Приложение 1. Действующие нормативные документы, регулирующие использование цифровых сертификатов
1. Закон РФ от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи"
2. Федеральный Закон РФ от 8.08.2001 № 128-ФЗ "О лицензировании отдельных видов деятельности" (с изменениями внесенными Федеральным законом РФ от 13.03.2002 N 28-ФЗ);
3. Федеральный Закон РФ от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации";
4. Постановление Правительства РФ от 30.04.2002 № 290 "О лицензировании деятельности по технической защите конфиденциальной информации";
5. Гражданский Кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (принят Государственной Думой РФ 21.10.1994) (ред. от 15.05.2001) - ст.160, 434;
6. Гражданский Кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (принят Государственной Думой РФ 22.12.1995) (ред. от 17.12.1999) - ст. 847;
7. Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. (ПКЗ-99) (Утверждено Приказом ФАПСИ при Президенте РФ от 23.09.1999 № 158);
8. Распоряжение Администрации Санкт-Петербурга от 15.05.2002 № 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга";
9. Распоряжение Администрации Санкт-Петербурга от 11.02.2003 № 333-ра "Об автоматизированной информационной системе государственного заказа Санкт-Петербурга";
|
|
10. Приказ № БГ-3-32/169 от 2 апреля 2002 г. "Об утверждении порядка предоставления налоговой декларации в электронном виде по телекоммуникационным каналам связи";
11. Постановление ФКЦБ РФ от 31.10.2002 № 43/пс "Об утверждении положения о порядке предоставления в Федеральную комиссию по рынку ценных бумаг электронных документов";
12. Уголовно-процессуальный кодекс-- ст. 84,
13. Арбитражно-процессуальный кодекс --- ст. 75
14. Гражданско-процессуальный кодекс --- ст. 71
15. Таможенный кодекс РФ, ст. 169
16. Налоговый кодекс РФ, ст. 80
17. Административный кодекс (~ глава 13);
18. ФЗ "Об иностранных инвестициях". ст. 42,
19. ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", ст. 8
20. Концепция информационной безопасности сетей связи общего пользования (принята Научно-техническим советом Минсвязи России в 2003 г.);
21. “О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи: Постановление РФ от 26.01.2001 №15;
22. Постановление Правительства Российской Федерации от 30 мая 2003 г. №313 «Об уполномоченном федеральном органе исполнительной власти в области использования электронной цифровой подписи».
|
|
Приложение 2. Предварительный перечень лицензионных требований (рекомендаций) к УЦ
1. Объекты, используемые удостоверяющими центрами должны принадлежать им на правах собственности, находиться в аренде, хозяйственном ведении или оперативном управлении.
2. Помещения должны соответствовать по производственной площади, состоянию и обеспечиваемым в них условиям требованиям технической и технологической документации на средства электронной цифровой подписи, другого оборудования, размещаемого в них и используемого для осуществления деятельности, и требованиям по размещению средств электронной цифровой подписи.
3. Технологическое, испытательное и контрольно-измерительное оборудование должно обеспечивать выполнение всего цикла работ удостоверяющего центра.
4. Технические средства удостоверяющих центров должны обеспечивать механизм (процедуру) контроля несанкционированного случайного и/или преднамеренного искажения (изменения, модификации) и/или разрушения информации, программных и аппаратных компонентов удостоверяющих центров.
|
|
Технические средства удостоверяющих центров должны обеспечивать управление доступом субъектов к различным объектам и/или целевым функциям удостоверяющего центра на основе идентификации субъектов и их ролевого разграничения.
Вероятность необнаружения несанкционированного искажения (изменения, модификации) и/или разрушения объектов контроля при однократной процедуре контроля устанавливается компетентным органом исполнительной власти.
Технические средства удостоверяющих центров должны обеспечивать резервное копирование и восстановление информации на случай повреждения системы.
Используемые средства обработки информации, должны быть аттестованы в соответствии с требованиями по защите информации.
5. Режим конфиденциальности при обращении со сведениями, которые доверены или стали известны удостоверяющему центру по работе, должен обеспечивать:
ограничение круга лиц, допущенных к конфиденциальной информации;
порядок контролируемого допуска лиц к работам, связанным с конфиденциальной информацией;
ролевое разграничение пользователей;
идентификацию и аутентификацию пользователей удостоверяющего центра с использованием механизма аутентификации средств криптографической защиты информации, используемых в удостоверяющем центре;
|
|
разграничение доступа субъектов к различным объектам и/или целевым функциям удостоверяющего центра на основе идентификации субъектов и их ролевого разграничения.
безопасность хранения, обработки и передачи по каналам связи конфиденциальной информации.
6. Наличие условий, предотвращающих несанкционированный доступ к средствам электронной цифровой подписи.
Для защиты технических средств удостоверяющих центров от воздействия со стороны сетей передачи данных они должны быть защищены сетевыми экранами.
Системные блоки ЭВМ с инсталлированными средствами электронной цифровой подписи должны быть оборудованы средствами контроля их вскрытия.
Хранение средств электронной цифровой подписи, дистрибутивов, инсталляционных дискет, нормативной, эксплуатационной и ключевой документация к ним должны осуществляться в хранилищах (металлических шкафах, сейфах).
Специальное оборудование, охрана и режим в помещениях должны обеспечивать безопасность средств электронной цифровой подписи (при наличии факторов облегченного физического проникновения в эти помещения их окна оборудуются металлическими решетками, ставнями, охранной сигнализацией, входные двери - надежными замками и охранной сигнализацией).
7. Наличие условий для выполнения требований по обеспечению безопасности ключей электронной цифровой подписи и реестров сертификатов ключей подписи.
8. Средства криптографической защиты информации (СКЗИ), используемые при построении удостоверяющих центров систем общего пользования, должны удовлетворять: "Требованиям к средствам криптографической защиты конфиденциальной информации".
В случаях, предусмотренных ПКЗ-99 для выполнения криптографических преобразований должны использоваться следующие алгоритмы:
алгоритм шифрования в соответствии с ГОСТ 28147-89;
алгоритм выработки имитовставки в соответствии с ГОСТ 28147-89;
алгоритм выработки хэш-функции в соответствии с ГОСТ Р 34.11 - 94;
алгоритм выработки и проверки ЭЦП в соответствии с ГОСТ Р 34.10 – 94, 2001.
При работе с сертификатами открытых ключей должны использоваться следующие международные стандарты и рекомендации:
Х.509 версии 3 для определения формата сертификата;
Х.500 для обозначения имени владельца сертификата и имени лица, выпустившего сертификат;
Х.509 (CRL) версии 2 для определения формата списка отозванных сертификатов.
9. Используемое программное обеспечение для ЭВМ и баз данных должно быть лицензионным; программное обеспечение собственной разработки должно быть оформлено и утверждено установленным порядком.
Операционные системы удостоверяющих центров не должны содержать в себе документированных и недокументированных средств (негативных функциональных возможностей), позволяющих лицам, не входящим в группу администраторов:
модифицировать или искажать алгоритм работы технических средств УЦ;
модифицировать или искажать информационные или управляющие потоки и процессы, порождаемые техническими средствами УЦ;
получать доступ (в том числе с помощью порождаемых процессов) к конфиденциальным данным, используемым УЦ.
10. Требования к изданию сертификатов.
Все выпускаемые удостоверяющим центром сертификаты должны соответствовать стандарту X.509. Все поля и дополнения, включаемые в сертификат, должны быть заполнены в соответствии с правилами X.509 или проверены УЦ для обеспечения соответствия стандарту X.509.
11. Требования к эксплуатации технических средств удостоверяющих центров.
Эксплуатация технических средств удостоверяющих центров должна осуществляться в соответствии с ПКЗ-99 и Инструкцией по организации и обеспечению безопасности хранения, обработки и передачи по техническим каналам связи конфиденциальной информации в Российской Федерации с использованием сертифицированных ФАПСИ криптографических средств.
Для обеспечения эксплуатации технических средств удостоверяющих центров должны быть разработаны и согласованы с ФАПСИ инструкции и правила по разбору конфликтных ситуаций, связанных с применением электронно-цифровой подписи и сертификатов ключей электронно-цифровой подписи.
12. Требование к персоналу:
- руководитель удостоверяющего центра и (или) лицо, уполномоченное им руководить конкретными работами удостоверяющего центра, должны иметь высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности с квалификацией "Специалист по защите информации" или "Математик"; руководитель удостоверяющего центра и (или) лицо, уполномоченное им руководить конкретными работами удостоверяющего центра, должен иметь производственный стаж по специальности не менее пяти лет;
- инженерно-технический персонал, осуществляющий конкретные работы удостоверяющего центра, должен иметь высшее профессиональное образование (профессиональную подготовку, переподготовку или пройти повышение квалификации) в области информационной безопасности с квалификацией "Специалист по защите информации", "Математик" и специализацией, соответствующей классу шифровальных (криптографических) средств, средств электронной цифровой подписи и (или) защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
Гражданин не может быть принят на работу в удостоверяющий центр в случаях признания его недееспособным или ограниченно дееспособным вступившим в законную силу решением суда, либо наличия у него неснятой или непогашенной судимости за преступления в сфере экономической деятельности или за преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления.
Дата добавления: 2018-04-04; просмотров: 187; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!