Присоединяйтесь!
Зарегистрированных пользователей портала: 506 326. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

ПРИКАЗ ФСБ РФ от 27.12.2011 N 796 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ И ТРЕБОВАНИЙ К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА"

Дата документа27.12.2011
Статус документаДействует
МеткиПриказ

    
    Зарегистрировано в Минюсте РФ 9 февраля 2012 г. N 23191
    


 

ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ПРИКАЗ
от 27 декабря 2011 г. N 796

 

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ И ТРЕБОВАНИЙ К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА

 
    В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" <*> приказываю утвердить:
    


    <*> Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880.
 
    Требования к средствам электронной подписи (приложение N 1);
    Требования к средствам удостоверяющего центра (приложение N 2).
 

Директор
А.БОРТНИКОВ

 
 
    

Приложение N 1
к приказу ФСБ России
от 27 декабря 2011 г. N 796

    

ТРЕБОВАНИЯ К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ

 

I. Общие положения

 
    1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон).
    2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:
    1) электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
    2) удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП, а также иные функции, предусмотренные Федеральным законом;
    3) ключ ЭП - уникальная последовательность символов, предназначенная для создания ЭП;
    4) ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее - проверка ЭП);
    5) средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
    6) сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.
    3. Настоящие Требования устанавливают структуру и содержание требований к средствам ЭП.
    4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств ЭП при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств ЭП, ФСБ России, осуществляющей подтверждение соответствия средств ЭП настоящим Требованиям.
    5. Настоящие Требования распространяются на средства ЭП, предназначенные для использования на территории Российской Федерации, в учреждениях Российской Федерации за рубежом и в находящихся за рубежом обособленных подразделениях юридических лиц, образованных в соответствии с законодательством Российской Федерации.
    6. К средствам ЭП в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 <*> (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173 <**>), для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
    


    <*> Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382.
    <**> Зарегистрирован Минюстом России 25 мая 2010 г., регистрационный N 17350.
 
    7. Требования к технологиям создания (формирования) и проверки ЭП с помощью средства ЭП указываются в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средства ЭП (далее - ТЗ на разработку (модернизацию) средства ЭП).
 

II. Требования к средствам ЭП

 
    8. При создании ЭП средства ЭП должны:
    - показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает <*>;
    - создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП <*>;
    - однозначно показывать, что ЭП создана <*>.
    9. При проверке ЭП средства ЭП должны:
    - показывать содержание электронного документа, подписанного ЭП <*>;
    - показывать информацию о внесении изменений в подписанный ЭП электронный документ <*>;
    - указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы <*>.
    


    <*> Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).
 
    10. Требования пунктов 8 и 9 настоящих Требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе.
    11. Средства ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее - атака).
    12. В зависимости от способностей противостоять атакам средства ЭП подразделяются на классы <*>.
    
    <*> Необходимый класс разрабатываемого (модернизируемого) средства ЭП определяется заказчиком (разработчиком) средства ЭП путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе пунктов 13 - 18 настоящих Требований и указывается в ТЗ на разработку (модернизацию) средства ЭП.
 
    13. Средства ЭП класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
    13.1. Самостоятельное осуществление создания способов атак, подготовки и проведения атак.
    13.2. Действия на различных этапах жизненного цикла средства ЭП <*>.
    
    <*> К этапам жизненного цикла средства ЭП относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.
 
    13.3. Проведение атаки только извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона <*>).
    
    <*> Границей контролируемой зоны могут быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
 
    13.4. Проведение на этапах разработки, производства, хранения, транспортировки средств ЭП и этапе ввода в эксплуатацию средств ЭП (пусконаладочные работы) следующих атак:
    - внесение несанкционированных изменений в средство ЭП и (или) в компоненты СФ, в том числе с использованием вредоносных программ;
    - внесение несанкционированных изменений в документацию на средство ЭП и на компоненты СФ.
    13.5. Проведение атак на следующие объекты:
    - документацию на средство ЭП и на компоненты СФ;
    - защищаемые электронные документы;
    - ключевую, аутентифицирующую и парольную информацию средства ЭП;