Alexey Kornilov • Думаю, что наличие гос.лицензии на использование средств криптозащиты (согл. з-на о лицензировании деятельности) будет достаточным.

Denis Kravchenko • С точки зрения украинского зак-ва - разрешено использовать только те криптосистемы и ср-ва криптографической защиты информации (программные и апаратные), которые имеют сертификат соответствия или положительное заключение гос.экспертизы (см. цитату раздела 4 в конце). В данный момент, на практике, выполняется только гос.экспертиза. Без гос.экспертизы (или сертификации) использование средств КЗИ запрещено (независимо от того, в гос. или не гос. учереждении). Просто наличие лицензии по КЗИ не дает такого права.

1.Положення про порядок здійснення криптографічного захисту інформації в Україні» (Указ Президента України від 22 травня 1998 року №505

2. Ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації"

3. ПОЛОЖЕННЯ про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації (АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ Н А К А З 20.07.2007 N 141
Зареєстровано в Міністерстві юстиції України 30 липня 2007 за N 862/14129 )

Розділ 4. Експлуатація засобів КЗІ
4.1. Для криптографічного захисту інформації використовуються засоби КЗІ, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
Сертифікація засобів КЗІ та державна експертиза у сфері криптографічного захисту інформації проводяться в порядку, визначеному іншими нормативно-правовими актами.
4.2. Підставою для початку експлуатації засобів КЗІ в організації (у тому числі її філіях або регіональних представництвах), яка здійснює експлуатацію засобів КЗІ, є відповідний наказ керівника цієї організації.

Так говорит украинское зак-во.
Если нужна какая либо помощь еще - обращайтесь.

С уважением,
Денис.

Alexey Kornilov • Ну, если жить только по закону, то лучше даже и не начинать бизнес в украине :)
Ясно, что телекомы и банки живут немного в другой реальности, чем реальный сектор. А на практике если уж и фирму и захотят защимить, то найдут гораздо более прозаические вещи ибо в органах просто нет соответствующих специалистов.
2 Denis Kravchenko: Спасибо за выдержки из законов, надо освежить себе знания, да и не плохо бы здесь провести миниликбез.
Интересно развить тему в сторону, а что вообще разрешено официально эксплуатировать в украине, что имеет этот сертификат соответствия?
Насколько я помню, то в украине в общем-то легальный для шифрования статус имеет старый ГОСТ-алгоритм а-ля дес и шифрование на основе элептических кривых. Не зря ведь нбу использует криптоустройства основанные на этих стандартах от фирмы Автор. А когда пару лет назад переполучал лицензию на использования средств криптозщиты мне обмоллвились, что есть какая-то прошивка для cisco реализующая признанные в украине криптоалгоритмы. Вопрос, а что делать со всем остальным потребительским оборудованием начиная от встроенных в виндовс средств криптования, заканчивая роутерами и мтодами защиты беспроводных сетей?
То что мобильная связь отсертефицирована не сомневаюсь.
Ну и самый интересный вопрос, а какая мера наказания за все это будет?

Vladimir Matviychuk, CISA, CISM • Коллеги, поправьте меня, но мне казалось, что лицензирование требуется только для аппаратных средств шифрования? Тем паче на использование. Иначе под этот закон попадали все, кто использует архивы с паролями, EFS и прочее подобное.

Denis Kravchenko • To Vladimir Matviychuk
Сейчас, в Украине, в основном, гос. экспертиза. В законе под термином криптосистемы и ср-ва криптографической защиты информации понимаются как программные, программно-апаратные и апаратные ср-ва.
Простое подтверждение - сертификация и экспертиза программных криптобиблиотек , исходя из Ваших суждений их не нужно было бы сертифицировать.(их список можете найти на сайте ДСТСЗИ).

Некоторые большие компании (Microsoft, Cisco) сертифицируют свои решения полностью, включая встроенные ср-ва КЗИ.
(1 см недавнее соглашение между Microsoft и ДСТСЗИ, в части раскрытия программного кода Windows и использование Windows в гос. учереждениях,
1. засіб криптографічного захисту даних в ІР мережі “Cisco Ukraine VPN” ТУ У 32.2-19136506-006:2008 (АЮМА.467759.205 ТУ

Експертний висновок від 27.06.08 № 5/1-1900: и др.

полный список см ссылку внизу)

To Alexey Kornilov

Перелік засобів КЗІ, які мають експертний висновок за результатами державної експертизи у галузі КЗІ:

сайт ДСТСЗИ - Головна » Діяльність » Експертиза » Криптографічний захист інформації » Перелік засобів КЗІ, які мають експертний висновок за результатами державної експертизи у галузі КЗІ

http://www.dsszzi.gov.ua/dstszi/control/uk/publish/article?art_id=72121&cat_id=72110

Ответственность за нарушения - административная, (директор, ответств. должностные лица компании) штрафы, криминальная (если привело к тяжелым последствиям - вы зашифровали информацию - свою или клиента, а эта инф-я потенциально или реально может нанести вред гос-ву - клиент террорист или шпион, или мошеничество в особо крупных размерах, не забывайте также FATF - Украина подписала соглашение о раскрытии инф-ции по "отмыву" денег, и тут Вы со своим шифрованием: СБУ вовремя не получила доступ к этой инф-ции из-за шифрования, НБУ вовремя не предоставил инф-ю FATF - что будет с вами, вашей компанией, банком, ее директором, председателем правления - предлагаю подумать самим:-))))) возможно также лишение лицензии по КЗИ (если есть), и т.д. и т.п.

Извините за сгущение красок:-)))) так получилось.

Мы все живем в реальном мире, и банки, и телекомы. У больших компаний возможностей по выполнению требований законов больше, но к ним также гораздо больше и требований, чем к небольшим компаниям.

Полностью жить по закону не получится, но стараться надо:-)))
Буду рад помочь.

С уважением,
Денис.

P.S. По поводу специалистов - могу сказать только о тех, кто проводит гос. экспертизу - их уровень очень высокий.

Vladimir Matviychuk, CISA, CISM • to Denis Kravchenko
Я писал не о сертификации средств а лицензировании _использования_ криптосредств для внутренних нужд в не госструктуре.
Изначальный вопрос был ведь об этом?

Denis Kravchenko • Для легального использования крипто ср-в как в бизнесе, так и в гос. секторе (и использования криптосредств вообще) требуется положительный вывод гос. экспертизы или сертификат соответствия. Об этом четко и ясно говорит законодательство. Просто если Вы не работаете с гос. информацией требования слабее.

Alex Grebenyuk • давайте сначала. То есть свои 5 копеек. Во-первых, следует лицензиара называть правильно. Департамента нет уже достаточно давно, а есть Госспецсвязь или Государственная служба специальной связи и защиты информации Украины. Второе и важное - некоторые очень строгие вещи, описанные коллегой, принятые в 1999 году, скорректированы, например - СООБЩЕНИЕ
об обнародовании проекта регуляторного акта

Администрацией Государственной службы специальной связи и защиты информации подготовлена редакция проекта Указа Президента Украины ««О внесении изменений в Положение о порядке осуществления криптографической защиты информации в Украине».

Целью Указа Президента Украины является создание правовой основы для обеспечения выполнения Украиной обязательств в рамках членства в ВОТ (распоряжение Кабинета Министров Украины от 17.12.2008 № 1570-р)

Изменение, которое вносится в действующую редакцию Положения о порядке осуществления криптографической защиты информации в Украине, утвержденного Указом Президента Украины от 22.05.99 № 505/98, направленная на отмену согласования с Администрацией Госспецсвязи ввоза криптосистем и средств КЗИ в Украину.

третье - после этого вышло достаточно много документов (после 1999 года), которые в итой или иной мере противоречать этому Положению, на пример - З А К О Н У К Р А Ї Н И "Про електронні документи та електронний документообіг". Это закон, а не положение, принятое Указом Президента. Есть прима закона. Поэтому не все так очевидно. Есть еще Закон об ЭЦП. Все это так или иначе КЗИ. И ГОСТ 28147 - все же симметричная система шифрования.... Если что - давайте в личку

Denis Kravchenko • Колеги попросили осветить законодательную часть (мини ликбез) - я осветил.

to Alex Grebenyuk
Извените за ДСТСЗИ, просто привык к такому названию - сейчас это Держспецзв'язку, спасибо за замечание.

Да, действительно, в последнее время активно упрощаются все процедуры сертификации (это общая тенденция). Старт этому процессу был дан вступлением Украины в СОТ. Украина должна в короткие строки гармонизировать свое закон-во (отмена разрешения на ввоз - как раз одно из требований СОТ), так же Украина должна признавать международные сертификаты, стандарты, есть постановления кабмина (кажется еще Тимошенко).

Однако, повторюсь, в данный момент, использование ср-в КЗИ, согласно зак-ва требует положительного вывода гос. экспертизы или сертификата соответствия. Другими словами, ввозить можете, хотите использовать - нужна гос. экспертиза.

С уважением,
Денис.

Alex Grebenyuk • ну, если бы все было так плохо, то все банкоматы в стране уже бы не работали На сайте нет клавиатурных шифраторов ;). Потому - не все так очевидно и просто. Тем более, что обещанных стандартов (а не положений)в области криптозащиты (кроме алгоритмов), которые имеют силу закона эта структура так и не разработала

Denis Kravchenko • Никто и не говорит что все плохо. Вопрос был по законодательству.

Банки в сфере КЗИ курирует НБУ. Банкоматы как раз и подпадают под "международные стандарты" (Visa, MasterCard). Для финансового сектора есть свои особености (в банкоматах осуществляется передача формализированной в стандарте инф-ции).
А автор дискуссии спрашивал о шифровании вообще (TrueCrypt).

Если можете, дайте ссылки на законы, положения и др. где написано, что можно использовать/эксплуатировать ср-ва КЗИ без вышеперечисленного мной (положительный вывод гос. экспертизы или сертификат соответствия - в гос. секторе или бизнесе). Я с удовольствием прочитаю, и вы облегчите жизнь многим из нас:-)
Свой вариант об обратном требовании закона я предоставил.

см выше (розділ 4 ПОЛОЖЕННЯ про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації (АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ Н А К А З 20.07.2007 N 141
Зареєстровано в Міністерстві юстиції України 30 липня 2007 за N 862/14129 )

С уважением,
Денис.

Alex Grebenyuk • именно потому и был задан вопрос про банковские технологии. В указанном положении (это положение, а не закон, повторюсь) указано, что ВСЕ средства КЗИ подлежат обязательной сертификации или экспертизе. Парадокс

Aleksey Jukov • В порядке обсуждения данного вопроса - в соответствии Указом Президента Украины 505/98 "Про Положення про порядок здійснення криптографічного захисту інформації в Україні"
" 8. Для криптографічного захисту конфіденційної інформації
використовуються криптосистеми і засоби криптографічного захисту,
які мають сертифікат відповідності."
Если просмотреть список средств КЗИ "Перелік засобів КЗІ, які мають експертний висновок за результатами державної експертизи у галузі КЗІ:"
http://www.dsszzi.gov.ua/dstszi/control/uk/publish/article?art_id=72121&cat_id=72110
то в этом списке есть и средства с западными стандартами, например:
SHA-1, TDEA, RSA, DES, TDES.

И экспертиза таких средств в Украние проводиться. Мало того, при проведении экспертизы есть четкие условия ПРАВИЛЬНОГО применения средств, например:
"Об’єкт експертизи може бути використаний для криптографічного захисту конфіденційної інформації за умов виконання вимог “Інструкції із забезпечення безпеки експлуатації програмно-технічного комплексу ... ” та “Інструкції про порядок поводження (обліку зберігання, знищення) з ключовими документами програмно-технічного комплексу ...".

И экспертизу проводя профессионалы в это области :).
И есть примеры экспертизы банковских систем, например -
http://elpay.com/index.php?menu_id=16.

Другой аспект, что нормативная база зачастую не работает.
И некоторые организации считают, что могут применять любые средства.
Мне кажется, что просто такие решения принимаются от недостатка необходимой подготоки у специалистов по информационной безопасности в организации.

Поясняю, почему:
1. если средство сертифицировано, то есть гарантии его правильной работы в информационной системе. Эти гарантии четко определены правилами и инструкциями по примнению средств КЗИ, которые проверяються при проведении экспертизы.

1. если средство не имеет сертификата, то риск его применения лежит:

* во первых, на руководителе организации, которая его применяет;

- во вторых, на специалистах по информационно безопасности, которые в таком случае вынуждены определять правила и инструкции по порядку применения средств.

Alexey Kornilov • Посмотрел список, таки да, там нет ничего ни про банкоматы, ни про pos-терминалы и самое интересное (барабанная дробь):
"засіб криптографічного захисту даних в ІР мережі “Cisco Ukraine VPN” ТУ У 32.2-19136506-006:2008 (АЮМА.467759.205 ТУ)

Експертний висновок від 27.06.08 № 5/1-1900:

В спеціальному програмному забезпеченні об’єкта експертизи правильно реалізовані криптографічні алгоритми ГОСТ 28147-89 (в режимі гамування зі зворотним зв’язком), ГОСТ 34.311-95 та ДСТУ 4145-2002.

Розподіл ключових даних, який реалізовано у об’єкті експертизи, відповідає документу “Методика розподілу ключових даних, вимоги до ключової системи та криптопротоколу виробу “Cisco Ukraine VPN” (№ 95 від 28.05.08).

Об’єкт експертизи може бути використаний для криптографічного захисту конфіденційної інформації, що не є власністю держави.

Розробник – Товариство з обмеженою відповідальністю “Науково-впроваджувальна фірма “Криптон”.
"
Т.е. речь идет о том, что есть некая прошивка, в разработке которой участвовала Криптон и которая реализует укрогосты. Скорее всего что-то для сбу или нбу для формального соответствия требованиям законодательства. А что делать с простыми cisco, выбрасывать или отключать шифрацию каналов? Ну и ничего про linux и прочее. Т.е. закон в реальности применительно не гос.учреждениям почти не работает.

Я так понимаю, что надо смотреть что украина подписала насчет гармонизации при вступлении в ВТО. И если таки да, что-то подписала, то международные соглашения имеют приоритет над местными правилами и все разночтения законов будут интерпретироваться юристами в пользу организации.
Да и согласитесь, что есть гораздо более интересные вещи, например используемые банками библиотеки ЭЦП в системах Банк-клиент и то как это все до сих пор "соответствует" закону об ЭЦП. Не зря НБУ после нескольких лет боданий начал двигаться в сторону собственного центра сертификации, но на данный момент закон формально нарушается почти всеми банками.

Volodymyr Styran • Разъясните мне один аспект. Читаем про SecurID, который, как я понял, ОТП использует для Интернет-банкинга (если так, то честь ему, хвала и равнение на).

"система автентифікації користувачів на основі пристроїв для генерації одноразових паролів RSA SecurID SID 700
Експертний висновок від 11.12.08 № 5/1-3512:
1. В об’єкті експертизи криптографічний алгоритм AES-128 реалізований відповідно до FIPS PUB 197.
2. Об’єкт експертизи може використовуватися для автентифікації користувачів інформаційних ресурсів ЗАТ «ОТП Банк».
Розробник – компанія "RSA The Security Divisiоn of EMC", США.

система автентифікації користувачів на основі пристроїв для генерації одноразових паролів RSA SecurID SID 700
Експертний висновок від 11.12.08 № 5/1-3513:
1. В об’єкті експертизи криптографічний алгоритм AES-128 реалізований відповідно до FIPS PUB 197.
2. Об’єкт експертизи може використовуватися для автентифікації користувачів інформаційних ресурсів підприємства з іноземною інвестицією “Імперіал Тобако Юкрейн”.
Розробник – компанія "RSA The Security Divisiоn of EMC", США."

Я правильно понимаю, ограничений на использование алгоритмов нет? Компания хочет использовать средство криптозащиты, инициирует экспертизу, получает вывод и дальше по тексту? Т.е., гипотетически, компания может организовать экспертизу TrueCrypt на тему правильности реализации в нем AES-128 и SHA-256 (благо, текст программного кода имеется) и потом использовать его в собственных нуждах? Ограничиваясь, естественно, рамками применения в полученном выводе экспертизы.

Alexey Kornilov • А там и не может быть ограничений, т.к. брелки одноразовых паролей предназначены не для шифрации а для аутентификации, что есть две большие разницы. Я просто немного в курсе этой темы, - раньше надо было для ввоза такого рода оборудования получать определенные разрешения и соответственно такая экспертиза была необходима. Сейчас этого уже не требуется.

Aleksey Jukov • to Volodymyr Styran
> Я правильно понимаю, ограничений на использование алгоритмов нет?

Ограничения есть для различных грифов информации. Если идет речь о конфденциальной информации компании, то ограничений нет - если я правильно помню.

> компания может организовать экспертизу TrueCrypt на тему правильности реализации в нем AES-128 и SHA-256 (благо, текст программного кода имеется) и потом использовать его в собственных нуждах? Ограничиваясь, естественно, рамками применения в полученном выводе экспертизы.

Да, Вы правы. Можно провести экспертизу продукта и использовать его в соответствии с экспертным выводом.
И при этом иметь гарантии:
- правильности реализации криптоалгоритмов, которые используються;
- возможности их правильного использования в своих системах.

Dmitriy Sirosh • Если не ошибаюсь, то точно такая же сертификация подразумевается и FIPS 140-2. Т.е. "Сертификация правильности реализации криптоалгоритмов, которые используються"

В связи с этим, если помните в начале года, возникло недоразумение когда сертифицированные по FIPS защищенные USB flash носители инф. от именитых брендов. Из-за ошибок в их архитектуре можно было "вскрыть" (читай обойти сис-му шифрования) без особого труда. При этом, криптоалгоритмы были реализованы по всей строгости закона.

В таком случае в дополнение к FIPS 140-2 есть так же смысл сертифицироваться, а потебителям смотреть на наличие сертификата, по стандарту “Common Criteria for Information Technology Security Evaluation” и соответствия изделия определенному уровню согласно указанного стандарта. Что ко всему подразумевает сертификацию архитектуры устройства/софта.

Andrey Kuzmenko • "А там и не может быть ограничений, т.к. брелки одноразовых паролей предназначены не для шифрации а для аутентификации, что есть две большие разницы. Я просто немного в курсе этой темы, - раньше надо было для ввоза такого рода оборудования получать определенные разрешения и соответственно такая экспертиза была необходима. Сейчас этого уже не требуется. "

Алексей, все зависит от длины ключа и пр. дополнительных параметров, это информация есть в пункте 2а криптографічної примітки - но это тольок по поводу ввоза, ято касается использования и продажи, то в любом случае необходимы сертификаты.

Alexey Kornilov • Андрей, насчет брелков я с вами не согласен. Указанные брелки не осуществляют "криптографічний захист інформації".
Но это незаметные мелочи на фоне отсутствия необходимых сертификатов для cisco и прочего сетевого оборудования, которые таки данные шифруют и напрямую попадают под действие закона. Где сертификаты на них?

Andrey Kuzmenko • Алексей, там применяются криптографические преобразования для генерации ключей DES, 3DES, AES и т.д., поэтому в любом случае нужна проверка этих алгоритмов на их "правильность":)

Что касается остального - согласен, сертификатов я не видел:)))

П.С. Одессе привет!:) я вчера только оттуда:) замечательный город!:)

Sergiy Shabashkevich • Коллеги, маленький вопрос:
Допустим, есть разрекламированная ОС Windows 7 , которая не имеет никаких экспертных заключений, с новой фичей "BitLocker Drive Encryption" (http://www.microsoft.com/windows/windows-vista/features/bitlocker.aspx). Т.е. получается, что использование сей фичи на территории рідной ненькі противоречит действующим законам?

Victor Zhora • Да, есть некая правовая коллизия. То же по аладдиновскому Secret Disk. Кстати, в проверенном профиле на сей продукт нет ни одной КЗИшной услуги.

Alex Grebenyuk • таких коллизий много. Если по уму разбираться - то целый вагон. Печально, но факт просто нужно признать - отсутствие стандарта позволяет "химичить" на ровном месте

Sergiy Shabashkevich • Самая главная "коллизия" - это когда стандарт (или закон) сущ-т, но к нему относятся как к опции. А то, что правовых коллизий много, то всегда есть хороший вопрос по теме : кому это выгодно?

Alex Grebenyuk • скажем так - монополисту всегда выгодно

Sergey Prokopenko • Еще на эту тему http://ko.com.ua/node/49764

Sergiy Shabashkevich • 2 Sergey Prokopenko: спасибо за ссылку. интересны комментарии к статье.

Vladimir Gninyuk • Коллеги, много хороших комментариев здесь было приведено, но я не заметил (может пропустил) очень важный и принципиальный момент:
В дискуссии много времени уделено «сертификату соответствия на средство КЗИ», но ИМХО более принципиальным является само право ИСПОЛЬЗОВАНИЯ КЗИ. Данное право приобретается, через получение ЛИЦЕНЗИИ на данный вид деятельности.
Это очень важно с точки зрения правовой чистоты. Многие эксперты, которые делятся опытом на данной площадке, являются представителями банков или операторов связи (или просто больших структур) и их предприятия эти Лицензии имеют, а вот представителям СМБ сектора очень сложно соблюдать данную норму. А самое парадоксальное, что они в КЗИ больше нуждаются, так как мобильность персонала и «размытость периметра» у СМБ скорее норма, чем исключение…

Alex Grebenyuk • кстати, TrueCrypt может быть доработан до применения в нем ГОСТ 28147. А это уже рекомендованное средство криптографии. Хотя это уже нестандартный подход к решению подобных проблем

Artem Ivan'ko • Для использования средств КЗИ в Украине, а особенно для защиты информации составляющей собственность государства Denis Kravchenko описал самыс полным образом.
Сайт Держспецзв'язку, особенно разделы с перечнем экспертными заключениями либо сертификатами соответствия к сожалению не очень хорошо обновляются последнее время.
Применительно к лицензированию, в связи с принятием изменений в Закон о лицензировании определенных видом деятельности. планируется отмена лицензий на некоторые виды детельности КЗИ и ТЗИ, в основном это разработка и производство средств КЗИ и ТЗИ, торговля и возможно эксплуатация. Такие виды деятельности как оказание услуг, сертификационные испытания ТЗИ и КЗИ, и вывоз средств КЗИ и криптосистем могут остаться под лицензией. ДССЗЗИ определяется с этими вопросами.
Применительно к использованию той же CISCO для защиты информации, которая является собственностью государства, необходимо также иметь экспертное заключение по результатам государственной экспертизы ТЗИ, и у CISCO, насколько я помню с этим проблем не было, особенно до 07.2010 (срок окончания действия экспертного заключения).

Oleksandr Migal • Насчет международных алгоритмов, непринятых у Украине.
Наличие экспертизы - это не разрешение на использование.
В каждом ТЗ на разработку КЗИ для этих алгоритомв требуют указать "сферу застосування". И как правило, это типа ".. для работы в международных системах, где применение укр.стандартов невозможно..."

Igor Mordiuk • >Но это незаметные мелочи на фоне отсутствия необходимых сертификатов >для cisco и прочего сетевого оборудования, которые таки данные шифруют и >напрямую попадают под действие закона.

Позволю поинтересоваться, а с каким тогда телеком.оборудованием работают в НБУ.

Victor Zhora • Во-первых, одно дело - иметь в телеком. оборудовании возможность шифрования (а она есть практически везде), а другое - использовать (либо заявлять об использовании).
Во-вторых, правовой режим защиты банковской тайны регулируется Законом Украины "О банках и банковской деятельности". Иными словами, некая свобода в части применения средств защиты информации в банках присутствует.

Artem Ivan'ko • У НБУ в отношении КЗИ свой отдельный статус. Но это распространяется, исключительно на системы НБУ, а не на внутрибанковские системы.
ПОЛОЖЕННЯ про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації
1.2. Вимоги цього Положення обов'язкові для виконання
державними органами, підприємствами, установами і організаціями
незалежно від форм власності, діяльність яких пов'язана з
розробленням, виробництвом, сертифікаційними випробуваннями
(експертними роботами) та експлуатацією засобів криптографічного
захисту конфіденційної інформації, інформації, що є власністю
держави, або інформації з обмеженим доступом, вимога щодо захисту
якої встановлена законом, а також надійних засобів електронного
цифрового підпису.

1.3. На підставі цього Положення Національним банком України
визначаються особливості розроблення, виробництва, випробувань,
упровадження та експлуатації засобів криптографічного захисту
інформації (далі - КЗІ), які розробляються, виробляються та
випробовуються безпосередньо Національним банком України для
власних потреб та потреб банківської системи України, а також
особливості експлуатації засобів КЗІ Національного банку України в
небанківських установах, що їх використовують.

Вимоги щодо застосування та особливості експлуатації засобів
КЗІ для захисту інформації, що циркулює в банківській системі
України, визначаються Національним банком України. Ця норма не
поширюється на інформацію з обмеженим доступом, що є власністю
держави.

Evgeniy Tarasov • Коллеги, добрый день.
Будьте внимательны - нормативные документы необходимо читать полностью, а не только отдельные статьи.
Возвращаясь ко второму посту в данной теме (от Denis Kravchenko) должен заметить, что в декабре 2009 года были внесены изменения в приказ Администрации Госспецсвязи №141, и, согласно пункту 1.2, оно обязательно для исполнения теми, кто работает с такими средствами КЗИ:
* защищающими конфиденциальную информацию;

* защищающими информацию, защищать которую требует государство;

* надежными средствами ЭЦП.

(ссылка вот - http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=z0862-07)
Это первое.

Второе.
Согласно принятым изменениям к Закону Украины "О лицензировании определенных видов хозяйственной деятельности", лицензированию (в сфере КЗИ) подлежит:
* надання послуг у галузі криптографічного захисту

інформації (крім послуг електронного цифрового підпису), торгівля
криптосистемами і засобами криптографічного захисту інформації
(згідно з переліком, що визначається Кабінетом Міністрів України).
Предположения о том, что попадет в перечень, определяемый Кабмином, можно посмотреть тут:
http://www.linkedin.com/groupItem?view=&gid=1220117&type=member&item=34910705&qid=0bbc4068-845e-42e1-a414-cd72e8bb149e

И третье.
Когда вы на сайте Госспецсвязи смотрите перечень средств, имеющих экспертные заключения и то, на что эти заключения распространяются, то нужно понимать, что если вам нужно защищать информацию с определенным грифом, то и средство стоит выбирать исходя из того, для чего оно предназначено.
Т.е., если девайс предназначен для защиты конфидента, то ДСК им защищать нельзя (как написал чуть выше Aleksey Jukov).

Последнее.
Работникам банковской сферы также необходимо помнить, что особенности защиты информации в банковской сфере регулируются Нацбанком.