Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»

     

ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

от 27 декабря 2011 года N 796

Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра

(с изменениями на 13 апреля 2021 года)

Информация об изменяющих документах

____________________________________________________________________

Документ с изменениями, внесенными:

приказом ФСБ России от 4 декабря 2020 года N 555 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 31.12.2020, N 0001202012310003);

приказом ФСБ России от 13 апреля 2021 года N 142 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 20.05.2021, N 0001202105200019) (вступил в силу c 1 сентября 2021 года и действует до 1 января 2027 года).

____________________________________________________________________



В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи"

_______________

Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; N 27, ст.3880.


приказываю:

1. Утвердить:

(Абзац в редакции, введенной в действие с 1 сентября 2021 года приказом ФСБ России от 13 апреля 2021 года N 142, действует до 1 января 2027 года. - См. предыдущую редакцию)


Требования к средствам электронной подписи (приложение N 1);     

(Абзац в редакции, введенной в действие с 1 сентября 2021 года приказом ФСБ России от 13 апреля 2021 года N 142, действует до 1 января 2027 года. - См. предыдущую редакцию)

Требования к средствам удостоверяющего центра (приложение N 2).

(Абзац в редакции, введенной в действие с 1 сентября 2021 года приказом ФСБ России от 13 апреля 2021 года N 142, действует до 1 января 2027 года. - См. предыдущую редакцию)

2. Настоящий приказ действует до 1 января 2027 г.

(Пункт дополнительно включен с 1 сентября 2021 года приказом ФСБ России от 13 апреля 2021 года N 142, действует до 1 января 2027 года)



Директор
А.Бортников



Зарегистрировано

в Министерстве юстиции

Российской Федерации

9 февраля 2012 года,

регистрационный N 23191

     

     

Приложение N 1     

Требования к средствам электронной подписи

(с изменениями на 4 декабря 2020 года)

     

I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон).

2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:

1) электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

2) удостоверяющий центр (далее - УЦ) - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП, а также иные функции, предусмотренные Федеральным законом;

(Подпункт в редакции, введенной в действие с 11 января 2021 года приказом ФСБ России от 4 декабря 2020 года N 555. - См. предыдущую редакцию)

3) ключ ЭП - уникальная последовательность символов, предназначенная для создания ЭП;

4) ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее - проверка ЭП);

5) средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

6) сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.

3. Настоящие Требования устанавливают структуру и содержание требований к средствам ЭП.

4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств ЭП при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств ЭП, ФСБ России, осуществляющей подтверждение соответствия средств ЭП настоящим Требованиям.

5. Настоящие Требования распространяются на средства ЭП, предназначенные для использования на территории Российской Федерации, в учреждениях Российской Федерации за рубежом и в находящихся за рубежом обособленных подразделениях юридических лиц, образованных в соответствии с законодательством Российской Федерации.

6. К средствам ЭП в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 года N 66 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 года N 173), для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

_______________

Зарегистрирован Минюстом России 3 марта 2005 года, регистрационный N 6382.

Зарегистрирован Минюстом России 25 мая 2010 года, регистрационный N 17350.

7. Требования к технологиям создания (формирования) и проверки ЭП с помощью средства ЭП указываются в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средства ЭП (далее - ТЗ на разработку (модернизацию) средства ЭП).

II. Требования к средствам ЭП

8. При создании ЭП средства ЭП должны:

- показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;

_______________

Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).


- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;

_______________

Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).


- однозначно показывать, что ЭП создана.

_______________

Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).

9. При проверке ЭП средства ЭП должны:

- показывать содержание электронного документа, подписанного ЭП;

_______________

Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).


- показывать информацию о внесении изменений в подписанный ЭП электронный документ;

_______________

Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).


- указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.

_______________

Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).

10. Требования пунктов 8 и 9 настоящих Требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе.

11. Средства ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее - атака).

12. В зависимости от способностей противостоять атакам средства ЭП подразделяются на классы.

_______________

Необходимый класс разрабатываемого (модернизируемого) средства ЭП определяется заказчиком (разработчиком) средства ЭП путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 13-18 настоящих Требований и указывается в TЗ на разработку (модернизацию) средства ЭП.

13. Средства ЭП класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

13.1. Самостоятельное осуществление создания способов атак, подготовки и проведения атак.

13.2. Действия на различных этапах жизненного цикла средства ЭП.

_______________

К этапам жизненного цикла средства ЭП относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

13.3. Проведение атаки только извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона).

_______________

Границей контролируемой зоны могут быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

13.4. Проведение на этапах разработки, производства, хранения, транспортировки средств ЭП и этапе ввода в эксплуатацию средств ЭП (пусконаладочные работы) следующих атак:

- внесение несанкционированных изменений в средство ЭП и (или) в компоненты СФ, в том числе с использованием вредоносных программ;

- внесение несанкционированных изменений в документацию на средство ЭП и на компоненты СФ.

13.5. Проведение атак на следующие объекты:

- документацию на средство ЭП и на компоненты СФ;

- защищаемые электронные документы;

- ключевую, аутентифицирующую и парольную информацию средства ЭП;

- средство ЭП и его программные и аппаратные компоненты;