Dekret des Nationalen Sicherheitsbüros Nr. 76 / 1999 Coll.
Erlass des Nationalen Sicherheitsamtes über die Sicherstellung des kryptographischen Schutzes von klassifizierten Informationen, die Zertifizierung kryptografischer Geräte und die Zertifizierungsanforderungen
Gültig
Ordnung
In Kraft seit 27.04.1999
Textfassungen:
10.06.1999
27.04.1999
Zobrazeno prvních 200 z celkem 212 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
76.
Ordnung
Nationales Sicherheitsbüro
vom 14. April 1999
über den kryptografischen Schutz von Verschlusssachen, die Zertifizierung kryptografischer Geräte und die Zertifizierungsanforderungen
Das Nationale Sicherheitsbüro ("das Amt") sieht gemäß §§ 52 Abs. 5 und 53 Abs. 3 des Gesetzes Nr. 148/1998 Slg. den Schutz der geheimen Informationen und die Änderung bestimmter Gesetze ("das Gesetz") vor:
Gegenstand
In diesem Erlass werden die Modalitäten für die Verwendung, Bereitstellung und Registrierung von kryptographischen Mitteln, die zum Schutz von geheimen Informationen verwendet werden ("cryptographic means"), die Verwendung von Schlüsselmaterialien, die Erfassung der Kompetenz von kryptografischem Schutzpersonal für geheime Informationen, das Verfahren und die Methode der Zertifizierung von kryptografischen Mitteln und die Notwendigkeit des Zertifikats festgelegt.
Im Sinne dieses Erlasses:
a) Informationen über Kenntnisse, die in jeder Form vermittelt werden können;
b) klassifizierte klassifizierte klassifizierte Informationen;
c) kryptographische Wissenschaftsdisziplin, die mathematische und physikalische Prinzipien für die Erstellung von Methoden und Mitteln zum Schutz von Informationen entwickelt und angewandt, um sie vor einer nicht autorisierten Person zu verbergen, ihre Authentizität zu gewährleisten, ihre Änderung, Verweigerung oder unbefugte Nutzung zu verhindern ("Informationsschutz");
d) eine Zusammenfassung der kryptographischen Schlüssel, die für kryptographische Geräte durch Schlüsselmaterialien bestimmt sind;
e) kryptographische Mittel für Geräte, Objekte, Programme oder kryptographische Prozesse, einschließlich kryptografischer Schlüssel, um den Informationsschutz zu gewährleisten;
f) kryptographische Schlüsselspezifische Informationen, die zusammen mit kryptographischem Gerät zum Schutz von Informationen verwendet werden;
g) die Authentisierung des Bestätigungsprozesses und damit die Etablierung der Identität des Nutzers, des Prozesses oder anderer Elemente mit dem erforderlichen Garantiegrad;
(h) Mittel zur Identifizierung mittels Mitteln oder Systemen, mit denen die Identität einer natürlichen Person, insbesondere Identitätskarten, optische Sensoren, biometrische Sensoren und Systeme, digitale Signatur und magnetische, Chip oder berührungslose Karten nachgewiesen werden kann;
i) eine Prüfung des Sicherheitsprozesses, die zusammen mit der Identifizierung und Authentisierung des Nutzers gewährleistet, dass der Nutzer für seine Tätigkeiten in der Verwaltung klassifizierter Informationen individuell verantwortlich ist;
(j) ein Element, das durch das Informationsmedium Informationen speichern kann;
(k) den Fall der unbefugten Handhabung von Verschlusssachen, die zu einer Verletzung des Schutzes von Verschlusssachen bei Verwendung eines kryptographischen Geräts führen können, kompromittieren;
(l) kryptographisch bedeutsames Element der an der Qualität des Schutzes klassifizierter Informationen beteiligten Vorrichtung, Eigenschaft oder Methode, insbesondere kryptographischer Algorithmus und kryptographischer Schlüssel, der Initial-Einstellgenerator oder kryptographischer Schlüsselträger;
(m) das kryptographische Geräteteilsystem des Geräts, das unmittelbar mit dem kryptographischen Gerät verwendet wird und es ermöglicht, unter dem geheimen Informationsschutzsystem zu arbeiten und dessen Auswertung Teil der Zertifizierung des kryptographischen Geräts ist;
(n) die Abstrahlung solcher Strahlung, insbesondere elektrischer, elektromagnetischer, optischer und akustischer Strahlung zu beeinträchtigen, die durch ihr Auftreten die Freigabe klassifizierter Informationen bewirken kann;
(o) eine sicherheitsstandardspezifische Rechtsvorschrift, deren Inhalt mit einem internationalen technischen Standard, einer Richtlinie oder einem Standard in Einklang steht, und einer von einer internationalen Organisation erteilten tschechischen Staatsnorm oder Spezifikation, die Verfahren, Richtlinien, technische Lösungen, Sicherheitsparameter und organisatorische Maßnahmen zum Schutz der geheimen Informationen festlegt.
Verwendung und Bereitstellung von kryptographischen Geräten
(1) Für den kryptographischen Schutz der klassifizierten Informationen ist nur ein vom Bureau zertifiziertes kryptographisches Gerät für eine mit der klassifizierten Information oder höher identische Klassifizierungsebene.
(2) Der Einsatz des kryptographischen Geräts und dessen Verwendung erfolgt nach den Sicherheitsnormen gemäß § 8 Abs. 1 Buchstabe o des Gesetzes.
(3) In dem Informationssystem, das klassifizierte klassifizierte klassifizierte klassifizierte Informationen verarbeitet, übermittelt, speichert oder archiviert (nachfolgend "loading" genannt), wird ein vom Amt zertifiziertes kryptographisches Gerät für die Klassifizierungsebene verwendet, das mit dem höchsten Klassifizierungsniveau der klassifizierten Informationen, die das Informationssystem bearbeitet oder höher ist, identisch ist.
(4) Der kryptographische Schutzbeauftragte ist für den einwandfreien Zustand und die korrekte Verwendung des kryptographischen Geräts verantwortlich.
(5) Die Behörde sorgt für die Verwendung kryptographischer Schutz von geheimen Informationen der North Atlantic Alliance in Informationssystemen.
(6) Die für die Klassifizierungsebene "Top Secret" oder "Secret" zertifizierten Daten über den Betrieb des bereitgestellten kryptographischen Geräts werden im "Betriebsbuch des kryptographischen Geräts" aufbewahrt.
Schlüsselmaterialien
(1) Schlüsselmaterialien sind Bestandteil eines kryptographischen Geräts. Bei der Handhabung von Schlüsselmaterialien sind Sicherheitsstandards festzulegen.
(2) Unbesicherte Schlüsselmaterialien, Materialien ohne technischen oder kryptographischen Schutz werden durch eine Klassifizierung klassifiziert, die mit der Klassifizierung der klassifizierten Tatsache, für die die Schlüsselmaterialien bestimmt sind, oder durch eine höhere Klassifizierung identisch ist.
(3) Gesicherte Schlüsselmaterialien, Materialien mit technischem oder kryptografischem Schutz werden durch eine Klassifizierung klassifiziert, die identisch ist mit der Klassifizierung der klassifizierten Informationen, für die die Schlüsselmaterialien bestimmt sind oder eine geringere Klassifizierung.
(4) Die Herstellung von Schlüsselmaterialien, deren Verteilung und Zerstörung ungenutzter Schlüsselmaterialien richtet sich nach Sicherheitsstandards.
(5) Nicht verwendete Schlüsselmaterialien, die die Behörde der Behörde oder einer Organisation zugeteilt hat, werden dem Amt zurückgegeben, sofern in den Sicherheitsnormen nichts anderes bestimmt ist.
(6) Das Amt sorgt für den Einsatz und den Vertrieb von Schlüsselmaterialien der North Atlantic Alliance.
Gegenmaßnahmen
(1) Stellt die gesetzliche Behörde fest, dass ein Kompromiss stattgefunden hat, so unterrichtet sie das Amt unverzüglich schriftlich.
(2) Im Falle eines Kompromisses trifft die gesetzliche Behörde insbesondere unverzüglich die folgenden Maßnahmen, um den Schutz von kryptographischen Schutzinformationen zu gewährleisten:
a) die Weiterverwendung von kompromittierten Schlüsselmaterialien, kryptographischen Mitteln, Systemen ("kompromisierte Mittel") verhindern;
b) den Schutz von Verschlusssachen durch andere nicht kompromisslose kryptografische Mittel, soweit vorhanden, sicherstellen; wenn der Schutz von Verschlusssachen auf diese Weise nicht gewährleistet werden kann, ist es erforderlich, andere Schutzmittel gemäß den Abschnitten 47 bis 51 des Gesetzes zu verwenden,
c) bei klassifizierten Informationen, die in einem an ein Computer- oder Kommunikationsnetz angeschlossenen System gespeichert sind, sicherstellen, dass es von den Kommunikationsmitteln physisch getrennt wird;
d) alle Umstände, die dem gefundenen Kompromiss vorausgehen, sowie die unmittelbar folgenden, einschließlich der Liste der Personen, die mit dem kompromittierten Gerät in Kontakt stehen, dokumentieren.
Arbeiter des kryptographischen Schutzes von geheimen Informationen
(1) Der kryptografische Schutzbeauftragte der klassifizierten Informationen wird von einer Person für mindestens die Klassifizierungsstufe benannt, für die das kryptografische Gerät, mit dem er arbeitet, zertifiziert ist.
(2) Der kryptografische Schutzbeauftragte der klassifizierten Informationen ist der Betreiber, der Spezialist und der Prüfer, dessen Tätigkeiten Sicherheitsnormen festsetzen.
Professionelle Kompetenz von kryptographischen Schutzarbeitern
(1) Das Amt oder seine delegierte Organisation sorgt für die Vorbereitung der Kompetenz des kryptografischen Schutzpersonals.
(2) Die fachliche Kompetenz des kryptographischen Schutzpersonals für die Klassifizierungsebenen "Reserviert", "Confidential" und "Confidential" wird vom Amt oder von seiner benannten Organisation überprüft. Die Expertise des kryptographischen Schutzpersonals für die Einstufung "Top Secret" wird vom Amt überprüft.
(3) Das Amt erteilt dem Bediensteten des kryptographischen Schutzes geheimer Informationen eine Bescheinigung über die fachliche Kompetenz, deren Muster in Anhang 1 erscheint.
(4) Die Gültigkeitsdauer des Zeugnisses der fachlichen Kompetenz eines kryptographischen Schutzbeauftragten für geheime Informationen beträgt 6 Jahre für die Einstufung von "reservierten" und "confidential", "klassifiziert" oder "klassifiziert" 5 Jahre.
(5) Die Gültigkeit des Zeugnisses der fachlichen Kompetenz eines kryptographischen Schutzarbeiters für geheime Informationen läuft ab
a) das Ablaufdatum gemäß Absatz 6; oder
b) Ablauf der ausgestellten Bescheinigung. 1)
Anforderungen an die Zertifizierung kryptografischer Geräte
(1) Die Behörde legt die Zertifizierungskriterien nach Sicherheitsnormen fest, die Anforderungen an die Systeme der Maßnahmen, die den kryptographischen Schutz der geheimen Informationen und die kryptographischen Mittel darstellen, die verwendet werden können, um den kryptographischen Schutz für jede Ebene der klassifizierten Informationen sicherzustellen.
(2) Kryptographische Geräte müssen kryptographische Algorithmen verwenden, die durch Sicherheitsstandards und internationale Standards, die vom Amt oder vom Amt genehmigt werden, festgelegt werden.
(3) Ein System von Maßnahmen, die den kryptographischen Schutz der geheimen Informationen darstellen, muss sicherstellen, dass klassifizierte Informationen vor Leckagen und unberechtigter Entsorgung geschützt sind. Das Maßnahmensystem muss auch auf ihre Teilsysteme angewendet werden.
(4) Kryptographische Geräte, die zum Schutz der geheimen Informationen und ihrer Subsysteme verwendet werden, müssen klassifizierte Informationen in einer offenen, d.h. unverschlüsselten Form oder Handhabung kryptographisch bedeutsamer Elemente durch Beeinträchtigung der Strahlung widerstehen.
(5) Die Integrität des Schutzes wird nach Sicherheitsnormen überprüft und nach der Einstufungsstufe der eingestuften klassifizierten klassifizierten Informationen bewertet.
Verfahren und Verfahren zur Zertifizierung von kryptographischem Gerät
(1) Um die Zertifizierung eines kryptographischen Geräts für die erforderliche Klassifizierungsstufe von klassifizierten Informationen durchzuführen, können sie verlangen:
a) eine staatliche Behörde;
b) eine Organisation, die für diese Einstufung von Verschlusssachen zertifiziert ist;
c) die natürliche Person, die für diese Ebene der klassifizierten Informationen benannt ist.
(2) Die Zertifizierung des kryptographischen Geräts erfolgt auf Anfrage. Das Muster für die Zulassung eines kryptographischen Geräts ist in Anhang 3 festgelegt.
(3) Anträge auf Zertifizierung eines kryptographischen Geräts werden begleitet von:
a) von anderen zugelassenen Prüfkörpern ausgestellte Bescheinigungen, einschließlich der Ergebnisse von Messprotokollen, und eine Liste der Normen, denen das kryptographische Gerät erteilt wurde;
b) die notwendige Anzahl von Stücken kryptographischer Vorrichtung zur Durchführung ihrer Zertifizierung und gegebenenfalls zur Durchführung ihrer Installation unter den Bedingungen des Zertifizierungszentrums oder zur erstmaligen Einführung in das kryptographische Gerät.
(4) Abhängig von der Bestimmung der Verwendung des kryptographischen Geräts ist der Antrag auf Zertifizierung mit folgenden Angaben zu versehen:
a) für die Klassifizierungsebene "Reserviert" der in Anhang 2 Absatz 1 aufgeführten Unterlagen,
b) für die Einstufungsebene "Vertrauensdokumentation" gemäß Anhang 2 Absatz 2,
c) für die Einstufungsebene "Secret"-Dokumentation gemäß Anhang 2 Absatz 3;
d) für die Einstufung der in Anhang 2 (4) aufgeführten Dokumente "Top Secret".
(5) Das Amt kann, falls erforderlich, weiter verlangen:
a) zusätzliche Belege oder Angaben, die zur Zertifizierung des kryptographischen Geräts erforderlich sind;
b) Vertrautheit ihres Bewertungsteams mit dem kryptographischen Gerät, insbesondere mit Installation, Parametern, Nutzungsregeln, verwendeten kryptographischen Schlüsseln und Schlüsselökonomie;
c) die Möglichkeit, die Nutzerumgebung des Antragstellers zur Zertifizierung zu nutzen, bei der das kryptographische Gerät verwendet wird, um die Auswirkungen einer solchen Umgebung auf die Sicherheitsanforderungen zum Schutz geheimer Informationen zu bewerten;
d) Nachweis der Höhe der Sicherheitsmaßnahmen für Forschung, Entwicklung, Produktion und Vertrieb des zertifizierten Geräts und der Schlüsselwirtschaft.
(6) Das Amt übernimmt den Antrag auf Zertifizierung eines kryptographischen Geräts, prüft die Vollständigkeit der ihm nach den Absätzen 3 und 4 beigefügten Unterlagen und bestätigt den Eingang der erforderlichen Stückzahl des kryptographischen Geräts. Bei Feststellungen von Mängeln in der Vollständigkeit der ihm nach den Absätzen 3 und 4 beigefügten Unterlagen fordert das Amt den Antragsteller auf, die Mängel innerhalb des festgelegten Zeitraums zu beheben. Versäumt der Antragsteller die Mängel, so führt die Behörde die Zertifizierung nicht durch und übermittelt dem Antragsteller den Antrag einschließlich aller Belege und kryptografischer Mittel. Diese Konsequenz muss dem Antragsteller zur Kenntnis gebracht werden.
(7) Um die Zertifizierung durchzuführen, wenn weitere Belege erforderlich sind oder die Tätigkeiten gemäß Absatz 5 zu sichern, fordert das Amt den Antragsteller auf, Belege vorzulegen oder die Tätigkeiten innerhalb einer bestimmten Frist zu sichern. Versäumt der Antragsteller, die erforderlichen Belege einzureichen oder die erforderlichen Tätigkeiten nicht zu gewährleisten, so setzt die Behörde die Bescheinigung nicht fort und gibt den Antrag, einschließlich aller Belege und kryptografischer Mittel, an den Antragsteller zurück. Der Antragsteller muss sich bei der Aufforderung dieser Konsequenz bewusst gemacht werden.
(8) Die Beurteilung des kryptographischen Geräts erfolgt durch Bewertung der vom Antragsteller vorgelegten Belege und Überprüfung der Einhaltung der identifizierten Parameter des kryptographischen Geräts mit Sicherheitsnormen.
(9) Auf der Grundlage der Ergebnisse der Bewertungen bewertet die Behörde die Fähigkeit eines kryptographischen Geräts zum Schutz der geheimen Informationen. Stellt die Behörde die Einhaltung des bewerteten kryptographischen Geräts mit Sicherheitsnormen fest, so genehmigt sie ihre Zuständigkeit und erteilt dem Antragsteller eine Bescheinigung. Das Muster der kryptographischen Gerätebescheinigung ist in Anhang 4 festgelegt.
(10) Erfüllt das bewertete kryptografische Gerät die Kompetenz für die erforderliche Klassifikationsstufe nicht und findet die Behörde ihre Einhaltung der Sicherheitsnormen für einen niedrigeren als die geforderte Klassifikationsstufe, so stellt die Behörde eine Bescheinigung für diese niedrigere Klassifikationsstufe aus.
(11) Eine Bescheinigung kryptografischer Mittel, die die Prüfung und Zulassung der Zuständigkeit für den Schutz von von Fremden ausgestellten geheimen Informationen bestätigen, kann nur dann anerkannt werden, wenn sie in einem internationalen Vertrag vorgesehen ist, den die Tschechische Republik gebunden ist, oder auf der Grundlage von Gegenseitigkeit und Konformität von Bewertungskriterien. Das Bulletin des Amtes veröffentlicht eine Liste von Zertifizierungsstellen ausländischer Macht, deren kryptographische Mittel anerkannt werden können, und eine Liste kryptografischer Geräte, die von ausländischen Befugnissen zertifiziert sind, deren Bescheinigung vom Amt anerkannt wurde.
(12) Eine Liste der zugelassenen technischen Mittel wird im Amtsblatt des Amtes veröffentlicht, in dem die Dauer der Bescheinigung angegeben ist.
(13) Nach Abschluss der Zertifizierung übermittelt die Behörde dem Antragsteller nur die von ihr zur Zertifizierung vorgelegten kryptographischen Mittel. Der Antrag auf Zertifizierung eines kryptografischen Geräts, die der in Absatz 3 genannten Anmeldung beigefügten Unterlagen und die zusätzlichen Belege sowie die zur Durchführung der gemäß Absatz 5 beantragten Zertifizierung erforderlichen Daten werden dem Antragsteller nicht zur Zertifizierung zurückgegeben und bleiben Teil der Zertifizierungsdatei.
(14) Die Gültigkeitsdauer der vom Amt ausgestellten Bescheinigung für kryptographisches Gerät ist:
(a) für die "Reservierte"-Klassifikation für 6 Jahre;
(b) für "Confidential", "Secret" oder "Top Secret" für 5 Jahre.
(15) Die Gültigkeit der Bescheinigung eines kryptographischen Geräts muss am Ende seiner Gültigkeitsdauer oder durch Entscheidung der Behörde, in der das kryptographische Gerät die Sicherheitsnormen nicht erfüllt hat, nicht bestehen.
Anforderungen des kryptographischen Gerätezertifikats
Die Bescheinigung enthält:
a) die Identifizierung des kryptographischen Geräts, einschließlich der Beschreibung der Version, für die es ausgestellt wird;
b) Identifizierung der vom Amt vergebenen Bescheinigung;
c) Identifizierung des Inhabers;
d) Identifizierung des Lieferanten;
e) die Klassifizierung der klassifizierten Informationen, für die ihre Zuständigkeit genehmigt wurde;
f) die Gültigkeitsdauer der Bescheinigung.
Meldung von zertifizierten kryptographischen Produkten
(1) Das Amt hält einen Überblick über zertifizierte kryptographische Produkte. Ein zertifiziertes kryptografisches Gerät ist in der Zertifizierungsdatei zu halten, in der der Antrag auf Zertifizierung des kryptografischen Geräts basiert, die Unterlagen, die der Antrag auf Zertifizierung gemäß § 9 Abs. 3 begleiten, die zusätzlichen Belege oder Daten, die zur Durchführung der gemäß § 9 Abs. 5 geforderten Zertifizierung, die Ergebnisse des Zertifizierungsverfahrens und eine Kopie des ausgestellten Zertifikats erforderlich sind.
(2) Die Zertifizierungsdatei darf nicht früher als 15 Jahre nach Ablauf der Zertifizierung des kryptographischen Geräts geschreddert werden.
Übergangsbestimmungen
Übergangsbestimmungen
(1) Ein kryptographisches Gerät, das zum Zeitpunkt der Anwendung des Gesetzes zum Schutz nationaler, wirtschaftlicher oder beruflicher Geheimnisse nach den geltenden Rechtsvorschriften verwendet wurde, (2), das vom Innenministerium spätestens zum Zeitpunkt der Anwendung des Gesetzes vom Innenministerium ausgestellt wurde oder das vom Innenministerium zum Zeitpunkt der Anwendung des Gesetzes zum Schutz nationaler, wirtschaftlicher und beruflicher Geheimnisse genehmigt wurde, gilt spätestens als zertifiziertes kryptographisches Gerät nach diesem Erlass vom 31. Dezember 2001.
(2) Die gesetzliche Behörde entscheidet, welche kryptographischen Mittel gemäß Absatz 1 sie als zertifizierte kryptographische Ressourcen nach diesem Erlass betrachtet.
(3) Die vom Innenministerium genehmigten Algorithmen für die Verwaltung vor dem tatsächlichen Datum dieses Erlasses gelten als vom Amt genehmigte Algorithmen.
(4) Die Bescheinigung des Innenministeriums oder des Verteidigungsministeriums vor dem Inkrafttreten dieser Bestellung gilt als Bescheinigung der fachlichen Kompetenz des Cryptographischen Schutzbeauftragten gemäß Artikel 7 dieser Verordnung. Die Bescheinigung endet spätestens am 31. Dezember 2001, wenn die Bedingungen für ihre Ausstellung nicht mehr gelten.
Effizienz der Bestellung
Diese Verordnung tritt am Tag ihrer Veröffentlichung in Kraft.
Direktor:
Kadlec v. r.
Příloha č. 1
Anhang Nr. 1 des Erlasses Nr. 76/1999
Příloha č. 2
Anhang Nr. 2 des Erlasses Nr. 76/1999
Liste der Unterlagen, die für den Antrag auf Zertifizierung eines kryptographischen Geräts eingereicht wurden
Die zur Zertifizierung des kryptographischen Geräts vorgelegten Unterlagen müssen in tschechischer Sprache und in gedruckter oder elektronischer Form auf Standard-elektronischen Verarbeitungsmedien verständlich sein.
Die Dokumentation enthält je nach Klassifizierung der klassifizierten oder klassifizierten Informationen folgende Angaben:
(1) Vorbehaltlich
a) Identifizierung und Definition der Verwendungsmittel;
b) die Art der Benutzerumgebung und die systemische Integration des Gerätes;
c) Anweisungen für die Verwendung des Geräts;
d) grundlegende kryptographische Parameter, Art des kryptographischen Algorithmus, mathematisches Modell aller kryptographischen Methoden, die in dem ausgewerteten kryptographischen Gerät verwendet werden;
e) Prüfdaten und Programme zur Überprüfung des mathematischen Modells des kryptographischen Gerätealgorithmus;
f) Prüfdaten und Programme zur Überprüfung und Prüfung der Funktion des Geräts;
(g) eine Beschreibung der Schlüsselwirtschaft, der Potenz und der Struktur der kryptographischen Geräteschlüssel;
(h) das Verfahren zur Generierung kryptographischer Schlüssel des kryptographischen Gerätes;
(i) ein Blockschaltbild und eine Beschreibung der die Verbindung der Bauteile anzeigenden Vorrichtung;
(j) Blockdiagramm und Beschreibung der Teilkomponenten der Vorrichtung;
(k) ausführliche Anmerkung zu den Quelltexten der verschiedenen Gerätemodule;
(l) den gesamten Quelltext der Software des Gerätes, der die Übersetzung in dieselbe Form wie das zertifizierte Gerät erlaubt;
(m) die bei der Entwicklung des kryptographischen Geräts durchgeführte Grund-Kryptographische Analyse;
(n) grundlegende Sicherheitsanalyse bei der Entwicklung des Geräts;
(o) Dokumentation und Ergebnisse der am Gerät durchgeführten Sicherheitsanalysen;
(p) eine Bewertung der Möglichkeit, den kryptographischen Algorithmus in Bezug auf die Modifikation des kryptographischen Gerätes und der Lizenzpolitik zu ändern;
(r) das Verfahren zum Einbau der Vorrichtung,
(s) in den gesetzlich vorgesehenen Fällen die erforderliche Genehmigungsbescheinigung der bereits erteilten Einrichtung oder Bescheinigung;
(t) das Verfahren zum Schutz des Geräts gegen die klassifizierte Information oder kryptologisch relevante Elemente durch parasitäre Strahlung.
(2) Vertrauliche Unterlagen gemäß Absatz 1 dieses Anhangs und
a) das Prinzip der physischen Durchführung des Geräts;
b) die vollständige technische Dokumentation des Geräts und eine Beschreibung der funktionalen und technischen Parameter;
c) die Art und Weise, wie die wesentliche Wirtschaftlichkeit des Geräts geschaffen und umgesetzt wird;
d) das Verfahren zur Erzeugung der Anfangseinstellung der Vorrichtung,
e) das Diagnosesystem der Vorrichtung,
f) eine Beschreibung der verwendeten Methoden der Authentifizierung und Identifizierung;
(g) Deinstallation des Gerätes.
(3) Geheimdokumentation gemäß Absatz 2 dieses Anhangs und
(a) eine detaillierte Beschreibung der physikalischen Umsetzung des kryptographischen Algorithmus, alle verwendeten Betriebsmodi, einschließlich Kontrollbeispielen;
b) ein Zeitdiagramm der Hauptfunktionszustände und Teilblöcke und eine Beschreibung der Grundfunktionsmodi des Gerätes;
c) ein vollständiges Diagramm der Beteiligung des Geräts, einschließlich einer detaillierten technischen Beschreibung, der Definitionsinhalte von programmierbaren Schaltungen, Mikroprogrammen, Speichern usw.,
d) vollständige kommentierte Quelltexte der gesamten Software;
e) Sicherheitsmerkmale und technische Parameter der Schlüsselträger;
f) Verteilung der Schlüsselwirtschaft;
g) die Gültigkeitsdauer der Schlüsselwirtschaft;
h) Verfahren zum Schutz von Schlüsseln und kryptographischen Algorithmus vor Kompromissen;
— Verfahren zur Beseitigung kryptographischer Spuren nach der Deinstallation;
(j) eine Beschreibung der verwendeten Methoden, Merkmale und Sicherheitsstufen der Auditfunktionen;
(k) die Regeln für die Verwendung des Geräts;
(l) Regeln für die Verwendung von Schlüsselträgern;
(m) Regeln für die Gestaltung der Topologie der Mittelnetze;
(n) den Widerstand der Vorrichtung zur Modifikation kryptographisch relevanter Teile;
(o) den Widerstand und das Verfahren des Schutzes von Programmteilen des Geräts gegen Virusinfektion;
(p) das Verfahren des passiven Schutzes der Vorrichtung;
(r) Diagnose, Verlauf und Methoden der Prüfung und Initialisierung von kryptographisch relevanten Teilen bei der Zertifizierung des Geräts;
(s) Diagnose, Verlauf und Methoden der Prüfung und Initialisierung von kryptographisch relevanten Teilen in der Serienfertigung des Gerätes.
(4) Das oberste Geheimnis, die in Absatz 3 dieses Anhangs genannte Dokumentation, und
a) Erkennung kryptographischer Fehler;
b) die Reaktion der Vorrichtung auf äußere Störimpulse;
c) die Reaktion der Vorrichtung auf zufällige oder absichtliche Veränderungen der Arbeitsumgebung;
d) die Reaktion der Vorrichtung auf das Auftreten eines eigenen Defekts oder Virusangriffs;
e) den Widerstand der Vorrichtung gegen den Bedienfehler;
f) das Verfahren zur Aufnahme des Geräts und der Schlüsselwirtschaft;
g) Sicherheitsmaßnahmen bei der Durchführung der Serienfertigung des Geräts;
h) die Art und Weise, in der die Dienstaktivitäten des Geräts vom Benutzer durchgeführt werden;
— Sicherheitsmaßnahmen zur Herstellung kryptographischer Schlüssel;
Melden Sie sich an für Notizen, Favoriten und Benachrichtigungen
Informationen zur Vorschrift
| Zitierung | Dekret des Nationalen Sicherheitsamtes Nr. 76 / 1999 Coll., über die Sicherstellung des kryptographischen Schutzes von geheimen Informationen, die Zertifizierung von kryptographischen Geräten und Zertifizierungsanforderungen |
|---|---|
| Art der Vorschrift | Ordnung |
| Autor | - |
| Sammlung | Gesetzessammlung |
| Verkündungsdatum | 27.04.1999 |
|---|---|
| In Kraft seit | 27.04.1999 |
| In Kraft bis | - |
| Status | Gültig |
Rechtsgebiete:
Informationen, Daten, Daten
Verwaltungsrecht
Der Wortlaut der Vorschrift hat informativen Charakter.
Kommentare 0