![]() ![]() к приказу Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 23 сентября 1999 г. N 158 ПОЛОЖЕНИЕ О ПОРЯДКЕ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ (ПОЛОЖЕНИЕ ПКЗ-99) Настоящее Положение определяет единый на территории Российской Федерации порядок разработки, производства, реализации и использования сертифицированных ФАПСИ средств криптографической защиты подлежащей в соответствии с действующим законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (шифровальных средств), при ее обработке, хранении и передаче по каналам связи в случае принятия решения о необходимости криптографической защиты данной информации. Данным порядком рекомендуется руководствоваться также при разработке, производстве, реализации и использовании сертифицированных ФАПСИ средств криптографической защиты не подлежащей обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации или по решению пользователя (потребителя) данной информации (за исключением информации, содержащей сведения, к которым в соответствии с действующим законодательством Российской Федерации не может быть ограничен доступ), при ее обработке, хранении и передаче по каналам связи в случае принятия решения о необходимости криптографической защиты данной информации (далее информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, именуется конфиденциальной информацией) <*>. Действие настоящего Положения не распространяется на средства криптографической защиты информации, которая содержит сведения, составляющие государственную тайну, а также информации, которая не содержит сведений конфиденциального характера и сведений, составляющих государственную тайну. Настоящее Положение не определяет отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование импортных шифровальных средств. Порядок криптографической защиты конфиденциальной платежной информации при ее обработке и передаче по расчетным системам (сетям) Банка России (в случае необходимости) определяется совместными решениями Банка России и ФАПСИ. Доступ правоохранительных органов Российской Федерации к конфиденциальной информации, защищенной с использованием СКЗИ, осуществляется в соответствии с действующим законодательством Российской Федерации. ^ 1. При организации обмена подлежащей обязательной защите конфиденциальной информацией, участниками которого являются государственные органы, государственные организации, другие организации независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов, а также юридические лица-пользователи (потребители) конфиденциальной информации, не являющиеся государственными органами или государственными организациями и другими организациями, выполняющими государственные оборонные заказы (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), и физические лица - пользователи (потребители) конфиденциальной информации (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), необходимость криптографической защиты конфиденциальной информации и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются государственными органами или государственными организациями. 2. При организации информационного обмена конфиденциальной информацией, не подлежащей обязательной защите, необходимость ее криптографической защиты и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются соглашениями между участниками обмена. 3. Необходимость криптографической защиты конфиденциальной информации (как подлежащей обязательной защите, так и не подлежащей обязательной защите) при ее обработке, хранении и передаче по каналам связи в случае отсутствия обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы, и выбор типа СКЗИ определяются ее пользователем (в случае, если собственником информационных ресурсов или уполномоченным им лицом предварительно не определена необходимость криптографической защиты конфиденциальной информации и не выбран требуемый тип СКЗИ). 4. При принятии решения о необходимости криптографической защиты, подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации, требования настоящего Положения являются обязательными для:
5. СКЗИ должны удовлетворять разрабатываемым ФАПСИ требованиям и допускаться к использованию после экспертизы в ФАПСИ. 6. Для криптографической защиты конфиденциальной информации могут использоваться СКЗИ, имеющие сертификат ФАПСИ (сертифицированные СКЗИ). Порядок сертификации СКЗИ определяется соответствующей системой сертификации. ^ 7. Заказ разработки СКЗИ для федеральных государственных нужд осуществляется ФАПСИ или иным федеральным органом исполнительной власти по согласованию с ФАПСИ. 8. Заказ разработки СКЗИ осуществляется юридическими лицами и (или) индивидуальными предпринимателями, имеющими лицензии ФАПСИ. 9. Разработка СКЗИ осуществляется путем постановки и проведения необходимых научно-исследовательских работ (НИР) по разработке нового типа СКЗИ и опытно-конструкторских работ (ОКР) по созданию нового типа или модернизации действующего образца СКЗИ. 10. НИР по разработке нового типа СКЗИ проводится в соответствии с тактико-техническим заданием (ТТЗ) или техническим заданием (ТЗ), разработанным на основе действующих стандартов на проведение НИР. 11. В ТТЗ или ТЗ на проведение НИР рекомендуется включать сведения:
12. ТТЗ или ТЗ на проведение НИР заказчик СКЗИ направляет на рассмотрение в ФАПСИ. ФАПСИ в течение двух месяцев с момента получения документов обязано согласовать ТТЗ или ТЗ на проведение НИР или дать мотивированный отказ. Письменное согласование с ФАПСИ ТТЗ или ТЗ на проведение НИР является основанием для проведения НИР. 13. ТТЗ или ТЗ на проведение НИР, согласованное с ФАПСИ, утверждается заказчиком СКЗИ. Экземпляр утвержденного ТТЗ или ТЗ на проведение НИР направляется заказчиком СКЗИ в ФАПСИ. 14. Результатом НИР являются проект ТТЗ или ТЗ на проведение ОКР по созданию нового типа СКЗИ или модернизации действующего образца СКЗИ и технико-экономическое обоснование данной ОКР. 15. ОКР по созданию нового типа или модернизации действующего образца СКЗИ проводится в соответствии с ТТЗ или ТЗ, разработанным на основе действующих стандартов на проведение ОКР. 16. Разработка ТТЗ или ТЗ на проведение ОКР может осуществляться без предварительного выполнения НИР. 17. ТТЗ или ТЗ на проведение ОКР должно разрабатываться в соответствии с действующими нормативными документами с обязательным указанием следующих сведений:
Кроме того, в ТТЗ или ТЗ на проведение ОКР рекомендуется включать сведения:
18. Требования к СКЗИ (задаваемый уровень криптографической защиты конфиденциальной информации или цель криптографической защиты конфиденциальной информации, требования к аппаратным, программно-аппаратным и программным средствам конфиденциальной сети (системы), совместно с которыми предполагается использование создаваемого нового типа или модернизируемого действующего образца СКЗИ, требования к ключевой системе СКЗИ и т.д.) могут оформляться специальным техническим заданием (СТЗ), которое является неотъемлемой частью общего ТТЗ или ТЗ на проведение ОКР. 19. ТТЗ или ТЗ на проведение ОКР заказчик СКЗИ направляет на рассмотрение в ФАПСИ. ФАПСИ в течение двух месяцев с момента получения документов обязано согласовать ТТЗ или ТЗ или дать мотивированный отказ с указанием конкретного образца СКЗИ, рекомендуемого заказчику СКЗИ к использованию или модернизации. Письменное согласование с ФАПСИ ТТЗ или ТЗ на проведение ОКР является основанием для проведения ОКР. 20. ТТЗ или ТЗ на проведение ОКР, согласованное с ФАПСИ, утверждается заказчиком СКЗИ. Один экземпляр утвержденного ТТЗ или ТЗ на проведение ОКР представляется заказчиком СКЗИ в ФАПСИ. По решению заказчика СКЗИ ОКР может быть совмещена с НИР путем задания научно-исследовательской опытно-конструкторской работы (НИОКР). Порядок задания НИОКР аналогичен порядку задания ОКР. 21. При разработке СКЗИ должны использоваться криптографические алгоритмы, рекомендованные ФАПСИ, то есть определенные государственными стандартами или разработанные (согласованные) ФАПСИ. 22. Состав аппаратных, программно-аппаратных и программных средств конфиденциальной сети (системы), совместно с которыми предполагается штатное функционирование создаваемого нового типа или модернизируемого действующего образца СКЗИ, влияющих на выполнение заданных требований к СКЗИ, определяется разработчиком СКЗИ и согласовывается с заказчиком СКЗИ, сертификационной испытательной лабораторией (центром) и ФАПСИ. Оценка влияния аппаратных, программно-аппаратных и программных средств конфиденциальной сети (системы), совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение заданных к ним требований осуществляется разработчиком СКЗИ совместно с сертификационной испытательной лабораторией (центром). 23. Опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФАПСИ для проведения экспертизы результатов проверок выполнения требований безопасности конфиденциальной информации. Дальнейшее их использование определяется заказчиком СКЗИ. 24. Правила пользования создаваемым новым типом или модернизируемым действующим образцом СКЗИ разрабатываются разработчиком СКЗИ и согласовываются с ФАПСИ. О согласовании с ФАПСИ на последней странице правил пользования СКЗИ разработчик СКЗИ делает соответствующую запись. Например: "С ФАПСИ согласовано (письмо N 123 от 21.11.98)". 25. При разработке СКЗИ создается опытный образец СКЗИ и рабочая конструкторская документация (РКД) на него в соответствии с ТТЗ или ТЗ заказчика СКЗИ. 26. РКД на СКЗИ передается в производство при положительных результатах сертификационных испытаний опытного образца СКЗИ, наличии сертификата ФАПСИ и правил поользования СКЗИ, согласованны с ФАПСИ. ^ 27. Производство СКЗИ осуществляется при наличии правил пользования, согласованных с ФАПСИ, и опытных образцов, которые успешно выдержали сертификационные испытания и имеют сертификат ФАПСИ. 28. Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с ФАПСИ и сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания опытного образца СКЗИ. 29. СКЗИ изготавливаются в полном соответствии с конструкцией и технологией изготовления опытных образцов СКЗИ, прошедших сертификационные испытания и получивших сертификат ФАПСИ. 30. Все изменения в конструкцию и технологию изготовления СКЗИ изготовитель СКЗИ должен согласовывать с сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания, и с ФАПСИ. Согласование внесения изменений в конструкцию и технологию изготовления СКЗИ осуществляется путем представления изготовителем СКЗИ в сертификационную испытательную лабораторию (центр) и в ФАПСИ обоснованного перечня предполагаемых изменений. ^ 31. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФАПСИ. 32. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется лицом на основании соответствующей лицензии ФАПСИ. Операторы связи, предоставляющие на основании лицензии ФАПСИ услуги конфиденциальной связи с использованием СКЗИ (далее - операторы конфиденциальной связи), могут реализовывать (распространять) СКЗИ абонентам своих сетей конфиденциальной связи без получения последними лицензии ФАПСИ. 33. Лицо, реализующее СКЗИ и (или) РКД на них, письменно уведомляет об этом ФАПСИ с указанием реквизитов контрагентов по договору. 34. Приобретение РКД на СКЗИ (включая тиражирование программных СКЗИ) осуществляют юридические лица, являющиеся разработчиками и (или) изготовителями СКЗИ. ^ 35. СКЗИ используются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФАПСИ и с сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания. 36. Использование СКЗИ осуществляется лицами, имеющими лицензию ФАПСИ. 37. Лицам, не имеющим лицензии ФАПСИ, могут предоставляться услуги по криптографической защите их конфиденциальной информации с использованием СКЗИ лицами, имеющими лицензии ФАПСИ, на основании соответствующего договора. 38. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в сертификате ФАПСИ, осуществляется оператором конфиденциальной связи и (или) ФАПСИ. 39. Послегарантийное обслуживание, ремонт и уничтожение (утилизация) СКЗИ осуществляются лицами, имеющими соответствующую лицензию ФАПСИ. 40. Лицо, уничтожившее СКЗИ, уведомляет об этом ФАПСИ путем направления ему акта об уничтожении СКЗИ. 41. Об утере СКЗИ, а также других обстоятельствах, при которых условия применения СКЗИ становятся неизвестными, лица, использующие СКЗИ, в трехдневный срок уведомляют ФАПСИ. 42. Ключевые документы, используемые в СКЗИ, или исходная ключевая информация для выработки ключевых документов изготавливаются ФАПСИ или лицами, имеющими соответствующую лицензию ФАПСИ. Производство ключевых документов или исходной ключевой информации для выработки ключевых документов лицами, имеющими соответствующую лицензию ФАПСИ, должно осуществляться на технических средствах, сертифицированных ФАПСИ. 43. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФАПСИ. Единицей поэкземплярного учета СКЗИ и их опытных образцов является:
Организация поэкземплярного учета используемых СКЗИ возлагается на оператора конфиденциальной связи и (или) лицо, имеющее лицензию ФАПСИ и использующее СКЗИ. Организация централизованного (количественного) поэкземплярного учета опытных образцов СКЗИ, а также изготовленных и используемых сертифицированных СКЗИ осуществляется ФАПСИ. 45. Разработчик СКЗИ на этапе разработки РКД на опытный образец СКЗИ направляет заявку в ФАПСИ на выделение индекса (условного наименования) и требуемого количества регистрационных номеров поэкземплярного учета изготавливаемых опытных образцов СКЗИ с указанием типа опытных образцов СКЗИ и планируемого объема их производства (приложение 1). Изготовитель СКЗИ не позднее чем за квартал до начала серийного производства СКЗИ направляет заявку в ФАПСИ на выделение индексов (условных наименований) и требуемого количества регистрационных номеров поэкземплярного учета изготавливаемых СКЗИ с указанием типа СКЗИ и планируемого объема их производства. 46. ФАПСИ в течение месяца с момента получения заявки сообщает заявителю (разработчику опытных образцов СКЗИ или изготовителю СКЗИ) индекс (условное наименование) и перечень регистрационных номеров изготавливаемых СКЗИ (разрабатываемых опытных образцов СКЗИ). 47. Регистрационный номер наносится на корпус единицы поэкземплярного учета изготавливаемого СКЗИ (разрабатываемого опытного образца СКЗИ). Место маркировки должно обеспечивать возможность его визуального обзора, а способ маркировки - ее сохранность с момента нанесения до окончания срока использования СКЗИ (опытного образца СКЗИ). 48. Изготовитель (разработчик) СКЗИ (опытных образцов СКЗИ), лицо, реализующее СКЗИ, осуществляют поэкземплярный учет выпускаемых СКЗИ (опытных образцов СКЗИ) в книге поэкземплярного учета СКЗИ (опытных образцов СКЗИ) с указанием адресов лиц, имеющих лицензии ФАПСИ, которым реализованы СКЗИ (опытные образцы СКЗИ), и ежегодно до 31 марта представляет в ФАПСИ сведения за прошедший год об изготовлении и реализации СКЗИ (опытных образцов СКЗИ) по установленной форме (приложение 2). Операторы конфиденциальной связи и лица, имеющие лицензии ФАПСИ и использующие СКЗИ, осуществляют поэкземплярный учет СКЗИ, находящихся у них и у абонентов их сетей конфиденциальной связи в использовании или на хранении, в книге поэкземплярного учета СКЗИ и ежегодно до 31 марта направляют в ФАПСИ сведения за прошедший год о номенклатуре и количестве имеющихся в наличии СКЗИ по установленной форме. 49. Контроль за порядком поэкземплярного учета СКЗИ (опытных образцов СКЗИ) осуществляет ФАПСИ. <*> Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящем Положении именуются СКЗИ. К СКЗИ относятся:
Приложение 1 к Положению (пункт 45), утвержденному Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 23 сентября 1999 г. N 158 ^ Заказчик СКЗИ ____________________________________________________ (для юридического лица - наименование юридического лица с указанием номера лицензии ФАПСИ и срока ее действия, адрес юридического лица и телефон; для индивидуального предпринимателя - фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии ФАПСИ и срок ее действия, адрес индивидуального предпринимателя и телефон) ^ _______________ (указывается вид защищаемой информации: речевая, данные и т.д.) Изготовитель СКЗИ (разработчик опытных образцов СКЗИ) ______________ (для изготовителя СКЗИ приводятся данные (наименование, почтовый адрес, телефон) об изготовителе СКЗИ с указанием номера лицензии ФАПСИ, срока ее действия и номера сертификата ФАПСИ на изготавливаемое СКЗИ. Для разработчика опытных образцов СКЗИ - данные (наименование, почтовый адрес, телефон) о разработчике опытных образцов СКЗИ с указанием номера лицензии ФАПСИ, срока ее действия) ^ __________________________________________________________ (указывается количество комплектов планируемых к выпуску СКЗИ или их опытных образцов) ^ _________________________ (должность) (подпись) (Ф.И.О.) Приложение 2 к Положению (пункт 48), утвержденному Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 23 сентября 1999 г. N 158 ^ СКЗИ (ОПЫТНЫХ ОБРАЗЦОВ СКЗИ) ЗА ____ ГОД
Изготовлено ________________ комплектов СКЗИ (опытных образцов СКЗИ) ______________ (количество) (индекс) Реализовано ________________ комплектов СКЗИ (опытных образцов СКЗИ) ______________ (количество) (индекс) Находится в пользовании _____________ комплектов СКЗИ (опытных образцов СКЗИ) ______________ (количество) (индекс) От изготовителя СКЗИ (разработчика опытных образцов СКЗИ) _________________________ (должность) (подпись) (Ф.И.О.) Лицо, реализовавшее СКЗИ _________________________ (должность) (подпись) (Ф.И.О.) |
![]() | Федеральная служба безопасности российской федерации приказ от 9 февраля 2005 г. N 66 об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005) В целях определения порядка разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации... | ![]() | Приказ №2029, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, №12, ст. 423 |
![]() | Информационное письмо фстэк россии информационное сообщение о работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, Стэк россии поступают вопросы о проводимых работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты... | ![]() | Экземпляр 3 Общество с ограниченной ответственностью «Консультант-Аудит» Лицензия фсб россии на осуществление работ с использованием сведений, составляющих государственную тайну № Б283756 от 19. 01. 2007... |
![]() | Понятие государственной тайны Актуальность темы обусловлена тем, что распространение сведений, составляющих государственную тайну, может нанести ущерб безопасности... | ![]() | Методические указания по организации работ со средствами криптографической защиты информации и электронной цифровой подписи в органах пфр В целях обеспечения защиты информации, предоставляемой в электронной форме в системе электронного документооборота Пенсионного фонда... |
![]() | Положение о порядке сбора, обработки, хранения, использования и передачи персональных данных работников и обучающихся в мбоу сош №30 Настоящее Положение разработано в соответствии с Конституцией рф, Трудовым Кодексом рф, Федеральными законами «Об информации, информатизации... | ![]() | Программа мбоу тогучинского района Горновской сош по реализации проекта «Сетевая дистанционная школа Новосибирской области» Приказа министерства образования и науки от 01 марта 2005 г. №63 «О порядке разработки и использования дистанционных образовательных... |
![]() | Система сертификации средств защиты информации по требованиям безопасности информации | ![]() | Положение о сроках и порядке разработки, рассмотрения и утверждения рабочих программ, учебных курсов и дисциплин моу «Средняя общеобразовательная школа села Уральского» Положение разработано на основании Примерного положение о сроках и порядке разработки, рассмотрения и утверждения рабочих программ... |