Методика проведения испытаний
advertisement
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА МЕТОДИКА проведения испытаний удостоверяющих центров при аккредитации в Сети Доверенных удостоверяющих центров Федеральной налоговой службы Москва 2011 Error! Use the Home tab to apply Заголовок 1 to the text that you want to appear here. Содержание Содержание .........................................................................................................................................2 1. Перечень сокращений ..................................................................................................... 3 2. Термины и определения.................................................................................................. 4 3. Нормативные документы................................................................................................ 6 4. Цель проведения испытаний .......................................................................................... 7 5. Проверка документации ................................................................................................. 8 6. Проверка организационных мероприятий .................................................................... 9 6.1. Проверка правомочности деятельности Претендента, как удостоверяющего центра ......................................................................................... 9 6.2. Проверка квалификации персонала Претендента ................................................. 9 6.3. Проверка программных и технических средств обеспечения деятельности Претендента ...................................................................................... 9 6.4. Результаты проверки по разделу 6 ....................................................................... 12 7. Проверка безопасности обрабатываемых в УЦ данных ............................................ 13 7.1. Проверка инженерно-технических мер защиты информации ........................... 13 7.2. Проверка программно-аппаратных мер защиты информации .......................... 14 7.3. Результаты проверки по разделу 7 ....................................................................... 17 8. Проверка технологической совместимости ................................................................ 18 8.1. Проверка сертификатов ключей подписей уполномоченного лица УЦ Претендента ............................................................................................................ 18 8.2. Проверка запросов на кросс-сертификат ............................................................. 20 8.3. Проверка совместимости сертификатов ключей подписи, изданных УЦ Претендента, с программными средствами, используемыми в налоговых органах..................................................................................................................... 22 8.4. Проверка совместимости сертификатов ключей подписи, изданных УЦ Претендента, с программными средствами, используемыми в налоговых органах..................................................................................................................... 22 8.5. Результаты проверки по разделу 8 ....................................................................... 23 Приложение А....................................................................................................................... 24 Приложение Б ....................................................................................................................... 25 Приложение В ....................................................................................................................... 26 Приложение Г ....................................................................................................................... 30 Приложение Д ....................................................................................................................... 31 Методика проведения испытаний 2 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 1. Перечень сокращений АРМ БД ИС ПО СКЗИ СКП СОС СУБД УЦ ФЗ ЭД ЭЦП CDP OCSP Автоматизированное рабочее место База данных Информационная система Программное обеспечение Средство криптографической защиты информации Сертификат ключа подписи Список отозванных сертификатов Система управления базой данных Удостоверяющий центр Федеральный закон Электронный документ Электронно-цифровая подпись CRL Distribution Point – Точка распространения СОС. Online Certificate Status Protocol – Служба проверки статуса сертификата ключа подписи в режиме реального времени Методика проведения испытаний 3 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 2. Термины и определения В настоящем Документе применяют следующие термины с соответствующими определениями. Валидный сертификат – сертификат, положительно прошедший все операции проверки. Владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Закрытый (секретный) ключ ЭЦП – уникальная последовательность данных, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи Ключевой носитель – информационный носитель, на который записаны криптографические ключи. Компрометация ключа – констатация обстоятельств, при которых возможно использование секретного ключа третьими лицами. Криптопровайдер – средство электронной цифровой подписи. Информационный ресурс удостоверяющего центра ФГУП ГНИВЦ ФНС России (ИРУЦ) – автоматизированная система, позволяющая проводить автоматическую регистрацию налогоплательщика в Системе за счёт создания и сопровождения центральной базы данных сертификатов ключей пользователей, издаваемых удостоверяющими центрами – членами Сети Доверенных удостоверяющих центров ФНС России. Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Претендент – удостоверяющий центр, подвергаемый испытанию по настоящей методике для включения в Сеть Доверенных УЦ. Проверка валидности сертификата – это действия, производимые над проверяемым сертификатом для того, что бы убедиться в его (сертификата) действительности, а именно: проверка целостности сертификата; проверка срока действия сертификата; проверка отсутствия сертификата в списке отозванных сертификатов; проверка области действия сертификата; проверка назначения сертификата. Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица Доверенного удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются Доверенным удостоверяющим центром для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи. Сеть Доверенных УЦ – Сеть Доверенных удостоверяющих центров Федеральной налоговой службы Методика проведения испытаний 4 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. Система – система защищенного юридически значимого документооборота (обмена информацией) между налогоплательщиками (хозяйствующими субъектами) и налоговыми органами. Служба проверки статуса сертификатов (OCSP) – служба, предоставляющая в реальном масштабе времени информацию о сертификатах, прекративших свое действие раньше установленного срока. Список отозванных сертификатов (СОС, CRL, delta-CRL) – файл, подписанный удостоверяющим центром, содержащий номера сертификатов, прекративших свое действие (отозванных) раньше установленного срока, причину прекращения действия, информацию об удостоверяющем центре, отозвавшем сертификаты, некоторую дополнительную служебную информацию. Средства криптографической защиты информации (СКЗИ) – совокупность программно-технических средств, обеспечивающих применение ЭЦП и шифрования при организации электронного документооборота. СКЗИ могут применяться как в виде самостоятельных программных модулей, так и в виде инструментальных средств, встраиваемых в прикладное программное обеспечение. Средства электронной цифровой подписи (СЭЦП) – аппаратные и (или) программные СКЗИ, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе, с использованием закрытого ключа электронной цифровой подписи; подтверждение, с использованием открытого ключа электронной цифровой подписи, подлинности электронной цифровой подписи в электронном документе; создание закрытых и открытых ключей электронных цифровых подписей. Статус сертификата – составное понятие, отражающее каждый этап проверки валидности сертификата. Например, просрочен – не просрочен, отозван – не отозван и т.д. Шифрование (зашифрование данных) – процесс преобразования открытых данных в зашифрованные при помощи шифра (ГОСТ 28147-89). Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Электронный документ – это документ, в котором информация представлена в электронно-цифровой форме. Документ (документированная информация) – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию. В настоящем Документе под электронным документом понимаются электронные сообщения, сформированные прикладными программами, обеспечивающими обмен данными удостоверяющих центров.. Методика проведения испытаний 5 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 3. Нормативные документы В настоящем Документе использованы ссылки на следующие нормативные акты: 1. Федеральный Закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». 2. Федеральный Закон от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности». 3. Федеральный Закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 4. Федеральный Закон от 27.12.2002 № 184-ФЗ «О техническом регулировании». 5. ГОСТ 28147-89 «Алгоритм шифрования». 6. ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 «Информационная технология криптографическая защита информации процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма». 7. ГОСТ Р 34.11-94 «Информационная технология криптографическая защита информации Функция хэширования». 8. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения. Государственные стандарты и другие документы Госстандарта России». 9. ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения». 10. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». 11. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». 12. Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)». 13. Положение о сети доверенных удостоверяющих центров Федеральной налоговой службы, утвержденное Приказом ФНС России от 13.06.2006 № САЭ-3-27/346@ 14. Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертияикатам ключей электронной цифровой подписи, утвержденные Приказом ФНС России от 02.07.2009 г. №ММ-7-6/353. Методика проведения испытаний 6 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 4. Цель проведения испытаний Испытания удостоверяющего центра – претендента на подключение к Сети Доверенных УЦ (далее Претендента) проводятся для определения качества услуг, предоставляемых Претендентом, уровня безопасности обрабатываемых им данных, а также с целью обеспечения совместимости технических решений, применяемых Претендентом с решениями, используемыми в Сети Доверенных УЦ. Проверке подлежат следующие элементы Претендента: документация; организационные меры по защите обрабатываемых данных; технические меры по защите обрабатываемых данных; квалификация персонала, обеспечивающего выполнение функций удостоверяющего центра; технические решения, обеспечивающие выполнение функций удостоверяющего центра. Методика испытаний составлена в виде алгоритма действий по проверке, где указаны предмет проверки, состав проверки и результат проверки. Все требования разделены на обязательные и рекомендованные. Проверка выполнения обязательных требований производится по документам, предоставляемым Претендентом в ФГУП ГНИВЦ ФНС России. Выполнение рекомендованных требований проверяется в непосредственной работе с Претендентом. Рекомендованные требования отмечены – Рекомендуемое требование. Методика проведения испытаний 7 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 5. Проверка документации Перед началом испытаний проверяется комплектность и содержание предъявляемых Претендентом документов. Комплект должен содержать следующие документы,: 1. Заявление на имя Руководителя ФГУП ГНИВЦ ФНС России о подключении к Сети Доверенных УЦ (см. Приложение Д). 2. Нотариально заверенные копии лицензий и сертификатов, подтверждающих право на деятельность, связанную с защитой конфиденциальной информации и работой с шифровальными (криптографическими) средствами. 3. Копии учредительных документов и свидетельства о государственной регистрации в качестве юридического лица (с предъявлением оригиналов в случае, если копии не заверены нотариусом). 4. Копию свидетельства о постановке на учет в налоговом органе (с предъявлением оригинала в случае, если копия не заверена нотариусом). 5. Копию свидетельства о регистрации юридического лица Претендента (с предъявлением оригинала в случае, если копия не заверена нотариусом). 6. Заверенную руководителем УЦ копию Регламента Удостоверяющего центра. 7. Копии договоров с разработчиками средств электронно-цифровой подписи (ЭЦП) на распространение и обслуживание средств ЭЦП. 8. Документы, подтверждающие наличие программно-аппаратного комплекса, выполняющего функции удостоверяющего центра, с указанием используемых средств ЭЦП, программных и технических средств, обеспечивающих функционирование УЦ, а также условий эксплуатации средств. 9. Документы УЦ, определяющие организационные и технические меры защиты информационных ресурсов УЦ, порядок эксплуатации средств защиты и функции обслуживающего персонала УЦ по обеспечению безопасности информационных ресурсов. 10. Копия сертификата ключа подписи уполномоченного лица УЦ на бумажном носителе и в электронной форме (форма электронного документа должна удовлетворять требованиям формата X.509 v.3). 11. Запрос на кросс-сертификат на бумажном носителе и в электронной форме (форма электронного документа должен удовлетворять требованиям формата PKCS 10). 12. Список отозванных сертификатов в форме электронного документа. 13. В форме электронного документа образец сертификата ключа подписи (СКП), применяемого в системе сдачи налоговой отчётности, с закрытыми ключами. СКП должен удовлетворять требованиям RFC 3280 и соответствовать рекомендациям X.509 v.3. В сертификате должны использоваться только российские криптографические алгоритмы. 14. Копии дипломов персонала о высшем профессиональном образовании. 15. Копии сертификатов персонала о прохождении курсов повышения квалификации или о профессиональной подготовке (переподготовке). 16. Перечень используемого операционного программного обеспечения. 17. Перечень используемого прикладного программного обеспечения. 18. Перечень используемых технических средств обеспечения работы программного комплекса. 19. Перечень используемых программных и программно-аппаратных средств обеспечения защиты информации. 20. Перечень используемых средств криптографической защиты информации. Методика проведения испытаний 8 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 21. Перечень данных УЦ Претендента, подлежащих резервному копированию. 22. Перечень используемых средств резервного копирования. 23. Перечень программных модулей, подлежащих контролю целостности. 24. Перечень информации, которая должна быть защищена. 25. Дополнительно могут предоставляться документы, подтверждающие опыт работы УЦ, количество клиентов, квалификацию кадров, техническую оснащенность и т.д. 26. В состав заявительных документов может быть включено соглашение о конфиденциальности между ГНИВЦ и УЦ. 6. Проверка организационных мероприятий 6.1. Проверка правомочности деятельности Претендента, как удостоверяющего центра 6.1.1. Претендент должен обладать соответствующими лицензиями ФСБ и/или ФАПСИ Проверка требования и результат Наличие действующих лицензий ФСБ и/или ФАПСИ у Претендента на право распространения, технического обслуживания СКЗИ и предоставления услуг в области шифрования информации. Наличие договорных отношений о распространении СКЗИ с предприятиемизготовителем сертифицированных СКЗИ или дилером. 6.2. Проверка квалификации персонала Претендента 6.2.1. Наличие у Претендента сотрудников (не менее одного), имеющих профессиональную подготовку или стаж работы не менее 2-х лет в области информационной безопасности. Проверка требования и результат Наличие диплома о высшем профессиональном образовании установленного образца по специальности в области информационной безопасности. или Наличие сертификата (удостоверения) о профессиональной подготовке (переподготовке) в области информационной безопасности. Выписка из трудовой книжки и/или штатного расписания. 6.3. Проверка программных и технических средств обеспечения деятельности Претендента Для реализации своих услуг и обеспечения деятельности Претендент должен использовать следующие программные и технические средства: программный комплекс обеспечения реализации целевых функций Претендента; технические средства обеспечения работы программного комплекса Претендента; программные и программно-аппаратные средства защиты информации; Методика проведения испытаний 9 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 6.3.1. Проверка программного комплекса, обеспечивающего выполнение функций удостоверяющего центра Претендента 6.3.1.1. Программный комплекс, обеспечивающий выполнение функций удостоверяющего центра Претендента, должен включать необходимое системное программное обеспечение Проверка требования и результат Наличие необходимого количества установленного, сконфигурированного и работающего системного программного обеспечения. Наличие перечня используемого системного программного обеспечения Претендента, заверенного подписью руководителя Претендента. 6.3.1.2. Программный комплекс, обеспечивающий выполнение функций удостоверяющего центра Претендента, должен включать необходимое прикладное программное обеспечение Проверка требования и результат Наличие необходимого количества установленного, сконфигурированного и работающего прикладного программного обеспечения, выполняющего все функции УЦ, и включающего: Центр Сертификации (ЦС), Центр Регистрации (ЦР), АРМ администратора ЦР и АРМ разбора конфликтных ситуаций. Наличие Регламента УЦ с перечислением всех выполняемых функций. Наличие перечня используемого прикладного программного обеспечения Претендента. 6.3.2. Проверка технических средств обеспечения работы программного комплекса Претендента 6.3.2.1. Для обеспечения работы программного комплекса, Претендент должен располагать необходимыми техническими средствами Проверка требования и результат Наличие необходимых исправных, сконфигурированных и работающих технических средств для обеспечения работы программного комплекса Претендента, которые должны включать: 1) сервер ЦС; 2) сервер ЦР; 3) средства резервного копирования; 4) телекоммуникационное оборудование; 5) компьютеры рабочих мест сотрудников Претендента; 6) устройства печати на бумажных носителях (принтеры). Наличие персонала технической службы Претендента, ответственного за эксплуатацию этих технических средств. Наличие перечня используемых технических средств обеспечения работы программного комплекса Претендента, с указанием конфигураций и мест размещения этого оборудования. Наличие действующих лицензий и сертификатов на технические средства, выданных ФСБ/ФАПСИ и/или ФСТЭК РФ и/или МинСвязи. Методика проведения испытаний 10 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 6.3.3. Проверка программных и программно-аппаратных средств защиты информации 6.3.3.1. Для обеспечения защиты информации Претендент должен располагать необходимыми программными и программноаппаратными средствами Проверка требования и результат Наличие установленных, сконфигурированных и работающих программных и программно-аппаратных средств защиты информации, которые должны включать: 1) средства криптографической защиты информации; 2) межсетевой экран для обеспечения защиты информации при сетевом взаимодействии ЦС с ЦР (см. 7.2.5.2); 3) программно-аппаратные комплексы защиты от несанкционированного доступа типа «электронный замок» (см. 7.2.2.1). Наличие персонала технической службы Претендента, ответственного за эксплуатацию программных и программно-аппаратных средств обеспечения защиты информации. Наличие перечня используемых программных и программно-аппаратных средств обеспечения защиты информации, с указанием конфигураций и мест размещения этих средств. Наличие действующей лицензии и сертификатов соответствия на программные и программно-аппаратные средства обеспечения защиты информации, выданной ФСТЭК и/или ФСБ/ФАПСИ России, в соответствии с действующим законодательством Российской Федерации. 6.3.3.2. Средства криптографической защиты информации, эксплуатируемые на всех компонентах программного комплекса УЦ Претендента, должны быть сертифицированы по классу «КС2» в соответствии с действующим законодательством Российской Федерации Проверка требования и результат Наличие установленных, сконфигурированных и настроенных средств криптографической защиты информации, эксплуатируемых на всех компонентах программного комплекса УЦ Претендента. Наличие перечня используемых средств криптографической защиты информации с указанием конфигураций и мест размещения этих средств. Наличие персонала технической службы Претендента, ответственного за эксплуатацию средств криптографической защиты информации. Наличие сертификатов ФАПСИ и/или ФСБ РФ на используемые СКЗИ по классу «КС2», выданных в соответствии с действующим законодательством Российской Федерации. Методика проведения испытаний 11 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 6.3.4. Проверка программно-аппаратного комплекса резервного копирования Претендента 6.3.4.1. Для обеспечения бесперебойной и отказоустойчивой работы программного комплекса обеспечения реализации целевых функций Претендента должно быть обеспечено резервное копирование Проверка требования и результат Наличие установленных, сконфигурированных и настроенных средств резервного копирования. Наличие заверенного руководителем Претендента перечня данных УЦ Претендента, подлежащих резервному копированию. Перечень должен включать: 1) сертификат ключа подписи уполномоченного лица Претендента в электронном виде (сертификат центра сертификации ЦС); 2) базу данных центра сертификации ЦС, включая журнал выданных сертификатов и очередь запросов; 3) базу данных ЦР; 4) журналы аудита компонент программного комплекса Претендента; 5) реестр выданных сертификатов ключей подписи; 6) список отозванных сертификатов (СОС); 7) данные, определенные самим Претендентом. Наличие заверенного руководителем Претендента регламента проведения резервного копирования данных с указанием периодов резервного копирования, типов резервируемых данных, носителей для резервных данных и схемы ротации носителей резервных данных. В регламенте должно быть указано, что для всех позиций выполняется еженедельно (или чаще) полное резервное копирование и для позиций 2 – 6 ежедневное разностное резервное копирование. Для резервного копирования должно использоваться не менее двух носителей. Наличие персонала технической службы Претендента, ответственного за эксплуатацию средств резервного копирования. Наличие перечня используемых средств резервного копирования. 6.4. Результаты проверки по разделу 6 Обязательные требования из раздела 6 должны быть выполнены для получения Претендентом аккредитации в Сети. Методика проведения испытаний 12 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 7. Проверка безопасности обрабатываемых в УЦ данных 7.1. Проверка инженерно-технических мер защиты информации 7.1.1. Проверка мер по размещению технических средств Претендента 7.1.1.1. Серверы ЦС и ЦР, серверы баз данных, серверы средств резервного копирования и телекоммуникационное оборудование должны размещаться в выделенном помещении Проверка требования и результат Наличие схемы размещения серверов, на которой должно быть обозначено серверное оборудованное помещение Претендента. В этом помещении размещены: серверы ЦС и ЦР, серверы баз данных, серверы средств резервного копирования и телекоммуникационное оборудование. Допускается использовать IT-сейф, вместо выделенного помещения. Наличие в серверном помещении Претендента исправного, работающего оборудования системы контроля доступа электромеханического или механического типа (Рекомендуемое требование). 7.1.1.2. Серверы ЦС и ЦР, серверы баз данных, средства резервного копирования и телекоммуникационное оборудование должны быть подключены к источникам бесперебойного питания Проверка требования и результат Наличие схемы подключения серверов ЦС и ЦР, серверов баз данных, средств резервного копирования и телекоммуникационного оборудования к источникам бесперебойного питания. Наличие в серверном помещении исправного и работающего оборудования источников бесперебойного питания (Рекомендуемое требование). 7.1.2. Проверка мер по хранению документированной информации 7.1.2.1. Документальный фонд Претендента, должен храниться в соответствии с действующим законодательством Российской Федерации по делопроизводству и архивному делу Проверка требования и результат Наличие журнала учета хранения документов Претендента, оформленного в соответствии с действующим законодательством Российской Федерации по делопроизводству и архивному делу (Рекомендуемое требование). Наличие приказа руководителя Претендента на создание архивохранилища и документального фонда. Наличие приказа руководителя Претендента на назначение ответственного персонала по работе с архивным фондом. 7.1.3. Проверка мер по уничтожению документированной информации 7.1.3.1. Выделение к уничтожению и уничтожение документов, не подлежащих архивному хранению, должно осуществляться в соответствии с приказом по уничтожению документов и в Методика проведения испытаний 13 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. соответствии с действующим законодательством Российской Федерации по делопроизводству и архивному делу (Рекомендуемое требование) Проверка требования и результат Наличие приказа руководителя Претендента о задании перечня документов, подлежащих уничтожению. Наличие журнала и/или актов уничтожения документов, содержащих подписи ответственного за архивное хранение персонала, даты и реквизиты уничтоженных документов. 7.2. Проверка программно-аппаратных мер защиты информации 7.2.1. Серверные помещения и технические средства, расположенные в них, должны пройти проверку на отсутствие в них электронных устройств перехвата информации (закладок) Проверка требования и результат Наличие отчетов испытаний помещений и технических средств, расположенных в них, об успешной проверке на отсутствие электронных устройств перехвата информации (закладок), проведенных независимой экспертной организацией (Рекомендуемое требование). 7.2.2. Проверка мер по организации доступа к программным средствам Претендента 7.2.2.1. Серверы ЦС и ЦР должны быть оснащены программноаппаратными комплексами защиты от несанкционированного доступа, сертифицированными ФСТЭК, ФСБ/ФАПСИ (Рекомендуемое требование) Проверка требования и результат Наличие журнала учета или акта о выдаче ключей доступа к программноаппаратному комплексу защиты от несанкционированного доступа, содержащих записи, отражающие даты выдачи, заверенные подписями сотрудников службы безопасности Претендента, выдавших эти ключи, и подписями сотрудников Претендента, получивших эти ключи. Наличие на серверах ЦС и ЦР Претендента исправного установленного и работающего программно-аппаратного комплекса защиты от несанкционированного доступа. Наличие сертификатов ФСТЭК, ФСБ/ФАПСИ для программно-аппаратного комплекса защиты от несанкционированного доступа. Методика проведения испытаний 14 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 7.2.2.2. Рабочие места сотрудников Претендента, на которых эксплуатируются программные приложения «АРМ администратора ЦР» и «АРМ разбора конфликтных ситуаций», должны быть оснащены программно-аппаратными комплексами защиты от несанкционированного доступа, сертифицированными ФСТЭК, ФСБ/ФАПСИ (Рекомендуемое требование) Проверка требования и результат Наличие журнала учета или акта о выдаче ключей доступа к программноаппаратному комплексу защиты от несанкционированного доступа, содержащих записи, отражающие даты выдачи, заверенные подписями сотрудников службы безопасности Претендента, выдавших эти ключи, и подписями сотрудников Претендента, получивших эти ключи. Наличие на рабочих местах сотрудников Претендента, на которых эксплуатируются программные приложения «АРМ администратора ЦР» и «АРМ разбора конфликтных ситуаций», исправного установленного и работающего программно-аппаратного комплекса защиты от несанкционированного доступа. Наличие сертификатов ФСТЭК, ФСБ/ФАПСИ для программно-аппаратного комплекса защиты от несанкционированного доступа. 7.2.2.3. Доступ системных администраторов системного программного обеспечения серверов ЦС и ЦР для выполнения регламентных работ должен осуществляться в присутствии сотрудников службы безопасности УЦ, отвечающих за эксплуатацию соответствующего прикладного программного обеспечения (ЦС и/или ЦР) Проверка требования и результат Наличие журнала учета доступа системных администраторов к системному программному обеспечению серверов ЦС и ЦР для выполнения регламентных работ, содержащего записи о содержании этих работ и датах проведения этих работ, заверенные подписями сотрудников службы безопасности Претендента, отвечающих за эксплуатацию соответствующего прикладного программного обеспечения (ЦС и/или ЦР) (Рекомендуемое требование). 7.2.3. Проверка мер по контролю целостности программного обеспечения 7.2.3.1. Программное обеспечение, эксплуатируемое Претендентом, должно проходить контроль целостности Проверка требования и результат Наличие перечня программных модулей, подлежащих контролю целостности (примерный список размещен в приложении Б), выпущенного в качестве внутреннего документа Претендента, утвержденный руководителем Претендента. В Перечне указывается, что контроль целостности программных модулей основан на аппаратном контроле целостности программных модулей УЦ и общесистемного программного обеспечения до загрузки операционной системы и должен обеспечиваться с помощью программно-аппаратного комплекса защиты «Электронный замок». Методика проведения испытаний 15 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 7.2.4. Проверка мер по контролю целостности технических средств 7.2.4.1. Претендент должен обеспечивать контроль технических средств (Рекомендуемое требование) целостности Проверка требования и результат Наличие специальных мест, меток и печатей для опечатывания корпусов устройств, препятствующих их неконтролируемому вскрытию. Опечатывание корпусов устройств и записи об этом в журнале учета должны быть сделаны перед вводом технических средств в эксплуатацию и после каждого выполнения регламентных работ. Наличие журнала учета контроля целостности печатей, в котором должны быть записи о проверке печатей, заверенные подписями ответственных сотрудников, и должны проводиться в начале каждой рабочей смены. 7.2.5. Проверка мер по защите внешних сетевых соединений 7.2.5.1. Конфиденциальная информация в процессе обмена документами в электронной форме должна защищаться Проверка требования и результат Наличие сертификатов ФСБ/ФАПСИ на программно-технические средства шифрования информации и цифровой подписи требованиям к СКЗИ класса КС1 и/или КС2. Наличие сертификатов соответствия ФСБ/ФАПСИ или ФСТЭК на программнотехнические средства построения защищённого сетевого взаимодействия (VPN, SSL и т.д.) (Рекомендуемое требование). 7.2.5.2. Защита программно-технических средств обеспечения деятельности Претендента от несанкционированного доступа по внешним сетевым соединениям должна обеспечиваться с применением межсетевого экрана Проверка требования и результат Наличие на программно-технических средствах обеспечения деятельности Претендента, установленных, сконфигурированных и работающих программнотехнических средств межсетевого экрана, обеспечивающего класс защиты не ниже 5-го (Рекомендуемое требование). 7.2.6. Проверка мер по защите информации 7.2.6.1. Информация, поступающая Претенденту, должна быть защищена Проверка требования и результат Наличие перечня информации (приложение Г), которая должна быть защищена, оформленного в виде документа, заверенного руководителем организации. Наличие приказа руководителя Претендента на назначение ответственного персонала по защите информации (Рекомендуемое требование). Методика проведения испытаний 16 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 7.3. Результаты проверки по разделу 7 Все обязательные требования из раздела 7 должны быть удовлетворены для получения Претендентом аккредитации в Системе. Методика проведения испытаний 17 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 8. Проверка технологической совместимости 8.1. Проверка сертификатов ключей подписей уполномоченного лица УЦ Претендента 8.1.1. Претендент должен предоставить сертификат ключа подписи уполномоченного лица удостоверяющего центра, соответствующий требованиям к сертификатам ключей подписей уполномоченного лица Проверка проводиться путём анализа текстового файла, содержащего данные сертификата. Пример текстового файла, содержащего данные сертификата: Сертификат X509: Версия: 3 Серийный номер: dc022b4c58082bc731647400b3293819 Алгоритм подписи: ObjectId алгоритма: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001 Параметры алгоритма: 05 00 Поставщик: CN=Доверенный Удостоверяющий Центр O=OOO УЦ OU=Администрация L=Москва C=RU E=info@domainname.ru Действителен с: 18.08.2005 17:44 Действителен до: 16.12.2010 13:44 Субъект: CN=Доверенный Удостоверяющий Центр O=OOO УЦ OU=Администрация L=Москва C=RU E=info@domainname.ru Алгоритм открытого ключа: ObjectId алгоритма: 1.2.643.2.2.19 ГОСТ Р 34.10-2001 Параметры алгоритма: 0000 30 12 06 07 2a 85 03 02 02 23 01 06 07 2a 85 03 0010 02 02 1e 01 Открытый ключ: UnusedBits = 0 0000 04 40 4d fe e2 3c 1c f1 1c 1b 43 32 47 f6 7d 4d 0010 56 2d 53 a9 b9 2f d4 88 63 dc f4 3e af 57 a9 06 0020 b6 4c 64 3d a9 78 be f4 29 e2 c7 45 03 37 bf 59 0030 fb 24 47 28 1d 53 e7 5d 2a da 78 57 7d 8c 32 c0 0040 b8 5f Расширения сертификатов: 5 Методика проведения испытаний 18 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 2.5.29.19: Флаги = 0, Длина = 5 Основные ограничения Тип субъекта=ЦС Ограничение на длину пути=Отсутствует 2.5.29.31: Флаги = 0, Длина = a2 Точки распространения списков отзыва (CRL) [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=file://certserver/certsrv/trustca.crl URL=http://www.domainname.ru/certsrv/trustca.crl 2.5.29.15: Флаги = 1(Критический), Длина = 4 Использование ключа Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписание списка отзыва (CRL)(f6) 2.5.29.35: Флаги = 0, Длина = 18 Идентификатор ключа центра сертификатов Идентификатор ключа=4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5 2.5.29.14: Флаги = 0, Длина = 16 Идентификатор ключа субъекта 4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5 Алгоритм подписи: ObjectId алгоритма: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001 Параметры алгоритма: 05 00 Подпись: НеиспользБит=0 0000 c8 d0 59 a0 95 97 53 10 0a 33 c6 40 cb 68 24 87 0010 9e a7 a4 de 82 25 16 06 02 b0 36 1a 48 cc 53 03 0020 3c b8 ea b5 9e 97 08 6e ac 82 08 ad b2 96 3e 87 0030 43 5b 4b 35 79 bd 8b 18 b6 4c 1a b2 d4 92 4a 19 Подпись соответствует открытому ключу Корневой сертификат: субъект совпадает с поставщиком Хеш сертификата (md5): ae 97 a9 8b 10 57 d1 fb c5 63 43 5f d4 f1 5c 74 Хеш сертификата (sha1): 78 45 be 9c d8 98 fb 37 7f 53 67 9b f2 de 69 94 cc f4 3f 22 Проверка требования и результат Сертификат является сертификатом, соответствующим международным рекомендациям X.509, версии 3. Текстовый файл содержит строку «Сертификат X509». Поле «Версия» содержит значение, соответствующее требованиям п. 1.1.1, приложения В. Методика проведения испытаний 19 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. Сертификат содержит поле «Серийный номер сертификата», соответствующее требованиям п. 1.1.2, приложения В. Сертификат содержит поле «Алгоритм подписи», соответствующее требованиям п. 1.1.3, приложения В. Сертификат содержит поле «Поставщик», соответствующее требованиям п. 1.1.4, приложения В. Сертификат содержит поле «Субъект», соответствующее требованиям п. 1.1.5, приложения В. Сертификат содержит поля «Действителен с» и «Действителен до», соответствующие требованиям п.п. 1.1.6-1.1.8, приложения В. Сертификат содержит поле «Алгоритм открытого ключа», соответствующее требованиям п. 1.1.9, приложения В. Сертификат содержит поле «Открытый ключ», соответствующее требованиям п. 1.1.10, приложения В. Поля «Алгоритм подписи» и «Алгоритм открытого ключа» соответствуют требованиям п. 1.1.11, приложения В. Сертификат содержит расширение «Идентификатор ключа субъекта», соответствующее требованиям п. 1.2.1, приложения В. Сертификат содержит расширение «Доступ к информации о центрах сертификации», соответствующее требованиям п. 1.2.2, приложения В. Сертификат содержит расширение «Точки распространения списков отзыва», соответствующее требованиям п. 1.2.3, приложения В. Сертификат содержит расширение «Основные ограничения», соответствующее требованиям п. 1.2.4, приложения В. Сертификат содержит расширение «Использование ключа», соответствующее требованиям п. 1.2.5, приложения В. Сертификат содержит действительную цифровую подпись. Текстовый файл содержит строку «Подпись соответствует открытому ключу ». 8.2. Проверка запросов на кросс-сертификат 8.2.1. Претендент должен предоставить запрос на кросс-сертификат, соответствующий требованиям к запросам на кросс-сертификат Проверка проводиться путём анализа текстового файла, содержащего данные запроса. Пример текстового файла, содержащего данные сертификата: Запрос сертификата PKCS10: Версия: 1 Субъект: CN=Доверенный Удостоверяющий Центр O=OOO УЦ OU=Администрация L=Москва C=RU E=info@domainname.ru Методика проведения испытаний 20 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. Алгоритм открытого ключа: ObjectId алгоритма: 1.2.643.2.2.19 ГОСТ Р 34.10-2001 Параметры алгоритма: 0000 30 12 06 07 2a 85 03 02 02 23 01 06 07 2a 85 03 0010 02 02 1e 01 Открытый ключ: UnusedBits = 0 0000 04 40 4d fe e2 3c 1c f1 1c 1b 43 32 47 f6 7d 4d 0010 56 2d 53 a9 b9 2f d4 88 63 dc f4 3e af 57 a9 06 0020 b6 4c 64 3d a9 78 be f4 29 e2 c7 45 03 37 bf 59 0030 fb 24 47 28 1d 53 e7 5d 2a da 78 57 7d 8c 32 c0 0040 b8 5f Запрос атрибутов: 1 Атрибуты 1: Атрибут[0]: 1.2.840.113549.1.9.14 (Расширения сертификатов) Значение[0][0]: Неизвестный тип атрибута Расширения сертификатов: 5 2.5.29.19: Флаги = 1(Критический), Длина = 5 Основные ограничения Тип субъекта=ЦС Ограничение на длину пути=0 2.5.29.31: Флаги = 0, Длина = a2 Точки распространения списков отзыва (CRL) [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=file://certserver/certsrv/trustca.crl URL=http://www.domainname.ru/certsrv/trustca.crl 2.5.29.15: Флаги = 1(Критический), Длина = 4 Использование ключа Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписание списка отзыва (CRL)(f6) 2.5.29.35: Флаги = 0, Длина = 18 Идентификатор ключа центра сертификатов Идентификатор ключа=4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5 2.5.29.14: Флаги = 0, Длина = 16 Идентификатор ключа субъекта 4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5 Алгоритм подписи: ObjectId алгоритма: 1.2.643.2.2.3 Параметры алгоритма: 05 00 Подпись: НеиспользБит=0 0000 18 b6 cd 45 36 a2 f0 e3 c4 0010 01 04 ee 19 55 d6 98 d8 4e 0020 09 d2 43 ec e9 a5 63 52 2b 0030 d9 eb 4b 30 13 57 fb d9 8c Подпись соответствует открытому ключу ГОСТ Р 34.11/34.10-2001 fd 7c 32 07 80 e6 a1 4e 25 fd 7e df 82 08 7a 5c ce d5 52 98 f7 e4 e9 c3 06 89 18 5a Проверка требования и результат Состав запроса должен соответствовать требованиям п. 2, приложения В. Методика проведения испытаний 21 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. Запрос содержит поле «Алгоритм подписи», соответствующее требованиям п. 1.1.3, приложения В. Запрос содержит поле «Субъект», соответствующее требованиям п. 2.1, приложения В. Запрос содержит поле «Алгоритм открытого ключа», соответствующее требованиям п. 2.2, приложения В. Запрос содержит поле «Открытый ключ», соответствующее требованиям п. 2.3, приложения В. Запрос содержит поле «Запрос атрибутов», соответствующее требованиям п. 2.4, приложения В. Запрос содержит расширение «Основные ограничения», соответствующее требованиям п. 2.4.1, приложения В. Запрос содержит расширение «Идентификатор ключа субъекта», соответствующее требованиям п. 2.4.2, приложения В. Запрос содержит расширение «Использование ключа», соответствующее требованиям п. 2.4.3, приложения В. Запрос содержит действительную цифровую подпись. Текстовый файл содержит строку «Подпись соответствует открытому ключу ». Значения полей «Алгоритм подписи», «Субъект», «Алгоритм открытого ключа», «Открытый ключ», указанные в запросе, должны соответствовать значениям этих полей, указанным в сертификате. 8.3. Проверка совместимости сертификатов ключей подписи, изданных УЦ Претендента, с программными средствами, используемыми в налоговых органах 8.3.1. Претендент должен предоставить сертификат ключа подписи, изданный УЦ Претендента с закрытым ключом, соответствующий требованиям к сертификатам ключей подписей пользователя Системы 8.3.1.1. Сертификат должен являться сертификатом, соответствующим международным рекомендациям X.509, версии 3 и соответствовать требованиям, предъявляемым к сертификатам Проверка проводиться путём анализа текстового файла, содержащего данные сертификата. Требования к сертификату ключа подписи обозначены в Приказе ФНС России «Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи» №ММ-7-6/353 от 02.07.2009. 8.3.1.2. Сертификат ключа подписи пользователя должен устанавливаться в программные средства, используемые в налоговых органах, и быть пригодным для выполнения операций зашифровывания и подписывания электронных документов Проверка требования и результат Установить СКП пользователей в программные средства. Произвести операции зашифровывания и подписания документа. После зашифровывания сообщения должны расшифровываться, подпись должна проверяться. Методика проведения испытаний 22 Error! Use the Home tab to apply Заголовок 2 to the text that you want to appear here. 8.4. Проверка совместимости списков отозванных сертификатов, изданных УЦ Претендента 8.4.1. Претендент должен предоставить список отозванных сертификатов, соответствующий требованиям к сертификатам ключей подписей пользователя Системы 8.4.1.1. Список отозванных сертификатов должен соответствовать международным рекомендациям X.509 и соответствовать требованиям, предъявляемым к спискам отозванных сертификатов Проверка проводиться путём анализа текстового файла, содержащего данные списка отозванных сертификатов. Требования к спискам отозванных сертификатов обозначены в Приказе ФНС России «Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи» №ММ-7-6/353 от 02.07.2009. 8.5. Результаты проверки по разделу 8 Все обязательные требования из раздела 8 должны быть удовлетворены для получения Претендентом аккредитации в Сети Доверенных УЦ. Методика проведения испытаний 23 Приложение А Приложение А Примерный состав событий, регистрируемых программным комплексом обеспечения реализации целевых функций Претендента ЦС должен регистрировать следующие основные события: установлено сетевое соединение с программной компонентой ЦР; издан СОС; принят запрос на сертификат ключа подписи; издан сертификат ключа подписи; не выполнена внутренняя операция программной компоненты; системные события общесистемного программного обеспечения. ЦР должен регистрировать следующие основные события: помещен запрос на регистрацию; принят запрос на регистрацию; отклонен запрос на регистрацию; помещен запрос на сертификат; принят запрос на сертификат; отклонен запрос на сертификат; установка сертификата подтверждена пользователем; помещен запрос на отзыв сертификата; принят запрос на отзыв сертификата; отклонен запрос на отзыв сертификата; помещен запрос на первый сертификат; запрошен список отозванных сертификатов; опубликован список отозванных сертификатов; не выполнена внутренняя операция программной компоненты; установлено сетевое соединение с внешней программной компонентой; системные события общесистемного программного обеспечения. Методика проведения испытаний 24 Приложение Б Приложение Б Примерный состав программных модулей, подлежащих контролю целостности Программные модули средств электронной цифровой подписи. Программные модули ЦС. Программные модули ЦР. Программные модули АРМ Администратора ЦР. Методика проведения испытаний 25 Приложение В Приложение В Требования к сертификатам ключей подписей и запросам на кросссертификат Для включения в Сеть Доверенных УЦ Претендент предоставляет в УЦ ГНИВЦ следующие электронные документы: сертификат ключа подписи (СКП) уполномоченного лица (УЛ) УЦ; запрос на кросс-сертификат; закрытый ключ и СКП пользователя, изданный УЦ. 1. Требования к составу предоставляемого СКП СКП представляет собой электронный сертификат, соответствующий международным рекомендациям X.509 версии 3, и содержит: стандартные поля сертификата версии 1; расширения сертификата; свойства сертификата; электронную цифровую подпись (ЭЦП) УЛ УЦ, выдавшего данный СКП. 1.1. Требования к составу и содержанию стандартных полей версии 1 сертификата В состав стандартных полей версии 1 предоставляемого СКП входят следующие поля: поле «Версия»; поле «Серийный номер»; поле «Алгоритм подписи»; поле «Поставщик»; поле «Субъект»; поле «Действителен с »; поле «Действителен по »; поле «Открытый ключ». 1.1.1. Поле «Версия» должно содержать значение «3». 1.1.2. Поле «Серийный номер» должно содержать серийный номер СКП, уникальный в пределах серийных номеров всех сертификатов, выданных центром сертификации (ЦС) УЦ, издавшего предоставляемый СКП. 1.1.3. Поле «Алгоритм подписи» должно содержать OID алгоритма «1.2.643.2.2.3» (ГОСТ Р 34.11/34.10-2001). 1.1.4. Поле «Поставщик» должно содержать доменное имя УЦ, издателя сертификата. Доменное имя должно содержать компоненты доменного имени, определённые в международных рекомендациях X.501, и их значения. Методика проведения испытаний 26 Приложение В 1.1.5. Поле «Субъект» должно содержать доменное имя владельца предоставляемого сертификата. Доменное имя должно содержать следующие компоненты доменного имени: компонент «Общее имя» (CN, Common Name), содержащий фамилию, имя, отчество или псевдоним владельца сертификата; компонент «Организация» (O, Organization), содержащее название организации владельца сертификата; компонент «Город» (L, Locality), содержащее название населённого пункта, в котором расположена организация владельца сертификата; компонент «Область/край» (S, State), содержащее название региона (при его наличии в почтовом адресе организации владельца сертификата); поле «Страна/регион» (С, Country), содержащее значение «RU»; поле «Электронная почта» (E, EMail), содержащее адрес электронной почты владельца сертификата. 1.1.6. Поле «Действителен с » должно содержать дату начала срока действия сертификата в формате UTC. 1.1.7. Поле «Действителен до » должно содержать дату истечения срока действия сертификата в формате UTC. 1.1.8. Срок действия сертификата должен уже наступить на момент предоставления СКП УЛ УЦ, а истечение срока действия должно наступить не ранее, чем через 12 месяцев с этого момента. 1.1.9. Поле «Алгоритм открытого ключа» должно содержать описание алгоритма открытого ключа; ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3). 1.1.10. Поле «Открытый ключ» должно содержать открытый ключ СКП, сформированный по алгоритму ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3). 1.1.11. Алгоритм подписи СКП (п. 1.1.3) должен соответствовать алгоритму формирования открытого ключа (п. 1.1.9). 1.2. Требования к составу и содержанию расширений сертификата В состав расширений предоставляемого СКП должны входить следующие стандартные (по стандарту X.509) расширения: расширение «Идентификатор ключа субъекта»; расширение «Доступ к информации о центрах сертификации»; расширение «Точки распространения списков отзыва»; расширение «Основные ограничения»; расширение «Использование ключа». 1.2.1. Расширение «Идентификатор ключа субъекта» (OID 2.5.29.14) должно содержать значение идентификатора ключа субъекта. Расширение должно быть указано как не критичное. 1.2.2. Расширение «Доступ к информации о центрах сертификации» должно содержать описание адреса OCSP респондера (при его наличии) и (или) ссылку на ресурс, содержащий список издателей, составляющих путь сертификации для издателя СКП. Расширение должно быть указано как не критичное. Методика проведения испытаний 27 Приложение В 1.2.3. Расширение «Точки распространения списков отзыва» (OID 2.5.29.31) должно содержать: URL адрес действительной точки распространения списка отозванных сертификатов по протоколу «http»; URL адрес точки распространения списка отозванных сертификатов по протоколу «file». Расширение должно быть указано как не критичное. 1.2.4. В СКП УЛ УЦ расширение «Основные ограничения» (OID 2.5.29.19) должно содержать поле «Тип субъекта» со значением «ЦС». Расширение должно быть указано как не критичное. 1.2.5. Расширение «Использование ключа» (OID 2.5.29.15) должно содержать следующие назначения ключа: цифровая подпись; неотрекаемость; шифрование ключей; шифрование данных; подписывание сертификатов *; автономное подписание списка отзыва *; подписывание списка отзыва (CRL)*. Примечание * : только для СКП УЛ УЦ Расширение должно быть указано как критичное. 1.2.6. В СКП пользователя расширение «Улучшенный ключ» (OID 2.5.29.37) должно содержать значение «Защищенная электронная почта» (1.3.6.1.5.5.7.3.4) Расширение должно быть указано как не критичное. Требования к ЭЦП сертификата ЭЦП сертификата должна соответствовать открытому ключу сертификата. 2. Требования к составу запроса на кросс–сертификат уполномоченного лица УЦ Запрос на кросс–сертификат УЛ УЦ, кандидата на включение в СУЦ УЦ ГНИВЦ должен содержать: поле «Субъект»; поле «Алгоритм открытого ключа»; поле «Открытый ключ»; поле «Запрос атрибутов». Методика проведения испытаний 28 Приложение В 2.1. Поле «Субъект» должно содержать доменное имя УЛ УЦ, владельца предоставляемого сертификата, соответствующее доменному имени указанному в СКП УЛ УЦ, как описано в п. 1.1.5. 2.2. Поле «Алгоритм открытого ключа» должно содержать OID алгоритма формирования открытого ключа СКП УЛ УЦ, со значением «1.2.643.2.2.3» (ГОСТ Р 34.11/34.10-2001). 2.3. Поле «Открытый ключ» должно содержать открытый ключ СКП сформированный по алгоритму ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3), соответствующий открытому ключу СКП УЛ УЦ. 2.4. Поле «Запрос атрибутов» должно содержать атрибут «Расширения сертификатов» (OID 1.3.6.1.4.1.311.2.1.14) со следующими расширениями: «Основные ограничения»; «Идентификатор ключа субъекта» (OID 2.5.29.14); «Использование ключа». 2.4.1. Расширение «Основные ограничения» (OID 2.5.29.19) должно содержать поле «Тип субъекта» со значением «ЦС» и поле «Ограничение на длину пути» co значением «0». Расширение должно быть указано как критичное. 2.4.2. Расширение «Идентификатор ключа субъекта» (OID 2.5.29.14) должно содержать значение идентификатора ключа субъекта, соответствующее значению идентификатора ключа субъекта, указанному в СКП УЛ УЦ (п. 1.2.1). Расширение должно быть указано как не критичное. 2.4.3. Расширение «Использование ключа» (OID 2.5.29.15) должно содержать назначения ключа, указанные в соответствующем расширении СКП УЛ УЦ (п. 1.2.5). Расширение должно быть указано как не критичное. Методика проведения испытаний 29 Приложение Г Приложение Г Примерный перечень информации, подлежащей защите Информация, передаваемая Претенденту, подлежащая защите: 1) заявление на регистрацию в электронной форме; 2) заявление на изготовление сертификата ключа подписи в электронной форме; 3) заявление на аннулирование (отзыв) сертификата ключа подписи в электронной форме; 4) заявление на приостановление действия сертификата ключа подписи в электронной форме; 5) заявление на возобновление действия сертификата ключа подписи в электронной форме; 6) пароль, передаваемый пользователем УЦ при аутентификации по паролю; 7) ключевая фраза пользователя УЦ. Информация, передаваемая от Претендента, подлежащая защите: 1) пароль, передаваемый пользователю УЦ для аутентификации по паролю; 2) бланк копии сертификата ключа подписи для вывода на бумажный носитель; 3) список сертификатов ключей подписей пользователя УЦ и их статус; 4) список запросов на сертификаты ключей подписей пользователя УЦ и их статус; 5) список запросов на аннулирование (отзыв), приостановление и возобновление действия сертификатов ключей подписей пользователя УЦ и их статус. Методика проведения испытаний 30 Приложение Д Приложение Д ОБРАЗЕЦ Руководителю ФГУП ГНИВЦ ФНС России Просим рассмотреть Комплект заявительных документов (прилагается), подтверждающих выполнение требований к удостоверяющим центрам, в соответствии с «Положением о Сети Доверенных удостоверяющих центров Федеральной налоговой службы», утвержденного Приказом ФНС России от 13.06.2006 № САЭ-3-27/346@. Реквизиты Удостоверяющего центра … Приложение перечень (опись) предоставленных документов: 1. Название документа на _____ лист__. 2. Название документа на _____ лист__. … N. Название документа на _____ лист__. Итого _________ листов. Документы в электронном виде на ________________ (описание и количество носителей): 1. 2. … Название документа Название документа название файла название файла . . N. Название документа название файла . Руководитель удостоверяющего центра (наименование) мп Методика проведения испытаний ______________ (расшифровка подписи) (подпись) 31
