по криптографической защите информации - уровень криптографической защиты конфиденциальной информации, определяемый в соответствии с требованиями, предъявляемыми заказчиком СКЗИ к свойствам СКЗИ по обеспечению безопасности конфиденциальной информации, или цель криптографической защиты конфиденциальной информации с описанием предполагаемой модели несанкционированного доступа к ней;
по условиям использования СКЗИ - требования, предъявляемые к условиям использования создаваемого нового типа или модернизируемого действующего образца СКЗИ в типовой схеме организации конфиденциальной связи, или исходные данные по конфиденциальной сети (системе), в составе которой планируется использование создаваемого нового типа или модернизируемого действующего образца СКЗИ (типы каналов связи, скорость передачи информации, предполагаемое количество пользователей сети, планируемая интенсивность информационного обмена и т.д.);
по ключам СКЗИ - предполагаемый срок действия ключа, количество ключей, используемых в СКЗИ, организация их смены, тип ключевого носителя и т.д.;
по предполагаемому ходу выполнения работ - сведения по планируемому порядку проведения работ, включая сертификационные испытания СКЗИ, с указанием этапов ОКР, на которых должны быть проведены планируемые работы.
Кроме того, в ТТЗ или ТЗ на проведение ОКР рекомендуется включать сведения:
о заказчике СКЗИ: для юридического лица - наименование юридического лица с указанием номера лицензии ФАПСИ и срока ее действия, адрес юридического лица и телефон; для индивидуального предпринимателя - фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии ФАПСИ и срок ее действия, адрес индивидуального предпринимателя и телефон;
о предполагаемой области применения создаваемого (модернизируемого) образца СКЗИ: указывается система связи, в составе которой планируется использование создаваемого (модернизируемого) образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и т.д.). При модернизации СКЗИ также приводится полное наименование и индекс серийно выпускаемого или разрабатываемого образца СКЗИ;
о предполагаемом разработчике и изготовителе создаваемых (модернизируемых) образцов СКЗИ: приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе СКЗИ с указанием номеров лицензий ФАПСИ и сроков их действия;
о планируемом объеме выпуска создаваемых (модернизируемых) образцов СКЗИ: указывается количество планируемых к выпуску создаваемых (модернизируемых) образцов СКЗИ;
о планируемой стоимости единичного создаваемого (модернизируемого) образца СКЗИ: приводятся данные о планируемой стоимости единичного образца СКЗИ при организации серийного выпуска;
о реализации создаваемых (модернизируемых) образцов СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять реализацию создаваемых (модернизируемых) образцов СКЗИ, с указанием номеров лицензий ФАПСИ и сроков их действия;
о сервисном обслуживании СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять сервисное (техническое) обслуживание создаваемых (модернизируемых) образцов СКЗИ в процессе их использования, с указанием номеров лицензий ФАПСИ и сроков их действия;
о предложениях по сопряжению с государственными конфиденциальными системами: приводятся в случае необходимости организации обмена конфиденциальной информацией с государственными органами, государственными организациями и (или) организациями независимо от их организационно-правовой формы и формы собственности, выполняющими государственные оборонные заказы.
18. Требования к СКЗИ (задаваемый уровень криптографической защиты конфиденциальной информации или цель криптографической защиты конфиденциальной информации, требования к аппаратным, программно-аппаратным и программным средствам конфиденциальной сети (системы), совместно с которыми предполагается использование создаваемого нового типа или модернизируемого действующего образца СКЗИ, требования к ключевой системе СКЗИ и т.д.) могут оформляться специальным техническим заданием (СТЗ), которое является неотъемлемой частью общего ТТЗ или ТЗ на проведение ОКР.
19. ТТЗ или ТЗ на проведение ОКР заказчик СКЗИ направляет на рассмотрение в ФАПСИ. ФАПСИ в течение двух месяцев с момента получения документов обязано согласовать ТТЗ или ТЗ или дать мотивированный отказ с указанием конкретного образца СКЗИ, рекомендуемого заказчику СКЗИ к использованию или модернизации.
Письменное согласование с ФАПСИ ТТЗ или ТЗ на проведение ОКР является основанием для проведения ОКР.
20. ТТЗ или ТЗ на проведение ОКР, согласованное с ФАПСИ, утверждается заказчиком СКЗИ. Один экземпляр утвержденного ТТЗ или ТЗ на проведение ОКР представляется заказчиком СКЗИ в ФАПСИ.
По решению заказчика СКЗИ ОКР может быть совмещена с НИР путем задания научно-исследовательской опытно-конструкторской работы (НИОКР). Порядок задания НИОКР аналогичен порядку задания ОКР.
21. При разработке СКЗИ должны использоваться криптографические алгоритмы, рекомендованные ФАПСИ, то есть определенные государственными стандартами или разработанные (согласованные) ФАПСИ.
22. Состав аппаратных, программно-аппаратных и программных средств конфиденциальной сети (системы), совместно с которыми предполагается штатное функционирование создаваемого нового типа или модернизируемого действующего образца СКЗИ, влияющих на выполнение заданных требований к СКЗИ, определяется разработчиком СКЗИ и согласовывается с заказчиком СКЗИ, сертификационной испытательной лабораторией (центром) и ФАПСИ.
Оценка влияния аппаратных, программно-аппаратных и программных средств конфиденциальной сети (системы), совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение заданных к ним требований осуществляется разработчиком СКЗИ совместно с сертификационной испытательной лабораторией (центром).
23. Опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФАПСИ для проведения экспертизы результатов проверок выполнения требований безопасности конфиденциальной информации. Дальнейшее их использование определяется заказчиком СКЗИ.
24. Правила пользования создаваемым новым типом или модернизируемым действующим образцом СКЗИ разрабатываются разработчиком СКЗИ и согласовываются с ФАПСИ. О согласовании с ФАПСИ на последней странице правил пользования СКЗИ разработчик СКЗИ делает соответствующую запись. Например: "C ФАПСИ согласовано (письмо N 123 от 21.11.98)".
25. При разработке СКЗИ создается опытный образец СКЗИ и рабочая конструкторская документация (РКД) на него в соответствии с ТТЗ или ТЗ заказчика СКЗИ.
26. РКД на СКЗИ передается в производство при положительных результатах сертификационных испытаний опытного образца СКЗИ, наличии сертификата ФАПСИ и правил пользования СКЗИ, согласованных с ФАПСИ.
III. Порядок производства СКЗИ
27. Производство СКЗИ осуществляется при наличии правил пользования, согласованных с ФАПСИ и опытных образцов, которые успешно выдержали сертификационные испытания и имеют сертификат ФАПСИ.
28. Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с ФАПСИ и сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания опытного образца СКЗИ.
29. СКЗИ изготавливаются в полном соответствии с конструкцией и технологией изготовления опытных образцов СКЗИ, прошедших сертификационные испытания и получивших сертификат ФАПСИ.
30. Bсe изменения в конструкцию и технологию изготовления СКЗИ изготовитель СКЗИ должен согласовывать с сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания, и с ФАПСИ. Согласование внесения изменений в конструкцию и технологию изготовления СКЗИ осуществляется путем представления изготовителем СКЗИ в сертификационную испытательную лабораторию (центр) и в ФАПСИ обоснованного перечня предполагаемых изменений.
IV. Порядок реализации (распространения) СКЗИ
31. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФАПСИ.
32. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется лицом на основании соответствующей лицензии ФАПСИ.
Операторы связи, предоставляющие на основании лицензии ФАПСИ услуги конфиденциальной связи с использованием СКЗИ (далее - операторы конфиденциальной связи) могут реализовывать (распространять) СКЗИ абонентам своих сетей конфиденциальной связи без получения последними лицензии ФАПСИ.
33. Лицо, реализующее СКЗИ и (или) РКД на них, письменно уведомляет об этом ФАПСИ с указанием реквизитов контрагентов по договору.
34. Приобретение РКД на СКЗИ (включая тиражирование программных СКЗИ) осуществляют юридические лица, являющиеся разработчиками и (или) изготовителями СКЗИ.
V. Порядок использования СКЗИ
35. СКЗИ используются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФАПСИ и с сертификационной испытательной лабораторией (центром), проводившей сертификационные испытания.
36. Использование СКЗИ осуществляется лицами, имеющими лицензию ФАПСИ.
37. Лицам, не имеющим лицензии ФАПСИ, могут предоставляться услуги по криптографической защите их конфиденциальной информации с использованием СКЗИ лицами, имеющими лицензии ФАПСИ, на основании соответствующего договора.
38. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в сертификате ФАПСИ, осуществляется оператором конфиденциальной связи и (или) ФАПСИ.
39. Послегарантийное обслуживание, ремонт и уничтожение (утилизация) СКЗИ осуществляются лицами, имеющими соответствующую лицензию ФАПСИ.
40. Лицо, уничтожившее СКЗИ, уведомляет об этом ФАПСИ путем направления ему акта об уничтожении СКЗИ.
41. Об утере СКЗИ, а также других обстоятельствах, при которых условия применения СКЗИ становятся неизвестными, лица, использующие СКЗИ, в трехдневный срок уведомляют ФАПСИ.
42. Ключевые документы, используемые в СКЗИ, или исходная ключевая информация для выработки ключевых документов изготавливаются ФАПСИ или лицами, имеющими соответствующую лицензию ФАПСИ.
Производство ключевых документов или исходной ключевой информации для выработки ключевых документов лицами, имеющими соответствующую лицензию ФАПСИ, должно осуществляться на технических средствах, сертифицированных ФАПСИ.
43. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФАПСИ.
Единицей поэкземплярного учета СКЗИ и их опытных образцов является:
для аппаратных и программно-аппаратных СКЗИ и их опытных образцов - конструктивно законченное техническое устройство;
для программных СКЗИ и их опытных образцов - инсталлирующая дискета или компакт-диск (CD-ROM).