Типовой Удостоверяющий центр России. Регламентированные процессы.

Год назад, в сентябре, при содействии сообщества PKI-ФОРУМ, был выпущен справочник "Удостоверяющие центры России", из которого, в частности, можно сделать вывод о распределении программно-аппаратных платформ, на базе которых функционируют Удостоверяющие Центры (далее - УЦ) в России. Несмотря на то, что в справочнике обозначены далеко не все УЦ, об общей картине распределения судить можно по диаграмме под катом.

Лидирующую позицию с большим отрывом в доле рынка занимает продукт компании Крипто-Про.

Исходя из этих данных можно взять за основу, для выделения процессов, документ ЖТЯИ.00067-01 90 17. КриптоПро УЦ. Регламент. [1]

Распределение платформ функционирования УЦ
в России на 2011 год

Кроме того, в ряде нормативных актов прописаны требования к Удостоверяющим Центрам, а соблюдение этих требований мы также можем рассматривать как процессы. Требования перечислены в следующих документах:

• Федеральный Закон от 6 апреля 2011 г. №63-ФЗ «Об электронной подписи» [2] 
• Положение о лицензировании деятельности по разработке, производству, распространению шифровальный (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств (за исключением случаев, если техническое обслуживание шифровальных (криптографических) средств, перфорационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Утверждено Постановлением Правительства РФ от 16 апреля 2012 года №313. [3]
• Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Утверждена приказом ФАПСИ от 13 июня 2001 года №152. [4]

В результате анализа этих документов были выделены следующие процессы:

1. Создание сертификатов ключей проверки электронных подписей (СКП ЭП) и выдача таких сертификатов лицам, обратившимся за их получением (заявителям); [1, 2, 4] 
2. Установление срококов действия СКП ЭП; [2] 
3. Аннулирование выданных этим УЦ СКП ЭП; [2, 4] 
4. Выдача по обращению заявителя средств ЭП, содержащие ключ ЭП и ключ проверки ЭП (в том числе созданные УЦ) или обеспечивающих возможность создания ключа ЭП и ключа проверки ЭП заявителем; [1, 2] 
5. Ведение реестра выданных и аннулированных УЦ СКП ЭП (далее - реестр сертификатов), в том числе включающего в себя информацию, содержащуюся в выданных этим УЦ СКП ЭП, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки ЭП и об основаниях таких прекращения или аннулирования; [1, 2] 
6. Установление порядка ведения реестра сертификатов, не являющихся квалифицированными, и порядка доступа к нему, а также обеспечкние доступа лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети "Интернет"; [2] 
7. Создание по обращениям заявителей ключей ЭП и ключей проверки ЭП; [1, 2] 
8. Проверка уникальности ключей проверки ЭП в реестре сертификатов; [2] 
9. Осуществление по обращениям участников электронного взаимодействия проверки ЭП; [1, 2] 
10. Информирование в письменной форме заявителей об условиях и о порядке использования ЭП и средств ЭП, о рисках, связанных с использованием ЭП, и о мерах, необходимых для обеспечения безопасности ЭП и их проверки; [2] 
11. Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защиту от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий; [2] 
12. Предоставление безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов, информации, содержащуюся в реестре сертификатов, в том числе информации об аннулировании СКП ЭП; [1, 2] 
13. Обеспечение конфиденциальности созданных УЦ ключей ЭП. [2, 4] 
14. Наличие права собственности или иного законного основания на владение и использование помещений, сооружений, технологического оборудования и иных объектов, необходимых для осуществления деятельности УЦ; [3] 
15. Выполнение при осуществлении лицензируемой деятельности требований по обеспечению информационной безопасности, устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О федеральной службе безопасности"; [3] 
16. Наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации"; [3] 
17. Наличие в штате следующего квалифицированного персонала: 
1. руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет;
2. инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки "Информационная безопасность" и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет; [3]
18. Представление в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств; [3] 
19. Использование предназначенных для осуществления лицензируемой деятельности программ для электронных вычислительных машин и баз данных, принадлежащих соискателю лицензии (лицензиату) на праве собственности или ином законном основании. [3] 
20. Проверка готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно - программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ); [4] 
21. Разработка мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам; [4] 
22. Обучение лиц, использующих СКЗИ, правилам работы с ними; [4] 
23. Поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним; [4] 
24. Учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ; [4]

Понравилась статья? Нажми на кнопку и расскажи друзьям: