I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее положение регулирует деятельность по предоставлению услуг в сфере криптографической защиты информации, не отнесенной к государственной тайне.
2. Предоставление услуг в сфере криптографической защиты информации осуществляется на основании письменного договора, подписанного обеими сторонами.
3. В настоящем положении используются следующие понятия:
криптографическая защита информации – комплекс мер, направленных на обеспечение конфиденциальности и целостности информации, осуществляемых путем криптографического преобразования информации;
средства криптографической защиты информации (далее – СКЗИ) – технические и/или программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам электронных коммуникаций, а также реализующие генерирование, создание, распределение или администрирование криптографических ключей;
средства шифрования – технические и/или программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации, передаваемой по каналам электронных коммуникаций, и/или для защиты информации от несанкционированного доступа при обработке и хранении информации;
средства защиты от навязывания ложной информации – технические и/или программные средства, системы и комплексы, реализующие криптографические алгоритмы и предназначенные для защиты от навязывания ложной информации;
криптографическое преобразование информации – преобразование информации посредством определенного криптографического алгоритма с использованием криптографических ключей с целью защиты информации от несанкционированного доступа, а также подтверждения автором ее подлинности, целостности и качества;
конфиденциальность – свойство информации в рамках системы, состоящее в ее недоступности и скрытии от неавторизованных лиц, организаций или процессов;
шифрование – процесс преобразования информации в цифровое сообщение согласно правилам, определенным криптографическим алгоритмом;
криптографический ключ – элемент шифра, используемого для зашифровывания/расшифровывания сообщения, для применения и подтверждения электронной подписи, вычисления кодов аутентичности;
целостность – свойство информации в рамках системы, состоящее в ее достоверности, идентифицируемости и защищенности от изменения, в том числе в случае умышленных или непредумышленных действий с целью изменения или уничтожения информации.
4. К СКЗИ относятся:
a) средства шифрования;
b) средства защиты от навязывания ложной информации;
c) устройства для создания и/или проверки электронной подписи и приложения, связанные с электронной подписью;
d) средства генерации криптографических ключей.
5. Деятельность по предоставлению услуг в сфере криптографической защиты информации включает:
a) оцифровывание информации путем использования СКЗИ в интересах физических и юридических лиц;
b) защиту информации путем использования средств защиты от навязывания ложной информации в интересах физических и юридических лиц;
c) предоставление в распоряжение физических и юридических лиц сетей связи, защищенных СКЗИ, а также отдельных средств шифрования;
d) генерацию и распределение криптографических ключей, в том числе для электронной подписи;
e) монтаж, демонтаж, внедрение, наладку, обслуживание, ремонт СКЗИ;
f) разработку информационных и телекоммуникационных систем, защищенных с использованием СКЗИ.
6. Настоящее положение не применяется:
a) к средствам криптографической защиты информации, являющейся частью операционных систем и прикладных программ, криптографические функции которых не могут быть изменены;
b) к банковским картам со встроенными микрочипами, криптографические функции которых не могут быть изменены;
c) к средствам криптографической защиты, разработанным и используемым для банкоматов, криптографические функции которых не могут быть изменены;
d) к средствам криптографической защиты фискальной памяти, разработанным и используемым для кассовых аппаратов;
e) к средствам криптографической защиты, в которых реализуются симметричные криптографические алгоритмы и используются криптографические ключи длиной до
56 бит включительно;
f) к средствам криптографической защиты, в которых реализуются асимметричные криптографические алгоритмы и используются криптографические ключи длиной до 128 бит включительно.
7. Проверка соответствия соискателя лицензии и контроль за соблюдением лицензиатом условий лицензирования для деятельности по предоставлению услуг в сфере криптографической защиты информации осуществляются Агентством государственных услуг совместно со Службой информации и безопасности.
II. УСЛОВИЯ ЛИЦЕНЗИРОВАНИЯ
ДЕЯТЕЛЬНОСТИ ПО ПРЕДОСТАВЛЕНИЮ УСЛУГ
В СФЕРЕ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
ИНФОРМАЦИИ
8. В целях лицензирования и осуществления деятельности по предоставлению услуг в сфере криптографической защиты информации соискатель лицензии и лицензиат должны соблюдать следующие условия:
a) наличие статуса юридического или физического лица, зарегистрированного в качестве предпринимателя;
b) осуществление лицензируемой деятельности в соответствии с действующим законодательством и стандартами в этой сфере;
c) осуществление лицензируемой деятельности в соответствии с правилами, установленными лицензирующим органом и отраслевым органом публичной власти;
d) представление по запросу Службы информации и безопасности перечня СКЗИ, используемых в лицензируемой деятельности, технической документации и/или образцов СКЗИ;
e) использование импортных СКЗИ при условии, что они введены на рынок и реализуются на территории Республики Молдова в порядке, установленном действующим законодательством;
f) наличие на праве собственности или во владении технических и/или программных средств для использования в лицензируемой деятельности;
g) применение в лицензируемой деятельности криптографических алгоритмов, утвержденных в качестве национальных и международных стандартов или принятых отраслевым органом публичной власти;
h) наличие на праве собственности или во владении помещений, необходимых для надлежащего осуществления лицензируемой деятельности, соответствующих нормам гигиены, техники безопасности и охраны окружающей среды, установленным действующим законодательством;
i) обеспечение режима конфиденциальности в лицензируемой деятельности, которым предусматривается неразглашение информации о заказчике услуг и содержании предоставляемых услуг без его согласия. Эта информация должна предоставляться только правоохранительным и контрольным органам в соответствии с действующим законодательством;
j) хранение информации, касающейся СКЗИ, в сейфах;
k) разработка и утверждение в течение месяца после выдачи лицензии внутреннего регламента, определяющего организационные условия лицензируемой деятельности, порядок учета, хранения, передачи и уничтожения СКЗИ и технической документации;
l) организация внутреннего режима таким образом, чтобы исключить возможность несанкционированного доступа к СКЗИ;
m) обеспечение строгого учета СКЗИ с ведением документации по использованию, предоставлению этих средств заказчику и их уничтожению;
n) наличие у лиц, непосредственно занятых лицензируемой деятельностью, высшего образования в сфере криптографической защиты информации, либо иного высшего образования и вместе с тем образования по программам повышения квалификации в сфере криптографической защиты информации, либо высшего образования и по меньшей мере трехлетнего трудового стажа в сфере криптографической защиты информации. Уровень знаний этих лиц должен соответствовать требованиям, указанным в пунктах 9 и 10, и подтверждается свидетельством об окончании специализированных курсов в сфере криптографической защиты информации;
o) прямое установление внутренним актом подразделения и лиц, непосредственно занятых лицензируемой деятельностью;
p) утверждение организационной структуры, штатного расписания и должностных инструкций каждого специалиста;
q) обеспечение периодического повышения квалификации лиц, непосредственно занятых лицензируемой деятельностью;
r) обеспечение учета и хранения носителей криптографических ключей, регистрация выдачи, возврата и уничтожения криптографических ключей в специальных реестрах;
s) обеспечение раздельного хранения носителей криптографических ключей и резервных носителей в случае, если их существование связано с технической и технологической процедурой;
t) обслуживание оборудования, используемого в лицензируемой деятельности, в соответствии с рекомендациями инструкции по эксплуатации;
u) предоставление в распоряжение заказчика технической документации и необходимой информации по использованию СКЗИ;
v) обеспечение необходимых условий для проведения компетентными органами контроля за выполнением лицензируемого вида деятельности.
9. Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере криптографической защиты информации, должны знать:
a) положения действующих нормативных актов о криптографической защите информации;
b) положения действующих нормативных актов об электронной подписи;
c) национальные и международные стандарты (ISO, NIST) в сфере криптографической защиты информации;
d) национальные и международные стандарты (ISO, NIST, CWA) в сфере электронной подписи;
e) основные понятия в сфере криптографической защиты информации: криптографическое преобразование информации; генерация, распределение и защита криптографических ключей; противодействие возможным угрозам для безопасности криптографических ключей; методы генерации случайных или псевдослучайных битов; технологии защиты от навязывания ложной информации;
f) основные понятия в сфере электронной подписи: методы и области применения электронной подписи, технологии создания электронной подписи, противодействие фальсификации электронной подписи, организация инфраструктуры публичных ключей;
g) интерфейсы взаимодействия информационной системы с криптографическим режимом;
h) языки программирования с целью реализации криптографических алгоритмов в случае предоставления услуг, указанных в подпункте f) пункта 5.
10. Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере криптографической защиты информации, должны быть способны:
a) готовить, планировать и организовывать процесс предоставления услуг в сфере криптографической защиты информации и электронной подписи;
b) использовать криптографические методы защиты информации и электронной подписи;
c) осуществлять анализ информационных систем с криптографическими режимами с целью оценки соответствия уровня защиты информации;
d) изменять параметры конфигурации криптографических режимов для обеспечения необходимой защиты информационной системы и обеспечения ее функциональности;
e) изучать СКЗИ для анализа правильности их функционирования;
f) устранять ошибки, возникающие в процессе эксплуатации криптографических режимов.
11. Собственник, администратор и персонал, непосредственно осуществляющие деятельность по предоставлению услуг в сфере криптографической защиты информации, не должны иметь судимость за преступления, совершенные в сфере информационных технологий и электронных коммуникаций.