Logo Събота, 17 Ноември
Конституция Правилници
Кодекси Правилници по прилагане
Наредби Последен брой на ДВ
Закони


НАРЕДБА ЗА КРИПТОГРАФСКАТА СИГУРНОСТ НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ

Приета с ПМС № 263 от 11.11.2003 г.

Обн. ДВ. бр.102 от 21 Ноември 2003г., изм. ДВ. бр.44 от 9 Май 2008г., изм. ДВ. бр.57 от 24 Юли 2009г., изм. ДВ. бр.5 от 19 Януари 2010г., изм. ДВ. бр.27 от 5 Април 2016г., изм. и доп. ДВ. бр.35 от 10 Май 2016г.

Глава първа.
ОБЩИ ПОЛОЖЕНИЯ


Чл. 1. С наредбата се определят:
1. органите за криптографска сигурност на класифицираната информация в Република България;
2. условията и редът за:
а) използване на криптографски методи и средства за защита на класифицирана информация; производство, съхраняване и разпределяне на криптографски ключове;
б) издаване на разрешения и удостоверения за работа с криптографски средства;
в) одобрение за прилагане на криптографски средства.

Глава втора.
ОРГАНИ ЗА КРИПТОГРАФСКА СИГУРНОСТ

Раздел I.
Държавна комисия по сигурността на информацията





Чл. 2. Държавната комисия по сигурността на информацията осъществява общо ръководство и контрол на дейностите по криптографска сигурност на класифицираната информация.

Раздел II.
Орган по криптографската сигурност на Република България


Чл. 3. (Изм. - ДВ, бр. 44 от 2008 г.) Орган по криптографската сигурност на Република България (ОКС) по смисъла на наредбата е Държавна агенция "Национална сигурност".


Чл. 4. Органът по криптографската сигурност на Република България:
1. прилага националната политика за криптографска сигурност на класифицираната информация в съответствие със Закона за защита на класифицираната информация (ЗЗКИ), тази наредба и другите подзаконови актове по защитата на класифицираната информация;
2. дава указания и препоръки по всички аспекти на криптографската сигурност;
3. оценява и одобрява криптографски методи и средства за защита на класифицираната информация;
4. участва в извършването на комплексна оценка на сигурността на криптографските мрежи и в одобряването на въвеждането им в експлоатация;
5. произвежда и разпределя криптографски ключове за защита на класифицираната информация в криптографските мрежи на Република България;
6. участва в извършването на комплексна оценка на сигурността на системи за автоматизирано генериране и разпределяне на криптографски ключове и в одобряването на въвеждането им в експлоатация;
7. координира и контролира използването, производството и вноса на средства за криптографска защита на класифицирана информация;
8. провежда обучение в областта на криптографската сигурност и издава разрешения за работа с криптографски средства;
9. осъществява методическо ръководство на дейността на служителите по криптографската сигурност;
10. разрешава и контролира провеждането на обучение по криптографска сигурност от други организационни единици;
11. изготвя писмени становища при компрометиране на криптографската сигурност;
12. води регистри на одобрените криптографски средства и издава паспорт за всяко поекземплярно одобрено средство;
13. води регистри на одобрените криптографски мрежи и поекземплярно проверените криптографски средства, използвани в тях.

Раздел III.
Служител по криптографската сигурност


Чл. 5. (1) Във всяка организационна единица, в която се експлоатират или се предвижда да се въвеждат в експлоатация криптографски средства за защита на класифицираната информация, с писмена заповед на нейния ръководител се определя служител по криптографската сигурност.
(2) Служителят по криптографската сигурност е служител от административното звено по сигурността на информацията.
(3) При необходимост в звеното по сигурността на информацията могат да бъдат определени повече от един служител по криптографската сигурност.
(4) Задълженията на служител по криптографската сигурност могат да се изпълняват и от служителя по сигурността на информацията.


Чл. 6. Служителят по криптографската сигурност е лице, което е получило разрешение за работа с криптографски средства.


Чл. 7. Служителят по криптографската сигурност:
1. създава необходимата организация и осъществява общо ръководство и контрол на криптографската защита на класифицираната информация в организационната единица;
2. организира изготвянето на необходимите документи за изпълнение на процедурите по наредбата;
3. организира изготвянето на правилата за организацията на криптографската защита на информацията в организационната единица и плановете за действие при критични ситуации, които се утвърждават от нейния ръководител;
4. организира и осъществява подготовката на администраторите по криптографската сигурност и на потребителите на криптографски средства, като:
а) прави предложения пред служителя по сигурността на информацията за възлагане на функции по чл. 8 и 11;
б) изготвя конкретните им функционални задължения, свързани с криптографската сигурност;
в) организира или извършва обучението им;
г) издава удостоверения за работа с криптографски средства;
д) води на отчет, отнема и прекратява действието на издадените удостоверения;
5. организира процедурата по снабдяване и води отчет на криптографските средства и ключовите материали в организационната единица;
6. организира съхраняването и контрола на криптографските средства, ключовите материали и документацията, свързана с криптографската сигурност на информацията в организационната единица;
7. организира унищожаване на снетите от експлоатация криптографски средства;
8. участва в установяване на обстоятелствата, свързани с компрометиране на криптографската сигурност, и докладва за резултатите на служителя по сигурността на информацията в организационната единица, който уведомява ОКС.

Раздел IV.
Администратор по криптографската сигурност


Чл. 8. (1) Ръководителят на организационната единица въз основа на предложение на служителя по сигурността на информацията с писмена заповед възлага функции на администратор по криптографската сигурност.
(2) За всяка криптографска мрежа се определя администратор по криптографската сигурност.


Чл. 9. Администраторът по криптографската сигурност е служител от организационната единица, който е получил удостоверение за работа с криптографски средства.


Чл. 10. (1) Администраторът по криптографската сигурност:
1. организира въвеждането в експлоатация на криптографската мрежа;
2. контролира спазването на правилата за експлоатация на криптографските средства и организационните правила от потребителите на криптографски средства и периодично ги информира за техните задължения във връзка с използването на криптографските средства;
3. осигурява снабдяването с ключови материали, необходими за работа на криптографската мрежа;
4. експлоатира системи за автоматизирано генериране и разпределяне на криптографски ключове при наличие на такива системи;
5. контролира съхраняването, използването и унищожаването на ключовите материали;
6. извършва периодична инвентаризация на използваните в подчинената му криптографска мрежа криптографски средства и ключови материали, за резултатите от която представя отчет на служителя по криптографската сигурност;
7. извършва проверка за целостта на защитната опаковка на ключовите материали при получаването им, при инвентаризацията им и преди тяхното предаване и/или използване;
8. разработва и предлага на служителя по криптографската сигурност изменения и допълнения на организационните правила;
9. следи за правилното функциониране на криптографските средства и за извършването на регламентираните профилактични дейности и проверки;
10. при установяване на неизправна работа на криптографските средства организира своевременното им изваждане от експлоатация и техния ремонт;
11. регистрира в паспорта на криптографското средство дейностите по т. 9 и 10;
12. участва заедно със служителя по криптографската сигурност в установяването на обстоятелствата, свързани с компрометиране на криптографската сигурност.
(2) Функциите по ал. 1 могат да бъдат възложени или разпределени на няколко служители по чл. 9.

Раздел V.
Потребител на криптографски средства


Чл. 11. Ръководителят на организационната единица въз основа на предложение от служителя по сигурността на информацията с писмена заповед възлага функции на потребители на криптографски средства.


Чл. 12. Потребител на криптографски средства е служител от организационната единица, който е получил удостоверение за работа с криптографски средства.


Чл. 13. Потребителят на криптографски средства:
1. обработва класифицирана информация с криптографски средства;
2. експлоатира криптографските средства при спазване на организационните правила и правилата за експлоатация;
3. информира администратора по криптографската сигурност за всеки случай на неизправна работа на криптографските средства и компрометиране на криптографската сигурност.

Глава трета.
ИЗПОЛЗВАНЕ НА КРИПТОГРАФСКИ СРЕДСТВА

Раздел I.
Въвеждане в експлоатация на криптографски мрежи


Чл. 14. (1) (Изм. - ДВ, бр. 44 от 2008 г.) За защита на класифицираната информация се прилагат само криптографски средства, предварително одобрени и регистрирани от ОКС по чл. 86 ЗЗКИ.
(2) При наличие на одобрени криптографски средства от внос и на произведени в Република България с еднакви качествени и функционални показатели организационните единици закупуват и прилагат криптографските средства, произведени в Република България.
(3) За защита на класифицираната информация в задграничните представителства на Република България се използват само криптографски средства, произведени в Република България.
(4) За защита на класифицираната информация, обменяна с други държави или международни организации, с които Република България има влезли в сила международни договори за защита на класифицирана информация, могат да се използват криптографски средства, одобрени от страната организатор на криптографската мрежа, в съответствие с двустранните договорености по сигурността или българското законодателство.


Чл. 15. Ръководителят на организационната единица взема решение за необходимостта от използване на криптографски средства за защита на класифицираната информация в организационната единица.


Чл. 16. В случаите по чл. 15 ръководителят на организационната единица изпраща заявление до ОКС, което съдържа:
1. описание на предвиждания вид криптографски средства;
2. нивото за сигурност на класифицираната информация, която ще бъде защитавана;
3. описание на предвижданата организация на използване - като обособена криптографска мрежа или като част от автоматизирана информационна система или мрежа (АИС или мрежа);
4. описание на физическата среда на експлоатация на криптографските средства, когато не са част от АИС или мрежа.


Чл. 17. (1) В срок до 15 работни дни от получаване на заявлението ОКС дава или отказва съгласие за използване на криптографските средства по чл. 16, т. 1, за което уведомява писмено организационната единица.
(2) Отказът по ал. 1 съдържа условията за даване на съгласие.


Чл. 18. Процедура по възлагане на обществена поръчка за доставка на криптографски средства може да започне след даването на съгласие по чл. 17, ал. 1.


Чл. 19. За въвеждане в експлоатация на криптографски мрежи за защита на класифицираната информация е необходимо предварително да са налице:
1. одобрени и поекземплярно проверени от ОКС криптографски средства;
2. администратор по криптографската сигурност и потребители на криптографски средства в организационната единица;
3. изпълнени нормативни изисквания за физическа и документална сигурност, съответстващи на нивото за сигурност на криптографските средства и на защитаваната класифицирана информация, което се удостоверява с акт на съответния компетентен орган;
4. изпълнени условия за експлоатация на криптографските средства, определени в техните свидетелства за одобрение;
5. утвърдени от ОКС организационни правила и правила за техническа експлоатация в областта на криптографската сигурност, които се изготвят в организационната единица;
6. разработен в организационната единица план за действие при критични ситуации.


Чл. 20. (1) Въвеждането в експлоатация на криптографска мрежа се одобрява с решение на комисия, съставена от представители на ОКС и на административното звено по сигурността на организационната единица, след проверка на изпълнението на изискванията по чл. 19.
(2) Комисията по ал. 1 се назначава със заповед на ръководителите на ОКС и на организационната единица.
(3) При проверката по ал. 1 ОКС може да определи допълнителни изисквания по отношение на сигурността, които трябва да бъдат удовлетворени преди издаването на решението.


Чл. 21. (1) Решението по чл. 20, ал. 1 съдържа:
1. идентификация на одобрените криптографски средства;
2. нивото за сигурност на класифицираната информация, която може да бъде защитавана с одобрените криптографски средства;
3. задължителните условия за експлоатация, при които е гарантирана защитата на класифицираната информация от съответното ниво за сигурност.
(2) Решението по ал. 1 и документите по чл. 19 и 20 се съхраняват в делата по чл. 22, ал. 1.


Чл. 22. (1) Органът по криптографската сигурност на Република България води регистър и дела на материалите, свързани с процеса на използване на криптографските средства.
(2) В делата по ал. 1 се съхраняват и документите по чл. 16 и 17.


Чл. 23. (1) (Доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Когато криптографска мрежа обхваща повече от една организационна единица, между тях се сключва споразумение, определящо коя организационна единица е организатор на мрежата. В органите на държавната власт и в органите на местното самоуправление, в които са обособени повече от една организационни единици, вместо споразумение може да се издаде заповед на ръководителя на органа на държавната власт или на органа на местното самоуправление.
(2) Организаторът координира дейностите по поекземплярната проверка, разпределението и ремонта на използваните криптографски средства и отговаря за разпределянето на необходимите ключови материали в мрежата.
(3) (Доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Споразумението или заповедта по ал. 1 се прилага към заявлението по чл. 16 от организатора на криптографската мрежа.
(4) (Доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Всяка организационна единица изпълнява изискванията по чл. 19 спрямо частта от мрежата, която е в нейна отговорност по споразумението или заповедта по ал. 1.
(5) (Нова - ДВ, бр. 57 от 2009 г.) Организационните единици по чл. 4 и 5 от Наредбата за дейността по организирането и осъществяването на електронните комуникации и криптографската сигурност на служебната кореспонденция, обменяна по електронни комуникационни канали между организационните единици в Република България и задграничните й представителства не сключват споразумение по ал. 1.


Чл. 24. Криптографските средства и ключовите материали са с ниво на класификация за сигурност не по-ниско от нивото на класификация за сигурност на информацията, за което е одобрено криптографското средство.


Чл. 25. (1) Класифицирана информация се пренася по комуникационни системи извън зоните за сигурност на АИС или мрежи, когато е защитена с одобрени криптографски средства.
(2) Пренасяне по комуникационни системи на класифицирана информация, защитена само с криптографски средства, се допуска за ниво на класификация за сигурност до "Секретно" включително.
(3) Класифицирана информация с ниво за сигурност "Строго секретно" може да се защитава с криптографски средства с ниво за сигурност "Секретно" само в съвкупност с мерки от останалите видове сигурност, съответстващи на ниво за сигурност "Строго секретно".

Раздел II.
Експлоатация на криптографски средства


Чл. 26. (1) Експлоатацията на криптографските средства се извършва в съответствие с организационните правила и правилата за техническа експлоатация и за работа с криптографските ключове.
(2) Всички промени в правилата по ал. 1 се утвърждават от ОКС.


Чл. 27. (1) Криптографските средства се експлоатират в условия с осигурени мерки за физическа и документална сигурност, съответстващи на нивото за сигурност на криптографските средства и на класифицираната информация, която ще бъде защитавана.
(2) Експлоатация на новозакупени криптографски средства се допуска само след поекземплярната им проверка от ОКС.
(3) Криптографските средства се съхраняват и транспортират с изтрити криптографски ключове.


Чл. 28. (1) Преди първоначалното използване на криптографските ключове се извършва проверка на целостта на защитната им опаковка и при съмнения за компрометиране се уведомява служителят по криптографската сигурност.
(2) По време на експлоатация на криптографските средства ключовите материали се съхраняват по начин, недопускащ нерегламентиран достъп до криптографските ключове.
(3) Криптографските ключове се унищожават след отпадане на необходимостта от тяхното използване по реда, предвиден с правилата за работа с тях.


Чл. 29. (1) При необходимост от ремонт на криптографско средство администраторът по криптографската сигурност предприема необходимите действия за недопускане на нерегламентиран достъп до класифицирана информация и криптографски ключове, съхранявани в предаваното за ремонт средство.
(2) Служителят по криптографската сигурност уведомява писмено ОКС за идентификационните номера на подлежащите на ремонт криптографски средства.
(3) Органът по криптографската сигурност може да изиска повредените криптографски средства преди изпращането им за ремонт.
(4) Ремонтът се извършва на територията на Република България.
(5) След ремонта, преди въвеждане в експлоатация, криптографското средство подлежи на проверка от ОКС за съответствие на криптографските характеристики и конфигурационен контрол.
(6) Администраторите по криптографската сигурност водят подробен отчет на профилактиките и ремонтите на криптографски средства в криптографската мрежа, за която отговарят, и ги отразяват в техните паспорти.


Чл. 30. При възникване на непоправими повреди криптографските средства се унищожават по реда на чл. 33.

Раздел III.
Прекратяване на експлоатацията на криптографски средства


Чл. 31. Прекратяване на експлоатацията на криптографски средства се извършва:
1. при отпадане на необходимостта от използване на криптографските средства в организационната единица, за което писмено се уведомява ОКС;
2. при установяване на неспособност на експлоатираните криптографски средства да осигуряват необходимото ниво на защита на класифицираната информация, което се удостоверява от ОКС;
3. (нова - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) при компрометиране на криптографската сигурност след издадено писмено становище по чл. 4, т. 11.


Чл. 32. (Доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) При прекратяване на експлоатацията на криптографските средства по чл. 31 служителят по криптографската сигурност организира съхраняването на тези средства, на ключовите материали за работа с тях и на съпътстващата ги експлоатационна документация или те се унищожават по реда на чл. 33.


Чл. 33. (1) Унищожаването на криптографските средства се извършва от комисия, назначена с писмена заповед на ръководителя на организационната единица.
(2) В комисията по ал. 1 задължително се включват служителят по криптографската сигурност и администратор по криптографската сигурност.
(3) (Доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Комисията унищожава и всички неизползвани криптографски ключове, предназначени за средствата по ал. 1, както и съпътстващата ги експлоатационна документация.
(4) (Изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Унищожаването на криптографските средства и ключовите материали се извършва по начин, недопускащ компрометиране на криптографската сигурност.
(5) (Изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) За унищожаването по ал. 3 се изготвя протокол.
(6) Списък на унищожените средства и ключови материали се изпраща в ОКС.

Раздел IV.
Производство, съхраняване и разпределяне на криптографски ключове


Чл. 34. (1) Производството и разпределянето на криптографски ключове за защита на класифицираната информация в криптографските мрежи на Република България се извършва от ОКС или от организационните единици при условията на чл. 35 и 36.
(2) Ключовите материали се обозначават с име, пореден номер, екземплярен номер и ниво за сигурност на информацията, съдържаща се в тях. Когато са в обща защитна опаковка, отделните елементи на ключовия материал могат да не съдържат всички обозначения от опаковката.


Чл. 35. (1) В организационните единици могат да се експлоатират системи за автоматизирано генериране и разпределяне на криптографски ключове (САГРКК) при следните условия:
1. системата за автоматизирано генериране и разпределяне на криптографски ключове да е одобрена от ОКС;
2. системата за автоматизирано генериране и разпределяне на криптографски ключове да бъде обособена в зона за сигурност клас I и да са осигурени мерките за физическа и документална сигурност за ниво на класификация не по-ниско от нивото на класификация на произвежданите криптографски ключове, което се удостоверява с акт на съответния компетентен орган;
3. да са изпълнени условията за експлоатация на САГРКК, определени в нейното свидетелство за одобряване;
4. да има служител или администратор по криптографската сигурност, обучен за работа със САГРКК от ОКС и от доставчика.
(2) Въвеждането в действие на САГРКК се удостоверява с решение на комисия, съставена от представители на ОКС и на административното звено по сигурността на организационната единица, след проверка на изпълнението на изискванията по ал. 1.
(3) Комисията по ал. 2 се назначава със заповед на ръководителите на ОКС и на организационната единица.


Чл. 36. (1) (Изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Съхраняването и разпределянето на ключовите материали се извършват в криптографска регистратура, която е част от регистратурата на организационната единица по чл. 51, ал. 1 от Правилника за прилагане на Закона за защита на класифицираната информация (ППЗЗКИ), или в отделна регистратура, създадена на основание чл. 51, ал. 3 от същия правилник. Криптографската регистратура трябва да бъде обособена в зона за сигурност.
(2) Ръководителят на организационната единица определя служител - завеждащ криптографската регистратура, и негов заместник, които трябва да притежават удостоверение по чл. 54 за администратори по криптографската сигурност. Завеждащият криптографската регистратура води на отчет, съхранява и разпределя ключовите материали. В негово отсъствие тези функции се изпълняват от заместника. Завеждащият криптографската регистратура (в негово отсъствие - заместникът) е отговорен за опазването от нерегламентиран достъп на ключовите материали в криптографската регистратура.
(3) (Изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) В регистратурите по чл. 51, ал. 1 ППЗЗКИ криптографските материали се съхраняват в отделни каси.
(4) (Изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Отчитането на криптографските материали се извършва в отделни регистри.
(5) Пренасянето на ключовите материали се извършва по реда за пренасяне на материали, съдържащи класифицирана информация, регламентиран в ППЗЗКИ. Подателят поставя върху вътрешната опаковка на пакетите надпис: "Да се отвори от завеждащия криптографската регистратура!". Получателят на материалите потвърждава писмено получаването и сигнализира за открити несъответствия в опаковката или съдържанието на пакетите, ако са констатирани такива. Потвърдителните писма се съхраняват за периода на съхраняване на съпроводителните писма на ключовите материали.
(6) Служителят по криптографската сигурност организира периодично, но най-малко веднъж годишно, както и при смяна на завеждащия криптографската регистратура инвентаризация на използваните в организационната единица криптографски средства и ключови материали. За резултатите от инвентаризацията служителят по криптографската сигурност изготвя обобщен отчет, който предоставя на служителя по сигурността на информацията. Обобщеният отчет е с класификационно ниво за сигурност не по-ниско от "Поверително".

Раздел V.
Контрол по използването на криптографските средства


Чл. 37. (1) Контролът по използването на криптографските средства се осъществява от ОКС и от служителите и администраторите по криптографската сигурност.
(2) (Изм. - ДВ, бр. 27 от 2016 г., в сила от 05.04.2016 г.) В Държавна агенция "Разузнаване" и в служба "Военна информация" към министъра на отбраната ОКС осъществява контрола по ал. 1 чрез техните структури по сигурността.
(3) На контрол подлежат организацията, начинът и условията на използване и съхраняване на криптографските средства и ключовите материали.
(4) Контролът се осъществява чрез проверки от ОКС в организационните единици.


Чл. 38. (1) Преди извършване на проверката по чл. 37, ал. 4 ОКС писмено уведомява ръководителя на организационната единица.
(2) Проверката се извършва от комисия, съставена от служители на ОКС, определени със заповед на неговия ръководител.
(3) Комисията извършва проверката съвместно със служителя по криптографската сигурност и други служители от административното звено по сигурността на организационната единица.
(4) При осъществяване на проверката комисията има право на достъп до обекти, помещения и материали, свързани с криптографската сигурност.
(5) За извършване на правото по ал. 4 ръководителят на организационната единица издава заповед за реда за достъп.
(6) За резултатите от проверката се съставя протокол в два екземпляра - един за ОКС и един за организационната единица.
(7) В случай на констатирани нарушения използването на криптографските средства се прекратява до отстраняването им, което се посочва в протокола по ал. 6.


Чл. 39. Служителите и администраторите по криптографската сигурност осъществяват текущ контрол по използването на криптографските средства в съответствие с възложените им с наредбата и от ръководителя на организационната единица функции.

Раздел VI.
Използване на криптографските средства в сложни условия


Чл. 40. (1) За въвеждане в експлоатация на криптографски мрежи в сложни условия организационните единици изготвят минимални изисквания за криптографска сигурност, съответстващи на изискванията по чл. 19.
(2) Изискванията по ал. 1 се утвърждават от ОКС.


Чл. 41. (1) Въвеждането в експлоатация на криптографски мрежи, временно действащи в сложни условия, се извършва въз основа на заповед на ръководителя на организационната единица или на упълномощено от него длъжностно лице и под контрола на служителя по криптографската сигурност на организационната единица.
(2) Въвеждането в експлоатация на криптографски мрежи, постоянно действащи в сложни условия, се извършва по реда на раздел I от тази глава.

Раздел VII.
Действия при компрометиране на криптографската сигурност


Чл. 42. (1) При съмнения за компрометиране или при компрометиране на криптографската сигурност служителят по сигурността на информацията в организационната единица:
1. взема мерки за предотвратяване или ограничаване на вредните последствия;
2. незабавно информира ОКС.
(2) Информацията по ал. 1, т. 2 е с ниво на класификация не по-ниско от нивото на класификация на криптографското средство.


Чл. 43. (1) По предложение на служителя по сигурността на информацията ръководителят на организационната единица назначава комисия за установяване на обстоятелствата, свързани с компрометирането на криптографската сигурност.
(2) В комисията по ал. 1 задължително се включват служителят и администраторът по криптографската сигурност.
(3) Резултатите от работата на комисията се отразяват в протокол, който включва всички установени обстоятелства и заключения.
(4) Протоколът по ал. 3 се предоставя на ръководителя на организационната единица, а копие от него се изпраща в ОКС.


Чл. 44. (1) Въз основа на протокола по чл. 43, ал. 3 ОКС изготвя писмено становище, което се изпраща до ДКСИ и до организационната единица.
(2) В случай че компрометирането на криптографската сигурност засяга криптографски мрежи, в които се обработва информация на други държави или международни организации, те се информират в съответствие с двустранните договорености по сигурността.

Глава четвърта.
ИЗДАВАНЕ НА РАЗРЕШЕНИЯ И УДОСТОВЕРЕНИЯ ЗА РАБОТА С КРИПТОГРАФСКИ СРЕДСТВА И ОБУЧЕНИЕ ПО КРИПТОГРАФСКА СИГУРНОСТ

Раздел I.
Разрешения за работа с криптографски средства


Чл. 45. Разрешение за работа с криптографски средства се издава от ОКС на служител в административното звено по сигурността, определен да изпълнява задълженията на служител по криптографската сигурност:
1. на когото е извършено проучване по чл. 46, т. 3 ЗЗКИ и е издадено разрешение за достъп до класифицирана информация с ниво на класификация "Строго секретно";
2. който е преминал успешно обучение по чл. 88, ал. 1 ЗЗКИ в ОКС и има издадено свидетелство по чл. 66;
3. на когото не е отнето разрешението за работа с криптографски средства.


Чл. 46. За издаване на разрешение по чл. 45 ръководителят на организационната единица подава заявление до ръководителя на ОКС, в което се посочват:
1. трите имена и единният граждански номер на служителя по чл. 45;
2. организационната единица, в която работи служителят;
3. номерът и датата на разрешението за достъп до класифицирана информация с ниво на класификация "Строго секретно", както и органът, който го е издал;
4. номерът и датата на свидетелството за обучение по чл. 66.


Чл. 47. (1) Разрешението за работа с криптографски средства се издава от ръководителя на ОКС или от упълномощено от него длъжностно лице в срок 7 работни дни след получаване на заявлението по чл. 46.
(2) Разрешението по ал. 1 се издава в два екземпляра.
(3) Екземпляр от разрешението по ал. 1 се изпраща на ръководителя на организационната единица.


Чл. 48. Разрешението за работа с криптографски средства съдържа:
1. регистрационен номер;
2. правното основание за издаване на разрешението;
3. органа, издал документа;
4. име, презиме, фамилия и единен граждански номер на лицето, на което се издава;
5. организационната единица, в която лицето работи;
6. срока на валидност на разрешението;
7. дата и място на издаването;
8. подпис и печат.


Чл. 49. (1) Разрешението за работа с криптографски средства се издава за срок 5 години.
(2) Не по-късно от 3 месеца преди изтичане на срока на разрешението по ал. 1 ръководителят на организационната единица започва процедура по реда на чл. 46 за издаване на ново разрешение.


Чл. 50. (1) Органът по криптографската сигурност отнема разрешението за работа с криптографски средства по писмено предложение на служителя по сигурността на информацията, когато:
1. лицето е извършило нарушение, което е довело до компрометиране на криптографската сигурност;
2. лицето е извършило системни нарушения, които са създали опасност от компрометиране на криптографската сигурност;
3. е отнето разрешението за достъп до класифицирана информация с ниво на класификация "Строго секретно".
(2) Отнемането на разрешението се извършва с писмен акт.


Чл. 51. (1) Органът по криптографската сигурност прекратява действието на разрешението за работа с криптографски средства по писмено предложение на служителя по сигурността на информацията при:
1. изтичане на неговия срок на валидност;
2. прекратяване на действието на разрешението за достъп до класифицирана информация с ниво на класификация "Строго секретно";
3. преустановяване изпълнението на задълженията на служител по криптографската сигурност.
(2) Прекратяването на разрешението се извършва с писмен акт.


Чл. 52. (1) Органът по криптографската сигурност писмено уведомява ръководителя на организационната единица за отнемането или прекратяването на действието на разрешението за работа с криптографски средства.
(2) След уведомлението по ал. 1 организационната единица връща разрешението за работа с криптографски средства в ОКС.


Чл. 53. Органът по криптографската сигурност води регистър на издадените разрешения за работа с криптографски средства и съхранява съпровождащата ги преписка.

Раздел II.
Удостоверение за работа с криптографски средства


Чл. 54. Удостоверение за работа с криптографски средства, наричано по-нататък "удостоверение", се издава на служител в организационната единица, определен да изпълнява задълженията на администратор по криптографската сигурност или потребител на криптографски средства:
1. на когото е извършено проучване и е издадено разрешение за достъп до класифицирана информация с ниво на класификация:
а) за администратор по криптографската сигурност - не по-ниско от нивото на класификация на криптографските средства и ключовите материали, с които ще работи, в зависимост от броя на обслужваните криптографски мрежи, но не по-ниско от "Поверително";
б) за потребител на криптографското средство - съответстващо на нивото на класификация на информацията, до която ще има достъп по силата на служебните си задължения;
2. (изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) който има издадено свидетелство по реда на тази наредба за успешно преминато обучение по чл. 62 и документ, издаден по чл. 64, ал. 2, ако обучението по чл. 62, т. 2 е извършено от доставчици или производители на криптографски средства;
3. на когото не е отнето удостоверението за работа с криптографски средства.


Чл. 55. (1) Удостоверението за работа с криптографски средства се издава от служителя по криптографската сигурност по образец съгласно приложение № 1.
(2) Съхраняването на удостоверението по ал. 1 се организира от служителя по криптографската сигурност.


Чл. 56. (1) Удостоверението за работа с криптографски средства съдържа:
1. регистрационен номер;
2. правното основание за издаването;
3. органа, издал документа;
4. име, презиме, фамилия и единен граждански номер на лицето, на което се издава;
5. функции, които изпълнява лицето във връзка с криптографската сигурност;
6. наименование на криптографската мрежа, в която лицето изпълнява функциите;
7. организационната единица, в която работи лицето;
8. криптографското средство, за което се издава, или правото за работа с криптографски материали, когато удостоверението е на завеждащ криптографска регистратура;
9. срок на валидност на удостоверението;
10. дата и място на издаването;
11. подпис и печат.
(2) Екземпляр от удостоверението на администраторите по криптографската сигурност се изпраща в ОКС.
(3) Органът по криптографската сигурност води регистър на издадените удостоверения за работа с криптографски средства на администраторите по криптографската сигурност.


Чл. 57. (1) Удостоверението за работа с криптографски средства се издава за срок 5 години.
(2) Преди изтичането на срока на удостоверението служителите преминават курс на обучение за издаване на ново удостоверение.


Чл. 58. (1) Служителят по криптографската сигурност отнема удостоверението за работа с криптографски средства, когато:
1. лицето е извършило нарушение, което е довело до компрометиране на криптографската сигурност;
2. лицето е извършило системни нарушения, които са създали опасност от компрометиране на криптографската сигурност;
3. е отнето разрешението за достъп до класифицирана информация.
(2) Отнемането на удостоверението се извършва с писмен акт съгласно приложение № 2.


Чл. 59. (1) Служителят по криптографската сигурност прекратява действието на удостоверението за работа с криптографски средства при:
1. изтичане на неговия срок на валидност;
2. прекратяване действието на разрешението за достъп до класифицирана информация;
3. преустановяване изпълнението на задълженията на администратор по криптографската сигурност или потребител на криптографски средства.
(2) Прекратяването на удостоверението се извършва с писмен акт съгласно приложение № 3.


Чл. 60. Служителят по криптографската сигурност уведомява писмено ОКС за прекратените или отнетите удостоверения на администраторите по криптографската сигурност.


Чл. 61. Служителят по криптографската сигурност води регистър на удостоверенията за работа с криптографски средства.

Раздел III.
Обучение по криптографска сигурност


Чл. 62. Обучението по криптографска сигурност включва:
1. обучение по организационните принципи и правила за криптографска сигурност;
2. обучение за работа с конкретни криптографски средства.


Чл. 63. Обучението по чл. 62, т. 1 се извършва от:
1. органа по криптографската сигурност - на служителите по криптографската сигурност;
2. органа по криптографската сигурност или от служителите по криптографската сигурност - на администраторите по криптографската сигурност;
3. служителите или администраторите по криптографската сигурност - на потребителите на криптографски средства.


Чл. 64. (1) (Предишен текст на чл. 64 - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Обучението по чл. 62, т. 2 се извършва от:
1. доставчици или производители на криптографски средства;
2. служители на ОКС, служители и администратори по криптографската сигурност, на които доставчикът или производителят е дал право да провеждат обучение.
(2) (Нова - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) На служителите от организационните единици, преминали успешно обучение по ал. 1, т. 1, доставчиците или производителите на криптографски средства издават документ, в който се посочва:
1. видът на криптографското средство, за което е проведено обучението;
2. правото за провеждане на обучение, ако такова е дадено

Чл. 65. (1) Обучението на служителите по криптографската сигурност се провежда с откъсване от работа в съгласувани с организационната единица срокове.
(2) Органът по криптографската сигурност извършва периодично допълнително обучение на служителите по криптографската сигурност.


Чл. 66. (1) Служителите и администраторите по криптографската сигурност, успешно преминали обучението в ОКС, получават свидетелство.
(2) В свидетелството по ал. 1 се отбелязва правото за провеждане на обучение, ако такова е дадено.
(3) Свидетелството по ал. 1 се издава за срок не по-дълъг от 5 години.


Чл. 67. (1) Администраторите по криптографската сигурност и потребителите на криптографски средства, успешно преминали обучението в организационната единица, получават свидетелство съгласно приложение № 4.
(2) В свидетелството по ал. 1 за администраторите по криптографската сигурност се отбелязва правото за провеждане на обучение, ако такова е дадено.
(3) Свидетелството по ал. 1 се издава за срок не по-дълъг от 5 години.
(4) Към свидетелството могат да се приложат данни за оценките, получени при обучението.


Чл. 68. (1) Обучение на администратори по криптографската сигурност и на потребители на криптографски средства се извършва в организационната единица при наличие на:
1. помещения с осигурени мерки за физическа и документална сигурност, удостоверени с акт на съответния компетентен орган;
2. оборудване, средства и учебни материали, необходими за провеждане на обучението;
3. утвърдени от ОКС програми за обучение;
4. (изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) служители по криптографската сигурност, получили право да провеждат обучение по чл. 62, т. 1 или 2;
5. (изм. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) администратори по криптографската сигурност, получили право да провеждат обучение по чл. 62.
(2) При наличие на условията по ал. 1 ОКС издава разрешение за провеждане на обучение във връзка с чл. 88, ал. 3 ЗЗКИ.
(3) В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационни единици, може да се създават учебни центрове за провеждане на обучението по ал. 1.
(4) Контролът върху условията и процеса на обучение се извършва от ОКС по реда на чл. 37 и 38.

Глава пета.
ОДОБРЕНИЕ ЗА ПРИЛАГАНЕ НА КРИПТОГРАФСКИ СРЕДСТВА

Раздел I.
Общи условия и ред за одобрение на криптографски средства


Чл. 69. Одобрение на криптографско средство за защита на класифицирана информация може да иска:
1. лице, което е регистрирано по Търговския закон на Република България и е с над 50 на сто българско участие;
2. организационна единица, ако тя е производител на криптографското средство.


Чл. 70. Лицето или организационната единица по чл. 69, наричани по-нататък "заявителя", подава до ръководителя на ОКС заявление за одобрение на криптографско средство за защита на класифицирана информация, наричано по-нататък "одобрение".


Чл. 71. (1) Заявлението по чл. 70 съдържа:
1. име и седалище на заявителя и адрес за кореспонденция;
2. название и пълно типово означение на криптографското средство;
3. предназначение на криптографското средство и ниво на сигурност, за което ще се използва;
4. име и седалище на производителя и адрес за кореспонденция.
(2) Към заявлението се прилагат и:
1. пълна документация (включително блокови, електрически, монтажни схеми, изходен код на програмите) на криптографското средство, която съдържа изчерпателна информация, позволяваща проверката на:
а) използваните криптографски алгоритми, начините за тяхната инициализация, режимите на работа, форматите на входящите и изходящите данни;
б) криптографските ключове, начините за генерирането им, включително тестовете за проверка на качествата на случайните поредици, начините и форматите за разпределянето, съхраняването и защитата им;
в) техническия контрол на достъпа до криптографското средство;
г) блокировките и сигнализацията при неизправна работа на криптографското средство или неправилна работа с него;
д) мерките по защита от паразитни електромагнитни излъчвания;
е) пълно описание на начините за използването му (включително изходни кодове на програми), ако то е част от автоматизирана информационна система;
2. описание на възможни методи за извършване на проверките по т. 1;
3. инструкции за експлоатация, изисквания за сигурност при експлоатацията и при генериране и управление на криптографските ключове;
4. необходимият брой действащи образци от криптографското средство, включително ключови и други материали, необходими за експлоатация на средството, както и средство за генериране на ключове, ако е обособено отделно;
5. документи, удостоверяващи изпълнението на изискванията за безопасност и за опазване на околната среда, техническите параметри и електромагнитната съвместимост на криптографското средство;
6. писмена декларация на заявителя, че:
а) в криптографското средство не са реализирани допълнителни функции, неописани в предоставената документация;
б) ще осигури пълно съответствие на функционалните и техническите параметри с тези на предоставените по т. 4 образци на криптографското средство;
в) ще осигури гаранционно и следгаранционно обслужване на територията на Република България при изпълнени мерки за индустриална сигурност, съответстващи на нивото на класификация за сигурност на криптографското средство.
(3) Когато заявлението е подадено от лице по чл. 69, т. 1, към него се прилагат и:
1. съдебно удостоверение за вписаните в търговския регистър обстоятелства, съдържащи всички последващи вписването промени в тези обстоятелства;
2. копие от документите, удостоверяващи данъчната регистрация и регистрацията в Националния статистически институт (код БУЛСТАТ).
(4) Материалите по ал. 2, т. 1 - 5 могат да бъдат предоставени на ОКС и от производителя.
(5) Материалите по ал. 2 се предоставят на български или английски език за криптографски средства от внос и на български език за криптографски средства, произведени в Република България.
(6) В процеса на одобрение ОКС може да изиска допълнителна информация и технически средства, необходими за неговото провеждане.


Чл. 72. В процеса на одобрение ОКС извършва:
1. проверка на пълнотата на подаденото заявление и на приложената документация;
2. проверка на функционалността на предадените образци от криптографското средство, предложено за одобрение;
3. аналитични, програмни и технически криптографски проверки;
4. оценка на защитата от паразитни електромагнитни излъчвания;
5. маркировка чрез стикери, пломби, печати и други на поекземплярно проверените криптографски средства или техни модули.


Чл. 73. (1) За всяко одобрено криптографско средство ОКС издава свидетелство за одобрение.
(2) При наличие на обособено средство за генериране на ключове за него се издава отделно свидетелство за одобрение.
(3) В случай на неодобрение на криптографското средство ОКС уведомява писмено заявителя.


Чл. 74. (1) Свидетелството за одобрение съдържа:
1. номер на свидетелството;
2. (доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) идентификация на криптографското средство, за което се издава, включително версиите на софтуера или фърмуера, които се използват;
3. идентификация на притежателя на свидетелството;
4. идентификация на производителя на криптографското средство;
5. ниво на класификация за сигурност на информацията, за което е одобрено криптографското средство;
6. дата и място на издаването;
7. подпис на ръководителя на ОКС или на упълномощено от него длъжностно лице и печат.
(2) Към свидетелството за одобрение се прилагат условията за валидност, които съдържат:
1. условия за експлоатация на криптографското средство;
2. ограничения за валидността на свидетелството, ако има такива.


Чл. 75. (1) Органът по криптографската сигурност води регистър на одобрените криптографски средства и дела с материалите, свързани с процеса на одобрение.
(2) (Доп. - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) Делата по ал. 1 се съхраняват за срок, не по-малък от 5 години, след снемане от експлоатация на криптографското средство.


Чл. 76. След одобрение на криптографското средство ОКС:
1. връща на заявителя средството за генериране на ключове, ако такова е било приложено;
2. съхранява образец от криптографското средство като еталон до прекратяване на експлоатацията му;
3. (нова - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) съхранява образец от всяко друго обособено устройство, необходимо за функционирането на криптографското средство, като еталон до прекратяване на експлоатацията му.


Чл. 77. При неодобрение на криптографското средство ОКС връща средствата и материалите по чл. 71, ал. 2, т. 4.


Чл. 78. (1) Валидността на свидетелството по чл. 73, ал. 1 се прекратява при установяване неспособност на одобреното криптографско средство да осигури необходимото ниво на защита на класифицираната информация, което се удостоверява от ОКС.
(2) В случаите по ал. 1 ОКС уведомява заявителя и организационните единици, в които се експлоатира криптографското средство.


Чл. 79. Модификациите на криптографското средство подлежат на одобрение по реда на този раздел.

Раздел II.
Допълнителни условия за одобрение на криптографски средства от внос


Чл. 80. (1) Криптографски средства от внос могат да се одобряват за защита на класифицирана информация с ниво на класификация за сигурност до "Поверително" включително, освен ако те са произведени в държава, с която имаме влязъл в сила международен договор за защита на класифицирана информация и са одобрени за защита на нейна информация със съответно или по-високо ниво на класификация.
(2) Криптографски средства, предназначени за защита на информация с ниво на класификация за сигурност "Поверително" и по-високо, могат да се одобряват само ако са с апаратно реализиран криптографски алгоритъм и е предвидена възможност за модификацията му без участие на фирмата производител. Одобрените криптографски средства се експлоатират само с модифициран от ОКС криптографски алгоритъм.


Чл. 81. (1) За одобрение на криптографски средства от внос заявителят трябва да е получил разрешение за внос по Закона за контрол на външнотърговската дейност с оръжие и със стоки и технологии с възможна двойна употреба и да е изпълнил условията по раздел I.
(2) Одобрението по ал. 1 се извършва по реда на раздел I.


Чл. 82. В случай че заявителят разполага със сертификати или други подобни документи, издадени за криптографското средство, той прилага копие от тях към заявлението по чл. 70.

Раздел III.
Допълнителни условия за одобрение на криптографски средства, които се проектират и произвеждат в Република България


Чл. 83. (1) Преди производството на криптографско средство за защита на класифицирана информация заявителят по чл. 70 писмено уведомява ОКС.
(2) Писменото уведомление предхожда подаването на заявление по чл. 70.
(3) Към уведомлението заявителят прилага:
1. описание на функционалните характеристики на криптографското средство, включително предвижданото ниво на класификация на информацията, която ще защитава;
2. списък на служителите, участващи в разработката, и идентификационните данни на техните разрешения за достъп до класифицирана информация с ниво на класификация, съответно на заявеното по т. 1;
3. идентификационните данни на удостоверението за сигурност по чл. 96, ал. 1 ЗЗКИ - за лицата по чл. 69, т. 1.


Чл. 84. В случай че разработката се възлага от организационна единица, заданието предварително се съгласува с ОКС.


Чл. 85. Органът по криптографската сигурност въз основа на уведомлението по чл. 83 предоставя на заявителя:
1. задължителни изисквания за криптографска сигурност, на които трябва да отговаря криптографското средство;
2. криптографски алгоритъм или програмен, или апаратен модул, реализиращ криптографския алгоритъм, който да се използва в криптографското средство.


Чл. 86. По време на разработката ОКС консултира заявителя и при необходимост поставя допълнителни изисквания към криптографското средство.


Чл. 87. (1) След приключване на разработката заявителят подава заявлението за одобрение по чл. 70.
(2) Освен приложенията по чл. 71 лицето по чл. 69, т. 1 прилага към заявлението писмена декларация за възможността да осигури цялостното производство на модулите, реализиращи криптографските функции на територията на Република България.
(3) Одобрението се извършва по реда на раздел I.


Чл. 88. (1) В случай че в процеса на одобрение се открият недостатъци в криптографските характеристики на одобряваното средство, ОКС писмено информира заявителя и определя срок, в който тези недостатъци трябва да бъдат отстранени.
(2) В случай че заявителят не отстрани недостатъците в указания срок, ОКС прекратява процеса на одобрение.


Чл. 89. Органът по криптографската сигурност осъществява контрол върху процеса на разработка и производство на криптографски средства.


Чл. 90. (1) Заявителят няма право да предоставя на други физически или юридически лица предоставените по чл. 85, т. 2 криптографски алгоритми и модули.
(2) Заявителят няма право да прилага предоставените по чл. 85, т. 2 криптографски алгоритми и модули или техни разновидности във вариантите на криптографското средство, които не са предназначени за защита на класифицирана информация на Република България или на държави и организации, с които Република България има влязъл в сила международен договор за защита на класифицирана информация.
(3) Износът на криптографско средство се извършва след разрешение за износ по Закона за контрол на външнотърговската дейност с оръжие и със стоки и технологии с възможна двойна употреба.
(4) Във връзка с издаване на разрешението по ал. 3 ОКС дава експертно становище относно спазването на изискването по ал. 1.

Допълнителни разпоредби


§ 1. (1) (Изм. - ДВ, бр. 5 от 2010 г.) Планирането, организацията, изграждането, ръководството и контролът на криптографската сигурност на класифицираната информация на Върховното главно командване за военно време се възлагат на Генералния щаб на Българската армия (ГЩ на БА) и на дирекция "Комуникационни и информационни системи" на Министерството на вътрешните работи (МВР).
(2) За изпълнение на функциите и задачите по ал. 1 ръководителите на министерствата и ведомствата изготвят необходимите документи за криптографските мрежи на Върховното главно командване, които се съгласуват с ГЩ на БА.
(3) (Изм. - ДВ, бр. 5 от 2010 г.) Телефонната връзка за държавно управление от пунктовете на Върховното главно командване и пунктовете за управление на министерствата и ведомствата се планира съвместно от ГЩ на БА и дирекция "Комуникационни и информационни системи" - МВР. Ръководството, организацията, експлоатацията и контролът на телефонната връзка се осъществяват от дирекция "Комуникационни и информационни системи" - МВР.
(4) (Изм. - ДВ, бр. 5 от 2010 г.) Криптографската защита на комуникационните системи, необходими за държавното ръководство, министерствата и ведомствата, се организира, осъществява и експлоатира от дирекция "Комуникационни и информационни системи" - МВР.
(5) (Изм. - ДВ, бр. 5 от 2010 г.) Криптографската защита на комуникационните системи за пунктовете за управление на министерствата и ведомствата се планира съвместно от ГЩ на БА и дирекция "Комуникационни и информационни системи" - МВР. Ръководството, организацията и експлоатацията им се осъществяват от дирекция "Комуникационни и информационни системи" - МВР.


§ 2. Служителите в организационните единици, които работят с ключови материали или съхраняват ключови материали, или поддържат криптографски средства, получават допълнително месечно възнаграждение, размерът на което се определя от ръководителите на организационните единици.


§ 2а. (Нов - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) На криптографските средства и криптографските материали се поставя допълнителна маркировка "КРИПТО".

§ 3. По смисъла на наредбата:
1. "Криптографска защита" е прилагането на криптографски методи и средства, предназначени за преобразуване на класифицираната информация при нейното съхраняване и пренасяне, с цел защита срещу разкриване от неоторизирани лица или за удостоверяване интегритета на информацията. В частност криптографска защита е и прилагането на електронен подпис спрямо класифицирана информация.
2. "Криптографско средство" е техническо средство, програмен продукт или кодови пособия, използвани за криптографска защита на класифицирана информация или за генериране и тестване на криптографски ключове.
3. "Ключов материал" са криптографски ключове на различни материални носители.
4. "Криптографска мрежа" е съвкупност от съвместими, одобрени криптографски средства с общо администриране на ключовите материали, осигуряваща криптографска защита на обменяната класифицирана информация.
5. "Компрометиране на криптографската сигурност" е събитие, което създава условия за или е довело до нерегламентиран достъп до криптографските средства и ключови материали или до обработваната с тях класифицирана информация. Такива събития могат да бъдат:
а) криптографски: повреда или неправилна работа на криптографското средство; неправилна работа с криптографското средство или с ключовите материали (нарушена опаковка, дефектен, подменен или повторно използван ключов материал, използване на криптографския ключ извън разрешения период, неразрешено използване на собствено изработени ключове, смяна на поредността на ключовете); използване на криптографското средство от неоторизиран персонал; използване на незащитени комуникационни канали за детайлно изясняване на повреда на криптографско средство; неоторизирана модификация на криптографското средство;
б) персонални: действия или обстоятелства, свързани с лица, получили разрешение или удостоверение за работа с криптографски средства, които биха изложили на опасност криптографската сигурност (измяна, саботаж, разгласяване на информация, свързана с криптографските средства и ключовите материали);
в) физически: кражба, загубване, неправилно транспортиране (грешен получател или използване на непозволени транспортни канали за разпределяне, неправилно пакетиране или нарушена опаковка на пакета); неправилно унищожаване, позволяващо възстановяване на ключовата информация, неконтролирано съхраняване с възможност за неоторизиран достъп до ключов материал; съхраняване на ключови материали или средства, описани като унищожени; необясними повреди или премахване на защитната опаковка на криптографския ключ; опити за извличане на ключ от криптографското средство (активиране на защитни блокировки, неоторизирано изтриване на ключовете).
6. "Кодови пособия" са криптографски средства на хартиен носител, осигуряващи преобразуване на класифицираната информация с помощта на таблични замествания.
7. "Критична ситуация" е ситуация, настъпила в резултат на събитие от всякакъв характер, което може да доведе или е довело до компрометиране на криптографската сигурност в определена криптографска мрежа.
8. "Сложни условия" са специфични условия на експлоатация на криптографските мрежи, създаващи повишен риск за криптографската сигурност и/или затрудняващи или изключващи прилагането на всички необходими мерки за сигурност.
9. (нова - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) "Криптографски материали" са материали, включващи носители на криптографски ключове във всичките им форми, експлоатационни документи за криптографски средства, системи за криптиране, декриптиране и автентификация, които са необходими за защитата на класифицираната информация.
10. (нова - ДВ, бр. 35 от 2016 г., в сила от 10.05.2016 г.) "КРИПТО" е допълнителна маркировка в добавка към нивото на класификацията за сигурност, която се поставя с цел спазване и контрол на прилаганите мерки за сигурност, разписани в тази наредба.

Преходни и Заключителни разпоредби


§ 4. (1) Криптографски средства и криптографски мрежи, които към момента на влизане в сила на наредбата се ползват за защита на класифицирана информация, се считат за одобрени за срок 24 месеца, след което подлежат на одобрение по реда на наредбата.
(2) В срок два месеца от влизането в сила на наредбата ръководителите на организационните единици уведомяват писмено ОКС за експлоатираните криптографски мрежи и за типа и броя на криптографски средства в тях.
(3) Заявления за въвеждане в експлоатация на криптографските мрежи по ал. 2 и за одобрение на криптографските средства по ал. 2 се подават не по-късно от 6 месеца от влизането в сила на наредбата.


§ 5. (1) Издадените преди влизането в сила на наредбата допуски до шифрова работа са валидни до издаване на разрешения и удостоверения за работа с криптографски средства за срок не по-дълъг от 24 месеца от влизането в сила на наредбата.
(2) В срок два месеца от изтичането на срока по ал. 1 издадените допуски до шифрова работа се връщат в ОКС.


§ 6. В срок две години от влизането в сила на наредбата ОКС организира и осигурява изпълнението на чл. 14, ал. 3.


§ 7. Наредбата се приема на основание чл. 85 от Закона за защита на класифицираната информация.

Заключителни разпоредби
КЪМ ПОСТАНОВЛЕНИЕ № 66 ОТ 28 МАРТ 2016 Г. ЗА ПРИЕМАНЕ НА ПРАВИЛНИК ЗА ПРИЛАГАНЕ НА ЗАКОНА ЗА ДЪРЖАВНА АГЕНЦИЯ "РАЗУЗНАВАНЕ"


(ОБН. - ДВ, БР. 27 ОТ 2016 Г., В СИЛА ОТ 05.04.2016 Г.)

§ 17. Постановлението влиза в сила от деня на обнародването му в "Държавен вестник".

Заключителни разпоредби
КЪМ ПОСТАНОВЛЕНИЕ № 104 ОТ 28 АПРИЛ 2016 Г. ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА НАРЕДБАТА ЗА КРИПТОГРАФСКАТА СИГУРНОСТ НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ, ПРИЕТА С ПОСТАНОВЛЕНИЕ № 263 НА МИНИСТЕРСКИЯ СЪВЕТ ОТ 2003 Г.


(ОБН. - ДВ, БР. 35 ОТ 2016 Г., В СИЛА ОТ 10.05.2016 Г.)

§ 13. Постановлението влиза в сила от деня на обнародването му в "Държавен вестник".

Приложение № 1 към чл. 55, ал. 1


Поверително!

 (след попълване)

УДОСТОВЕРЕНИЕ

ЗА

РАБОТА С КРИПТОГРАФСКИ СРЕДСТВА

№ ........., екз. № .......

 

На основание чл. 7, т. 4, буква "г" и чл. 55, ал. 1 от Наредбата за криптографската сигурност на класифицираната информация (НКСКИ)

.........................................................................................................................................................

(орган, издал документа)

издава

на ..................................................................................................................................................,

(трите имена на лицето)

ЕГН ...............................................................................................................................................,

изпълняващ функции по чл. ........................................................................... от НКСКИ

                                                                       ( чл. 10 или 13)

като ................................................................................................................................................

(администратор, потребител)

на/в ...............................................................................................................................................,

(наименование на криптографската мрежа)

В ....................................................................................................................................................,

(организационна единица)

удостоверение за работа с ...........................................................................................................

                                                                   (посочва се криптографското  средство

........................................................................................................................................................

или правото за работа с криптографски материали)

Удостоверението е валидно до ...................................................................................................

 

.................................                                                            Подпис:.............................

(дата на издаване)                                                            Печат:

.................................                                                            (....................................)

(място на издаване)                                                                    (фамилия)

 


Приложение № 2 към чл. 58, ал. 2


ОТНЕМАНЕ

НА УДОСТОВЕРЕНИЕ

ЗА

РАБОТА С КРИПТОГРАФСКИ СРЕДСТВА

№ ........., екз. № .......

 

На основание чл. 7, т. 4, буква "д" и чл. 58, ал. 1, т. .... от Наредбата за криптографската сигурност на класифицираната информация

....................................................................................................................................................

(орган, издал документа)

отнема

удостоверение за работа с криптографски средства № ......................./...............................,

 издадено на .............................................................................................................................,

(трите имена на лицето)

ЕГН ...........................................................................................................................................,

От .............................................................................................................................................,

(организационна единица)

 

...........................................                                                          Подпис:.........................

     (дата на издаване)                                                                                Печат:

...........................................                                                          (..................................)

    (място на издаване)                                                                        (фамилия)

 



Приложение № 3 към чл. 59, ал. 2


ПРЕКРАТЯВАНЕ

НА УДОСТОВЕРЕНИЕ

ЗА

РАБОТА С КРИПТОГРАФСКИ СРЕДСТВА

№ ........., екз. № .......

 

На основание чл. 7, т. 4, буква "д" и чл. 59, ал. 1, т. ...... от Наредбата за криптографската сигурност на класифицираната информация

......................................................................................................................................................

(орган, издал документа)

прекратява действието

на удостоверение за работа с криптографски средства № .............................../...................,

издадено на ..............................................................................................................................,

(трите имена на лицето)

ЕГН ............................................................................................................................................,

От ..............................................................................................................................................,

(организационна единица)

 

.........................................                                                    Подпис:........................

     (дата на издаване)                                                                   Печат:

...........................................                                                  (................................)

     (място на издаване)                                                                  (фамилия)

 


Приложение № 4 към чл. 67, ал. 1


СВИДЕТЕЛСТВО

ЗА ОБУЧЕНИЕ

ПО КРИПТОГРАФСКА СИГУРНОСТ

№ .........

 

На основание чл. 63, т. .... от Наредбата за криптографската сигурност на класифицираната информация

.......................................................................................................................................

(орган, издал документа)

издава настоящото свидетелство

на ................................................................................................................................,

(трите имена на лицето)

ЕГН .............................................................................................................................,

.....................................................................................................................................,

(длъжност)

В ..................................................................................................................................,

(организационна единица)

 

в уверение на това, че същият е преминал успешно курс на обучение по криптографска сигурност.

 

Обучението е проведено от

..................................................................................................................................... .

(орган, провел обучението)

Притежателят на настоящото свидетелство има право:

1. да изпълнява функциите на

..................................................................................................................................... .

(администратор, потребител)

2. да работи с криптографско средство

..................................................................................................................................... .

(тип на криптографското средство)

3. да провежда обучение по/за (само за администратор)

..................................................................................................................................... .

(област, в която има право да провежда обучение)

Свидетелството е валидно до .............................................................................. .

Подпис на лицето:................................

 

..........................................                                                 Подпис:........................

       (дата на издаване)                                                              Печат:

 ........................................                                                  (..................................)

      (място на издаване)                                                             (фамилия)


  |   ↑ нагоре   |   ← назад   |   пълна версия

© Lex.bg     Контакти