1. Перечень сокращений

Вид материалаДокументы

Содержание


3.Нормативные документы
4.Цель проведения испытаний
5.Проверка документации
Подобный материал:
1   2   3   4   5   6

3.Нормативные документы


В настоящем Документе использованы ссылки на следующие нормативные акты:
  1. Федеральный Закон от 10.01.2002 № 1 ФЗ «Об электронной цифровой подписи».
  2. Федеральный Закон от 08.08.2001 № 128 ФЗ «О лицензировании отдельных видов деятельности».
  3. Федеральный Закон от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации».
  4. Федеральный Закон от 27.12.2002 № 184 ФЗ «О техническом регулировании».
  5. ГОСТ 28147 89 «Алгоритм шифрования».
  6. ГОСТ Р 34.10 94, ГОСТ Р 34.10 2001 «Информационная технология криптографическая защита информации процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».
  7. ГОСТ Р 34.11-94 «Информационная технология криптографическая защита информации Функция хэширования».
  8. ГОСТ Р 50922 96 «Защита информации. Основные термины и определения. Государственные стандарты и другие документы Госстандарта России».
  9. ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения».
  10. ГОСТ Р 51275 99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
  11. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
  12. Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ 2005)».
  13. Положение о сети доверенных удостоверяющих центров Федеральной налоговой службы, утвержденное Приказом ФНС России от 13.06.2006 № САЭ-3-27/346@
  14. Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертияикатам ключей электронной цифровой подписи, утвержденные Приказом ФНС России от 02.07.2009 г. №ММ-7-6/353.

4.Цель проведения испытаний


Испытания удостоверяющего центра – претендента на подключение к Сети Доверенных УЦ (далее Претендента) проводятся для определения качества услуг, предоставляемых Претендентом, уровня безопасности обрабатываемых им данных, а также с целью обеспечения совместимости технических решений, применяемых Претендентом с решениями, используемыми в Сети Доверенных УЦ.

Проверке подлежат следующие элементы Претендента:
  • документация;
  • организационные меры по защите обрабатываемых данных;
  • технические меры по защите обрабатываемых данных;
  • квалификация персонала, обеспечивающего выполнение функций удостоверяющего центра;
  • технические решения, обеспечивающие выполнение функций удостоверяющего центра.

Методика испытаний составлена в виде алгоритма действий по проверке, где указаны предмет проверки, состав проверки и результат проверки.

Все требования разделены на обязательные и рекомендованные. Проверка выполнения обязательных требований производится по документам, предоставляемым Претендентом в ФГУП ГНИВЦ ФНС России. Выполнение рекомендованных требований проверяется в непосредственной работе с Претендентом. Рекомендованные требования отмечены ­ – Рекомендуемое требование.


5.Проверка документации


Перед началом испытаний проверяется комплектность и содержание предъявляемых Претендентом документов.

Комплект должен содержать следующие документы,:
  1. Заявление на имя Руководителя ФГУП ГНИВЦ ФНС России о подключении к Сети Доверенных УЦ (см. Приложение Д).
  2. Нотариально заверенные копии лицензий и сертификатов, подтверждающих право на деятельность, связанную с защитой конфиденциальной информации и работой с шифровальными (криптографическими) средствами.
  3. Копии учредительных документов и свидетельства о государственной регистрации в качестве юридического лица (с предъявлением оригиналов в случае, если копии не заверены нотариусом).
  4. Копию свидетельства о постановке на учет в налоговом органе (с предъявлением оригинала в случае, если копия не заверена нотариусом).
  5. Копию свидетельства о регистрации юридического лица Претендента (с предъявлением оригинала в случае, если копия не заверена нотариусом).
  6. Заверенную руководителем УЦ копию Регламента Удостоверяющего центра.
  7. Копии договоров с разработчиками средств электронно-цифровой подписи (ЭЦП) на распространение и обслуживание средств ЭЦП.
  8. Документы, подтверждающие наличие программно-аппаратного комплекса, выполняющего функции удостоверяющего центра, с указанием используемых средств ЭЦП, программных и технических средств, обеспечивающих функционирование УЦ, а также условий эксплуатации средств.
  9. Документы УЦ, определяющие организационные и технические меры защиты информационных ресурсов УЦ, порядок эксплуатации средств защиты и функции обслуживающего персонала УЦ по обеспечению безопасности информационных ресурсов.
  10. Копия сертификата ключа подписи уполномоченного лица УЦ на бумажном носителе и в электронной форме (форма электронного документа должна удовлетворять требованиям формата X.509 v.3).
  11. Запрос на кросс-сертификат на бумажном носителе и в электронной форме (форма электронного документа должен удовлетворять требованиям формата PKCS 10).
  12. Список отозванных сертификатов в форме электронного документа.
  13. В форме электронного документа образец сертификата ключа подписи (СКП), применяемого в системе сдачи налоговой отчётности, с закрытыми ключами. СКП должен удовлетворять требованиям RFC 3280 и соответствовать рекомендациям X.509 v.3. В сертификате должны использоваться только российские криптографические алгоритмы.
  14. Копии дипломов персонала о высшем профессиональном образовании.
  15. Копии сертификатов персонала о прохождении курсов повышения квалификации или о профессиональной подготовке (переподготовке).
  16. Перечень используемого операционного программного обеспечения.
  17. Перечень используемого прикладного программного обеспечения.
  18. Перечень используемых технических средств обеспечения работы программного комплекса.
  19. Перечень используемых программных и программно-аппаратных средств обеспечения защиты информации.
  20. Перечень используемых средств криптографической защиты информации.
  21. Перечень данных УЦ Претендента, подлежащих резервному копированию.
  22. Перечень используемых средств резервного копирования.
  23. Перечень программных модулей, подлежащих контролю целостности.
  24. Перечень информации, которая должна быть защищена.
  25. Дополнительно могут предоставляться документы, подтверждающие опыт работы УЦ, количество клиентов, квалификацию кадров, техническую оснащенность и т.д.
  26. В состав заявительных документов может быть включено соглашение о конфиденциальности между ГНИВЦ и УЦ.