Об утверждении Правил депонирования средств криптографической защиты информации в Республике Казахстан

Приказ Председателя Комитета национальной безопасности Республики Казахстан от 22 июня 2001 года N 86. Зарегистрирован в Министерстве юстиции Республики Казахстан 30 июля 2001 года N 1601. Утратил силу приказом Председателя Комитета национальной безопасности Республики Казахстан от 9 июня 2009 года N 103

       Сноска. Утратил силу приказом Председателя Комитета национальной безопасности РК от 09.06.2009 N 103 .

      В целях государственного регулирования деятельности, связанной с разработкой, производством, ремонтом, реализацией, использованием, хранением, экспортом и импортом средств криптографической защиты информации, приказываю:
      1. Утвердить прилагаемые Правила депонирования средств криптографической защиты информации в Республике Казахстан.
      2. Юридическому управлению Комитета провести в установленном порядке регистрацию Правил в Министерстве юстиции Республики Казахстан.
      3. С приказом ознакомить личный состав органов национальной безопасности Республики Казахстан в части касающейся.
 
      Председатель Комитета
Утверждены
приказом Председателя КНБ Республики Казахстан от 22 июня 2001 года N 86
 
 
                               Правила
           депонирования средств криптографической защиты
                 информации в Республике Казахстан
 
                        1. Общие положения
 
      1. Настоящие Правила депонирования средств криптографической защиты информации разработаны в целях государственного регулирования деятельности, связанной с разработкой, производством, ремонтом, реализацией, использованием, хранением, экспортом и импортом средств криптографической защиты информации, предотвращения поступления в республику недоброкачественных средств защиты информации, а также для повышения контроля за соблюдением лицензионного законодательства Республики Казахстан.
      2. Настоящие Правила обязательны для исполнения Центром депонирования и генерации шифрключей Республики Казахстан (далее - Центр депонирования), физическими и юридическими лицами (независимо от форм собственности), являющимися собственниками средств криптографической защиты информации (далее - Владельцы).
      3. В настоящих Правилах используются следующие специальные термины:
      депонирование - передача для учета и хранения;
      средства криптографической защиты информации (криптографические средства защиты информации) - любые средства, алгоритмы и методы преобразования информации с целью сокрытия ее содержания и/или обеспечения аутентификации, использующие криптографические ключи, включая средства изготовления этих ключей;
      криптографические ключи - параметры процесса преобразования информации с целью сокрытия ее содержания и/или обеспечения аутентификации, которые или часть которых содержатся в секрете;
      зашифрование данных - процесс преобразования исходных данных в зашифрованные с целью сокрытия их содержания, использующий криптографические ключи;
      расшифрование данных - процесс преобразования зашифрованных данных в исходные, использующий криптографические ключи;
      шифрование данных - зашифрование и/или расшифрование данных;
      ключи шифрования - криптографические ключи, используемые для шифрования данных.
      4. Центром депонирования и генерации шифрключей Республики Казахстан является Республиканское государственное предприятие "Казспецпредприятие" КНБ Республики Казахстан.
      5. Депонированию подлежат средства криптографической защиты информации и ключи шифрования к ним, являющиеся собственностью Владельцев, используемые или предназначенные для шифрования данных, не составляющих государственные секреты Республики Казахстан, за исключением простейших средств, обеспечивающих защиту информации только от непосредственного просмотра или прослушивания (некоторые виды скремблеров, уплотнителей сообщений, архиваторов, текстовых редакторов и т.п. Перечень таких средств определяется лицензиаром в области средств криптографической защиты информации).
      6. Депонирование средств криптографической защиты информации осуществляется Владельцем путем постановки их на учет в Центр депонирования в месячный срок после их изготовления или импорта в Республику Казахстан.
      7. Реализация и использование неучтенных в Центре депонирования средств криптографической защиты информации и ключей шифрования запрещается.
      8. Оплата выполненных работ и услуг, связанных с депонированием, производится на договорной основе в соответствии с тарифно-сметной документацией Республиканского государственного предприятия "Казспецпредприятие" КНБ Республики Казахстан.
      9. Контроль соблюдения требований настоящих Правил возлагается на лицензиара в области средств криптографической защиты информации, который имеет право:
      1) осуществлять проверки соблюдения Центром депонирования и Владельцами средств криптографической защиты информации настоящих Правил;
      2) составлять заключения и обязательные к исполнению предписания по результатам проведенных проверок;
      3) выносить заключения об урегулировании споров, возникающих между органом депонирования и владельцами средств криптографической защиты информации;
      4) приостанавливать действие лицензии Владельца в случае систематического нарушения им настоящих Правил и особых условий действия лицензии.
 
          2. Постановка депонируемых средств криптографической
                        защиты информации на учет
 
      10. Для постановки депонируемых средств криптографической защиты информации на учет Владелец представляет в Центр депонирования:
      1) заявление;
      2) паспорт или удостоверение личности, справку формы 3 (для физических лиц), копию свидетельства о государственной регистрации юридического лица (для юридических лиц);
      3) копию лицензии (при наличии лицензии) на деятельность в области средств криптографической защиты информации;
      4) используемые алгоритмы шифрования и изготовления ключей шифрования, все ключи шифрования, необходимые и достаточные для зашифрования и расшифрования данных, а также все вспомогательные алгоритмы, включая процедуру предотвращения использования незарегистрированных ключей шифрования, алгоритмы кодирования/декодирования, протоколы ввода/вывода и обмена данными по каналу связи, реализованные в средствах криптографической защиты информации;
      5) депонируемые средства криптографической защиты информации, а также средства изготовления ключей шифрования к ним, их полное техническое описание;
      6) платежное поручение или квитанцию об оплате за постановку на учет депонируемых средств криптографической защиты информации.
      11. Представленные материалы должны содержать исчерпывающую информацию для проверки соответствия заявленных и фактически реализованных алгоритмов в средствах криптографической защиты информации, обеспечивать возможность зашифрования и расшифрования защищаемой этими средствами данных при условии знания ключей шифрования.
      12. По заявке Владельца проверка средств криптографической защиты информации может проводиться на месте их установки, при этом за данную услугу взимается дополнительная плата.
      13. Организационными и техническими мерами средства шифрования должны отбраковывать неучтенные в Центре депонирования ключи шифрования с вероятностью не менее 0,999999. В случае невыполнения этого условия все ключи шифрования для использования в представленных на регистрацию средствах шифрования должны производиться в Центре депонирования на основе отдельного договора.
      14. Центр депонирования в течение двух месяцев после предоставления всех необходимых материалов и средств криптографической защиты информации проверяет соответствие заявленных и фактически реализованных в этих средствах алгоритмов, в том числе по данным, передаваемым по каналам связи, надежность защиты от использования незарегистрированных ключей шифрования. В случае положительных результатов проверки эти средства ставятся на учет с присвоением учетных номеров. Оплата работ по проверке партии идентичных средств криптографической защиты информации зависит от сложности средства и объема партии. По окончании проверки средства криптографической защиты информации возвращаются владельцу.
      15. В случае продажи (перепродажи) ранее задепонированных средств криптографической защиты информации их прежний и новый Владельцы обязаны уведомить об этом Центр депонирования, представить документы, указанные в пункте 10 настоящих Правил. В заявлении указать учетные номера ранее задепонированных средств.
      16. Для постановки новых ключей шифрования на учет Владелец представляет в Центр депонирования заявление, в котором указывает учетные номера средств шифрования, период действия ключей шифрования, представляет сами ключи шифрования и квитанцию об оплате, если они изготовлены не в Центре депонирования.
      17. Если ключи шифрования изготавливаются в Центре депонирования, оплата производится за изготовление, при этом постановка их на учет не оплачивается. Копии изготовленных ключей шифрования хранятся в Центре депонирования.
      18. Изготовление ключей шифрования в Центре депонирования на долговременной основе оформляется отдельным договором.
 
          3. Хранение и использование задепонированных средств
                   криптографической защиты информации
 
      19. Центр депонирования обеспечивает хранение депонируемых средств криптографической защиты информации и ключей шифрования в порядке, аналогичном установленному действующим законодательством для сведений, составляющих государственные секреты Республики Казахстан и имеющих гриф "секретно".
      20. По официальным постановлениям судебных или следственных органов Республики Казахстан Центр депонирования проводит зашифрование исходных данных, расшифрование зашифрованных данных и проверку соответствия исходных и зашифрованных данных с использованием имеющихся в Центре депонирования сведений о средствах криптографической защиты информации и ключах шифрования.
      21. В постановлении судебного или следственного органа должны содержаться исходные и/или зашифрованные данные, сведения о средстве криптографической защиты информации и о его Владельце, а также о времени использования этого средства.
      22. Передача задепонированных средств криптографической защиты информации и ключей шифрования третьему лицу может быть осуществлена только в порядке, установленном законодательством Республики Казахстан Z990349_ .
 
             4. Оценка криптографической стойкости средств
                  криптографической защиты информации
 
      23. Центр депонирования может проводить оценку криптографической стойкости депонируемых средств криптографической защиты информации на основе отдельного договора. При этом, Центр депонирования после представления всех необходимых данных проверяет соответствие заявленных и фактически реализованных алгоритмов в представленных средствах криптографической защиты информации, при положительных результатах проверки производит оценку этих средств криптографической защиты информации и выдает заключение об их криптографической стойкости.
      24. В случае невозможности проведения исследования средства криптографической защиты информации без разборки (дизассемблирования программ) одного экземпляра из партии исследуемых средств Владелец заранее предупреждается о необходимости этой процедуры. Если после разборки, произведенной по согласию Владельца, исследуемый экземпляр средства не подлежит восстановлению, то его стоимость не возмещается.
      25. Центр депонирования на договорной основе проводит дополнительные консультации потенциальных пользователей средств криптографической защиты информации по выбору таких средств.
(Специалист: Склярова И.В.)
 

Қазақстан Республикасындағы ақпарат қорғау құралдарын депозитке салу Ережелерiн бекiту туралы

Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2001 жылғы 22 маусымдағы N 86 бұйрығы. Қазақстан Республикасы Әділет министрлігінде 2001 жылғы 30 шілдеде тіркелді. Тіркеу N 1601. Күші жойылды - Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2009 жылғы 9 маусымдағы N 103 бұйрығымен.

       Күші жойылды - ҚР Ұлттық қауіпсіздік комитеті Төрағасының 2009.06.09 N 103 бұйрығымен.

      Ақпаратты криптографиялық қорғау құралдарын жасау, өндiру, жөндеу, сату пайдалану, сақтау, экспорт пен импортқа байланысты қызметтi мемлекеттiк реттеу мақсатымен, БҰЙЫРАМЫН:
      1. Қазақстан Республикасындағы ақпаратты криптографиялық қорғау құралдарын депозитке салу Ережелерi қоса берiлген бекiтiлсiн.
      2. Комитеттiң заң басқармасы орнатылған тәртiпте Қазақстан Республикасының Әдiлет министрлiгiнде тiркеудi жүргiзсiн.
      3. Бұйрықпен Қазақстан Республикасының Ұлттық қауiпсiздiк органдарының жеке құрамы қатысына қарай таныстырылсын.

                                         Комитет Төрағасы ҚР ҰҚК
                                 Төрағасының 2001 жылғы 22 маусымдағы
                                        N 86 бұйрығымен БЕКІТІЛДІ

     Қазақстан Республикасындағы ақпаратты криптографиялық
             қорғау құралдарын депозитке салу ЕРЕЖЕЛЕРI

      1. Бұл ақпаратты криптографиялық қорғау құралдарын депозитке салу Ережелерi ақпаратты криптографиялық қорғау құралдарын жасау, өндiру, жөндеу, сату, пайдалану, сақтау, экспорт пен импортқа байланысты қызметті мемлекеттiк реттеу, республикаға ақпарат қорғаудың сапасыз құралдарының келiп түсуiн болдырмау, сонымен қатар Қазақстан Республикасының лицензия заңнамасының сақталуын бақылауды жоғарылату мақсатымен дайындалған.
      2. Бұл Ережелер Қазақстан Республикасы шифркілттерiн депозитке салу мен генерациялау Орталығымен (iлгерiде депозитке салу Орталығы), ақпаратты криптографиялық қорғау құралдарының меншiк иелерi (iлгерiде Иелер) болып табылатын жеке және заңды тұлғалармен (меншiк нысандарына қарамастан) орындау үшiн мiндеттi.
      3. Бұл Ережелерде келесi арнаулы терминдер қолданылады:
      депозитке салу - есепке алу мен сақтауға беру;
      ақпаратты криптографиялық қорғау құралдары (ақпаратты қорғаудың криптографиялық құралдары) - криптографиялық кiлттердi, оның iшiнде сол кілттердi жасау құралдарын қолданатын, ақпараттың мазмұнын жасыру және/немесе аутентификацияны қамтамасыздандыру мақсатымен пайдаланылатын түрлендiрудің кез келген құралдары, алгоритмдерi мен әдiстерi;
      криптографиялық кiлттер - бәрi немесе бiр бөлiгi құпияда сақталатын ақпараттың мазмұнын жасыру және/немесе аутентификацияны қамтамасыздандыру мақсатымен оны түрлендiру процесiнiң параметрлерi;
      деректердi шифрлеу - криптографиялық кiлттердi қолданатын, алғашқы деректердiң мазмұнын жасыру мақсатымен оларды шифрленгенге түрлендiру процесi;
      шифрленген деректердi ашу - криптографиялық кiлттердi қолданатын, шифрленген деректердi алғашқыға түрлендiру процесi;
      деректердi шифрлеу - деректердi шифрлеу және/немесе шифрлердi ашу;
      шифрлеу кiлттерi - деректердi шифрлеуге қолданылатын криптографиялық кілттер.
      4. Депозитке салу және кiлттердi генерациялау Орталығы болып Қазақстан Республикасы ҰҚК "Қазарнкәсіпорын" Республикалық мемлекеттік кәсiпорыны табылады.
      5. Депозитке салуға ақпаратты тiкелей қараудан немесе тыңдаудан (скремблердiң, хабарды тығыздаушының, архиваторлардың, мәтiндiк сарашылардың және т.б. кейбiр түрлерi. Мұндай құралдардың тiзiлiмi ақпаратты криптографиялық қорғау құралдары саласындағы лицензия берушiмен анықталады) қорғауды қамтамасыздандыратын қарапайым құралдарды шығарып тастағанда, Иелердiң меншiгi болып табылатын, Қазақстан Республикасының мемлекеттiк құпияларын құрамайтын деректердi шифрлеуге қолданылатын немесе арналған, ақпаратты криптографиялық қорғау құралдары мен олардың шифрлеу кiлттерi жатады.
      6. Ақпаратты криптографиялық қорғау құралдарын депозитке салу Иесiмен оларды жасағаннан немесе сатып алғаннан кейiн бiр ай мерзiм iшiнде депозитке салу Орталығында есепке алуға қою арқылы жүзеге асырылады.
      7. Депозитке салу Орталығында есепке алынбаған ақпаратты қорғаудың криптографиялық құралдарын және шифрлеу кiлттерiн сату мен пайдалануға тыйым салынады.
      8. Депозитке салу мен байланысты орындалған жұмыстар мен қызметтердiң төлемi келiсiм-шарт негiзiнде Қазақстан Республикасы ҰҚК "Қазарнкәсiпорын" Республикалық мемлекеттiк кәсiпорынының тарифтiк-сметалық құжаттамасына сәйкес жүзеге асырылады.
      9. Бұл Ережелердiң талаптарының орындалуын бақылау ақпаратты криптографиялық қорғау құралдары саласындағы лицензия берушiге жүктеледi, оның:
      1) Депозитке салу Орталығымен және ақпаратты криптографиялық қорғау құралдарының Иелерiмен бұл Ережелердiң сақталуын тексеру жүргiзуге;
      2) қорытындылар және жүргiзiлген тексерулердiң нәтижелерi бойынша орындалуға мiндеттi жарлықтар құруға;
      3) депозитке салу органы мен ақпаратты қорғаудың криптографиялық құралдары иелерiнiң арасында пайда болатын таластарды реттеу туралы қорытынды жасауға;
      4) бұл Ережелердi және лицензия қызметiнiң ерекше шарттарын бұзған жағдайда Иенiң лицензиясының қызметiн тоқтатуға құқығы бар.

         2. Депозитке салынатын ақпаратты қорғаудың криптографиялық
                          құралдарын есепке алу

     10. Депозитке салынатын ақпаратты қорғаудың криптографиялық құралдарын есепке алу үшiн Иесi депозитке салу Орталығына:
      1) арыз;
      2) паспорт немесе жеке куәлiгiн, 3 нысанды анықтама (жеке тұлғалар үшiн), заңды тұлғаны мемлекеттiк тiркеу туралы куәлiктiң көшiрмесiн (заңды тұлғалар үшiн);
      3) ақпаратты қорғаудың криптографиялық құралдары саласындағы қызметке берiлген лицензияның көшiрмесiн (лицензия болған жағдайда);
      4) шифрлеу мен шифрлеу кiлттерiн жасауда қолданылатын алгоритмдердi, деректердi шифрлеуге және шифрлердi ашуға қажеттi және жеткiлiктi барлық шифрлеу кiлттерiн, сонымен қатар барлық қосалқы алгоритмдердi, оның iшiнде шифрлеудiң тiркелмеген кiлттерiн қолдануды болдырмау рәсiмi, кодтау/кодты ашу алгоритмдерiн, енгiзу/шығару және ақпаратты криптографиялық қорғау құралдарында жүзеге асырылған, байланыс арналары бойынша деректермен алмасу хаттамаларын;
      5) депозитке салынатын ақпаратты криптографиялық қорғаудың құралдарын, сонымен қатар олардың шифрлеу кiлттерiн жасау құралдарын, олардың толық техникалық сипаттамасын;
      6) төлемдiк тапсырманы немесе депозитке салынатын ақпаратты криптографиялық қорғау құралдарын есепке қойғанын төлегенi туралы квитанцияны ұсынады.
      11. Ұсынылған материалдар ақпаратты криптографиялық қорғау құралдарында жүзеге асырылған тапсырылған және нақты алгоритмдердiң сәйкестiгiн тексеру үшiн жеткiлiктi ақпаратты қамтуы, бұл құралдармен қорғалатын деректердi шифрлеу кiлттерiн бiлген жағдайда шифрлеу және шифiрiн ашу мүмкiндiгiн қамтамасыздандыруы қажет.
      12. Иенiң тапсырысы бойынша ақпаратты криптографиялық қорғау құралдарын тексеру олардың орнатылған орнында өткiзiлуi мүмкiн, ол қызмет үшiн қосымша төлем алынады.
      13. Ұйымдастырушылық және техникалық шаралармен шифрлеу құралдары депозитке салу Орталығында есепке алынбаған шифрлеу кiлттерiн 0,999999 кем емес мүмкiндiкпен жарамсыз деп табуы қажет. Бұл шарт орындалмаған жағдайда тiркеуге ұсынылған шифрлеу құралдарында қолданылатын барлық шифрлеу кiлттерi депозитке салу Орталығында жеке келiсiм-шарт негiзiнде жасалуға тиiс.
      14. Депозитке салу Орталығы барлық қажеттi материалдар мен ақпаратты криптографиялық қорғау құралдары ұсынылғаннан кейiн екi ай iшiнде бұл құралдарда жүзеге асырылған тапсырыс берiлген және нақты алгоритмдердiң сәйкестiгiн, оның iшiнде байланыс арналарымен тасымалданатын деректер бойынша, тiркелмеген шифрлеу кiлттерiн қолданудан қорғаудың берiктiгiн тексередi. Тексерудiң нәтижелерi дұрыс болған жағдайда бұл құралдар есептiк нөмiр берiлуiмен есепке алынады. Ақпаратты криптографиялық қорғау құралдарының бiрдей партиясын тексеру бойынша жұмыстардың төлемi құралдардың күрделiлiгi мен партияның көлемiне байланысты. Тексеру аяқталғаннан кейiн ақпаратты криптографиялық қорғау құралдары иесiне қайтарылады.
      15. Бұрын депозитке салынған ақпаратты криптографиялық қорғау құралдарын сатқан жағдайда олардың бұрынғы және жаңа Иелерi ол туралы депозитке салу Орталығын хабардар етуi, бұл Ережелердiң 10 пунктiнде көрсетiлген құжаттарды тапсыруы тиiс. Арызда бұрын депозитке салынған құралдардың есептiк нөмiрi көрсетiледi.
      16. Жаңа шифрлеу кiлттерiн есепке қою үшiн Иесi депозитке салу Орталығына шифрлеу құралдарының есептiк нөмiрлерi, шифрлеу кiлттерiнiң әрекет ету кезеңi көрсетiлген арыз тапсырады, егер олар депозитке салу Орталығында жасалмаған болса, кiлттердiң өзi мен төлем туралы квитанцияны тапсырады.
      17. Егер шифрлеу кiлттерi депозитке салу Орталығында жасалатын болса, жасалғаны үшiн ғана төлем төленедi, ал оларды есепке қоюға төлем төленбейдi. Жасалған шифрлеу кілттерiнiң көшiрмелерi депозитке салу Орталығында сақталады.
      18. Депозитке салу Орталығында шифрлеу кiлттерiн ұзақ уақыт негiзiнде жасау жеке келiсiм-шарт ретiнде ресiмделедi.

         3. Депозитке салынған ақпаратты криптографиялық қорғау
                      құралдарын сақтау мен қолдану

     19. Депозитке салу Орталығы депозитке салынатын ақпаратты криптографиялық қорғау құралдарын және шифрлеу кiлттерiн Қазақстан Республикасының мемлекеттiк құпияларын құрайтын және "құпия" белгiсi бар мәлiметтерге арналған әрекеттегi заңнамасымен бекiтiлгенге ұқсас тәртiпте сақтауды қамтамасыздандырады.
      20. Қазақстан Республикасының сот және тергеу органдарының ресми қаулылары бойынша депозитке салу Орталығы өзiнде бар мәлiметтердi қолдана отырып бастапқы деректердi шифрлеу, шифрленген деректердiң шифiрiн ашу және бастапқы мен шифрленген деректердiң сәйкестiгiн тексерудi жүргiзедi.
      21. Сот немесе тергеу органының қаулысында бастапқы және/немесе шифрленген деректер, ақпаратты криптографиялық қорғау құралдары мен оның Иесi, сонымен қатар бұл құралдың қолдану уақыты туралы мәлiметтер қамтылуы қажет.
      22. Депозитке салынған ақпаратты криптографиялық қорғау құралдары мен шифрлеу кiлттерiн үшiншi тұлғаға беру тек Қазақстан Республикасының заңнамасымен бекiтiлген тәртiпте ғана жүзеге асырылуы мүмкін.

             4. Ақпаратты криптографиялық қорғау құралдарының
                     криптографиялық берiктiгiн бағалау

      23. Депозитке салу Орталығы депозитке салынатын ақпаратты криптографиялық қорғау құралдарының криптографиялық берiктiгiн бағалауды жеке келiсiм-шарт негiзiнде жүргiзедi. Сонымен бiрге депозитке салу Орталығы барлық қажеттi құжаттар ұсынылғаннан кейiн тапсырылған ақпаратты криптографиялық қорғау құралдарында жүзеге асырылған тапсырыс берілген және нақты алгоритмдердің сәйкестігін тексереді, тексерудің нәтижелері дұрыс болса осы ақпаратты криптографиялық қорғау құралдарын бағалайды және олардың криптографиялық беріктігі туралы қорытынды береді.
     24. Ақпаратты криптографиялық қорғау құралдарын зерттелетін құралдардың партиясынан біреуін бөлшектемей зерттеу мүмкін болмаған жағдайда Иесін ол туралы хабардар етеді. Иесінің келісімі бойынша бөлшектегеннен кейін құралдың зерттелетін данасын қалпына келтірілмейтін болса, онда оның құны төленбейді. 25. Депозитке салу Орталығы келісім-шарт негізінде ақпаратты криптографиялық қорғау құралдарын потенциалды қолданушыларға осындай құралдарды таңдау бойынша қосымша кеңес береді.