Основные принципы формирования системы удостоверяющих центров

         

Предварительный перечень лицензионных требований (рекомендаций) к УЦ


1. Объекты, используемые удостоверяющими центрами должны принадлежать им на правах собственности, находиться в аренде, хозяйственном ведении или оперативном управлении.

2. Помещения должны соответствовать по производственной площади, состоянию и обеспечиваемым в них условиям требованиям технической и технологической документации на средства электронной цифровой подписи, другого оборудования, размещаемого в них и используемого для осуществления деятельности, и требованиям по размещению средств электронной цифровой подписи.

3. Технологическое, испытательное и контрольно-измерительное оборудование должно обеспечивать выполнение всего цикла работ удостоверяющего центра.

4. Технические средства удостоверяющих центров должны обеспечивать механизм (процедуру) контроля несанкционированного случайного и/или преднамеренного искажения (изменения, модификации) и/или разрушения информации, программных и аппаратных компонентов удостоверяющих центров.

Технические средства удостоверяющих центров должны обеспечивать управление доступом субъектов к различным объектам и/или целевым функциям удостоверяющего центра на основе идентификации субъектов и их ролевого разграничения.

Вероятность необнаружения несанкционированного искажения (изменения, модификации) и/или разрушения объектов контроля при однократной процедуре контроля устанавливается компетентным органом исполнительной власти.

Технические средства удостоверяющих центров должны обеспечивать резервное копирование и восстановление информации на случай повреждения системы.

Используемые средства обработки информации, должны быть аттестованы в соответствии с требованиями по защите информации.

5. Режим конфиденциальности при обращении со сведениями, которые доверены или стали известны удостоверяющему центру по работе, должен обеспечивать:

ограничение круга лиц, допущенных к конфиденциальной информации;

порядок контролируемого допуска лиц к работам, связанным с конфиденциальной информацией;

ролевое разграничение пользователей;






идентификацию и аутентификацию пользователей удостоверяющего центра с использованием механизма аутентификации средств криптографической защиты информации, используемых в удостоверяющем центре;

разграничение доступа субъектов к различным объектам и/или целевым функциям удостоверяющего центра на основе идентификации субъектов и их ролевого разграничения.

безопасность хранения, обработки и передачи по каналам связи конфиденциальной информации.

6. Наличие условий, предотвращающих несанкционированный доступ к средствам электронной цифровой подписи.

Для защиты технических средств удостоверяющих центров от воздействия со стороны сетей передачи данных они должны быть защищены сетевыми экранами.

Системные блоки ЭВМ с инсталлированными средствами электронной цифровой подписи должны быть оборудованы средствами контроля их вскрытия.

Хранение средств электронной цифровой подписи, дистрибутивов, инсталляционных дискет, нормативной, эксплуатационной и ключевой документация к ним должны осуществляться в хранилищах (металлических шкафах, сейфах).

Специальное оборудование, охрана и режим в помещениях должны обеспечивать безопасность средств электронной цифровой подписи (при наличии факторов облегченного физического проникновения в эти помещения их окна оборудуются металлическими решетками, ставнями, охранной сигнализацией, входные двери - надежными замками и охранной сигнализацией).

7. Наличие условий для выполнения требований по обеспечению безопасности ключей электронной цифровой подписи и реестров сертификатов ключей подписи.

8. Средства криптографической защиты информации (СКЗИ), используемые при построении  удостоверяющих центров систем общего пользования, должны удовлетворять: "Требованиям к средствам криптографической защиты конфиденциальной информации".

В случаях, предусмотренных ПКЗ-99 для выполнения криптографических преобразований должны использоваться следующие алгоритмы:

алгоритм шифрования в соответствии с ГОСТ 28147-89;

алгоритм выработки имитовставки в соответствии с ГОСТ 28147-89;



алгоритм выработки хэш-функции в соответствии с ГОСТ Р 34.11 - 94;

алгоритм выработки и проверки ЭЦП в соответствии с ГОСТ Р 34.10 – 94, 2001.

При работе с сертификатами открытых ключей должны использоваться следующие международные стандарты и рекомендации:

Х.509 версии 3 для определения формата сертификата;

Х.500 для обозначения имени владельца сертификата и имени лица, выпустившего сертификат;

Х.509 (CRL) версии 2 для определения формата списка отозванных сертификатов.

9. Используемое программное обеспечение для ЭВМ и баз данных должно быть лицензионным; программное обеспечение собственной разработки должно быть оформлено и утверждено установленным порядком.

Операционные системы удостоверяющих центров не должны содержать в себе документированных и недокументированных средств (негативных функциональных возможностей), позволяющих лицам, не входящим в группу администраторов:

модифицировать или искажать алгоритм работы технических средств УЦ;

модифицировать или искажать информационные или управляющие потоки и процессы, порождаемые техническими средствами УЦ;

получать доступ (в том числе с помощью порождаемых процессов) к конфиденциальным данным, используемым УЦ.

10. Требования к изданию сертификатов.

Все выпускаемые удостоверяющим центром сертификаты должны соответствовать стандарту X.509. Все поля и дополнения, включаемые в сертификат, должны быть заполнены в соответствии с правилами X.509 или проверены УЦ для обеспечения соответствия стандарту X.509.

11. Требования к эксплуатации технических средств удостоверяющих центров.

Эксплуатация технических средств удостоверяющих центров должна осуществляться в соответствии с ПКЗ-99 и Инструкцией по организации и обеспечению безопасности хранения, обработки и передачи по техническим каналам связи конфиденциальной информации в Российской Федерации с использованием сертифицированных ФАПСИ криптографических средств.

Для обеспечения эксплуатации технических средств удостоверяющих центров должны быть разработаны и согласованы с ФАПСИ инструкции и правила по разбору конфликтных ситуаций, связанных с применением электронно-цифровой подписи и сертификатов ключей электронно-цифровой подписи.



12. Требование к персоналу:

- руководитель удостоверяющего центра и (или) лицо, уполномоченное им руководить конкретными работами удостоверяющего центра, должны иметь высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности с квалификацией "Специалист по защите информации" или "Математик"; руководитель удостоверяющего центра и (или) лицо, уполномоченное им руководить конкретными работами удостоверяющего центра, должен иметь производственный стаж по специальности не менее пяти лет;

- инженерно-технический персонал, осуществляющий конкретные работы удостоверяющего центра, должен иметь высшее профессиональное образование (профессиональную подготовку, переподготовку или пройти повышение квалификации) в области информационной безопасности с квалификацией "Специалист по защите информации", "Математик" и специализацией, соответствующей классу шифровальных (криптографических) средств, средств электронной цифровой подписи и (или) защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Гражданин не может быть принят на работу в удостоверяющий центр в случаях признания его недееспособным или ограниченно дееспособным вступившим в законную силу решением суда, либо наличия у него неснятой или непогашенной судимости за преступления в сфере экономической деятельности или за преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления.




Содержание раздела