Документы



Программа для установки на компьютеры в поставляемом изготовителем виде icon

Программа для установки на компьютеры в поставляемом изготовителем виде

НазваниеПрограмма для установки на компьютеры в поставляемом изготовителем виде
страница1/5
Дата19.05.2013
Размер0.71 Mb.
ТипПрограмма
скачать
  1   2   3   4   5

MTR 20__/___/UZ

СПЕЦИАЛЬНЫЙ ТЕХНИЧЕСКИЙ РЕГЛАМЕНТ




ОЧИҚ КАЛИТЛАР ИНФРАТУЗИЛМАСИГА ҚЎЙИЛАДИГАН ТАЛАБЛАР


ТРЕБОВАНИЯ К ИНФРАСТРУКТУРЕ ОТКРЫТЫХ

КЛЮЧЕЙ





Дата введения ______________


1 Область применения


Настоящий специальный технический регламент (далее – Регламент) устанавливает обязательные требования к национальной инфраструктуре открытых ключей, обеспечению конфиденциальности и целостности информации, аутентификации пользователей, безопасности помещений, персоналу, сертификатам ключей электронной цифровой подписи, бланкам свидетельств о регистрации, доверенной третьей стороне.

Регламент распространяется на орган регистрации и центры регистрации ключей электронной цифровой подписи, функционирующие в Республике Узбекистан.

Объектами инфраструктуры открытых ключей являются орган регистрации, центры регистрации ключей, пользователи. Пользователями являются органы государственной власти и управления, хозяйствующие субъекты, физические лица.


2 Определения и сокращения


2.1 Термины и определения


В настоящем Регламенте применены следующие термины с соответствующими определениями:

2.1.1 аппаратное средство: Специальное устройство или приспособление, предназначенное для обеспечения защиты информации и входящее в комплект технических средств обработки информации;

2.1.2 аутентификация: Проверка и подтверждение подлинности определенных реквизитов или идентифика­торов, предъявляемых субъектом;
^

2.1.3 дистрибутив: Программа для установки на компьютеры в поставляемом изготовителем виде;


2.1.4 закрытый ключ электронной цифровой подписи: последовательность символов, полученная с использованием средств электронной цифровой подписи, известная только подписывающему лицу и предназначенная для создания электронной цифровой подписи в электронном документе;

2.1.5 идентификация: Присвоение субъектам и объектам доступа идентификатора и/или сравнение предъяв­ляемого идентификатора с перечнем при­своенных идентификаторов.

2.1.6 информационное взаимодействие: Процесс взаимодействия двух и более субъектов, целью и основным содержанием которого является изменение имеющейся информации хотя бы у одного из них.

2.1.7 инфраструктура открытых ключей: Техническая и организационная инфра­структура, которая обеспечивает поддерж­ку использования технологий криптопреобразований с открытым ключом.

2.1.8 ключ (ключевая информация): Последовательность символов, уп­равляющая операциями шифрования и дешифрования.

2.1.9 конфиденциальная информация: Документированная информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Республики Узбекистан.

2.1.10 несанкционированный доступ к информации: Доступ субъекта к информации в нарушение установленных в системе правил разграничения доступа.

2.1.11 орган регистрации центров регистрации ключей электронной цифровой подписи: специально уполномоченный орган в области применения электронной цифровой подписи, осуществляющий государственную регистрацию Центров регистрации ключей электронной цифровой подписи.

2.1.12 проверка валидности сертификата: Действия, производимые над проверяемым сертификатом ключа подписи для того, чтобы убедиться в возможности его использования, включая проверку целостности сертификата, области действия сертификата, срока действия сертификата, отсутствия сертификата в актуальном списке отозванных сертификатов.

2.1.13 профиль защиты: Независимая от реализации совокупность требований безопасности для некоторой категории объектов, отвечающая специфи­ческим запросам потребителя.

2.1.14 средства криптографической защиты информации: аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности, в том числе:

а) средства шифрования - аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее обработке, хранении и передаче по каналам связи;

б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи - совокупность технических и программных средств, обеспечивающих создание электронной цифровой подписи в электронном документе, подтверждение подлинности электронной цифровой подписи, создание открытых и закрытых ключей электронной цифровой подписи;

г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций;

д) средства изготовления ключевых документов и сами ключевые документы (независимо от вида носителя ключевой информации).

2.1.15 уполномоченное лицо центра регистрации: Сотрудник центра регистрации, действующий от его имени на основании устава, договора, доверенности на право совершения соответствующих действий.

2.1.16 центр регистрации ключей электронной цифровой подписи: Юридическое лицо, прошедшее государственную регистрацию в специально уполномоченном органе и осуществляющее деятельность по выдаче сертификатов ключей электронной цифровой подписи.

2.1.17 электронный документ: Информация, зафиксированная в электронной форме, подтвержденная электронной цифровой подписью и имеющая другие реквизиты электронного документа, позволяющие его идентифицировать.


2.2 Сокращения


В настоящем Регламенте приняты следующие сокращения:

VLAN - виртуальная локальная сеть;

НСД – несанкционированный доступ;

СКЗИ – средство криптографической защиты информации;

СОС – список отозванных сертификатов;

ЭД – электронный документ;

ЭЦП – электронная цифровая подпись.


^ 3 Защитительная оговорка


Орган регистрации, центры регистрации несут ответственность согласно действующему законодательству за соответствие используемых средств и систем требованиям настоящего технического регламента.

Орган регистрации несет ответственность согласно действующему законодательству за соблюдение правил и процедур подтверждения соответствия.

Юридическую значимость электронных документов обеспечивает доверенная третья сторона.

Информационная система, предоставляющая услуги центра регистрации ключей ЭЦП, должна соответствовать требованиям, установленным Законом Республики Узбекистан «Об электронной цифровой подписи».

Центру регистрации запрещается запрашивать данные, не соответствующие целям выдачи сертификатов ключей ЭЦП.

Порядок ведения единого реестра сертификатов ключей подписей, определяется органом регистрации.

Порядок использования ЭЦП в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.

Порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.


^ 4 Правила доступа на рынок


Инфраструктура открытых ключей представляет собой технологию аутентификации с помощью открытых ключей. Она связывает открытые ключи с личностью пользователя посредством органа регистрации и центров регистрации ключей ЭЦП.

Центр регистрации должен осуществлять свою деятельность по регистрации ключей ЭЦП после прохождения государственной регистрации в органе регистрации и получения сертификата ключа ЭЦП уполномоченным лицом центра регистрации. Формы заявлений на регистрацию в органе регистрации и получение сертификата ключа ЭЦП уполномоченным лицом центра регистрации приведены в приложениях А и В.

Центр регистрации должен иметь:

- сертифицированные аппаратные средства формирования и проверки ЭЦП, хранения, формирования сертификатов ключей;

- лицензионное системное и прикладное программное обеспечение;

- необходимые документы по учету, хранению и использованию ключей ЭЦП;

- специалистов, имеющих опыт работы в области защиты информации;

- условия, обеспечивающие сохранность конфиденциальной информации.

Сертификация средств ЭЦП осуществляется в порядке, установленном законодательством.

Органы государственной власти и управления, хозяйствующие субъекты, функционирующие в Республике Узбекистан, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов ЭЦП уполномоченных лиц указанных органов, организаций.

Сертификаты ключей подписей уполномоченных лиц органов государственной власти и управления, хозяйствующих субъектов включаются в единый реестр сертификатов ключей подписей, который ведется уполномоченным органом, и выдаются пользователям сертификатов ключей подписей из этого реестра в порядке, установленном законодательством Республики Узбекистан.

Сертификаты ключей ЭЦП выдаются центром регистрации по обращению юридических и физических лиц либо при государственной регистрации субъекта предпринимательства. Для получения сертификата ключа ЭЦП обратившееся лицо должно представить подписанное заявление на регистрацию и получение сертификата ключа ЭЦП. Срок рассмотрения заявления не должен превышать пяти рабочих дней.

Форма заявления на регистрацию и получение сертификата ключа ЭЦП и перечень прилагаемых к нему документов, необходимых для выдачи центром регистрации сертификата ключа ЭЦП юридическому или физическому лицу, а также для ведения реестра сертификатов ключа ЭЦП, определяются центром регистрации.

До подачи заявления заявитель может сгенерировать самостоятельно ключ ЭЦП и представить в центр регистрации для его регистрации.

По заявлению юридического и физического лица создание открытых и закрытых ключей ЭЦП может производиться центром регистрации.

При создании открытых и закрытых ключей ЭЦП центр регистрации одновременно должен выдать сертификат ключа ЭЦП. Сертификат ключа ЭЦП выдается владельцу ЭЦП в форме электронного документа и в форме документа на бумажном носителе.

Юридические и физические лица могут иметь несколько ключей ЭЦП. Регистрация сертификата каждого ключа ЭЦП осуществляется отдельно в установленном порядке.

Услуги по созданию закрытых и открытых ключей ЭЦП, регистрации ключа ЭЦП и выдаче сертификата ключа ЭЦП являются платными.

Состав и стоимость предоставляемых платных услуг определяются на договорной основе в установленном порядке.

Центр регистрации должен обеспечивать защиту созданных им открытых и закрытых ключей ЭЦП.

Срок действия сертификата ключа ЭЦП должен быть не более 12 месяцев с момента регистрации ЭЦП. Далее срок действия сертификата ключа ЭЦП продлевается договором, но не более двух раз.

Сертификат ключа ЭЦП в форме электронного документа заверяется ЭЦП уполномоченного лица центра регистрации.

Сертификат ключа ЭЦП в форме документа на бумажном носителе оформляется в двух экземплярах. Каждый экземпляр такого сертификата должен быть подписан уполномоченным лицом центра регистрации и заверен печатью центра регистрации. Один экземпляр сертификата ключа ЭЦП выдается владельцу ЭЦП, а другой экземпляр хранится в центре регистрации. Экземпляр сертификата ключа ЭЦП, хранимый в центре регистрации должен подписываться владельцем ЭЦП.

При выдаче сертификата ключа ЭЦП владельцу ЭЦП центром регистрации должна быть дана полная информация о правилах пользования и хранения ЭЦП, а также об обязанностях и ответственности владельца ЭЦП.

Регистрация ключа ЭЦП производится путем введения сертификата ключа ЭЦП в реестр сертификатов ключей ЭЦП центра регистрации.

Центр регистрации при обращении юридических и физических лиц обязан выдавать копии сертификатов ключей ЭЦП в форме электронных документов и/или в форме документов на бумажных носителях.

Копия сертификата ключа ЭЦП на бумажном носителе, выдаваемая юридическому и физическому лицу, должна быть заверена подписью уполномоченного лица и печатью центра регистрации.

Копия сертификата ключа ЭЦП на бумажном носителе представляет собой документ, содержащий следующие обязательные реквизиты:

  1. серийный номер сертификата ключа ЭЦП;

  2. идентификационные данные владельца ЭЦП;

  3. идентификационные данные издателя сертификата ключа ЭЦП (идентификационные данные из сертификата ключа ЭЦП уполномоченного лица центра регистрации);

  4. сведения о средстве ЭЦП уполномоченного лица центра регистрации;

  5. сведения о ключе ЭЦП владельца ЭЦП и алгоритме его формирования;

  6. сведения об областях использования ключа ЭЦП и сертификата ключа ЭЦП;

  7. собственноручную подпись уполномоченного лица центра регистрации;

  8. срок действия сертификата ключа ЭЦП;

  9. печать центра регистрации.


5 Технические требования


^ 5.1 Общие требования безопасности


5.1.1 Административные требования

Администрация органа регистрации (центра регистрации) ЭЦП обязана обеспечивать:

    • исключение несанкционированного доступа, утечки, хищения, утраты, искажения, блокировки, подделки информации;

    • сохранность информации в реестре сертификатов ключей ЭЦП;

    • надежность работы и предотвращение несанкционированных действий, направленных на нарушение нормального функционирования аппаратно-программных средств, обеспечивающих выполнение им своих функций, а также средств криптографической защиты информации;

    • защиту информации, содержащей государственные секреты и конфиденциальную информацию органа регистрации (центра регистрации) ЭЦП.

Информационная безопасность обеспечивается путем реализации органом регистрации (центром регистрации) ЭЦП комплекса организационных и инженерно-технических мероприятий в установленном законодательством порядке.

Приказом руководителя из сотрудников органа регистрации (центра регистрации) ЭЦП назначается ответственное за безопасность лицо.

Защите подлежат сведения, содержащие государственные секреты и конфиденциальную информацию, хранимую, обрабатываемую и передаваемую органом регистрации (центром регистрации) ЭЦП в электронном виде и/или на ином носителе.
^

5.1.2 Требования к функциональному разграничению


Для выполнения функций органом регистрации (центром регистрации) ЭЦП используется функциональное разграничение членов группы администраторов:

  • администраторы сертификации с основными обязанностями: выдача и отзыв сертификатов ЭЦП, ведение реестра сертификатов, СОС;

  • администраторы регистрации с основными обязанностями: взаимодействие с пользователями, прием документов от пользователей, генерация и выдача ключей ЭЦП, проверка ЭЦП;

  • администратор системы аудита.
^

5.1.3 Требования к программному обеспечению


Орган регистрации (центры регистрации) ЭЦП используют только программные средства, прошедшие сертификацию.

Программное обеспечение вычислительных средств органа регистрации (центра регистрации) ЭЦП должно быть лицензированным и не содержать средств отладки программ, позволяющих модифицировать или искажать алгоритм работы программно-технических средств органа регистрации (центра регистрации) ЭЦП.
^

5.1.4 Требования к аппаратным компонентам


Орган регистрации (центры регистрации) ЭЦП используют только аппаратные средства, прошедшие сертификацию.

Аппаратные средства, на которых реализуются СКЗИ, не должны позволять модифицировать или искажать алгоритм работы технических средств органа регистрации (центра регистрации) ЭЦП.

Проверка компонента органа регистрации (центра регистрации) ЭЦП на наличие негативных функциональных возможностей производится заказчиком органа регистрации (центра регистрации) ЭЦП.

Проверка компонента органа регистрации (центра регистрации) ЭЦП проводится разработчиком по своей методике.
^

5.1.5 Требования по защите от НСД


Технические средства органа регистрации (центра регистрации) ЭЦП должны быть защищены от воздействий со стороны внешних сетей передачи данных сертифицированными программными и аппаратно-программными средствами.

Исходя из уровня защиты от НСД, при разработке органа регистрации (центра регистрации) ЭЦП должен быть построен профиль защиты органа регистрации (центра регистрации) ЭЦП, включающий:

  • архитектуру построения органа регистрации (центра регистрации) ЭЦП и принципы взаимодействия объектов органа регистрации (центра регистрации) ЭЦП;

  • описание уточненных возможностей нарушителя;

  • описание механизмов и средств защиты от НСД;

  • описание механизмов аудита и формата данных аудита;

  • перечень защищаемых объектов органа регистрации (центра регистрации) ЭЦП;

  • перечень сотрудников органа регистрации (центра регистрации) ЭЦП;

  • непротиворечивую политику безопасности органа регистрации (центра регистрации) ЭЦП (в том числе, правила разграничения доступа, правила пользования операторов и администраторов органа регистрации (центра регистрации) ЭЦП, описание действий в нештатных ситуациях, правила фильтрации межсетевых экранов).

Все положения профиля защиты органа регистрации (центра регистрации) ЭЦП должны быть отражены в документе «Политика безопасности органа регистрации (центра регистрации) ключей ЭЦП».

Для защиты средств вычислительной техники, входящих в состав органа регистрации (центра регистрации) ЭЦП, должны использоваться устройства типа «электронный замок».
^

5.1.6 Требования к целостности технических средств


В органе регистрации (центре регистрации) ЭЦП должен производиться контроль несанкционированного случайного или преднамеренного искажения или разрушения информации, программных и аппаратных компонентов.

Контроль целостности должен выполняться не реже одного раза в сутки.

В органе регистрации (центре регистрации) должны быть предусмотрены средства восстановления целостности технических средств органа регистрации (центра регистрации) ЭЦП.


^ 5.1.7 Требования к аутентификации

Для аутентификации членов группы администраторов при их обращении к средствам вычислительной техники, входящим в состав органа регистрации (центра регистрации) ЭЦП, должен применяться символьный периодически изменяющийся пароль (8 символов и более) при использовании буквенно-цифровых знаков латинского алфавита независимо от регистра. Период изменения пароля шестьдесят дней.

Администрация органа регистрации (центра регистрации) ЭЦП должна:

- обеспечить реализацию механизма аутентификации удаленных пользователей, при их обращении к техническим средствам органа регистрации (центра регистрации) ЭЦП;

- точно определить список всех действий пользователя, выполнение которых разрешено до его идентификации и аутентификации. Выполнение остальных действий должно разрешаться только после успешной идентификации и аутентификации пользователя;

- обеспечивать реализацию механизма аутентификации локальных пользователей, имеющих доступ к техническим средствам, входящим в состав органа регистрации (центра регистрации) ЭЦП, но не входящим в состав группы администраторов;

- обеспечивать реализацию механизма ограничения числа безуспешных попыток аутентификации членов группы администраторов и локальных пользователей при их обращении к средствам вычислительной техники, входящей в состав органа регистрации (центра регистрации) ЭЦП.
^

5.1.8 Требования к защите данных, поступающих и экспортируемых из органа регистрации (центра регистрации) ЭЦП


Орган регистрации (центр регистрации) ЭЦП должен обеспечивать передачу данных, защищенных от несанкционированного доступа, криптографическим способом.

Для взаимодействия элементов органа регистрации (центра регистрации) ЭЦП в составе сети должна выделяться VLAN, доступная только определенному органу регистрации (центру регистрации) ЭЦП и его элементам.

Взаимодействие между органом регистрации (центром регистрации) ЭЦП должно выполняться с использованием защищенных и сертифицированных протоколов.

Для обеспечения бесперебойности работы органа регистрации (центра регистрации) ЭЦП выделяемые каналы связи должны резервироваться.

В органе регистрации (центре регистрации) ЭЦП должен быть реализован механизм защиты от имитации сообщения. Под имитацией сообщения понимается навязывание нарушителем ложных данных, которые воспринимаются органом регистрации (центром регистрации) ЭЦП как действительная информация, защищенная от несанкционированного доступа.

^ 5.1.9 Требования к хранению информации на бумажных, магнитных и оптических носителях

Все резервные материалы, документация и устройства хранения информации органа регистрации (центра регистрации) ЭЦП должны храниться в защищенных помещениях и пожаробезопасных местах.

Все съемные носители информации должны поштучно регистрироваться и учитываться (приложение С), они должны храниться в местах, защищенных от возможности случайного или намеренного изменения информации.

Конфиденциальная информация органа регистрации (центра регистрации) ЭЦП на бумажных, магнитных и оптических носителях должна храниться в сейфах или в несгораемых железных шкафах или ящиках.
^

5.1.10 Требования к регистрации событий


В органе регистрации (центре регистрации) ЭЦП должен быть реализован механизм, производящий регистрацию в электронном журнале органа регистрации (центра регистрации) ЭЦП событий, связанных с выполнением органом регистрации (центром регистрации) ЭЦП своих целевых функций.

Список регистрируемых событий включает выпуск и отзыв сертификата, запрос на сертификацию и сообщение о компрометации, приостановке и возобновлении действия сертифицированных ключей.

Структура записи должна включать обязательные поля:

  • дату и время события;

  • тип события;

  • идентификатор пользователя, выполнившего операцию, соответствующую регистрируемому событию;

  • результат операции: положительный или отрицательный.

Должны быть приняты меры обнаружения и предотвращения несанкционированных записей в журнале аудита или каждой записи журнала членами группы администраторов.

^

5.1.11 Требования к резервному копированию и восстановлению


В органе регистрации (центре регистрации) ЭЦП должны быть реализованы одноразовое резервное копирование и механизм восстановления на случай повреждения технических средств или информации.

Должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных.

^

5.2 Требования безопасности к помещениям органа регистрации (центра регистрации) ЭЦП




5.2.1 Требования к размещению технических средств


Доступ к техническим средствам должен иметь только уполномоченный персонал.

Серверы и оборудование телекоммуникаций должны быть размещены в выделенном специальном помещении.

Серверы и оборудование телекоммуникаций должны быть установлены в специальных стойках.

Технические средства, используемые персоналом органа регистрации (центра регистрации) ЭЦП, должны быть размещены в рабочих помещениях по схеме организации рабочих мест персонала.

Сервера должны постоянно находиться в режиме ручного или электронного обнаружения несанкционированного доступа.


^ 5.2.2 Физический доступ

Физический доступ к техническим средствам органа регистрации (центра регистрации) ЭЦП должен удовлетворять следующим требованиям:

    • серверное помещение должно быть оборудовано системой контроля доступа, включая систему видео наблюдения в видимом и инфракрасном спектре;

    • все двери, окна и другие пути доступа в помещения органа регистрации (центра регистрации) ЭЦП должны быть оборудованы защитными приспособлениями и сигнализацией, предотвращающими несанкционированные проникновения в помещения, а также просмотр, прослушивание и съем электромагнитного излучения;

    • помещения органа регистрации (центра регистрации) ЭЦП должны быть оснащены охранной сигнализацией, связанной с охранным помещением, пультом централизованного наблюдения за сигнализацией или с дежурным по сигнализации;

  • система сигнализации должна быть защищена дублирующей системой и средствами электропитания, гарантирующими функционирование в случае отключения внешнего электропитания;

  • доступом без сопровождения к техническим средствам органа регистрации (центра регистрации) ЭЦП должен обладать только персонал, определенный в списке доступа;

  • персонал, не находящийся в списке доступа, должен соответствующим образом сопровождаться и контролироваться;

  • должен вестись журнал доступа к техническим средствам органа регистрации (центра регистрации) ЭЦП;

  • идентификационные средства доступа в серверное помещение должны выдаваться сотрудникам по приказу руководителя;

  • ключи механических замков рабочих помещений должны выдаваться сотрудникам по распоряжению руководителя на основании схемы организации рабочих мест персонала;

  • контроль целостности технических средств органа регистрации (центра регистрации) ЭЦП должен осуществляться при каждом обращении к органу регистрации (центру регистрации) ЭЦП, но не реже одного раза в неделю;

  • оборудование в активированном состоянии должно быть защищено от несанкционированного доступа;

  • после ввода пароля, защищающего секретный ключ, пользователи не должны оставлять свои рабочие места без присмотра.


^ 5.2.3 Электроснабжение и кондиционирование воздуха

Электроснабжение и кондиционирование воздуха органа регистрации (центра регистрации) ЭЦП должны удовлетворять следующим требованиям:

  • помещение, в котором размещается оборудование, должно быть обеспечено электроснабжением и системой кондиционирования для создания требуемых согласно их техническим паспортам, условий работы;

  • технические средства должны быть подключены к общегородской сети электроснабжения и иметь аварийные источники электропитания;

  • серверы, оборудование телекоммуникаций и технические средства, эксплуатируемые на рабочих местах сотрудников, должны быть подключены к источникам бесперебойного питания, обеспечивающим их работу не менее 30 минут после прекращения основного электроснабжения;

  • серверное помещение должно быть оборудовано средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха;

  • служебные помещения, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях должны быть оборудованы средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха.


^ 5.2.4 Подверженность воздействию влаги

Для защиты от воздействия влаги сервера и оборудования телекоммуникаций органа регистрации (центра регистрации) ЭЦП должны размещается в шкафах-стойках.


^ 5.2.5 Предупреждение и защита от возгорания

Автоматическая система пожаротушения органа регистрации (центра регистрации) ЭЦП должна быть установлена в соответствии с принятой в органе регистрации (центре регистрации) системой правил.


^ 5.3 Требования к персоналу


5.3.1 Объекты оценки персонала

Объектами оценки являются: уполномоченное лицо и персонал, осуществляющие свою деятельность в органе регистрации (центре регистрации).

Уполномоченное лицо органа регистрации (центра регистрации) в соответствии со структурой органа регистрации (центра регистрации) относится к административной службе.

Административная служба предназначена для решения задач по управлению деятельностью органа регистрации (центра регистрации), координации деятельности остальных служб органа регистрации (центра регистрации) и взаимодействию с пользователями в части разрешения вопросов, связанных с предоставлением услуг.

Персонал органа регистрации (центра регистрации) в соответствии со структурой относится к одному из следующих организационных подразделений (служб):

  • служба регистрации;

  • служба безопасности;

  • техническая служба.

Служба регистрации предназначена для решения задач по предоставлению пользователю услуг органа регистрации (центра регистрации): выдаче сертификатов ключей ЭЦП, приостановлению, возобновлению действия сертификатов и их аннулированию, ведению реестра сертификатов ключей ЭЦП.

Служба безопасности предназначена для решения задач по организации и выполнению мероприятий по защите ресурсов органа регистрации (центра регистрации), а также по изготовлению и предоставлению ключей ЭЦП по обращению пользователей.

Техническая служба предназначена для решения задач по организации и выполнению мероприятий по эксплуатации программных и технических средств обеспечения деятельности органа регистрации (центра регистрации) и по техническому сопровождению распространяемых им средств ЭЦП и шифрования.

Службы возглавляют начальники служб, назначаемые приказом руководителя органа регистрации (центра регистрации).


      1. ^ Общие требования к уполномоченному лицу органа регистрации (центра регистрации)

К уполномоченному лицу органа регистрации (центра регистрации), как минимум, должны предъявляться следующие общие требования:

  • иметь допуск к секретным материалам и заслуживать полное доверие (иметь рекомендации, характеристики);

  • знать политику безопасности и соблюдать её требования в своей деятельности;

  • не иметь в послужном списке отстранений от должности за служебное несоответствие или несоблюдение правил работы;

  • пройти необходимое обучение и инструктаж по выполнению обязанностей.

Уполномоченное лицо органа регистрации (центра регистрации) должно решать следующие возложенные на него задачи:

  • организовывать и обеспечивать работу органа регистрации (центра регистрации) для выполнения им своих функций в соответствии с требованиями Закона Республики Узбекистан «Об электронной цифровой подписи», «Положения о порядке деятельности центров регистрации ключей электронных цифровых подписей», утвержденного постановлением Кабинета Министров Республики Узбекистан от 26.09.05 г. №215 и устава органа регистрации (центра регистрации);

  • контролировать выполнение службами органа регистрации (центра регистрации) своих задач и обязанностей;

  • заключать договора с пользователями на оказание услуг органа регистрации (центра регистрации);

  • принимать меры по защите своего закрытого ключа ЭЦП и использовать его в целях, определенных законодательством;

  • подписывать сертификаты ключей ЭЦП, выдаваемых органом регистрации (центром регистрации), и нести ответственность за их уникальность и полноту представленной в них информации в соответствии с требованиями законодательства в области использования ЭЦП;

  • подписывать список отозванных сертификатов ключей ЭЦП и нести ответственность за достоверность фактов отзыва сертификатов.


^ 5.3.3 Общие требования к персоналу органа регистрации (центра регистрации)

Профессиональная пригодность персонала органа регистрации (центра регистрации) определяется наличием у них знаний, умений и способностей по криптологии, прикладному и системному программированию, опыта обслуживания и поддержки инфраструктуры открытых ключей, компьютерных сетей и Интернет.

Персонал должен:

  • выполнять требования защиты конфиденциальной информации и информационной безопасности органа регистрации (центра регистрации);

  • эксплуатировать программные и технические средства в соответствии с эксплуатационно-технической документацией.


^ 5.4 Требования к конфиденциальности


5.4.1 Конфиденциальная информация

Конфиденциальной информацией органа регистрации (центра регистрации) является:

- персональные данные владельцев ЭЦП, хранящиеся в органе регистрации (центре регистрации) и не подлежащие непосредственной рассылке в качестве части сертификата ключа ЭЦП или списков выданных, приостановленных, возобновленных и аннулированных сертификатов. Данная информация не подлежит публикации;

- закрытый ключ уполномоченного лица органа регистрации (центра регистрации);

- парольная информация органа регистрации (центра регистрации);

- информация, хранящаяся в журналах аудита;

- отчетные материалы по выполненным проверкам деятельности органа регистрации (центра регистрации) (за исключением заключения по результатам проверок);

- сведения, связанные с коммерческой деятельностью (коммерческая тайна).

Конфиденциальная информация является информацией ограниченного распространения. Документы, содержащие конфиденциальную информацию, должны иметь гриф «Для служебного пользования».

Защита конфиденциальной информации является одной из основных задач в области обеспечения информационной безопасности органа регистрации (центра регистрации) и осуществляется режимными и организационно-техническими мероприятиями в комплексе с Системой защиты конфиденциальной информации.

Орган регистрации (центр регистрации) не должен раскрывать конфиденциальную информацию третьим лицам за исключением случаев, требующих ее раскрытия в соответствии с действующим законодательством или при наличии решения суда.

Конфиденциальная информация органа регистрации (центра регистрации) может храниться в электронной форме и/или на бумажных носителях.

Информация, не являющаяся конфиденциальной информацией, является открытой информацией и может публиковаться органом регистрации (центром регистрации). Место, способ и время публикации также определяется органом регистрации (центром регистрации).

Не считается конфиденциальной информация:

- включаемая в сертификаты ключей ЭЦП;

- включаемая в списки выданных, приостановленных, возобновленных и аннулированных сертификатов ключей ЭЦП, издаваемых органом регистрации (центром регистрации);

- публикуемого заключения по результатам проверок деятельности центра регистрации.

Закрытые ключи владельцев ЭЦП, соответствующие сертификату ключа ЭЦП, являются конфиденциальной информацией этих пользователей.

Владельцы ЭЦП обязаны обеспечить контроль за использованием закрытых ключей ЭЦП, защищать свои закрытые ключи ЭЦП и принимать все возможные меры для предотвращения их компрометации.

Органа регистрации (центр регистрации) не депонирует и не архивирует закрытые ключи ЭЦП, а также не создает их дубликаты.

Защита архивируемой конфиденциальной информации должна осуществляться методами физического обеспечения безопасности или комбинацией методов физической и криптографической защиты.

Все резервные файлы архивируемой конфиденциальной информации должны храниться в защищенном и, при возможности, в географически удаленном месте.

Персонал органа регистрации (центра регистрации), имеющий по роду своей деятельности прямое отношение к обработке, передаче, приему и хранению конфиденциальной информации, допускается к работе с СКЗИ только после подписания обязательства о неразглашении конфиденциальной (служебной и/или личной) информации (далее – Обязательство). Ответственность за разглашение конфиденциальной информации должна быть определена в тексте Обязательства.

В случае нарушения требований вышеуказанного Обязательства руководство органа регистрации (центра регистрации) может приостановить допуск соответствующего сотрудника к СКЗИ и конфиденциальной информации.

Обязанности между сотрудниками органа регистрации (центра регистрации) должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевых носителей и документов, а также за порученные участки работы.

При определении обязанностей сотрудников органа регистрации (центра регистрации) должно быть учтено, что безопасность хранения, обработки и передачи конфиденциальной информации с использованием СКЗИ обеспечивается:

- соблюдением режима конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых носителей;

- точным выполнением требований по обеспечению безопасности конфиденциальной информации;

- надежным хранением СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей и носителей конфиденциальной информации;

- своевременным выявлением попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используемых СКЗИ или ключевых носителях;

- немедленным принятием мер по предупреждению разглашения защищаемых сведений конфиденциального характера, а также возможной утечки таких сведений при выявлении фактов утраты или недостачи СКЗИ, ключевых носителей, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.

Орган регистрации и центры регистрации ключей ЭЦП должны иметь лицензию на использование СКЗИ, если на данном объекте используются СКЗИ для защиты информации ограниченного доступа или лицензию на иные виды деятельности, если лицензирование данного вида деятельности обязательно.

Орган регистрации и центры регистрации ключей ЭЦП должны использовать СКЗИ, имеющие сертификаты соответствия, оформленные в установленном законодательством порядке.

Объекты информатизации органа регистрации и центров регистрации ключей ЭЦП, предназначенные для обработки информации ограниченного доступа, должны иметь аттестаты соответствия, оформленные в установленном законодательством порядке.


^ 5.4.2 Система защиты конфиденциальной информации

Система защиты конфиденциальной информации информационной системы органа регистрации (центра регистрации) должна включать в себя следующие подсистемы:

- криптографической защиты информации, включающей в себя программные и/или программно-аппаратные СКЗИ;

- защиты информации от НСД, включающей в себя программные и/или программно-аппаратные средства аутентификации и идентификации, разграничения доступа, межсетевые экраны;

- активного аудита информационной безопасности органа регистрации (центра регистрации);

- обнаружения вторжений;

- резервного копирования и архивирования данных;

- обеспечения целостности информации, программных и аппаратных средств, в том числе криптографическими методами;

- обеспечения безотказной работы, включающей в себя антивирусные средства;

- защиты оборудования от утечки информации по техническим и побочным каналам;

- обеспечения защиты информации от НСД режимными и организационно-техническими мероприятиями.


^ 5.4.3 Ответственность органа (центра) регистрации и владельца ЭЦП при использовании конфиденциальной информации

Орган регистрации (центр регистрации) несет ответственность за разглашение конфиденциальной информации в установленном законодательством порядке.

Распределение ответственности в области защиты конфиденциальной информации между органом регистрации, центром регистрации, владельцами и пользователями ЭЦП закрепляется через заключаемые договора.

При выдаче сертификата ключа ЭЦП владельцу ЭЦП органом регистрации (центром регистрации) должна быть дана полная информация о правилах пользования и хранения ключей ЭЦП, а также об обязанностях и ответственности владельца ЭЦП.

Запрет на разглашение персональных данных владельца ЭЦП после прекращения действия договора между центром регистрации и владельцем ЭЦП действует в течение срока, оговоренного в вышеуказанном договоре.

При компрометации закрытого ключа владельца ЭЦП по вине органа регистрации (центра регистрации) последний несет ответственность за понесенный владельцем ЭЦП материальный ущерб, а также бесплатно изготавливает и выдает ему новый сертификат ключа ЭЦП.

Центр регистрации не несет ответственность за последствия компрометации владельцем ЭЦП своего закрытого ключа ЭЦП.

Орган регистрации (центр регистрации) не несет ответственность за неисполнение своих обязательств в области защиты конфиденциальной информации, если оно явилось следствием неодолимой силы, а именно: стихийных бедствий, массовых беспорядков, террористических актов, военных действий, противоправных действий третьих лиц и т.д. При этом срок выполнения обязательств отодвигается соразмерно времени, в течение которого действовали такие обстоятельства и их последствия.


^ 5.4.4 Основные режимные и организационно-технические

мероприятия

К основным режимным мероприятиям в области защиты конфиденциальной информации органа регистрации (центра регистрации) относятся следующие мероприятия:

- исключение возможности бесконтрольного проникновения в помещения, в которых размещаются технические средства органа регистрации (центра регистрации) со встроенными СКЗИ (далее – режимные помещения), посторонних лиц;

- исключение возможности визуального просмотра документов с конфиденциальной информацией, в том числе и с экранов мониторов, на которых она отражается, через окна (путем соответствующего размещения технических средств в режимном помещении);

- обеспечение сохранности находящихся в режимных помещениях документов с конфиденциальной информацией и технических средств;

- оборудование входных дверей режимных помещений замками, обеспечивающими надежное закрытие помещений в нерабочее время;

- оборудование окон и дверей охранной сигнализацией, а режимных помещений средствами видеонаблюдения, связанными с пультом централизованной охраны;

- ограничение допуска в режимные помещения. Допуск в эти помещения могут иметь только руководитель органа регистрации (центра регистрации), сотрудники подразделения безопасности и персонал, имеющий прямое отношение к обработке, передаче, приему и хранению конфиденциальной информации;

- оборудование средствами контроля вскрытия системных блоков компьютеров с СКЗИ;

- осуществление ремонта и/или последующего использования системных блоков только после гарантированного удаления с них программного обеспечения СКЗИ и конфиденциальной информации;

- обновление оборудования органа регистрации (центра регистрации) должно производиться доверенным и подготовленным персоналом;

- обеспечение соответствия вышеуказанных режимных помещений требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

К основным организационно-техническим мероприятиям в области защиты конфиденциальной информации органа регистрации (центра регистрации) относятся:

- определение должностных лиц, ответственных за обеспечение информационной безопасности и эксплуатацию СКЗИ;

- поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, а также ключевых носителей;

- определение степени конфиденциальности обрабатываемой и хранимой информации;

- разработка модели нарушителя;

- сертификация средств защиты конфиденциальной информации уполномоченным органом Республики Узбекистан по защите информации;

- аттестация центра регистрации для подтверждения его соответствия требованиям безопасности Органом регистрации в соответствии с 6.2;

- разработка нормативных документов, регламентирующих вопросы защиты конфиденциальной информации и эксплуатации СКЗИ, а также инструкций по соблюдению правил обеспечения защиты конфиденциальной информации как для персонала органа регистрации (центра регистрации), так и для владельцев и пользователей ЭЦП;

- допуск к работе с СКЗИ персонала органа регистрации (центра регистрации), имеющего навыки работы на персональном компьютере и ознакомленного с правилами эксплуатации СКЗИ;

- предоставление прав доступа к обработке конфиденциальной информации только персоналу, имеющему допуск к работе с указанной информацией;

- контроль и обеспечение соблюдения требований использования СКЗИ, установленных в их эксплуатационной и технической документации;

- расследование и составление заключений по фактам нарушения требований использования СКЗИ; разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- организация выдачи ключей механических замков рабочих помещений органа регистрации (центра регистрации) его сотрудникам по распоряжению руководства на основании схемы организации рабочих мест персонала;

- регистрация прихода/ухода персонала органа регистрации (центра регистрации) в соответствующем журнале или с помощью автоматизированной системы.

^

5.5 Требования к ключевой информации



К ключевой информации, формируемой и/или хранимой в органе регистрации (центре регистрации), относятся следующие пары закрытых и открытых ключей ЭЦП:

- ключ уполномоченного лица органа регистрации (центра регистрации), используемый для подписи сертификатов и списков выданных, приостановленных, возобновленных и аннулированных сертификатов;

- ключи шифрования сервера органа регистрации (центра регистрации).

Секретный ключ, используемый для подписи сертификатов и средств отозванных сертификатов, не должен использоваться ни для каких иных целей.

Секретный ключ ЭЦП и ключ шифрования должны храниться на специальном съемном носителе, не допускающем извлечение и копирование секретного ключа ЭЦП без специального программного обеспечения на другой носитель информации.

В органе регистрации (центре регистрации) ЭЦП должен быть реализован механизм хранения в памяти средств вычислительной техники, входящих в состав органа регистрации (центра регистрации) ЭЦП, ключевой информации, включая секретные ключи ЭЦП, с предварительным их шифрованием.

Должен быть обеспечен срок действия секретного ключа центра регистрации ЭЦП не менее одного года.

В целях защиты конфиденциальной ключевой информации руководством и ответственным персоналом органа регистрации (центра регистрации) должно обеспечиваться выполнение следующих мероприятий:

- поэкземплярный учет в журналах:

а) носителей с секретными ключами шифрования;

b) инсталляционных дискет с программным обеспечением СКЗИ;

- определение сотрудников, ответственных за учет и хранение закрытых (секретных) ключей ЭЦП;

- выделение сейфа или иного хранилища, обеспечивающего сохранность ключевой информации, для хранения носителей с закрытыми (секретными) ключами ЭЦП и шифрования;

- исключение непреднамеренного уничтожения или иного, не предусмотренного правилами пользования СКЗИ, применения ключей и инсталляционных дискет с программным обеспечением СКЗИ в случае их хранения в одном хранилище с другими документами;

- изготовление одного дубликата ключевого носителя, предназначенного для использования в случае физического выхода из строя основного (рабочего) носителя;

- раздельное хранение рабочего и резервного ключевых носителей; создание условий, при которых будет невозможна их одновременная компрометация;

- создание условий при транспортировке ключевых носителей с закрытой (секретной) ключевой информацией, обеспечивающих их защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

Категорически запрещается:

- вносить несанкционированные изменения в Систему защиты конфиденциальной информации;

- осуществлять несанкционированное копирование ключевой информации;

- хранить ключевые носители вне специально для этого установленных мест;

- выдавать ключевые носители лицам, не допущенным к работе с ними;

- во время перерывов в работе оставлять ключевые носители без присмотра в устройствах считывания персонального компьютера, на рабочем месте, шкафах и ящиках, для этого не предназначенных;

- производить уничтожение ключей на ключевых носителях после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от определенных в эксплуатационной документации на СКЗИ;

- проносить и использовать в помещениях, где размещены СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру.

  1   2   3   4   5



Похожие:

Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма по терапии для магистров. Она включает основные нозологические формы и синдромы, которые встречаются во врачебной практике
Программа предназначена для сдачи экзаменов квалификационного докторского минимума старших научных сотрудников и соискателей по специальности...
Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма для докторантов по специальности «урология» (14. 00. 31) Ташкент 2013
Программа предназначена докторантам и соискателям для сдачи экзаменов по специальности «Урология»
Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма для докторантов по специальности «нейрохирургия» (14. 00. 28) Ташкент 2013
Программа предназначена докторантам и соискателям для сдачи экзаменов по специальности «Нейрохирургия»
Программа для установки на компьютеры в поставляемом изготовителем виде iconТехническое задание на закупку асинхронного двигателя уj23F4X1 для привода лебедки буровой установки zj50db (кнр) для поиско-разведочного и эксплуатационного бурений
УJ23F4X1 для привода лебедки буровой установки zj50db (кнр) для поиско-разведочного и эксплуатационного бурений
Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма по борьбе с купирозом Программа омолаживающая Программа увлажняющая Программа ухода за жирной кожей
Полная стоимость программ – 1 процедура 35,000 (сум)
Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма по углублённому изучению русского языка для школ с узбекским языком обучения
Учебная программа по углубленному изучению русского языка создана на базе действующей программы для общеобразовательной школы, построенная...
Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма для докторантов по специальности «Сердечно-сосудистая хирургия» (14. 00. 34) Ташкент 2013
Программа предназначена докторантам и соискателям для сдачи экзаменов по специальности сердечно-сосудистая хирургия
Программа для установки на компьютеры в поставляемом изготовителем виде iconРабочая программа по дисциплине информационные технологии для бакалавров специальности
Рабочая программа утверждена на заседании кафедры информационных технологий. Протокол № от 200 г
Программа для установки на компьютеры в поставляемом изготовителем виде iconПрограмма для инвалидов и членов их семей. Программа развития учащихся с интеллектуальными ограничениями посредством мультимедийных ресурсов
Информационно-компьютерные технологии в процессе образования детей с ограниченными физическими возможностями
Программа для установки на компьютеры в поставляемом изготовителем виде iconРабочая программа по дисциплине «Системы реального времени» для магистров специальности
Рабочая программа утверждена на заседании кафедры информационных технологий. Протокол № от 2008 г
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©uz.denemetr.com 2000-2015
При копировании материала укажите ссылку.
обратиться к администрации