НАРЕДБА ЗА КРИПТОГРАФСКАТА СИГУРНОСТ НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Наредбата определя органите за криптографска сигурност на класифицираната информация в България, както и условията и реда за използване на криптографски методи и средства. Включва аспекти като производство, маркиране, съхраняване, разпределяне, пренасяне, използване и унищожаване на криптографски материали. Освен това, наредбата регламентира издаването на разрешения и удостоверения за работа с криптографски средства, одобрение на криптографски средства и контрол по тяхното използване.
Чл. 2
Държавната комисия по сигурността на информацията отговаря за общото ръководство и контрол на дейностите, свързани с криптографската сигурност в България. Тази наредба определя рамките на действията на комисията в областта на криптографската защита на класифицираната информация.
Чл. 3
Съгласно Чл. 3 от Наредбата за криптографската сигурност на класифицираната информация, органът по криптографската сигурност на Република България е Държавна агенция "Национална сигурност". Тази информация е актуализирана с изменения, публикувани в Държавен вестник, брой 44 от 2008 г.
Чл. 4
Член 4 от Наредбата за криптографската сигурност на класифицираната информация описва функциите на органа по криптографската сигурност на Република България. Той прилага националната политика за криптографска сигурност, дава указания, одобрява криптографски методи, проектира нови методи, оценява сигурността на мрежите, произвежда и разпределя ключови материали, одобрява системи за управление на криптографски ключове, координира използването на средства за криптографска защита, провежда обучение, изготвя становища при компрометиране на сигурността и води регистри на одобрените средства.
Чл. 5
Член 5 от Наредбата за криптографската сигурност на класифицираната информация определя, че всяка организационна единица, която използва или планира да използва криптографски средства за защита на класифицираната информация, трябва да назначи служител по криптографската сигурност с писмена заповед от ръководителя. Този служител е част от съответната организационна единица и при необходимост могат да бъдат назначени и допълнителни служители. Задълженията на служителя по криптографската сигурност могат да бъдат изпълнявани и от служителя по сигурността на информацията.
Чл. 6
Служителят по криптографската сигурност е лице, което е получило разрешение за работа с криптографски средства, съгласно Наредбата за криптографската сигурност на класифицираната информация.
Чл. 7
Служителят по криптографската сигурност отговаря за организацията и контрола на криптографската защита на класифицираната информация, изготвянето на документи и криптопланове, подготовката и обучението на администратори и потребители на криптографски средства, както и за снабдяване, съхранение и унищожаване на криптографските средства и материали. Той също така участва в разследването на инциденти свързани с криптографската сигурност и организира инвентаризация на средствата.
Чл. 8
Член 8 от Наредбата за криптографската сигурност на класифицираната информация предвижда, че ръководителят на организационната единица може да възлага функции на администратор по криптографската сигурност по предложение на служителя по сигурността на информацията. За всяка криптографска мрежа задължително се определя администратор по криптографската сигурност.
Чл. 9
Администраторът по криптографската сигурност е служител, назначен в организационната единица, който притежава удостоверение за работа с криптографски средства. Той отговаря за управлението на криптографската сигурност в организацията.
Чл. 10
Чл. 10 описва задълженията на администратора по криптографската сигурност, които включват организиране на криптографската мрежа, контрол на правилата за експлоатация, осигуряване на криптографски материали, управление на криптографски ключове, контрол на съхранението и унищожаването на криптографските материали, периодична инвентаризация, проверка на целостта на защитната опаковка на ключовите материали, разработване на изменения на криптоплана, следене на функционирането на криптографските средства, организиране на ремонти при неизправности и участие в установяване на компрометации на криптографската сигурност. Функциите могат да бъдат разпределени между няколко служители, описани в криптоплана.
Чл. 11
Ръководителят на организационната единица, след предложение от служителя по сигурността на информацията, издава писмена заповед, с която възлага функции на потребители на криптографски средства.
Чл. 12
Съгласно член 12 от Наредбата за криптографската сигурност на класифицираната информация, потребител на криптографски средства е служител от организационната единица, който е получил удостоверение за работа с криптографски средства.
Чл. 13
Чл. 13 определя задълженията на потребителите на криптографски средства, които включват обработка на класифицирана информация, експлоатация на криптографски средства в съответствие с криптоплана и уведомяване на администратора за неизправности или компрометации на сигурността.
Чл. 14
Чл. 14 определя правилата за защита на класифицираната информация чрез криптографски средства. Само одобрени и регистрирани средства от ОКС могат да се използват. При наличие на одобрени средства от внос и местно произведени, предпочитат се българските. В задграничните представителства се използват само български средства. При обмен на класифицирана информация с други държави, могат да се използват одобрени средства от страната организатор на мрежата, съгласно международните договори.
Чл. 15
Чл. 15 от Наредбата определя процедурата за използване на криптографски средства за защита на класифицираната информация. Ръководителят на организационната единица взема решение за необходимостта от криптографски защити и изпраща запитване до ОКС за наличието на одобрени средства, посочвайки техните качествени и функционални показатели. ОКС отговаря в срок от 15 работни дни, предоставяйки информация за одобрените средства, тяхното предназначение и производител. Процедурата за обществена поръчка за доставка на средства може да стартира след получаване на одобрение. След доставката, ръководителят уведомява ОКС за получените средства.
Чл. 16
Чл. 16 от Наредбата за криптографската сигурност на класифицираната информация определя изискванията за използване на криптографски средства. Ръководителят на организационната единица трябва да подаде заявление до ОКС, което включва идентификационни данни на криптографските средства, нивото за сигурност на защитаваната информация, наименования на криптографската мрежа и КИС, описание на мерките за физическа сигурност, както и информация за предвиждания брой и организация на криптографските средства. Ако криптографската мрежа е част от КИС, заявлението се подава на определен етап от ОАС.
Чл. 17
Член 17 от Наредбата определя сроковете и процедурата за даване на съгласие за използване на криптографски средства. След получаване на заявлението, ОКС има срок от 15 работни дни да предостави или откаже съгласие, като уведомява писмено съответната организационна единица. В случай на отказ, се посочват условията, при които може да бъде дадено съгласие.
Чл. 18
Член 18 от Наредбата за криптографската сигурност на класифицираната информация е отменен с обнародване в Държавен вестник, брой 21 от 2020 г., и влиза в сила от 13 март 2020 г.
Чл. 19
Чл. 19 определя условията за въвеждане в експлоатация на криптографски мрежи за защита на класифицираната информация. Необходимо е да са налице одобрени криптографски средства, назначен администратор по криптографската сигурност, документ за изпълнение на изискванията за сигурност, условия за експлоатация на криптографските средства и утвърден криптоплан. След получаване на съгласие, организационната единица трябва да уведоми ОКС за изпълнението на изискванията в срок от 24 месеца. При неспазване на срока, процедурата се прекратява.
Чл. 20
Чл. 20 от Наредбата за криптографската сигурност на класифицираната информация описва процеса на одобрение за въвеждане на криптографски средства в криптографска мрежа. Одобрението се извършва от комисия след проверка на изискванията по чл. 19, като при необходимост се изисква сертификат за сигурност на КИС. Комисията включва представители на ОКС и служител по криптографската сигурност. Проверка може да се извършва и по документи за мрежи, защитавящи информация с ниво „За служебно ползване“. При промяна на условията след одобрението, ръководителят на заявителя подава допълнение и може да бъде изисквана повторна проверка.
Чл. 21
Чл. 21 регламентира съдържанието на решението по чл. 20, ал. 1, което описва изпълнението на изискванията по чл. 19. Включва идентификация на одобрените криптографски средства, нивото на сигурност на класифицираната информация, условията за експлоатация, и физическото разположение на криптографските средства. Решението и свързаните документи се съхраняват в делата, а копие от решението се изпраща на съответната организационна единица или организатора, особено ако мрежата е част от КИС.
Чл. 22
Чл. 22 определя, че органът по криптографската сигурност на Република България е отговорен за воденето на регистър и дела, свързани с използването на криптографските средства. В тези дела се съхраняват и документите, произтичащи от чл. 16 и 17 от същата наредба.
Чл. 23
Чл. 23 от Наредбата за криптографската сигурност на класифицираната информация определя правилата за организиране на криптографска мрежа, когато тя обхваща повече от една организационна единица. Споразумение между организационните единици определя организатора на мрежата, а в държавните органи може да се издаде заповед вместо споразумение. Организаторът носи отговорност за разпределението на криптографските материали и организира дейностите по проверка и ремонт на средствата. Всяка единица спазва изискванията по отношение на частта от мрежата, за която отговаря. Няма необходимост от споразумение за организационните единици, свързани с електронна комуникация на служебна кореспонденция.
Чл. 24
Чл. 24 от Наредбата за криптографската сигурност на класифицираната информация указва, че криптографските средства и ключовите материали трябва да имат ниво на класификация, което не е по-ниско от нивото на класификация на информацията, за която са одобрени. Промените в този член са в сила от 13.03.2020 г.
Чл. 25
Член 25 от Наредбата за криптографската сигурност на класифицираната информация определя правилата за пренасяне на класифицирана информация чрез комуникационни системи. Пренасянето е допустимо за информация с ниво на класификация до "Секретно" включително, а за информация с ниво "Строго секретно" е разрешено използването на криптографски средства с ниво "Секретно" само в комбинация с допълнителни мерки за сигурност, отговарящи на по-високото ниво на защита.
Чл. 26
Чл. 26 регламентира експлоатацията на криптографските средства и ключове, която трябва да се извършва в съответствие с установените правила и криптоплан. Всяка промяна в криптоплана трябва да бъде утвърдена от ОКС. Допускането до експлоатация става след издаване на решение, а при включване в криптографска мрежа, е необходимо и издаване на сертификат за сигурност на КИС.
Чл. 27
Член 27 от Наредбата за криптографската сигурност на класифицираната информация определя условията за експлоатация на криптографските средства. Тези средства трябва да се използват в среди с осигурени мерки за физическа и документална сигурност, съобразени с нивото на сигурност на средствата и класифицираната информация. Новозакупените криптографски средства могат да се експлоатират само след проверка от ОКС, а съхранението и пренасянето им трябва да става без заредени криптографски ключове.
Чл. 28
Чл. 28 от Наредбата за криптографската сигурност на класифицираната информация регламентира процедурите за работа с ключови материали. Преди първоначалното им използване е задължително да се провери целостта на опаковката им, а при съмнения за компрометиране, служителят по криптографската сигурност трябва да бъде уведомяван. По време на експлоатацията ключовите материали трябва да се съхраняват по начин, който предотвратява нерегламентиран достъп. След отпадане на необходимостта от тях, ключовите материали се унищожават в съответствие с предвидените процедури в криптоплана.
Чл. 29
Член 29 от наредбата регламентира действията, които администраторите по криптографската сигурност трябва да предприемат при ремонт на криптографски средства. Те са задължени да осигурят защита на класифицираната информация и ключови материали, да уведомят ОКС за идентификационните номера на средствата, а органът по криптографската сигурност може да изисква повредените средства преди ремонта. Ремонтът трябва да се извършва на територията на България, а след него средствата подлежат на проверка за съответствие. Администраторите също така водят отчет за профилактиките и ремонтите на средствата.
Чл. 30
Чл. 30 от наредбата предвижда, че при възникване на непоправими повреди, криптографските средства трябва да бъдат унищожени съгласно процедурата, описана в чл. 33. Раздел III от наредбата се отнася до прекратяване на експлоатацията на криптографски средства.
Чл. 31
Чл. 31 от Наредбата за криптографската сигурност на класифицираната информация описва условията, при които се прекратява експлоатацията на криптографски средства. Това включва: 1) отпадане на необходимостта от използването им, 2) неспособност на средствата да осигурят необходимото ниво на защита, и 3) компрометиране на криптографската сигурност. При прекратяване, заявителят трябва да уведоми ОКС писмено.
Чл. 32
При прекратяване на експлоатацията на криптографските средства, служителят по криптографската сигурност е задължен да организира съхраняването на тези средства, ключовите материали за работа с тях и съпътстващата експлоатационна документация. В противен случай, те трябва да бъдат унищожени съгласно реда, предвиден в чл. 33.
Чл. 33
Чл. 33 от Наредбата определя процедурите за унищожаване на криптографските средства. Унищожаването се извършва от комисия, назначена от ръководителя на организационната единица, в която задължително участват служител по криптографската сигурност и администратор по криптографската сигурност. Комисията унищожава и неизползваните криптографски ключове, а унищожаването трябва да се извършва по начин, който не компрометира сигурността. За унищожаването се изготвя протокол, а в срок до 12 месеца се изпраща списък на унищожените средства в ОКС. След унищожаване на всички средства от конкретна мрежа, ОКС прекратява експлоатацията на мрежата и уведомява ръководителя на организационната единица.
Чл. 34
Производството и разпределението на ключови материали за криптографските мрежи в България се осъществява от ОКС или организационни единици, съгласно чл. 35 и 36. Ключовите материали трябва да бъдат обозначени с име, пореден номер, екземплярен номер и ниво на сигурност, както и с допълнителна маркировка 'КРИПТО'. В случаите на обща защитна опаковка, отделните елементи на ключовия материал не е задължително да съдържат всички обозначения.
Чл. 35
Чл. 35 от Наредбата за криптографската сигурност на класифицираната информация определя условията, при които организационните единици могат да експлоатират системи за управление на криптографски ключове (СУКК). Те включват одобрение от ОКС, обособяване в зона за сигурност с необходимите мерки за физическа и документална сигурност, спазване на условията от сертификата за одобрение на СУКК и наличие на обучен служител или администратор по криптографската сигурност. Въвеждането в експлоатация на СУКК се извършва след проверка на спазването на изискванията.
Чл. 36
Чл. 36 регулира съхраняването и разпределението на криптографските материали в криптографска регистратура, която трябва да бъде в зона за сигурност. Ръководителят на организационната единица назначава служител за завеждащ криптографската регистратура, който отговаря за опазването на криптографските материали от нерегламентиран достъп. Криптографските материали се съхраняват в отделни каси и се отчитат в регистри. Пренасянето на материалите се извършва по специфичен ред, а служителят по криптографската сигурност организира инвентаризация на средствата и материалите поне веднъж годишно, с изготвяне на отчет с класификационно ниво не по-ниско от "Поверително".
Чл. 37
Чл. 37 от Наредбата за криптографската сигурност на класифицираната информация определя, че контролът по използването на криптографските средства се осъществява от ОКС и служителите по криптографската сигурност. В Държавна агенция 'Разузнаване' и служба 'Военна информация', контролът се осъществява чрез техните структури по сигурността, с изключение на определени случаи. Контролът обхваща организацията, начина и условията на използване, съхраняване и унищожаване на криптографските средства и материали, и се извършва чрез проверки от ОКС.
Чл. 38
Чл. 38 от наредбата определя процедурата за извършване на проверки относно криптографската сигурност на класифицираната информация. Преди проверката, ръководителят на организационната единица трябва да бъде писмено уведомлен. Проверката се осъществява от комисия, съставена от служители на ОКС, и при необходимост включва служители от структурите по сигурността. Комисията има достъп до обекти и материали, свързани с криптографската сигурност, а редът за достъп се определя от ръководителя на организационната единица. След проверката се съставя протокол, а при констатирани нарушения, използването на криптографските средства се прекратява до тяхното отстраняване.
Чл. 39
Служителите и администраторите по криптографската сигурност отговарят за текущия контрол на криптографските средства, в съответствие с функциите, възложени им от наредбата и ръководителя на организационната единица. Разделът се занимава с използването на криптографските средства в сложни условия.
Чл. 40
Чл. 40 от Наредбата описва изискванията за въвеждане в експлоатация на криптографски мрежи в сложни условия. Организационните единици трябва да изготвят криптоплан, който да отговаря на изискванията на чл. 19. Криптопланът се утвърджа от ръководителя на организационната единица за сигурност или от упълномощено от него лице.
Чл. 41
Чл. 41 регламентира процеса на въвеждане в експлоатация на криптографски мрежи, действащи в сложни условия. За това е необходима заповед от ръководителя на организационната единица или упълномощено лице, която указва периода на експлоатация и се изпраща в ОКС. През времето, когато мрежата не е активна, криптографските средства и материали се съхраняват по реда на криптоплана. Ако мрежата е част от КИС, заповедта за експлоатация се издава след получаване на сертификат за сигурност.
Чл. 42
Чл. 42 от Наредбата определя действията, които служителят по сигурността на информацията трябва да предприеме при съмнения или при компрометиране на криптографската сигурност. Той е задължен да вземе мерки за предотвратяване или ограничаване на вредите и незабавно да информира ОКС и организационната единица, организатор на криптографската мрежа, ако инцидентът е в друга организационна единица. Информацията, която се предоставя, трябва да е с ниво на класификация не по-ниско от нивото на класификация на използваното криптографско средство.
Чл. 43
Чл. 43 регламентира процедурата за назначаване на комисия при компрометиране на криптографската сигурност. Ръководителят на организационната единица назначава комисия по предложение на служителя по сигурността на информацията, в която задължително участват служителят и администраторът по криптографската сигурност. Комисията изготвя протокол с установените обстоятелства и заключения, който се предоставя на ръководителя на единицата и се изпраща в ОКС. При необходимост, органът по криптографската сигурност може да извърши допълнителна проверка по случая.
Чл. 44
Чл. 44 от Наредбата предвижда, че на базата на протокола по чл. 43, ал. 3, ОКС изготвя писмено становище, което се изпраща до ДКСИ и до съответната организационна единица. При компрометиране на криптографската сигурност, засягаща мрежи с информация на чужди държави или международни организации, те трябва да бъдат уведомени съгласно двустранните договорености за сигурност.
Чл. 44а
Чл. 44а от Наредбата предвижда, че при съмнение или установяване на нерегламентиран достъп до информация за криптографско средство, разработчикът е задължен незабавно да информира ОКС. ОКС след това определя мерки за минимизиране на вредните последици и контролира тяхното изпълнение.
Чл. 45
Разрешение за работа с криптографски средства се издава от ОКС на служител, който е определен да изпълнява задълженията на служител по криптографската сигурност. Изискванията за издаване на разрешението включват: проучване по чл. 46, т. 3 ЗЗКИ и разрешение за достъп до класифицирана информация с ниво "Строго секретно"; успешно преминато обучение по чл. 88, ал. 1 ЗЗКИ и издадено свидетелство по чл. 66; и непремахнато разрешение за работа с криптографски средства.
Чл. 46
Чл. 46 от Наредбата за криптографската сигурност на класифицираната информация определя процедурата за обучение и издаване на разрешение за достъп до класифицирана информация. Ръководителят на организационната единица е длъжен да подаде заявление до ръководителя на ОКС, в което да посочи трите имена и единния граждански номер на служителя, организационната единица, номера и датата на разрешението за достъп до информация с ниво на класификация "Строго секретно", както и органа, който го е издал.
Чл. 47
Разрешението за работа с криптографски средства се издава от ръководителя на ОКС или упълномощено лице след успешно обучение по ЗЗКИ. То се издава в два екземпляра, един от които се изпраща на ръководителя на организационната единица.
Чл. 48
Разрешението за работа с криптографски средства включва регистрационен номер, правно основание за издаване, органа, издал документа, данни за лицето (име, презиме, фамилия и единен граждански номер), организационната единица, срока на валидност, дата и място на издаването, както и подпис и печат.
Чл. 49
Разрешението за работа с криптографски средства се издава за срок от 5 години. Ръководителят на организационната единица е длъжен да започне процедура за издаване на ново разрешение не по-късно от 3 месеца преди изтичането на срока на текущото разрешение.
Чл. 50
Чл. 50 от Наредбата за криптографската сигурност на класифицираната информация урежда условията, при които органът по криптографската сигурност може да отнеме разрешението за работа с криптографски средства. Това може да стане по писмено предложение на служителя по сигурността на информацията при извършване на нарушения, довели до компрометиране на сигурността, или при системни нарушения, създали опасност от компрометиране. В случай на отнето разрешение за достъп до информация с ниво "Строго секретно", разрешението за работа с криптографски средства също може да бъде отнето. В определени случаи, разрешението може да бъде отнето и без писмено предложение. Отнемането се извършва с писмен акт.
Чл. 51
Чл. 51 от Наредбата за криптографската сигурност на класифицираната информация определя условията, при които органът по криптографската сигурност прекратява действието на разрешението за работа с криптографски средства. Това може да се случи при: изтичане на срока на валидност на разрешението, прекратяване на разрешението за достъп до информация с ниво на класификация 'Строго секретно', или преустановяване изпълнението на задълженията на служител по криптографската сигурност. Прекратяването се извършва с писмен акт, освен в случаите на изтичане на срока на валидност.
Чл. 52
Чл. 52 от Наредбата за криптографската сигурност на класифицираната информация предвижда, че органът по криптографската сигурност уведомява писмено ръководителя на организационната единица за отнемането или прекратяването на разрешението за работа с криптографски средства. След получаване на уведомлението, организационната единица е задължена да върне разрешението в ОКС.
Чл. 53
Чл. 53 от наредбата определя, че органът по криптографската сигурност е отговорен за воденето на регистър на издадените разрешения за работа с криптографски средства. Освен това, той съхранява съпровождащата документация, свързана с тези разрешения.
Чл. 54
Удостоверение за работа с криптографски средства се издава на служители, определени за администратори по криптографска сигурност или потребители на криптографски средства, след проучване и разрешение за достъп до класифицирана информация. За администратори удостоверението не може да бъде по-ниско от нивото на класификация на средствата, с които работят, а за потребители - в съответствие с информацията, до която имат достъп. Изисква се също успешно преминато обучение и удостоверение за обучение. Удостоверението не трябва да е отнето.
Чл. 55
Удостоверението за работа с криптографски средства се издава от служителя по криптографската сигурност по определен образец. Съхранението на удостоверението е в отговорността на същия служител.
Чл. 56
Удостоверението за работа с криптографски средства включва важна информация, като регистрационен номер, правно основание за издаване, данни за лицето, функции, наименование на криптографската мрежа, организационна единица, свързано криптографско средство, срок на валидност, дата и място на издаване, подпис и печат. Допълнително, екземпляри от удостоверенията на администраторите и завеждащите регистратура се изпращат в ОКС, а органът по криптографската сигурност поддържа регистър на издадените удостоверения.
Чл. 57
Удостоверението за работа с криптографски средства се издава за срок до 5 години. Преди изтичането на този срок служителите са задължени да преминат курс на обучение, за да получат ново удостоверение.
Чл. 58
Служителят по криптографската сигурност може да отнеме удостоверението за работа с криптографски средства при определени условия. Отнемането настъпва, ако лицето е извършило нарушение, довело до компрометиране на криптографската сигурност, или ако е имало системни нарушения, създаващи опасност за сигурността. Също така, удостоверението се отнема и при отнемане на разрешението за достъп до класифицирана информация. Процедурата по отнемане се извършва с писмен акт.
Чл. 59
Служителят по криптографската сигурност прекратява удостоверението за работа с криптографски средства при изтичане на срока на валидност, прекратяване на разрешението за достъп до класифицирана информация или преустановяване на задълженията на администратора или потребителя на криптографски средства. Прекратяването се извършва с писмен акт, освен в случай на изтичане на срока на валидност.
Чл. 60
Служителят, отговорен за криптографската сигурност, е задължен да уведоми писмено Обществения комитет за сигурност (ОКС) за всяко прекратено или отнето удостоверение на администратори, които отговарят за криптографската сигурност.
Чл. 61
Служителят по криптографската сигурност е отговорен за воденето на регистър на удостоверенията, свързани с работата с криптографски средства. В наредбата се предвижда и обучение по криптографска сигурност, което е част от мерките за защита на класифицираната информация.
Чл. 62
Член 62 от Наредбата за криптографската сигурност на класифицираната информация определя, че обучението по криптографска сигурност включва две основни направления: организационните принципи и правила за криптографска сигурност и работа с конкретни криптографски средства.
Чл. 63
Чл. 63 от Наредбата за криптографската сигурност на класифицираната информация определя отговорностите за обучението по криптографска сигурност. Обучението се извършва от органа по криптографската сигурност на служителите по криптографската сигурност и на администраторите по криптографската сигурност, както и от служители или администратори по криптографската сигурност на други администратори, завеждащите криптографска регистратура и потребителите на криптографски средства.
Чл. 64
Чл. 64 от Наредбата определя условията за обучение по криптографска сигурност. Обучението се извършва от доставчици или производители на криптографски средства, както и от упълномощени служители на Организацията за криптографска сигурност (ОКС). След успешно преминато обучение, на служителите се издава документ, който удостоверява вида на криптографското средство и правото за провеждане на обучение.
Чл. 65
Член 65 от Наредбата за криптографската сигурност на класифицираната информация определя, че обучението по криптографска сигурност се провежда с откъсване от работа в предварително уговорени срокове с организационната единица. Освен това, органът по криптографската сигурност и служителите, упълномощени да провеждат обучение, са задължени да осигуряват периодично допълнително обучение по криптографска сигурност.
Чл. 66
Служителите и администраторите по криптографската сигурност, които успешно завършат обучение в ОКС, получават свидетелство от ръководителя на ОКС или упълномощено лице. В свидетелството се посочва правото за провеждане на обучение, ако такова е предоставено. Свидетелството е валидно за срок до 5 години.
Чл. 67
Администраторите по криптографската сигурност и потребителите на криптографски средства, които успешно завършат обучение, получават свидетелство. Свидетелството удостоверява правото на администраторите да провеждат обучение, ако такова е предоставено. То се издава за срок до 5 години и може да включва данни за оценките от обучението.
Чл. 68
Член 68 от Наредбата определя условията за обучение на администратори, завеждащи криптографска регистратура и потребители на криптографски средства. Обучението трябва да се провежда в организационни единици, които разполагат с помещения, оборудвани с мерки за физическа и документална сигурност, необходимото оборудване и учебни материали, утвърдени програми за обучение и квалифицирани служители. Ръководителят на ОКС издава разрешение за провеждане на обучението, а контролът върху условията и процеса на обучение се извършва от ОКС.
Чл. 69
Съгласно Чл. 69 от Наредбата за криптографската сигурност на класифицираната информация, одобрение на криптографско средство може да бъде искано от две категории: 1) Лице, регистрирано по Търговския закон на Република България с над 50% българско участие; 2) Организационна единица, която е производител на криптографското средство.
Чл. 70
Чл. 70 определя процедурата за одобрение на криптографски средства за защита на класифицирана информация. Заявителят подава заявление до ръководителя на ОКС, като одобрение може да се иска само за средства с приключил етап на разработка и функционални изпитания. Криптографската система за управление на ключове може да бъде одобрена отделно или като условие за одобрение на криптографското средство, което я използва.
Чл. 71
Наредбата определя процедурата за одобрение на криптографски средства, която започва с подаване на заявление, съдържащо информация за заявителя, характеристиките на криптографското средство, неговото предназначение и производител. Заявлението трябва да бъде придружено от пълна документация, инструкции за експлоатация, образци от средството и декларации за спазване на изискванията за безопасност. При непълнота или несъответствие на документите, заявителят трябва да отстрани пропуските в определен срок, в противен случай процедурата се прекратява. За средства, разработени от ОКС, не е необходимо подаване на заявление.
Чл. 72
Чл. 72 описва процеса на одобрение на криптографски средства от ОКС. В него се предвиждат проверки на пълнотата на заявлението, функционалността на образците, криптографски проверки, оценка на защита от електромагнитни излъчвания и маркировка на проверените средства. Всички проверки се извършват в помещенията на ОКС, но при невъзможност могат да се проведат в помещенията на производителя за сметка на заявителя.
Чл. 73
Чл. 73 от Наредбата за криптографската сигурност на класифицираната информация предвижда, че за всяко одобрено криптографско средство ОКС издава сертификат за одобрение. При наличие на система за управление на криптографски ключове, за нея също се издава отделен сертификат. В случай на неодобрение, ОКС уведомява писмено заявителя.
Чл. 74
Чл. 74 регламентира съдържанието на сертификата за одобрение на криптографското средство. Той включва номер на сертификата, идентификация на криптографското средство и неговия производител, ниво на класификация на информацията, дата и място на издаване, и подпис на ръководителя на ОКС. Към сертификата се прилагат условия за валидност, които описват експлоатацията на средството и ограниченията за валидността му. ОКС може да внася промени в условията, като информира притежателя на сертификата и организационните единици. Притежателят е длъжен да върне старите условия в срок от един месец след изтичането на срока на валидност.
Чл. 75
Член 75 от Наредбата за криптографската сигурност на класифицираната информация определя задълженията на органа по криптографската сигурност относно воденето на регистър на одобрените криптографски средства и съхранението на съответните дела. Делата се съхраняват за минимум 5 години след снемане от експлоатация на криптографското средство.
Чл. 76
След одобрение на криптографското средство ОКС, органът извършва следните действия: 1. Връща на заявителя системата за управление на криптографските ключове, ако е била приложена и не е част от одобреното средство. 2. Съхранява образец от одобреното криптографско средство като еталон до прекратяване на експлоатацията му. 3. Съхранява образец от всяко друго обособено устройство, необходимо за функционирането на криптографското средство, също като еталон до прекратяване на експлоатацията му.
Чл. 77
В случай на неодобрение на криптографското средство, ОКС е задължено да върне средствата и материалите, получени по чл. 71, ал. 2, т. 4.
Чл. 78
Чл. 78 от Наредбата за криптографската сигурност на класифицираната информация описва условията, при които валидността на сертификата за одобрено криптографско средство се прекратява. Прекратяването може да настъпи при установяване на неспособност на средството да осигури необходимото ниво на защита, или при настъпване на обстоятелства, които не отговарят на предварително зададените изисквания. В такива случаи, ОКС уведомява съответните организационни единици и притежателя на сертификата, предоставяйки нов сертификат, ако такъв е издаден.
Чл. 79
Чл. 79 определя условията за модификация, обновяване и размножаване на криптографски средства. Модификациите подлежат на одобрение, а обновяването на софтуер и/или фърмуер може да се извършва само при условия, определени от ОКС, без последващо одобрение, ако не променя криптографските характеристики и не намалява сигурността. Размножаването на софтуер и/или фърмуер е разрешено само при условия, определени от ОКС.
Чл. 80
Криптографски средства от внос могат да се одобряват за защита на класифицирана информация с ниво на класификация до "Поверително" и "Секретно", при условие че са произведени в държава с международен договор с България за защита на класифицирана информация. За криптографски средства, предназначени за защита на информация с ниво "Поверително" и по-високо, е необходимо алгоритъмът за защита да е реализиран в хардуерен криптомодул и да има възможност за модификация без участие на производителя. Одобрените средства се експлоатират само с модифициран алгоритъм от ОКС.
Чл. 81
Член 81 от Наредбата за криптографската сигурност на класифицираната информация е отменен с изменения, публикувани в Държавен вестник, брой 21 от 2020 г., и е в сила от 13 март 2020 г.
Чл. 82
Чл. 82 от Наредбата за криптографската сигурност на класифицираната информация изисква заявителят, който разполага със сертификати или подобни документи за криптографското средство, да приложи копие от тях към заявлението, подадено по чл. 70. Това е част от допълнителните условия за одобрение на криптографски средства, произведени в Република България.
Чл. 83
Чл. 83 от Наредбата за криптографската сигурност на класифицираната информация предвижда, че преди разработката на криптографско средство за защита на класифицирана информация, разработчикът е длъжен да уведомява писмено ОКС. Уведомлението трябва да съдържа основание за разработката, работно название, типово означение и описание на функционалните характеристики на криптографското средство, средата на работа и условията на експлоатация. Освен това, трябва да се предостави информация за възложителя, условията на договора, списък на участващите служители с идентификационни данни за техните разрешения за достъп и данни за удостоверението за сигурност на лицата, участващи в разработката.
Чл. 84
Чл. 84 от Наредбата за криптографската сигурност на класифицираната информация указва, че когато разработката на проект се възлага от организационна единица, предварително е необходимо заданието да бъде съгласувано с Организацията за криптографска сигурност (ОКС).
Чл. 85
Чл. 85 от наредбата предвижда, че органът по криптографската сигурност, след получаване на уведомление по чл. 83, предоставя на разработчика задължителни изисквания за криптографска сигурност, които криптографското средство трябва да изпълнява.
Чл. 86
Чл. 86 от Наредбата установява правила за обмен на информация между ОКС и разработчика по време на разработката на криптографски средства. Одобрението на криптографските алгоритми и техните приложения е задължително от ОКС. Критично важни параметри и алгоритми се определят от ОКС за всеки конкретен случай. Изисквания и техническа информация се предоставят само на определени лица, спазвайки принципа "необходимост да се знае".
Чл. 87
Чл. 87 от Наредба за криптографската сигурност на класифицираната информация регламентира задълженията на разработчика след приключване на разработката на криптографски модули. След завършване на разработката, разработчикът трябва да уведоми ОКС писмено и да декларира, че крайният резултат отговаря на изискванията на ОКС. Освен това, лицето, отговорно за одобрението, трябва да приложи писмена декларация за възможността да осигури производството на криптографските модули на територията на България. Одобрението се извършва по установен ред.
Чл. 88
Член 88 от Наредбата за криптографската сигурност указва процедурата при откритие на недостатъци в криптографските и функционалните характеристики на одобряваното средство. При установени недостатъци, Органът по криптографската сигурност (ОКС) преценява условията за тяхното отстраняване и информира заявителя. Ако недостатъците не могат да бъдат отстранени или не са отстранени в указания срок, ОКС прекратява одобрителния процес.
Чл. 89
Чл. 89 от Наредбата за криптографската сигурност на класифицираната информация определя, че органът по криптографската сигурност е отговорен за осъществяване на контрол върху процеса на разработка и производство на криптографски средства.
Чл. 90
Наредбата регламентира правилата за криптографската сигурност на класифицираната информация в България. Разработчиците нямат право да разпространяват информация за криптографски алгоритми и модули, предоставени от ОКС. Износът на криптографски средства изисква становище от ОКС. Министерството на отбраната и дирекция "Комуникационни и информационни системи" на МВР отговарят за организацията и контрола на криптографската сигурност. Установени са нови термини и понятия, свързани с криптографската защита, както и задължения за уведомяване на ОКС за експлоатираните криптографски мрежи.
§1
Параграф 1 от Преходните и Заключителни разпоредби на Наредбата за криптографската сигурност на класифицираната информация определя отговорностите на Министерството на отбраната (МО) и дирекция "Комуникационни и информационни системи" на Министерството на вътрешните работи (МВР) относно криптографската сигурност на Върховното главно командване. Комуникациите за държавно управление и защитата на информационните системи се планират и осъществяват съвместно от двете институции, като ръководството и контролът са в компетенцията на дирекцията на МВР.
§3
Наредбата определя основни термини свързани с криптографската защита на класифицираната информация, включително понятия като "криптографска защита", "криптографска трансформация", "криптографски алгоритъм", "криптографски ключ" и "криптографско средство". Тя описва и условията за компрометиране на криптографската сигурност, включително криптографски, персонални и физически рискове. Включени са и определения за "кодови пособия", "критична ситуация", "сложни условия" и "криптографски материали". Допълнителна маркировка "КРИПТО" е предвидена за контрол на мерките за сигурност.
§4
Криптографските средства и мрежи, използвани за защита на класифицирана информация, се считат за одобрени за 24 месеца след влизането в сила на наредбата. Ръководителите на организационните единици трябва да уведомят ОКС за експлоатираните криптографски мрежи и средства в срок от два месеца. Заявления за въвеждане в експлоатация на криптографски мрежи и одобрение на средства трябва да се подават в срок до 6 месеца след влизането в сила на наредбата.
§ 5
Допуските до шифрова работа, издадени преди влизането в сила на наредбата, остават валидни за срок до 24 месеца. След изтичането на този срок, те трябва да бъдат върнати в ОКС в рамките на два месеца.
§7
Наредбата за криптографската сигурност на класифицираната информация е приета на основание чл. 85 от Закона за защита на класифицираната информация. Заключителните разпоредби се отнасят към Постановление № 66 от 28 март 2016 г., свързано с Правилника за прилагане на Закона за Държавна агенция "Разузнаване", и влизат в сила от 05.04.2016 г.
§17
Параграф §17 указва, че наредбата влиза в сила от деня на обнародването й в "Държавен вестник". Заключителните разпоредби се отнасят към Постановление № 104 от 28 април 2016 г., което изменя и допълва Наредбата за криптографската сигурност на класифицираната информация, приета с Постановление № 263 на Министерския съвет от 2003 г. Обнародването е извършено в Държавен вестник, брой 35 от 2016 г., и наредбата е в сила от 10.05.2016 г.
§13
Параграф §13 от Наредбата постановява, че тя влиза в сила от деня на обнародването в "Държавен вестник". Преходните и заключителни разпоредби са свързани с Постановление № 41 от 9 март 2020 г., което изменя и допълва Наредбата за криптографската сигурност, приета с Постановление № 263 на Министерския съвет от 2003 г. Обнародването на измененията е в "Държавен вестник", брой 21 от 2020 г., и те влизат в сила от 13.03.2020 г.
§ 70
Параграф §70 от Наредбата установява, че свидетелствата за одобрение на криптографски средства, организационните правила и правилата за техническа експлоатация на криптографските мрежи, както и минималните изисквания за криптографска сигурност, които са издадени преди влизането в сила на наредбата, запазват действието си. Това означава, че предишно издадените документи остават валидни и приложими.
§72
Наредбата за криптографската сигурност на класифицираната информация влиза в сила от деня на обнародването й в "Държавен вестник". Включва приложения за удостоверения, отнемане и прекратяване на удостоверения за работа с криптографски средства, както и свидетелства за обучение по криптографска сигурност. Всички документи съдържат данни за лицето, организацията, валидност и подпис на отговорното лице.
