Рейтинг@Mail.ru

Приказ ФСБ России от 04.12.2020 N 555

ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

от 4 декабря 2020 г. N 555

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В ПРИЛОЖЕНИЯ N 1 И 2 К ПРИКАЗУ ФСБ РОССИИ

ОТ 27 ДЕКАБРЯ 2011 Г. N 796 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ

К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ И ТРЕБОВАНИЙ

К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА"

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" <1> и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации" <2>, приказываю:

--------------------------------

<1> Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2020, N 24, ст. 3755.

<2> Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2018, N 28, ст. 4198.

внести в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" <1> изменения согласно приложению.

--------------------------------

<1> Зарегистрирован Минюстом России 9 февраля 2012 г., регистрационный N 23191.

Директор

А.БОРТНИКОВ

Приложение

к приказу ФСБ России

от 4 декабря 2020 г. N 555

ИЗМЕНЕНИЯ,

ВНОСИМЫЕ В ПРИЛОЖЕНИЯ N 1 И 2 К ПРИКАЗУ ФСБ РОССИИ

ОТ 27 ДЕКАБРЯ 2011 Г. N 796 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ

К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ И ТРЕБОВАНИЙ

К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА"

1. В Требованиях к средствам электронной подписи (приложение N 1):

1.1. В подпункте 2 пункта 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".

1.2. В сноске 1 к пункту 20 слова "2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222" заменить словами "2018, N 28, ст. 4198".

2. В Требованиях к средствам удостоверяющего центра (приложение N 2):

2.1. В пункте 2:

2.1.1. В подпункте 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".

2.1.2. Подпункт 7 изложить в следующей редакции:

"7) квалифицированный сертификат ключа проверки ЭП (далее - квалифицированный сертификат) - сертификат ключа проверки ЭП, соответствующий требованиям, установленным Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее - уполномоченный федеральный орган), и являющийся в связи с этим официальным документом;".

2.1.3. Подпункт 9 изложить в следующей редакции:

"9) аккредитация УЦ - признание соответствия УЦ требованиям Федерального закона;".

2.1.4. В подпункте 11 после слова "организации," дополнить словами "индивидуальные предприниматели,".

2.1.5. Дополнить подпунктом 12 следующего содержания:

"12) метка доверенного времени - достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, УЦ или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом <1>.".

2.1.6. Подпункт 12 дополнить сноской 1 следующего содержания:

"<1> В соответствии с частью 1.1 статьи 3 Федерального закона от 27 декабря 2019 г. N 476-ФЗ "О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2019, N 52 (ч. I), ст. 7794; 2020, N 26, ст. 3997) требования к службе меток доверенного времени применяются с 1 января 2021 г.".

2.2. Дополнить подпунктом 13.5 следующего содержания:

"13.5. Разработка и реализация с использованием аппаратных и программных средств атак, направленных на выявление и использование имеющихся уязвимостей АС УЦ.".

2.3. Подпункты 19.3 и 19.4 изложить в следующей редакции:

"19.3. Требования для средств УЦ классов КС2, КС3 и КВ1 совпадают с требованиями для средств УЦ класса КС1.

19.4. Требования для средств УЦ класса КВ2:

- в средствах УЦ должен быть реализован механизм контроля входящих информационных потоков в целях выявления наличия данных, активирующих недекларированные возможности АС;

- в составе средств УЦ для выполнения функций управления ключами ЭП должны использоваться отдельные СКЗИ на базе выделенных аппаратных платформ. Данные СКЗИ не должны эксплуатироваться совместно с другим программным обеспечением, не входящим в состав СКЗИ, в одной среде функционирования.".

2.4. Дополнить подпунктом 19.5 следующего содержания:

"19.5. Требования для средств УЦ класса КА1:

- проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации;

- проведение исследования наличия недекларированных возможностей АС, внесенных на этапе разработки и изготовления электронной компонентной базы, а также на этапах разработки и производства средств вычислительной техники на ее основе;

- проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения недекларированных возможностей.".

2.5. Подпункт 20.4 дополнить абзацами следующего содержания:

"- должна быть исключена возможность хищения ключевой информации членом группы администраторов;

"- копирование ключевой информации СКЗИ должно быть реализовано в защищенном (зашифрованном) виде.".

2.6. В подпункте 21.2:

2.6.1. Абзац четвертый изложить в следующей редакции:

"- контроль целостности программных средств УЦ должен выполняться при каждом старте функционирования указанных средств, а контроль целостности АС УЦ - при каждой перезагрузке операционной системы (далее - ОС);".

2.6.2. Дополнить абзацем следующего содержания:

"- вероятность ошибки контроля целостности не должна превышать аналогичной вероятности для используемых СКЗИ.".

2.7. Подпункты 21.6 и 21.7 изложить в следующей редакции:

"21.6. Требования для средств УЦ класса КВ2:

- контроль целостности должен осуществляться динамически при функционировании средств УЦ.

21.7. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.".

2.8. Абзац четвертый подпункта 23.4 дополнить словами "и с применением механизма многофакторной аутентификации, использующего аппаратные идентификаторы".

2.9. Подпункт 24.3 дополнить абзацами следующего содержания:

"- в средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП, класс которых соответствует классу средств УЦ;

- в средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ, класс которых не ниже класса средств УЦ.".

2.10. Подпункт 24.4 изложить в следующей редакции:

"24.4. Требования для средств УЦ классов КС3, КВ1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС2.".

2.11. Подпункты 24.5 и 24.6 признать утратившими силу.

2.12. Подпункт 25.2 дополнить абзацем следующего содержания:

"- список регистрируемых событий должен включать факты (попытки) изменения системного времени средств УЦ.".

2.13. В абзаце втором подпункта 25.4 слова "пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ" исключить.

2.14. В абзаце третьем подпункта 27.3 после слов "(далее - список аннулированных сертификатов)," дополнить словами "а также ключи ЭП, используемые для подписи меток доверенного времени".

2.15. Абзац второй подпункта 27.6 изложить в следующей редакции:

"- ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП;".

2.16. Подпункт 29.1 изложить в следующей редакции:

"29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП, а также схема передачи заявления на создание сертификата ключа проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.".

2.17. Дополнить новым пунктом 33 следующего содержания:

"33. В состав средств УЦ должна входить служба меток доверенного времени.".

2.18. Пункты 33 - 36 считать пунктами 34 - 37 соответственно.

2.19. Пункт 36 изложить в следующей редакции:

"36. При подключении средств УЦ, за исключением средств, реализующих механизм формирования меток доверенного времени, к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.".

2.20. В сноске 1 к пункту 37 слова "2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222" заменить словами "2018, N 28, ст. 4198".

2.21. Дополнить пунктом 38 следующего содержания:

"38. Для ограничения возможностей по построению атак с использованием каналов связи на средства, реализующие механизм формирования меток доверенного времени, УЦ должны применяться средства межсетевого экранирования уровня веб-сервера (тип "Г"), сертифицированные ФСБ России на соответствие требованиям к устройствам типа "межсетевой экран" не менее чем 3 класса защищенности. Средства межсетевого экранирования должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста.

Для обеспечения обнаружения компьютерных программ или иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования защищаемой информации или нейтрализации средств защиты информации, а также для реагирования на обнаружение этих программ и информации УЦ должны применяться средства защиты от компьютерных вирусов, предназначенные для применения на серверах информационных систем (тип "Б") и сертифицированные ФСБ России на соответствие требованиям к антивирусным средствам по классу Б2.

Для обеспечения обнаружения действий, направленных на несанкционированный доступ к информации, специальных воздействий на средства, реализующие механизмы формирования меток доверенного времени, в целях добывания, уничтожения, искажения и блокирования доступа к защищаемой информации, а также для реагирования на эти действия (предотвращение этих действий) УЦ должны применяться средства защиты от компьютерных атак, сертифицированные ФСБ России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа "системы обнаружения компьютерных атак" по классу Б.

Для контроля локального доступа и контроля целостности программной среды средств вычислительной техники, входящих в состав средств, реализующих механизмы формирования меток доверенного времени, УЦ должны применяться аппаратно-программные модули доверенной загрузки уровня платы расширения, сертифицированные ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки электронно-вычислительных машин по классу 2Б.

Класс СКЗИ средств, реализующих механизмы формирования меток доверенного времени, должен быть не ниже класса КС3. Должно быть обеспечено защищенное хранение криптографических ключей в неэкспортируемом виде.

Исходный код BIOS средств, реализующих механизмы формирования меток доверенного времени, должен пройти анализ на отсутствие известных уязвимостей и возможностей деструктивного воздействия, осуществляемого путем использования программных уязвимостей со стороны каналов связи.".

Другие документы по теме
"О внесении изменений в приказ Министерства здравоохранения Российской Федерации от 26 марта 2014 г. N 138 "О наделении полномочиями при осуществлении закупок товаров, работ, услуг для обеспечения государственных нужд"
(ред. от 10.03.2022) "Об утверждении методик расчета показателей федерального проекта "Системные меры по повышению производительности труда", входяшего в структуру национального проекта "Производительность труда" (вместе с "Методикой расчета показателя "Количество сотрудников предприятий (включая подрядные и образовательные организации), вовлеченных в движение рационализаторов", "Методикой расчета показателя "Количество сотрудников предприятий, прошедших профессиональное обучение, переобучение, повышение квалификации по стандартам Ворлдскиллс по одной или нескольким компетенциям", "Методикой расчета показателя "Количество сотрудников предприятий, подтвердивших квалификацию рационализатора и сертифицированные по стандартам Ворлдскиллс", "Методикой расчета показателя "Количество рационализаторских предложений, внесенных сотрудниками предприятий - участников национального проекта", "Методикой расчета показателя "Удовлетворенность предприятий предоставленными сервисами", "Методикой расчета показателя "Количество средних и крупных предприятий базовых несырьевых отраслей экономики, воспользовавшихся услугами экосистемы в целях оптимизации бизнес-процессов", "Методикой расчета показателя "Количество внедренных сервисов", "Методикой расчета показателя "Удовлетворенность предприятий предоставленными сервисами", "Методикой расчета показателя "Количество типовых решений по повышению производительности труда от внешних партнеров-разработчиков", "Методикой расчета показателя "Предприятия - участники программы по поддержке развития экспортного потенциала, которые заключили экспортные контракты в течение года по завершении участия в программе", "Методикой расчета показателя "Количество руководителей, обученных по программе управленческих навыков для повышения производительности труда", "Методикой расчета показателя "Количество предприятий - участников национального проекта, получивших акселерационную поддержку по развитию экспортного потенциала", "Методикой расчета показателя "Привлечение субъектов Российской Федерации к участию в реализации национального проекта" (количество субъектов Российской Федерации нарастающим итогом)")
"О внесении изменений в приказ ФНС России от 05.06.2018 N ММВ-7-8/373@"
"О внесении изменений в реестр недобросовестных поставщиков (подрядчиков, исполнителей)"
Ошибка на сайте