Приложение 1. Действующие нормативные документы, регулирующие использование цифровых сертификатов



 

1. Закон РФ от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи"

2. Федеральный Закон РФ от 8.08.2001 № 128-ФЗ "О лицензировании отдельных видов деятельности" (с изменениями внесенными Федеральным законом РФ от 13.03.2002 N 28-ФЗ);

3. Федеральный Закон РФ от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации";

4. Постановление Правительства РФ от 30.04.2002 № 290 "О лицензировании деятельности по технической защите конфиденциальной информации";

5. Гражданский Кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (принят Государственной Думой РФ 21.10.1994) (ред. от 15.05.2001) - ст.160, 434;

6. Гражданский Кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (принят Государственной Думой РФ 22.12.1995) (ред. от 17.12.1999) - ст. 847;

7. Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. (ПКЗ-99) (Утверждено Приказом ФАПСИ при Президенте РФ от 23.09.1999 № 158);

8. Распоряжение Администрации Санкт-Петербурга от 15.05.2002 № 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга";

9. Распоряжение Администрации Санкт-Петербурга от 11.02.2003 № 333-ра "Об автоматизированной информационной системе государственного заказа Санкт-Петербурга";

10. Приказ № БГ-3-32/169 от 2 апреля 2002 г. "Об утверждении порядка предоставления налоговой декларации в электронном виде по телекоммуникационным каналам связи";

11. Постановление ФКЦБ РФ от 31.10.2002 № 43/пс "Об утверждении положения о порядке предоставления в Федеральную комиссию по рынку ценных бумаг электронных документов";

12. Уголовно-процессуальный кодекс-- ст. 84,

13. Арбитражно-процессуальный кодекс --- ст. 75

14. Гражданско-процессуальный кодекс --- ст. 71

15. Таможенный кодекс РФ, ст. 169

16. Налоговый кодекс РФ, ст. 80

17. Административный кодекс (~ глава 13);

18. ФЗ "Об иностранных инвестициях". ст. 42,

19. ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", ст. 8

20. Концепция информационной безопасности сетей связи общего пользования (принята Научно-техническим советом Минсвязи России в 2003 г.);

21. “О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи: Постановление РФ от 26.01.2001 №15;

22. Постановление Правительства Российской Федерации от 30 мая 2003 г. №313 «Об уполномоченном федеральном органе исполнительной власти в области использования электронной цифровой подписи».


 

Приложение 2. Предварительный перечень лицензионных требований (рекомендаций) к УЦ

1. Объекты, используемые удостоверяющими центрами должны принадлежать им на правах собственности, находиться в аренде, хозяйственном ведении или оперативном управлении.

2. Помещения должны соответствовать по производственной площади, состоянию и обеспечиваемым в них условиям требованиям технической и технологической документации на средства электронной цифровой подписи, другого оборудования, размещаемого в них и используемого для осуществления деятельности, и требованиям по размещению средств электронной цифровой подписи.

3. Технологическое, испытательное и контрольно-измерительное оборудование должно обеспечивать выполнение всего цикла работ удостоверяющего центра.

4. Технические средства удостоверяющих центров должны обеспечивать механизм (процедуру) контроля несанкционированного случайного и/или преднамеренного искажения (изменения, модификации) и/или разрушения информации, программных и аппаратных компонентов удостоверяющих центров.

Технические средства удостоверяющих центров должны обеспечивать управление доступом субъектов к различным объектам и/или целевым функциям удостоверяющего центра на основе идентификации субъектов и их ролевого разграничения.

Вероятность необнаружения несанкционированного искажения (изменения, модификации) и/или разрушения объектов контроля при однократной процедуре контроля устанавливается компетентным органом исполнительной власти.

Технические средства удостоверяющих центров должны обеспечивать резервное копирование и восстановление информации на случай повреждения системы.

Используемые средства обработки информации, должны быть аттестованы в соответствии с требованиями по защите информации.

5. Режим конфиденциальности при обращении со сведениями, которые доверены или стали известны удостоверяющему центру по работе, должен обеспечивать:

ограничение круга лиц, допущенных к конфиденциальной информации;

порядок контролируемого допуска лиц к работам, связанным с конфиденциальной информацией;

ролевое разграничение пользователей;

идентификацию и аутентификацию пользователей удостоверяющего центра с использованием механизма аутентификации средств криптографической защиты информации, используемых в удостоверяющем центре;

разграничение доступа субъектов к различным объектам и/или целевым функциям удостоверяющего центра на основе идентификации субъектов и их ролевого разграничения.

безопасность хранения, обработки и передачи по каналам связи конфиденциальной информации.

6. Наличие условий, предотвращающих несанкционированный доступ к средствам электронной цифровой подписи.

Для защиты технических средств удостоверяющих центров от воздействия со стороны сетей передачи данных они должны быть защищены сетевыми экранами.

Системные блоки ЭВМ с инсталлированными средствами электронной цифровой подписи должны быть оборудованы средствами контроля их вскрытия.

Хранение средств электронной цифровой подписи, дистрибутивов, инсталляционных дискет, нормативной, эксплуатационной и ключевой документация к ним должны осуществляться в хранилищах (металлических шкафах, сейфах).

Специальное оборудование, охрана и режим в помещениях должны обеспечивать безопасность средств электронной цифровой подписи (при наличии факторов облегченного физического проникновения в эти помещения их окна оборудуются металлическими решетками, ставнями, охранной сигнализацией, входные двери - надежными замками и охранной сигнализацией).

7. Наличие условий для выполнения требований по обеспечению безопасности ключей электронной цифровой подписи и реестров сертификатов ключей подписи.

8. Средства криптографической защиты информации (СКЗИ), используемые при построении удостоверяющих центров систем общего пользования, должны удовлетворять: "Требованиям к средствам криптографической защиты конфиденциальной информации".

В случаях, предусмотренных ПКЗ-99 для выполнения криптографических преобразований должны использоваться следующие алгоритмы:

алгоритм шифрования в соответствии с ГОСТ 28147-89;

алгоритм выработки имитовставки в соответствии с ГОСТ 28147-89;

алгоритм выработки хэш-функции в соответствии с ГОСТ Р 34.11 - 94;

алгоритм выработки и проверки ЭЦП в соответствии с ГОСТ Р 34.10 – 94, 2001.

При работе с сертификатами открытых ключей должны использоваться следующие международные стандарты и рекомендации:

Х.509 версии 3 для определения формата сертификата;

Х.500 для обозначения имени владельца сертификата и имени лица, выпустившего сертификат;

Х.509 (CRL) версии 2 для определения формата списка отозванных сертификатов.

9. Используемое программное обеспечение для ЭВМ и баз данных должно быть лицензионным; программное обеспечение собственной разработки должно быть оформлено и утверждено установленным порядком.

Операционные системы удостоверяющих центров не должны содержать в себе документированных и недокументированных средств (негативных функциональных возможностей), позволяющих лицам, не входящим в группу администраторов:

модифицировать или искажать алгоритм работы технических средств УЦ;

модифицировать или искажать информационные или управляющие потоки и процессы, порождаемые техническими средствами УЦ;

получать доступ (в том числе с помощью порождаемых процессов) к конфиденциальным данным, используемым УЦ.

10. Требования к изданию сертификатов.

Все выпускаемые удостоверяющим центром сертификаты должны соответствовать стандарту X.509. Все поля и дополнения, включаемые в сертификат, должны быть заполнены в соответствии с правилами X.509 или проверены УЦ для обеспечения соответствия стандарту X.509.

11. Требования к эксплуатации технических средств удостоверяющих центров.

Эксплуатация технических средств удостоверяющих центров должна осуществляться в соответствии с ПКЗ-99 и Инструкцией по организации и обеспечению безопасности хранения, обработки и передачи по техническим каналам связи конфиденциальной информации в Российской Федерации с использованием сертифицированных ФАПСИ криптографических средств.

Для обеспечения эксплуатации технических средств удостоверяющих центров должны быть разработаны и согласованы с ФАПСИ инструкции и правила по разбору конфликтных ситуаций, связанных с применением электронно-цифровой подписи и сертификатов ключей электронно-цифровой подписи.

12. Требование к персоналу:

- руководитель удостоверяющего центра и (или) лицо, уполномоченное им руководить конкретными работами удостоверяющего центра, должны иметь высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности с квалификацией "Специалист по защите информации" или "Математик"; руководитель удостоверяющего центра и (или) лицо, уполномоченное им руководить конкретными работами удостоверяющего центра, должен иметь производственный стаж по специальности не менее пяти лет;

- инженерно-технический персонал, осуществляющий конкретные работы удостоверяющего центра, должен иметь высшее профессиональное образование (профессиональную подготовку, переподготовку или пройти повышение квалификации) в области информационной безопасности с квалификацией "Специалист по защите информации", "Математик" и специализацией, соответствующей классу шифровальных (криптографических) средств, средств электронной цифровой подписи и (или) защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Гражданин не может быть принят на работу в удостоверяющий центр в случаях признания его недееспособным или ограниченно дееспособным вступившим в законную силу решением суда, либо наличия у него неснятой или непогашенной судимости за преступления в сфере экономической деятельности или за преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления.

 


Дата добавления: 2018-04-04; просмотров: 92;