Министерски съвет
брой: 21, от дата 13.3.2020 г.   Официален раздел / МИНИСТЕРСКИ СЪВЕТстр.11


Постановление № 41 от 9 март 2020 г. за изменение и допълнение на Наредбата за криптографската сигурност на класифицираната информация, приета с Постановление № 263 на Министерския съвет от 2003 г.

 

ПОСТАНОВЛЕНИЕ № 41 ОТ 9 МАРТ 2020 Г.
за изменение и допълнение на Наредбата за криптографската сигурност на класифицираната информация, приета с Постановление № 263 на Министерския съвет от 2003 г. (обн., ДВ, бр. 102 от 2003 г.; изм. и доп., бр. 44 от 2008 г., бр. 57 от 2009 г., бр. 5 от 2010 г. и бр. 27 и 35 от 2016 г.)
МИНИСТЕРСКИЯТ СЪВЕТ
ПОСТАНОВИ:
§ 1. В чл. 1, т. 2 се правят следните изменения и допълнения:
1. В буква „а“ думите „производство, съхраняване и разпределяне на криптографски ключове“ се заменят с „производство, маркиране, съхраняване, разпределяне, пренасяне, използване и унищожаване на криптографски материали и на криптографски средства за защита на класифицирана информация“.
2. В буква „в“ думите „за прилагане“ се заличават, а след думите „криптографски средства“ се добавя „за защита на класифицирана информация“.
3. Създава се буква „г“:
„г) контрол по използване на криптографски методи и средства за защита на класифицирана информация.“
§ 2. В чл. 2 думите „на класифицираната информация“ се заличават.
§ 3. В чл. 4 се правят следните изменения и допълнения:
1. В т. 1 след думите „криптографска сигурност“ думите „на класифицираната информация“ се заличават.
2. В т. 2 думата „препоръки“ се заменя със „задължителни предписания“.
3. В т. 3 думите „оценява и одобрява“ се заменят с „извършва одобрение на“, а накрая се добавя „и периодичен анализ за установяване на тяхната способност да защитават класифицирана информация“.
4. Създава се точка 3а:
„3а. проектира и разработва изцяло или отделни елементи от криптографски методи и средства;“.
5. В т. 5 думите „криптографски ключове за защита на класифицираната информация в“ се заменят с „ключови материали за“.
6. Точка 6 се изменя така:
„6. извършва одобрение на системи за управление на криптографски ключове (СУКК) и одобрява въвеждането им в експлоатация и периодичен анализ за установяване на тяхната способност за защита на класифицираната информация;“.
7. Точка 12 се изменя така:
„12. води регистри на одобрените криптографски средства и мрежи, поекземплярно проверените криптографски средства и разрешенията за работа с криптографски средства;“.
8. Точка 13 се отменя.
§ 4. В чл. 5 се правят следните изменения:
1. В ал. 2 думите „административното звено по сигурността на информацията“ се заменят с „организационната единица“.
2. В ал. 3 думите „в звеното по сигурността на информацията“ се заличават.
§ 5. В чл. 7 се правят следните изменения и допълнения:
1. Точка 3 се изменя така:
„3. организира изготвянето на криптоплановете в организационната единица, които се утвърждават от ОКС;“.
2. В т. 5 думата „води“ се заменя с „водене на“ и думата „ключовите“ се заменя с „криптографските“.
3. Точка 6 се изменя така:
„6. организира съхраняването, пренасянето и контрола на криптографските средства, криптографските материали и друга документация, свързана с криптографската сигурност в организационната единица;“.
4. Създава се т. 9:
„9. организира инвентаризация на използваните в организационната единица криптографски средства и криптографски материали и изготвя обобщен отчет по чл. 36, ал. 6.“
§ 6. В чл. 10 се правят следните изменения и допълнения:
1. В ал. 1:
а) в т. 2 думите „организационните правила“ се заменят с „криптоплана“ и думите „използването на криптографските средства“ се заменят с „криптографската сигурност“;
б) в т. 3 думата „ключови“ се заменя с „криптографски“;
в) в т. 4 думите „автоматизирано генериране и разпределяне“ се заменят с „управление“;
г) в т. 5 думата „ключовите“ се заменя с „криптографските“;
д) в т. 6 думата „ключови“ се заменя с „криптографски“;
е) в т. 8 думите „организационните правила“ се заменят с „криптоплана“;
ж) точка 11 се отменя.
2. В ал. 2 се създава изречение второ: „Разпределянето на функциите се описва в криптоплана по чл. 19, ал. 1, т. 5.“
§ 7. В чл. 13, т. 2 думите „организационните правила и правилата за експлоатация“ се заменят с „криптоплана“.
§ 8. В чл. 14, ал. 2 думите „с еднакви качествени и функционални показатели“ се заменят с „удовлетворяващи в еднаква степен качествените и функционалните изисквания към тях за конкретното приложение“ и пред тях и след тях се поставя запетая.
§ 9. Член 15 се изменя така:
„Чл. 15. (1) Ръководителят на организационната единица взема решение за необходимостта от използване на криптографски средства за защита на класифицираната информация в организационната единица и изпраща писмено запитване до ОКС за наличието на одобрени криптографски средства. В запитването се посочват качествените и функционалните показатели на средствата, от които организационната единица има нужда.
(2) В срок до 15 работни дни от получаването на запитването ОКС отговаря писмено за наличието на одобрени средства по ал. 1. В писмения отговор се посочват нивото на класифицирана информация, за което са одобрени, предназначението, версията и производителят им.
(3) Процедура по възлагане на обществена поръчка за доставка на криптографски средства може да започне след получаването на писмения отговор по ал. 2 за одобрени криптографски средства.
(4) След приключването на процедурата за доставка на криптографски средства по ал. 3 ръководителят на организационната единица уведомява писмено ОКС за броя и идентификационните номера на доставените криптографски средства.“
§ 10. Член 16 се изменя така:
„Чл. 16. (1) За използването на криптографски средства ръководителят на организационната единица изпраща заявление до ОКС, което съдържа:
1. идентификационни данни на криптографските средства, които ще се организират в криптографската мрежа;
2. нивото за сигурност на класифицираната информация, която ще бъде защитавана;
3. наименование на криптографската мрежа и наименование на комуникационната и информационната система (КИС), ако криптографската мрежа се предвижда да е част от такава система, включително връзка с други системи;
4. описание на мерките за физическа сигурност на криптографските средства;
5. описание на предвиждания брой криптографски средства, които ще се използват в криптографска мрежа, на предвижданата организация на използването им, както и на физическото им местоположение.
(2) В случаите, когато криптографската мрежа е част от КИС, заявлението по ал. 1 се подава на етап, определен от органа по акредитиране на сигурността (ОАС) на КИС в уведомлението по чл. 16 от Наредбата за сигурността на комуникационните и информационните системи.“
§ 11. В чл. 17, ал. 1 думите „т. 1“ се заличават.
§ 12. Член 18 се отменя.
§ 13. Член 19 се изменя така:
„Чл. 19. (1) За въвеждане в експлоатация на криптографски мрежи за защита на класифицираната информация е необходимо предварително да са налице:
1. одобрени и поекземплярно проверени от ОКС криптографски средства;
2. администратор по криптографската сигурност и при необходимост потребители на криптографски средства в организационната единица;
3. документ, удостоверяващ изпълнението на нормативните изисквания за физическа и документална сигурност, съответстващи на нивото за сигурност на криптографските средства и на защитаваната класифицирана информация;
4. изпълнени условия за експлоатация на криптографските средства, определени в техните сертификати за одобрение, и условията за валидност към сертификатите;
5. изготвен в организационната единица и утвърден от ръководителя на ОКС или от упълномощено от него длъжностно лице криптоплан, включващ:
а) организационни правила и правила за техническа експлоатация в областта на криптографската сигурност;
б) план за действие при критични ситуации.
(2) В срок до 24 месеца от получаването на съгласието по чл. 17, ал. 1 организационната единица – заявител, уведомява писмено ОКС за изпълнението на изискванията на ал. 1.“
(3) Органът по криптографската сигурност на Република България прекратява процедурата по чл. 16 в случаите, когато не е спазен срокът по ал. 2.“
§ 14. Член 20 се изменя така:
„Чл. 20. (1) Въвеждането в експлоатация на криптографски средства в криптографска мрежа се одобрява с решение на комисия след проверка на изпълнението на изискванията по чл. 19, а когато са част от КИС – след издаване на сертификат за сигурност на КИС по чл. 20 от Наредбата за сигурността на комуникационните и информационните системи.
(2) Комисията по ал. 1 се съставя от представители на ОКС и служител по криптографската сигурност на организационната единица – заявител по чл. 16. Комисията се назначава със заповед на ръководителите на ОКС и на организационната единица – заявител по чл. 16.
(3) При проверката по ал. 1 ОКС може да определи допълнителни изисквания по отношение на сигурността, които трябва да бъдат изпълнени преди издаването на решението.
(4) За криптографските мрежи, предназначени за защита на класифицирана информация с ниво на класификация „За служебно ползване“, проверката по ал. 1 може да се извършва по документи.
(5) В случай че след издаване на решението по ал. 1 има промяна в условията по чл. 19, ал. 1, т. 1, 3 и 4, ръководителят на организационна единица – заявител, подава допълнение към заявлението по чл. 16, в което се посочват настъпилите промени и предприетите мерки за изпълнението на изискванията на чл. 19, ал. 1, т. 1, 3 и 4.
(6) След подаване на допълнението по ал. 5 ОКС може да изиска извършване на повторна проверка на изпълнението на изискванията по чл. 19.“
§ 15. В чл. 21 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
„(1) Решението по чл. 20, ал. 1 съдържа описание на изпълнението на изискванията по чл. 19, както следва:
1. идентификация на одобрените криптографски средства, включително маркировката по чл. 72, ал. 1, т. 5 на поекземплярно проверените криптографски средства или техни модули;
2. нивото за сигурност на класифицираната информация, която може да бъде защитавана с одобрените криптографски средства;
3. задължителните условия за експлоатация, при които е гарантирана защитата на класифицираната информация от съответното ниво за сигурност;
4. физическото разположение на криптографските средства по места и предприетите мерки по физическа и документална сигурност.“
2. Създава се ал. 3:
„(3) Екземпляр от решението по ал. 1 се изпраща на организационната единица, експлоатираща криптографските средства в мрежа, или на организатора по чл. 23. В случаите, когато криптографската мрежа е част от КИС, решението се изпраща след издаване на сертификат за КИС.“
§ 16. В чл. 23 се правят следните изменения:
1. В ал. 1 изречение второ се изменя така: „В органите на държавната власт, в които са обособени повече от една организационни единици, вместо споразумение може да се издаде заповед на съответния компетентен орган на държавната власт.“
2. Алинея 2 се изменя така:
„(2) Организаторът отговаря за разпределението на необходимите криптографски материали в мрежата, а дейностите по поекземплярната проверка, разпределението и ремонта на използваните криптографски средства се организират съгласно споразумението или заповедта по ал. 1.“
3. В ал. 5 думите „чл. 4 и 5 от“ се заличават.
§ 17. В чл. 24 навсякъде думите „за сигурност“ се заличават.
§ 18. В чл. 25 се правят следните изменения:
1. Алинея 1 се изменя така:
„(1) Класифицирана информация от КИС се пренася по комуникационни системи по реда на Наредбата за сигурността на комуникационните и информационните системи.“
2. В ал. 2 думите „само“ и „за сигурност“ се заличават.
§ 19. В чл. 26 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
„(1) Експлоатацията на криптографските средства и на криптографските ключове се извършва в съответствие с правилата за работа с тях и криптоплана по чл. 19, ал. 1, т. 5.“
2. В ал. 2 думата „правилата“ се заменя с „криптоплана“.
3. Създава се ал. 3:
„(3) Експлоатацията по ал. 1 се извършва след издаване на решение по чл. 20, а когато криптографската мрежа е част от КИС – и след издаване на сертификат за сигурност на КИС по реда на Наредбата за сигурността на комуникационните и информационните системи.“
§ 20. В чл. 27 се правят следните изменения и допълнения:
1. В ал. 2 след думата „новозакупени“ се добавя „екземпляри“.
2. В ал. 3 думите „транспортират с изтрити“ се заменят с „пренасят с незаредени“.
§ 21. В чл. 28 се правят следните изменения:
1. В ал. 1 думите „криптографските ключове“ се заменят с „ключови материали“.
2. В ал. 2 думите „криптографските ключове“ се заменят с „тях“.
3. В ал. 3 думите „Криптографските ключове“ се заменят с „Ключовите материали“ и думите „с правилата за работа с тях“ се заменят с „в криптоплана по чл. 19, ал. 1, т. 5“.
§ 22. В чл. 29 се правят следните изменения:
1. В ал. 1 думите „криптографски ключове“ се заменят с „ключови материали“.
2. В ал. 5 думите „криптографските характеристики“ се заменят с „криптографската функционалност“.
3. В ал. 6 думите „и ги отразяват в техните паспорти“ и запетаята пред тях се заличават.
§ 23. В чл. 31 се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1.
2. Създава се ал. 2:
„(2) При прекратяване на експлоатацията на криптографски средства в криптографска мрежа по ал. 1, т. 1 заявителят по чл. 16 писмено уведомява ОКС.“
§ 24. В чл. 33 се правят следните изменения и допълнения:
1. Алинея 6 се изменя така:
„(6) В срок до 12 месеца от унищожаването в ОКС се изпраща списък на унищожените средства и материалите по ал. 3.“
2. Създава се ал. 7:
„(7) След унищожаване на всички криптографски средства и материали от конкретна криптографска мрежа и анализ на списъка по чл. 33, ал. 6 ОКС прекратява експлоатацията на криптографската мрежа, като уведомява писмено ръководителя на организационната единица – заявител по чл. 16.“
§ 25. Заглавието на раздел ІV, глава трета се изменя така:
„Производство, маркиране, съхраняване, разпределяне, пренасяне и използване на ключови материали“.
§ 26. В чл. 34 се правят следните изменения и допълнения:
1. В ал. 1 думите „криптографски ключове“ се заменят с „ключови материали“ и думите „защита на класифицираната информация в“ се заличават.
2. В ал. 2, изречение първо след думите „съдържаща се в тях“ се добавя „и допълнителна маркировка „КРИПТО“.
§ 27. В чл. 35 се правят следните изменения:
1. В ал. 1:
а) навсякъде думите „автоматизирано генериране и разпределяне“ се заменят с „управление“ и абревиатурата „(САГРКК)“ се заменя със „(СУКК)“;
б) в т. 2 думите „клас І“ се заличават, а думите „с акт на съответния компетентен орган“ се заменят със „със съответния документ“;
в) в т. 3 абревиатурата „САГРКК“ се заменя със „СУКК“, а думите „нейното свидетелство за одобряване“ се заменят с „нейния сертификат за одобрение“;
г) в т. 4 абревиатурата „САГРКК“ се заменя със „СУКК“ и след абревиатурата „ОКС“ съюзът „и“ се заменя с „или“.
2. Алинея 2 се изменя така:
„(2) Въвеждането в експлоатация на СУКК се извършва по реда на чл. 20 с решение на комисия след проверка на изпълнението на изискванията по ал. 1, а когато са част от КИС – след издаване на сертификат за сигурност на КИС по чл. 20 от Наредбата за сигурността на комуникационните и информационните системи.“
3. Алинея 3 се отменя.
§ 28. В чл. 36 се правят следните изменения и допълнения:
1. Навсякъде думата „ключовите“ се заменя с „криптографските“.
2. В ал. 2, изречение първо думите „за администратори по криптографската сигурност“ се заличават.
3. В ал. 6:
а) в изречение първо думата „ключови“ се заменя с „криптографски“;
б) създава се изречение четвърто: „Копие на обобщения отчет се изпраща на ОКС.“
§ 29. В чл. 37 се правят следните изменения и допълнения:
1. В ал. 2 накрая се поставя запетая и се добавя „с изключение на случаите по чл. 43, ал. 5“.
2. Алинея 3 се изменя така:
„(3) На контрол подлежат организацията, начинът и условията на използване, съхраняване и унищожаване на криптографските средства и криптографските материали.“
§ 30. В чл. 38 се правят следните изменения и допълнения:
1. В ал. 2 се създава изречение второ: „В службите по чл. 37, ал. 2 проверката се извършва от комисия, съставена от служители от съответните структури по сигурността, с изключение на случаите по чл. 43, ал. 5.“
2. Алинея 5 се изменя така:
„(5) Редът за достъпа по ал. 4 се определя със заповед на ръководителя на организационната единица.“
§ 31. В чл. 40 се правят следните изменения:
1. В ал. 1 думите „минимални изисквания за криптографска сигурност“ се заменят с „криптоплан“ и думата „съответстващи“ се заменя със „съответстващ“.
2. Алинея 2 се изменя така:
„(2) Криптопланът по ал. 1 се утвърждава от ръководителя на ОКС или от упълномощено от него длъжностно лице.“
§ 32. В чл. 41 се правят следните изменения и допълнения:
1. В ал. 1 думата „временно“ се заличава.
2. Алинея 2 се изменя така:
„(2) В заповедта по ал. 1 се изписва периодът, за който се въвежда в експлоатация криптографската мрежа. Копие от заповедта се изпраща в ОКС.“
3. Създават се ал. 3 и 4:
„(3) За периода, през който криптографската мрежа не е въведена в експлоатация, криптографските средства и криптографските материали се съхраняват по реда на криптоплана.
(4) Когато действащата в сложни условия криптографска мрежа е част от КИС, заповедта за въвеждане на мрежата в експлоатация се издава след получаване на сертификат за сигурност на КИС по реда на Наредбата за сигурността на комуникационните и информационните системи.“
§ 33. В чл. 42, ал. 1, т. 2 накрая на изречението се добавя „и организационната единица – организатор на криптографската мрежа, ако събитието се е случило в различна от нея организационна единица“.
§ 34. В чл. 43 се създава ал. 5:
„(5) Органът по криптографската сигурност може да извърши отделна проверка по случая, ако установените в протокола по ал. 3 обстоятелства го налагат. Проверката се извършва по реда на чл. 37 и 38.“
§ 35. В раздел VІІ на глава трета се създава чл. 44а:
„Чл. 44а. (1) При съмнение за или установяване на нерегламентиран достъп до информация за криптографско средство за защита на класифицирана информация в процес на разработка в Република България разработчикът по чл. 83 незабавно информира ОКС.
(2) В случаите по ал. 1 ОКС определя необходимите мерки за минимизиране на възможните вредни последици от това събитие и контролира изпълнението им.“
§ 36. В чл. 45 думите „административното звено по сигурността“ се заменят с „организационната единица“.
§ 37. В чл. 46 се правят следните изменения и допълнения:
1. В основния текст, след предлога „За“ се добавя „обучение и“.
2. Точка 4 се отменя.
§ 38. В чл. 47, ал. 1 думите „в срок 7 работни дни след получаване на заявлението по чл. 46“ се заменят със „след преминато успешно обучение по чл. 88, ал. 1 от ЗЗКИ в ОКС“.
§ 39. В чл. 50 се правят следните изменения и допълнения:
1. Създава се нова ал. 2:
„(2) В случаите по ал. 1, т. 1 ОКС може да отнеме разрешението за работа с криптографски средства без писмено предложение на служителя по сигурността на информацията.“
2. Досегашната ал. 2 става ал. 3.
§ 40. В чл. 51, ал. 2 накрая се поставя запетая и се добавя „с изключение на случаите по ал. 1, т. 1“.
§ 41. В чл. 54 се правят следните изменения и допълнения:
1. В основния текст след думите „по криптографската сигурност“ се поставя запетая, добавя се „завеждащ криптографска регистратура“ и се поставя запетая.
2. В т. 1, буква „а“ след думите „криптографската сигурност“ се добавя „и завеждащ криптографска регистратура“.
§ 42. В чл. 56, ал. 2 и 3 след думите „администраторите по криптографската сигурност“ се добавя „и завеждащите криптографска регистратура“.
§ 43. В чл. 57, ал. 1 след думата „срок“ се добавя „до“.
§ 44. В чл. 59, ал. 2 накрая се поставя запетая и се добавя „с изключение на случаите по ал. 1, т. 1“.
§ 45. В чл. 63, т. 3 след тирето се добавя „на други администратори по криптографската сигурност, на завеждащите криптографска регистратура и“.
§ 46. В чл. 65 се правят следните изменения:
1. В ал. 1 думите „на служителите по криптографската“ се заменят с „по криптографска“.
2. В ал. 2 думата „извършва“ се заменя с „и служителите от организационните единици, на които им е дадено право да провеждат обучение, извършват“ и думите „на служителите по криптографската“ се заменят с „по криптографска“.
§ 47. В чл. 66, ал. 1 накрая се поставя запетая и се добавя „издадено от ръководителя на ОКС или упълномощено от него длъжностно лице“.
§ 48. В чл. 68 се правят следните изменения и допълнения:
1. В ал. 1:
а) в основния текст след думите „администратори по криптографската сигурност“ се поставя запетая и се добавя „на завеждащите криптографска регистратура“;
б) в т. 1 думите „с акт на съответния компетентен орган“ се заменят със „със съответния документ, удостоверяващ изпълнението на нормативните изисквания за физическа и документална сигурност, съответстващи на нивото за сигурност на криптографските средства“.
2. В ал. 2 абревиатурата „ОКС“ се заменя с „ръководителят на ОКС или упълномощено от него длъжностно лице“.
3. В ал. 3 думите „и на местното самоуправление“ се заличават.
§ 49. В чл. 70 се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1.
2. Създават се ал. 2 и 3:
„(2) Одобрение може да бъде искано и извършено само за средство с напълно приключил етап на разработка и функционални изпитания, от което има произведени образци в напълно завършен вид.
(3) Системата за управление на криптографски ключове за криптографско средство, когато не е неразделна част от него, а е обособена самостоятелно, се одобрява:
1. отделно като криптографско средство и се открива процедура по нейното одобрение преди или едновременно с процедурата по одобрението на криптографското средство, което ще я ползва;
2. като задължително условие за одобрението на криптографското средство, което ще я ползва.“
§ 50. В чл. 71 се правят следните изменения и допълнения:
1. В ал. 1:
а) основният текст се изменя така:
„(1) Процедура за одобрение се открива с подаване на заявлението по чл. 70, което съдържа:“;
б) в т. 2 накрая се поставя запетая и се добавя „включително версиите на софтуера и фърмуера“.
2. В ал. 2:
а) в т. 1, буква „а“ думите „тяхната инициализация, режимите на работа, форматите на входящите и изходящите данни“ се заменят с „тяхното прилагане (инициализация, режими на работа, формати на входящите и изходящите данни и др.)“;
б) в т. 1 буква „д“ се изменя така:
„д) мерките по защита от компрометиращи електромагнитни излъчвания и филтриране на захранващите линии, както и информация за всички входни и изходни интерфейси (описание на сигналите – аналогови и цифрови, минимална и максимална скорост на предаване);“
в) в т. 1, буква „е“ думите „автоматизирана информационна система“ се заменят с „КИС“;
г) в т. 1 се създават букви „ж“ и „з“:
„ж) мерките за безвъзвратно унищожаване на криптографските алгоритми и ключови материали при неоторизиран достъп;
з) форматите на входящите и изходящите данни, обменяни през комуникационната среда;“
д) в т. 2 накрая се добавя „и при наличност – резултати от извършени тестове и анализи в процеса на разработка и производство;“
е) в т. 5 накрая се добавя „и други стандарти“.
3. Алинея 3 се изменя така:
„(3) Когато заявлението е подадено от лице по чл. 69, т. 1, към него се прилагат и:
1. удостоверения за липса на вписано обстоятелство или обявен акт в търговския регистър и регистъра на ЮЛНЦ за производство по ликвидация и за производство по несъстоятелност;
2. удостоверение за актуално състояние на регистрирано в търговския регистър и регистъра на ЮЛНЦ лице/копие от регистрационно удостоверение на вписано в регистър БУЛСТАТ лице;
3. декларация, че при настъпване на промяна в обстоятелствата по т. 1 и 2 и по чл. 69, т. 1 заявителят уведомява писмено ОКС за промяната в двуседмичен срок от настъпването й.“
4. Създават се ал. 7 и 8:
„(7) Когато заявлението не отговаря на изискванията на ал. 1 или не съдържа някое от приложенията към него по ал. 2 – 5, заявителят се уведомява писмено да отстрани пропуските. Ако пропуските не бъдат отстранени в тримесечен срок от датата на уведомяването, процедурата за одобрение се прекратява.
(8) За криптографско средство, разработено и произведено от ОКС, не се подава заявление по чл. 70, като такова се одобрява по реда на чл. 72, ал. 1.“
§ 51. В чл. 72 се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1 и в нея:
а) в т. 2 думите „предложено за одобрение“ и запетаята пред тях се заличават;
б) в т. 4 думата „паразитни“ се заменя с „компрометиращи“.
2. Създават се ал. 2 и 3:
„(2) Всички проверки в процеса на одобрение се извършват в помещенията на ОКС.
(3) При обективна невъзможност част от проверките да се осъществят в помещенията на ОКС те могат да бъдат извършени в помещенията на производителя на криптографското средство за сметка на заявителя по чл. 69.“
§ 52. В чл. 73 се правят следните изменения:
1. В ал. 1 думата „свидетелство“ се заменя със „сертификат“.
2. Алинея 2 се изменя така:
„(2) При наличие на обособена система за управление на криптографски ключове за нея се издава отделен сертификат за одобрение.“
§ 53. В чл. 74 се правят следните изменения и допълнения:
1. В ал. 1:
а) в основния текст думата „Свидетелството“ се заменя със „Сертификатът“;
б) в т. 1 думата „свидетелството“ се заменя със „сертификата“;
в) в т. 2 съюзът „или“ се заменя с „и“;
г) в т. 3 думата „свидетелството“ се заменя със „сертификата“;
д) в т. 5 думите „за сигурност“ се заличават.
2. В ал. 2 думата „свидетелството“ се заменя със „сертификата“.
3. Създават се ал. 3 – 5:
„(3) Cлед извършване на анализ по чл. 4, т. 3 и 6 ОКС може да внася промени в условията за валидност към сертификата, като:
1. промените се отразяват чрез издаване на нови условия за валидност към вече издаден сертификат за одобрение;
2. органът по криптографска сигурност определя срок, в който старите условия за валидност остават в действие, след което влизат в сила новите условия за валидност.
(4) В случаите по ал. 3 ОКС незабавно информира писмено притежателя на сертификата за одобрение и организационните единици, в които се експлоатира криптографското средство.
(5) В едномесечен срок от изтичането на срока по ал. 3, т. 2 притежателят на сертификата за одобрение е длъжен да върне на ОКС старите условия за валидност.“
§ 54. В чл. 76 т. 1 се изменя така:
„1. връща на заявителя системата за управление на криптографските ключове, ако такава е била приложена за целите на проверките в процеса на одобрение и същата не е част от одобреното средство;“.
§ 55. В чл. 78 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
„(1) Валидността на сертификата по чл. 73, ал. 1 се прекратява при:
1. установяване от ОКС на неспособност на одобреното криптографско средство да осигури нивото на защита на класифицираната информация, за което е одобрено. В този случай ОКС може да издаде сертификат за по-ниско ниво на класификация на информацията, без да се подава заявление за одобрение;
2. настъпване на обстоятелство, неотговарящо на изискванията по чл. 69, т. 1.“
2. В ал. 2 думите „заявителя и“ се заличават, а накрая се поставя запетая и се добавя „и притежателя на сертификата за одобрение и му предоставя новия сертификат, ако такъв е издаден“.
§ 56. В чл. 79 се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1.
2. Създават се ал. 2 и 3:
„(2) Обновяване на софтуер и/или фърмуер, използван в одобрено криптографско средство, се извършва при условия и по ред, определени от ОКС за всеки конкретен случай. Допуска се обновяване без последващо одобрение само и единствено ако обновяването не води до промяна на криптографските характеристики на средството и не намалява сигурността.
(3) Размножаване на софтуер и/или фърмуер, който е част от одобрено криптографско средство, може да се извършва само при условия и по ред, определени от ОКС за всеки конкретен случай.“
§ 57. Член 80 се изменя така:
„Чл. 80. (1) Криптографски средства от внос могат да се одобряват за защита на класифицирана информация с ниво на класификация до:
1. „Поверително“ включително;
2. „Секретно“ включително, в случай че са произведени в държава, с която има влязъл в сила международен договор, по който Република България е страна, за защита на класифицирана информация, и са одобрени за защита на нейна информация със съответно или по-високо ниво на класификация.
(2) Криптографски средства, предназначени за защита на информация с ниво на класификация „Поверително“ и по-високо, могат да се одобряват само ако криптографският алгоритъм за защита на поверителността на данните е реализиран в хардуерен криптомодул и е предвидена възможност за модификацията му без участие на фирмата производител. Одобрените криптографски средства се експлоатират само с модифициран от ОКС криптографски алгоритъм.“
§ 58. Член 81 се отменя.
§ 59. В чл. 83 се правят следните изменения и допълнения:
1. В ал. 1 думата „производството“ се заменя с „разработка“ и думите „заявителят по чл. 70“ се заменят с „разработчикът“.
2. Алинея 2 се отменя.
3. В ал. 3:
а) в основния текст думата „заявителят“ се заменя с „разработчикът“;
б) точка 1 се изменя така:
„1. основание за разработката; работни название и типово означение на криптографското средство – предмет на разработката; описание на функционалните характеристики на криптографското средство, включително предвижданото ниво на класификация на информацията, която ще защитава; описание на предвижданата среда на работа и условия на експлоатация на криптографското средство;“
в) в т. 2, в началото се добавя „пълна информация за възложителя на разработката и условията на договора по възлагане, ако има такъв“ и се поставя точка и запетая.
§ 60. Член 85 се изменя така:
„Чл. 85. Органът по криптографската сигурност въз основа на уведомлението по чл. 83 предоставя на разработчика задължителни изисквания за криптографска сигурност, на които трябва да отговаря криптографското средство.“
§ 61. В чл. 86 се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1 и в нея думите „консултира заявителя“ се заменят с „обменя информация с разработчика“.
2. Създават се ал. 2 – 4:
„(2) Предвидените за използване криптографски алгоритми и начините за тяхното прилагане се одобряват задължително от ОКС.
(3) Критично важни параметри и криптографски алгоритми се залагат в криптографското средство при условия и по ред, определени от ОКС за всеки конкретен случай.
(4) Органът по криптографската сигурност на Република България предоставя изисквания и техническа информация, свързана с разработката, единствено на лицата по чл. 83, ал. 3, т. 2 при спазване на принципа „необходимост да се знае“.“
§ 62. В чл. 87 се правят следните изменения и допълнения:
1. В ал. 1 думите „заявителят подава заявлението за одобрение по чл. 70“ се заменят с „разработчикът уведомява писмено за това ОКС, като декларира съответствието на крайния резултат с изискванията на ОКС“.
2. В ал. 2 след думата „заявлението“ се добавя „за одобрение по чл. 70“.
§ 63. В чл. 88 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
„(1) В случай че в процеса на одобрение се открият недостатъци в криптографските и функционалните характеристики на одобряваното средство, ОКС преценява при какви условия тяхното отстраняване е допустимо в рамките на текущата процедура по одобрение. Органът по криптографската сигурност на Република България писмено информира заявителя за решението си и в случай че промените са допустими, определя срок, в който недостатъците трябва да бъдат отстранени.“
2. В ал. 2 след думите „В случай че“ се добавя „отстраняването на установени недостатъци не е допустимо в рамките на текущата процедура по одобрение или“.
§ 64. В чл. 90 се правят следните изменения:
1. В ал. 1 думата „Заявителят“ се заменя с „Разработчикът“ и думите „предоставените по чл. 85, т. 2“ се заменят с „информация за предоставени от ОКС в процеса на разработка“.
2. В ал. 2 думата „Заявителят“ се заменя с „Разработчикът“ и думите „предоставените по чл. 85, т. 2“ се заменят с „предоставени от ОКС в процеса на разработка“.
3. Алинея 3 се изменя така:
„(3) Износът на криптографско средство се извършва след становище от ОКС.“
4. Алинея 4 се отменя.
§ 65. В § 1 от допълнителните разпоредби се правят следните изменения:
1. В ал. 1 думите „на класифицираната информация“ се заличават, а думите „Генералния щаб на Българската армия (ГЩ на БА)“ се заменят с „Министерството на отбраната (МО)“.
2. В ал. 2 думите „ГЩ на БА“ се заменят с „МО“.
3. Алинея 3 се изменя така:
„(3) Комуникациите за държавно управление от пунктовете на Върховното главно командване и пунктовете за управление на министерствата и ведомствата се планират съвместно от МО и дирекция „Комуникационни и информационни системи“ – МВР. Ръководството, организацията, експлоатацията и контролът на комуникациите се осъществяват от дирекция „Комуникационни и информационни системи“ – МВР.“
4. В ал. 4 думите „Криптографската защита на комуникационните“ се заменят със „Защитата с криптографски средства на комуникационните и информационните“.
5. В ал. 5 думите „Криптографската защита на комуникационните“ се заменят със „Защитата с криптографски средства на комуникационните и информационните“ и думите „ГЩ на БА“ се заменят с „МО“.
§ 66. Параграф 2 от допълнителните разпоредби се отменя.
§ 67. В § 3 от допълнителните разпоредби се правят следните изменения и допълнения:
1. Точка 1 се изменя така:
„1. „Криптографска защита“ е прилагането на криптографски методи и средства с цел защита на свойствата на класифицираната информация, свързани с контрола на достъпа до нея, като поверителност, цялост и други, при нейното обработване, съхраняване, пренасяне и използване.“
2. Създават се т. 1а – 1д:
„1а. „Криптографска трансформация“ е обработка на информация с цел нейната защита от неоторизиран достъп.
1б. „Криптографски алгоритъм“ е параметризирана фамилия криптографски трансформации.
1в. „Криптографски ключ“ е параметърът на криптографския алгоритъм, определящ еднозначно криптографската трансформация и подлежащ на периодична смяна.
1г. „Шифър“ е еквивалентно понятие на „криптографски алгоритъм“.
1д. „Криптографски метод“ е метод за защита на класифицирана информация чрез криптографска трансформация.“
3. Точка 2 се изменя така:
„2. „Криптографско средство“ е средство, предназначено за защита на класифицирана информация чрез комбинация от криптографски методи, или средство за управление на криптографски ключове.“
4. Създава се т. 2а:
„2а. „Управление на криптографски ключове“ е всяка дейност, свързана с осигуряването на пълната функционалност и защита на криптографските ключове през целия им жизнен цикъл, в това число тяхното генериране, запис, маркиране, съхранение, разпределение, пренос, използване и унищожение.“
5. Точка 3 се изменя така:
„3. „Ключови материали“ са криптографски ключове, пароли, инициализиращи стойности и други, свързани с криптографската защита параметри, записани на различни материални носители.“
6. В т. 5 буква „а“ се изменя така:
„а) криптографски: нерегламентиран достъп до самите криптографски средства или ключови материали, включително до информация за криптографско средство за защита на класифицирана информация в процес на разработка в Република България; неизправна работа на криптографското средство; неправилна работа с криптографското средство или с ключовите материали (нарушена опаковка, дефектен, подменен или повторно използван ключов материал, използване на криптографския ключ извън разрешения период, неразрешено използване на собствено изработени ключове, смяна на поредността на ключовете и др.); използване на криптографското средство от неоторизиран персонал; използване на незащитени комуникационни канали за детайлно изясняване на повреда на криптографско средство; неоторизирана модификация на криптографското средство;“.
7. В т. 7 след думите „резултат на“ се добавя „всяко“ и думите „от всякакъв характер“ и „в определена криптографска мрежа“ се заличават.
8. В т. 8 думите „или изключващи“ се заличават.
9. Точка 9 се изменя така:
„9. „Криптографски материали“ са ключовите материали и други материали, свързани с криптографската функционалност и нейното прилагане.“
§ 68. В приложение № 1 към чл. 55, ал. 1 в скобите думите „чл. 10 или 13“ се заменят с „чл. 10, 13 или чл. 36, ал. 2“ и след думите „наименование на криптографската мрежа“ се поставя запетая и се добавя „ако функциите, които се изпълняват, са по чл. 10 или 13“.
§ 69. В приложение № 4 към чл. 67, ал. 1 в т. 1 след думата „администратор“ се добавя „завеждащ криптографска регистратура и“.
Преходни и заключителни разпоредби
§ 70. Издадените свидетелства за одобрение на криптографски средства, утвърдените организационни правила и правила за техническа експлоатация на криптографските мрежи и минимални изисквания за криптографска сигурност, издадени преди влизането в сила на настоящото постановление, запазват действието си.
§ 71. В Наредбата за реда за извършване на проверките за осъществяване на пряк контрол по защита на класифицираната информация, приета с Постановление № 44 на Министерския съвет от 2003 г. (обн., ДВ, бр. 19 от 2003 г.; изм. и доп., бр. 44 от 2008 г.), в чл. 19 думите „автоматизираните информационни системи и мрежи за създаване, съхраняване, обработка и пренос на“ се заменят с „комуникационните и информационните системи, предназначени за“.
§ 72. Постановлението влиза в сила от деня на обнародването му в „Държавен вестник“.
Министър-председател: Бойко Борисов
За главен секретар на Министерския съвет: Росен Кожухаров
2301