Лекція 20 комерційна діяльність в галузі кзі

20.1 Вимоги щодо провадженя комерційної діяльності в галузі кзі

Як правило, створення комплексної системи захисту секретної інформації здійснюється за наглядом і у взаємодії зі спеціалістами Державної служби спеціального зв'язку та захисту інформації України.

Це повною мірою відноситься до такої складової КСЗІ, як криптографічна система захисту інформації.

У зв’язку з інтенсивним впровадженням електронних технологій, що використовують криптографічні методи захисту інформації в державних, приватних установах та на побутовому рівні, криптографічний захист інформації набуває все більшого значення як засіб захисту прав споживачів, а також як засіб вирішення виробничих конфліктів.

Таким чином, якість систем криптографічного захисту інформації має бути дуже високою, що ставить відповідні вимоги щодо організації робіт з розробки засобів КЗІ та кваліфікації виконавців.

Для забезпечення цих вимог в Україні підлягає ліцензуванню провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації.

Загальні положення та вимоги до суб’єктів господарської діяльності в галузі КЗІ (ліцензійні умови) викладені у Наказі Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 №88/66.

Крім цього документу для організації господарської діяльності в галузі КЗІ необхідне виконання вимог низки документів з ТЗІ, конфіденційного діловодства, та охорони праці.

Ліцензійні умови, розроблені відповідно до Закону України "Про ліцензування певних видів господарської діяльності", з урахуванням вимог Законів України "Про інформацію", "Про державну таємницю", Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженого Указом Президента України від 22.05.98 №505, постанови Кабінету Міністрів України від 14.11.2000 №1698 «Про затвердження переліку органів ліцензування».

Ліцензування господарської діяльності у галузі КЗІ здійснює Державна служба спеціального зв'язку та захисту інформації України (далі - Держслужба).

Ліцензійні умови визначають організаційні, кваліфікаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження відповідних робіт і надання послуг у межах господарської діяльності у галузі КЗІ.

Суб'єкт господарювання, який має намір провадити господарську діяльність у галузі КЗІ та відповідає ліцензійним умовам, подає до Держслужби заяву та пакет документів за встановленою формою.

Порядок проведення робіт, надання послуг у галузі КЗІ, торгівлі криптосистемами і засобами КЗІ, визначається окремими нормативно-правовими актами та є обов'язковим до виконання всіма суб'єктами господарювання.

Крім того, відповідними нормативно-правовими актами визначаються конкретні вимоги до штатного персоналу, приміщень, режиму секретності (безпеки), інформаційно-обчислювальних комплексів, налагоджувальних стендів, виробничих потужностей і площ, технічних засобів вимірювання та контролю, технічної та експлуатаційної документації, що використовуються суб'єктами господарювання для провадження господарської діяльності у галузі КЗІ.

Разом з тим, Лицензійні умови містять низку конкретних визначень, умов та вимог щодо організації, яка претендує на ліцезію, щодо процесу ліцезування та щодо робіт які підлягають ліцензуванню.

Основними об’єктами господарської діяльності в галузі КЗІ є криптосистеми та їхні складові.

Як об’єкт господарської діяльності криптографічна система визначається як сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації.

До засобів КЗІ належать:

а) апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації;

б) апаратні, програмні та апаратно-програмні засоби, системи і комплекси захисту від нав'язування неправдивої інформації, включаючи засоби імітозахисту та електронного підпису, що реалізують криптографічні алгоритми перетворення інформації;

в) апаратні, програмні та апаратно-програмні засоби, системи і комплекси, призначені для виготовлення та розподілу ключових документів, які використовуються в засобах КЗІ, незалежно від виду носія ключової інформації;

г) системи та комплекси (у тому числі ті, які входять до систем та комплексів захисту інформації від несанкціонованого доступу), до складу яких входять апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації;

д) ключові документи - матеріальні об'єкти із зафіксованими відповідним чином ключовими даними для подальшого практичного застосування щодо криптографічного перетворення повідомлень.

Роботи в галузі КЗІ що, підлягають ліцензуванню, наступні:

- розробка апаратних, апаратно-програмних засобів КЗІ та криптосистем;

- розробка програмних засобів КЗІ та криптосистем;

- виробництво апаратних, апаратно-програмних засобів КЗІ та крип-тосистем;

- виробництво програмних засобів КЗІ та криптосистем;

- використання, експлуатація засобів КЗІ та криптосистем;

- сертифікаційні випробування, експертиза криптосистем та засобів КЗІ;

- тематичні дослідження засобів КЗІ та криптосистем;

- надання послуг в галузі КЗІ;

- ввезення, вивезення засобів КЗІ та криптосистем;

- торгівля засобами КЗІ та криптосистемами.