Постановление Управления национальной безопасности No 76/1999 Сб.
Постановление Управления национальной безопасности об обеспечении криптографической защиты секретной информации, сертификации криптографических устройств и требованиях к сертификации
Действующий
Приказ
Действует с 27.04.1999
Версии текста:
10.06.1999
27.04.1999
Zobrazeno prvních 200 z celkem 212 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
76
Декларация
Управление национальной безопасности
14 апреля 1999 года
по обеспечению криптографической защиты секретной информации, сертификации криптографических устройств и сертификационных требований
В соответствии со статьями 52 (5) и 53 (3) Закона No 148/1998 Сб. Управление национальной безопасности («Офис») предусматривает защиту секретной информации и внесение изменений в некоторые законы («Акт»):
Тема вопроса
Настоящий Указ устанавливает порядок использования, развертывания и регистрации криптографических средств, используемых для защиты засекреченной информации («криптографические средства»), использования ключевых материалов, выявления компетентности персонала криптографической защиты засекреченной информации, порядок и способ процесса сертификации криптографических средств и необходимость сертификата.
Для целей настоящего Указа:
а информацию о знаниях, которая может быть передана в любой форме;
b засекреченную засекреченную засекреченную информацию;
(c) криптографической научной дисциплиной, которая разрабатывает и применяет математические и физические принципы для создания методов и средств защиты информации с целью ее сокрытия от неуполномоченного лица, обеспечения ее подлинности, предотвращения ее модификации, отказа или несанкционированного использования («защита информации»);
(d) резюме криптографических ключей, предназначенных для криптографических устройств по ключевым материалам;
е криптографические средства оборудования, объекты, программы или криптографические процессы, включая криптографические ключи, обеспечивающие защиту информации;
(f) конкретную информацию криптографического ключа, используемую вместе с криптографическим устройством для защиты информации;
g аутентификации процесса подтверждения и, таким образом, установления личности пользователя, процесса или другого элемента с требуемой степенью гарантии;
h средства идентификации с помощью средств или систем, используемых для демонстрации личности физического лица, в частности удостоверений личности, оптических датчиков, биометрических датчиков и систем, цифровой подписи и магнитных, чиповых или бесконтактных карт;
(i) аудит процесса обеспечения безопасности, обеспечивающий, наряду с идентификацией и аутентификацией пользователя, индивидуальную ответственность пользователя за свою деятельность в управлении секретной информацией;
j элемент, способный хранить информацию посредством информационного носителя;
(k) скомпрометировать случай несанкционированной обработки секретной информации, что может привести к нарушению защиты секретной информации при использовании криптографического устройства;
(l) криптографически значимый элемент устройства, свойства или метода, участвующий в качестве защиты секретной информации, в частности криптографический алгоритм и криптографический ключ, генератор начальной настройки или носитель криптографических ключей;
(m) подсистема криптографического устройства устройства, используемого непосредственно вместе с криптографическим устройством и позволяющая ему работать под системой защиты секретной информации и оценка которой является частью сертификации криптографического устройства;
n компрометирующее излучение такое излучение, в частности электрическое, электромагнитное, оптическое и акустическое излучение, которое своим возникновением может вызвать высвобождение секретной информации;
(o) законодательство о стандартах безопасности, содержание которого соответствует международному техническому стандарту, директиве или стандарту, и чешский государственный стандарт или спецификация, выпущенные международной организацией, устанавливающие процедуры, руководящие принципы, технические решения, параметры безопасности и организационные меры для защиты секретной информации.
Использование и развертывание криптографических устройств
(1) Для криптографической защиты секретной информации только криптографическое устройство, сертифицированное Бюро для уровня классификации, идентичного уровню секретной информации или выше.
(2) Развертывание криптографического устройства и его использование осуществляются в соответствии со стандартами безопасности, изданными в соответствии с разделом 8 (1) (о) Закона.
(3) В информационной системе, которая обрабатывает, передает, хранит или архивирует (далее именуемая "загрузка") секретную секретную информацию, должно использоваться криптографическое устройство, сертифицированное Ведомством для уровня классификации, идентичного самому высокому уровню классификации секретной информации, с которой обрабатывается информационная система или выше.
(4) Сотрудник по криптографической защите несет ответственность за безупречное состояние и правильное использование криптографического устройства.
(5) Орган обеспечивает использование криптографической защиты секретной информации Североатлантического альянса в информационных системах.
(6) Данные о работе развернутого криптографического устройства, сертифицированного по классификационному уровню «Совершенно секретно» или «Тайно», хранятся в «Книге работы криптографического устройства».
Ключевые материалы
(1) Ключевые материалы являются частью криптографического устройства. Способ обращения с ключевыми материалами должен устанавливать стандарты безопасности.
(2) Незащищенные ключевые материалы, материалы без технической или криптографической защиты классифицируются по классификации, идентичной классификации засекреченного факта, для которого предназначены ключевые материалы, или по более высокой классификации.
(3) Защищенные ключевые материалы, материалы с технической или криптографической защитой классифицируются классификацией, идентичной классификации секретной информации, для которой предназначены ключевые материалы, или более низкой классификации.
(4) Производство ключевых материалов, их распределение и уничтожение неиспользуемых ключевых материалов регулируется нормами безопасности.
(5) Неиспользованные ключевые материалы, выделенные Органом Органу или организации, возвращаются в Ведомство, если иное не указано в стандартах безопасности.
(6) Управление обеспечивает использование и распространение основных материалов Североатлантического альянса.
Компромиссные меры
(1) Если законный орган сочтет, что был достигнут компромисс, он незамедлительно уведомляет об этом Ведомство в письменной форме.
(2) В случае компромисса уполномоченный орган, в частности, незамедлительно принимает следующие меры для обеспечения защиты секретной информации, защищенной криптографическими средствами:
(a) предотвратить дальнейшее использование скомпрометированных ключевых материалов, криптографических средств, систем («компрометированные средства»);
(b) обеспечивать защиту секретной информации другими бескомпромиссными криптографическими средствами, где это возможно; если защита секретной информации не может быть обеспечена таким образом, необходимо использовать другие средства защиты, предусмотренные в статьях 47-51 Закона;
c в случае секретной информации, хранящейся в системе, подключенной к компьютеру или сети связи, обеспечить ее физическое отключение от средств связи;
(d) документировать все обстоятельства, предшествующие найденному компромиссу, а также непосредственно следующие, включая список лиц, контактирующих с скомпрометированным устройством.
Работники криптографической защиты секретной информации
(1) Сотрудник по криптографической защите секретной информации назначается лицом по крайней мере на тот уровень классификации, для которого заверено криптографическое устройство, с которым он работает.
(2) Сотрудником по криптографической защите секретной информации является оператор, оператор-специалист и аудитор, деятельность которого устанавливает стандарты безопасности.
Профессиональная компетентность работников криптографической защиты
(1) Ведомство или его уполномоченная организация обеспечивает подготовку специалистов по криптографической защите.
(2) Профессиональная компетентность персонала криптографической защиты по классификационным уровням «Зарезервированный», «Конфиденциальный» и «Конфиденциальный» проверяется Ведомством или его назначенной организацией. Экспертиза специалистов по криптографической защите на уровне классификации «Совершенно секретно» проверяется Управлением.
(3) Ведомство выдает сотруднику по криптографической защите секретной информации сертификат профессиональной компетентности, образец которого приведен в Приложении 1.
(4) Срок действия свидетельства о профессиональной компетентности должностного лица по криптографической защите по засекреченной информации составляет 6 лет для классификации «зарезервированных» и «конфиденциальных», «секретных» или «секретных» 5 лет.
(5) Срок действия свидетельства о профессиональной компетентности работника криптографической защиты по секретной информации истекает
(a) дату истечения срока действия, указанную в пункте 6; или
b) истечение срока действия выданного свидетельства. 1)
Требования к сертификации криптографических устройств
(1) Орган устанавливает критерии сертификации по стандартам безопасности, требования к системам мер, составляющих криптографическую защиту секретной информации, и криптографические средства, которые могут использоваться для обеспечения криптографической защиты каждого уровня секретной информации.
(2) Криптографические устройства должны использовать криптографические алгоритмы, установленные стандартами безопасности и международными стандартами, утвержденными Управлением или Управлением.
(3) Система мер, составляющих криптографическую защиту секретной информации, должна обеспечивать защиту секретной информации от утечки и несанкционированного удаления. Система мер должна применяться и к их подсистемам.
(4) Криптографические устройства, используемые для защиты секретной информации, и их подсистемы, обрабатывающие секретную информацию в открытой, то есть незашифрованной форме или обрабатывающие криптографически значимые элементы, должны быть устойчивы к компрометации из-за компрометирующего излучения.
(5) Целостность защиты проверяется в соответствии со стандартами безопасности и оценивается в соответствии с классификационным уровнем секретной секретной информации.
Процедура и способ сертификации криптографического устройства
(1) Для проведения сертификации криптографического устройства на требуемый уровень классификации секретной информации они могут запросить:
а государственный орган;
(b) организация, которая была сертифицирована для этой классификации секретной информации;
(c) физическое лицо, указанное для данного уровня секретной информации.
(2) Сертификация криптографического устройства осуществляется по запросу. Модель заявки на сертификацию криптографического устройства изложена в Приложении 3.
(3) Заявки на сертификацию криптографического устройства сопровождаются:
(a) сертификаты, выданные другими утвержденными испытательными органами, включая результаты протоколов измерений, и перечень стандартов, которым было предоставлено криптографическое устройство;
(b) необходимое количество частей криптографического устройства для проведения его сертификации и, при необходимости, для их установки в условиях центра сертификации или для первоначального введения в криптографическое устройство.
(4) В зависимости от определения использования криптографического устройства заявка на его сертификацию должна сопровождаться:
(a) для классификационного уровня "Зарезервировано" документации, указанной в Приложении 2 (1),
(b) для документации классификационного уровня "Конфиденциальная", указанной в Приложении 2 (2),
(c) для документации классификационного уровня "Секретная", указанной в Приложении 2 (3),
(d) для классификации "совершенно секретно" документов, перечисленных в Приложении 2 (4).
(5) При необходимости Ведомство может запросить дополнительно:
(a) дополнительные подтверждающие документы или сведения, необходимые для проведения сертификации криптографического устройства;
(b) ознакомление их команды по оценке с криптографическим устройством, в частности с установкой, параметрами, правилами использования, используемыми криптографическими ключами и экономикой ключей;
c предоставление возможности использования пользовательской среды заявителя для сертификации, в которой криптографическое устройство будет использоваться для оценки воздействия такой среды на требования безопасности для защиты секретной информации;
d) доказательство уровня мер безопасности для исследований, разработок, производства и распространения сертифицированного устройства и ключевой экономики.
(6) Ведомство принимает на себя заявку на сертификацию криптографического устройства, проверяет полноту сопровождающей его документации в соответствии с пунктами 3 и 4 и подтверждает получение необходимого количества частей криптографического устройства. В случае обнаружения недостатков в полноте сопровождающего его досье в соответствии с пунктами 3 и 4 Ведомство предлагает заявителю устранить недостатки в течение указанного срока. Если заявитель не устраняет недостатки, Орган не проводит сертификацию и возвращает заявителю заявку, включая все подтверждающие документы и криптографические средства. Это последствие должно быть доведено до сведения заявителя.
(7) Для проведения сертификации, если необходимы дополнительные подтверждающие документы или для обеспечения деятельности, упомянутой в пункте 5, Ведомство предлагает заявителю представить подтверждающие документы или обеспечить деятельность в течение определенного срока. Если заявитель не представил необходимые подтверждающие документы или не обеспечил требуемую деятельность, Орган не должен продолжать сертификацию и возвращает заявителю заявку, включая все подтверждающие документы и криптографические средства. Заявитель должен быть осведомлен об этих последствиях в вызове.
(8) Оценка криптографического устройства осуществляется путем оценки подтверждающих документов, представленных заявителем, и проверки соответствия выявленных параметров криптографического устройства стандартам безопасности.
(9) На основе результатов оценок Орган оценивает способность криптографического устройства защищать секретную информацию. Если Орган удостоверяет соответствие оцениваемого криптографического устройства стандартам безопасности, он утверждает свою компетенцию и выдает сертификат заявителю. Модель сертификата криптографического устройства приведена в Приложении 4.
(10) Если оцениваемое криптографическое устройство не отвечает требованиям, предъявляемым к требуемому уровню классификации, и Орган находит свое соответствие стандартам безопасности ниже требуемого уровня классификации, Орган выдает сертификат на этот более низкий уровень классификации.
(11) Свидетельство о криптографическом средстве, подтверждающее проверку и утверждение компетенции по защите секретной информации, выданное иностранным органом, может быть признано только в том случае, если это предусмотрено международным договором, которым Чешская Республика связана, или на основе взаимности и соответствия критериев оценки. В бюллетене Ведомства публикуется перечень центров сертификации иностранных держав, криптографические средства которых могут быть признаны, и перечень криптографических устройств, сертифицированных иностранными державами, сертификат которых признан Ведомством.
(12) Перечень сертифицированных технических средств публикуется в Официальном журнале Управления с указанием срока действия сертификата.
(13) После завершения сертификации Орган возвращает заявителю для сертификации только криптографические средства, представленные им. Заявка на сертификацию криптографического устройства, документация, сопровождающая заявку, указанную в пункте 3, и дополнительные подтверждающие документы и данные, необходимые для проведения сертификации, запрашиваемые в соответствии с пунктом 5, не возвращаются заявителю для сертификации и остаются частью файла сертификации.
(14) Срок действия сертификата криптографического устройства, выданного Ведомством, составляет:
(a) для классификации «Зарезервировано» на 6 лет;
(b) для уровней «Конфиденциальный», «Тайный» или «Совершенно секретный» в течение 5 лет.
(15) Действие сертификата криптографического устройства прекращается по истечении срока его действия или по решению Органа, в котором криптографическое устройство перестало соответствовать стандартам безопасности.
Требования сертификата криптографического устройства
Сертификат должен содержать:
(a) идентификации криптографического устройства, включая описание версии, для которой оно выдано;
b) удостоверение, выданное Ведомством;
c) идентификация владельца;
d) идентификация поставщика;
е классификацию секретной информации, в отношении которой утверждена ее компетенция;
f срок действия свидетельства.
Отчетность о сертифицированных криптографических продуктах
(1) Ведомство должно вести обзор сертифицированных криптографических продуктов. Сертифицированное криптографическое устройство должно храниться в файле сертификации, на котором основана заявка на сертификацию криптографического устройства, документация, сопровождающая заявку на сертификацию в соответствии с разделом 9 (3), дополнительные подтверждающие документы или данные, необходимые для проведения сертификации, запрошенной в соответствии с разделом 9 (5), результаты процедуры сертификации и копия выданного сертификата.
(2) Файл сертификации может быть измельчен не ранее чем через 15 лет после даты окончания сертификации криптографического устройства.
Переходные и заключительные положения
Переходные положения
(1) Криптографическое устройство, которое использовалось на дату применения Закона для защиты национальной, экономической или профессиональной тайны в соответствии с действующим законодательством, (2) которое было выпущено Министерством внутренних дел не позднее даты применения Закона не позднее Министерства внутренних дел или которое было одобрено Министерством внутренних дел на дату применения Закона для защиты национальной, экономической и профессиональной тайны, считается сертифицированным криптографическим устройством в соответствии с настоящим Указом не позднее 31 декабря 2001 года.
(2) Законодательный орган определяет, какие криптографические средства, указанные в пункте 1, он считает сертифицированными криптографическими ресурсами в соответствии с настоящим Указом.
(3) Алгоритмы, утвержденные Министерством внутренних дел для управления до даты вступления в силу настоящего Указа, считаются алгоритмами, утвержденными Управлением.
(4) Свидетельство, выданное Министерством внутренних дел или Министерством обороны до вступления в силу настоящего приказа, рассматривается как свидетельство о профессиональной компетентности сотрудника по криптографической защите в соответствии со статьей 7 настоящего приказа. Срок действия сертификата истекает 31 декабря 2001 года, если условия его выдачи перестают действовать.
Эффективность приказа
Указ вступает в силу в день его опубликования.
Директор:
Kadlec v. r.
Příloha č. 1
Приложение No 1 к Декрету No 76/1999 Сб.
Příloha č. 2
Приложение No 2 к Декрету No 76/1999 Сб.
Перечень документации, представленной для заявки на сертификацию криптографического устройства
Документация, представленная для сертификации криптографического устройства, должна быть на чешском языке и в печатной или электронной форме на стандартных электронных носителях обработки в понятной форме.
Документация должна содержать следующую информацию в зависимости от классификации засекреченной или засекреченной информации:
1 Зарезервировано
а) определение и определение средств использования;
тип пользовательской среды и системная интеграция устройства;
c инструкции по использованию устройства;
основные криптографические параметры, тип криптографического алгоритма, математическая модель всех криптографических методов, используемых в оцениваемом криптографическом устройстве;
e данные проверки и программы проверки математической модели алгоритма криптографического устройства;
f данные и программы проверки для проверки и тестирования функции устройства;
g описание экономики ключа, потенции и структуры ключей криптографического устройства;
h способ генерации криптографических ключей криптографического устройства;
(i) блок-схема и описание устройства, указывающего на соединение компонентов;
j блок-схема и описание подкомпонентов устройства;
k) подробные комментарии к исходным текстам модулей различных устройств;
(l) общий исходный текст программного обеспечения устройства, позволяющий переводить и управлять той же формой, что и сертифицированное устройство;
(m) базовый криптографический анализ, проводимый при разработке криптографического устройства;
(n) базовый анализ безопасности, проведенный при разработке устройства;
документацию и результаты анализа безопасности, проведенного на устройстве;
оценка возможности изменения криптографического алгоритма с точки зрения модификации криптографического устройства и лицензионной политики;
r) способ установки устройства,
(s) в случаях, предусмотренных законом, необходимое свидетельство об утверждении устройства или уже выданные свидетельства;
(t) способ защиты устройства от компрометации секретной информации или криптографически значимых элементов паразитарным излучением.
(2) Конфиденциальная документация, указанная в пункте 1 настоящего Приложения, и
а принцип физической реализации устройства;
(b) полную техническую документацию устройства и описание функциональных и технических параметров;
(c) способ создания и реализации ключевой экономики устройства;
d) способ генерации начальной установки устройства,
(e) диагностической системы устройства,
f описание используемых методов аутентификации и идентификации;
g) деинсталляция устройства.
(3) Секретная документация, указанная в пункте 2 настоящего Приложения, и
(a) подробное описание физической реализации криптографического алгоритма, всех используемых режимов его работы, включая примеры управления;
(b) график времени основных функциональных состояний и подблоков и описание основных функциональных режимов устройства;
(c) полную схему участия устройства, включая подробное техническое описание, содержание определения программируемых схем, микропрограмм, воспоминаний и т.д.;
d полные комментируемые исходные тексты всего программного обеспечения;
e) характеристики безопасности и технические параметры ключевых носителей;
f метод распределения ключевой экономики;
g срок действия ключевой экономики;
h) метод защиты ключей и криптографический алгоритм от компрометации;
i способ удаления криптографических следов после удаления;
j описание используемых методов, характеристик и уровней безопасности аудиторских функций;
k правила, регулирующие использование устройства;
l правила использования ключевых перевозчиков;
m правила проектирования топологии сетей средств;
n сопротивление устройства модификации криптографически релевантных частей;
o устойчивость и способ защиты программных частей устройства от вирусной инфекции;
p способ пассивной защиты устройства;
(r) диагностика, курс и методы тестирования и инициализации криптографически значимых частей при сертификации устройства;
(s) диагностика, курс и методы тестирования и инициализации криптографически релевантных деталей в серийном производстве устройства.
(4) Совершенно секретная документация, упомянутая в пункте 3 настоящего Приложения, и
обнаружение криптографических ошибок;
b) реакция устройства на внешние помехи;
(c) реакции устройства на случайные или преднамеренные изменения в рабочей среде;
d реакции устройства на возникновение собственного дефекта или вирусной атаки;
е) сопротивление устройства ошибкам оператора;
f способ регистрации устройства и ключевая экономия;
g меры безопасности при осуществлении серийного производства устройства;
h способ, которым пользователь осуществляет служебную деятельность устройства;
(i) меры безопасности для производства криптографических ключей;
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Постановление Управления национальной безопасности No 76/1999 Сб. об обеспечении криптографической защиты секретной информации, проведении сертификации криптографических устройств и сертификационных требований |
|---|---|
| Тип акта | Приказ |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 27.04.1999 |
|---|---|
| Действует с | 27.04.1999 |
| Действует до | - |
| Статус | Действующий |
Правовые области:
Информация, Данные, Данные
Административное право
Текст нормативного акта носит информационный характер.
Комментарии 0