Постановление № 41 от 9 март 2020 г. за изменение и допълнение на Наредбата за криптографската сигурност на класифицираната информация, приета с Постановление № 263 на Министерския съвет от 2003 г.

ПОСТАНОВЛЕНИЕ № 41 ОТ 9 МАРТ 2020 Г. за изменение и допълнение на Наредбата за криптографската сигурност на класифицираната информация, приета с Постановление № 263 на Министерския съвет от 2003 г. (обн., ДВ, бр. 102 от 2003 г.; изм. и доп., бр. 44 от 2008 г., бр. 57 от 2009 г., бр. 5 от 2010 г. и бр. 27 и 35 от 2016 г.)

МИНИСТЕРСКИЯТ СЪВЕТ ПОСТАНОВИ: § 1. В чл. 1, т. 2 се правят следните изменения и допълнения: 1. В буква „а“ думите „производство, съхраняване и разпределяне на криптографски ключове“ се заменят с „производство, маркиране, съхраняване, разпределяне, пренасяне, използване и унищожаване на криптографски материали и на криптографски средства за защита на класифицирана информация“.

2. В буква „в“ думите „за прилагане“ се заличават, а след думите „криптографски средства“ се добавя „за защита на класифицирана информация“.

3. Създава се буква „г“: „г) контрол по използване на криптографски методи и средства за защита на класифицирана информация.“ § 2. В чл. 2 думите „на класифицираната информация“ се заличават. § 3. В чл. 4 се правят следните изменения и допълнения: 1. В т. 1 след думите „криптографска сигурност“ думите „на класифицираната информация“ се заличават.

2. В т. 2 думата „препоръки“ се заменя със „задължителни предписания“.

3. В т. 3 думите „оценява и одобрява“ се заменят с „извършва одобрение на“, а накрая се добавя „и периодичен анализ за установяване на тяхната способност да защитават класифицирана информация“.

4. Създава се точка 3а: „3а. проектира и разработва изцяло или отделни елементи от криптографски методи и средства;“.

5. В т. 5 думите „криптографски ключове за защита на класифицираната информация в“ се заменят с „ключови материали за“.

6. Точка 6 се изменя така: „6. извършва одобрение на системи за управление на криптографски ключове (СУКК) и одобрява въвеждането им в експлоатация и периодичен анализ за установяване на тяхната способност за защита на класифицираната информация;“.

7. Точка 12 се изменя така: „12. води регистри на одобрените криптографски средства и мрежи, поекземплярно проверените криптографски средства и разрешенията за работа с криптографски средства;“.

8. Точка 13 се отменя. § 4. В чл. 5 се правят следните изменения: 1. В ал. 2 думите „административното звено по сигурността на информацията“ се заменят с „организационната единица“.

2. В ал. 3 думите „в звеното по сигурността на информацията“ се заличават. § 5. В чл. 7 се правят следните изменения и допълнения: 1. Точка 3 се изменя така: „3. организира изготвянето на криптоплановете в организационната единица, които се утвърждават от ОКС;“.

2. В т. 5 думата „води“ се заменя с „водене на“ и думата „ключовите“ се заменя с „криптографските“.

3. Точка 6 се изменя така: „6. организира съхраняването, пренасянето и контрола на криптографските средства, криптографските материали и друга документация, свързана с криптографската сигурност в организационната единица;“.

4. Създава се т. 9: „9. организира инвентаризация на използваните в организационната единица криптографски средства и криптографски материали и изготвя обобщен отчет по чл. 36, ал. 6. “ § 6. В чл. 10 се правят следните изменения и допълнения: 1. В ал. 1: а) в т. 2 думите „организационните правила“ се заменят с „криптоплана“ и думите „използването на криптографските средства“ се заменят с „криптографската сигурност“; б) в т. 3 думата „ключови“ се заменя с „криптографски“; в) в т. 4 думите „автоматизирано генериране и разпределяне“ се заменят с „управление“; г) в т. 5 думата „ключовите“ се заменя с „криптографските“; д) в т. 6 думата „ключови“ се заменя с „криптографски“;

2. В ал. 2 се създава изречение второ: „Разпределянето на функциите се описва в криптоплана по чл. 19, ал. 1, т. 5. “ § 7. В чл. 13, т. 2 думите „организационните правила и правилата за експлоатация“ се заменят с „криптоплана“. § 8. В чл. 14, ал. 2 думите „с еднакви качествени и функционални показатели“ се заменят с „удовлетворяващи в еднаква степен качествените и функционалните изисквания към тях за конкретното приложение“ и пред тях и след тях се поставя запетая. § 9. Член 15 се изменя така: „Чл. 15. (1) Ръководителят на организационната единица взема решение за необходимостта от използване на криптографски средства за защита на класифицираната информация в организационната единица и изпраща писмено запитване до ОКС за наличието на одобрени криптографски средства.

(2) В срок до 15 работни дни от получаването на запитването ОКС отговаря писмено за наличието на одобрени средства по ал. 1. В писмения отговор се посочват нивото на класифицирана информация, за което са одобрени, предназначението, версията и производителят им.

(3) Процедура по възлагане на обществена поръчка за доставка на криптографски средства може да започне след получаването на писмения отговор по ал. 2 за одобрени криптографски средства.

(4) След приключването на процедурата за доставка на криптографски средства по ал. 3 ръководителят на организационната единица уведомява писмено ОКС за броя и идентификационните номера на доставените криптографски средства.“ § 10. Член 16 се изменя така: „Чл. 16. (1) За използването на криптографски средства ръководителят на организационната единица изпраща заявление до ОКС, което съдържа: 1. идентификационни данни на криптографските средства, които ще се организират в криптографската мрежа; 2. нивото за сигурност на класифицираната информация, която ще бъде защитавана; 3. наименование на криптографската мрежа и наименование на комуникационната и информационната система (КИС), ако криптографската мрежа се предвижда да е част от такава система, включително връзка с други системи; 4. описание на мерките за физическа сигурност на криптографските средства; 5. описание на предвиждания брой криптографски средства, които ще се използват в криптографска мрежа, на предвижданата организация на използването им, както и на физическото им местоположение.

(2) В случаите, когато криптографската мрежа е част от КИС, заявлението по ал. 1 се подава на етап, определен от органа по акредитиране на сигурността (ОАС) на КИС в уведомлението по чл. 16 от Наредбата за сигурността на комуникационните и информационните системи.“ § 11. В чл. 17, ал. 1 думите „т. 1“ се заличават. § 12. Член 18 се отменя. § 13. Член 19 се изменя така: „Чл. 19. (1) За въвеждане в експлоатация на криптографски мрежи за защита на класифицираната информация е необходимо предварително да са налице: 1. одобрени и поекземплярно проверени от ОКС криптографски средства; 2. администратор по криптографската сигурност и при необходимост потребители на криптографски средства в организационната единица; 3. документ, удостоверяващ изпълнението на нормативните изисквания за физическа и документална сигурност, съответстващи на нивото за сигурност на криптографските средства и на защитаваната класифицирана информация; 4. изпълнени условия за експлоатация на криптографските средства, определени в техните сертификати за одобрение, и условията за валидност към сертификатите; 5. изготвен в организационната единица и утвърден от ръководителя на ОКС или от упълномощено от него длъжностно лице криптоплан, включващ: а) организационни правила и правила за техническа експлоатация в областта на криптографската сигурност; б) план за действие при критични ситуации.

(2) В срок до 24 месеца от получаването на съгласието по чл. 17, ал. 1 организационната единица – заявител, уведомява писмено ОКС за изпълнението на изискванията на ал. 1.

(3) Органът по криптографската сигурност на Република България прекратява процедурата по чл. 16 в случаите, когато не е спазен срокът по ал. 2. “ § 14. Член 20 се изменя така: „Чл. 20.

(2) Комисията по ал. 1 се съставя от представители на ОКС и служител по криптографската сигурност на организационната единица – заявител по чл. 16. Комисията се назначава със заповед на ръководителите на ОКС и на организационната единица – заявител по чл. 16.

(3) При проверката по ал. 1 ОКС може да определи допълнителни изисквания по отношение на сигурността, които трябва да бъдат изпълнени преди издаването на решението.

(4) За криптографските мрежи, предназначени за защита на класифицирана информация с ниво на класификация „За служебно ползване“, проверката по ал. 1 може да се извършва по документи.

(5) В случай че след издаване на решението по ал. 1 има промяна в условията по чл. 19, ал. 1, т. 1, 3 и 4, ръководителят на организационна единица – заявител, подава допълнение към заявлението по чл. 16, в което се посочват настъпилите промени и предприетите мерки за изпълнението на изискванията на чл. 19, ал. 1, т. 1, 3 и 4.

(6) След подаване на допълнението по ал. 5 ОКС може да изиска извършване на повторна проверка на изпълнението на изискванията по чл. 19.“ § 15. В чл. 21 се правят следните изменения и допълнения: 1. Алинея 1 се изменя така: „(1) Решението по чл. 20, ал. 1 съдържа описание на изпълнението на изискванията по чл. 19, както следва: 1. идентификация на одобрените криптографски средства, включително маркировката по чл. 72, ал. 1, т. 5 на поекземплярно проверените криптографски средства или техни модули; 2. нивото за сигурност на класифицираната информация, която може да бъде защитавана с одобрените криптографски средства; 3. задължителните условия за експлоатация, при които е гарантирана защитата на класифицираната информация от съответното ниво за сигурност; 4. физическото разположение на криптографските средства по места и предприетите мерки по физическа и документална сигурност.“

2. Създава се ал. 3: „(3) Екземпляр от решението по ал. 1 се изпраща на организационната единица, експлоатираща криптографските средства в мрежа, или на организатора по чл. 23. В случаите, когато криптографската мрежа е част от КИС, решението се изпраща след издаване на сертификат за КИС.“ § 16. В чл. 23 се правят следните изменения: 1. В ал. 1 изречение второ се изменя така: „В органите на държавната власт, в които са обособени повече от една организационни единици, вместо споразумение може да се издаде заповед на съответния компетентен орган на държавната власт.“

2. Алинея 2 се изменя така: „(2) Организаторът отговаря за разпределението на необходимите криптографски материали в мрежата, а дейностите по поекземплярната проверка, разпределението и ремонта на използваните криптографски средства се организират съгласно споразумението или заповедта по ал. 1.

3. В ал. 5 думите „чл. 4 и 5 от“ се заличават. § 17. В чл. 24 навсякъде думите „за сигурност“ се заличават. § 18. В чл. 25 се правят следните изменения: 1. Алинея 1 се изменя така: „(1) Класифицирана информация от КИС се пренася по комуникационни системи по реда на Наредбата за сигурността на комуникационните и информационните системи.“

2. В ал. 2 думите „само“ и „за сигурност“ се заличават. § 19. В чл. 26 се правят следните изменения и допълнения: 1. Алинея 1 се изменя така: „(1) Експлоатацията на криптографските средства и на криптографските ключове се извършва в съответствие с правилата за работа с тях и криптоплана по чл. 19, ал. 1, т. 5.

2. В ал. 2 думата „правилата“ се заменя с „криптоплана“.

3. Създава се ал. 3: „(3) Експлоатацията по ал. 1 се извършва след издаване на решение по чл. 20, а когато криптографската мрежа е част от КИС – и след издаване на сертификат за сигурност на КИС по реда на Наредбата за сигурността на комуникационните и информационните системи.“ § 20. В чл. 27 се правят следните изменения и допълнения: 1. В ал. 2 след думата „новозакупени“ се добавя „екземпляри“.

2. В ал. 3 думите „транспортират с изтрити“ се заменят с „пренасят с незаредени“. § 21. В чл. 28 се правят следните изменения: 1. В ал. 1 думите „криптографските ключове“ се заменят с „ключови материали“.

2. В ал. 2 думите „криптографските ключове“ се заменят с „тях“.

3. В ал. 3 думите „Криптографските ключове“ се заменят с „Ключовите материали“ и думите „с правилата за работа с тях“ се заменят с „в криптоплана по чл. 19, ал. 1, т. 5“. § 22. В чл. 29 се правят следните изменения: 1. В ал. 1 думите „криптографски ключове“ се заменят с „ключови материали“.

2. В ал. 5 думите „криптографските характеристики“ се заменят с „криптографската функционалност“.

3. В ал. 6 думите „и ги отразяват в техните паспорти“ и запетаята пред тях се заличават. § 23. В чл. 31 се правят следните изменения и допълнения: 1. Досегашният текст става ал. 1.

2. Създава се ал. 2: „(2) При прекратяване на експлоатацията на криптографски средства в криптографска мрежа по ал. 1, т. 1 заявителят по чл. 16 писмено уведомява ОКС.“ § 24. В чл. 33 се правят следните изменения и допълнения: 1. Алинея 6 се изменя така: „(6) В срок до 12 месеца от унищожаването в ОКС се изпраща списък на унищожените средства и материалите по ал. 3.

2. Създава се ал. 7: „(7) След унищожаване на всички криптографски средства и материали от конкретна криптографска мрежа и анализ на списъка по чл. 33, ал. 6 ОКС прекратява експлоатацията на криптографската мрежа, като уведомява писмено ръководителя на организационната единица – заявител по чл. 16.“ § 25. Заглавието на раздел ІV, глава трета се изменя така: „Производство, маркиране, съхраняване, разпределяне, пренасяне и използване на ключови материали“. § 26. В чл. 34 се правят следните изменения и допълнения: 1. В ал. 1 думите „криптографски ключове“ се заменят с „ключови материали“ и думите „защита на класифицираната информация в“ се заличават.

2. В ал. 2, изречение първо след думите „съдържаща се в тях“ се добавя „и допълнителна маркировка „КРИПТО“. § 27. В чл. 35 се правят следните изменения: 1. В ал. 1: а) навсякъде думите „автоматизирано генериране и разпределяне“ се заменят с „управление“ и абревиатурата „(САГРКК)“ се заменя със „(СУКК)“; б) в т. 2 думите „клас І“ се заличават, а думите „с акт на съответния компетентен орган“ се заменят със „със съответния документ“; в) в т. 3 абревиатурата „САГРКК“ се заменя със „СУКК“, а думите „нейното свидетелство за одобряване“ се заменят с „нейния сертификат за одобрение“; г) в т. 4 абревиатурата „САГРКК“ се заменя със „СУКК“ и след абревиатурата „ОКС“ съюзът „и“ се заменя с „или“.

2. Алинея 2 се изменя така: „(2) Въвеждането в експлоатация на СУКК се извършва по реда на чл. 20 с решение на комисия след проверка на изпълнението на изискванията по ал. 1, а когато са част от КИС – след издаване на сертификат за сигурност на КИС по чл. 20 от Наредбата за сигурността на комуникационните и информационните системи.“

3. Алинея 3 се отменя. § 28. В чл. 36 се правят следните изменения и допълнения: 1. Навсякъде думата „ключовите“ се заменя с „криптографските“.

2. В ал. 2, изречение първо думите „за администратори по криптографската сигурност“ се заличават.

3. В ал. 6: а) в изречение първо думата „ключови“ се заменя с „криптографски“; б) създава се изречение четвърто: „Копие на обобщения отчет се изпраща на ОКС.“ § 29. В чл. 37 се правят следните изменения и допълнения: 1. В ал. 2 накрая се поставя запетая и се добавя „с изключение на случаите по чл. 43, ал. 5“.

2. Алинея 3 се изменя така: „(3) На контрол подлежат организацията, начинът и условията на използване, съхраняване и унищожаване на криптографските средства и криптографските материали.“ § 30. В чл. 38 се правят следните изменения и допълнения: 1. В ал. 2 се създава изречение второ: „В службите по чл. 37, ал. 2 проверката се извършва от комисия, съставена от служители от съответните структури по сигурността, с изключение на случаите по чл. 43, ал. 5.

2. Алинея 5 се изменя така: „(5) Редът за достъпа по ал. 4 се определя със заповед на ръководителя на организационната единица.“ § 31. В чл. 40 се правят следните изменения: 1. В ал. 1 думите „минимални изисквания за криптографска сигурност“ се заменят с „криптоплан“ и думата „съответстващи“ се заменя със „съответстващ“.

2. Алинея 2 се изменя така: „(2) Криптопланът по ал. 1 се утвърждава от ръководителя на ОКС или от упълномощено от него длъжностно лице.“ § 32. В чл. 41 се правят следните изменения и допълнения: 1. В ал. 1 думата „временно“ се заличава.

2. Алинея 2 се изменя така: „(2) В заповедта по ал. 1 се изписва периодът, за който се въвежда в експлоатация криптографската мрежа. Копие от заповедта се изпраща в ОКС.“

3. Създават се ал. 3 и 4: „(3) За периода, през който криптографската мрежа не е въведена в експлоатация, криптографските средства и криптографските материали се съхраняват по реда на криптоплана.

(4) Когато действащата в сложни условия криптографска мрежа е част от КИС, заповедта за въвеждане на мрежата в експлоатация се издава след получаване на сертификат за сигурност на КИС по реда на Наредбата за сигурността на комуникационните и информационните системи.“ § 33. В чл. 42, ал. 1, т. 2 накрая на изречението се добавя „и организационната единица – организатор на криптографската мрежа, ако събитието се е случило в различна от нея организационна единица“. § 34. В чл. 43 се създава ал. 5: „(5) Органът по криптографската сигурност може да извърши отделна проверка по случая, ако установените в протокола по ал. 3 обстоятелства го налагат. Проверката се извършва по реда на чл. 37 и 38.“ § 35. В раздел VІІ на глава трета се създава чл. 44а: „Чл. 44а. (1) При съмнение за или установяване на нерегламентиран достъп до информация за криптографско средство за защита на класифицирана информация в процес на разработка в Република България разработчикът по чл. 83 незабавно информира ОКС.

(2) В случаите по ал. 1 ОКС определя необходимите мерки за минимизиране на възможните вредни последици от това събитие и контролира изпълнението им.“ § 36. В чл. 45 думите „административното звено по сигурността“ се заменят с „организационната единица“. § 37. В чл. 46 се правят следните изменения и допълнения: 1. В основния текст, след предлога „За“ се добавя „обучение и“.

2. Точка 4 се отменя. § 38. В чл. 47, ал. 1 думите „в срок 7 работни дни след получаване на заявлението по чл. 46“ се заменят със „след преминато успешно обучение по чл. 88, ал. 1 от ЗЗКИ в ОКС“. § 39. В чл. 50 се правят следните изменения и допълнения: 1. Създава се нова ал. 2: „(2) В случаите по ал. 1, т. 1 ОКС може да отнеме разрешението за работа с криптографски средства без писмено предложение на служителя по сигурността на информацията.“

2. Досегашната ал. 2 става ал. 3.

§ 40. В чл. 51, ал. 2 накрая се поставя запетая и се добавя „с изключение на случаите по ал. 1, т. 1“. § 41. В чл. 54 се правят следните изменения и допълнения: 1. В основния текст след думите „по криптографската сигурност“ се поставя запетая, добавя се „завеждащ криптографска регистратура“ и се поставя запетая.

2. В т. 1, буква „а“ след думите „криптографската сигурност“ се добавя „и завеждащ криптографска регистратура“. § 42. В чл. 56, ал. 2 и 3 след думите „администраторите по криптографската сигурност“ се добавя „и завеждащите криптографска регистратура“. § 43. В чл. 57, ал. 1 след думата „срок“ се добавя „до“. § 44. В чл. 59, ал. 2 накрая се поставя запетая и се добавя „с изключение на случаите по ал. 1, т. 1“. § 45. В чл. 63, т. 3 след тирето се добавя „на други администратори по криптографската сигурност, на завеждащите криптографска регистратура и“. § 46. В чл. 65 се правят следните изменения: 1. В ал. 1 думите „на служителите по криптографската“ се заменят с „по криптографска“.

2. В ал. 2 думата „извършва“ се заменя с „и служителите от организационните единици, на които им е дадено право да провеждат обучение, извършват“ и думите „на служителите по криптографската“ се заменят с „по криптографска“. § 47. В чл. 66, ал. 1 накрая се поставя запетая и се добавя „издадено от ръководителя на ОКС или упълномощено от него длъжностно лице“. § 48. В чл. 68 се правят следните изменения и допълнения: 1. В ал. 1: а) в основния текст след думите „администратори по криптографската сигурност“ се поставя запетая и се добавя „на завеждащите криптографска регистратура“; б) в т. 1 думите „с акт на съответния компетентен орган“ се заменят със „със съответния документ, удостоверяващ изпълнението на нормативните изисквания за физическа и документална сигурност, съответстващи на нивото за сигурност на криптографските средства“.

2. В ал. 2 абревиатурата „ОКС“ се заменя с „ръководителят на ОКС или упълномощено от него длъжностно лице“.

3. В ал. 3 думите „и на местното самоуправление“ се заличават. § 49. В чл. 70 се правят следните изменения и допълнения: 1. Досегашният текст става ал. 1.

2. Създават се ал. 2 и 3: „(2) Одобрение може да бъде искано и извършено само за средство с напълно приключил етап на разработка и функционални изпитания, от което има произведени образци в напълно завършен вид.

(3) Системата за управление на криптографски ключове за криптографско средство, когато не е неразделна част от него, а е обособена самостоятелно, се одобрява: 1. отделно като криптографско средство и се открива процедура по нейното одобрение преди или едновременно с процедурата по одобрението на криптографското средство, което ще я ползва; 2. като задължително условие за одобрението на криптографското средство, което ще я ползва.“ § 50. В чл. 71 се правят следните изменения и допълнения: 1. В ал. 1: а) основният текст се изменя така: „(1) Процедура за одобрение се открива с подаване на заявлението по чл. 70, което съдържа:“; б) в т. 2 накрая се поставя запетая и се добавя „включително версиите на софтуера и фърмуера“.

2. В ал. 2: а) в т. 1, буква „а“ думите „тяхната инициализация, режимите на работа, форматите на входящите и изходящите данни“ се заменят с „тяхното прилагане (инициализация, режими на работа, формати на входящите и изходящите данни и др.)“; б) в т. 1 буква „д“ се изменя така: „д) мерките по защита от компрометиращи електромагнитни излъчвания и филтриране на захранващите линии, както и информация за всички входни и изходни интерфейси (описание на сигналите – аналогови и цифрови, минимална и максимална скорост на предаване);“

в) в т. 1, буква „е“ думите „автоматизирана информационна система“ се заменят с „КИС“; г) в т. 1 се създават букви „ж“ и „з“: „ж) мерките за безвъзвратно унищожаване на криптографските алгоритми и ключови материали при неоторизиран достъп; з) форматите на входящите и изходящите данни, обменяни през комуникационната среда;“

д) в т. 2 накрая се добавя „и при наличност – резултати от извършени тестове и анализи в процеса на разработка и производство;“

е) в т. 5 накрая се добавя „и други стандарти“.

3. Алинея 3 се изменя така: „(3) Когато заявлението е подадено от лице по чл. 69, т. 1, към него се прилагат и: 1. удостоверения за липса на вписано обстоятелство или обявен акт в търговския регистър и регистъра на ЮЛНЦ за производство по ликвидация и за производство по несъстоятелност; 2. удостоверение за актуално състояние на регистрирано в търговския регистър и регистъра на ЮЛНЦ лице/копие от регистрационно удостоверение на вписано в регистър БУЛСТАТ лице; 3. декларация, че при настъпване на промяна в обстоятелствата по т. 1 и 2 и по чл. 69, т. 1 заявителят уведомява писмено ОКС за промяната в двуседмичен срок от настъпването й.“

4. Създават се ал. 7 и 8: „(7) Когато заявлението не отговаря на изискванията на ал. 1 или не съдържа някое от приложенията към него по ал. 2 – 5, заявителят се уведомява писмено да отстрани пропуските. Ако пропуските не бъдат отстранени в тримесечен срок от датата на уведомяването, процедурата за одобрение се прекратява.

(8) За криптографско средство, разработено и произведено от ОКС, не се подава заявление по чл. 70, като такова се одобрява по реда на чл. 72, ал. 1. “ § 51. В чл. 72 се правят следните изменения и допълнения: 1. Досегашният текст става ал. 1 и в нея: а) в т. 2 думите „предложено за одобрение“ и запетаята пред тях се заличават;

2. Създават се ал. 2 и 3: „(2) Всички проверки в процеса на одобрение се извършват в помещенията на ОКС.

(3) При обективна невъзможност част от проверките да се осъществят в помещенията на ОКС те могат да бъдат извършени в помещенията на производителя на криптографското средство за сметка на заявителя по чл. 69.“ § 52. В чл. 73 се правят следните изменения: 1. В ал. 1 думата „свидетелство“ се заменя със „сертификат“.

2. Алинея 2 се изменя така: „(2) При наличие на обособена система за управление на криптографски ключове за нея се издава отделен сертификат за одобрение.“ § 53. В чл. 74 се правят следните изменения и допълнения: 1. В ал. 1: а) в основния текст думата „Свидетелството“ се заменя със „Сертификатът“; б) в т. 1 думата „свидетелството“ се заменя със „сертификата“; в) в т. 2 съюзът „или“ се заменя с „и“; г) в т. 3 думата „свидетелството“ се заменя със „сертификата“; д) в т. 5 думите „за сигурност“ се заличават.

2. В ал. 2 думата „свидетелството“ се заменя със „сертификата“.

3. Създават се ал. 3 – 5: „(3) Cлед извършване на анализ по чл. 4, т. 3 и 6 ОКС може да внася промени в условията за валидност към сертификата, като: 1. промените се отразяват чрез издаване на нови условия за валидност към вече издаден сертификат за одобрение; 2. органът по криптографска сигурност определя срок, в който старите условия за валидност остават в действие, след което влизат в сила новите условия за валидност.

(4) В случаите по ал. 3 ОКС незабавно информира писмено притежателя на сертификата за одобрение и организационните единици, в които се експлоатира криптографското средство.

(5) В едномесечен срок от изтичането на срока по ал. 3, т. 2 притежателят на сертификата за одобрение е длъжен да върне на ОКС старите условия за валидност.“ § 54. В чл. 76 т. 1 се изменя така: „1. връща на заявителя системата за управление на криптографските ключове, ако такава е била приложена за целите на проверките в процеса на одобрение и същата не е част от одобреното средство;“. § 55. В чл. 78 се правят следните изменения и допълнения: 1. Алинея 1 се изменя така: „(1) Валидността на сертификата по чл. 73, ал. 1 се прекратява при: 1. установяване от ОКС на неспособност на одобреното криптографско средство да осигури нивото на защита на класифицираната информация, за което е одобрено. В този случай ОКС може да издаде сертификат за по-ниско ниво на класификация на информацията, без да се подава заявление за одобрение; 2. настъпване на обстоятелство, неотговарящо на изискванията по чл. 69, т. 1.

2. В ал. 2 думите „заявителя и“ се заличават, а накрая се поставя запетая и се добавя „и притежателя на сертификата за одобрение и му предоставя новия сертификат, ако такъв е издаден“. § 56. В чл. 79 се правят следните изменения и допълнения: 1. Досегашният текст става ал. 1.

2. Създават се ал. 2 и 3: „(2) Обновяване на софтуер и/или фърмуер, използван в одобрено криптографско средство, се извършва при условия и по ред, определени от ОКС за всеки конкретен случай. Допуска се обновяване без последващо одобрение само и единствено ако обновяването не води до промяна на криптографските характеристики на средството и не намалява сигурността.

(3) Размножаване на софтуер и/или фърмуер, който е част от одобрено криптографско средство, може да се извършва само при условия и по ред, определени от ОКС за всеки конкретен случай.“ § 57. Член 80 се изменя така: „Чл. 80. (1) Криптографски средства от внос могат да се одобряват за защита на класифицирана информация с ниво на класификация до: 1. „Поверително“ включително; 2. „Секретно“ включително, в случай че са произведени в държава, с която има влязъл в сила международен договор, по който Република България е страна, за защита на класифицирана информация, и са одобрени за защита на нейна информация със съответно или по-високо ниво на класификация.

(2) Криптографски средства, предназначени за защита на информация с ниво на класификация „Поверително“ и по-високо, могат да се одобряват само ако криптографският алгоритъм за защита на поверителността на данните е реализиран в хардуерен криптомодул и е предвидена възможност за модификацията му без участие на фирмата производител. Одобрените криптографски средства се експлоатират само с модифициран от ОКС криптографски алгоритъм.“ § 58. Член 81 се отменя. § 59. В чл. 83 се правят следните изменения и допълнения: 1. В ал. 1 думата „производството“ се заменя с „разработка“ и думите „заявителят по чл. 70“ се заменят с „разработчикът“.

2. Алинея 2 се отменя.

3. В ал. 3: а) в основния текст думата „заявителят“ се заменя с „разработчикът“; б) точка 1 се изменя така: „1. основание за разработката; работни название и типово означение на криптографското средство – предмет на разработката; описание на функционалните характеристики на криптографското средство, включително предвижданото ниво на класификация на информацията, която ще защитава; описание на предвижданата среда на работа и условия на експлоатация на криптографското средство;“

в) в т. 2, в началото се добавя „пълна информация за възложителя на разработката и условията на договора по възлагане, ако има такъв“ и се поставя точка и запетая. § 60. Член 85 се изменя така: „Чл. 85. Органът по криптографската сигурност въз основа на уведомлението по чл. 83 предоставя на разработчика задължителни изисквания за криптографска сигурност, на които трябва да отговаря криптографското средство.“ § 61. В чл. 86 се правят следните изменения и допълнения: 1. Досегашният текст става ал. 1 и в нея думите „консултира заявителя“ се заменят с „обменя информация с разработчика“.

2. Създават се ал. 2 – 4: „(2) Предвидените за използване криптографски алгоритми и начините за тяхното прилагане се одобряват задължително от ОКС.

(3) Критично важни параметри и криптографски алгоритми се залагат в криптографското средство при условия и по ред, определени от ОКС за всеки конкретен случай.

(4) Органът по криптографската сигурност на Република България предоставя изисквания и техническа информация, свързана с разработката, единствено на лицата по чл. 83, ал. 3, т. 2 при спазване на принципа „необходимост да се знае“.“ § 62. В чл. 87 се правят следните изменения и допълнения: 1. В ал. 1 думите „заявителят подава заявлението за одобрение по чл. 70“ се заменят с „разработчикът уведомява писмено за това ОКС, като декларира съответствието на крайния резултат с изискванията на ОКС“.

2. В ал. 2 след думата „заявлението“ се добавя „за одобрение по чл. 70“. § 63. В чл. 88 се правят следните изменения и допълнения: 1. Алинея 1 се изменя така: „(1) В случай че в процеса на одобрение се открият недостатъци в криптографските и функционалните характеристики на одобряваното средство, ОКС преценява при какви условия тяхното отстраняване е допустимо в рамките на текущата процедура по одобрение. Органът по криптографската сигурност на Република България писмено информира заявителя за решението си и в случай че промените са допустими, определя срок, в който недостатъците трябва да бъдат отстранени.“

2. В ал. 2 след думите „В случай че“ се добавя „отстраняването на установени недостатъци не е допустимо в рамките на текущата процедура по одобрение или“. § 64. В чл. 90 се правят следните изменения: 1. В ал. 1 думата „Заявителят“ се заменя с „Разработчикът“ и думите „предоставените по чл. 85, т. 2“ се заменят с „информация за предоставени от ОКС в процеса на разработка“.

2. В ал. 2 думата „Заявителят“ се заменя с „Разработчикът“ и думите „предоставените по чл. 85, т. 2“ се заменят с „предоставени от ОКС в процеса на разработка“.

3. Алинея 3 се изменя така: „(3) Износът на криптографско средство се извършва след становище от ОКС.“

4. Алинея 4 се отменя. § 65. В § 1 от допълнителните разпоредби се правят следните изменения: 1. В ал. 1 думите „на класифицираната информация“ се заличават, а думите „Генералния щаб на Българската армия (ГЩ на БА)“ се заменят с „Министерството на отбраната (МО)“.

2. В ал. 2 думите „ГЩ на БА“ се заменят с „МО“.

3. Алинея 3 се изменя така: „(3) Комуникациите за държавно управление от пунктовете на Върховното главно командване и пунктовете за управление на министерствата и ведомствата се планират съвместно от МО и дирекция „Комуникационни и информационни системи“ – МВР. Ръководството, организацията, експлоатацията и контролът на комуникациите се осъществяват от дирекция „Комуникационни и информационни системи“ – МВР.“

4. В ал. 4 думите „Криптографската защита на комуникационните“ се заменят със „Защитата с криптографски средства на комуникационните и информационните“.

5. В ал. 5 думите „Криптографската защита на комуникационните“ се заменят със „Защитата с криптографски средства на комуникационните и информационните“ и думите „ГЩ на БА“ се заменят с „МО“. § 66. Параграф 2 от допълнителните разпоредби се отменя. § 67. В § 3 от допълнителните разпоредби се правят следните изменения и допълнения: 1. Точка 1 се изменя така: „1. „Криптографска защита“ е прилагането на криптографски методи и средства с цел защита на свойствата на класифицираната информация, свързани с контрола на достъпа до нея, като поверителност, цялост и други, при нейното обработване, съхраняване, пренасяне и използване.“

2. Създават се т. 1а – 1д: „1а. „Криптографска трансформация“ е обработка на информация с цел нейната защита от неоторизиран достъп.

1б. „Криптографски алгоритъм“ е параметризирана фамилия криптографски трансформации.

1в. „Криптографски ключ“ е параметърът на криптографския алгоритъм, определящ еднозначно криптографската трансформация и подлежащ на периодична смяна.

1г. „Шифър“ е еквивалентно понятие на „криптографски алгоритъм“.

1д. „Криптографски метод“ е метод за защита на класифицирана информация чрез криптографска трансформация.“

3. Точка 2 се изменя така: „2. „Криптографско средство“ е средство, предназначено за защита на класифицирана информация чрез комбинация от криптографски методи, или средство за управление на криптографски ключове.“

4. Създава се т. 2а: „2а. „Управление на криптографски ключове“ е всяка дейност, свързана с осигуряването на пълната функционалност и защита на криптографските ключове през целия им жизнен цикъл, в това число тяхното генериране, запис, маркиране, съхранение, разпределение, пренос, използване и унищожение.“

5. Точка 3 се изменя така: „3. „Ключови материали“ са криптографски ключове, пароли, инициализиращи стойности и други, свързани с криптографската защита параметри, записани на различни материални носители.“

6. В т. 5 буква „а“ се изменя така: „а) криптографски: нерегламентиран достъп до самите криптографски средства или ключови материали, включително до информация за криптографско средство за защита на класифицирана информация в процес на разработка в Република България; неизправна работа на криптографското средство; неправилна работа с криптографското средство или с ключовите материали (нарушена опаковка, дефектен, подменен или повторно използван ключов материал, използване на криптографския ключ извън разрешения период, неразрешено използване на собствено изработени ключове, смяна на поредността на ключовете и др.); използване на криптографското средство от неоторизиран персонал; използване на незащитени комуникационни канали за детайлно изясняване на повреда на криптографско средство; неоторизирана модификация на криптографското средство;“.

7. В т. 7 след думите „резултат на“ се добавя „всяко“ и думите „от всякакъв характер“ и „в определена криптографска мрежа“ се заличават.

8. В т. 8 думите „или изключващи“ се заличават.

9. Точка 9 се изменя така: „9. „Криптографски материали“ са ключовите материали и други материали, свързани с криптографската функционалност и нейното прилагане.“ § 68. В приложение № 1 към чл. 55, ал. 1 в скобите думите „чл. 10 или 13“ се заменят с „чл. 10, 13 или чл. 36, ал. 2“ и след думите „наименование на криптографската мрежа“ се поставя запетая и се добавя „ако функциите, които се изпълняват, са по чл. 10 или 13“. § 69. В приложение № 4 към чл. 67, ал. 1 в т. 1 след думата „администратор“ се добавя „завеждащ криптографска регистратура и“.

Преходни и заключителни разпоредби § 70. Издадените свидетелства за одобрение на криптографски средства, утвърдените организационни правила и правила за техническа експлоатация на криптографските мрежи и минимални изисквания за криптографска сигурност, издадени преди влизането в сила на настоящото постановление, запазват действието си. § 71. В Наредбата за реда за извършване на проверките за осъществяване на пряк контрол по защита на класифицираната информация, приета с Постановление № 44 на Министерския съвет от 2003 г. (обн., ДВ, бр. 19 от 2003 г.; изм. и доп., бр. 44 от 2008 г.), в чл. 19 думите „автоматизираните информационни системи и мрежи за създаване, съхраняване, обработка и пренос на“ се заменят с „комуникационните и информационните системи, предназначени за“. § 72. Постановлението влиза в сила от деня на обнародването му в „Държавен вестник“.

Министър-председател: Бойко Борисов

За главен секретар на Министерския съвет: Росен Кожухаров