Законодательная база Российской Федерации

ПРИКАЗ Минкомсвязи РФ от 23.03.2009 N 41 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ТЕХНОЛОГИЯМ, ФОРМАТАМ, ПРОТОКОЛАМ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ, УНИФИЦИРОВАННЫМ ПРОГРАММНО-ТЕХНИЧЕСКИМ СРЕДСТВАМ ПОДСИСТЕМЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО ИНФОРМАЦИОННОГО ЦЕНТРА"

13. Требования к техническим средствам и помещениям:

1) требования к техническим средствам:

а) размещение технических средств подсистемы УЦ ОГИЦ должно быть выполнено с учетом требований нормативных документов, определяющих порядок использования средств защиты информации в составе компонент подсистемы УЦ ОГИЦ;

б) технические средства УЦ ОГИЦ должны быть размещены в контролируемой зоне с выделением отдельных изолированных помещений;

в) программно-аппаратные комплексы подсистемы УЦ ОГИЦ должны быть подключены к источникам бесперебойного питания;

2) требования к помещениям:

а) входные двери помещений должны быть оборудованы электронной системой контроля доступа;

б) помещения должны быть оборудованы охранно-пожарной и тревожной сигнализацией, средствами вентиляции и кондиционирования воздуха;

в) в качестве оконечных устройств сигнализации должны использоваться датчики, не обладающие эффектом электроакустических преобразований.

14. Требования к электронным идентификационным элементам:

1) в качестве электронного идентификационного элемента пользователя подсистемы УЦ ОГИЦ должны использоваться электронные носители, реализующие функции персонального электронного идентификатора ОГИЦ;

2) в электронном идентификационном элементе должны быть реализованы:

а) механизм выполнения арифметических операций в группе точек на эллиптических кривых;

б) хранение и использование закрытого ключа ЭЦП, исключающие факт доступа посторонних лиц к нему, или подозрение на такой доступ, в принятой модели нарушителя, путем применения принципа разделения ключа на отдельные доли.

15. Требования к носителям ключевой информации:

1) в качестве носителя ключевой информации для пользователя подсистемы УЦ ОГИЦ должны использоваться носители, защищенные с использованием средств криптографической защиты информации;

2) в носителе ключевой информации должны быть реализованы:

а) механизм выполнения операций в группе точек на эллиптических кривых;

б) хранение и использование закрытого ключа ЭЦП, исключающие факт доступа посторонних лиц к нему, или подозрение на такой доступ, в принятой модели нарушителя, путем применения принципа разделения ключа на отдельные доли.

16. Требования к основным техническим характеристикам.

Заданные функции подсистемы УЦ ОГИЦ должны быть реализованы ее техническим средствам с следующими количественными характеристиками по работоспособности, производительности и надежности:

1) подсистема УЦ ОГИЦ должна обеспечивать выполнение целевых функций круглосуточно в течение всего года, используя необходимые организационно-технические мероприятия, в частности резервирование и внеплановую замену аппаратных компонентов, резервирование баз данных подсистемы;

2) производительность подсистемы УЦ ОГИЦ должна характеризоваться следующими данными:

а) программно-аппаратный комплекс, реализующий функции УЦ ОГИЦ ПУ, должен обеспечивать возможность:

формирования до 360 сертификатов ключей подписей в сутки;

ведения архива сертификатов не менее чем на 2 000 000 СКП;

б) программно-аппаратный комплекс, реализующий функции УЦ ОГИЦ ВУ, должен обеспечивать возможность:

формирования до 360 СКП пользователей УЦ на каждом автоматизированном рабочем месте в сутки;

ведения архива сертификатов не менее чем на 2 000 000 СКП;

в) программно-аппаратный комплекс, реализующий функции подсистемы ведения реестра(ов), должен обеспечивать возможность:

размещения информации не менее чем на 20 000 СКП уполномоченных лиц удостоверяющих центров;

ведение архива не менее чем на 150 000 аннулированных СКП уполномоченных лиц удостоверяющих центров;

размещения информации не менее чем на 20 000 СКП уполномоченных лиц федеральных органов исполнительной власти;

ведение архива не менее чем на 150 000 аннулированных СКП уполномоченных лиц федеральных органов исполнительной власти;

размещения информации не менее чем на 5 000 СКП уполномоченных лиц информационных систем, взаимодействующих с ОГИЦ;

ведение архива не менее чем на 10 000 аннулированных СКП уполномоченных лиц информационных систем, взаимодействующих с ОГИЦ;

размещения информации не менее чем на 10000 записей об удостоверяющих центрах, взаимодействующих с УЦ ОГИЦ, включая записи о текущем статусе взаимодействия с подсистемой УЦ ОГИЦ;

размещения информации не менее чем на 10000 записей о сервисах и услугах, предоставляемых подсистемой УЦ ОГИЦ и взаимодействующими с ней удостоверяющими центрами и информационными системами, включая текущий статус;

размещения информации не менее чем на 10000 записей об объектных идентификаторах, используемых в ОГИЦ;

3) программно-аппаратный комплекс, реализующий функции узла, используемого для оказания государственных услуг в электронном виде при трансграничном (междоменном и международном) взаимодействии, должен обеспечивать возможность:

проверки действительности (подлинности) ЭЦП в электронном документе при трансграничном электронном документообороте и формирование квитанции от текущей даты проверки (метки времени) не менее чем на 1000 документах в сутки;

проверки действительности (подлинности) ЭЦП в документе при электронном документообороте между различными доменами внутри Российской Федерации не менее чем на 10000 документах в сутки;

проверки действительности (подлинности) СКП, изготовленного иным удостоверяющим центром, не менее чем на 10000 документах в сутки;

4) Программно-аппаратный комплекс, реализующий функции узла, используемого для реализации сервисов в соответствии с перечнем сервисов, содержащихся в подсистеме ведения реестров, должен обеспечивать возможность:

определения актуального статуса сертификата ключа подписи в режиме реального времени - не менее 50000 сертификатов в сутки (цифра должна определяться для конкретной системы);

формирования штампов времени для не менее 50000 сертификатов в сутки (цифра должна определяться для конкретной системы);

разбора не менее 10 ситуаций в сутки по подтверждению подлинности ЭЦП уполномоченных лиц в выданных СКП;

5) программно-аппаратный комплекс, реализующий функции автоматизированного рабочего места УЦ ОГИЦ, должен обеспечивать возможность регистрации пользователя и выдачи сертификатов для не менее 100 сертификатов в сутки;

6) носители ключевой информации и электронные идентификационные элементы должны обеспечивать:

устойчивость к воздействию отказов и сбоев, в том числе инициированных внешними воздействиями (облучениями);

эргономические и технические характеристики, пригодные для массового производства и использования.

17. Требования по информационной безопасности:

1) средства криптографической защиты информации (включая средства ЭЦП), используемые в подсистеме УЦ ОГИЦ, должны быть сертифицированы и эксплуатироваться в полном соответствии с требованиями эксплуатационной и нормативной документации;

2) уровень защиты используемых средств криптографической информации должен быть указан в эксплуатационной документации УЦ;

3) требования по полномочиям:

Для выполнения функций УЦ ОГИЦ должно использоваться разграничение членов группы администраторов по полномочиям;

4) требования к управлению доступом:

при выполнении функций в подсистеме УЦ ОГИЦ должно использоваться управление доступом к таким объектам, как базы данных, ключи;

5) требования к идентификации и аутентификации:

идентификация и аутентификация должны включать в себя распознавание пользователя, члена группы администраторов или процесса и проверку их подлинности;

для аутентификации членов группы администраторов при их обращении к средствам вычислительной техники, входящим в состав подсистемы УЦ ОГИЦ, должны использоваться персональные идентификационные элементы и/или периодически изменяющийся пароль;

регистрация владельца сертификата должна осуществляться только при предъявлении им документов, удостоверяющих личность;

в подсистеме УЦ ОГИЦ должен быть реализован механизм аутентификации удаленных пользователей, а также процессов при их обращении к техническим средствам подсистемы УЦ ОГИЦ;

в подсистеме УЦ ОГИЦ должен быть реализован механизм аутентификации локальных пользователей, имеющих доступ к техническим средствам, входящим в состав подсистемы УЦ ОГИЦ, но не входящих в состав группы администраторов.

18. Требования к программному обеспечению подсистемы УЦ ОГИЦ:

программное обеспечение вычислительных средств, на котором функционирует подсистема УЦ ОГИЦ, не должно содержать средств отладки программ, позволяющих модифицировать или искажать штатные алгоритмы работы технических средств подсистемы УЦ ОГИЦ.

19. Требованиями к аппаратным компонентам подсистемы УЦ ОГИЦ:

аппаратные средства, на которых реализуются компоненты подсистемы УЦ ОГИЦ, должны иметь соответствующие сертификаты качества.

20. Требования к надежности:

надежность подсистемы УЦ ОГИЦ должна обеспечиваться:

наличием в УЦ ОГИЦ механизмов резервного копирования баз данных (включая все реестры);

использованием источников бесперебойного питания, обеспечивающим поддержание работоспособности в течение 1 часа;

использованием комплектующих, которые имеют повышенную наработку на отказ;

восстановлением работоспособности в течение времени, не превышающего одного часа после отказа.

21. Требования к целостности технических средств:

в подсистеме УЦ ОГИЦ должны быть реализованы механизм контроля несанкционированного случайного и/или преднамеренного искажения (изменения, модификации) и/или разрушения информации, программных и аппаратных компонентов подсистемы УЦ ОГИЦ, механизм контроля целостности и восстановления целостности технических средств подсистемы УЦ ОГИЦ.

22. Требования к ключевой информации:

закрытый ключ, используемый для подписи СКП и списка отозванных сертификатов, должен использоваться только для этих целей и храниться на отчуждаемом носителе;

должен быть определен порядок формирования ключевой информации, порядок ее уничтожения, сроки действия всех ключей, описание формируемой и/или хранимой в подсистеме УЦ ОГИЦ ключевой информации.

23. Требования к регистрации событий:

в подсистеме УЦ ОГИЦ должен быть реализован механизм, производящий регистрацию событий в журнале, связанных с выполнением подсистемой УЦ ОГИЦ своих целевых функций.

24. Требования к резервному копированию и восстановлению:

в подсистеме УЦ ОГИЦ должен быть реализован механизм резервного копирования и восстановления УЦ ОГИЦ;

должна быть исключена возможность резервного копирования закрытых ключей.

25. Требования по реализации организационно-технических мер обеспечения информационной безопасности:

необходимость наличия лицензий на деятельности по техническому обслуживанию шифровальных (криптографических) средств, а также их распространению в соответствии с законодательством Российской Федерации;

необходимость применения сертифицированных технических и программных средств защиты информации;

необходимость ограничения прав доступа к техническим средствам;

необходимость опечатывания системных блоков и дверей защищенных шкафов, исключающее возможность несанкционированного изменения аппаратной части (целостность технических средств);

необходимость контроля целостности технических средств и легальности установленных копий программного обеспечения на всех компонентах подсистемы УЦ ОГИЦ.

26. Требования к порядку эксплуатации:

в процессе эксплуатации подсистемы УЦ ОГИЦ необходимо обеспечивать поддержание штатного режима работы ее программно-технических средств (далее - ПТС) при условии обязательного выполнения мероприятий, направленных на обеспечение информационной безопасности подсистемы УЦ ОГИЦ;

ответственность за проведение эксплуатационных мероприятий возлагается на обслуживающий персонал и администраторов подсистемы УЦ ОГИЦ.

27. Требования к проведению профилактических работ:

профилактические мероприятия, выполняемые в процессе эксплуатации подсистемы УЦ ОГИЦ, должны охватывать общесистемное программное обеспечение, аппаратные средства, межсетевые экраны.

28. Требования к резервному копированию данных:

при определении данных для архивного хранения и процедур ведения архивов должна быть учтена возможность восстановления рабочего состояния подсистемы ОГИЦ в целом и в отдельности УЦ ПУ ОГИЦ и УЦ ВУ ОГИЦ;

порядок проведения работ по архивированию данных, их периодичность и состав должны определяться регламентом УЦ;

администратор аудита должен регулярно осуществлять архивное копирование журналов аудита на внешние носители информации;

данные архивные копии должны храниться в подсистеме УЦ ОГИЦ не менее срока действия закрытого ключа УЦ ПУ ОГИЦ.

29. Требования к документированию:

в подсистеме УЦ ОГИЦ должны применяться унифицированные порядок и правила документирования информации, операций и процессов в соответствии с ГОСТ Р ИСО 15489-1-2007 "Управление документами. Общие требования".

30. Требования к обеспечению безопасности при модернизации программно-технических средств:

модернизация, а также изменение настроек программно-аппаратных средств подсистемы УЦ ОГИЦ должны осуществляться в соответствии с процедурой, определенной регламентом и внутренними инструкциями подсистемы УЦ ОГИЦ;

все работы по модернизации и изменению настроек компонентов подсистемы УЦ ОГИЦ должны согласовываться с уполномоченным органом в области использования ЭЦП в соответствии с определенным им порядком.

31. Требования к обеспечению качества услуг, предоставляемых подсистемой УЦ ОГИЦ:

для обеспечения качества услуг, предоставляемых подсистемой УЦ ОГИЦ, должен проводиться постоянный контроль качества в соответствии с правилами и процедурами, определенными ГОСТ Р ИСО 9001-2000 "Система менеджмента качества" и внутренними инструкциями подсистемы УЦ ОГИЦ.