ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 4 декабря 2020 года N 555
О внесении изменений в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"
В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации",
________________
Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2020, N 24, ст.3755.
Собрание законодательства Российской Федерации, 2003, N 33, ст.3254; 2018, N 28, ст.4198.
приказываю:
Внести в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" изменения согласно приложению.
________________
Зарегистрирован Минюстом России 9 февраля 2012 г., регистрационный N 23191.
Директор
А.Бортников
Зарегистрировано
в Министерстве юстиции
Российской Федерации
30 декабря 2020 года,
регистрационный N 61972
Изменения, вносимые в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"
1. В Требованиях к средствам электронной подписи (приложение N 1):
1.1. В подпункте 2 пункта 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".
1.2. В сноске 1 к пункту 20 слова "2004, N 28, ст.2883; 2005, N 36, ст.3665; N 49, ст.5200; 2006, N 25, ст.2699; N 31 (ч.I), ст.3463; 2007, N 1 (ч.I), ст.205; N 49, ст.6133; N 53, ст.6554; 2008, N 36, ст.4087; N 43, ст.4921; N 47, ст.5431; 2010, N 17, ст.2054; N 20, ст.2435; 2011, N 2, ст.267; N 9, ст.1222" заменить словами "2018, N 28, ст.4198".
2. В Требованиях к средствам удостоверяющего центра (приложение N 2):
2.1. В пункте 2:
2.1.1. В подпункте 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".
2.1.2. Подпункт 7 изложить в следующей редакции:
"7) квалифицированный сертификат ключа проверки ЭП (далее - квалифицированный сертификат) - сертификат ключа проверки ЭП, соответствующий требованиям, установленным Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее - уполномоченный федеральный орган), и являющийся в связи с этим официальным документом;".
2.1.3. Подпункт 9 изложить в следующей редакции:
"9) аккредитация УЦ - признание соответствия УЦ требованиям Федерального закона;".
2.1.4. В подпункте 11 после слова "организации," дополнить словами "индивидуальные предприниматели,".
2.1.5. Дополнить подпунктом 12 следующего содержания:
"12) метка доверенного времени - достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, УЦ или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом.".
2.1.6. Подпункт 12 дополнить сноской 1 следующего содержания:
" В соответствии с частью 1.1 статьи 3 Федерального закона от 27 декабря 2019 г. N 476-ФЗ "О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2019, N 52 (ч.I) ст.7794; 2020, N 26, ст.3997) требования к службе меток доверенного времени применяются с 1 января 2021 г.".
2.2. Дополнить подпунктом 13.5 следующего содержания:
"13.5. Разработка и реализация с использованием аппаратных и программных средств атак, направленных на выявление и использование имеющихся уязвимостей АС УЦ.".
2.3. Подпункты 19.3 и 19.4 изложить в следующей редакции:
"19.3. Требования для средств УЦ классов КС2, КС3 и КВ1 совпадают с требованиями для средств УЦ класса КС1.
19.4. Требования для средств УЦ класса КВ2:
- в средствах УЦ должен быть реализован механизм контроля входящих информационных потоков в целях выявления наличия данных, активирующих недекларированные возможности АС;
- в составе средств УЦ для выполнения функций управления ключами ЭП должны использоваться отдельные СКЗИ на базе выделенных аппаратных платформ. Данные СКЗИ не должны эксплуатироваться совместно с другим программным обеспечением, не входящим в состав СКЗИ, в одной среде функционирования.".
2.4. Дополнить подпунктом 19.5 следующего содержания:
"19.5. Требования для средств УЦ класса КА1:
- проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации;
- проведение исследования наличия недекларированных возможностей АС, внесенных на этапе разработки и изготовления электронной компонентной базы, а также на этапах разработки и производства средств вычислительной техники на ее основе;
- проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения недекларированных возможностей.".
2.5. Подпункт 20.4 дополнить абзацами следующего содержания:
"- должна быть исключена возможность хищения ключевой информации членом группы администраторов;
"- копирование ключевой информации СКЗИ должно быть реализовано в защищенном (зашифрованном) виде.".
2.6. В подпункте 21.2:
2.6.1. Абзац четвертый изложить в следующей редакции:
"- контроль целостности программных средств УЦ должен выполняться при каждом старте функционирования указанных средств, а контроль целостности АС УЦ - при каждой перезагрузке операционной системы (далее - ОС);".
2.6.2. Дополнить абзацем следующего содержания:
"- вероятность ошибки контроля целостности не должна превышать аналогичной вероятности для используемых СКЗИ.".
2.7. Подпункты 21.6 и 21.7 изложить в следующей редакции:
"21.6. Требования для средств УЦ класса КВ2:
- контроль целостности должен осуществляться динамически при функционировании средств УЦ.
21.7. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.".
2.8. Абзац четвертый подпункта 23.4 дополнить словами "и с применением механизма многофакторной аутентификации, использующего аппаратные идентификаторы".
2.9. Подпункт 24.3 дополнить абзацами следующего содержания:
"- в средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП, класс которых соответствует классу средств УЦ;
- в средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ, класс которых не ниже класса средств УЦ.".
2.10. Подпункт 24.4 изложить в следующей редакции:
"24.4. Требования для средств УЦ классов КС3, КВ1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС2.".
2.11. Подпункты 24.5 и 24.6 признать утратившими силу.
2.12. Подпункт 25.2 дополнить абзацем следующего содержания:
"- список регистрируемых событий должен включать факты (попытки) изменения системного времени средств УЦ.".
2.13. В абзаце втором подпункта 25.4 слова "пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ" исключить.
2.14. В абзаце третьем подпункта 27.3 после слов "(далее - список аннулированных сертификатов)," дополнить словами "а также ключи ЭП, используемые для подписи меток доверенного времени".
2.15. Абзац второй подпункта 27.6 изложить в следующей редакции:
"- ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП;".
2.16. Подпункт 29.1 изложить в следующей редакции:
"29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП, а также схема передачи заявления на создание сертификата ключа проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.".
2.17. Дополнить новым пунктом 33 следующего содержания:
"33. В состав средств УЦ должна входить служба меток доверенного времени.".