Расширенный поиск
Приказ Министерства связи и массовых коммуникаций Российской Федерации от 23.03.2009 № 41П Р И К А З Министерства связи и массовых коммуникаций Российской Федерации от 23 марта 2009 г. N 41 Об утверждении Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра Зарегистрирован Минюстом России 24 апреля 2009 г. Регистрационный N 13831 Во исполнение постановления Правительства Российской Федерации от 25 декабря 2007 г. N 931 "О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям" (Собрание законодательства Российской Федерации, 2007, N 53, ст. 6627) и приказа Министерства информационных технологий и связи Российской Федерации от 11 марта 2008 г. N 32 "Об утверждении Положения об общероссийском государственном информационном центре" (зарегистрирован в Министерстве юстиции Российской Федерации 21 марта 2008 г., регистрационный N 11394) приказываю: 1. Утвердить прилагаемые Требования к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра. 2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации. 3. Контроль за исполнением настоящего приказа оставляю за собой. Министр И.О.Щёголев ____________ Приложение Т Р Е Б О В А Н И Я к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра I. Общие положения 1. Требования к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам (далее - требования) устанавливают принципы и необходимые условия функционирования подсистемы удостоверяющих центров общероссийского государственного информационного центра (далее - подсистема УЦ ОГИЦ). Подсистема УЦ ОГИЦ предназначена для оказания государственных услуг гражданам и организациям в электронном виде с использованием электронной цифровой подписи, позволяющей однозначно определить (идентифицировать) правомочность уполномоченных должностных лиц органов государственной власти и местного самоуправления, осуществляющих информационное взаимодействие, дату и время осуществления информационного взаимодействия, а также гарантировать целостность, неизменность и идентичность информации, отправленной одним участником информационного взаимодействия и полученной другим участником информационного взаимодействия. 2. Регламент подсистемы УЦ ОГИЦ (далее - Регламент) разрабатывается и утверждается Федеральным агентством по информационным технологиям. 3. Обеспечение защиты информации в подсистеме УЦ ОГИЦ должно осуществляться в соответствии с законодательством Российской Федерации. 4. Порядок взаимодействия подсистемы УЦ ОГИЦ с информационными системами федеральных органов исполнительной власти в целях оказания государственных и муниципальных услуг устанавливается совместными регламентами, утверждаемыми Министерством связи и массовых коммуникаций Российской Федерации и федеральными органами исполнительной власти, участвующими в информационном взаимодействии, с целью предоставления соответствующих государственных услуг. 5. Условия взаимодействия подсистемы УЦ ОГИЦ с иными информационными системами в целях оказания государственных услуг устанавливаются соглашением, заключаемым Федеральным агентством по информационным технологиям и оператором соответствующей информационной системы. 6. Подсистема УЦ ОГИЦ должна создаваться и функционировать в соответствии с положениями, определенными Федеральным законом от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, N 2, ст. 127; 2007, N 46, ст. 5554), Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448), постановлением Правительства Российской Федерации от 25 декабря 2007 г. N 931 "О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям" (Собрание законодательства Российской Федерации, 2007, N 53, ст. 6627) и приказом Министерства связи и массовых коммуникаций Российской Федерации от 11 марта 2008 г. N 32 "Об утверждении Положения об общероссийском государственном информационном центре" (зарегистрирован в Министерстве юстиции Российской Федерации 21 марта 2008 г., регистрационный N 11394). II. Требования к составу и программно-техническим средствам 7. В состав подсистемы УЦ ОГИЦ должны быть включены следующие компоненты: УЦ ОГИЦ ПУ; УЦ ОГИЦ ВУ (один или несколько); подсистема ведения реестра (реестров); подсистема, используемая для оказания государственных услуг в электронном виде при трансграничном международном взаимодействии; подсистема, используемая для реализации сервисов УЦ ОГИЦ в соответствии с перечнем сервисов подсистемы ведения реестров; подсистема защиты информации УЦ ОГИЦ; подсистема информирования; автоматизированные рабочие места УЦ ОГИЦ; идентификационные элементы на электронных носителях (далее - электронные идентификационные элементы); носители ключевой информации (закрытого/открытого ключей и сертификата) электронной цифровой подписи. 8. Компоненты подсистемы УЦ ОГИЦ должны обеспечивать реализацию следующих функций (информационных технологий): 1) УЦ ОГИЦ ПУ должен обеспечивать: формирование сертификатов ключей подписи уполномоченных лиц УЦ ОГИЦ ПУ; формирование сертификатов ключей подписей (далее - СКП) уполномоченных лиц УЦ ОГИЦ ВУ (далее - СКП УЦ ОГИЦ ВУ), включая изготовление ключей ЭЦП; временное приостановление действия СКП УЦ ОГИЦ ВУ; возобновление действия СКП УЦ ОГИЦ ВУ; аннулирование (отзыв) СКП УЦ ОГИЦ ВУ; формирование и распространение списков аннулированных (отозванных) и приостановленных СКП УЦ ОГИЦ ВУ; ведение архива СКП УЦ ОГИЦ ВУ; ведение реестра СКП УЦ ОГИЦ ВУ; 2) УЦ ОГИЦ ВУ должен обеспечивать: формирование СКП уполномоченных лиц удостоверяющих центров в федеральных округах и уполномоченных лиц информационных систем, включая изготовление ключей ЭЦП; временное приостановление действия СКП; возобновление действия СКП; аннулирование (отзыв) СКП; формирование и распространение списков аннулированных (отозванных) и приостановленных СКП; ведение архива СКП; ведение реестра СКП; 3) подсистема ведения реестров должна обеспечивать: а) размещение следующей информации в реестре (реестрах): о сертификатах ключей подписей (единый государственный реестр СКП); о СКП уполномоченных лиц федеральных органов государственной власти; о СКП уполномоченных лиц информационных систем ОГИЦ; о сервисах и услугах, предоставляемых УЦ ОГИЦ и взаимодействующими с ним удостоверяющими центрами и информационными системами; об объектных идентификаторах, используемых в ОГИЦ; об удостоверяющих центрах, взаимодействующих с подсистемой УЦ ОГИЦ на основе Соглашения о взаимодействии между Федеральным агентством по информационным технологиям и удостоверяющим центром в рамках подсистемы УЦ ОГИЦ; б) регистрацию пользователей, включая уполномоченных лиц удостоверяющих центров, федеральных органов государственной власти, информационных систем; в) идентификацию пользователей, зарегистрированных в подсистеме реестров; г) права пользователей в отношении получения и направления в их адрес информации; д) возможность поддержания в актуальном состоянии информации, хранящейся в реестрах; е) возможность свободного доступа заинтересованных лиц к информации из реестра, размещенной в информационно-телекоммуникационной сети Интернет на официальном сайте ОГИЦ; ж) предоставление по запросам заинтересованным лицам информации (выписки) из реестров, в том числе для целей осуществления правосудия; з) возможность архивного хранения информации, содержащейся в реестрах; и) возможность использования ЭЦП и сертификата ключа подписи, выданного УЦ ОГИЦ ПУ для обеспечения целостности информации в реестре и заверения электронных документов, содержащих информацию из реестров и размещаемых в информационно-телекоммуникационной сети Интернет на официальном сайте ОГИЦ; к) возможность использования ЭЦП уполномоченного лица УЦ ОГИЦ ПУ при информационном обмене между реестрами; 4) подсистема, используемая для оказания государственных услуг в электронном виде при трансграничном международном взаимодействии, должна обеспечивать реализации следующих функций (информационных технологий): проверку действительности (подлинности) ЭЦП в электронном документе при трансграничном электронном документообороте и формирование квитанции от текущей даты проверки (метки времени); проверку действительности (подлинности) ЭЦП в документе при электронном документообороте внутри Российской Федерации; проверку действительности (подлинности) сертификата открытого ключа, изготовленного иным удостоверяющим центром; 5) подсистема, используемая для реализации сервисов УЦ ОГИЦ, должна обеспечивать реализацию сервисов при оказании государственных услуг в электронном виде, включая предоставление услуги по определению актуального статуса сертификата, по фиксации времени, разбору конфликтных ситуаций, подтверждению подлинности ЭЦП уполномоченных лиц в выданных СКП; 6) автоматизированные рабочие места УЦ ОГИЦ, оборудованные современными средствами идентификации участников информационного взаимодействия, должны обеспечивать доступ (локальный и удаленный) к компонентам подсистемы УЦ ОГИЦ и обеспечивать процедуру изготовления и хранения сертификатов и ключей ЭЦП для уполномоченных лиц, административного персонала и пользователей (далее - пользователи) на носителях ключевой информации, применяемых в подсистеме УЦ ОГИЦ; 7) электронные идентификационные элементы и носители ключевой информации должны обеспечивать: механизмы аутентификации пользователя и приложений, базирующиеся на использовании российских сертифицированных криптографических алгоритмов, сертификатов, ключей подписей, совместимые с подсистемой регламентированного доступа ОГИЦ; конфиденциальность и целостность идентификационной и ключевой информации, передаваемой при взаимодействии с прикладным программным обеспечением; 8) программно-аппаратный комплекс средств защиты информации должен обеспечить: управление доступом к ресурсам подсистемы УЦ ОГИЦ, включая использование электронных идентификационных элементов и носителей ключевой информации; регистрацию и учет действий пользователей подсистемы УЦ ОГИЦ; защищенный обмен пользователей подсистемы УЦ ОГИЦ; сохранение целостности ресурсов подсистемы УЦ ОГИЦ; защиту оборудования подсистемы УЦ ОГИЦ от утечки информации по техническим и побочным каналам. III. Требования к форматам и протоколам информационного взаимодействия 9. Требования к программной и информационной совместимости компонентов: 1) в части программной совместимости должна быть обеспечена совместимость компонентов, реализованных на платформе базовой операционной системы, с основными производителями аппаратного обеспечения, сетевых плат; 2) операционная система, в рамках которой должны функционировать УЦ ОГИЦ ПУ и УЦ ОГИЦ ВУ, должна обеспечивать возможность поддержки RAID-массивов; 3) в части информационной совместимости должны использоваться стандартные протоколы сетевого и информационного взаимодействия. 10. Требования к алгоритмам и стандартам, используемым для обеспечения информационной безопасности в подсистеме УЦ ОГИЦ. Для выполнения криптографических преобразований должны использоваться алгоритмы, устанавливаемые государственными стандартами Российской Федерации: алгоритм формирования и проверки ЭЦП, реализованный в соответствии с требованиями ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи"; алгоритм выработки значения хэш-функции, реализованный в соответствии с требованиями ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хэширования"; алгоритм зашифрования/расшифрования данных и вычисления имитовставки, реализованный в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования". 11. Требования к структуре сертификатов ключа подписи, списку отозванных сертификатов и используемым протоколам: 1) структура и состав сертификата ключа подписи должны соответствовать требованиям Федерального закона от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи"; 2) сертификаты ключей подписей должны содержать следующие базовые поля: +-----------------------------------------------------------------+ |Signature |Электронная цифровая подпись | | |уполномоченного лица УЦ | +---------------------------+-------------------------------------| |Issuer |Идентифицирующие данные | | |уполномоченного лица УЦ | +---------------------------+-------------------------------------| |Validity |Даты начала и окончания срока | | |действия сертификата | +---------------------------+-------------------------------------| |Subject |Идентифицирующие данные владельца | | |сертификата открытого ключа | +---------------------------+-------------------------------------| |SubjectPublicKeyInformation|Идентификатор алгоритма средства | | |электронной цифровой подписи, с | | |которыми используется данный открытый| | |ключ, значение открытого ключа | +---------------------------+-------------------------------------| |Version |Версия сертификата формата Х.509 - | | |версия 3 | +---------------------------+-------------------------------------| |SerialNumber |Уникальный серийный (регистрационный)| | |номер сертификата в Реестре | | |сертификатов открытых ключей УЦ | +-----------------------------------------------------------------+ 3) сертификаты ключей подписей должны содержать следующие дополнительные поля: +-----------------------------------------------------------------+ |AuthorityKeyIdentifier |Идентификатор ключа уполномоченного лица | | |УЦ | +-----------------------+-----------------------------------------| |SubjectKeyIdentifier |Идентификатор ключа владельца сертификата| +-----------------------+-----------------------------------------| |ExtendedKeyUsage |Допустимая (легитимная) область (области)| | |использования ключа техническими | | |протоколами и алгоритмами | +-----------------------+-----------------------------------------| |CertiflcatePolicies |Сведения об отношениях, при осуществлении| | |которых электронный документ с | | |электронной цифровой подписью будет иметь| | |юридическое значение | +-----------------------+-----------------------------------------| |CRLDistributionPoint |Точка распространения списка | | |аннулированных (отозванных) сертификатов | | |открытых ключей, изданных УЦ | +-----------------------+-----------------------------------------| |KeyUsage |Назначение ключа | +-----------------------+-----------------------------------------| |FreshestCRL |Точка распространения обновлений к | | |регулярному списку аннулированных | | |(отозванных) сертификатов открытых | | |ключей, изданных УЦ (в соответствии с | | |RFC 5280 используется для прикладных | | |систем, в которых оперативная реакция на | | |изменения статуса сертификата является | | |ключевым требованием) | +-----------------------------------------------------------------+ 4) обязательными атрибутами поля идентификационных данных уполномоченного лица удостоверяющего центра должны являться: +-----------------------------------------------------------------+ |Common Name или pseudonym|Фамилия, имя, отчество или псевдоним | +-------------------------+---------------------------------------| |SerialNumber |Серийный номер (в соответствии с RFC| | |5280 указывается для обеспечения| | |уникальности различимых имен владельцев| | |сертификатов ключа подписи) | +-------------------------+---------------------------------------| |Organization Unit |Наименование подразделения, сотрудником| | |которого является уполномоченное лицо| | |удостоверяющего центра | +-------------------------+---------------------------------------| |Email |Адрес электронной почты (в соответствии| | |с RFC 5280 возможна запись в| | |SubjectAltName) | +-------------------------+---------------------------------------| |Country |RU (Российская Федерация) | +-------------------------+---------------------------------------| |Location |Место регистрации организации,| | |являющейся владельцем УЦ | +-----------------------------------------------------------------+ 5) обязательными атрибутами поля идентификационных данных сертификата пользователя должны являться: +-----------------------------------------------------------------+ |Common Name или pseudonym|Фамилия, имя, отчество или псевдоним | +-------------------------+---------------------------------------| |SerialNumber |Серийный номер имени (в соответствии с| | |RFC 5280 указывается для обеспечения| | |уникальности различимых имен владельцев| | |сертификатов ключа подписи) | +-------------------------+---------------------------------------| |Organization Unit |Наименование подразделения | +-------------------------+---------------------------------------| |Email |Адрес электронной почты (в соответствии| | |с RFC 5280 возможна запись в| | |SubjectAltName) | +-------------------------+---------------------------------------| |Country |RU (Российская Федерация) | +-----------------------------------------------------------------+ 6) список отозванных сертификатов ключей подписи, который издает удостоверяющий центр, должен соответствовать формату Х.509 версии 2 с возможным использованием следующих дополнительных полей: +-----------------------------------------------------------------+ |Authority Key Identifier |Идентификатор ключа уполномоченного| | |лица удостоверяющего центра | +-------------------------+---------------------------------------| |Reason Code |Код причины отзыва сертификата| | |открытого ключа | +-------------------------+---------------------------------------| |SzOID_CERTSRV_CA_VERSION |Объектный идентификатор MS Certificate| | |Server, определяющий версию службы| | |сертификации MS CA только для УЦ,| | |построенных на базе MS Certificate| | |Server | +-----------------------------------------------------------------+ 12. Требования к объектным идентификаторам: в целях обеспечения унификации определения сведений об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение, удостоверяющие центры подсистемы УЦ ОГИЦ должны обеспечивать возможность формирования единых объектных идентификаторов в издаваемых ими сертификатах ключей подписи, учитывая ГОСТ Р ИСО/МЭК 8824-4-2003 "Информационная технология. Абстрактная синтаксическая нотация версии один (АСН.1)" и следующие рекомендации: для общероссийского государственного информационного центра корневым идентификатором является 1.2.643.7.2; для удостоверяющего центра УЦ ОГИЦ ПУ общероссийского государственного информационного центра корневым идентификатором является 1.2.643.7.2.1; для идентификации базовых политик, используемых в сертификатах удостоверяющих центров, корневым идентификатором является 1.2.643.7.2.1.1; для идентификации удостоверяющих центров второго уровня общероссийского государственного информационного центра (УЦ ОГИЦ ВУ) корневым идентификатором является 1.2.643.7.2.1.2; для идентификации сведений (политик применения) об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение, корневым идентификатором является 1.2.643.7.2.1.3. IV. Требования к унифицированным программно-техническим средствам 13. Требования к техническим средствам и помещениям: 1) требования к техническим средствам: а) размещение технических средств подсистемы УЦ ОГИЦ должно быть выполнено с учетом требований нормативных документов, определяющих порядок использования средств защиты информации в составе компонентов подсистемы УЦ ОГИЦ; б) технические средства УЦ ОГИЦ должны быть размещены в контролируемой зоне с выделением отдельных изолированных помещений; в) программно-аппаратные комплексы подсистемы УЦ ОГИЦ должны быть подключены к источникам бесперебойного питания; 2) требования к помещениям: а) входные двери помещений должны быть оборудованы электронной системой контроля доступа; б) помещения должны быть оборудованы охранно-пожарной и тревожной сигнализацией, средствами вентиляции и кондиционирования воздуха; в) в качестве оконечных устройств сигнализации должны использоваться датчики, не обладающие эффектом электроакустических преобразований. 14. Требования к электронным идентификационным элементам: 1) в качестве электронного идентификационного элемента пользователя подсистемы УЦ ОГИЦ должны использоваться электронные носители, реализующие функции персонального электронного идентификатора ОГИЦ; 2) в электронном идентификационном элементе должны быть реализованы: а) механизм выполнения арифметических операций в группе точек на эллиптических кривых; б) хранение и использование закрытого ключа ЭЦП, исключающие факт доступа посторонних лиц к нему или подозрение на такой доступ в принятой модели нарушителя, путем применения принципа разделения ключа на отдельные доли. 15. Требования к носителям ключевой информации: 1) в качестве носителя ключевой информации для пользователя подсистемы УЦ ОГИЦ должны использоваться носители, защищенные с использованием средств криптографической защиты информации; 2) в носителе ключевой информации должны быть реализованы: а) механизм выполнения операций в группе точек на эллиптических кривых; б) хранение и использование закрытого ключа ЭЦП, исключающие факт доступа посторонних лиц к нему или подозрение на такой доступ в принятой модели нарушителя, путем применения принципа разделения ключа на отдельные доли. 16. Требования к основным техническим характеристикам. Заданные функции подсистемы УЦ ОГИЦ должны быть реализованы ее техническими средствами с следующими количественными характеристиками по работоспособности, производительности и надежности: 1) подсистема УЦ ОГИЦ должна обеспечивать выполнение целевых функций круглосуточно в течение всего года, используя необходимые организационно-технические мероприятия, в частности, резервирование и внеплановую замену аппаратных компонентов, резервирование баз данных подсистемы; 2) производительность подсистемы УЦ ОГИЦ должна характеризоваться следующими данными: а) программно-аппаратный комплекс, реализующий функции УЦ ОГИЦ ПУ, должен обеспечивать возможность: формирования до 360 сертификатов ключей подписей в сутки; ведения архива сертификатов не менее чем на 2 000 000 СКП; б) программно-аппаратный комплекс, реализующий функции УЦ ОГИЦ ВУ, должен обеспечивать возможность: формирования до 360 СКП пользователей УЦ на каждом автоматизированном рабочем месте в сутки; ведения архива сертификатов не менее чем на 2 000 000 СКП; в) программно-аппаратный комплекс, реализующий функции подсистемы ведения реестра(ов), должен обеспечивать возможность: размещения информации не менее чем на 20 000 СКП уполномоченных лиц удостоверяющих центров; ведения архива не менее чем на 150 000 аннулированных СКП уполномоченных лиц удостоверяющих центров; размещения информации не менее чем на 20 000 СКП уполномоченных лиц федеральных органов исполнительной власти; ведения архива не менее чем на 150 000 аннулированных СКП уполномоченных лиц федеральных органов исполнительной власти; размещения информации не менее чем на 5000 СКП уполномоченных лиц информационных систем, взаимодействующих с ОГИЦ; ведения архива не менее чем на 10 000 аннулированных СКП уполномоченных лиц информационных систем, взаимодействующих с ОГИЦ; размещения информации не менее чем на 10 000 записей об удостоверяющих центрах, взаимодействующих с УЦ ОГИЦ, включая записи о текущем статусе взаимодействия с подсистемой УЦ ОГИЦ; размещения информации не менее чем на 10 000 записей о сервисах и услугах, предоставляемых подсистемой УЦ ОГИЦ и взаимодействующими с ней удостоверяющими центрами и информационными системами, включая текущий статус; размещения информации не менее чем на 10 000 записей об объектных идентификаторах, используемых в ОГИЦ; 3) программно-аппаратный комплекс, реализующий функции узла, используемого для оказания государственных услуг в электронном виде при трансграничном (междоменном и международном) взаимодействии, должен обеспечивать возможность: проверки действительности (подлинности) ЭЦП в электронном документе при трансграничном электронном документообороте и формирования квитанции от текущей даты проверки (метки времени) не менее чем на 1000 документах в сутки; проверки действительности (подлинности) ЭЦП в документе при электронном документообороте между различными доменами внутри Российской Федерации не менее чем на 10 000 документах в сутки; проверки действительности (подлинности) СКП, изготовленного иным удостоверяющим центром, не менее чем на 10 000 документах в сутки; 4) программно-аппаратный комплекс, реализующий функции узла, используемого для реализации сервисов в соответствии с перечнем сервисов, содержащихся в подсистеме ведения реестров, должен обеспечивать возможность: определения актуального статуса сертификата ключа подписи в режиме реального времени - не менее 50 000 сертификатов в сутки (цифра должна определяться для конкретной системы); формирования штампов времени для не менее 50 000 сертификатов в сутки (цифра должна определяться для конкретной системы); разбора не менее 10 ситуаций в сутки по подтверждению подлинности ЭЦП уполномоченных лиц в выданных СКП; 5) программно-аппаратный комплекс, реализующий функции автоматизированного рабочего места УЦ ОГИЦ, должен обеспечивать возможность регистрации пользователя и выдачи сертификатов для не менее 100 сертификатов в сутки; 6) носители ключевой информации и электронные идентификационные элементы должны обеспечивать: устойчивость к воздействию отказов и сбоев, в том числе инициированных внешними воздействиями (облучениями); эргономические и технические характеристики, пригодные для массового производства и использования. 17. Требования по информационной безопасности: 1) средства криптографической защиты информации (включая средства ЭЦП), используемые в подсистеме УЦ ОГИЦ, должны быть сертифицированы и эксплуатироваться в полном соответствии с требованиями эксплуатационной и нормативной документации; 2) уровень защиты используемых средств криптографической информации должен быть указан в эксплуатационной документации УЦ; 3) требования по полномочиям: для выполнения функций УЦ ОГИЦ должно использоваться разграничение членов группы администраторов по полномочиям; 4) требования к управлению доступом: при выполнении функций в подсистеме УЦ ОГИЦ должно использоваться управление доступом к таким объектам, как базы данных, ключи; 5) требования к идентификации и аутентификации: идентификация и аутентификация должны включать в себя распознавание пользователя, члена группы администраторов или процесса и проверку их подлинности; для аутентификации членов группы администраторов при их обращении к средствам вычислительной техники, входящим в состав подсистемы УЦ ОГИЦ, должны использоваться персональные идентификационные элементы и/или периодически изменяющийся пароль; регистрация владельца сертификата должна осуществляться только при предъявлении им документов, удостоверяющих личность; в подсистеме УЦ ОГИЦ должен быть реализован механизм аутентификации удаленных пользователей, а также процессов при их обращении к техническим средствам подсистемы УЦ ОГИЦ; в подсистеме УЦ ОГИЦ должен быть реализован механизм аутентификации локальных пользователей, имеющих доступ к техническим средствам, входящим в состав подсистемы УЦ ОГИЦ, но не входящих в состав группы администраторов. 18. Требования к программному обеспечению подсистемы УЦ ОГИЦ: программное обеспечение вычислительных средств, на котором функционирует подсистема УЦ ОГИЦ, не должно содержать средств отладки программ, позволяющих модифицировать или искажать штатные алгоритмы работы технических средств подсистемы УЦ ОГИЦ. 19. Требования к аппаратным компонентам подсистемы УЦ ОГИЦ: аппаратные средства, на которых реализуются компоненты подсистемы УЦ ОГИЦ, должны иметь соответствующие сертификаты качества. 20. Требования к надежности: надежность подсистемы УЦ ОГИЦ должна обеспечиваться: наличием в УЦ ОГИЦ механизмов резервного копирования баз данных (включая все реестры); использованием источников бесперебойного питания, обеспечивающих поддержание работоспособности в течение 1 часа; использованием комплектующих, которые имеют повышенную наработку на отказ; восстановлением работоспособности в течение времени, не превышающего одного часа после отказа. 21. Требования к целостности технических средств: в подсистеме УЦ ОГИЦ должны быть реализованы механизм контроля несанкционированного случайного и/или преднамеренного искажения (изменения, модификации) и/или разрушения информации, программных и аппаратных компонентов подсистемы УЦ ОГИЦ, механизм контроля целостности и восстановления целостности технических средств подсистемы УЦ ОГИЦ. 22. Требования к ключевой информации: закрытый ключ, используемый для подписи СКП и списка отозванных сертификатов, должен использоваться только для этих целей и храниться на отчуждаемом носителе; должны быть определены порядок формирования ключевой информации, порядок ее уничтожения, сроки действия всех ключей, описание формируемой и/или хранимой в подсистеме УЦ ОГИЦ ключевой информации. 23. Требования к регистрации событий: в подсистеме УЦ ОГИЦ должен быть реализован механизм, производящий регистрацию событий в журнале, связанных с выполнением подсистемой УЦ ОГИЦ своих целевых функций. 24. Требования к резервному копированию и восстановлению: в подсистеме УЦ ОГИЦ должен быть реализован механизм резервного копирования и восстановления УЦ ОГИЦ; должна быть исключена возможность резервного копирования закрытых ключей. 25. Требования по реализации организационно-технических мер обеспечения информационной безопасности: необходимость наличия лицензий на деятельность по техническому обслуживанию шифровальных (криптографических) средств, а также их распространению в соответствии с законодательством Российской Федерации; необходимость применения сертифицированных технических и программных средств защиты информации; необходимость ограничения прав доступа к техническим средствам; необходимость опечатывания системных блоков и дверей защищенных шкафов, исключающего возможность несанкционированного изменения аппаратной части (целостность технических средств); необходимость контроля целостности технических средств и легальности установленных копий программного обеспечения на всех компонентах подсистемы УЦ ОГИЦ. 26. Требования к порядку эксплуатации: в процессе эксплуатации подсистемы УЦ ОГИЦ необходимо обеспечивать поддержание штатного режима работы ее программно-технических средств (далее - ПТС) при условии обязательного выполнения мероприятий, направленных на обеспечение информационной безопасности подсистемы УЦ ОГИЦ; ответственность за проведение эксплуатационных мероприятий возлагается на обслуживающий персонал и администраторов подсистемы УЦ ОГИЦ. 27. Требования к проведению профилактических работ: профилактические мероприятия, выполняемые в процессе эксплуатации подсистемы УЦ ОГИЦ, должны охватывать общесистемное программное обеспечение, аппаратные средства, межсетевые экраны. 28. Требования к резервному копированию данных: при определении данных для архивного хранения и процедур ведения архивов должна быть учтена возможность восстановления рабочего состояния подсистемы ОГИЦ в целом и в отдельности УЦ ПУ ОГИЦ и УЦ ВУ ОГИЦ; порядок проведения работ по архивированию данных, их периодичность и состав должны определяться регламентом УЦ; администратор аудита должен регулярно осуществлять архивное копирование журналов аудита на внешние носители информации; данные архивные копии должны храниться в подсистеме УЦ ОГИЦ не менее срока действия закрытого ключа УЦ ПУ ОГИЦ. 29. Требования к документированию: в подсистеме УЦ ОГИЦ должны применяться унифицированные порядок и правила документирования информации, операций и процессов в соответствии с ГОСТ Р ИСО 15489-1 - 2007 "Управление документами. Общие требования". 30. Требования к обеспечению безопасности при модернизации программно-технических средств: модернизация, а также изменение настроек программно-аппаратных средств подсистемы УЦ ОГИЦ должны осуществляться в соответствии с процедурой, определенной регламентом и внутренними инструкциями подсистемы УЦ ОГИЦ; все работы по модернизации и изменению настроек компонентов подсистемы УЦ ОГИЦ должны согласовываться с уполномоченным органом в области использования ЭЦП в соответствии с определенным им порядком. 31. Требования к обеспечению качества услуг, предоставляемых подсистемой УЦ ОГИЦ: для обеспечения качества услуг, предоставляемых подсистемой УЦ ОГИЦ, должен проводиться постоянный контроль качества в соответствии с правилами и процедурами, определенными ГОСТ Р ИСО 9001-2000 "Сист ема менеджмента качества" и внутренними инструкциями подсистемы УЦ ОГИЦ. V. Требования к информационному взаимодействию 32. Взаимодействие удостоверяющих центров или информационных систем (далее - присоединение) с подсистемой УЦ ОГИЦ при создании единого пространства ЭЦП для унифицированного оказания государственных услуг в электронном виде и обеспечения межведомственного информационного взаимодействия на территории Российской Федерации в рамках подсистемы УЦ ОГИЦ должно осуществляться на добровольных началах. 33. Техническая реализация присоединения удостоверяющих центров или информационных систем к подсистеме УЦ ОГИЦ должна осуществляться путем включения сертификата ключа подписи уполномоченного лица в подсистему ведения реестров, в реестр доверенных УЦ или в реестр доверенных информационных систем. 34. При присоединении УЦ должно быть обеспечено выполнение следующих требований: 1) УЦ должен иметь действительные на протяжении всего срока взаимодействия с подсистемой УЦ ОГИЦ лицензии на следующие виды деятельности: распространение шифровальных (криптографических) средств; техническое обслуживание шифровальных (криптографических) средств; предоставление услуг в области шифрования информации; 2) УЦ должен: на протяжении всего срока взаимодействия с подсистемой УЦ ОГИЦ следовать единой технологической политике в рамках подсистемы УЦ ОГИЦ; использовать сертифицированные средства криптографической защиты информации (средства ЭЦП); использовать источник фиксированного времени от источника времени ОГИЦ для синхронизации функционирования служб и автоматизированных процессов; применять критерии оценки качества предоставляемых услуг, используемые в подсистеме УЦ ОГИЦ; использовать электронные идентификационные элементы, принятые к использованию в подсистеме УЦ ОГИЦ; выдавать СКП для унифицированного оказания государственных услуг в электронном виде, структура которых должна соответствовать структуре сертификатов ключа подписи УЦ ОГИЦ; в части условий и порядка оказания услуг пользователям в рамках унифицированного оказания государственных услуг в электронном виде должен нести обязательства и ответственность перед пользователями, не противоречащие принятым в подсистеме УЦ ОГИЦ; представить до начала использования ЭЦП уполномоченного лица УЦ в уполномоченный федеральный орган исполнительной власти СКП уполномоченного лица УЦ в форме электронного документа, а также этот сертификат в форме документа на бумажном носителе с собственноручной подписью указанного уполномоченного лица, заверенный подписью руководителя и печатью УЦ; обеспечить проведение мероприятий, гарантирующих, соответствие установленным требованиям. ____________ Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|