Фрагмент документа "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ТЕХНОЛОГИЯМ, ФОРМАТАМ, ПРОТОКОЛАМ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ, УНИФИЦИРОВАННЫМ ПРОГРАММНО-ТЕХНИЧЕСКИМ СРЕДСТВАМ ПОДСИСТЕМЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО ИНФОРМАЦИОННОГО ЦЕНТРА".
IV. Требования к унифицированным
программно-техническим средствам
13. Требования к техническим средствам и помещениям:
1) требования к техническим средствам:
а) размещение технических средств подсистемы УЦ ОГИЦ должно быть
выполнено с учетом требований нормативных документов, определяющих
порядок использования средств защиты информации в составе компонент
подсистемы УЦ ОГИЦ;
б) технические средства УЦ ОГИЦ должны быть размещены в
контролируемой зоне с выделением отдельных изолированных помещений;
в) программно-аппаратные комплексы подсистемы УЦ ОГИЦ должны быть
подключены к источникам бесперебойного питания;
2) требования к помещениям:
а) входные двери помещений должны быть оборудованы электронной
системой контроля доступа;
б) помещения должны быть оборудованы охранно-пожарной и тревожной
сигнализацией, средствами вентиляции и кондиционирования воздуха;
в) в качестве оконечных устройств сигнализации должны
использоваться датчики, не обладающие эффектом электроакустических
преобразований.
14. Требования к электронным идентификационным элементам:
1) в качестве электронного идентификационного элемента
пользователя подсистемы УЦ ОГИЦ должны использоваться электронные
носители, реализующие функции персонального электронного
идентификатора ОГИЦ;
2) в электронном идентификационном элементе должны быть
реализованы:
а) механизм выполнения арифметических операций в группе точек на
эллиптических кривых;
б) хранение и использование закрытого ключа ЭЦП, исключающие факт
доступа посторонних лиц к нему, или подозрение на такой доступ, в
принятой модели нарушителя, путем применения принципа разделения ключа
на отдельные доли.
15. Требования к носителям ключевой информации:
1) в качестве носителя ключевой информации для пользователя
подсистемы УЦ ОГИЦ должны использоваться носители, защищенные с
использованием средств криптографической защиты информации;
2) в носителе ключевой информации должны быть реализованы:
а) механизм выполнения операций в группе точек на эллиптических
кривых;
б) хранение и использование закрытого ключа ЭЦП, исключающие факт
доступа посторонних лиц к нему, или подозрение на такой доступ, в
принятой модели нарушителя, путем применения принципа разделения ключа
на отдельные доли.
16. Требования к основным техническим характеристикам.
Заданные функции подсистемы УЦ ОГИЦ должны быть реализованы ее
техническим средствам с следующими количественными характеристиками по
работоспособности, производительности и надежности:
1) подсистема УЦ ОГИЦ должна обеспечивать выполнение целевых
функций круглосуточно в течение всего года, используя необходимые
организационно-технические мероприятия, в частности резервирование и
внеплановую замену аппаратных компонентов, резервирование баз данных
подсистемы;
2) производительность подсистемы УЦ ОГИЦ должна характеризоваться
следующими данными:
а) программно-аппаратный комплекс, реализующий функции УЦ ОГИЦ
ПУ, должен обеспечивать возможность:
формирования до 360 сертификатов ключей подписей в сутки;
ведения архива сертификатов не менее чем на 2 000 000 СКП;
б) программно-аппаратный комплекс, реализующий функции УЦ ОГИЦ
ВУ, должен обеспечивать возможность:
формирования до 360 СКП пользователей УЦ на каждом
автоматизированном рабочем месте в сутки;
ведения архива сертификатов не менее чем на 2 000 000 СКП;
в) программно-аппаратный комплекс, реализующий функции подсистемы
ведения реестра(ов), должен обеспечивать возможность:
размещения информации не менее чем на 20 000 СКП уполномоченных
лиц удостоверяющих центров;
ведение архива не менее чем на 150 000 аннулированных СКП
уполномоченных лиц удостоверяющих центров;
размещения информации не менее чем на 20 000 СКП уполномоченных
лиц федеральных органов исполнительной власти;
ведение архива не менее чем на 150 000 аннулированных СКП
уполномоченных лиц федеральных органов исполнительной власти;
размещения информации не менее чем на 5 000 СКП уполномоченных
лиц информационных систем, взаимодействующих с ОГИЦ;
ведение архива не менее чем на 10 000 аннулированных СКП
уполномоченных лиц информационных систем, взаимодействующих с ОГИЦ;
размещения информации не менее чем на 10000 записей об
удостоверяющих центрах, взаимодействующих с УЦ ОГИЦ, включая записи о
текущем статусе взаимодействия с подсистемой УЦ ОГИЦ;
размещения информации не менее чем на 10000 записей о сервисах и
услугах, предоставляемых подсистемой УЦ ОГИЦ и взаимодействующими с
ней удостоверяющими центрами и информационными системами, включая
текущий статус;
размещения информации не менее чем на 10000 записей об объектных
идентификаторах, используемых в ОГИЦ;
3) программно-аппаратный комплекс, реализующий функции узла,
используемого для оказания государственных услуг в электронном виде
при трансграничном (междоменном и международном) взаимодействии,
должен обеспечивать возможность:
проверки действительности (подлинности) ЭЦП в электронном
документе при трансграничном электронном документообороте и
формирование квитанции от текущей даты проверки (метки времени) не
менее чем на 1000 документах в сутки;
проверки действительности (подлинности) ЭЦП в документе при
электронном документообороте между различными доменами внутри
Российской Федерации не менее чем на 10000 документах в сутки;
проверки действительности (подлинности) СКП, изготовленного иным
удостоверяющим центром, не менее чем на 10000 документах в сутки;
4) Программно-аппаратный комплекс, реализующий функции узла,
используемого для реализации сервисов в соответствии с перечнем
сервисов, содержащихся в подсистеме ведения реестров, должен
обеспечивать возможность:
определения актуального статуса сертификата ключа подписи в
режиме реального времени - не менее 50000 сертификатов в сутки (цифра
должна определяться для конкретной системы);
формирования штампов времени для не менее 50000 сертификатов в
сутки (цифра должна определяться для конкретной системы);
разбора не менее 10 ситуаций в сутки по подтверждению подлинности
ЭЦП уполномоченных лиц в выданных СКП;
5) программно-аппаратный комплекс, реализующий функции
автоматизированного рабочего места УЦ ОГИЦ, должен обеспечивать
возможность регистрации пользователя и выдачи сертификатов для не
менее 100 сертификатов в сутки;
6) носители ключевой информации и электронные идентификационные
элементы должны обеспечивать:
устойчивость к воздействию отказов и сбоев, в том числе
инициированных внешними воздействиями (облучениями);
эргономические и технические характеристики, пригодные для
массового производства и использования.
17. Требования по информационной безопасности:
1) средства криптографической защиты информации (включая средства
ЭЦП), используемые в подсистеме УЦ ОГИЦ, должны быть сертифицированы и
эксплуатироваться в полном соответствии с требованиями
эксплуатационной и нормативной документации;
2) уровень защиты используемых средств криптографической
информации должен быть указан в эксплуатационной документации УЦ;
3) требования по полномочиям:
Для выполнения функций УЦ ОГИЦ должно использоваться
разграничение членов группы администраторов по полномочиям;
4) требования к управлению доступом:
при выполнении функций в подсистеме УЦ ОГИЦ должно использоваться
управление доступом к таким объектам, как базы данных, ключи;
5) требования к идентификации и аутентификации:
идентификация и аутентификация должны включать в себя
распознавание пользователя, члена группы администраторов или процесса
и проверку их подлинности;
для аутентификации членов группы администраторов при их обращении
к средствам вычислительной техники, входящим в состав подсистемы УЦ
ОГИЦ, должны использоваться персональные идентификационные элементы
и/или периодически изменяющийся пароль;
регистрация владельца сертификата должна осуществляться только
при предъявлении им документов, удостоверяющих личность;
в подсистеме УЦ ОГИЦ должен быть реализован механизм
аутентификации удаленных пользователей, а также процессов при их
обращении к техническим средствам подсистемы УЦ ОГИЦ;
в подсистеме УЦ ОГИЦ должен быть реализован механизм
аутентификации локальных пользователей, имеющих доступ к техническим
средствам, входящим в состав подсистемы УЦ ОГИЦ, но не входящих в
состав группы администраторов.
18. Требования к программному обеспечению подсистемы УЦ ОГИЦ:
программное обеспечение вычислительных средств, на котором
функционирует подсистема УЦ ОГИЦ, не должно содержать средств отладки
программ, позволяющих модифицировать или искажать штатные алгоритмы
работы технических средств подсистемы УЦ ОГИЦ.
19. Требованиями к аппаратным компонентам подсистемы УЦ ОГИЦ:
аппаратные средства, на которых реализуются компоненты подсистемы
УЦ ОГИЦ, должны иметь соответствующие сертификаты качества.
20. Требования к надежности:
надежность подсистемы УЦ ОГИЦ должна обеспечиваться:
наличием в УЦ ОГИЦ механизмов резервного копирования баз данных
(включая все реестры);
использованием источников бесперебойного питания, обеспечивающим
поддержание работоспособности в течение 1 часа;
использованием комплектующих, которые имеют повышенную наработку
на отказ;
восстановлением работоспособности в течение времени, не
превышающего одного часа после отказа.
21. Требования к целостности технических средств:
в подсистеме УЦ ОГИЦ должны быть реализованы механизм контроля
несанкционированного случайного и/или преднамеренного искажения
(изменения, модификации) и/или разрушения информации, программных и
аппаратных компонентов подсистемы УЦ ОГИЦ, механизм контроля
целостности и восстановления целостности технических средств
подсистемы УЦ ОГИЦ.
22. Требования к ключевой информации:
закрытый ключ, используемый для подписи СКП и списка отозванных
сертификатов, должен использоваться только для этих целей и храниться
на отчуждаемом носителе;
должен быть определен порядок формирования ключевой информации,
порядок ее уничтожения, сроки действия всех ключей, описание
формируемой и/или хранимой в подсистеме УЦ ОГИЦ ключевой информации.
23. Требования к регистрации событий:
в подсистеме УЦ ОГИЦ должен быть реализован механизм,
производящий регистрацию событий в журнале, связанных с выполнением
подсистемой УЦ ОГИЦ своих целевых функций.
24. Требования к резервному копированию и восстановлению:
в подсистеме УЦ ОГИЦ должен быть реализован механизм резервного
копирования и восстановления УЦ ОГИЦ;
должна быть исключена возможность резервного копирования закрытых
ключей.
25. Требования по реализации организационно-технических мер
обеспечения информационной безопасности:
необходимость наличия лицензий на деятельности по техническому
обслуживанию шифровальных (криптографических) средств, а также их
распространению в соответствии с законодательством Российской
Федерации;
необходимость применения сертифицированных технических и
программных средств защиты информации;
необходимость ограничения прав доступа к техническим средствам;
необходимость опечатывания системных блоков и дверей защищенных
шкафов, исключающее возможность несанкционированного изменения
аппаратной части (целостность технических средств);
необходимость контроля целостности технических средств и
легальности установленных копий программного обеспечения на всех
компонентах подсистемы УЦ ОГИЦ.
26. Требования к порядку эксплуатации:
в процессе эксплуатации подсистемы УЦ ОГИЦ необходимо
обеспечивать поддержание штатного режима работы ее программно -
технических средств (далее - ПТС) при условии обязательного выполнения
мероприятий, направленных на обеспечение информационной безопасности
подсистемы УЦ ОГИЦ;
ответственность за проведение эксплуатационных мероприятий
возлагается на обслуживающий персонал и администраторов подсистемы УЦ
ОГИЦ.
27. Требования к проведению профилактических работ:
профилактические мероприятия, выполняемые в процессе эксплуатации
подсистемы УЦ ОГИЦ, должны охватывать общесистемное программное
обеспечение, аппаратные средства, межсетевые экраны.
28. Требования к резервному копированию данных:
при определении данных для архивного хранения и процедур ведения
архивов должна быть учтена возможность восстановления рабочего
состояния подсистемы ОГИЦ в целом и в отдельности УЦ ПУ ОГИЦ и УЦ ВУ
ОГИЦ;
порядок проведения работ по архивированию данных, их
периодичность и состав должны определяться регламентом УЦ;
администратор аудита должен регулярно осуществлять архивное
копирование журналов аудита на внешние носители информации;
данные архивные копии должны храниться в подсистеме УЦ ОГИЦ не
менее срока действия закрытого ключа УЦ ПУ ОГИЦ.
29. Требования к документированию:
в подсистеме УЦ ОГИЦ должны применяться унифицированные порядок и
правила документирования информации, операций и процессов в
соответствии с ГОСТ Р ИСО 15489-1-2007 "Управление документами. Общие
требования".
30. Требования к обеспечению безопасности при модернизации
программно-технических средств:
модернизация, а также изменение настроек программно-аппаратных
средств подсистемы УЦ ОГИЦ должны осуществляться в соответствии с
процедурой, определенной регламентом и внутренними инструкциями
подсистемы УЦ ОГИЦ;
все работы по модернизации и изменению настроек компонентов
подсистемы УЦ ОГИЦ должны согласовываться с уполномоченным органом в
области использования ЭЦП в соответствии с определенным им порядком.
31. Требования к обеспечению качества услуг, предоставляемых
подсистемой УЦ ОГИЦ:
для обеспечения качества услуг, предоставляемых подсистемой УЦ
ОГИЦ, должен проводиться постоянный контроль качества в соответствии с
правилами и процедурами, определенными ГОСТ Р ИСО 9001-2000 "Система
менеджмента качества" и внутренними инструкциями подсистемы УЦ ОГИЦ.
|
Фрагмент документа "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ТЕХНОЛОГИЯМ, ФОРМАТАМ, ПРОТОКОЛАМ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ, УНИФИЦИРОВАННЫМ ПРОГРАММНО-ТЕХНИЧЕСКИМ СРЕДСТВАМ ПОДСИСТЕМЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО ИНФОРМАЦИОННОГО ЦЕНТРА".