Расширенный поиск

Постановление Правительства Оренбургской области от 24.11.2017 № 833-п

формировании ключей ЭП в программе VipNet «Центр регистрации», создание запросов на создание сертификатов ключа ЭП в программе ViPNet «Удостоверяющий и ключевой центр»;

создании и отзыве сертификатов по запросам программы VipNet «Центр регистрации».

101. Все рабочие места сотрудников УЦ, на которых установлены программы ViPNet «Администратор» (ViPNet «Центр управления сетью», ViPNet «Удостоверяющий и ключевой центр», ViPNet «Центр регистрации», ViPNet «Сервис публикации»), оснащены программно-аппаратными комплексами защиты от несанкционированного доступа согласно паспорту автоматизированного рабочего места. Доступ системных администраторов общесистемного программного обеспечения серверов для выполнения регламентных работ осуществляется в присутствии администратора УЦ.

102. Аутентификация администратора УЦ предусматривает:

аутентификацию пользователя компьютера и операционной системы с использованием устройств аутентификации к аппаратным средствам защиты от несанкционированного доступа;

аутентификацию пользователя программы ViPNet «Клиент» (или CSP) на узле ViPNet, зарегистрированном в прикладных задачах, отвечающих за роли администратора (в программах ViPNet «Центр регистрации», ViPNet «Центр управления сетью», ViPNet «Удостоверяющий и ключевой центр» или ViPNet «Сервис публикации»);

аутентификацию пользователя программ ViPNet, соответствующего выполняемой роли администратора УЦ.

103. В перечень объектов доступа, предоставляемых администратору УЦ при взаимодействии с программно-аппаратными средствами УЦ, входят:

устройства аутентификации к аппаратным средствам защиты от несанкционированного доступа («электронный замок») с правами администратора УЦ;

учетные записи и пароли пользователей операционной системы на подконтрольных технических средствах с правами, необходимыми для выполнения своих обязанностей;

ключевая информация пользователя программы ViPNet «Клиент» (или CSP) для аутентификации на подконтрольных компьютерах;

пароли администратора сетевых узлов ViPNet для аутентификации с правами администратора УЦ на подконтрольных компьютерах;

журналы аудита операционной системы и программно-аппаратных средств УЦ и их настройки на подконтрольных технических средствах;

программа ViPNet «Администратор» (программы ViPNet «Центр управление сетью») или программа ViPNet «Центр регистрации» в зависимости от полномочий;

журналы аудита программного обеспечение ViPNet;

программа ViPNet «Администратор», аутентификационная информация администратора программы ViPNet «Удостоверяющий и ключевой центр»;

секретный ключ ЭП уполномоченного лица УЦ для администраторов, выполняющих данную роль;

журналы аудита программы ViPNet «Администратор».

104. Контролю целостности подлежат следующие компоненты программного обеспечения, эксплуатируемого УЦ:

программное обеспечение средств ЭП и криптографической защиты информации;

программа ViPNet «Администратор»;

программа ViPNet «Центр регистрации»;

программа ViPNet «Сервис публикации».

Состав программ и справочно-ключевой информации, подлежащих контролю целостности, определяется документацией программного обеспечения ViPNet «Правила пользования» ФРКЕ:00106-03 99 01 ПП, «Правила пользования» ФРКЕ:00109-07 99 01 ПП, «Правила пользования» ФРКЕ.00116-03 99 01 ПП.

Система контроля целостности основывается на аппаратном контроле целостности общесистемного программного обеспечения до загрузки операционной системы.

Данная система обеспечивается использованием сертифицированного устройства типа «электронный замок».

Программная составляющая системы контроля целостности осуществляет проверку контрольных сумм, подлежащих контролю программ и справочно-ключевой информации, при каждом запуске программ или в процессе работы по требованию администратора УЦ.

Контроль целостности программного обеспечения средств ЭП и криптографической защиты информации, а также справочно-ключевой информации УЦ осуществляется средствами ЭП и криптографической защиты информации.

Периодичность выполнения мероприятий по контролю целостности – при каждом перезапуске программного обеспечения УЦ, но не реже одного раза в сутки.

Ответственность за выполнение мероприятий по контролю целостности программных средств возлагается на группу администраторов безопасности УЦ.

105. Контролю целостности подлежат средства просмотра, файлы конфигурации и данных журналов (содержимое подкаталогов log каталогов установки программных средств УЦ).

Компоненты подсистемы ведения журналов, не изменяющиеся в процессе работы программного обеспечения, подлежат контролю целостности с использованием устройств типа «электронный замок».

Программная составляющая подсистемы контроля целостности осуществляет проверку контрольных сумм файлов конфигурации и данных журналов при каждом запуске программного обеспечения и при каждом вызове функций просмотра или настроек журнала событий. При обнаружении искажений журналов факт обнаружения фиксируется в служебном журнале, доступ к программному обеспечению возможен только с правами администратора УЦ.

Настройки операционной системы должны предоставлять права на доступ к подкаталогам log в каталогах установки программных компонент УЦ только для пользователей, обеспечивающих эксплуатацию данной компоненты программного обеспечения.

Периодичность выполнения мероприятий по контролю целостности – при каждом перезапуске программного обеспечения УЦ, но не реже чем раз в сутки.

Ответственность за выполнение мероприятий по контролю целостности журналов возлагается на группу администраторов безопасности и аудита УЦ.

106. Контроль целостности технических средств УЦ обеспечивается опечатыванием корпусов устройств, препятствующих их неконтролируемому вскрытию.

Опечатывание устройств выполняется перед вводом технических средств в эксплуатацию и после выполнения регламентных работ.

Контроль целостности технических средств УЦ осуществляется в начале каждой рабочей смены.

Ответственность за выполнение мероприятий по контролю целостности технических средств УЦ возлагается на администратора УЦ.

107. Защита конфиденциальной информации, передаваемой между программно-техническими средствами обеспечения деятельности УЦ и программными средствами, предоставляемыми УЦ пользователям УЦ в процессе обмена документами в электронной форме, осуществляется путем шифрования информации с использованием шифровальных (криптографических) средств, сертифицированных в соответствии с законодательством Российской Федерации.

В качестве шифровальных (криптографических) средств, используемых для защиты конфиденциальной информации пользователями УЦ, используется программа ViPNet «Клиент».

Требуемый уровень безопасности (класс 1В) обеспечивается использованием программного обеспечения ViPNet, сертифицированного Федеральной службой по техническому и экспортному контролю Российской Федерации и Федеральной службой безопасности Российской Федерации.

108. Поступающая в УЦ информация:

запросы на создание сертификата;

запросы на отзыв, приостановление и возобновление сертификатов;

заявления на аннулирование (отзыв), приостановление и возобновление действия сертификата в электронной форме;

списки сертификатов уполномоченного лица других УЦ.

109. Передаваемая из УЦ информация:

бланки копий сертификатов для вывода на бумажный носитель;

списки сертификатов уполномоченного лица;

списки сертификатов пользователей УЦ и их статусы;

список запросов на сертификаты пользователей УЦ и их статус;

список запросов на аннулирование (отзыв), приостановление и возобновление действия сертификатов пользователей УЦ и их статус.

110. Уполномоченное лицо УЦ должно иметь высшее профессиональное образование и профессиональную подготовку в области информационной безопасности.

Сотрудники УЦ должны иметь высшее профессиональное образование или пройти курсы повышения квалификации в области информационной безопасности.

Профессиональная переподготовка персонала УЦ не осуществляется.

111. Доступ сотрудников УЦ к документальному фонду организации организован в соответствии с их должностными инструкциями и функциональными обязанностями.

112. УЦ должен иметь разрешения (лицензии) на все виды деятельности, связанные с предоставлением услуг, указанных в разделе III настоящего Регламента.

Системы безопасности УЦ и защиты информации УЦ создаются и поддерживаются совместно с юридическими лицами, осуществляющими свою деятельность на основании лицензий, полученных в соответствии с законодательством Российской Федерации на договорной основе.

Все меры по защите информации в УЦ должны применяться в соответствии с приказами руководителя УЦ.

Для обеспечения своей деятельности УЦ должен использовать средства ЭП и криптографической защиты информации, сертифицированные в соответствии с законодательством Российской Федерации.

Исключительные имущественные права на информационные ресурсы УЦ находятся в собственности УЦ.

Пользователям УЦ предоставляются неисключительные имущественные права на копии сертификатов и списков отозванных сертификатов, создаваемые УЦ соответствии с настоящим Регламентом.

Приложение № 1
к регламенту работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

Структуры записей аудита

1. Структура записи аудита программного обеспечения удостоверяющего и ключевого центра

Поле

Описание

Тип события

информация, предупреждение, ошибка

Время события (по Гринвичу, UTC)

дата и время, когда произошло событие

Источник события

имя источника события

Идентификатор события

идентификатор события

Сообщение

детализирующая информация

2. Структура записи события по степени детализации информации

Уровень детализации

Событие

Поле

Минимальный

вход администратора

дата, идентификатор, имя

завершение работы

дата, код завершения

зарегистрирован новый администратор

дата, идентификатор, имя

создан мастер-ключ своей сети

дата, тип ключа: основной, персональный ключ, ключ защиты

создан сертификат администратора

дата, серийный номер, имя сертификата владельца, тип объекта: корневой сертификат, запрос PKCS#10 к внешнему удостоверяющему центру

Средний

создан сертификат абонента

дата, серийный номер, имя сертификата владельца, основание для создания: запрос центра регистрации, запрос абонента на обновление сертификата, формирование ключевой дискеты абонента

принят запрос на сертификат абонента

дата, серийный номер, имя сертификата объекта, основания: запрос центра регистрации, запрос абонента на обновление сертификата

отклонен запрос на создание сертификата

дата, серийный номер, имя сертификата администратора

принят запрос на отзыв сертификата

дата, серийный номер запроса, имя сертификата издателя запроса, серийный номер сертификата, основания для отзыва, приостановления, возобновления

отклонен запрос на отзыв сертификата

дата, серийный номер запроса, имя сертификата издателя запро-са, серийный номер сертификата

создан список отозванных сертификатов

дата, серийный номер списка отозванных сертификатов, имя сертификата издателя списка отозванных сертификатов, основание: инициатива администратора, запрос на отзыв

Максимальный

создана ключевая дискета абонента

дата, идентификатор, тип генерации: индивидуальная, автоматическая, компрометация, код завершения операции

создан ключевой набор сетевого узла

дата, идентификатор, тип ключевого набора (полный, обновление), тип генерации: индивидуальная, автоматическая, компрометация, код завершения операции

создан межсетевой мастер-ключ

дата, тип ключа, номер сети, серийный номер ключа, код завершения операции

импортирован межсетевой мастер-ключ

дата, тип ключа, номер сети, серийный номер ключа, код завершения операции

импортирован сертификат администратора смежной сети

дата, серийный номер, имя сертификата владельца, код завершения операции

импортирован список отозванных сертификатов смежной сети

дата, серийный номер, имя сертификата издателя, код завершения операции

экспортирован ключевой набор

дата, идентификатор, тип набора (ключевая дискета; ключевой набор; дистрибутив, резервный набор персональных ключей, код завершения операции)

3. Структура записи аудита программы ViPNet «Клиент», «Координатор» (события IP-трафика, проходящего через компьютер)

Поле

Описание

Начало интервала

дата и время создания новой записи при регистрации пакета с определенными характеристиками

Конец интервала

дата и время последней регистрации IP-пакета с данной характеристикой

IP-адрес

значение IP-адреса, с которого (по которому) произошло обращение

Имя адресата

имя адресата, от которого (к которому) произошло обращение

Местный порт

номер местного порта

Внешний порт

номер внешнего порта

Протокол

протокол обмена, по которому происходил обмен IP-пакетами

Событие

событие, присвоенное записи

Счетчик

количество IP-пакетов с одинаковой характеристикой в заданный интервал времени

Атрибуты

исходящий пакет, входящий пакет, зашифрованный пакет, открытый пакет, широковещательный пакет, обычный пакет

4. Дополнительная информация в структуре записи события

Поле

Значение

Направление

входящий, исходящий

Крипто-признак

зашифрованный, открытый

Широковещательный признак

широковещательный, обычный

Начало интервала

дата и время создания новой записи при регистрации пакета с данной характеристикой

Конец интервала

дата и время последней регистрации IP-пакета с данной характеристикой

Местный IP-адрес

значение местного IP-адреса

Внешний IP-адрес

значение внешнего IP-адреса

Идентификатор местного абонентского пункта

идентификатор местного абонентского пункта

Идентификатор внешнего абонентского пункта

идентификатор внешнего абонентского пункта

Имя адресата

имя адресата, от которого (к которому) поступило обращение

Местный порт

номер местного порта

Внешний порт

номер внешнего порта

Протокол

протокол обмена, по которому происходил обмен IP-пакетами

Ethernet-протокол

Событие

событие, присвоенное записи

Счетчик

количество IP-пакетов с данной характеристикой в заданный интервал времени

Сетевой адаптер

имя сетевого адаптера, с которого (на который) отправлен (поступил) пакет

Номера ключей

номера асимметричных ключей

5. Регистрация действий пользователей и администратора, произведенных в программе «Монитор»

Поле

Описание

Дата и время

дата и время, когда произошло данное событие

Имя пользователя

имя пользователя, производившего действие

Событие

название события

Режим

номер установленного режима безопасности программы

Сетевой интерфейс

IP-адрес сетевого интерфейса, для которого производились регистрируемые действия (только для ViPNet «Координатора»)

6. Регистрация событий, связанных с проявлением сетевой активности приложений, работающих на компьютере

Поле

Описание

Начало интервала

дата и время первой регистрации события данного типа

Конец интервала

дата и время последней регистрации события данного типа

Исполняемый файл

полный путь к исполняемому приложению

Событие

описание произошедшего события

Местный адрес

значение местного IP-адреса, от которого произошло обращение

Местный порт

номер местного порта, от которого произошло обращение

Удаленный адрес

IP-адрес, к которому произошло обращение

Удаленный порт

номер внешнего порта, к которому произошло обращение

Протокол

название протокола обмена, по которому происходил обмен IP-пакетами

Код

номер события

Счетчик

количество запросов, производимых приложением

Приложение № 2
к регламенту работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

В удостоверяющий центр государственного казенного учреждения «Центр информационных технологий»

Заявление

на создание ключа электронной подписи

__________________________________________________________________,

(полное наименование организации согласно ЕГРЮЛ)

в лице____________________________________________________________,

(наименование должности согласно ЕГРЮЛ, фамилия, имя, отчество)

действующего на основании _____________, просит создать закрытый и открытый ключ электронной подписи и создать сертификат ключа электронной подписи уполномоченного(ых) представителя(ей) в соответствии с указанными в настоящем заявлении данными, передать в единую систему идентификации и аутентификации сведения о лице(ах), получившем(их) квалифицированный сертификат.

Подпись каждого из заявителей свидетельствует об обязательстве выполнения положений регламента работы удостоверяющего центра ГКУ «ЦИТ» со дня поступления настоящего заявления в ГКУ «ЦИТ».

№ п/п

Фамилия, имя, отчество,

пол,

дата,

место рождения

Наиме-нование

должности

Серия, номер документа, удостоверяющего личность,

код подразделения,

дата выдачи

Наименование подразделения организации

Адрес электронной почты,

номер мобильного телефона

ИНН,

ОГРН,

СНИЛС

Под-

пись

Юридический адрес организации согласно ЕГРЮЛ _____________________

Наименование должности руководителя согласно ЕГРЮЛ

(подпись)

(инициалы, фамилия)

«____» ______________ 20___ г.

М.П.

(при наличии)

Примечание. Номер мобильного телефона заполняется по желанию заявителя и необходим для его регистрации в единой системе идентификации и аутентификации.

Приложение № 3

к регламенту работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

В удостоверяющий центр государственного казенного учреждения «Центр информационных технологий»

Заявление

на создание ключа электронной подписи

Я, ___________________________________________________________

__________________________________________________________________,

(фамилия, имя, отчество)

прошу создать закрытый и открытый ключи электронной подписи, сертификат ключа электронной подписи в соответствии с указанными в настоящем заявлении данными, передать в единую систему идентификации и аутентификации сведения о лице, получившем квалифицированный сертификат ключа электронной подписи.

Своей подпись свидетельствую об обязательстве выполнения положений регламента работы удостоверяющего центра ГКУ «ЦИТ» со дня поступления настоящего заявления в ГКУ «ЦИТ».

Фамилия, имя, отчество,

пол,

дата,

место рождения

Серия, номер документа, удостоверяющего личность,

код подразделения,

дата выдачи

Адрес электронной почты,

номер мобильного телефона

ИНН,

СНИЛС

Подпись

_____________________ ______________________________

(подпись) (инициалы, фамилия)

«____» ______________ 20___ г.

Приложение № 4
к регламенту работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

В удостоверяющий центр государственного казенного учреждения «Центр информационных технологий»

Заявление

на аннулирование (отзыв) сертификата ключа электронной подписи

__________________________________________________________________,

(полное наименование организации согласно ЕГРЮЛ)

в лице ____________________________________________________________,

(наименование должности согласно ЕГРЮЛ, фамилия, имя, отчество)

действующего на основании _________________________________, в связи с

__________________________________________________________________

(причина отзыва сертификата (некорректные данные сертификата, увольнение, другое)

просит аннулировать (отозвать) сертификат ключа электронной подписи своего уполномоченного представителя:

Серийный номер

(32 символа)

Фамилия, имя, отчество

Дата создания сертификата электронной подписи

ИНН

ОГРН

СНИЛС

Наименование должности руководителя согласно ЕГРЮЛ

(подпись)

(инициалы, фамилия)

«____» ______________ 20___ г.

М.П.

(при наличии)

Приложение № 5
к регламенту работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

В удостоверяющий центр государственного казенного учреждения «Центр информационных технологий»

Заявление

на аннулирование (отзыв) сертификата ключа электронной подписи

Я, __________________________________________________________,

(фамилия, имя, отчество)

в связи с __________________________________________________________

(причина отзыва сертификата)

прошу аннулировать (отозвать) сертификат ключа электронной подписи, содержащий следующие данные:

Серийный номер

(32 символа)

Фамилия, имя, отчество

Дата создания сертификата электронной подписи

ИНН

СНИЛС

_______________________ _____________________________

(подпись) (инициалы, фамилия)

«____» ______________ 20___ г.

Приложение № 6
к регламенту работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

В удостоверяющий центр государственного казенного учреждения «Центр информационных технологий»

Заявление

на приостановление действия сертификата ключа электронной подписи

__________________________________________________________________,

1 2 3 4