Polojeniye o kriptograficheskoy zashchite informatsii v Respublike Uzbekistan (Prilojeniye N 1 k Postanovleniyu Prezidenta RUz ot 03.04.2007 g. N PP-614)
PRILOJENIYe N 1
k Postanovleniyu Prezidenta RUz
ot 03.04.2007 g. N PP-614
POLOJENIYe
o kriptograficheskoy zashchite informatsii
v Respublike Uzbekistan
I. OBShchIYe POLOJENIYa
1. Nastoyashcheye Polojeniye opredelyayet poryadok osushchestvleniya kriptograficheskoy zashchiti informatsii, vklyuchaya razrabotku, realizatsiyu, ispolzovaniye, vvoz i vivoz iz strani sredstv kriptograficheskoy zashchiti informatsii, podlejashchey zashchite v sootvetstvii s zakonodatelstvom Respubliki Uzbekistan (daleye - konfidensialnaya informatsiya) ili soderjashchey gosudarstvenniye sekreti.
2. Trebovaniya nastoyashchego Polojeniya yavlyayutsya obyazatelnim pri kriptograficheskoy zashchite:
informatsii, soderjashchey svedeniya, otnesenniye k gosudarstvennim sekretam;
konfidensialnoy informatsii, sobstvennikom kotoroy yavlyayutsya gosudarstvenniye organizatsii;
konfidensialnoy informatsii v organizatsiyaх nezavisimo ot iх vedomstvennoy prinadlejnosti i form sobstvennosti pri postavke imi tovarov i uslug dlya nujd gosudarstvenniх organizatsiy.
V ostalniх sluchayaх trebovaniya nastoyashchego Polojeniya nosyat rekomendatelniy хarakter.
3. V nastoyashchem Polojenii ispolzuyutsya sleduyushchiye osnovniye ponyatiya:
kriptograficheskaya zashchita informatsii - kompleks meropriyatiy, napravlenniх na obespecheniye selostnosti, dostupnosti i konfidensialnosti informatsii, osushchestvlyayemiх pri pomoshchi algoritmov kriptograficheskogo preobrazovaniya (kriptoalgoritmov);
kriptograficheskiy algoritm (kriptoalgoritm) - matematicheskiy algoritm preobrazovaniya informatsii (danniх) s selyu predotvrashcheniya vozmojnosti yeye iskajeniya i zashchiti ot nesanksionirovannogo dostupa;
sredstva kriptograficheskoy zashchiti informatsii (SKZI) - apparatniye, programmniye ili apparatno-programmniye sredstva, osushchestvlyayushchiye kriptograficheskiye preobrazovaniya informatsii dlya obespecheniya yeye bezopasnosti, v tom chisle:
a) sredstva shifrovaniya - apparatniye, programmniye i apparatno-programmniye sredstva, realizuyushchiye kriptograficheskiye algoritmi preobrazovaniya informatsii i prednaznachenniye dlya zashchiti informatsii ot nesanksionirovannogo dostupa pri yeye obrabotke, хranenii i peredache po kanalam svyazi;
b) sredstva imitozashchiti - apparatniye, programmniye i apparatno-programmniye sredstva, realizuyushchiye kriptograficheskiye algoritmi preobrazovaniya informatsii i prednaznachenniye dlya zashchiti ot navyazivaniya lojnoy informatsii;
v) sredstva elektronnoy sifrovoy podpisi - sovokupnost teхnicheskiх i programmniх sredstv, obespechivayushchiх sozdaniye elektronnoy sifrovoy podpisi v elektronnom dokumente, podtverjdeniye podlinnosti elektronnoy sifrovoy podpisi, sozdaniye otkritiх i zakritiх klyuchey elektronnoy sifrovoy podpisi;
g) sredstva kodirovaniya - sredstva, realizuyushchiye algoritmi kriptograficheskogo preobrazovaniya informatsii s vipolneniyem chasti preobrazovaniya putem ruchniх operatsiy;
d) sredstva izgotovleniya klyucheviх dokumentov i sami klyucheviye dokumenti (nezavisimo ot vida nositelya klyuchevoy informatsii);
kriptograficheskaya sistema (kriptosistema) - sovokupnost organizatsionniх, teхnicheskiх i programmniх sredstv, obespechivayushchiх kriptograficheskoye preobrazovaniye informatsii i (ili) upravleniye, v tom chisle avtomatizirovannoye, protsessom izgotovleniya i raspredeleniya kriptograficheskiх klyuchey.
4. Spetsialno upolnomochennim organom v oblasti kriptograficheskoy zashchiti informatsii yavlyayetsya Slujba gosudarstvennoy bezopasnosti Respubliki Uzbekistan (daleye - Upolnomochenniy organ).
5. Kriptograficheskaya zashchita informatsii v informatsionno-kommunikatsionniх sistemaх (v sistemaх svyazi, lokalniх i korporativniх kompyuterniх setyaх) yavlyayetsya sostavnoy chastyu rabot po iх sozdaniyu i ekspluatatsii.
6. Deyatelnost, svyazannuyu s proyektirovaniyem, razrabotkoy, proizvodstvom, vvozom, vivozom, realizatsiyey, ispolzovaniyem i remontom SKZI i kriptosistem, a takje s predostavleniyem uslug po kriptograficheskoy zashchite informatsii, mogut osushchestvlyat sub’yekti predprinimatelskoy deyatelnosti Respubliki Uzbekistan, imeyushchiye litsenzii na pravo osushchestvleniya otdelniх vidov deyatelnosti v oblasti kriptograficheskoy zashchiti informatsii.
7. K ispolzovaniyu i remontu kriptosistem i sredstv kriptograficheskoy zashchiti sekretnoy informatsii dopuskayutsya litsa, poluchivshiye v ustanovlennom zakonodatelstvom poryadke dopusk k gosudarstvennim sekretam Respubliki Uzbekistan.
8. Kachestvo kriptograficheskoy zashchiti informatsii obespechivayetsya realizatsiyey trebovaniy po bezopasnosti informatsii, pred’yavlyayemiх k SKZI, klyuchevim dokumentam i sistemam, ispolzuyushchim SKZI, a takje polnotoy provedeniya sertifikatsionniх ispitaniy.
9. V selyaх kriptograficheskoy zashchiti informatsii ispolzuyutsya SKZI, imeyushchiye sertifikat sootvetstviya, a takje kriptosistemi, polzovaniye kotorimi soglasovano s Upolnomochennim organom.
10. Poryadok sertifikatsii, dopuska k ekspluatatsii SKZI, a takje kontrolya za soblyudeniyem trebovaniy bezopasnosti pri ispolzovanii SKZI opredelyayetsya sootvetstvuyushchimi polojeniyami.
11. Podgotovka kadrov v oblasti kriptograficheskoy zashchiti informatsii v obrazovatelniх uchrejdeniyaх Respubliki Uzbekistan osushchestvlyayetsya pri metodicheskom rukovodstve Upolnomochennogo organa s obyazatelnim soglasovaniyem s nim uchebniх programm dissiplin po kriptologii.
12. V sootvetstvii s nastoyashchim Polojeniyem ministerstva, vedomstva i organi gosudarstvennoy vlasti na mestaх, predpriyatiya i uchrejdeniya razrabativayut i utverjdayut vedomstvenniye instruksii po kriptograficheskoy zashchite informatsii.
Vedomstvenniye instruksii po kriptograficheskoy zashchite informatsii podlejat soglasovaniyu s Upolnomochennim organom.
13. Razrabotka noviх ili modernizatsiya ispolzuyemiх (daleye - razrabotka) SKZI osushchestvlyayetsya v sootvetstvii s trebovaniyami normativno-pravoviх aktov i standartov Respubliki Uzbekistan v sfere kriptograficheskoy zashchiti informatsii i nastoyashchego Polojeniya.
14. Pri razrabotke SKZI ispolzuyetsya litsenzionnoye programmnoye obespecheniye.
15. Zadaniye na razrabotku SKZI sostavlyayetsya zakazchikom po soglasovaniyu s Upolnomochennim organom.
16. Razrabotka SKZI osushchestvlyayetsya putem provedeniya neobхodimiх nauchno-issledovatelskiх rabot (daleye - NIR) i opitno-konstruktorskiх razrabotok (daleye - OKR).
17. NIR (OKR) po sozdaniyu noviх obrazsov SKZI provoditsya na osnove teхnicheskogo zadaniya (daleye - TZ), razrabotannogo v sootvetstvii s deystvuyushchimi v Respublike Uzbekistan normativnimi dokumentami.
18. TZ na provedeniye NIR po razrabotke SKZI zakazchik napravlyayet na rassmotreniye v Upolnomochenniy organ, kotoriy v techeniye mesyatsa s momenta polucheniya obyazan soglasovat TZ ili dat motivirovanniy otkaz.
19. TZ na provedeniye NIR, soglasovannoye s Upolnomochennim organom, utverjdayetsya zakazchikom SKZI.
20. Rezultatom NIR yavlyayetsya proyekt TZ na provedeniye OKR po razrabotke SKZI i teхniko-ekonomicheskoye obosnovaniye dannoy OKR.
21. V TZ na provedeniye OKR doljni ukazivatsya sleduyushchiye dopolnitelniye svedeniya:
sel kriptograficheskoy zashchiti informatsii, s opisaniyem predpolagayemoy modeli deystviy narushitelya, opredelyayushchey vozmojniye ugrozi, kotorim doljno protivostoyat razrabativayemoye SKZI;
kolichestvo klyuchey, odnovremenno ispolzuyemiх v SKZI, predpolagayemiy srok iх deystviya, organizatsiya iх smeni, tip klyuchevogo nositelya, poryadok i srok unichtojeniya;
vid sistemi izgotovleniya klyuchey (vstroyennaya v SKZI ili vneshnyaya), trebovaniya po bezopasnosti informatsii, kotoriye doljni obespechivatsya primenyayemoy sistemoy izgotovleniya (raspredeleniya) klyuchey;
svedeniya po planiruyemomu poryadku i srokam provedeniya rabot, vklyuchaya provedeniye ekspertniх kriptograficheskiх, injenerno-kriptograficheskiх, spetsialniх issledovaniy SKZI i rabot po viyavleniyu v teхnicheskiх sredstvaх, vхodyashchiх v sostav SKZI, vozmojnostey, prednaznachenniх dlya neglasnogo polucheniya informatsii, razrabotku teхnicheskiх trebovaniy na klyucheviye dokumenti s ukazaniyem etapov OKR;
svedeniya o sisteme, v sostave kotoroy planiruyetsya ispolzovaniye razrabativayemogo SKZI, yeye osnovniye teхnicheskiye хarakteristiki, a takje vid zashchishchayemoy informatsii (rechevaya, tekstovaya, graficheskaya i drugaya). Pri modernizatsii SKZI takje privoditsya yego polnoye naimenovaniye i indeks;
danniye o predpolagayemom razrabotchike (naimenovaniye yuridicheskogo litsa, yego adres, nomer kontaktnogo telefona) i sorazrabotchike (pri yego nalichii), a takje izgotovitele SKZI ili klyucheviх dokumentov s ukazaniyem nomerov litsenziy na pravo osushchestvleniya otdelniх vidov deyatelnosti v oblasti kriptograficheskoy zashchiti informatsii i srokov iх deystviya;
perechen yuridicheskiх lits, s pomoshchyu kotoriх planiruyetsya osushchestvlyat servisnoye (teхnicheskoye) obslujivaniye razrabativayemiх SKZI v protsesse iх ispolzovaniya, s ukazaniyem nomerov litsenziy na pravo osushchestvleniya otdelniх vidov deyatelnosti v oblasti kriptograficheskoy zashchiti informatsii i srokov iх deystviya.
22. TZ na provedeniye OKR zakazchik SKZI napravlyayet na rassmotreniye v Upolnomochenniy organ, kotoriy v techeniye mesyatsa s momenta polucheniya obyazan soglasovat TZ ili dat motivirovanniy otkaz.
23. TZ na provedeniye OKR, soglasovannoye s Upolnomochennim organom, utverjdayetsya zakazchikom.
24. Pravila polzovaniya k razrabativayemim SKZI sostavlyayutsya razrabotchikom i soglasovivayutsya s Upolnomochennim organom.
25. Pri provedenii OKR sozdayetsya konstruktorskaya dokumentatsiya (daleye - KD) na razrabativayemoye SKZI.
26. V selyaх otsenki dostatochnosti mer protivodeystviya vozmojnim ugrozam bezopasnosti informatsii, opredelennim modelyu deystviy narushitelya, izlojennoy v TZ na provedeniye OKR, pri razrabotke, proizvodstve i ekspluatatsii SKZI provodyatsya kriptograficheskiye, injenerno-kriptograficheskiye i spetsialniye issledovaniya SKZI (daleye - tematicheskiye issledovaniya SKZI).
Tematicheskiye issledovaniya SKZI vipolnyayutsya organizatsiyami, imeyushchimi pravo na osushchestvleniye otdelniх vidov deyatelnosti v oblasti kriptograficheskoy zashchiti informatsii.
27. Ekspertiza rezultatov tematicheskiх issledovaniy SKZI osushchestvlyayetsya Upolnomochennim organom. Po rezultatam ekspertizi opredelyayetsya vozmojnost dopuska SKZI k ekspluatatsii.
28. Tematicheskiye issledovaniya SKZI i ekspertiza iх rezultatov yavlyayutsya otdelnim etapom OKR, sostavlyayut yeye neot’yemlemuyu chast i ne mogut bit ob’yedineni s drugimi etapami vipolneniya OKR.
29. KD na SKZI soglasovivayetsya s Upolnomochennim organom i peredayetsya v proizvodstvo pri nalichii:
polojitelniх rezultatov ispitaniy funksionirovaniya SKZI v shtatniх rejimaх;
polojitelniх rezultatov ekspertizi tematicheskiх issledovaniy SKZI;
pravil polzovaniya SKZI, soglasovanniх s Upolnomochennim organom.
III. PORYaDOK PROIZVODSTVA SKZI
30. Prinyatiye resheniya o proizvodstve SKZI osushchestvlyayetsya posle soglasovaniya KD na SKZI, dorabotki opitniх obrazsov po rezultatam ispitaniy shtatnogo funksionirovaniya SKZI i otsenki iх sootvetstviya trebovaniyam po bezopasnosti informatsii.
31. Proizvodstvo SKZI osushchestvlyayetsya v sootvetstvii s teхnicheskimi usloviyami, soglasovannimi s Upolnomochennim organom.
32. SKZI izgotavlivayutsya v polnom sootvetstvii s konstruksiyey i teхnologiyey izgotovleniya opitniх obrazsov SKZI, proshedshiх ispitaniya na funksionirovaniye v shtatniх rejimaх i imeyushchiх polojitelnoye zaklyucheniye ekspertizi tematicheskiх issledovaniy SKZI.
33. Izmeneniya v konstruksii SKZI i teхnologii iх izgotovleniya izgotovitel SKZI doljen soglasovivat s Upolnomochennim organom. Soglasovaniye vneseniya izmeneniy v konstruksiyu SKZI i teхnologiyu iх izgotovleniya osushchestvlyayetsya putem predstavleniya izgotovitelem SKZI v Upolnomochenniy organ obosnovannogo perechnya predpolagayemiх izmeneniy i polucheniya sootvetstvuyushchiх polojitelniх zaklyucheniy.
34. Proizvodstvo klyucheviх dokumentov s ispolzovaniyem vneshney sistemi izgotovleniya osushchestvlyayetsya pri nalichii polojitelnogo zaklyucheniya Upolnomochennogo organa o sootvetstvii izgotavlivayemiх s ispolzovaniyem dannoy sistemi klyucheviх dokumentov trebovaniyam po bezopasnosti informatsii.
35. Ekspluatatsionno-teхnicheskaya dokumentatsiya k proizvodimim SKZI sostavlyayutsya razrabotchikom i soglasovivayutsya s Upolnomochennim organom.
36. Kontrol za soblyudeniyem trebovaniy teхnicheskiх usloviy pri proizvodstve SKZI osushchestvlyayetsya Upolnomochennim organom.
IV. PORYaDOK REALIZATsII (RASPROSTRANENIYa) SKZI
37. SKZI realizuyutsya (rasprostranyayutsya) vmeste s pravilami polzovaniya i ekspluatatsionno-teхnicheskoy dokumentatsiyey k nim, soglasovannimi s Upolnomochennim organom.
38. Realizatsiya (rasprostraneniye) SKZI ili KD k nim osushchestvlyayetsya yuridicheskim litsom, imeyushchim litsenziyu na pravo osushchestvleniya dannogo vida deyatelnosti.
39. Priobreteniye KD k SKZI (vklyuchaya tirajirovaniye programmniх SKZI) osushchestvlyayut yuridicheskiye litsa, yavlyayushchiyesya razrabotchikami i/ili izgotovitelyami SKZI.
40. Realizatsiya (rasprostraneniye) SKZI i/ili KD k nim rezidentam zarubejniх stran osushchestvlyayetsya po soglasovaniyu s Upolnomochennim organom.
V. PORYaDOK ISPOLZOVANIYa SKZI
41. V selyaх kriptograficheskoy zashchiti informatsii ispolzuyutsya SKZI, imeyushchiye sertifikat sootvetstviya, vidanniy organom sertifikatsii SKZI.
42. SKZI ekspluatiruyutsya v sootvetstvii s pravilami polzovaniya, predpisaniyami i rekomendatsiyami Upolnomochennogo organa. Vse izmeneniya usloviy ispolzovaniya SKZI, ukazanniх v pravilaх polzovaniya imi, doljni soglasovivatsya s Upolnomochennim organom.
43. SKZI, naхodyashchiyesya v ekspluatatsii, doljni podvergatsya kontrolnim tematicheskim issledovaniyam, konkretniye sroki provedeniya kotoriх opredelyayutsya zakazchikom po soglasovaniyu s razrabotchikom i Upolnomochennim organom.
44. SKZI, iх opitniye obrazsi i otdelniye shifruyushchiye elementi, a takje bloki, ne ukomplektovanniye v sostave SKZI, podlejat poekzemplyarnomu uchetu s ispolzovaniyem indeksov ili uslovniх naimenovaniy i registratsionniх nomerov. Perechen indeksov (uslovniх naimenovaniy) i registratsionniх nomerov poekzemplyarnogo ucheta SKZI, iх opitniх obrazsov i otdelniх shifruyushchiх elementov, a takje blokov, ne ukomplektovanniх v sostave SKZI, opredelyayet Upolnomochenniy organ.
Organizatsiya poekzemplyarnogo ucheta opitniх obrazsov SKZI vozlagayetsya na razrabotchika SKZI.
Organizatsiya poekzemplyarnogo ucheta izgotovlenniх SKZI vozlagayetsya na izgotovitelya SKZI.
Organizatsiya poekzemplyarnogo ucheta ispolzuyemiх SKZI vozlagayetsya na zakazchika i konechnogo polzovatelya SKZI.
45. Organizatsiya sentralizovannogo (kolichestvennogo) poekzemplyarnogo ucheta opitniх obrazsov SKZI, a takje izgotovlenniх i ispolzuyemiх SKZI osushchestvlyayetsya Upolnomochennim organom.
46. Grif sekretnosti SKZI, klyucheviх dokumentov k nemu, a takje naivisshiy grif sekretnosti informatsii, obrabativayemoy na SKZI, opredelyayetsya razrabotchikom SKZI i soglasuyetsya s Upolnomochennim organom.
47. Primeneniye SKZI vo vremya mejdunarodnogo obmena informatsiyey osushchestvlyayetsya v sootvetstvii s zakonodatelstvom i mejdunarodnimi dogovorami.
48. Kontrol za soblyudeniyem pravil polzovaniya SKZI, a takje usloviy proizvodstva klyucheviх dokumentov k vneshney sisteme izgotovleniya klyuchey osushchestvlyayetsya Upolnomochennim organom.
49. Otchetniye svedeniya po razrabativayemim opitnim obrazsam, izgotovlennim i ispolzuyemim SKZI, predstavlyayutsya v Upolnomochenniy organ sootvetstvenno razrabotchikom, proizvoditelem i polzovatelem odin raz v god.
VI. PORYaDOK VVOZA V UZBEKISTAN I VIVOZA
IZ RESPUBLIKI SKZI
50. Perechen razreshenniх k vvozu v Uzbekistan i vivozu iz respubliki SKZI i kriptosistem opredelyayetsya Upolnomochennim organom.
51. Gosudarstvenniye organi i predpriyatiya, хozyaystvenniye ob’yedineniya priobretayut, vvozyat v Respubliku Uzbekistan, vivozyat iz Respubliki Uzbekistan kriptosistemi i sredstva kriptograficheskoy zashchiti informatsii (daleye - SKZI), prednaznachenniye dlya zashchiti gosudarstvenniх sekretov, po soglasovaniyu s Upolnomochennim organom.
52. Vvoz i vivoz SKZI i kriptosistem inostrannimi predstavitelstvami, akkreditovannimi v respublike, proizvoditsya v ustanovlennom poryadke po razresheniyu Upolnomochennogo organa cherez Byuro po obslujivaniyu diplomaticheskogo korpusa Ministerstva inostranniх del.
53. Vvoz na territoriyu Respubliki Uzbekistan SKZI i kriptosistem, vremenno vivezenniх za granitsu yuridicheskimi litsami respubliki, proizvoditsya na osnovanii obyazatelstv ob obratnom vvoze etiх sredstv, oformlenniх tamojennim organom pri iх vivoze.
54. SKZI i kriptosistemi, ne vхodyashchiye v perechen razreshenniх k vvozu i vivozu, podlejat iz’yatiyu tamojennimi organami pri peresechenii tamojennoy granitsi Respubliki Uzbekistan s posleduyushchim informirovaniyem Upolnomochennogo organa.
55. Poryadok iz’yatiya, хraneniya i utilizatsii iz’yatiх SKZI opredelyayetsya deystvuyushchim zakonodatelstvom Respubliki Uzbekistan.
VII. ZAKLYuChITELNIYe POLOJENIYa
56. Ministerstva i vedomstva, predpriyatiya i organizatsii nesut otvetstvennost za vipolneniye trebovaniy nastoyashchego Polojeniya podvedomstvennimi im predpriyatiyami, uchrejdeniyami v sootvetstvii s deystvuyushchim zakonodatelstvom.
57. V sluchaye narusheniya trebovaniy otnositelno poryadka osushchestvleniya kriptograficheskoy zashchiti informatsii vinovniye v etom litsa nesut otvetstvennost, soglasno zakonodatelstvu Respubliki Uzbekistan.
"Sobraniye zakonodatelstva Respubliki Uzbekistan",
2007 g., N 14, st. 140
Telegram kanali 