ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

от 4 декабря 2020 года N 555

О внесении изменений в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации",

________________

Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2020, N 24, ст.3755.

Собрание законодательства Российской Федерации, 2003, N 33, ст.3254; 2018, N 28, ст.4198.

приказываю:

Внести в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" изменения согласно приложению.

________________

Зарегистрирован Минюстом России 9 февраля 2012 г., регистрационный N 23191.

Директор
А.Бортников

Зарегистрировано

в Министерстве юстиции

Российской Федерации

30 декабря 2020 года,

регистрационный N 61972

Приложение
к приказу ФСБ России
от 4 декабря 2020 года N 555

Изменения, вносимые в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"

1. В Требованиях к средствам электронной подписи (приложение N 1):

1.1. В подпункте 2 пункта 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".

1.2. В сноске 1 к пункту 20 слова "2004, N 28, ст.2883; 2005, N 36, ст.3665; N 49, ст.5200; 2006, N 25, ст.2699; N 31 (ч.I), ст.3463; 2007, N 1 (ч.I), ст.205; N 49, ст.6133; N 53, ст.6554; 2008, N 36, ст.4087; N 43, ст.4921; N 47, ст.5431; 2010, N 17, ст.2054; N 20, ст.2435; 2011, N 2, ст.267; N 9, ст.1222" заменить словами "2018, N 28, ст.4198".

2. В Требованиях к средствам удостоверяющего центра (приложение N 2):

2.1. В пункте 2:

2.1.1. В подпункте 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".

2.1.2. Подпункт 7 изложить в следующей редакции:

"7) квалифицированный сертификат ключа проверки ЭП (далее - квалифицированный сертификат) - сертификат ключа проверки ЭП, соответствующий требованиям, установленным Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее - уполномоченный федеральный орган), и являющийся в связи с этим официальным документом;".

2.1.3. Подпункт 9 изложить в следующей редакции:

"9) аккредитация УЦ - признание соответствия УЦ требованиям Федерального закона;".

2.1.4. В подпункте 11 после слова "организации," дополнить словами "индивидуальные предприниматели,".

2.1.5. Дополнить подпунктом 12 следующего содержания:

"12) метка доверенного времени - достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, УЦ или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом.".

2.1.6. Подпункт 12 дополнить сноской 1 следующего содержания:

" В соответствии с частью 1.1 статьи 3 Федерального закона от 27 декабря 2019 г. N 476-ФЗ "О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2019, N 52 (ч.I) ст.7794; 2020, N 26, ст.3997) требования к службе меток доверенного времени применяются с 1 января 2021 г.".

2.2. Дополнить подпунктом 13.5 следующего содержания:

"13.5. Разработка и реализация с использованием аппаратных и программных средств атак, направленных на выявление и использование имеющихся уязвимостей АС УЦ.".

2.3. Подпункты 19.3 и 19.4 изложить в следующей редакции:

"19.3. Требования для средств УЦ классов КС2, КС3 и КВ1 совпадают с требованиями для средств УЦ класса КС1.

19.4. Требования для средств УЦ класса КВ2:

- в средствах УЦ должен быть реализован механизм контроля входящих информационных потоков в целях выявления наличия данных, активирующих недекларированные возможности АС;

- в составе средств УЦ для выполнения функций управления ключами ЭП должны использоваться отдельные СКЗИ на базе выделенных аппаратных платформ. Данные СКЗИ не должны эксплуатироваться совместно с другим программным обеспечением, не входящим в состав СКЗИ, в одной среде функционирования.".

2.4. Дополнить подпунктом 19.5 следующего содержания:

"19.5. Требования для средств УЦ класса КА1:

- проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации;

- проведение исследования наличия недекларированных возможностей АС, внесенных на этапе разработки и изготовления электронной компонентной базы, а также на этапах разработки и производства средств вычислительной техники на ее основе;

- проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения недекларированных возможностей.".

2.5. Подпункт 20.4 дополнить абзацами следующего содержания:

"- должна быть исключена возможность хищения ключевой информации членом группы администраторов;

"- копирование ключевой информации СКЗИ должно быть реализовано в защищенном (зашифрованном) виде.".

2.6. В подпункте 21.2:

2.6.1. Абзац четвертый изложить в следующей редакции:

"- контроль целостности программных средств УЦ должен выполняться при каждом старте функционирования указанных средств, а контроль целостности АС УЦ - при каждой перезагрузке операционной системы (далее - ОС);".

2.6.2. Дополнить абзацем следующего содержания:

"- вероятность ошибки контроля целостности не должна превышать аналогичной вероятности для используемых СКЗИ.".

2.7. Подпункты 21.6 и 21.7 изложить в следующей редакции:

"21.6. Требования для средств УЦ класса КВ2:

- контроль целостности должен осуществляться динамически при функционировании средств УЦ.

21.7. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.".

2.8. Абзац четвертый подпункта 23.4 дополнить словами "и с применением механизма многофакторной аутентификации, использующего аппаратные идентификаторы".

2.9. Подпункт 24.3 дополнить абзацами следующего содержания:

"- в средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП, класс которых соответствует классу средств УЦ;

- в средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ, класс которых не ниже класса средств УЦ.".

2.10. Подпункт 24.4 изложить в следующей редакции:

"24.4. Требования для средств УЦ классов КС3, КВ1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС2.".

2.11. Подпункты 24.5 и 24.6 признать утратившими силу.

2.12. Подпункт 25.2 дополнить абзацем следующего содержания:

"- список регистрируемых событий должен включать факты (попытки) изменения системного времени средств УЦ.".

2.13. В абзаце втором подпункта 25.4 слова "пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ" исключить.

2.14. В абзаце третьем подпункта 27.3 после слов "(далее - список аннулированных сертификатов)," дополнить словами "а также ключи ЭП, используемые для подписи меток доверенного времени".

2.15. Абзац второй подпункта 27.6 изложить в следующей редакции:

"- ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП;".

2.16. Подпункт 29.1 изложить в следующей редакции:

"29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП, а также схема передачи заявления на создание сертификата ключа проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.".

2.17. Дополнить новым пунктом 33 следующего содержания:

"33. В состав средств УЦ должна входить служба меток доверенного времени.".