначені для виготовлення та розподілу ключових документів, які використовуються в засобах криптографічного захисту інформації, незалежно від виду носія ключової інформації;
системи та комплекси (у тому числі ті, які входять до систем та комплексів захисту інформації від несанкціонованого доступу - НСД), до складу яких входять апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації.
1.8. Конкретні вимоги до штатного персоналу, приміщень, режиму секретності (безпеки), інформаційно-обчислювальних комплексів, налагоджувальних стендів, виробничих потужностей і площ, технічних засобів вимірювання та контролю, технічної та експлуатаційної документації суб'єктів підприємницької діяльності регламентуються відповідними положеннями та іншими нормативними актами Департаменту.
2. Загальні умови провадження діяльності в галузі криптографічного захисту інформації
2.1. Суб'єкти підприємницької діяльності повинні мати:
штатний персонал, який відповідає заявленому виду діяльності та обсягу робіт (за кількісним складом, професійною підготовкою, досвідом роботи та кваліфікацією);
приміщення, потрібні для провадження заявленої діяльності.
2.2. Суб'єкти підприємницької діяльності повинні мати внутрішнє положення, яке визначає завдання та функції кожного структурного підрозділу, функціональні обов'язки кожного фахівця, а також їх відповідальність за забезпечення збереження інформації з обмеженим доступом при виконанні робіт.
2.3. Суб'єкти підприємницької діяльності повинні забезпечити режим секретності (при виконанні робіт, пов'язаних з державною таємницею).
2.4. В установчих документах суб'єкта підприємницької діяльності повинно бути передбачено здійснення заявленого виду діяльності.
3. Додаткові умови провадження діяльності з розробки та виготовлення засобів криптографічного захисту інформації
3.1. Суб'єкти підприємницької діяльності повинні мати:
інформаційно-обчислювальні комплекси (при розробці програмних, апаратно-програмних засобів криптографічного захисту інформації);
налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури в довільні проміжки часу роботи;
відповідні виробничі потужності та площі, технічні засоби вимірювання і контролю та потрібний інструмент.
3.2. Суб'єкти підприємницької діяльності повинні мати власні можливості для проведення ремонтно-відбудовних робіт (при виготовленні засобів криптографічного захисту інформації).
4. Додаткові умови провадження діяльності з використання засобів криптографічного захисту інформації
Суб'єкт підприємницької діяльності повинен мати:
належну технічну та експлуатаційну документацію;
відповідні інструкції та графіки проведення технічного обслуговування апаратури, що потребує періодичного технічного обслуговування.
5. Особливі умови провадження діяльності
Залежно від важливості інформації для особистості, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження діяльності в галузі криптографічного захисту інформації:
з наданням права проведення робіт у галузі криптографічного захисту інформації, що належить до державної таємниці;
з наданням права проведення робіт у галузі криптографічного захисту службової інформації, створеної на замовлення державних органів або яка є власністю держави;
з наданням права проведення робіт у галузі криптографічного захисту конфіденційної інформації.
Зазначені особливі умови повинні бути відображені у відповідному пункті ліцензії, яка видається суб'єктам підприємницької діяльності.
6. Правила провадження діяльності в галузі криптографічного захисту інформації
Під час здійснення діяльності, відповідно до одержаної ліцензії, суб'єкти підприємницької діяльності повинні дотримуватись таких правил:
вести облік повного обсягу робіт, що виконуються;
виконувати вимоги нормативно-правових, нормативно-технічних та методичних документів;
утримувати обладнання і контрольно-вимірювальну апаратуру в умовах, які забезпечать їх схоронність і захист від пошкоджень.
7. Права та обов'язки суб'єктів підприємницької діяльності
7.1. Суб'єкти підприємницької діяльності при провадженні робіт у галузі криптографічного захисту інформації мають право:
звертатися до Департаменту за потрібними консультаціями та сприянням з питань здійснення діяльності, що ліцензується;
одержувати від Департаменту інформацію щодо нормативно-методичного забезпечення діяльності в галузі криптографічного захисту інформації;
оскаржувати дії Департаменту в установленому законом порядку.
7.2. Суб'єкти підприємницької діяльності при провадженні робіт у галузі криптографічного захисту інформації зобов'язані:
здійснювати свою діяльність відповідно до вимог цієї Інструкції;
забезпечувати встановлений режим секретності, якщо інформація про роботи, які проваджуються, є таємною;
забезпечувати встановлений режим безпеки, якщо інформація про роботи, які проваджуються, є конфіденційною;
допускати співробітників Департаменту, які мають відповідні повноваження щодо виконання контрольних функцій, на свою територію і забезпечувати їх усією потрібною інформацією;
негайно повідомляти Департамент про будь-які події, в результаті яких зацікавлені структури (особи) можуть одержати несанкціоновано інформацію про роботи, які мають таємний або конфіденційний характер;
негайно інформувати Департамент про зміни умов діяльності, що визначені цією Інструкцією;
відповідно до Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 року N 505/98, для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, яка створена на замовлення державних органів або яка є власністю держави, реалізовувати та використовувати криптосистеми і засоби криптографічного захисту, які допущені до експлуатації;
відповідно до Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22 травня 1998 р. N 505/98, з метою криптографічного захисту конфіденційної інформації реалізовувати і використовувати криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності.
Суб'єктам підприємницької діяльності забороняється передавати ліцензію для користування іншим особам.
8. Контроль за виконанням суб'єктами підприємницької діяльності умов і правил провадження діяльності в галузі криптографічного захисту інформації
8.1. Перевірка виконання суб'єктом підприємницької діяльності ліцензійних умов і правил провадження діяльності в галузі криптографічного захисту інформації здійснюють Департамент та Ліцензійна палата. Про термін проведення перевірки Департамент повідомляє у письмовій формі суб'єкта підприємницької діяльності за десять календарних днів до її проведення.
8.2. Контроль за виконанням суб'єктами підприємницької діяльності ліцензійних умов проводиться Департаментом та Ліцензійною палатою України планово не більш одного разу на рік, а також за рекламацією замовника або для розв'язання питання щодо відновлення дії ліцензії.
8.3. У разі порушення суб'єктом підприємництва ліцензійних умов здійснення діяльності в галузі криптографічного захисту інформації Департамент видає обов'язкові для виконання суб'єктом підприємницької діяльності розпорядження щодо усунення порушень або зупиняє дію ліцензії на визначений термін чи до усунення цих порушень.
8.4. У повідомленні про зупинення дії ліцензії, яке видається суб'єкту підприємницької діяльності в письмовій формі в термін не пізніше 5 днів з дня прийняття рішення, зазначаються підстави такого рішення.
8.5. Дія ліцензії може бути відновлена в разі усунення виявлених порушень. Рішення про відновлення дії ліцензії приймається Департаментом на підставі акта контрольної перевірки.
8.6. У разі повторного або грубого порушення суб'єктом підприємницької діяльності умов провадження певного виду діяльності ліцензія може бути анульована.
До грубих порушень умов провадження діяльності в галузі криптографічного захисту інформації належать:
невиконання вимог нормативно-правових, нормативно-технічних та методичних документів, які регламентують провадження діяльності в галузі криптографічного захисту інформації;
незабезпечення режиму секретності (режиму безпеки);
виконання робіт з порушенням вимог проектної документації;
залучення до виконання робіт спеціалістів, рівень підготовки яких не відповідає вимогам цієї Інструкції.
8.7. Рішення про анулювання ліцензії приймається Департаментом на підставі акта контрольної перевірки.
8.8. У повідомленні про анулювання ліцензії, яке видається суб'єкту підприємницької діяльності в письмовій формі в термін не пізніше 5 днів з дня прийняття рішення, зазначаються підстави такого рішення.
Додаток 1
до пункту 1.4 Інструкції
Перелік видів робіт,
які здійснюються в межах виду діяльності, що ліцензується
Розробка криптоалгоритмів, криптопротоколів.
Розробка апаратних засобів криптографічного захисту інформації на основі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.
Розробка програмних засобів криптографічного захисту інформації на основі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.
Розробка апаратно-програмних засобів криптографічного захисту інформації на основі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.
Розробка апаратних засобів криптографічного захисту інформації на основі власних криптографічних алгоритмів.
Розробка програмних засобів криптографічного захисту інформації на основі власних криптографічних алгоритмів.
Розробка апаратно-програмних засобів криптографічного захисту інформації на основі власних криптографічних алгоритмів.
Розробка захищених телекомунікаційних та інших систем та комплексів, які містять засоби криптографічного захисту інформації.
Розробка обладнання криптографічного захисту інформації.
Розробка систем та засобів генерації, тестування та керування розподілом разових (сеансових) ключів.
Проведення сертифікаційних випробувань (тематичних досліджень) засобів криптографічного захисту інформації.
Виготовлення апаратних засобів криптографічного захисту інформації.
Виготовлення програмних засобів криптографічного захисту інформації.
Виготовлення апаратно-програмних засобів криптографічного захисту інформації.
Виготовлення захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Виготовлення обладнання криптографічного захисту інформації.
Виготовлення систем та засобів генерації, тестування та керування розподілом разових (сеансових) ключів.
Ввезення на територію України, у тому числі й імпорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).
Ввезення на територію України, у тому числі й імпорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Вивезення з України, у тому числі й експорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).
Вивезення з України, у тому числі й експорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Реалізація засобів криптографічного захисту інформації.
Реалізація захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Реалізація обладнання криптографічного захисту інформації.
Використання засобів криптографічного захисту інформації.
Використання захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Надання послуг з шифрування інформації.
Надання консультативних послуг з питань криптографічного захисту інформації.
Монтаж (установлення) засобів криптографічного захисту інформації й обладнання криптографічного захисту інформації.
Монтаж (установлення) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Наладка засобів криптографічного захисту інформації.
Наладка захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.
Ремонт (сервісне обслуговування) засобів криптографічного захисту інформації.
Ремонт (сервісне обслуговування) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.