Sertifitseerimiskeskust reguleerivad sätted. Ülevaade tuumaelektrijaamade arendamisel kasutatavatest tehnoloogiatest ja nende kasutamisest tulenevatest ohtudest. Nõuded sertifitseerimiskeskuse vahenditele Nõuded sertifitseerimiskeskuse personaalarvutile

5. CA akrediteerimisele kehtivad järgmised nõuded:

1) KA netovara väärtus on vähemalt miljon rubla;

2) rahalise tagatise olemasolu kahjumite jaoks, mis tekivad kolmandatele isikutele nende usalduse tõttu sellise asutuse väljastatud elektroonilise allkirja kontrollvõtme sertifikaadis nimetatud teabe või sellise CA peetavas sertifikaatide registris sisalduva teabe suhtes summas vähemalt poolteist miljonit rubla;

3) elektroonilise allkirja ja CA vahendite olemasolu, mis on saanud kinnituse föderaalse täitevorgani poolt turvalisuse valdkonnas kehtestatud nõuete täitmise kohta;

4) vähemalt kahe töötaja olemasolu, kes on otseselt seotud elektroonilise allkirja kontrollvõtmete tunnistuste loomise ja väljastamisega, kellel on infotehnoloogia või infoturbe alal kõrgem erialane haridus või kõrgharidus või keskharidus koos järgneva ümberõppe või täiendõppega teemadel elektroonilise allkirja kasutamine.

KA ülesandeid täitvatele riigiasutustele, kohalikele omavalitsustele, riigi- ja omavalitsusasutustele ei kehti käesoleva lõike punktides 1 ja 2 kehtestatud nõuded.

III. Nõuded riikliku akrediteerimise taotluse osana sertifitseerimiskeskuse poolt esitatud dokumentide täielikkusele ja sisule

6. CA akrediteerimine toimub CA volitatud isiku poolt volitatud asutusele esitatud avalduse alusel (soovituslik avalduse vorm postitatakse volitatud asutuse ametlikule veebisaidile teabe- ja telekommunikatsioonivõrgu Internetis).

6.1. Taotluses märgitakse järgmine teave:

organisatsiooniline - juriidiline vorm ja CA (juriidilise isiku) nimi;

cA (juriidilise isiku) asukoht ja peamine riigi registreerimisnumber (OGRN);

cA (juriidilise isiku) maksumaksja identifitseerimisnumber.

7. Taotlusele on lisatud järgmised dokumendid (sealhulgas dokumendid, mis on vajalikud peakontori peakorteri vahenditest loodud elektroonilise allkirja kontrollvõtme kvalifitseeritud sertifikaadi (edaspidi kvalifitseeritud sertifikaat) tootmiseks):

1) dokument, mis kinnitab rahalise tagatise olemasolu vastutuse kandmiseks kolmandate isikute tekitatud kahju eest, mis on tekkinud nende usalduse tõttu sellise asutuse väljastatud elektroonilise allkirja kontrollvõtme sertifikaadis nimetatud teabe või sellise asutuse hallatavas sertifikaadiregistris sisalduva teabe suhtes, vähemalt kui poolteist miljonit rubla. Selline dokument võib olla:

vastutuskindlustusleping;

panga garantii;

garantiileping.

Kui pangagarantii on esitatud dokumendina, mis kinnitab vastutuse rahalise tagatise olemasolu, märgib taotleja pangagarantii andnud krediidiasutuse pangandustegevuse litsentsi numbri.

Kui vastutuskindlustusleping on esitatud dokumendina, mis kinnitab vastutuse rahalise tagatise olemasolu, kontrollib volitatud asutus lisaks kindlustuslepingus määratletud organisatsiooni olemasolu kindlustusüksuste ühtses riiklikus registris;

2) jooksev väljavõte bilansist, mis kinnitab, et KA netovara väärtus on vähemalt miljon rubla;

3) föderaalse täitevorgani poolt turvalisuse valdkonnas välja antud dokumendid, mis kinnitavad CA kasutatavate elektroonilise allkirja vahendite ja CA fondide vastavust föderaalse täitevorgani poolt turvalisuse valdkonnas kehtestatud nõuetele;

4) CA omandiõigust (arvutiprogrammi kasutamise õigust) või muud käesoleva lõike kolmandas lõigus nimetatud elektroonilise allkirja ja CA tööriistade kasutamise õiguslikku alust kinnitavad dokumendid;

5) dokumendid, mis kinnitavad, et CA personalis on vähemalt kaks töötajat, kes on otseselt seotud infotehnoloogia või infoturbealase kõrgema erialase haridusega või kõrgema või keskharidusega kutsealase haridusega elektrooniliste allkirjade kontrollimiseks tunnistustõendite loomise ja väljastamisega, millele järgneb ümberõpe või täiendõpe elektrooniliste allkirjade kasutamise kvalifikatsioon:

töölepingute koopiad (koos kinnitatud tööeeskirjade kohaldamisega);

infotehnoloogia või infoturbe valdkonna kõrgema erialase hariduse dokumentide koopiad (kehtestatud riikliku standardi diplom) või elektrooniliste allkirjade kasutamise ümberõppe või täiendõppe dokumentide koopiad (kehtestatud vormi sertifikaadid);

6) KA asutamisdokumendid või nende nõuetekohaselt kinnitatud ärakirjad;

7) juriidilise isiku riikliku registreerimise dokumentide nõuetekohaselt kinnitatud tõlge vene keelde vastavalt välisriigi õigusaktidele (välisriigi juriidiliste isikute puhul);

8) nimetatud dokumente saatnud volitatud isiku õigust tegutseda CA nimel volikiri või muu dokument.

Viiakse läbi selles punktis nimetatud dokumentide vastuvõtmine ja riigiteenuseid osutavate asutuste, munitsipaalteenuseid osutavate asutuste, muude riigiasutuste, kohalike omavalitsusorganite või riigiasutustele alluvate organisatsioonide või avalike teenuste osutamisel osalevate kohalike omavalitsusorganite käsutuses olevad dokumendid, sealhulgas sealhulgas elektroonilisel kujul, kasutades selleks ühe osakondadevahelise elektroonilise interaktsiooni süsteemi ja sellega ühendatud osakondadevahelise elektroonilise interaktsiooni piirkondlikke süsteeme volitatud asutuse vahelisel taotlusel.

Selles lõikes nimetatud dokumente võib CA esitada ise.

8. Lisaks võib akrediteerimist taotlev asutus esitada dokumente, mis kinnitavad:

cA tegevuse rakendamiseks vajalike litsentside olemasolu vastavalt Vene Föderatsiooni õigusaktide nõuetele;

cA sisestamine isikuandmeid töötlevate operaatorite registrisse;

vene Föderatsiooni õigusaktide nõuetele vastavate elektrooniliste allkirjade kasutamise valdkonnas sertifitseerimiskeskuse funktsioonide rakendamise, õiguste teostamise ja kohustuste täitmise korra olemasolu;

vastavus infosüsteemide infoturbe nõuetele või Venemaa FSTEC ja Venemaa FSB poolt nende volituste piires välja antud infoturbe nõuete täitmise järelduse koopia.

9. CA akrediteerimise taotlus ja sellele lisatud dokumendid on CA volitatud ametnikul õigus saata volitatud asutusele elektroonilise allkirjaga allkirjastatud elektroonilise dokumendi vormis.

Selles lõikes nimetatud avalduse ja dokumentide esitamine elektroonilise dokumendina toimub avalike teabe- ja telekommunikatsioonivõrkude kaudu, sealhulgas riigi- ja munitsipaalteenuste ühtse portaali kaudu.

Piisava juriidilise teabe puudumisel on võimatu teha teadlikke otsuseid nii majanduses kui ka poliitikas. See vajadus on eriti terav majandusliku ja poliitilise struktuuri reformimise perioodil. Vajaliku hulga juriidilise teabe õigeaegse edastamise vajaduse rahuldamise ülesannet lahendavad erinevad meediad.
  Selles valdkonnas konkureerivad nii traditsiooniline meedia kui ka viiteõigussüsteemid (CPS). Tõeliselt tõhusa PCA saab luua ainult tänapäevaseid infotehnoloogiaid kasutades. Sel viisil loodud ATP-d nimetatakse arvutiks.
  Arvuti viide ja õigussüsteem on tarkvarapakett, mis sisaldab hulgaliselt juriidilist teavet ja tööriistu sellega töötamiseks. Need tööriistad võimaldavad teil otsida dokumente, vormida dokumendikogu, printida dokumente või nende fragmente.
  Arvuti ATP eelised on ilmsed. See on teabe kättesaadavus ja sellega töötamise mugavus. Sellistele süsteemidele omane probleem - tõhususe puudumine - saab lahendada ülemaailmse Interneti abil.

Arvuti PCA aktiivse arendamise peamised põhjused Venemaal on ühelt poolt personaalarvutite kiire parendamine ja odavnemine ühelt poolt ning teiselt poolt riigi poliitilise ja majanduselu reformide tulemusel tekkinud suur hulk regulatiivseid ja muid juriidilisi dokumente. Praegu on juriidilise teabe kasutamisega seotud palju praktilisi probleeme, valdkondi, mida saab tõhusalt lahendada ainult arvuti ATP abil. Raamatupidamist saab sellistele valdkondadele täielikult omistada.

Arvutiviite õigussüsteem (PCA) on tarkvarapakett, mis sisaldab hulgaliselt juriidilist teavet ja tarkvaravahendeid, mis võimaldavad spetsialistil selle massiivi andmetega töötada: otsida konkreetseid dokumente või nende fragmente, genereerida vajalike dokumentide valikuid, trükkida teavet jne. d.

Arvutitehnoloogia kasutamine seadusandliku teabega töötamiseks algas 1960. aastate teisel poolel. Algul loodi abisüsteemid peamiselt elektrooniliste failikappide (“elektrooniliste kataloogide”) kujul. Nii sai 1967. aastal sündinud Belgia CREDOC-süsteem Euroopas esimeseks elektroonilise kaardi registriks juriidilise teabe otsimiseks arvutist.

Mõned arendusjärgus legaalsed elektroonilised arhiivikapid hakkasid tänu raamatukogude terminalide võrgule töötama interaktiivses režiimis ja muutusid kõigile tulijatele laialdaselt kättesaadavaks. Sellise süsteemi näiteks on Soome justiitsministeeriumi poolt 1982. aastal loodud FINLEX. Selle eesmärk on anda teavet kohtulahendite ja kohtupraktika kohta.

Kõigi oma eelistega ei võimalda elektroonilised failikapid tutvuda dokumentide täistekstiga, seetõttu on täisteksti süsteemid mugavamad, võimaldades mitte ainult peaaegu koheselt leida vajaliku dokumendi tohututest infomassiividest, vaid ka töötada leitud dokumendi tekstiga. 1967. aastal Ohio Advokatuuri ja DATA Corp vahelise kokkuleppe tulemusel. alustas Ameerika Ühendriikide ühe kuulsaima täisteksti viitesüsteemi (ATP) - LEXIS - väljatöötamist. Alates 1980. aastast on süsteem kasutajatele kättesaadavaks Suurbritannias ja alates 1985. aastast Austraalias. Iga päev vastab ta enam kui 20 tuhandele järelepärimisele; tema teabebaas sisaldab osariigi regulatiivseid dokumente ja föderaalse tähtsusega akte, sealhulgas USA põhiseaduse täisteksti ja kõiki USA kohtusüsteemi pretsedente.

Aja jooksul lisati LEXISe Suurbritannia õigus ja alates 1981. aastast Inglise kohtupretsedendid. Nüüd on selle süsteemi nimi LEXIS-NEXIS ja see on saadaval ka Interneti kaudu.

Praegu on kõigis majanduslikult arenenud riikides ATP ja mõnede hinnangute kohaselt on maailmas praegu üle saja sellise süsteemi.

Venemaal algas arvutiviidete õiguslike aluste väljatöötamine 1975. aasta juulis, kui Nõukogude Liidu juhtkond otsustas välja töötada juriidilise informatiivsuse. Selle otsuse rakendamise osana loodi 1976. aastal justiitsministeeriumi juurde õigusliku teabe teaduskeskus (NCLI). Keskuse põhieesmärk oli referentssüsteemide väljatöötamine ja normatiivaktide riigiraamatupidamine. Sel ajal võisid NCPI teabebaasi kasutada ainult teatud ministeeriumid, osakonnad ja riiklikud teadusorganisatsioonid ning lai juurdepääs teabele oli välistatud.

ATP kiire areng ja levik Venemaal algas 1980ndate lõpus ja 1990ndate alguses, kui ilmus esimene mitteriiklik ATP: 1989. aastal - USIS, 1991. aastal - käendaja, 1992. aastal. - "Konsultant Pluss".

Õigussüsteemide alus on elektroonilised andmebaasid ja juriidilise teabe pangad - see on nagu kogu süsteemi “aju ja süda”. Infotugi andmebaasides on lai valik dokumente: alates õigusloomealaste õigusaktide väljatöötamise koordineerimiskavadest kuni välismaiste õigusaktide aktideni välja. Praegu on Venemaal juba loodud arvukalt arvutikeskusi ja juriidilisi teabevõrke. Käivitunud võrgud katavad suurema osa Venemaa territooriumist ja pakuvad oma teenuseid sadadele tuhandetele kasutajatele. Nende keskuste ülesanded hõlmavad mitmesuguse juriidilise teabe kogumist, kogumist, süstematiseerimist, säilitamist ja tarbijatele pakkumist. Järgmised tooted ja neid välja töötanud ettevõtted on Venemaal kõige tuntumad:

  “Konsultant Pluss” (ettevõte “Konsultant Pluss”);

  “Garant” (tuumaelektrijaam “Garant-Service”);

  Codex (arvutiarenduse keskus);

  "Referents" (ettevõte "Referent-Service").

Riigiettevõtete loodud süsteemid valitsusasutuste juriidilise teabe vajaduste rahuldamiseks hõlmavad järgmisi süsteeme:

  Etalon (NTSPI Vene Föderatsiooni Justiitsministeeriumi alluvuses);

  "Süsteem" (STC "Süsteem" FAPSI-l).

Lisaks tutvustatakse Venemaa turul järgmisi süsteeme:

  USIS (ettevõte Intralex);

  Legal World (äri- ja õiguskirjastus);

  “Teie õigus” ja “Õigusnõustaja” (ettevõte “Infosüsteemid ja tehnoloogiad”);

  "Venemaa seadusandlus" (pangandustehnoloogiate arendamise ühing) ja mõned teised.

Vastavalt artikli 3 osale 3 Vene Föderatsiooni põhiseaduse artikli 15 kohaselt tuleks kõik seadused ja määrused avaldada üldiseks teabeks, seetõttu pole ükski arvuti õiguslik alus, välja arvatud SEK “Sistema”, regulatiivsete õigusaktide ametlik avaldamise allikas. Seega võimaldavad viiteõigussüsteemid saada täielikku ja usaldusväärset teavet juriidiliste küsimuste kohta, kuid neil on viite staatus. Seetõttu tuleb näiteks kohtu (või mõne muu asutuse) poole pöördudes viidata mitte õiguslikule alusele, vaid avaldamise ametlikule allikale.

Dokumentide otsing
  Kasutajal on võimalus valida süsteemis esitatud mitut tüüpi otsingute vahel, sõltuvalt soovitud dokumendi teabest. "Garandi" süsteem pakub nelja tüüpi otsingut:
otsi üksikasjade järgi - otsi dokumendi üksikasjadest;
  otsida olukorra järgi - otsida märksõnade abil, mis kirjeldavad olukorda, milles dokumenti vajatakse;
  klassifikaatorite järgi otsimine - kasutatakse konkreetse teema dokumentide valimiseks;
  otsi avaldamisallika järgi - võimaldab otsida dokumente teadaoleva allikaga.
  Mõelgem üksikasjalikumalt iga seda tüüpi otsingut.

Otsige üksikasjade järgi
  Sellist otsingut kasutatakse tavaliselt siis, kui me teame ette dokumendi sellised üksikasjad nagu tüüp, number, vastuvõtmise kuupäev, dokumendi aktsepteerinud asutus, dokumendi teksti fragment jne. Otsingu tingimusi saavad loogilised operaatorid kombineerida. Keeruka päringu edasiseks kiireks kasutamiseks saab selle salvestada.

Otsige olukorra järgi
  Kui dokumendi üksikasjad pole teada, on võimalik otsida olukorra järgi. Olukorra järgi otsimiseks kasutatakse sõnastikku, mis koosneb peamistest (kõige olulisematest) sõnadest, mis sisalduvad teabebaasi dokumentides. Päringu järjestikuseks täpsustamiseks jagatakse sõnastik kaheks - peamiseks ja üksikasjalikuks -, mis on esitatud puu kujul.
  Päringu genereerimise protsess olukorras otsimisel seisneb märksõna või sõnade valimises (päringus ühendab neid loogiline operaator "VÕI").
  Süsteemi praeguses versioonis on võimalik olukorra järgi salvestada ainult viimase otsingu tulemused, mis pealegi kaovad programmi sulgemisel.

Otsing klassifikaatorite järgi
  Klassifikaatorite järgi otsimine võimaldab teil luua konkreetsetel teemadel dokumendikogu. Selleks on süsteemis viis klassifikaatorit: üldine, milles on esitatud kõik andmebaasi dokumendid, ja spetsialiseeritud:
  kohtu- ja vahekohtupraktika;
  rahvusvahelised lepingud;
  selgitused ja kommentaarid;
  seaduseelnõud.
  Teatud teemale vastavate dokumentide otsimiseks võite kasutada otsingut üksikasjade järgi.

Otsing avaldamise allika järgi
  Selline otsing võimaldab teil otsida dokumente teadaoleva avaldamisallikaga ja on analoogne elektroonilises kataloogis elektrooniliste trükiste sisuga, mis avaldasid teabe andmebaasis sisalduvad dokumendid.

Dokumentide loendid ja kaustade kasutamine
Mis tahes süsteemis esindatud tüübi otsingu tulemusel moodustatakse taotlusele vastavate dokumentide loend. Selles loendis on dokumendi peamised üksikasjad ja neid saab järjestada. Otsingu tulemusel saadud loendeid saab hilisemaks kasutamiseks kausta salvestada. Süsteemiga "Garant" rakendatakse mitmetasandiline kaustasüsteem, millele saab lisaks rakendada liitumis- ja ristumisoperatsioone. Pärast programmi sulgemist salvestatakse kasutaja loodud kaustad.

"Infoturbe nõuded
cA kasutaja töökohal "

1. 
   Üldsätted

1. 
   Turvalised elektroonilised dokumendihaldussüsteemid.

Elektrooniliste dokumentide vahetamine turvalises elektroonilises dokumendihalduses osalejate vahel toimub elektroonilise digitaalallkirjaga. Teabe terviklikkus ja autentsus dokumentide vahetamisel tagatakse krüptograafilise teabe kaitse (CPSI) abil.

1. 
   Maksudeklaratsioonide ja finantsaruannete esitamine Vene Föderatsiooni IFTSile.

Elektroonilisi dokumente vahetatakse telekommunikatsiooniettevõtte, maksuameti ja maksumaksja vahel STEC-Trust turvalise dokumendihaldussüsteemi kaudu, et vahetada elektroonilisel kujul avatud ja konfidentsiaalset teavet elektroonilise digitaalallkirjaga. Süsteemi läbiva teabe terviklikkuse ja autentsuse tagab krüptograafiline teabekaitsesüsteem.

1. 
   Isikustatud raamatupidamisandmete esitamine UPFR-ile.

Elektroonilisi dokumente vahetatakse UPFRi ja kindlustusvõtja vahel STEC-Trust turvalise dokumendihaldussüsteemi kaudu, et vahetada elektroonilisel kujul avatud ja konfidentsiaalset teavet elektroonilise digitaalallkirjaga. Süsteemi läbiva teabe terviklikkuse ja autentsuse tagab krüptograafiline teabekaitsesüsteem.

1. 
   Teabe konfidentsiaalsus

Teabe konfidentsiaalsuse tagamiseks on KA kasutaja kohustatud täitma infoturbe tagamise nõudeid, mis juhinduvad normatiivsetest ja õigusaktidest sellise teabe kaitse valdkonnas, mis ei sisalda Vene Föderatsiooni riigisaladuseks tunnistatud teavet:

• 
  FAPSI 13. juuni 2001. aasta korraldus nr 152 „Krüptokaitseriistade abil krüptokaitsetööriistade abil andmete säilitamise, töötlemise ja edastamise ohutuse korraldamise ja turvalisuse tagamise juhendite kinnitamise kohta piiratud juurdepääsuga teabe jaoks, mis ei sisalda riigisaladust moodustavat teavet“ (registreeritud Vene Föderatsiooni Justiitsministeeriumis 06.08.). 2001 nr 2848)
• 
  FAPSI 23. septembri 1999. aasta määrus nr 158 “Piiratud juurdepääsuga teabe jaoks, mis ei sisalda riigisaladust sisaldavat teavet, krüptograafiliste kaitsevahendite väljatöötamist, tootmist, müüki ja kasutamist käsitleva määruse heakskiitmise kohta” (registreeritud Vene Föderatsiooni Justiitsministeeriumis 28. detsembril 1999 nr 2029).
• 
  20. veebruari 1995. aasta föderaalseadus nr 24-FZ (muudetud 10. jaanuaril 2003) “Teabe, informatsiooni ja teabe kaitse kohta” (vastu võetud Vene Föderatsiooni Föderaalse Assamblee Riigiduuma 25. jaanuaril 1995)
• 
  Töödokumentatsioon CIPF-is.

1. 
   CIPF- ja EDS-võtmete arvestamine, säilitamine ja kasutamine CA kasutaja poolt

1. 
   Telekommunikatsioonikanalite kaudu dokumentide vahetamiseks turvalises elektroonilises dokumendihaldussüsteemis tööd korraldav CA kasutaja (juriidiline või füüsiline isik) on kohustatud:
   • 
     määrab kindlaks ja kiidab heaks CIPF-i ning privaatsete krüpteerimisvõtmete ja digitaalallkirja omanike raamatupidamise, säilitamise ja kasutamise korra;
   • 
     pakkuda privaatsete krüpteerimisvõtmete ja digitaalallkirjade omanikele säilitustingimusi, mis välistavad neile volitamata juurdepääsu, võtmeteabe ja paroolide omavolilise kasutamise või kopeerimise võimaluse võtmete tühistamiseks.
2. 
   Nõuded eluruumidele, erivarustusele, turvalisusele ja turvalisusele ruumides, kus CIPF asub:
   • 
     Majutus, erivarustus, turvalisus ja režiim ruumides, kus asub krüptograafiline teabe kaitse (edaspidi nimetatud ruumid), peavad tagama teabe turvalisuse, krüptograafilise teabe kaitse ja krüpteerimisvõtmed ning digitaalallkirja, minimeerides krüptograafilise teabe kaitse kontrollimatu juurdepääsu võimalust ja vaatamata protseduure krüptograafilise teabe kaitseks volitamata isikute poolt.
   • 
     Ruumidesse lubamise järjekord määratakse kindlaks ettevõttesiseste juhenditega, mille väljatöötamisel võetakse arvesse konkreetse ettevõtte struktuuri eripära ja töötingimusi.
   • 
     Kui ruumid asuvad hoonete esimesel ja viimasel korrusel, samuti akende läheduses rõdude, tulekahju pääsemise jms olemasolul, on ruumide aknad varustatud metallvarraste, aknaluukide, valvesignalisatsiooni või muude vahenditega, mis välistavad lubamatu juurdepääsu ruumidele. Nendel ruumidel peaksid olema tugevad sissepääsuuksed, millele on paigaldatud usaldusväärsed lukud.
   • 
     Krüpteerimisvõtmete ja elektroonilise digitaalallkirja, normatiivse ja talitlusdokumentatsiooni, paigaldusketaste hoidmiseks on ruumid varustatud metallkappidega (panipaigad, seifid), mis on varustatud sisemiste lukkudega koos kahe võtmekoopiaga. Võlvide ja sissepääsude võtmete koopiad tuleks hoida ettevõtte juhtkonna määratud vastutava isiku seifis.
   • 
     Ettevõtte juhi kehtestatud ruumide kaitse kord peaks ette nägema turva- ja tulekahjusignalisatsioonisüsteemide tehnilise seisukorra perioodilise jälgimise ja turberežiimi järgimise.
   • 
     Krüptograafilise teabe kaitsesüsteemi paigutamine ja paigaldamine toimub vastavalt krüptograafilise teabe kaitsesüsteemi dokumenteerimise nõuetele.
   • 
     Krüptograafiliste teabekaitseseadmetega süsteemiplokid peaksid olema varustatud vahenditega nende avanemise jälgimiseks.
   • 
     CIPF-iga töötamiseks määratakse volitatud isikud, kes määrati organisatsiooni juhi vastava korraldusega ja kes uurisid CIPF-i kasutajadokumentatsiooni ja operatiivdokumentatsiooni ning turvalist dokumendihaldussüsteemi.
3. 
   CPSI tööjaama (AWS) haldamiseks ja elektrooniliseks teabe vahetamiseks krüptimisvõtmete ja elektroonilise digitaalallkirja abil volitatud isikud vastutavad isiklikult:
   • 
     konfidentsiaalse teabe hoidmine saladuses, mis sai neile teatavaks turvalise dokumendihaldussüsteemi ja CIPF-iga töötamise käigus;
   • 
     privaatsete krüpteerimisvõtmete ja digitaalallkirjade sisu konfidentsiaalse hoidmine ja nende ohtu sattumise eest kaitsmine;
   • 
     võtmekandjatega väljastatud võtmeteabe kandjate ja muude võtmedokumentide ohutus;
   • 
     paroolide salastatus krüptimisvõtmete ja digitaalallkirja tühistamiseks.
4. 
   Krüptograafilise teabe kaitsega töötamisel on keelatud:
   • 
     põhiteabe magnetkandjate loata kopeerimine;
   • 
     avaldada põhiteabe magnetiliste andmekandjate sisu, samuti edastada seda isikutele, kellel pole sellele juurdepääsu, kuvada ekraanil ja printeril põhiteavet, välja arvatud juhul, kui see on ette nähtud töödokumentatsioonis;
   • 
     kasutada CIPF-i ja turvalise dokumendihaldussüsteemiga töötamisel kahjustatud krüptimis- ja digitaalallkirjavõtmeid;
   • 
     sisestage võtmekeskkond arvuti ajal draivi, mis pole tavapärane võtmete kasutamise protseduur (teabe krüpteerimine / dekrüptimine, elektrooniliste digitaalallkirjade kontrollimine jne), samuti teiste personaalarvutite draividesse;
   • 
     kirjutage magnetilisele meediumile võtmeteavet kogu muu teabe kohta;
   • 
     jätke AWP juhtimiseta, kui toide on sisse lülitatud ja tarkvara on laaditud;
   • 
     teha CIPF-i tarkvaras muudatusi;
   • 
     kasutada töös kasutatud võtmeteabe magnetilisi kandjaid uue teabe salvestamiseks, hävitamata esmalt põhiteavet disketil, vormindades seda programmi abil, mis on osa teabe krüptokaitsest;
   • 
     jätke monitor silmapaistvaks. Programmiga töötamise pika või lühikese katkestuse ajal on vaja ekraan kustutada ja ekraani tegevust jätkata, kasutades tööjaama konfiguratsioonis täpsustatud pääsuparooli;
   • 
     salvestada paroole dokumentide kujul paberkandjal;
   • 
     teostage AWP-süsteemiüksuste loata avamine.

Süsteemiüksustele loata juurdepääsu tuvastamise korral tuleks töö nendel tööjaamadel peatada. Selle fakti osas tuleks läbi viia ametlik uurimine ja korraldada töö selle rikkumise negatiivsete tagajärgede analüüsimiseks ja kõrvaldamiseks.

1. 
   Riistvara ja tarkvara vahendid, mis kaitsevad teavet CA kasutaja automatiseeritud tööjaamale teabe loata juurdepääsu eest, peaksid pakkuma:
   • 
     parooli sisestamine;
   • 
     tarkvara ja teabe toe terviklikkuse kontrollimine;
   • 
     cA kasutaja tuvastamine turvalise dokumendihaldussüsteemi sissepääsu juures;
   • 
     cA kasutaja toimingute registreerimine elektroonilises ajakirjas.
2. 
   Infoturbeadministraatorile on määratud krüptograafiliste teabe kaitsevahendite, tarkvara kaitsmise ja riistvara kaitsmine loata juurdepääsu eest.
3. 
   Administraator nimetatakse organisatsiooni juhi korraldusega nende töötajate hulgast, kes on läbinud asjakohase väljaõppe ja kellel on sertifikaat ja (või) tunnistus krüptograafilise teabe kaitsevahendite paigaldamise ja kasutamise õiguse kohta.
4. 
   Infoturbe haldur on kohustatud salvestama krüptograafilise teabe kaitsesüsteemi toimimisega seotud toimingud ajakirja, kajastades selles põhiteabe või võtmedokumentide kompromiteerimise fakte, turvalises dokumendihaldussüsteemis esinevaid hädaolukordi, mis on seotud krüptograafilise teabe kaitse kasutamisega, plaanipärast hooldust (plaaniline võtme asendamine, sertifikaatide uuendamine) jne.).
5. 
   CA kasutaja vastutab selle eest, et CIPF-i ja turvalise töövoo süsteemi toimimist segavaid programme (sealhulgas viirusi) ei installita ega töötata arvutisse, kuhu CIPF ja turvaline dokumendihaldussüsteem on installitud.
6. 
   Kui krüptograafilise teabe kaitsevahendiga varustatud töökohal leitakse kolmandate osapoolte programme või viirusi, mis rikuvad määratletud vahendeid, tuleks töötamine selle töökoha teabekaitsevahenditega peatada ja võtta tarvitusele meetmed selle rikkumise negatiivsete tagajärgede analüüsimiseks ja kõrvaldamiseks.

1. 
   CA kasutaja toimingud peamise kompromissi korral

1. 
   Peamised kompromissüritused hõlmavad:
   • 
     võtme diskettide kaotus;
   • 
     võtme diskettide kadumine koos järgneva tuvastamisega;
   • 
     põhiteabele juurdepääsu saanud töötajate vallandamine;
   • 
     põhiteabe ja võtmehoidjate säilitamise eeskirjade rikkumine;
   • 
     teabe lekkimise või selle moonutamise kahtlus turvalises dokumendihaldussüsteemis;
   • 
     võtmekandjaid salvestava seifi pitseri rikkumine;
   • 
     volitamata kopeerimine ja muud juhtumid, mille tagajärjel võiksid EDS-i privaatsed võtmed ja krüptimine saada volitamata isikutele ja (või) protsessidele kättesaadavaks.

CA kasutaja peab iseseisvalt tuvastama privaatvõtme ohustamise fakti ja hindama selle sündmuse väärtust CA kasutaja jaoks. Krüptograafilise teabe kaitsesüsteemi ja turvalise dokumendihaldussüsteemi abil edastatud konfidentsiaalse teabe kahjustamise tagajärgede otsimist ja lokaliseerimist korraldab ja viib ellu CA kasutaja.

1. 
   EDS privaatvõtmete ja krüptimise ohustamisel juhindub CA kasutaja „Sertifitseerimisasutuse reeglitest“. CA kasutaja toimingud on järgmised:
   • 
     kohe lõpetage kahjustatud krüptimisvõtmete ja digitaalallkirja kasutamine;
   • 
     põhiteabe ohustamisest viivitamata teavitama sertifitseerimisasutuse haldurit;
   • 
     ühe tööpäeva jooksul saatke sertifitseerimisasutusele avaldus rikutud digitaalallkirja ja krüptimise privaatsete võtmete sertifikaatide tühistamise kohta, mis on kinnitatud käsitsi kirjutatud allkirja ja organisatsiooni pitseriga. Rakendus peab sisaldama kahjustatud EDS-i identifitseerimisparameetreid ja krüptimisvõtmeid.

Sertifitseerimisasutuse administraatoriga lepitakse kokku kuupäev ja kellaaeg, hiljemalt EDS-i privaatsete võtmete ja krüptimise ohus olemine. Kuupäev ja kellaaeg, millest alates loetakse EDS-i ja krüpteerimisvõtme sertifikaate kehtetuks turvalises dokumendihaldussüsteemis, võrdsustatakse allkirja võtme sertifikaadi kehtetuks tunnistamise kuupäeva ja kellaajaga sertimisasutuse tühistatud sertifikaatide loendis.

VENEMAA FÖDERATSIOONI JA MASSIDE KOMMUNIKATSIOONI MINISTEERIUM

TELLIMINE

23.11.2011 №320

Sertifitseerimiskeskuste akrediteerimise kohta

Vastavalt 6. aprilli 2011. aasta föderaalseaduse nr 63-ФЗ elektrooniliste allkirjade kohta (Vene Föderatsiooni õigusaktide kogumik, 2011, nr 15, artikkel 2036; nr 27, artikkel 3880) 8. artikli 4. osa punktile 3

personalidokumendid, sealhulgas elektrooniliste allkirjade kontrollimiseks võtmesertifikaatide loomisega ja väljastamisega otseselt seotud töötajate töölepingute koopiad (koos tööeeskirjade kohaldamisega) ning töötajate dokumentide koopiad, mis on otseselt seotud võtmesertifikaatide loomise ja väljastamisega kõrghariduse valdkonnas kõrgharidusega elektrooniliste allkirjade kontrollimiseks infotehnoloogia või infoturve (kehtestatud riikliku standardi diplom) või elektrooniliste allkirjade kasutamise ümberõppe või täiendõppe dokumentide koopiad (kehtestatud standardi tunnistus);

vajalike tegevuste elektroonilise allkirja föderaalseaduse rakendamiseks vajalikud litsentsid ja muud load.

15. Dokumentaalse auditi läbiviimisel ei ole volitatud asutusel õigust nõuda auditeeritavalt asutuselt teavet ja dokumente, mis pole seotud dokumentide auditeerimise teemaga, samuti teavet ja dokumente, mida see organ võib saada teistelt riigi kontrolli (järelevalve) organitelt, sealhulgas föderaalselt. turvalisuse valdkonnas täidesaatev võim, omavalitsuse kontrolliasutused.

VPõldtunnustamine

16. Kohapealse kontrolli objektiks on CA dokumentides sisalduv teave, samuti nende töötajate ja CA teenistuste pakutavate CA tehniliste seadmete vastavus föderaalse elektroonilise allkirja seaduses kehtestatud nõuetele.

17. Kohapealne kontroll (nii planeeritud kui ka planeerimata) viiakse läbi akrediteeritud CA asukohas ja (või) CA tegeliku tegevuse kohas.

18. Väljumisaudit viiakse läbi juhul, kui dokumentaalse auditi käigus ei ole võimalik kontrollida käesoleva korra punktis 14 nimetatud CA dokumentides sisalduva teabe täielikkust ja usaldusväärsust, kinnitades selle vastavust föderaalse elektroonilise allkirja seaduse föderaalseadusele või kontrollida, kas CA vastab volitatud esindaja nõuetele. keha.

19. Kohapealne audit algab teenistussertifikaadi esitamisega volitatud asutuse ametnike poolt, CA juhi või muu ametniku kohustuslikust tutvumisest volitatud asutuse juhi korraldusega kohapealse auditi määramise kohta ja kohapealsete inspektorite volitustega, samuti kohapealse kontrolli eesmärkidega, eesmärkidega ja alustega , kontrollimeetmete liigid ja ulatus, ekspertide, ekspertorganisatsioonide esindajate ja kohapealse auditiga seotud esindajate koosseis koos läbiviimise tingimustega.

20. KA juht, muu ametnik või volitatud esindaja peab võimaldama kohapealset kontrolli teostava volitatud asutuse ametnikel tutvuda kohapealse kontrolli eesmärkide, eesmärkide ja teemaga seotud dokumentidega, samuti võimaldama juurdepääsu kohapealset kontrolli teostavatele ja kontrollimisel osalevatele ametnikele. ekspertide, territooriumil asuvate ekspertorganisatsioonide esindajate kohapealne kontroll CA-le, mida kasutatakse hoone, rajatise, ehitise, ruumide tegevuse läbiviimisel, CA kasutatava riist- ja tarkvara suhtes.

21. Volitatud asutusel on õigus kohapealse kontrolli läbiviimiseks kaasata eksperte ja ekspertorganisatsioone, kes ei ole tsiviilõiguslikes ja töösuhetes juriidilise isikuga, üksikettevõtjaga, kelle suhtes auditeerimine toimub ja kes ei ole auditeeritavate isikute sidusettevõtted. Oma pädevuse piires võib akrediteeritud asutuste kohapealse kontrolli läbiviimisesse kaasata ka muude valitsusasutuste töötajaid.

Akrediteeritud CA-de poolt elektroonilise allkirja ja sertifitseerimiskeskuse vahendite kasutamise vastavuse kinnitamiseks tehnilise ja tegevusdokumentatsiooni nõuetele osalevad föderaalse täitevorgani töötajad turvalisuse valdkonnas akrediteeritud CA-de kohapealsete kontrollide läbiviimisel.

VI. Auditi tulemused

22. Volitatud asutuse ametnike tehtud auditi tulemuste põhjal koostatakse akt kahes eksemplaris kehtestatud kujul.

Kontrollimistoimingus märgitakse:

1) ülevaatuse akti koostamise kuupäev, kellaaeg ja koht;

2) volitatud asutuse nimi;

3) volitatud asutuse juhi kuupäev ja korralduse number;

4) revisjoni läbi viinud ametniku või ametnike perekonnanimed, eesnimed, isanimed (olemasolu korral) ja ametikohad;

5) kontrollitud akrediteeritud KA nimi, samuti auditi ajal viibinud juriidilise isiku muu ametniku või volitatud esindaja ees- ja perekonnanimi, isanimi ja ametikoht;

6) auditi kuupäev, kellaaeg, kestus ja koht (koht);

7) teave auditi tulemuste, sealhulgas ilmnenud kohustuslike nõuete ja valla õigusaktidega kehtestatud nõuete rikkumiste, nende olemuse ja neid rikkumisi toime pannud isikute kohta;

8) teave auditi ajal viibinud juhi, muu juriidilise isiku ametniku või volitatud esindaja, üksikettevõtja, tema volitatud esindaja audiitoritunnistusega tutvumise või tutvumisest keeldumise kohta, nende allkirjad või allkirjastamisest keeldumine, samuti teave auditeerimispäevikusse kannete tegemine auditi kohta või sellise kande tegemise võimatuse kohta juriidilise isiku või üksikettevõtja puudumise tõttu määratletud üksuses;

9) kontrolli teinud ametniku või ametnike allkirjad.

23. Kontrolliakt antakse välja kohe pärast selle vormistamist kahes eksemplaris, millest üks koos taotluste koopiatega antakse juhile, teisele CA ametnikule või volitatud esindajale kontrolliaktiga tutvumise või sellest keeldumise saamisel.

CA juhi, muu ametniku või volitatud esindaja äraolekul, samuti juhul, kui kontrollitav keeldub tutvumiskviitungit tutvumast või tõendamisaktiga tutvumisest keeldumise korral, saadetakse akt tähtkirjaga koos kättetoimetamiskviitungiga, mis on lisatud säilitatava kontrolliakti koopiale. volitatud asutuse korral.

24. Juhul kui akrediteeritud CA ei vasta föderaalse elektroonilise allkirja seaduse nõuetele, annab volitatud asutus pärast kontrolli lõpetamist CA-le korralduse rikkumised ettenähtud tähtaja jooksul kõrvaldada ja peatab CA-de akrediteerimise antud perioodiks, sisestades selle teabe akrediteeritud sertifitseerimiskeskuste loendisse, kelle akrediteering peatatud.

25. CA rikkumiste kõrvaldamata jätmise avastamisel ettekirjutuses kehtestatud tähtaja jooksul tühistab volitatud asutus CA akrediteerimise, kannab vastava teabe nende sertifitseerimiskeskuste loendisse, mille akrediteerimine on tühistatud, ja saadab CA-le teate akrediteerimise tühistamise kohta, märkides ära põhjused.

Vastavalt 6. aprilli 2011. aasta föderaalseaduse nr 63-ФЗ „Elektroonilise allkirja kohta” (Vene Föderatsiooni kollektiivseadusandluse seadus, 2011, nr 15, artikkel 2036; nr 27, artikkel 3880) artikli 8 teise osa esimesele lõigule.

Kooskõlas 26. detsembri 2008. aasta föderaalseaduse nr 294-ФЗ „Juriidiliste isikute ja üksikettevõtjate õiguste kaitse kohta riikliku kontrolli (järelevalve) ja kohaliku omavalitsuse kontrolli teostamisel” artikli 12 lõikega 5 (Venemaa Föderatsiooni kollektiivseadusandluse seadus, 2008, nr 52) Kunst 6249; 2009, nr 18, artikkel 2140; nr 29, artikkel 3601; nr 48, artikkel 5711; nr 52, artikkel 6441; 2010, nr 17, artikkel 1988; nr 18, artikkel 21424 3. 31, artikkel 4160, artikkel 4193, artikkel 4196; nr 32, artikkel 4298; 2011, nr 1, artikkel 20; nr 17, artikkel 2310, nr 23, artikkel 3263; nr 27, artikkel 3880 ; Nr 30, artikkel 4590; nr 48, artikkel 6728).

Elektrooniliste allkirjade autentsuse kontrollimiseks kasutatavate elektrooniliste allkirjade kontrollimisvõtmete (avalike võtmete) õigsuse tagamiseks kehtestatakse fikseeritud elektrooniliste allkirjade seaduses sertifitseerimiskeskuste mehhanism. Föderaalseaduse kohaselt iseloomustatakse sertifitseerimisasutust järgmiselt.

Inspireeriv Istr:

• 1. loob võtmesertifikaadid elektrooniliste allkirjade kontrollimiseks ja väljastab sellised sertifikaadid isikutele, kes neid taotlesid (taotlejad);
• 2. kehtestab võtmesertifikaatide kehtivusaja elektrooniliste allkirjade kontrollimiseks;
• 3. tühistama selle sertifitseerimiskeskuse väljastatud sertifikaadid elektrooniliste allkirjade kontrollvõtmete jaoks;
• 4. väljastab taotleja nõudmisel elektroonilise allkirja vahendid, mis sisaldavad elektroonilise allkirja võtit ja elektroonilise allkirja kontrollvõtit (sealhulgas sertifitseerimiskeskuse loodud) või võimaldavad taotlejal luua elektroonilise allkirja võtme ja elektroonilise allkirja kontrollvõtme;
• 5. peab selle sertifitseerimiskeskuse väljastatud ja tühistatud elektrooniliste allkirjade kontrollimise võtmesertifikaatide registrit, sealhulgas teavet selle sertifitseerimiskeskuse väljaantud elektrooniliste allkirjade kontrollimise võtme sertifikaatides ning teavet elektroonilise allkirja kontrollimise võtme sertifikaatide kehtivuse lõppemise või tühistamise kuupäevade ja sellise lõpetamise või tühistamise põhjused;
• 6. kehtestab kvalifitseerimata sertifikaatide registri pidamise korra ja sellele juurdepääsu korra, samuti annab üksikisikutele juurdepääsu sertifikaatide registris sisalduvale teabele, sealhulgas teabe- ja telekommunikatsioonivõrgu Interneti kasutamise teel;
• 7. loob taotleja taotlusel elektrooniliste allkirjade võtmed ja võtmed elektrooniliste allkirjade kontrollimiseks;
• 8. kontrollib sertifikaatide registris olevate elektrooniliste allkirjade kontrollimise võtmete ainulaadsust;
• 9. teostab elektroonilises suhtluses osalejate taotlusel elektrooniliste allkirjade kontrollimist;
• 10. teostab muid elektrooniliste allkirjade kasutamisega seotud tegevusi.

Sertifitseerimisasutus:

• 1. teavitama taotlejaid kirjalikult elektrooniliste allkirjade ja elektrooniliste allkirjade kasutamise tingimustest ja korrast, elektrooniliste allkirjade kasutamisega seotud ohtudest ning meetmetest, mis on vajalikud elektrooniliste allkirjade ohutuse tagamiseks ja nende kontrollimiseks;
• 2. tagama sertifikaatide registris sisalduva teabe asjakohasuse ning selle kaitse loata juurdepääsu, hävitamise, muutmise, blokeerimise ja muude ebaseaduslike toimingute eest;
• 3. andma igale isikule tema soovil vastavalt kehtestatud korrale tasuta juurdepääsu sertifikaatide registrisse sertifikaatide registris sisalduvat teavet, sealhulgas teavet sertifikaadi sertifikaadi võtme elektroonilise allkirja tühistamise kohta;
• 4. tagama sertifitseerimiskeskuse loodud elektrooniliste allkirjade võtmete konfidentsiaalsuse.

Sertifitseerimisasutus vastutab vastavalt Vene Föderatsiooni seadustele kolmandatele isikutele tekitatud kahju eest, mis on põhjustatud:

• 1. sertifitseerimiskeskuse poolt teenuse osutamise lepingust tulenevate kohustuste täitmata jätmine või mittenõuetekohane täitmine;
• 2. käesolevas föderaalseaduses sätestatud kohustuste täitmata jätmine või ebaõige täitmine.

Sertifitseerimiskeskusel on õigus volitada volikirju volitama looma ja väljastama sertifitseerimiskeskuse nimel e-allkirja kontrollimise võtmete sertifikaate, mis on allkirjastatud elektroonilise allkirjaga selle sertimiskeskuse volitatud isikule väljastatud elektroonilise allkirja kontrollimise võtme sertifikaadi alusel.

Sertifitseerimisasutus on volikirjade osas juhtiv sertifitseerimisasutus, mis täidab järgmisi funktsioone:

• 1. teostab elektrooniliste allkirjade kontrollimist, mille kontrollvõtmed on märgitud volikirjade väljastatud elektrooniliste allkirjade kontrollimisvõtmete sertifikaatides;
• 2. Hoolitseb nii volikirjade kui ka sertifitseerimiskeskusega puhverserverite vahelise elektroonilise suhtluse eest.

Vastavalt föderaalseadusele elektrooniliste allkirjade kohta võib sertifikaadi võtit elektrooniliste allkirjade kontrollimiseks kirjeldada järgmiselt.

Sertifitseerimisasutus loob ja väljastab sertifikaadi väljastaja ja taotleja vahel sõlmitud lepingu alusel elektroonilise allkirja kontrollvõtme sertifikaadi.

Elektroonilise allkirja kontrollvõtme sertifikaat peab sisaldama järgmist teavet:

• 1. kehtivuse algus- ja lõppkuupäev;
• 2. perekonnanimi, nimi ja perekonnanimi (kui see on olemas) - üksikisikute jaoks, nimi ja asukoht - juriidiliste isikute jaoks või muu teave, mis võimaldab tuvastada sertifikaadi sertifikaadi võtme elektroonilise allkirja omaniku;
• 3. elektrooniliste allkirjade võtmekontroll;
• 4. kasutatud elektroonilise allkirja vahendite nimi ja (või) standardid, mille nõuded vastavad elektroonilise allkirja võtmele ja elektroonilise allkirja kontrollimise võtmele;
• 5. elektrooniliste allkirjade sertifikaatide võtme kontrollimist väljastanud sertimiskeskuse nimi;
• 6. Muu teave, mis on ette nähtud föderaalseaduse „Elektroonilisi allkirju” artikli 17 lõikes 2 - kvalifitseeritud sertifikaadi jaoks (sertifikaat, elektrooniliste allkirjade kontrollimise võti, mille on välja andnud akrediteeritud sertifitseerimiskeskus või akrediteeritud sertifitseerimiskeskuse usaldusisik või föderaalset täitevorganit, kes on volitatud kasutama elektroonilisi allkirju) allkirjad).

Sertifitseerimiskeskusel on õigus väljastada võtmesertifikaate elektrooniliste allkirjade kontrollimiseks nii elektrooniliste dokumentide kui ka paberkandjal dokumentide kujul. Elektroonilise dokumendi vormis väljastatud elektroonilise allkirja kontrollvõtme sertifikaadi omanikul on samuti õigus saada paberkandjal elektroonilise allkirja kontrollimise võtme sertifikaadi koopia, mille on sertifitseerinud keskus.

Elektroonilise allkirja kontrollvõtme sertifikaat kehtib selle väljastamise hetkest, kui just elektroonilise allkirja kontrollvõtme sertifikaadis ei ole sellise sertifikaadi kehtivuse alguskuupäevaks määratud muud kuupäeva. Teave elektroonilise allkirja kontrollvõtme sertifikaadi kohta peab sertifitseerimiskeskus sisestama sertifikaatide registrisse hiljemalt sertifikaadi alguse kuupäeval.

Elektroonilise allkirja kinnitusvõtme sertifikaat aegub:

• 1. seoses kindlaksmääratud kehtivusaja lõppemisega;
• 2. paberkandjal dokumendi või elektroonilise dokumendi vormis esitatud elektroonilise allkirja sertifikaadi sertifikaadi võtme omaniku avalduse alusel;
• 3. sertifitseerimiskeskuse tegevuse lõpetamise korral selle funktsioone teistele isikutele üle andmata;
• 4. muudel juhtudel, eriti sertifitseerimiskeskuse ja sertifikaadisertifikaadi võtme elektroonilise allkirja omaniku vahelise kokkuleppe alusel.

Teave elektroonilise allkirja kontrollvõtme sertifikaadi kehtivuse lõppemise kohta peab sertimiskeskus sisestama sertifikaatide registrisse. Elektroonilise allkirja kontrollvõtme sertifikaadi kehtivus lõpeb alates sellekohase kande tegemisest sertifikaatide registris.

Föderaalse seaduse „Elektrooniliste allkirjade kohta” kohaselt kiitis föderaalne turvateenistus heaks „Nõuded sertifitseerimiskeskuse vahenditele”.

Nõuded on mõeldud välja töötatud (moderniseeritud) sertifitseerimiskeskuse tööriistade klientidele ja arendajatele, kui nad suhtlevad omavahel, sertifitseerimiskeskuse tööriistade krüpto-, insener-krüptograafilisi ja eriuuringuid teostavate organisatsioonidega ning Venemaa Föderaalse Julgeolekuteenistusega, mis kinnitab sertifitseerimiskeskuse rahaliste vahendite vastavust nõuetele.

Nõuded kehtivad fondidele, mis on ette nähtud kasutamiseks Vene Föderatsiooni territooriumil, välismaal asuvates Vene Föderatsiooni asutustes ja välismaal asuvate juriidiliste isikute eraldi filiaalides, mis on moodustatud vastavalt Vene Föderatsiooni õigusaktidele.

Sertifitseerimiskeskuse vahendite arendamisel, tootmisel, müümisel ja kasutamisel kehtivad määruses PCZ-2005 sätestatud nõuded.

Sertifitseerimiskeskuse vahendid peavad vastu pidama ohtudele, mis on riistvara ja (või) tarkvara abil suunatud toimingud, et rikkuda tehnilist, tehnilist ja krüptograafilist turvalisust või luua selleks tingimused.

Sõltuvalt suutlikkusest rünnakutele vastu seista, jaotatakse sertifitseerimiskeskuse vahendid klassidesse, mis langevad kokku elektroonilise allkirja vahendite klassidega. Arendatud (täiendatud) vahendite vajaliku klassi määrab klient (arendaja), määrates rikkuja võimalused sertifitseerimiskeskuse vastu rünnakuid ette valmistada ja rünnata.

Sertifitseerimiskeskuse genereeritud digitaalallkirja kinnitusvõtme sertifikaadid ja tühistatud sertifikaatide loendid peavad vastama rahvusvahelistele soovitustele ITU-T X.509.

Kvalifitseerimata ja kvalifitseeritud elektroonilise allkirja sertifikaadi saamiseks peate võtma ühendust ühega sertifitseerimiskeskustest. Milliseid funktsioone sertifitseerimisasutused täidavad ja kui kaua võtab sertifikaadi saamine aega?

Sertifitseerimisasutus (CA) - usaldusväärne organisatsioon, kellel on õigus väljastada juriidilistele ja eraisikutele elektroonilise allkirja sertifikaate. KA töö asub kohtupraktika, infoturbe ja IT-tehnoloogiate ristumiskohas.

KA vastutus hõlmab järgmist:

• kontrollida elektroonilise allkirja sertifikaati taotlenud isiku isikut,
• toota ja väljastada sertifikaat, mis sisaldab teavet sertifikaadi omaniku ja tema avaliku kontrollvõtme kohta,
• haldama sertifikaadi olelustsüklit (väljaandmine, peatamine, pikendamine, aegumine).

Millist tüüpi allkirju CA väljastab?

Määratletud on kolme tüüpi allkirju:

• lihtne
• tugevdatud lihttöölised

CA-s on vaja vastu võtta kaks viimast:

• kvalifitseeritud allkirja saamiseks peate taotlema ainult Vene Föderatsiooni Kommunikatsiooniministeeriumi poolt akrediteeritud sertimiskeskust.
• lihttööliste jaoks - CA-s, mis on seotud infosüsteemiga, kus allkirja on kavas rakendada. Näiteks võivad kvalifitseerimata sertifikaate väljastada kauplemiseks ainult kuus föderaalse elektroonilise kauplemiskeskuse poolt akrediteeritud CA-d. Lisaks ei pruugi CA olla akrediteeritud kommunikatsiooniministeeriumile.

CA nõuded

Usaldus kõigis ärivaldkondades, kus kasutatakse elektroonilisi allkirju, sõltub CA korrektsest toimimisest: elektrooniline pakkumine, infosüsteemid, aruandlus. Seetõttu kehtestatakse kõigile pädevatele asutustele tõsised tehnilised ja juriidilised nõuded.

Sertifitseerimiskeskuse hindamiseks on mitmeid näitajaid. Usaldusväärne CA:

• akrediteeritud Vene Föderatsiooni Sideministeeriumi poolt,
• on föderaalse maksuteenistuse PFR usaldusväärne keskus, Rosstat,
• fSTEC litsentseeritud konfidentsiaalse teabe tehniliseks kaitseks,
• venemaa FSB riigisaladuse litsentsimise, sertifitseerimise ja kaitse keskuse litsents,
• akrediteeritud kõigile elektrooniliste riigihangete kauplemiskohtadele,
• pikk jooks
• omab esindajaid Venemaa erinevates piirkondades
• pakub ööpäevaringset tehnilist tuge

Kui kaua allkirjasertifikaadi saamine võtab?

Sertifikaadi väljaandmise aeg sõltub mõlemalt poolelt:

• selle kohta, kui kiiresti klient kõik vajalikud dokumendid ette valmistab ja sertifikaadi väljaandmise eest maksab,
• kui kiiresti CA spetsialistid taotlust töötlevad, dokumente kontrollivad ja tema isikut kontrollivad.

Keskmiselt võtab sertifikaadi saamine aega 1 tööpäev. CC SKB Konturis on teenus elektroonilise allkirja kiireks väljastamiseks 1 tund pärast vajalike dokumentide saamist.