____________________________________________________________________
Не применяется с 30 марта 2005 года на основании
приказа ФСБ России от 9 февраля 2005 года N 66.
Утратил силу с 4 апреля 2010 года на основании
совместного приказа ФСБ России, ФСО России и СВР России
от 8 февраля 2010 года N 46/45/3
____________________________________________________________________
В соответствии с Федеральным законом от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации"*, Законом Российской Федерации от 19 февраля 1993 года N 4524-1 "О федеральных органах правительственной связи и информации"** и с целью определения порядка разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну,
_______________
* Собрание законодательства Российской Федерации, 1995, N 8, ст.609.
** Ведомости съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 12, ст.423.
приказываю:
Утвердить Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99) (прилагается).
Генеральный директор Агентства
В.Матюхин
Зарегистрировано
в Министерстве юстиции
Российской Федерации
28 декабря 1999 года,
регистрационный N 2029
ПОЛОЖЕНИЕ
о порядке разработки, производства, реализации и использования
средств криптографической защиты информации с ограниченным доступом,
не содержащей сведений, составляющих государственную тайну
(Положение ПКЗ-99)
Настоящее Положение определяет единый на территории Российской Федерации порядок разработки, производства, реализации и использования сертифицированных ФАПСИ средств криптографической защиты подлежащей в соответствии с действующим законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (шифровальных средств), при ее обработке, хранении и передаче по каналам связи в случае принятия решения о необходимости криптографической защиты данной информации.
Данным порядком рекомендуется руководствоваться также при разработке, производстве, реализации и использовании сертифицированных ФАПСИ средств криптографической защиты не подлежащей обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации или по решению пользователя (потребителя) данной информации (за исключением информации, содержащей сведения, к которым в соответствии с действующим законодательством Российской Федерации не может быть ограничен доступ), при ее обработке, хранении и передаче по каналам связи в случае принятия решения о необходимости криптографической защиты данной информации (далее информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, именуется конфиденциальной информацией)*.
_______________
* Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящем Положении именуются СКЗИ. К СКЗИ относятся:
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
- аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
Действие настоящего Положения не распространяется на средства криптографической защиты информации, которая содержит сведения, составляющие государственную тайну, а также информации, которая не содержит сведений конфиденциального характера и сведений, составляющих государственную тайну.
Настоящее Положение не определяет отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование импортных шифровальных средств.
Порядок криптографической защиты конфиденциальной платежной информации при ее обработке и передаче по расчетным системам (сетям) Банка России (в случае необходимости) определяется совместными решениями Банка России и ФАПСИ.
Доступ правоохранительных органов Российской Федерации к конфиденциальной информации, защищенной с использованием СКЗИ, осуществляется в соответствии с действующим законодательством Российской Федерации.
1. При организации обмена подлежащей обязательной защите конфиденциальной информацией, участниками которого являются государственные органы, государственные организации, другие организации независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов, а также юридические лица - пользователи (потребители) конфиденциальной информации, не являющиеся государственными органами или государственными организациями и другими организациями, выполняющими государственные оборонные заказы (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), и физические лица - пользователи (потребители) конфиденциальной информации (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), необходимость криптографической защиты конфиденциальной информации и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются государственными органами или государственными организациями.
2. При организации информационного обмена конфиденциальной информацией, не подлежащей обязательной защите, необходимость ее криптографической защиты и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются соглашениями между участниками обмена.
3. Необходимость криптографической защиты конфиденциальной информации (как подлежащей обязательной защите, так и не подлежащей обязательной защите) при ее обработке, хранении и передаче по каналам связи в случае отсутствия обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы, и выбор типа СКЗИ определяются ее пользователем (в случае, если собственником информационных ресурсов или уполномоченным им лицом предварительно не определена необходимость криптографической защиты конфиденциальной информации и не выбран требуемый тип СКЗИ).
4. При принятии решения о необходимости криптографической защиты подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования настоящего Положения являются обязательными для:
государственных органов и государственных организаций;
юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие в соответствии с законодательством Российской Федерации лицензированию ФАПСИ;
негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы;
других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.
В отношении иных лиц требования Положения ПКЗ-99 носят рекомендательный характер.
5. СКЗИ должны удовлетворять разрабатываемым ФАПСИ требованиям и допускаться к использованию после экспертизы в ФАПСИ.
6. Для криптографической защиты конфиденциальной информации могут использоваться СКЗИ, имеющие сертификат ФАПСИ (сертифицированные СКЗИ).
Порядок сертификации СКЗИ определяется соответствующей системой сертификации.
7. Заказ разработки СКЗИ для федеральных государственных нужд осуществляется ФАПСИ или иным федеральным органом исполнительной власти по согласованию с ФАПСИ.
8. Заказ разработки СКЗИ осуществляется юридическими лицами и (или) индивидуальными предпринимателями, имеющими лицензии ФАПСИ.
9. Разработка СКЗИ осуществляется путем постановки и проведения необходимых научно-исследовательских работ (НИР) по разработке нового типа СКЗИ и опытно-конструкторских работ (ОКР) по созданию нового типа или модернизации действующего образца СКЗИ.
10. НИР по разработке нового типа СКЗИ проводится в соответствии с тактико-техническим заданием (ТТЗ) или техническим заданием (ТЗ), разработанным на основе действующих стандартов на проведение НИР.
11. В ТТЗ или ТЗ на проведение НИР рекомендуется включать сведения:
о заказчике СКЗИ (для юридического лица - наименование юридического лица с указанием номера лицензии ФАПСИ и срока ее действия, адрес юридического лица, телефон; для индивидуального предпринимателя - фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии ФАПСИ и срок ее действия, адрес индивидуального предпринимателя и телефон);
о предполагаемой области применения планируемого к разработке нового типа СКЗИ (указывается система связи, в составе которой планируется использование создаваемого образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и т.д.);
о планируемых этапах выполнения НИР (приводятся данные о планируемых этапах и сроках выполнения НИР);
о предполагаемом исполнителе НИР (приводятся данные о предполагаемом исполнителе (наименование юридического лица, его адрес, телефон) и соисполнителе (при его наличии) с указанием номеров лицензий ФАПСИ и сроков их действия (при их наличии).
12. ТТЗ или ТЗ на проведение НИР заказчик СКЗИ направляет на рассмотрение в ФАПСИ. ФАПСИ в течение двух месяцев с момента получения документов обязано согласовать ТТЗ или ТЗ на проведение НИР или дать мотивированный отказ.
Письменное согласование с ФАПСИ ТТЗ или ТЗ на проведение НИР является основанием для проведения НИР.
13. ТТЗ или ТЗ на проведение НИР, согласованное с ФАПСИ, утверждается заказчиком СКЗИ. Экземпляр утвержденного ТТЗ или ТЗ на проведение НИР направляется заказчиком СКЗИ в ФАПСИ.
14. Результатом НИР являются проект ТТЗ или ТЗ на проведение ОКР по созданию нового типа СКЗИ или модернизации действующего образца СКЗИ и технико-экономическое обоснование данной ОКР.
15. ОКР по созданию нового типа или модернизации действующего образца СКЗИ проводится в соответствии с ТТЗ или ТЗ, разработанным на основе действующих стандартов на проведение ОКР.
16. Разработка ТТЗ или ТЗ на проведение ОКР может осуществляться без предварительного выполнения НИР.
17. ТТЗ или ТЗ на проведение ОКР должно разрабатываться в соответствии с действующими нормативными документами с обязательным указанием следующих сведений:
по криптографической защите информации - уровень криптографической защиты конфиденциальной информации, определяемый в соответствии с требованиями, предъявляемыми заказчиком СКЗИ к свойствам СКЗИ по обеспечению безопасности конфиденциальной информации, или цель криптографической защиты конфиденциальной информации с описанием предполагаемой модели несанкционированного доступа к ней;
по условиям использования СКЗИ - требования, предъявляемые к условиям использования создаваемого нового типа или модернизируемого действующего образца СКЗИ в типовой схеме организации конфиденциальной связи, или исходные данные по конфиденциальной сети (системе), в составе которой планируется использование создаваемого нового типа или модернизируемого действующего образца СКЗИ (типы каналов связи, скорость передачи информации, предполагаемое количество пользователей сети, планируемая интенсивность информационного обмена и т.д.);
по ключам СКЗИ - предполагаемый срок действия ключа, количество ключей, используемых в СКЗИ, организация их смены, тип ключевого носителя и т.д.;
по предполагаемому ходу выполнения работ - сведения по планируемому порядку проведения работ, включая сертификационные испытания СКЗИ, с указанием этапов ОКР, на которых должны быть проведены планируемые работы.
Кроме того, в ТТЗ или ТЗ на проведение ОКР рекомендуется включать сведения:
о заказчике СКЗИ: для юридического лица - наименование юридического лица с указанием номера лицензии ФАПСИ и срока ее действия, адрес юридического лица и телефон; для индивидуального предпринимателя - фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии ФАПСИ и срок ее действия, адрес индивидуального предпринимателя и телефон;
о предполагаемой области применения создаваемого (модернизируемого) образца СКЗИ: указывается система связи, в составе которой планируется использование создаваемого (модернизируемого) образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и т.д.). При модернизации СКЗИ также приводится полное наименование и индекс серийно выпускаемого или разрабатываемого образца СКЗИ;
о предполагаемом разработчике и изготовителе создаваемых (модернизируемых) образцов СКЗИ: приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе СКЗИ с указанием номеров лицензий ФАПСИ и сроков их действия;
о планируемом объеме выпуска создаваемых (модернизируемых) образцов СКЗИ: указывается количество планируемых к выпуску создаваемых (модернизируемых) образцов СКЗИ;
о планируемой стоимости единичного создаваемого (модернизируемого) образца СКЗИ: приводятся данные о планируемой стоимости единичного образца СКЗИ при организации серийного выпуска;
о реализации создаваемых (модернизируемых) образцов СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять реализацию создаваемых (модернизируемых) образцов СКЗИ, с указанием номеров лицензий ФАПСИ и сроков их действия;
о сервисном обслуживании СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять сервисное (техническое) обслуживание создаваемых (модернизируемых) образцов СКЗИ в процессе их использования, с указанием номеров лицензий ФАПСИ и сроков их действия;
о предложениях по сопряжению с государственными конфиденциальными системами: приводятся в случае необходимости организации обмена конфиденциальной информацией с государственными органами, государственными организациями и (или) организациями независимо от их организационно-правовой формы и формы собственности, выполняющими государственные оборонные заказы.
18. Требования к СКЗИ (задаваемый уровень криптографической защиты конфиденциальной информации или цель криптографической защиты конфиденциальной информации, требования к аппаратным, программно-аппаратным и программным средствам конфиденциальной сети (системы), совместно с которыми предполагается использование создаваемого нового типа или модернизируемого действующего образца СКЗИ, требования к ключевой системе СКЗИ и т.д.) могут оформляться специальным техническим заданием (СТЗ), которое является неотъемлемой частью общего ТТЗ или ТЗ на проведение ОКР.
19. ТТЗ или ТЗ на проведение ОКР заказчик СКЗИ направляет на рассмотрение в ФАПСИ. ФАПСИ в течение двух месяцев с момента получения документов обязано согласовать ТТЗ или ТЗ или дать мотивированный отказ с указанием конкретного образца СКЗИ, рекомендуемого заказчику СКЗИ к использованию или модернизации.