Наказ Міністерства охорони здоров'я No 76 / 1999 Coll.
Указ Національного офісу з питань забезпечення криптографічного захисту інформації, сертифікації криптографічних пристроїв та вимог до сертифікації
Чинний
Замовити
Чинний від 27.04.1999
Версії тексту:
10.06.1999
27.04.1999
Zobrazeno prvních 200 z celkem 212 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
76 км
ВИЗНАЧЕННЯ
Національний офіс безпеки
з 14 квітня 1999
забезпечення криптографічного захисту інформації, атестації криптографічних пристроїв та вимог до сертифікації
Національний офіс безпеки ("The Office ') надає, згідно з розділами 52 (5) та 53 (3) Акту No 148 / 1998 Coll., про захист позначеної інформації та про внесення змін до деяких законів (" Акт"):
Тема питання
Цей Указ встановлює можливості використання, розгортання та реєстрації криптографічних засобів, що використовуються для захисту інформації ( «криптографічні засоби»), використання ключових матеріалів, виявлення компетентності персоналу криптографічного захисту для позначеної інформації, процедури та способу сертифікації процесу криптографічних засобів та необхідності сертифікату.
Для цілей цієї постанови:
(а) інформація про знання, які можуть бути передані в будь-яку форму;
(b) класифікована класифікована інформація;
(c) криптографічна наукова дисципліна, яка розробляє та застосовує математичні та фізичні принципи створення методів та засобів захисту інформації для того, щоб приховати її від несанкціонованої особи, забезпечити її автентичність, запобігати її модифікації, відмові або несанкціонованому використанню ("захист інформації");
(d) резюме криптографічних ключів, призначених для криптографічних пристроїв за ключовими матеріалами;
(e) криптографічні засоби обладнання, об'єктів, програм або криптографічних процесів, включаючи криптографічні ключі, забезпечення захисту інформації;
(f) криптографічна інформація, що використовується спільно з криптографічним пристроєм для захисту інформації;
(г) автентифікації процесу підтвердження і, таким чином, створення ідентичності користувача, процесу або іншого елемента з необхідною ступенем гарантії;
(h) засоби ідентифікації за допомогою засобів або систем, що використовуються для демонстрації ідентичності фізичної особи, зокрема карток ідентифікації, оптичних датчиків, біометричних датчиків та систем, цифрового підпису та магнітного, чіпа або безконтактних карток;
(i) аудит забезпечення безпеки, разом з визначенням та автентифікацією користувача, що користувач індивідуально несе відповідальність за свою діяльність в управлінні позначеною інформацією;
(j) елемент, здатний зберігати інформацію за даними середовища;
(k) обгрунтувати випадок несанкціонованої обробки інформації, яка може призвести до порушення захисту інформації при використанні криптографічного пристрою;
(l) криптографічно значущий елемент пристрою, майна або способу, який бере участь у якості захисту інформації, зокрема криптографічного алгоритму та криптографічного ключа, початкового генератора налаштування або криптографічного носія;
(m) підсистема криптографічного пристрою, що використовується відразу з криптографічним пристроєм та дозволяє йому працювати під системою захисту інформації та оцінкою якого є частиною сертифікації криптографічного пристрою;
(n) компромізуюче випромінювання, зокрема електричне, електромагнітне, оптичне та акустичне випромінювання, яке за його виникненням може призвести до виходу класифікованої інформації;
(o) стандарт безпеки конкретного законодавства, зміст якого відповідає міжнародним технічним стандартам, прямим або стандартним, чеським державним стандартом або специфікацією, виданим міжнародною організацією, встановленням процедур, інструкцій, технічних рішень, параметрів безпеки та організаційних заходів для захисту інформації.
Використання та розгортання криптографічних пристроїв
(1) Для криптографічного захисту інформації, тільки криптографічний пристрій, сертифікований бюро для рівня класифікації, ідентичний класифікації або вище.
(2) Розгортання криптографічного пристрою та його використання здійснюється відповідно до стандартів безпеки, що видаються в розділі 8 (1) (o) Акту.
(3) У інформаційній системі, яка обробляє, передає, зберігає або архіви (далі – «завантаження») класифікована інформація, криптографічний пристрій, сертифікований Офісом для рівня класифікації, ідентичний найвищому рівні класифікації позначеної інформації, яку використовується система обробки інформації або вище.
(4) Радник криптографічного захисту несе відповідальність за бездоганний стан та правильне використання криптографічного пристрою.
(5) Адміністрація забезпечує використання криптографічного захисту інформації Північноатлантичного альянсу в інформаційних системах.
(6) Дані про операцію розгорнутого криптографічного пристрою, сертифікованого за рівнем класифікації "Top Secret" або "Secret" зберігаються в "Книжкові операції криптографічного пристрою".
Основні матеріали
(1) Основні матеріали формують частину криптографічного пристрою. Метод обробки ключових матеріалів встановлює стандарти безпеки.
(2) Незабезпечені ключові матеріали, матеріали без технічного або криптографічного захисту класифікуються класифікацією, яка ідентична класифікації класифікованого факту, для якого основні матеріали призначені або вищою класифікацією.
(3) Захищені ключові матеріали, матеріали з технічним або криптографічним захистом класифікуються класифікацією, яка ідентична класифікації класифікованої інформації, для якої призначені основні матеріали або менша класифікація.
(4) Виробництво ключових матеріалів, їх поширення та знищення невикористаних ключових матеріалів регулюється стандартами безпеки.
(5) Невикористані ключові матеріали, виділені Адміністрацією або організацією, будуть повернені до Офісу, якщо інше, зазначене у стандартах безпеки.
(6) Офіс забезпечує використання та поширення ключових матеріалів Північноатлантичного альянсу.
Компромісні заходи
(1) У разі, якщо статутний орган знаходжує, що з’явиться компроміс, він негайно повідомити Офіс у письмовій формі.
(2) У разі компромісу, статутний орган зобов'язаний, зокрема, вживати такі заходи без затримки, щоб забезпечити захист від позначеної інформації, захищеної криптографічними засобами:
(а) запобігає поширенню продовженого використання ключових матеріалів, криптографічних засобів, систем ("компромізованих засобів");
(b) забезпечити захист від позначеної інформації іншими некомпромізованими криптографічними засобами, в яких доступно захист від позначеної інформації, необхідно використовувати інші засоби захисту, передбачені розділами 47 до 51 Закону,
(c) у разі позначеної інформації, що зберігається в системі, підключеній до мережі комп’ютерів або зв’язку, що вона фізично відключена з засобів зв’язку;
(d) документ про всі обставини, що передують виявленому компромісу, а також ті, що відразу ж слідують, включаючи перелік осіб, які контактують з комплаєнсовим пристроєм.
Працівники криптографічного захисту інформації
(1) Оператор криптографічного захисту позначеної інформації може бути визначений особою принаймні рівнем класифікації, для якого засвідчено криптографічний пристрій, з яким він працює.
(2) Менеджер із захисту криптографічних засобів призначений оператором, оператором спеціаліста та аудитором, який встановлює стандарти безпеки.
Професійна компетентність працівників криптографічного захисту
(1) Офіс або його делегована організація забезпечить підготовку компетенції персоналу криптографічного захисту.
(2) Професійну компетентність персоналу криптографічного захисту для класичних рівнів «Збережено», «Конфіденційне» та «Конфіденційне» перевіряється Офісом або його визначеною організацією. Експертиза криптографічного захисту персоналу для рівня класифікації «Top Secret» буде перевірена Офісом.
(3) Офіс видає свідоцтво про професійну компетентність до складу персоналу криптографічного захисту інформації, модель якої з'являється в додатку 1.
(4) Термін дії свідоцтва про професійну компетентність криптографічного працівника охорони на позначену інформацію становить 6 років за класифікацію «збережених» та «конфіденційних», «класифікованих» або «класифікованих» 5 років.
(5) Термін дії свідоцтва про професійну компетентність криптографічного працівника з питань класифікованої інформації
(a) дата закінчення, зазначена в пункті 6; або
(б) видача сертифікату. 1 час
Вимоги до сертифікації криптографічних пристроїв
(1) Адміністрація встановлює критерії сертифікації за стандартами безпеки, вимоги до систем заходів, що містять криптографічний захист інформації та криптографічні засоби, які можуть бути використані для забезпечення криптографічного захисту для кожного рівня класифікації інформації.
(2) Криптографічні пристрої повинні використовувати криптографічні алгоритми, встановлені стандартами безпеки та міжнародними стандартами, затвердженими Офісом або Офісом.
(3) Система заходів, що містять криптографічний захист інформації, повинна забезпечити, що позначена інформація захищена від витоку та несанкціонованого використання. Система заходів також повинна застосовуватися до своїх підсистем.
(4) Пристрої Cryptoграфічні, що використовуються для захисту інформації та обробки їх підсистем, класифікована інформація у відкритому, тобто нерозшифрована форма або обробка криптографічно значущих елементів, які повинні бути стійкими до компромісу через компромування випромінювання.
(5) Цілісність захисту перевіряється за стандартами безпеки і оцінюються відповідно до рівня класифікації класифікованої класифікованої інформації.
Порядок та метод сертифікації криптографічного пристрою
(1) Для проведення сертифікації криптографічного пристрою для необхідного рівня класифікації інформації, вони можуть запитати:
(а) державного органу;
(b) організація, яка сертифікована за дану класифікацію інформації;
(c) фізична особа, яка призначена для цього рівня інформації.
(2) Сертифікація криптографічного пристрою здійснюється за запитом. У додатку встановлена модель для сертифікації криптографічного пристрою.
(3) Застосування для сертифікації криптографічного пристрою супроводжуються:
(а) сертифікати, що видаються іншими затвердженими тестовими органами, включаючи результати протоколів вимірювання, а також перелік стандартів, до яких надається криптографічний пристрій;
(b) необхідної кількості одиниць криптографічного пристрою для проведення сертифікації та, якщо необхідно, щоб здійснити їх монтаж в умовах сертифікаційного центру або здійснити початкове введення в криптографічний пристрій.
(4) Залежно від визначення використання криптографічного пристрою, застосування його сертифікації буде супроводжуватися:
(а) за класифікаційний рівень "Збережено" документації, що вказані в додатку 2 (1),
(b) за класифікаційний рівень "Конфіденційно" документація, що зазначена в додатку 2 (2),
(c) за класифікаційний рівень "Секрет" документація, що зазначена в додатку 2 (3),
(d) за класифікацію документів, що вказані в додатку 2 (4).
(5) Офіс може, якщо це необхідно, запит далі:
(а) додаткові супровідні документи або особливості, необхідні для проведення сертифікації криптографічного пристрою;
(b) ознайомлення команди з криптографічним пристроєм, зокрема з установкою, параметрами, правилами використання, використовуваними криптографічними ключами та ключовою економікою;
(c) забезпечення можливості використання середовища користувача заявника для сертифікації, в якому використовується криптографічний пристрій для оцінки впливу такого середовища на вимоги безпеки для захисту інформації;
(d) докази рівня заходів безпеки для досліджень, розробки, виробництва та розподілу сертифікованого пристрою та ключової економіки.
(6) Офіс приймає за заявою про атестацію криптографічного пристрою, перевірте повноту документації, яка супроводжує її відповідно до пунктів 3 та 4 та підтверджує надходження необхідної кількості одиниць криптографічного пристрою. У разі виявлення недоліків у повноти дозатора, що супроводжує його відповідно до пунктів 3 та 4, Офіс запрошує заявника звернутися до засобу для усунення недоліків у зазначений період. Якщо заявник не може звернутися до дефіцитів, Адміністрація не здійснює атестацію та поверне заяву, включаючи всі супровідні документи та криптографічні засоби, заявнику. Цей наслідок необхідно принести до уваги заявника.
(7) Для того, щоб здійснити сертифікацію, якщо необхідно додатково підтримувати документи або забезпечити діяльність, зазначену в пункті 5, Офіс запрошує заявника подати документи або забезпечити діяльність в межах зазначеного ліміту часу. Якщо заявник не подає необхідних документів, або не зобов’язується забезпечити необхідну діяльність, Адміністрація не продовжить сертифікацію та поверне заяву, в тому числі всі супровідні документи та криптографічні засоби, заявнику. Заявник повинен бути в курсі цього результату.
(8) Оцінка криптографічного пристрою здійснюється шляхом оцінки супровідних документів, поданих заявником та перевірки відповідності визначених параметрів криптографічного пристрою з нормами безпеки.
(9) На підставі результатів оцінювання, Адміністрація оцінить можливість криптографічного пристрою для захисту інформації. Якщо Адміністрація закріплює дотримання оціночного криптографічного пристрою із стандартами безпеки, вона затвердить свою компетентність та видає до заявника сертифікат. Модель сертифіката криптографічного пристрою встановлюється в додатку 4.
(10) Якщо оцінений криптографічний пристрій не виконує компетенцію для необхідного рівня класифікації і Адміністрація знаходить її відповідність нормам безпеки для більш низького, ніж необхідний рівень класифікації, Адміністрація видає сертифікат на рівень меншої класифікації.
(11) Свідоцтво про криптографічні засоби, що підтверджують перевірку та затвердження компетентності щодо захисту відповідної інформації, виданого іноземним органом, може бути визнано лише у випадку, якщо передбачено у міжнародному контракті, що Чехія пов'язана, або на підставі взаємності та відповідності критеріїв оцінки. Вісник Офісу публікує перелік центрів сертифікації іноземної влади, чиї криптографічні засоби можуть бути визнані і список криптографічних пристроїв, сертифікованих іноземними повноваженнями, сертифікат яких був визнаний Офісом.
(12) Перелік завірених технічних засобів публікується в офіційному журналі Офісу, що вказує на тривалість сертифіката.
(13) По завершенню атестації Адміністрація зобов’язується тільки повернути криптографічні засоби, які подаються заявником на сертифікацію. Заявка на сертифікацію криптографічного пристрою, документація, що супроводжується заявою, зазначеною в пункті 3 та додатковими допоміжними документами та даними, необхідними для проведення сертифікації, яка вимагається відповідно до пункту 5, не повертається заявнику для сертифікації та залишається частиною сертифікаційного файлу.
(14) Термін дії свідоцтва на криптографічний пристрій, виданий Офісом:
(а) за класифікацію «Зберегти» на 6 років;
(b) за "Конфіденційне", "Секрете" або "Топ Секрет" рівні 5 років.
(15) Строк дії свідоцтва криптографічного пристрою перестає існувати в кінці терміну дії або рішенням органу, де криптографічний пристрій перестало дотримуватися норм безпеки.
Вимоги до сертифікату криптографічного пристрою
Сертифікат повинен містити:
(а) визначення криптографічного пристрою, в тому числі опису версії для якого він видається;
(b) визначення свідоцтва, виданого Офісом;
(c) ідентифікації власника;
(d) ідентифікації постачальника;
(e) затверджено класифікацію диференційної інформації, для якої було затверджено її компетентність;
(f) термін дії свідоцтва.
Звітність сертифікованих криптографічних продуктів
(1) Офіс зберігає огляд сертифікованих криптографічних продуктів. Сертифікований криптографічний пристрій буде зберігатися в файлі сертифікації, в якому здійснюється застосування для сертифікації криптографічного пристрою, документація, що супроводжується заявкою про сертифікацію відповідно до розділу 9 (3), додаткові допоміжні документи або дані, необхідні для проведення сертифікації, запитуваної відповідно до розділу 9 (5), результати процедури сертифікації та копії свідоцтва, виданого.
(2) Сертифікаційний файл може бути подрібнений не раніше 15 років після дати закінчення сертифікації криптографічного пристрою.
Перехідні та кінцеві положення
Перехідні положення
(1) криптографічний пристрій, який використовувався на дату застосування Акту для захисту національних, економічних або професійних секретів за чинним законодавством, (2), який був виданий Міністерством внутрішніх справ на останню дату застосування Акту на останніх Міністерством внутрішніх справ або які були затверджені Міністерством внутрішніх справ на дату застосування Акту для захисту національних, економічних та професійних секретів, вважається сертифікованим криптографічним пристроєм під цим Указом від 31 грудня 2001 року.
(2) статутний орган визначає, які криптографічні засоби, що зазначені в пункті 1, вважається сертифікованими криптографічними ресурсами за цим Указом.
(3) Алгоритми, затверджені Міністерством внутрішніх справ до дати чинності цього Указу, вважаються алгоритми, затверджені Офісом.
(4) Сертифікат, виданий Міністерством внутрішніх справ або Міністерством оборони перед вступом в силу цього Порядку, вважається сертифікатом професійної компетентності директора з питань криптографічного захисту відповідно до статті 7 цього Порядку. Свідоцтво про внесення змін до Закону України «Про внесення змін до Закону України «Про внесення змін до Закону України «Про внесення змін до Закону України «Про внесення змін до деяких законодавчих актів України» від 31 грудня 2001 року.
Ефективність замовлення
Цей Указ діє на день його публікації.
Директор:
Кадельк в. р.
Příloha č. 1
Додаток No 1 до Указу No 76 / 1999 Coll.
Příloha č. 2
Додаток No 2 до Указу No 76 / 1999 Coll.
Перелік документів, що надавалися для сертифікації криптографічного пристрою
Документація, що подана для сертифікації криптографічного пристрою, повинна бути в чеській мові і в друкованій або електронній формі на стандартних електронних носіях обробки даних у відповідній формі.
Документація має містити наступну інформацію, залежно від класифікації класифікованої або класифікованої інформації:
(1) Заказник
(а) визначення та визначення засобів використання;
(b) тип середовища користувача та системна інтеграція пристрою;
(c) інструкція із застосування пристрою;
(d) базові криптографічні параметри, тип криптографічного алгоритму, математична модель всіх криптографічних методів, що використовуються в оціночному криптографічному пристрої;
(e) перевірки даних та програм для перевірки математичної моделі алгоритму криптографічного пристрою;
(f) перевірки даних та програм для перевірки та тестування функції пристрою;
(г) опис ключової економіки, потенції та структури ключів криптографічного пристрою;
(h) метод створення криптографічних ключів криптографічного пристрою;
(i) схема блоку і опис пристрою, що вказують на з'єднання компонентів;
(j) блок діаграми та опис субкомпонентів пристрою;
(k) докладний коментар на вихідних текстах різних модулів пристроїв;
(l) загальний вихідний текст програмного забезпечення пристрою, що дозволяє перекладати і контролювати однакову форму як сертифікований пристрій;
(m) базовий криптографічний аналіз здійснюється в розробці криптографічного пристрою;
(n) базовий аналіз безпеки, що здійснюється при розробці пристрою;
(o) документація та результати аналізу безпеки, що проводяться на пристрої;
(p) оцінка можливості зміни криптографічного алгоритму з точки зору модифікації криптографічного пристрою та ліцензійної політики;
(р) метод установки пристрою,
(и) у випадках, передбачених законом, необхідного свідоцтва про затвердження пристрою або сертифікатів, які вже надаються;
(t) метод захисту пристрою від компромування класифікованої інформації або криптологічно відповідних елементів за допомогою параситичного випромінювання.
(2) Конфіденційна документація, зазначена в пункті 1 цього додатку та
(а) принцип фізичного виконання пристрою;
(b) повна технічна документація пристрою та опис функціональних та технічних параметрів;
(c) спосіб, в якому створюється і реалізується ключова економіка пристрою;
d) метод створення початкової установки пристрою,
(e) діагностична система пристрою,
(f) опис методів автентифікації та ідентифікації;
(г) видалення пристрою.
(3) Секретна документація, зазначена в пункті 2 цього додатку, і
(а) докладний опис фізичного виконання криптографічного алгоритму, використовуваних у всіх режимах роботи, включаючи приклади управління;
(b) часовий графік основних функціональних станів та підблоків та опис основних функціональних режимів пристрою;
(c) повна схема залучення пристрою, включаючи детальний технічний опис, зміст визначення програмованих схем, мікропрограм, спогадів тощо,
(d) повних текстів джерела всього програмного забезпечення;
(e) характеристики безпеки та технічні параметри ключових носіїв;
(f) метод розподілу ключової економіки;
(г) термін дії ключової економіки;
h) метод захисту ключів та криптографічного алгоритму проти компромісу;
(i) метод утилізації криптографічних слідів після видалення;
(j) опис методів, характеристик і рівнів безпеки використовуваних аудиторських функцій;
(k) правила, що регулюють використання пристрою;
(l) правила використання ключових носіїв;
(м) правила оформлення топології мереж засобів;
(n) стійкість пристрою до модифікації криптографічно відповідних частин;
(o) стійкість та метод захисту програмних частин пристрою від вірусної інфекції;
(p) метод пасивного захисту пристрою;
(r) діагностика, курс та методи тестування та ініціалізації криптографічно відповідних частин в сертифікаційній сертифікації пристрою;
(s) діагностика, курс та методи тестування та ініціалізації криптографічно відповідних частин в серійному виробництві пристрою.
(4) Топ-таєм, документація, зазначена в пункті 3 цього додатку, і
(а) виявлення криптографічних помилок;
(b) реакція пристрою на зовнішні стимули втручання;
(c) реакція пристрою на випадкові або навмисні зміни в робочому середовищі;
(d) реакція пристрою на виникнення власної дефектної або вірусної атаки;
(e) опір пристрою від помилки оператора;
(f) метод запису пристрою та ключової економіки;
(г) заходи безпеки при виконанні серійного виробництва пристрою;
(h) спосіб, в якому здійснюється сервісна діяльність пристрою;
(i) заходи безпеки для виробництва криптографічних ключів;
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ Національного офісу безпеки No 76 / 1999, про забезпечення криптографічного захисту інформації, проведення сертифікації криптографічних пристроїв та вимог до сертифікації |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 27.04.1999 |
|---|---|
| Чинний від | 27.04.1999 |
| Чинний до | - |
| Стан | Чинний |
Правові галузі:
Інформація, дані, дані
Адміністративне право
Текст нормативного акту має інформаційний характер.
Коментарі 0