Die Anforderungen an die Tätigkeit von Zertifizierungsstellen wurden verschärft. „Anforderungen zur Gewährleistung der Informationssicherheit am Arbeitsplatz des CA-Benutzers. Überprüfung der Sicherheit der in der CA verarbeiteten Daten
am Arbeitsplatz des CA-Benutzers“
Allgemeine Bestimmungen
Sichere elektronische Dokumentenmanagementsysteme.
Einreichung von Steuererklärungen und Jahresabschlüssen beim Föderalen Steuerdienst der Russischen Föderation.
Übermittlung personalisierter Buchhaltungsinformationen an die UPFR.
Vertraulichkeit der Informationen
FAPSI-Verordnung Nr. 152 vom 13. Juni 2001 „Über die Genehmigung von Anweisungen zur Organisation und Gewährleistung der Sicherheit der Speicherung, Verarbeitung und Übertragung über Kommunikationskanäle unter Verwendung von Mitteln zum kryptografischen Schutz von Informationen mit eingeschränktem Zugang, die keine Informationen enthalten, die ein Staatsgeheimnis darstellen“ (eingetragen beim Justizministerium der Russischen Föderation am 06.08.2001 Nr. 2848)
FAPSI-Verordnung Nr. 158 vom 23. September 1999 „Über die Genehmigung der Vorschriften über das Verfahren für die Entwicklung, Produktion, den Verkauf und die Verwendung kryptografischer Schutzmittel für Informationen mit eingeschränktem Zugang, die keine Informationen enthalten, die ein Staatsgeheimnis darstellen“ (registriert bei des Justizministeriums der Russischen Föderation vom 28. Dezember 1999 Nr. 2029)
Bundesgesetz vom 20. Februar 1995 Nr. 24-FZ (in der Fassung vom 10. Januar 2003) „Über Information, Informatisierung und Informationsschutz“ (angenommen von der Staatsduma der Föderalen Versammlung der Russischen Föderation am 25. Januar 1995)
Betriebsdokumentation für CIPF.
Abrechnung, Speicherung und Betrieb von CIPF- und EDS-Schlüsseln durch den CA-Benutzer
Ein CA-Benutzer (juristische oder natürliche Person), der die Arbeit in einem sicheren elektronischen Dokumentenverwaltungssystem zum Austausch von Dokumenten über Telekommunikationskanäle organisiert, ist verpflichtet:
das Verfahren zur Aufzeichnung, Speicherung und Nutzung von CIPF und Trägern privater Verschlüsselungsschlüssel und digitaler Signaturen festlegen und genehmigen;
Bereitstellung von Speicherbedingungen für Medien privater Verschlüsselungsschlüssel und digitaler Signaturen, die den Zugriff Unbefugter auf diese, die unbefugte Nutzung oder das Kopieren von Schlüsselinformationen und Schlüsselsperrkennwörtern ausschließen.
Anforderungen an die Platzierung, spezielle Ausrüstung, Sicherheit und Regelung in den Räumlichkeiten, in denen sich Geräte zum Schutz kryptografischer Informationen befinden:
Die Platzierung, spezielle Ausrüstung, Sicherheit und Regelung in den Räumlichkeiten, in denen sich CIPF befindet (im Folgenden als Räumlichkeiten bezeichnet), müssen die Sicherheit von Informationen, CIPF- und Verschlüsselungsschlüsseln sowie digitalen Signaturen gewährleisten und die Möglichkeit eines unkontrollierten Zugriffs auf CIPF und Anzeigeverfahren minimieren für die Arbeit mit CIPF durch Unbefugte.
Das Verfahren für den Zutritt zu den Räumlichkeiten wird durch interne Weisungen bestimmt, die unter Berücksichtigung der Besonderheiten und Betriebsbedingungen einer bestimmten Unternehmensstruktur entwickelt werden.
Wenn sich Räumlichkeiten im ersten und letzten Stockwerk von Gebäuden befinden und neben den Fenstern Balkone, Feuerleitern usw. vorhanden sind, sind die Fenster der Räumlichkeiten mit Metallgittern, Fensterläden, Sicherheitsalarmen oder anderen Mitteln ausgestattet verhindern Sie unbefugten Zutritt zu den Räumlichkeiten. Diese Räumlichkeiten müssen über langlebige Eingangstüren mit sicheren Schlössern verfügen.
Zur Aufbewahrung von Verschlüsselungsschlüsseln und digitalen Signaturen, behördlichen und betrieblichen Dokumentationen sowie Installationsdisketten sind die Räumlichkeiten mit Metallschränken (Lagerräume, Tresore) ausgestattet, die mit internen Schlössern mit zwei Schlüsselkopien ausgestattet sind. Duplikate von Schlüsseln für Lagerräume und Eingangstüren sind im Tresor einer von der Unternehmensleitung benannten verantwortlichen Person aufzubewahren.
Das vom Leiter des Unternehmens festgelegte Verfahren zum Schutz der Räumlichkeiten muss eine regelmäßige Überwachung des technischen Zustands der Sicherheits- und Brandmeldeanlagen sowie die Einhaltung des Sicherheitsregimes vorsehen.
Die Platzierung und Installation von CIPF erfolgt gemäß den Anforderungen der Dokumentation für CIPF.
Computersystemeinheiten mit CIPF müssen mit Mitteln zur Steuerung ihrer Öffnung ausgestattet sein.
Für die Zusammenarbeit mit CIPF sind autorisierte Personen beteiligt, die auf Anordnung des Leiters der Organisation ernannt wurden und die Benutzerdokumentation und Betriebsdokumentation für CIPF und das sichere Dokumentenflusssystem studiert haben.
Autorisierte Personen, die zum Betrieb der automatisierten Workstation (AWS) von CIPF und zum elektronischen Austausch von Informationen mithilfe von Verschlüsselungsschlüsseln und digitalen Signaturen ernannt wurden, sind persönlich verantwortlich für:
Wahrung der Geheimhaltung vertraulicher Informationen, die ihnen im Rahmen der Arbeit mit dem sicheren Dokumentenmanagementsystem und CIPF bekannt wurden;
den Inhalt privater Verschlüsselungsschlüssel und digitaler Signaturen geheim zu halten und vor Gefährdung zu schützen;
Sicherheit wichtiger Informationsträger und anderer mit Schlüsselträgern ausgegebener wichtiger Dokumente;
Geheimhalten von Passwörtern zum Widerrufen von Verschlüsselungsschlüsseln und digitalen Signaturen.
Bei der Arbeit an CIPF ist es verboten:
unbefugtes Kopieren von Schlüsselinformationen auf magnetischen Datenträgern durchführen;
den Inhalt magnetischer Datenträger mit Schlüsselinformationen offenlegen und an Personen weitergeben, die nicht zum Zugriff darauf berechtigt sind, Schlüsselinformationen auf dem Display und Drucker anzeigen, außer in den in der Betriebsdokumentation vorgesehenen Fällen;
Verwenden Sie kompromittierte Verschlüsselungsschlüssel und digitale Signaturen, wenn Sie mit CIPF und dem sicheren Dokumentenflusssystem arbeiten.
Legen Sie das Schlüsselmedium in das PC-Laufwerk ein, wenn Sie Arbeiten ausführen, die nicht den Standardverfahren zur Verwendung von Schlüsseln entsprechen (Informationen verschlüsseln/entschlüsseln, elektronische digitale Signaturen überprüfen usw.), sowie in die Laufwerke anderer PCs;
alle anderen Informationen auf magnetischen Datenträgern mit Schlüsselinformationen aufzeichnen;
Lassen Sie die Workstation unkontrolliert stehen, wenn der Strom eingeschaltet ist und die Software geladen ist.
Änderungen an der CIPF-Software vornehmen;
Verwenden Sie gebrauchte Magnetträger mit Schlüsselinformationen, um neue Informationen aufzuzeichnen, ohne zuvor Schlüsselinformationen auf Disketten zu zerstören, indem Sie sie mit einem Programm neu formatieren, das in den kryptografischen Informationsschutztools enthalten ist.
Lassen Sie den Monitor unbeleuchtet. Während einer längeren oder kurzfristigen Unterbrechung der Arbeit mit dem Programm ist es erforderlich, den Bildschirm auszuschalten und die Bildschirmaktivität mit dem in der Konfiguration des Arbeitsplatzrechners angegebenen Zugangspasswort fortzusetzen;
Passwörter in Form von Aufzeichnungen auf Papier speichern;
das unbefugte Öffnen automatisierter Arbeitsplatzsystemeinheiten durchführen.
Hardware und Software zum Schutz von Informationen vor unbefugtem Zugriff, die auf der Workstation des CA-Benutzers installiert sind, müssen Folgendes bieten:
Passworteingabe;
Überprüfung der Integrität von Software und Informationen;
Identifizierung des CA-Benutzers beim Einloggen in das sichere Dokumentenflusssystem;
Registrierung der Aktionen des CA-Benutzers in einem elektronischen Journal.
Die Verwaltung kryptografischer Informationsschutztools, Software und Hardware zum Schutz von Informationen vor unbefugtem Zugriff wird dem Infoübertragen.
Der Administrator wird auf Anordnung des Leiters der Organisation aus dem Kreis der Mitarbeiter ernannt, die eine entsprechende Ausbildung absolviert haben und über ein Zertifikat und (oder) Zertifikat für die Berechtigung zur Installation und zum Betrieb kryptografischer Informationsschutzmittel verfügen.
Администратор информационной безопасности обязан фиксировать действия, связанные с эксплуатацией СКЗИ, в журнале, отражая в нем факты компрометации ключевой информации или ключевых документов, нештатные ситуации, происходящие в системе защищенного документооборота и связанные с использованием СКЗИ, проведение регламентных работ (плановая замена ключей, обновление сертификатов usw.).
Der Benutzer der Zertifizierungsstelle ist dafür verantwortlich, dass auf dem Computer, auf dem das kryptografische Informationsschutzsystem und das sichere Dokumentenflusssystem installiert sind, Programme (einschließlich Viren) vorhanden sind, die das Funktionieren des kryptografischen Informationsschutzsystems und des sicheren Dokumentenflusses stören können Anlage nicht installiert oder betrieben wird.
Wenn an einem mit CIPF ausgestatteten Arbeitsplatz Programme oder Viren von Drittanbietern entdeckt werden, die den Betrieb dieser Tools stören, muss die Arbeit mit Informationssicherheitstools an diesem Arbeitsplatz eingestellt und Maßnahmen zur Analyse und Beseitigung der negativen Folgen dieses Verstoßes organisiert werden.
Maßnahmen des CA-Benutzers im Falle einer Schlüsselkompromittierung
Zu den Ereignissen im Zusammenhang mit der Kompromittierung wichtiger Schlüssel gehören:
Verlust wichtiger Disketten;
Verlust wichtiger Disketten mit anschließender Erkennung;
Entlassung von Mitarbeitern, die Zugang zu wichtigen Informationen hatten;
Verstoß gegen die Regeln zur Speicherung wichtiger Informationen und wichtiger Medien;
Verdacht auf Informationslecks oder -verzerrung im sicheren Dokumentenflusssystem;
Verletzung des Siegels des Tresors, in dem Schlüsselmedien aufbewahrt werden;
unbefugtes Kopieren und andere Vorfälle, durch die private digitale Signaturen und Verschlüsselungsschlüssel für unbefugte Personen und (oder) Prozesse zugänglich werden könnten.
Wenn die privaten Schlüssel der digitalen Signatur und Verschlüsselung kompromittiert werden, richtet sich der CA-Benutzer nach den „Vorschriften der Zertifizierungsstelle“. Die Aktionen des CA-Benutzers sind wie folgt:
Hören Sie sofort auf, kompromittierte Verschlüsselungsschlüssel und digitale Signaturen zu verwenden.
Informieren Sie den Administrator des Zertifizierungszentrums unverzüglich über die Gefährdung wichtiger Informationen.
Senden Sie innerhalb eines Werktages einen Antrag auf Löschung von Zertifikaten kompromittierter privater EDS- und Verschlüsselungsschlüssel an das Zertifizierungszentrum, beglaubigt durch eine handschriftliche Unterschrift und ein Siegel der Organisation. Der Antrag muss Identifikationsparameter der kompromittierten digitalen Signatur und Verschlüsselungsschlüssel enthalten.
Anhang 3
zu den Bestimmungen über das vertrauenswürdige Netzwerk
Systemzertifizierungszentren
„Elektronischer Marktplatz“
Anforderungen
an Zertifizierungsstellen während der Akkreditierung
im System der elektronischen Handelsplattform
Staatliches Einheitsunternehmen „Government Order Agency“
Investitionstätigkeit und interregionale Beziehungen
Republik Tatarstan »
1. Abkürzungsverzeichnis
Arbeitsplatz Automatisierter Arbeitsplatz
DB-Datenbank
IS-Informationssystem
Software-Software
SKP-Signaturschlüsselzertifikat
SOS-Liste der widerrufenen Zertifikate
DBMS Datenbankverwaltungssystem
CA-Zertifizierungszentrum
Bundesgesetz Bundesgesetz
ED Elektronisches Dokument
EDS Elektronische digitale Signatur
OCSP Online Certificate Status Protocol – Dienst zur Überprüfung des Status eines Signaturschlüsselzertifikats in Echtzeit
2. Begriffe und Definitionen
In diesem Dokument gelten die folgenden Begriffe und entsprechenden Definitionen.
System– ein System zur rechtlich bedeutsamen elektronischen Dokumentenverwaltung „Elektronische Handelsplattform“, das für die Durchführung offener Auktionen in elektronischer Form konzipiert ist und die in der Gesetzgebung der Russischen Föderation festgelegten Anforderungen erfüllt.
Organisator des Systems– Staatliches Einheitsunternehmen „Agentur für staatliche Ordnung, Investitionstätigkeit und interregionale Beziehungen der Republik Tatarstan.“
Zertifizierungsstelle (CA)– eine autorisierte Organisation, die Benutzern des Systems Dienstleistungen im Zusammenhang mit der Verwendung digitaler Signaturen gemäß dem Bundesgesetz vom 01.01.01 „Über elektronische digitale Signaturen“ bereitstellt.
Vertrauenswürdige Zertifizierungsstelle (TCC)– ein im RTC-Netzwerk akkreditiertes Zertifizierungszentrum.
Netzwerk vertrauenswürdiger Zertifizierungsstellen (TRC-Netzwerk)– ein Netzwerk vertrauenswürdiger Zertifizierungszentren des Systems der elektronischen Handelsplattform.
Organisator des Netzwerks vertrauenswürdiger Zertifizierungszentren des Systems (Organisator des RTC-Netzwerks)– Geschlossene Aktiengesellschaft „TaxNet“.
Ein einziger Raum des Vertrauens– eine Struktur, die organisatorische Grenzen definiert, innerhalb derer sich nur vertrauenswürdige Zertifizierungsstellen befinden und von ihnen erstellte Signaturschlüsselzertifikate von allen Teilnehmern der Informationsinteraktion innerhalb der Grenzen der Struktur und zu gleichen Bedingungen anerkannt werden.
Gültiges Zertifikat– ein Zertifikat, das alle Überprüfungsvorgänge erfolgreich bestanden hat.
Besitzer des Signaturschlüsselzertifikats– eine natürliche Person, auf deren Namen ein Signaturschlüsselzertifikat von einer Zertifizierungsstelle ausgestellt wurde und die den entsprechenden privaten Schlüssel einer elektronischen digitalen Signatur besitzt, der es ermöglicht, mithilfe elektronischer digitaler Signaturwerkzeuge eine eigene elektronische digitale Signatur in elektronischen Dokumenten zu erstellen (elektronische Signatur). Unterlagen).
Privater (geheimer) EDS-Schlüssel– eine eindeutige Datensequenz, die dem Inhaber des Signaturschlüsselzertifikats bekannt ist und für die Erstellung einer elektronischen digitalen Signatur in elektronischen Dokumenten mithilfe von Tools für elektronische digitale Signaturen bestimmt ist
Schlüsselträger– ein Informationsträger, auf dem kryptografische Schlüssel aufgezeichnet sind.
Entscheidender Kompromiss– Angabe der Umstände, unter denen eine Nutzung des geheimen Schlüssels durch Dritte möglich ist.
Krypto-Anbieter – Mittel der elektronischen digitalen Signatur.
Öffentlicher EDS-Schlüssel– eine eindeutige Zeichenfolge, die dem privaten Schlüssel einer elektronischen digitalen Signatur entspricht, auf die jeder Benutzer des Informationssystems zugreifen kann und die dazu dient, die Authentizität einer elektronischen digitalen Signatur in einem elektronischen Dokument mithilfe elektronischer digitaler Signaturtools zu bestätigen.
Herausforderer– eine Zertifizierungsstelle, die einer Prüfung nach dieser Methode zur Aufnahme in das RTC-Netzwerk unterzogen wird.
Tools für elektronische digitale Signaturen– Hardware und (oder) Software CIPF, die die Implementierung mindestens einer der folgenden Funktionen gewährleistet: Erstellung einer elektronischen digitalen Signatur in einem elektronischen Dokument unter Verwendung des privaten Schlüssels der elektronischen digitalen Signatur; Bestätigung der Authentizität der elektronischen digitalen Signatur im elektronischen Dokument unter Verwendung des öffentlichen Schlüssels der elektronischen digitalen Signatur; Erstellung privater und öffentlicher Schlüssel elektronischer digitaler Signaturen.
Zertifikatsstatus– ein zusammengesetztes Konzept, das jede Phase der Überprüfung der Gültigkeit eines Zertifikats widerspiegelt. Zum Beispiel abgelaufen – nicht abgelaufen, zurückgezogen – nicht zurückgezogen usw.
Verschlüsselung (Datenverschlüsselung)– der Prozess der Umwandlung offener Daten in verschlüsselte Daten mithilfe einer Chiffre (GOST).
Elektronische digitale Signatur (EDS)– Angaben zu einem elektronischen Dokument, die dazu bestimmt sind, dieses elektronische Dokument vor Fälschungen zu schützen, die als Ergebnis einer kryptografischen Transformation von Informationen unter Verwendung des privaten Schlüssels einer elektronischen digitalen Signatur erhalten wurden und die Identifizierung des Inhabers des Signaturschlüsselzertifikats ermöglichen, sowie zu Stellen Sie fest, dass im elektronischen Dokument keine Informationsverzerrung vorliegt.
Elektronisches Dokument ist ein Dokument, in dem Informationen in elektronischer digitaler Form dargestellt werden. Dokument (dokumentierte Informationen) – Informationen, die auf einem materiellen Medium aufgezeichnet werden, indem sie mit Details dokumentiert werden, die es ermöglichen, diese Informationen zu ermitteln.
In diesem Dokument bezieht sich ein elektronisches Dokument auf elektronische Nachrichten, die von Anwendungsprogrammen generiert werden, die den Datenaustausch zwischen Zertifizierungsstellen gewährleisten.
3. Regulierungsdokumente
1. Bundesgesetz vom 01.01.2001 Nr. 1-FZ „Über die elektronische digitale Signatur“.
2. Bundesgesetz vom 1. Januar 2001 Nr. 128-FZ „Über die Lizenzierung bestimmter Arten von Aktivitäten.“
3. Bundesgesetz vom 1. Januar 2001 Nr. 149-FZ „Über Informationen, Informationstechnologien und Informationsschutz.“
4. Bundesgesetz vom 1. Januar 2001 Nr. 184-FZ „Über technische Vorschriften“.
5. GOST 28147-89 „Verschlüsselungsalgorithmus“.
6. GOST R 34.10-94, GOST R 34.10-2001 „Informationstechnologie, kryptografischer Informationsschutz, Verfahren zur Entwicklung und Überprüfung einer elektronischen digitalen Signatur auf der Grundlage eines asymmetrischen kryptografischen Algorithmus.“
7. GOST R 34.11-94 „Informationstechnologie, kryptografischer Informationsschutz, Hashing-Funktion.“
8. GOST R 50922-96 „Informationsschutz. Grundlegende Begriffe und Definitionen. Staatliche Standards und andere Dokumente des staatlichen Standards Russlands.“
9. GOST R „Büromanagement und Archivierung. Begriffe und Definitionen".
10. GOST R 51275-99 „Informationsschutz. Informationsobjekt. Faktoren, die Informationen beeinflussen. Allgemeine Bestimmungen".
11. GOST R ISO/IEC „Informationstechnologie. Methoden und Mittel zur Gewährleistung der Sicherheit. Kriterien zur Beurteilung der Sicherheit von Informationstechnologien.“
5) Computer an den Arbeitsplätzen der Mitarbeiter des Antragstellers;
6) Papierdruckgeräte (Drucker).
· Verfügbarkeit von technischem Servicepersonal des Antragstellers, das für den Betrieb dieser technischen Mittel verantwortlich ist.
· Verfügbarkeit einer Liste der technischen Mittel, die zur Gewährleistung des Betriebs des Softwarepakets des Antragstellers eingesetzt werden, unter Angabe der Konfigurationen und Standorte dieser Geräte.
· Verfügbarkeit gültiger Lizenzen und Zertifikate für technische Ausrüstung, ausgestellt vom FSB und/oder FSTEC der Russischen Föderation und/oder vom Ministerium für Kommunikation.
6.3.3. Überprüfung von Software und Hardware auf Informationssicherheit
Um die Informationssicherheit zu gewährleisten, muss der Antragsteller über die erforderliche Soft- und Hardware verfügen
· Verfügbarkeit installierter, konfigurierter und funktionierender Software- und Hardware-Tools zum Schutz von Informationen, die Folgendes umfassen sollten:
1) Mittel zum Schutz kryptografischer Informationen;
2) eine Firewall, um den Informationsschutz während der Netzwerkinteraktion zwischen der CA und dem Remote-CR zu gewährleisten;
3) Software- und Hardwaresysteme zum Schutz vor unbefugtem Zugriff wie „Elektronisches Schloss“.
· Verfügbarkeit von technischem Servicepersonal des Antragstellers, das für den Betrieb von Software- und Hardware-Software-Tools zur Gewährleistung der Informationssicherheit verantwortlich ist.
· Verfügbarkeit einer Liste von Software-, Hardware- und Softwaretools, die zur Gewährleistung der Informationssicherheit verwendet werden, unter Angabe der Konfigurationen und Standorte dieser Tools.
· Verfügbarkeit einer gültigen Lizenz und Konformitätsbescheinigungen für Software und Hardware sowie Software zur Gewährleistung des Schutzes von Informationen, ausgestellt vom FSTEC und/oder dem FSB Russlands, gemäß der geltenden Gesetzgebung der Russischen Föderation.
Kryptografische Informationssicherheitstools, die auf allen Komponenten des CA-Softwarepakets des Antragstellers verwendet werden, müssen gemäß der geltenden Gesetzgebung der Russischen Föderation für die Klasse „KS2“ zertifiziert sein
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit installierter, konfigurierter und angepasster Tools zum Schutz kryptografischer Informationen, die auf allen Komponenten des CA-Softwarepakets des Antragstellers verwendet werden.
· Verfügbarkeit einer Liste der verwendeten kryptografischen Informationsschutztools mit Angabe der Konfigurationen und Speicherorte dieser Tools.
· Verfügbarkeit von technischem Servicepersonal des Antragstellers, das für den Betrieb kryptografischer Informationsschutzmittel verantwortlich ist.
· Verfügbarkeit von Zertifikaten des Föderalen Sicherheitsdienstes der Russischen Föderation für das CIPF der Klasse „KS2“, ausgestellt gemäß der geltenden Gesetzgebung der Russischen Föderation.
6.3.4. Überprüfung des Backup-Software- und Hardwaresystems des Antragstellers
Um einen unterbrechungsfreien und fehlertoleranten Betrieb des Softwarepakets zur Umsetzung der Zielfunktionen des Antragstellers zu gewährleisten, ist eine Sicherungskopie bereitzustellen
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit installierter, konfigurierter und konfigurierter Backup-Tools.
· Verfügbarkeit einer vom Manager des Antragstellers zertifizierten Datenliste der CA des Antragstellers, die gesichert werden muss. Die Liste sollte Folgendes enthalten:
1) Zertifikat des Signaturschlüssels der autorisierten Person des Antragstellers in elektronischer Form (Zertifikat der CA-Zertifizierungsstelle);
2) Datenbank der CA-Zertifizierungsstelle;
3) CR-Datenbank;
4) Prüfprotokolle von Komponenten des Softwarepakets des Antragstellers;
5) Verzeichnis der ausgestellten Signaturschlüsselzertifikate;
6) Liste der widerrufenen Zertifikate (CRC);
7) Vom Antragsteller selbst ermittelte Daten.
· Verfügbarkeit einer vom Vorgesetzten des Antragstellers zertifizierten Datensicherungsordnung mit Angabe von Sicherungszeiträumen, Sicherungsdatentypen, Medien für Sicherungsdaten und einem Rotationsschema für Sicherungsdatenträger.
· Die Vorschriften sollten vorsehen, dass für alle Positionen wöchentlich (oder häufiger) eine vollständige Sicherung und für die Positionen 2–6 eine tägliche differenzielle Sicherung durchgeführt wird. Für die Sicherung müssen mindestens zwei Medien verwendet werden.
· Verfügbarkeit von technischem Servicepersonal des Antragstellers, das für den Betrieb von Backup-Tools verantwortlich ist.
· Verfügbarkeit einer Liste der verwendeten Backup-Tools.
6.4. Abschnitt 6 Testergebnisse
Die zwingenden Anforderungen aus Abschnitt 6 müssen erfüllt sein, damit der Antragsteller eine Akkreditierung im RTC-Netzwerk erhalten kann.
7. Überprüfung der Sicherheit der bei der CA verarbeiteten Daten
7.1. Überprüfung der technischen und technischen Informationssicherheitsmaßnahmen
7.1.1. Überprüfung der Maßnahmen zur Platzierung der technischen Ausrüstung des Antragstellers
CA- und CR-Server, Datenbankserver, Backup-Server und Telekommunikationsgeräte müssen sich in einem eigenen Raum befinden
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit eines Server-Layout-Diagramms, in dem die Räumlichkeiten der Serverausrüstung des Antragstellers angegeben werden sollten. In diesem Raum sind CA- und CR-Server, Datenbankserver, Backup-Server und Telekommunikationsgeräte untergebracht. Die Nutzung eines IT-Safes anstelle eines eigenen Raumes ist gestattet.
· Verfügbarkeit von wartungsfähigen, funktionierenden Zugangskontrollsystemgeräten elektromechanischer oder mechanischer Art im Serverraum des Antragstellers ( Empfohlene Anforderung).
CA- und CR-Server, Datenbankserver, Backup-Tools und Telekommunikationsgeräte müssen an eine unterbrechungsfreie Stromversorgung angeschlossen sein
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit eines Diagramms zum Anschluss von CA- und CR-Servern, Datenbankservern, Backup-Tools und Telekommunikationsgeräten an unterbrechungsfreie Stromversorgungen.
· Verfügbarkeit wartungsfähiger und funktionierender unterbrechungsfreier Stromversorgungsgeräte im Serverraum.
7.1.2. Überprüfung der Vorkehrungen zur Speicherung dokumentierter Informationen
Der Dokumentenfonds des Antragstellers muss gemäß der geltenden Gesetzgebung der Russischen Föderation zur Dokumentenverwaltung und -archivierung aufbewahrt werden
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit eines Journals zur Aufzeichnung der Aufbewahrung der Dokumente des Antragstellers, erstellt gemäß der geltenden Gesetzgebung der Russischen Föderation über Büroarbeit und Archivierung ( Empfohlene Anforderung).
· Vorliegen einer Anordnung des Leiters des Antragstellers zur Einrichtung eines Archiv- und Dokumentationsfonds.
· Vorliegen einer Anordnung des Leiters des Antragstellers zur Ernennung von verantwortlichem Personal für die Arbeit mit dem Archivfonds.
7.1.3. Überprüfung der Maßnahmen zur Vernichtung dokumentierter Informationen
Die Auswahl zur Vernichtung und Vernichtung von Dokumenten, die nicht der Archivierung unterliegen, muss in Übereinstimmung mit der Anordnung zur Vernichtung von Dokumenten und in Übereinstimmung mit der geltenden Gesetzgebung der Russischen Föderation über Aktenverwaltung und Archivangelegenheiten erfolgen ( Empfohlene Anforderung)
Anforderungsüberprüfung und Ergebnis
· Vorliegen einer Anordnung des Vorgesetzten des Antragstellers bezüglich der Liste der zu vernichtenden Dokumente.
· Verfügbarkeit eines Protokolls und/oder der Akte der Vernichtung von Dokumenten, das die Unterschriften des für die Archivierung verantwortlichen Personals, Daten und Einzelheiten der vernichteten Dokumente enthält.
7.2. Überprüfung der Informationssicherheitsmaßnahmen für Software und Hardware
7.2.1. Serverräume und darin befindliche technische Anlagen sind darauf zu überprüfen, dass sie keine elektronischen Informationsabfangeinrichtungen (Lesezeichen) enthalten (empfohlene Anforderung)
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit von Prüfberichten über die Räumlichkeiten und die darin befindliche technische Ausrüstung über die erfolgreiche Überprüfung des Fehlens elektronischer Geräte zum Abfangen von Informationen (Lesezeichen), durchgeführt von einer unabhängigen Expertenorganisation
7.2.2. Überprüfung von Maßnahmen zur Organisation des Zugriffs auf die Software des Antragstellers
Die CA- und CR-Server müssen mit Software- und Hardwaresystemen zum Schutz vor unbefugtem Zugriff ausgestattet sein, zertifiziert von FSTEC, FSB ( Empfohlene Anforderung)
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit eines ordnungsgemäß installierten und funktionierenden Software- und Hardwaresystems zum Schutz vor unbefugtem Zugriff auf den Servern der CA und CR des Antragstellers.
Die Arbeitsplätze der Mitarbeiter des Antragstellers, an denen die Softwareanwendungen „Arbeitsplatz des Administrators der Tschechischen Republik“ und „Arbeitsplatz zur Analyse von Konfliktsituationen“ betrieben werden, müssen mit vom FSTEC zertifizierten Software- und Hardwaresystemen zum Schutz vor unbefugtem Zugriff ausgestattet sein FSB.
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit eines Logbuchs oder einer Akte über die Ausstellung von Zugangsschlüsseln zum Hardware- und Softwarekomplex zum Schutz vor unbefugtem Zugriff, das Aufzeichnungen über die Ausstellungsdaten enthält, beglaubigt durch die Unterschriften der Sicherheitsbeauftragten des Antragstellers, die diese Schlüssel ausgestellt haben, und die Unterschriften der Mitarbeiter des Antragstellers, die diese Schlüssel erhalten haben.
· Verfügbarkeit an den Arbeitsplätzen der Mitarbeiter des Antragstellers, die die Softwareanwendungen „Arbeitsplatz des CR-Verwalters“ und „Arbeitsplatz zur Konfliktsituationsanalyse“ betreiben, ein ordnungsgemäß installiertes und betriebsfähiges Soft- und Hardwaresystem zum Schutz vor unbefugtem Zugriff.
· Verfügbarkeit von FSTEC- und FSB-Zertifikaten für den Hardware- und Softwarekomplex zum Schutz vor unbefugtem Zugriff.
Der Zugriff von Systemadministratoren auf die Systemsoftware der CA- und CR-Server zur Durchführung routinemäßiger Wartungsarbeiten muss in Anwesenheit von Mitarbeitern des CA-Sicherheitsdienstes erfolgen, die für den Betrieb der entsprechenden Anwendungssoftware (CA und/oder CR) verantwortlich sind. Empfohlene Anforderung).
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit eines Protokolls über den Zugriff von Systemadministratoren auf die Systemsoftware der CA- und CR-Server zur Durchführung routinemäßiger Wartungsarbeiten, das Aufzeichnungen über den Inhalt dieser Arbeiten und die Daten dieser Arbeiten enthält und durch die Unterschriften der Mitarbeiter des Sicherheitsdienstes des Antragstellers beglaubigt ist Verantwortlich für den Betrieb der jeweiligen Anwendungssoftware (CA und/oder CR)
7.2.3. Überprüfung der Maßnahmen zur Software-Integritätskontrolle
Die vom Antragsteller betriebene Software muss einer Integritätskontrolle unterzogen werden
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit einer Liste von Softwaremodulen, die der Integritätskontrolle unterliegen (eine ungefähre Liste finden Sie in Anhang 2), ausgestellt als internes Dokument des Antragstellers und genehmigt vom Leiter des Antragstellers.
· Aus der Liste geht hervor, dass die Kontrolle der Integrität von Softwaremodulen auf der Hardwarekontrolle der Integrität von CA-Programmmodulen und systemweiter Software vor dem Laden des Betriebssystems basiert und mithilfe des Hardware-Software-Schutzsystems „Electronic Lock“ sichergestellt werden muss.
7.2.4. Überprüfung von Maßnahmen zur Kontrolle der Integrität technischer Geräte
Der Antragsteller muss die Kontrolle der Unversehrtheit der technischen Ausrüstung sicherstellen (Empfohlene Anforderung)
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit spezieller Stellen, Markierungen und Siegel zum Verschließen von Gerätegehäusen, um deren unkontrolliertes Öffnen zu verhindern.
· Vor der Inbetriebnahme technischer Geräte und nach jeder routinemäßigen Wartung müssen Gerätegehäuse versiegelt und im Logbuch eingetragen werden.
· Verfügbarkeit eines Siegelintegritätskontrollprotokolls, das Aufzeichnungen über die Siegelüberprüfung enthalten, durch die Unterschriften verantwortlicher Mitarbeiter beglaubigt sein sollte und zu Beginn jeder Arbeitsschicht durchgeführt werden sollte.
7.2.5. Überprüfung von Maßnahmen zum Schutz externer Netzwerkverbindungen
Vertrauliche Informationen beim Austausch von Dokumenten in elektronischer Form müssen geschützt werden
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit von FSB-Zertifikaten für Software und Hardware für Informationsverschlüsselung und digitale Signaturanforderungen für CIPF-Klasse KS1 und/oder KS2.
· Verfügbarkeit von FSB- oder FSTEC-Konformitätszertifikaten für Software und Hardware zum Aufbau einer sicheren Netzwerkinteraktion (VPN, SSL usw.) (Empfohlene Anforderung).
Der Schutz der Soft- und Hardware zur Unterstützung der Tätigkeit des Antragstellers vor unbefugtem Zugriff über externe Netzwerkverbindungen ist durch eine Firewall sicherzustellen
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit von Software und Hardware zur Unterstützung der Aktivitäten des Antragstellers, installierte, konfigurierte und funktionierende Software und Hardware einer Firewall, die eine Schutzklasse von mindestens 4 bietet.
7.2.6. Überprüfung der Informationssicherheitsmaßnahmen
Die vom Antragsteller erhaltenen Informationen müssen geschützt werden
Anforderungsüberprüfung und Ergebnis
· Verfügbarkeit einer Liste der zu schützenden Informationen (Anhang 4), erstellt in Form eines vom Leiter der Organisation beglaubigten Dokuments.
· Vorliegen einer Anordnung des Leiters des Antragstellers zur Ernennung von verantwortlichem Personal für den Informationsschutz (Empfohlene Anforderung).
7.3. Abschnitt 7 Inspektionsergebnisse
Alle zwingenden Anforderungen aus Abschnitt 7 müssen erfüllt sein, damit der Antragsteller eine Akkreditierung im System erhalten kann.
8. Prüfung der technologischen Kompatibilität
8.1. Überprüfung der Signaturschlüsselzertifikate der autorisierten Person der antragstellenden CA
Der Antragsteller muss ein Signaturschlüsselzertifikat einer autorisierten Person von einer Zertifizierungsstelle vorlegen, das die Anforderungen für Signaturschlüsselzertifikate einer autorisierten Person erfüllt
X509-Zertifikat:
Seriennummer: dc022b4c58082bcb3293819
Signaturalgorithmus:
Algorithmusparameter:
Anbieter:
OU=Verwaltung
Gültig ab: 18.08.2005 17:44
Gültig bis: 16.12.2010 13:44
CN=Vertrauenswürdige Zertifizierungsstelle
OU=Verwaltung
Algorithmus für öffentliche Schlüssel:
Algorithmusparameter:
Öffentlicher Schlüssel: UnusedBits = 0
Zertifikatserweiterungen: 5
Grundlegende Einschränkungen
Betrefftyp=CA
Pfadlängenbegrenzung=0
Name des Verteilungspunkts:
Vollständiger Name:
Schlüsselverwendung
Schlüssel-ID der Zertifizierungsstelle
Betreff-Schlüssel-ID
Signaturalgorithmus:
Algorithmus-Objekt-ID: 1.2.643.2.2.3 GOST R 34.11/34.10-2001
Algorithmusparameter:
Signatur: UnusedBit=0
0000 c8 d0 59 a0a 33 c6 40 cb
0010 9e a7 a4 deb0 36 1a 48 cc 53 03
0020 3c b8 ea b5 9ee acad b2 96 3e 87
0b 4bbd 8b 18 b6 4c 1a b2 d4 92 4a 19
Stammzertifikat: Betreff gleich Aussteller
Zertifikat-Hash (md5): ae 97 a9 8bd1 fb c5f d4 f1 5c 74
Anforderungsüberprüfung und Ergebnis
· Das Zertifikat enthält die Erweiterung „Grundlegende Einschränkungen“, die den Anforderungen von Abschnitt 1.2.4, Anlage 3 entspricht.
· Das Zertifikat enthält die Erweiterung „Key Usage“, die den Anforderungen von Abschnitt 1.2.5, Anhang 3 entspricht.
· Das Zertifikat enthält eine gültige digitale Signatur. Die Textdatei enthält die Zeile „Signatur entspricht öffentlichem Schlüssel“.
8.2. Validierung von Kreuzzertifikatsanfragen
Der Antragsteller muss einen Antrag auf Gegenbescheinigung einreichen, der die Anforderungen für Anträge auf Gegenbescheinigung erfüllt
Die Prüfung erfolgt durch Analyse einer Textdatei mit Anfragedaten.
Ein Beispiel für eine Textdatei mit Zertifikatsdaten:
PKCS10-Zertifikatsanfrage:
CN=Vertrauenswürdige Zertifizierungsstelle
OU=Verwaltung
Algorithmus für öffentliche Schlüssel:
Algorithmus-Objekt-ID: 1.2.643.2.2.19 GOST R 34.10-2001
Algorithmusparameter:
Öffentlicher Schlüssel: UnusedBits = 0
0d fe e2 3c 1c f1 1c 1bf6 7d 4d
0d 53 a9 b9 2f d4dc f4 3e af 57 a9 06
0020 b6 4c 64 3d a9 78 sei f4 29 e2 c7bf 59
0030 fbd 53 e7 5d 2a dad 8c 32 c0
Attributanfrage: 1
Attribute 1:
Attribut: 1.2.840.113549.1.9.14 (Zertifikaterweiterungen)
Bedeutung:
Unbekannter Attributtyp
Zertifikatserweiterungen: 5
2.5.29.19: Flags = 1 (kritisch), Länge = 4
Grundlegende Einschränkungen
Betrefftyp=CA
Pfadlängenbegrenzung=0
2.5.29.31: Flags = 0, Länge = a2
Sperrlisten-Verteilungspunkte (CRL).
Sperrlisten-Verteilungspunkt (CRL).
Name des Verteilungspunkts:
Vollständiger Name:
URL=file://certserver/certsrv/trustca. crl
URL=http://www. *****/certsrv/trustca. crl
2.5.29.15: Flags = 1 (kritisch), Länge = 4
Schlüsselverwendung
Digitale Signatur, Unbestreitbarkeit, Schlüsselverschlüsselung, Datenverschlüsselung, Zertifikatsignierung, Offline-Sperrlisten-Signierung (CRL), Sperrlisten-Signierung (CRL) (f6)
2.5.29.35: Flags = 0, Länge = 18
Schlüssel-ID=4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5
2.5.29.14: Flags = 0, Länge = 16
Betreff-Schlüssel-ID
4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5
Signaturalgorithmus:
Algorithmus-Objekt-ID: 1.2.643.2.2.3 GOST R 34.11/34.10-2001
Algorithmusparameter:
Signatur: UnusedBit=0
0b6 cda2 f0 e3 c4 fdce f7 06
0eed6 98 d8 4e 7c e6 fd 08 d5 e4 89
0d2 43 ec e9 a5b 32 a1 7e 7a 52 e9 18
0030 d9 eb 4bfb d9 8c 07 4e df 5c 98 c3 5a
Die Signatur stimmt mit dem öffentlichen Schlüssel überein
Anforderungsüberprüfung und Ergebnis
· Die Zusammensetzung des Antrags muss den Anforderungen von Abschnitt 2, Anlage 3 entsprechen.
· Die Anfrage enthält das Feld „Signaturalgorithmus“, das den Anforderungen von Abschnitt 1.1.3, Anhang 3 entspricht.
· Die Anfrage enthält das Feld „Betreff“, das den Anforderungen von Abschnitt 2.1, Anhang 3 entspricht.
· Die Anfrage enthält das Feld „Public Key Algorithm“, das die Anforderungen von Abschnitt 2.2, Anhang 3 erfüllt.
· Die Anfrage enthält das Feld „Public Key“, das den Anforderungen von Abschnitt 2.3, Anhang 3 entspricht.
· Die Anfrage enthält das Feld „Attribute Request“, das den Anforderungen von Abschnitt 2.4, Anhang 3 entspricht.
· Der Antrag enthält die Erweiterung „Grundlegende Beschränkungen“, die den Anforderungen von Abschnitt 2.4.1, Anlage 3 entspricht.
· Die Anfrage enthält die Erweiterung „Subject Key Identifier“, die den Anforderungen von Abschnitt 2.4.2, Anhang 3 entspricht.
· Die Anfrage enthält die Erweiterung „Schlüsselverwendung“, die den Anforderungen von Abschnitt 2.4.3, Anhang 3 entspricht.
· Die Anfrage enthält eine gültige digitale Signatur. Die Textdatei enthält die Zeile „Signatur entspricht öffentlichem Schlüssel“.
· Die in der Anfrage angegebenen Werte der Felder „Signaturalgorithmus“, „Betreff“, „Public Key-Algorithmus“ und „Public Key“ müssen den im Zertifikat angegebenen Werten dieser Felder entsprechen.
8.3. Überprüfung der Kompatibilität der von der antragstellenden Zertifizierungsstelle ausgestellten Signaturschlüsselzertifikate mit der im System verwendeten Software
Der Antragsteller muss ein von der Zertifizierungsstelle des Antragstellers ausgestelltes Signaturschlüsselzertifikat mit einem privaten Schlüssel vorlegen, der die Anforderungen für Signaturschlüsselzertifikate von Systembenutzern erfüllt.
Bei dem Zertifikat muss es sich um ein Zertifikat handeln, das den internationalen Empfehlungen X.509, Version 3, entspricht und die Anforderungen für Zertifikate erfüllt
Die Verifizierung erfolgt durch Analyse einer Textdatei mit Zertifikatsdaten.
Ein Beispiel für eine Textdatei mit Zertifikatsdaten:
X509-Zertifikat:
Seriennummer: 1d196bfd2
Signaturalgorithmus:
Algorithmusparameter:
Anbieter:
CN=Vertrauenswürdige Zertifizierungsstelle
OU=Verwaltung
Gültig ab: 31.01.2006 12:11
Gültig bis: 31.01.2007 12:21
CN = Testbenutzer der vertrauenswürdigen Zertifizierungsstelle
OU=Benutzerposition testen
O=Testbenutzerorganisation
Algorithmus für öffentliche Schlüssel:
Algorithmus-Objekt-ID: 1.2.643.2.2.20 GOST R 34.10-94
Algorithmusparameter:
Öffentlicher Schlüssel: UnusedBits = 0
09e 48 9f f3 vdc ec 5f fe 96
0a6 6b 9f f4 45 5e 65 0f df d5 de c4 e9 29
0020 4b 83 7a e0 99 e5 90 3e c5 4e dbe 10 77
0030 9ef 2e 97 c0 fb 93 eecc df 67
0f4 96 f3 4fe 73 7b 43 9f 7c sei 48
0f 1c d3f1c8 f5 ab d1 64 4b 3f
0d cb a9 4e 97 a9 47 6a 12 ec 7f 31 7b bd 7f
0070 1e 8f 14 c7 f6 8c 2bd8 7d 4d 1c 1d 1c
Zertifikatserweiterungen: 6
2.5.29.15: Flags = 1 (kritisch), Länge = 4
Schlüsselverwendung
Digitale Signatur, Unbestreitbarkeit, Schlüsselverschlüsselung, Datenverschlüsselung (f0)
2.5.29.14: Flags = 0, Länge = 16
Betreff-Schlüssel-ID
c9 6c d5 8c eb 3c 1eda d1 43 c7 92 1e 7d
2.5.29.37: Flags = 0, Länge = c
Verbesserter Schlüssel
Sichere E-Mail (1.3.6.1.5.5.7.3.4)
2.5.29.35: Flags = 0, Länge = 18
Schlüssel-ID der Zertifizierungsstelle
Schlüssel-ID=91c 5f 91 9ed bb c9 d4 c8 8a c3 13 b4 df 5b
2.5.29.31: Flags = 0, Länge = 5a
Sperrlisten-Verteilungspunkte (CRL).
Sperrlisten-Verteilungspunkt (CRL).
Name des Verteilungspunkts:
Vollständiger Name:
URL=file://certserver/certsrv/trustca. crl
URL=http://www. *****/certsrv/trustca. crl
1.3.6.1.5.5.7.1.1: Flags = 0, Länge = 72
Zugriff auf Informationen über Zertifizierungsstellen
Zugriff auf Informationen der Zertifizierungsstelle
Zugriffsmethode=Certificate Authority Provider (1.3.6.1.5.5.7.48.2)
Zusätzlicher Name:
URL=http://www. *****/certsrv/trustca. crt
Signaturalgorithmus:
Algorithmus-Objekt-ID: 1.2.643.2.2.4 GOST R 34.11/34.10-94
Algorithmusparameter:
Signatur: UnusedBit=0
0ea 5f b3 38 6a d5e4d4 e9 a3
0010 f8e8 9f 77 c8 ec 4e 87 7f 87 ffc
0020 c0 a9 73 f8 9ac0 3f cc 71 cb b6 77 b1 d6
0c7 be 70 e4 28 9c bf ec 98 b3 26 af 04 vc 15
Kein Stammzertifikat
Zertifikat-Hash (md5): 50 e2 adc5 fa 41 ad 5ee
Zertifikat-Hash (sha1): 0d befa 9f fb d1e 51 ce 0ee1 f2 44 4c
Anforderungsüberprüfung und Ergebnis
· Das Zertifikat ist ein Zertifikat, das den X.509 International Recommendations, Version 3, entspricht. Die Textdatei enthält die Zeichenfolge „X509-Zertifikat“. Das Feld „Version“ enthält einen Wert, der die Anforderungen von Abschnitt 1.1.1, Anhang 3 erfüllt.
· Das Zertifikat enthält das Feld „Zertifikatsseriennummer“, das den Anforderungen von Abschnitt 1.1.2, Anhang 3 entspricht.
· Das Zertifikat enthält das Feld „Signaturalgorithmus“, das den Anforderungen von Abschnitt 1.1.3, Anhang 3 entspricht.
· Das Zertifikat enthält das Feld „Lieferant“, das den Anforderungen von Abschnitt 1.1.4, Anhang 3 entspricht.
· Das Zertifikat enthält das Feld „Betreff“, das den Anforderungen von Abschnitt 1.1.5, Anhang 3 entspricht.
· Das Zertifikat enthält die Felder „Gültig von“ und „Gültig bis“, entsprechend den Anforderungen der Abschnitte 1.1.6-1.1.8, Anlage 3.
· Das Zertifikat enthält das Feld „Public Key Algorithm“, das die Anforderungen von Abschnitt 1.1.9, Anhang 3 erfüllt.
· Das Zertifikat enthält das Feld „Public Key“, das den Anforderungen von Abschnitt 1.1.10, Anhang 3 entspricht.
· Die Felder „Signaturalgorithmus“ und „Public-Key-Algorithmus“ entsprechen den Anforderungen von Abschnitt 1.1.11, Anhang 3.
· Das Zertifikat enthält die Erweiterung „Subject Key Identifier“, die den Anforderungen von Abschnitt 1.2.1, Anhang 3 entspricht.
· Das Zertifikat enthält die Erweiterung „Zugang zu Informationen über Zertifizierungsstellen“, die den Anforderungen von Abschnitt 1.2.2, Anhang 3 entspricht.
· Das Zertifikat enthält die Erweiterung „Revocation List Distribution Points“, die den Anforderungen von Abschnitt 1.2.3, Anhang 3 entspricht.
· Das Zertifikat enthält eine „Key Usage“-Erweiterung mit Schlüsselzuweisungen: Digitale Signatur, Nichtabstreitbarkeit, Schlüsselverschlüsselung, Datenverschlüsselung (f0).
· Das Zertifikat enthält eine gültige digitale Signatur. Wenn das Betriebssystem das Zertifikat anzeigt, werden keine Meldungen zur Signaturungültigkeit angezeigt.
Anforderungsüberprüfung und Ergebnis
Installieren Sie den UPC der Benutzer in der Software. Führen Sie Dokumentverschlüsselungs- und Signierungsvorgänge durch.
Nach der Verschlüsselung müssen Nachrichten entschlüsselt und die Signatur überprüft werden.
8.4. Abschnitt 8 Inspektionsergebnisse
Alle zwingenden Anforderungen aus Abschnitt 8 müssen erfüllt sein, damit der Antragsteller eine Akkreditierung im RTC-Netzwerk erhalten kann.
Anhang 1
Ungefähre Zusammensetzung der vom Softwarepaket aufgezeichneten Ereignisse zur Sicherstellung der Umsetzung der Zielfunktionen des Antragstellers
Die CA muss die folgenden Hauptereignisse aufzeichnen:
· Es wurde eine Netzwerkverbindung mit der CR-Softwarekomponente hergestellt.
· veröffentlichtes SOS;
· eine Anfrage für ein Signaturschlüsselzertifikat wurde angenommen;
· ein Signaturschlüsselzertifikat wurde ausgestellt;
Die CR muss die folgenden Hauptereignisse aufzeichnen:
· eine Registrierungsanfrage gestellt wurde;
· Registrierungsanfrage angenommen;
· der Registrierungsantrag wurde abgelehnt;
· Es wurde ein Zertifikatsantrag gestellt.
· die Zertifikatsanfrage wurde angenommen;
· der Zertifikatsantrag wurde abgelehnt;
· Die Installation des Zertifikats wird vom Benutzer bestätigt.
· Es wurde ein Antrag auf Widerruf des Zertifikats gestellt.
· ein Antrag auf Widerruf eines Zertifikats wurde angenommen;
· der Antrag auf Widerruf des Zertifikats wurde abgelehnt;
· Es wurde ein Antrag auf das erste Zertifikat gestellt.
· eine Liste der widerrufenen Zertifikate wurde angefordert;
· Der interne Betrieb der Softwarekomponente ist noch nicht abgeschlossen.
· Es wurde eine Netzwerkverbindung mit einer externen Softwarekomponente hergestellt.
· Systemereignisse systemweiter Software.
Anlage 2
Ungefähre Zusammensetzung der Softwaremodule,
unterliegen einer Integritätskontrolle
· Softwaremodule für elektronische digitale Signaturtools.
· CA-Softwaremodule.
· CR-Softwaremodule.
· Softwaremodule des automatisierten Arbeitsplatzes des CR-Administrators.
Anhang 3
Anforderungen zum Signieren von Schlüsselzertifikaten und Gegenzertifikatsanfragen
Um in das RTC-Netzwerk aufgenommen zu werden, stellt der Antragsteller der CA des RTC-Netzwerkorganisators die folgenden elektronischen Dokumente zur Verfügung:
· Signaturschlüsselzertifikat (SKP) der autorisierten Person (UL) der CA;
· Antrag auf Gegenbescheinigung;
· Privater Schlüssel und UCP des Benutzers, ausgestellt von der CA.
1. Anforderungen an die Zusammensetzung des bereitgestellten UPC
UPC ist ein elektronisches Zertifikat, das den internationalen Empfehlungen X.509 Version 3 entspricht und Folgendes enthält:
· Standardfelder der Zertifikatsversion 1;
· Zertifikatsverlängerungen;
· Eigenschaften des Zertifikats;
· elektronische digitale Signatur (EDS) der UL CA, die diesen UPC ausgestellt hat.
1.1. Anforderungen an die Zusammensetzung und den Inhalt der Standardfelder der Version 1 des Zertifikats
Zu den bereitgestellten Standardfeldern der Version 1 des UPC gehören die folgenden Felder:
· Feld „Version“;
· Feld „Seriennummer“;
· Feld „Signaturalgorithmus“;
· Feld „Lieferant“;
· Feld „Betreff“;
· Feld „Gültig ab“;
· Feld „Gültig für“;
· Feld „Öffentlicher Schlüssel“.
1.1.1. Das Feld „Version“ muss den Wert „3“ enthalten.
1.1.2. Das Feld „Seriennummer“ muss die UPC-Seriennummer enthalten, die innerhalb der Seriennummern aller Zertifikate eindeutig ist, die von der Zertifizierungsstelle (CA) der CA ausgestellt wurden, die den bereitgestellten UPC ausgestellt hat.
1.1.3. Das Feld „Signaturalgorithmus“ muss die Algorithmus-OID „1.2.643.2.2.3“ (GOST R 34.11/34.10-2001) oder „1.2.643.2.2.4“ (GOST R 34.11/34.10-94) enthalten.
1.1.4. Das Feld „Anbieter“ muss den Domänennamen der Zertifizierungsstelle enthalten, die das Zertifikat ausgestellt hat. Der Domänenname muss die in den internationalen X.501-Empfehlungen definierten Domänennamenbestandteile und deren Bedeutung enthalten.
1.1.5. Das Feld „Betreff“ muss den Domänennamen des Besitzers des bereitgestellten Zertifikats enthalten. Der Domänenname (DN) muss die folgenden Domänennamenbestandteile enthalten:
· die Komponente „Common Name“ (CN, Common Name), die den Nachnamen, Vornamen, Vatersnamen oder Spitznamen des Zertifikatsinhabers enthält;
· Komponente „Unstrukturierter Name“ oder „INN“ (UN, Unstrukturierter Name, INN), die die INN der Organisation (für juristische Personen) oder des Zertifikatsinhabers (für Einzelpersonen) enthält;
· Komponente „Unstrukturierter Name“ (UN, Unstrukturierter Name), die den Kontrollpunkt der Organisation enthält;
· Komponente „Position“ (T, Title), die bei juristischen Personen die Position des Zertifikatsinhabers enthält;
· die „Unit“-Komponente (OU, OrgUnit), die die Abteilung der Organisation des Zertifikatsinhabers enthält;
· die Komponente „Organisation“ (O, Organisation), die den Namen der Organisation des Zertifikatsinhabers enthält;
· Komponente „Stadt“ (L, Locality), die den Namen des Ortes enthält, in dem sich die Organisation des Zertifikatsinhabers befindet;
· Komponente „Region/Region“ (S, State), die den Namen der Region enthält (sofern dieser in der Postanschrift der Organisation des Zertifikatsinhabers vorhanden ist);
· Feld „Land/Region“ (C, Country), das den Wert „RU“ enthält;
· das Feld „E-Mail“ (E, EMail), das die E-Mail-Adresse des Zertifikatsinhabers enthält.
1.1.6. Das Feld „Gültig von“ muss das Ablaufdatum des Zertifikats im UTC-Format enthalten.
1.1.7. Das Feld „Gültig bis“ muss das Ablaufdatum des Zertifikats im UTC-Format enthalten.
1.1.8. Die Gültigkeitsdauer des Zertifikats muss zum Zeitpunkt der Bereitstellung des UPC an die UL CA bereits abgelaufen sein und das Ablaufdatum darf frühestens 12 Monate nach diesem Zeitpunkt liegen.
1.1.9. Das Feld „Public-Key-Algorithmus“ muss eine Beschreibung des Public-Key-Algorithmus enthalten; GOST R 34.11/34.10-2001 (OID 1.2.643.2.2.3) oder GOST R 34.11/34.10-94 (OID 1.2.643.2.2.4).
1.1.10. Das Feld „Öffentlicher Schlüssel“ muss den öffentlichen SKP-Schlüssel enthalten, der gemäß dem Algorithmus GOST R 34.11/34.10-2001 (OID 1.2.643.2.2.3) oder gemäß dem Algorithmus GOST R 34.11/34.10-94 (OID 1.2.643.2) generiert wurde .2.4).
1.1.11. Der SKP-Signaturalgorithmus (Abschnitt 1.1.3) muss dem Algorithmus zur Erzeugung öffentlicher Schlüssel (Absatz 1.1.9) entsprechen.
1.2. Anforderungen an die Zusammensetzung und den Inhalt von Zertifikatsverlängerungen
Die Erweiterungen des bereitgestellten UPC müssen die folgenden Standarderweiterungen (gemäß dem X.509-Standard) enthalten:
· Erweiterung „Subject Key Identifier“;
· Erweiterung „Zugang zu Informationen über Zertifizierungsstellen“;
· Ausbau der „Sperrlisten-Verteilungsstellen“;
· Erweiterung „Grundlegende Einschränkungen“;
· Erweiterung „Schlüsselverwendung“.
1.2.1. Die Erweiterung „Subject Key Identifier“ (OID 2.5.29.14) muss den Wert „Subject Key Identifier“ enthalten.
1.2.2. Die Erweiterung „Zugriff auf Informationen über Zertifizierungsstellen“ muss eine Beschreibung der OCSP-Adresse des Antwortenden (falls verfügbar) und (oder) einen Link zu einer Ressource enthalten, die eine Liste von Herausgebern enthält, die den Zertifizierungspfad für den CCP-Herausgeber bilden. Die Erweiterung muss als nicht kritisch aufgeführt sein.
1.2.3. Die Erweiterung „Revocation List Distribution Points“ (OID 2.5.29.31) muss Folgendes enthalten:
· URL-Adresse des tatsächlichen Verteilungspunkts für die Zertifikatssperrliste über das „http“-Protokoll;
· URL-Adresse des Verteilungspunkts für die Liste der widerrufenen Zertifikate unter Verwendung des „Datei“-Protokolls.
Die Erweiterung muss als nicht kritisch aufgeführt sein.
1.2.4. In der UPC UL CA muss die Erweiterung „Hauptbeschränkungen“ (OID 2.5.29.19) das Feld „Betrefftyp“ mit dem Wert „CA“ enthalten. Die Erweiterung muss als nicht kritisch aufgeführt sein.
1.2.5. Die Key Usage-Erweiterung (OID 2.5.29.15) muss die folgenden Schlüsselzuweisungen enthalten:
· Digitale Unterschrift;
· Nichtabstreitbarkeit;
· Schlüsselverschlüsselung;
· Datenverschlüsselung;
· Zertifikate signieren *;
· Eigenständige Unterzeichnung der Sperrliste *;
· Unterzeichnung einer Sperrliste (CRL)*.
Hinweis *: nur für SKP UL UTs
Die Erweiterung muss als kritisch aufgeführt sein.
1.2.6. Im UPC des Benutzers muss die Erweiterung „Enhanced Key“ (OID 2.5.29.37) den Wert „Secure Email“ (1.3.6.1.5.5.7.3.4) enthalten.
Die Erweiterung muss als nicht kritisch aufgeführt sein.
Voraussetzungen für das EDS-Zertifikat
Die digitale Signatur des Zertifikats muss mit dem öffentlichen Schlüssel des Zertifikats übereinstimmen.
2. Anforderungen an die Abfassung eines Antrags auf ein Gegenzertifikat einer autorisierten Person einer Zertifizierungsstelle
Ein Antrag auf ein Gegenzertifikat eines Kandidaten für die Aufnahme in das RTC-Netzwerk muss Folgendes enthalten:
· Feld „Betreff“;
· Feld „Public-Key-Algorithmus“;
· Feld „Öffentlicher Schlüssel“;
· Feld „Attributanforderung“.
2.1. Das Feld „Betreff“ muss den Domänennamen der CA UL, dem Eigentümer des bereitgestellten Zertifikats, enthalten, der dem in der UCC UL CA angegebenen Domänennamen entspricht, wie in Abschnitt 1.1.5 beschrieben.
2.2. Das Feld „Public-Key-Algorithmus“ muss die OID des Algorithmus zur Generierung des öffentlichen Schlüssels SKP UL TC mit dem Wert „1.2.643.2.2.3“ (GOST R 34.11/34.10-2001) oder „1.2.643.2.2.4“ enthalten. (GOST R 34.11/34.10-94).
2.3. Das Feld „Öffentlicher Schlüssel“ muss den öffentlichen SKP-Schlüssel enthalten, der gemäß dem Algorithmus GOST R 34.11/34.10-2001 (OID 1.2.643.2.2.3) oder gemäß dem Algorithmus GOST R 34.11/34.10-94 (OID 1.2.643.2) generiert wurde. 2.4), entsprechend dem öffentlichen Schlüssel SKP UL UC.
2.4. Das Feld „Attributanforderung“ muss das Zertifikaterweiterungsattribut (OID 1.3.6.1.4.1.311.2.1.14) mit den folgenden Erweiterungen enthalten:
· „Grundlegende Einschränkungen“;
· „Subject Key Identifier“ (OID 2.5.29.14);
· „Schlüsselverwendung“.
2.4.1. Die Erweiterung „Basic Constraints“ (OID 2.5.29.19) muss das Feld „Subject Type“ mit dem Wert „CA“ und das Feld „Path Length Restriction“ mit dem Wert „1“ enthalten. Die Erweiterung muss als kritisch aufgeführt sein.
2.4.2. Die Erweiterung „Subject Key Identifier“ (OID 2.5.29.14) muss den Wert der Subject Key Identifier enthalten, der dem Wert der in der UCC UL CA (Absatz 1.2.1) angegebenen Subject Key Identifier entspricht. Die Erweiterung muss als nicht kritisch aufgeführt sein.
2.4.3. Die „Key Usage“-Erweiterung (OID 2.5.29.15) muss die in der entsprechenden UCC UL CA-Erweiterung (Abschnitt 1.2.5) angegebenen Schlüsselzuweisungen enthalten. Die Erweiterung muss als nicht kritisch aufgeführt sein.
Anhang 4
Beispielliste der zu schützenden Informationen
An den Antragsteller übermittelte schutzwürdige Informationen:
1) Antrag auf Registrierung in elektronischer Form;
2) einen Antrag auf Ausstellung eines Signaturschlüsselzertifikats in elektronischer Form;
3) ein Antrag auf Löschung (Widerruf) des Signaturschlüsselzertifikats in elektronischer Form;
4) Antrag auf Aussetzung des Signaturschlüsselzertifikats in elektronischer Form;
5) Antrag auf Erneuerung des Signaturschlüsselzertifikats in elektronischer Form;
6) vom CA-Benutzer bei der Passwortauthentifizierung übermitteltes Passwort;
7) Schlüsselbegriff des CA-Benutzers.
Vom Antragsteller übermittelte schutzwürdige Informationen:
1) Passwort, das dem CA-Benutzer zur Passwortauthentifizierung übermittelt wird;
2) ein Formular für eine Kopie des Signaturschlüsselzertifikats zur Ausgabe auf Papier;
3) eine Liste der CA-Benutzersignaturschlüsselzertifikate und deren Status;
4) eine Liste der Anfragen für CA-Benutzersignaturschlüsselzertifikate und deren Status;
5) eine Liste der Anträge auf Löschung (Widerruf), Aussetzung und Erneuerung von CA-Benutzersignaturschlüsselzertifikaten und deren Status.
Anhang 5
Bitte beachten Sie die Bewerbungsunterlagen (beigefügt), die die Erfüllung der Anforderungen an Zertifizierungsstellen gemäß den „Vorschriften über das Netzwerk vertrauenswürdiger Zertifizierungsstellen des Systems der elektronischen Handelsplattform“ bestätigen.
Details zum Zertifizierungszentrum
Anhang Liste (Inventar) der bereitgestellten Dokumente:
1. Titel des Dokuments auf _____ Blatt__.
2. Titel des Dokuments auf _____ Blatt__.
N. Titel des Dokuments auf _____ Blatt__.
Insgesamt _________ Blatt.
Dokumente in elektronischer Form am ________________ (Bezeichnung und Anzahl der Medien):
1. Titel des Dokuments Dateiname.
2. Titel des Dokuments Dateiname.
N. Dokumenttitel Dateiname.
Leiter des Zertifizierers
Zentrum (Name) _________________ (Unterschriftsprotokoll)
M.P.(Unterschrift)
Elektronische digitale Signatur
Elektronisch Digital Unterschrift ( Digitale Signatur) – Informationen in elektronischer Form, die anderen Informationen in elektronischer Form (signierte Informationen) beigefügt oder auf andere Weise mit solchen Informationen verknüpft werden und zur Identifizierung der Person verwendet werden, die die Informationen unterzeichnet.
Anwendung der digitalen Signatur
Eine elektronische digitale Signatur soll die Person identifizieren, die das elektronische Dokument unterzeichnet hat. In den gesetzlich vorgesehenen Fällen ist sie auch ein vollwertiger Ersatz für eine handschriftliche Unterschrift.
Mit einer elektronischen Signatur können Sie:
- · Kontrolle der Dokumentenintegrität. Wenn das Dokument verändert oder beschädigt wird, wird die Signatur ungültig.
- · Schutz vor Dokumentenfälschung. Durch die Integritätskontrolle können Sie die Unzuverlässigkeit eines Dokuments erkennen und so eine Fälschung in den meisten Fällen unmöglich machen.
- · Unmöglichkeit, die Urheberschaft aufzugeben. Die Verwendung eines privaten EDS-Schlüssels garantiert die Unmöglichkeit, die bereits ergriffenen Maßnahmen der Person, die die Dokumente unterzeichnet hat, abzulehnen. Wenn also der Inhaber des Schlüsselzertifikats identifiziert ist, der Autor der Signatur dies jedoch nicht verweigern kann.
- · Nachweis der Urheberschaft des Dokuments. Die Verwendung eines privaten EDS-Schlüssels garantiert die Unmöglichkeit, die bereits ergriffenen Maßnahmen der Person, die die Dokumente unterzeichnet hat, abzulehnen. Wenn also der Inhaber des Schlüsselzertifikats identifiziert ist, der Autor der Signatur dies jedoch nicht verweigern kann.
Arten der digitalen Signatur, die im Recht der Russischen Föderation vorgesehen sind
Einfach elektronisch Unterschrift Eine Signatur, die durch die Verwendung von Codes, Passwörtern oder anderen Mitteln die Tatsache der Bildung einer elektronischen Signatur durch eine bestimmte Person bestätigt.
Ungelernt elektronisch Unterschrift
Eine Signatur, die:
- 1. durch kryptografische Verfahren zur Umwandlung von Informationen unter Verwendung eines elektronischen Signaturschlüssels gewonnen;
- 2. ermöglicht es Ihnen, die Person zu identifizieren, die das elektronische Dokument unterzeichnet hat;
- 3. ermöglicht es Ihnen, die Tatsache zu erkennen, dass an einem elektronischen Dokument nach seiner Unterzeichnung Änderungen vorgenommen werden;
- 4. mit elektronischen Signaturtools erstellt.
Qualifiziert elektronisch Unterschrift Eine Signatur, die alle Merkmale einer unqualifizierten elektronischen Signatur sowie die folgenden zusätzlichen Merkmale erfüllt:
- 1. Der Prüfschlüssel für die elektronische Signatur ist im qualifizierten Zertifikat angegeben.
- 2. Zur Erstellung und Überprüfung einer elektronischen Signatur werden elektronische Signaturwerkzeuge verwendet, die eine Bestätigung über die Einhaltung der nach diesem Bundesgesetz festgelegten Anforderungen erhalten haben.
Standards
GOST R 34.10-2012 - Der Standard definiert ein Schema der elektronischen digitalen Signatur (EDS) sowie Verfahren zur Erzeugung und Überprüfung einer digitalen Signatur unter einer bestimmten Nachricht (Dokument), die über ungesicherte öffentliche Telekommunikationskanäle in Ifür verschiedene Zwecke übertragen wird.
Die Einführung einer auf diesem Standard basierenden digitalen Signatur erhöht im Vergleich zum bisher bestehenden digitalen Signaturschema die Sicherheit übertragener Nachrichten vor Fälschung und Verfälschung.
Die kryptografische Stärke dieses digitalen Signaturschemas basiert auf der Komplexität der Lösung des Problems des diskreten Logarithmus in einer Gruppe elliptischer Kurvenpunkte sowie auf der Stärke der verwendeten Hash-Funktion. Algorithmen zur Berechnung der Hash-Funktion sind in GOST R 34.11-2012 festgelegt.
GOST R 34.11-2012 - Russischer kryptografischer Standard, „definiert den Algorithmus und das Verfahren zur Berechnung der Hash-Funktion für jede Folge binärer Zeichen, die in kryptografischen Methoden zur Verarbeitung und zum Schutz von Informationen verwendet werden, einschließlich der Implementierung von Verfahren zur Gewährleistung von Integrität, Authentizität und elektronischer digitaler Signatur (EDS). bei der Übertragung, Verarbeitung und Speicherung von Informationen in automatisierten Systemen“.
Regulierung der Arbeit der CA
Eine Zertifizierungsstelle ist eine juristische Person oder ein Einzelunternehmer, die die Aufgabe hat, Schlüsselzertifikate zur Überprüfung elektronischer Signaturen zu erstellen und auszustellen.
Grundlegende Dokumente, die die Arbeit der Zertifizierungsstelle regeln:
- · Bundesgesetz vom 04.06.2011 N 63-FZ (geändert am 07.02.2013) „Über elektronische Signaturen“ (in der geänderten und ergänzten Fassung, in Kraft getreten am 01.09.2013);
- · Beschluss des FSB der Russischen Föderation vom 27. Dezember 2011 N 795 „Über die Genehmigung der Anforderungen an die Form eines qualifizierten Zertifikats eines elektronischen Signaturprüfschlüssels“;
- · Beschluss des FSB der Russischen Föderation vom 27. Dezember 2011 N 796 „Über die Genehmigung der Anforderungen an elektronische Signaturmittel und der Anforderungen an die Mittel einer Zertifizierungsstelle.“
Die Zertifizierungsstelle erhält den akkreditierten Status, nachdem die zuständige Bundesbehörde die Konformität der Zertifizierungsstelle mit den Anforderungen des Gesetzes „Über elektronische Signaturen“ anerkennt. Die Akkreditierung erfolgt durch das Ministerium für Telekommunikation und Massenkommunikation Russlands.
Gesetz „Über die elektronische Signatur“
Dieses Gesetz regelt die Beziehungen im Bereich der Verwendung elektronischer Signaturen bei zivilrechtlichen Transaktionen, bei der Erbringung staatlicher und kommunaler Dienstleistungen, bei der Wahrnehmung staatlicher und kommunaler Aufgaben sowie bei der Durchführung anderer rechtlich bedeutsamer Handlungen, auch in Fällen, die durch andere Bundesgesetze festgelegt sind.
Dieses Gesetz legt fest:
- · Anforderungen an Zertifizierungsstellen (auf deren Grundlage die Akkreditierung erfolgt);
- · Arten elektronischer Signaturen;
- · Befugnisse der Bundesvollzugsbehörden im Bereich der Verwendung elektronischer Signaturen;
- · Befugnisse und Verantwortlichkeiten der Zertifizierungsstelle;
- · Verfahren zur Akkreditierung einer Zertifizierungsstelle.
Beschluss des FSB der Russischen Föderation „Über die Genehmigung der Anforderungen an die Form eines qualifizierten Zertifikats eines elektronischen Signaturprüfschlüssels“
Diese Verordnung legt fest, welche Informationen ein qualifiziertes Zertifikat enthalten muss.
Das Zertifikat muss enthalten:
- · eindeutige Nummer des qualifizierten Zertifikats;
- · Start- und Enddatum des qualifizierten Zertifikats;
- · Nachname, Vorname und ggf. Vatersname des Inhabers des qualifizierten Zertifikats – bei natürlichen Personen bzw. Name und Wohnort des Inhabers des qualifizierten Zertifikats – bei juristischen Personen sowie in den von das Bundesgesetz „Über die elektronische Signatur“, Nachname, Vorname und ggf. Vatersname einer natürlichen Person, die im Namen des Inhabers eines qualifizierten Zertifikats handelt – einer juristischen Person auf der Grundlage der Gründungsdokumente der juristischen Person oder einer Vollmacht Bevollmächtigter (im Folgenden als Bevollmächtigter der juristischen Person bezeichnet);
- · Versicherungsnummer des individuellen Privatkontos (SNILS) des Inhabers des qualifizierten Zertifikats – für eine natürliche Person;
- · staatliche Hauptregistrierungsnummer (OGRN) des Inhabers eines qualifizierten Zertifikats – für eine juristische Person;
- · Steueridentifikationsnummer (TIN) des Inhabers eines qualifizierten Zertifikats – für eine juristische Person;
- · ES-Verifizierungsschlüssel;
- · Name des verwendeten ES-Tools und (oder) Standards, deren Anforderungen der ES-Schlüssel und der ES-Verifizierungsschlüssel erfüllen;
- · Namen von elektronischen Signaturmitteln und Mitteln einer akkreditierten Zertifizierungsstelle, die zur Erstellung eines elektronischen Signaturschlüssels, eines elektronischen Signaturprüfschlüssels, eines qualifizierten Zertifikats verwendet werden, sowie Einzelheiten eines Dokuments, das die Übereinstimmung dieser Mittel mit den festgelegten Anforderungen bestätigt gemäß dem Bundesgesetz „Über die elektronische Signatur“;
- · Name und Standort der akkreditierten Zertifizierungsstelle, die das qualifizierte Zertifikat ausgestellt hat;
- · Nummer des qualifizierten Zertifikats der akkreditierten CA;
- · Einschränkungen bei der Verwendung eines qualifizierten Zertifikats (sofern solche Einschränkungen bestehen).
Darüber hinaus legt diese Reihenfolge die Reihenfolge der Felder im qualifizierten Zertifikat fest.
Befehl FSB RF "Um Genehmigung Anforderungen Zu bedeutet elektronisch Unterschriften Und Anforderungen Zu bedeutet zertifizieren Center"
Die Anforderungen richten sich an Kunden und Entwickler von Tools für elektronische Signaturen und Zertifizierungszentren in ihrer Interaktion untereinander und mit Organisationen, die kryptografische und spezielle Forschung zu solchen Mitteln durchführen, sowie in ihrer Interaktion mit dem FSB der Russischen Föderation und bestätigen die Konformität solcher Mittel mit festgelegten Anforderungen.
Beim Erstellen einer elektronischen Signatur müssen elektronische Signaturtools:
- · der Person, die das elektronische Dokument unterzeichnet, den Inhalt der von ihr unterzeichneten Informationen zeigen;
- · Erstellen Sie eine elektronische Signatur erst nach Bestätigung durch die Person, die das elektronische Dokument des Vorgangs zur Erstellung einer elektronischen Signatur unterzeichnet.
- · deutlich machen, dass die elektronische Signatur erstellt wurde.
Bei der Überprüfung von ES müssen ES-Tools:
- · den Inhalt eines mit elektronischer Signatur signierten elektronischen Dokuments anzeigen;
- · Informationen über Änderungen am signierten elektronischen Dokument anzeigen;
- · Geben Sie die Person an, mit deren digitalem Signaturschlüssel die elektronischen Dokumente signiert wurden.
Um die Richtigkeit der zur Überprüfung der Authentizität einer elektronischen Signatur verwendeten elektronischen Signaturprüfschlüssel (öffentliche Schlüssel) sicherzustellen, führt das Bundesgesetz „Über elektronische Signaturen“ einen Mechanismus von Zertifizierungsstellen ein. Nach dem Bundesgesetz ist eine Zertifizierungsstelle wie folgt gekennzeichnet.
Zertifizierendes Ischntr:
- 1. erstellt Zertifikate über Schlüssel zur Überprüfung elektronischer Signaturen und stellt diese Zertifikate den Personen aus, die sie beantragen (Antragsteller);
- 2. legt die Gültigkeitsdauer von Schlüsselzertifikaten zur Überprüfung elektronischer Signaturen fest;
- 3. storniert die von dieser Zertifizierungsstelle ausgestellten Schlüsselzertifikate zur Überprüfung der elektronischen Signatur;
- 4. stellt auf Antrag des Antragstellers elektronische Signaturwerkzeuge aus, die den elektronischen Signaturschlüssel und den elektronischen Signaturprüfschlüssel enthalten (einschließlich der von der Zertifizierungsstelle erstellten) oder die die Möglichkeit bieten, einen elektronischen Signaturschlüssel und einen elektronischen Signaturprüfschlüssel zu erstellen vom Antragsteller;
- 5. führt ein Register der von dieser Zertifizierungsstelle ausgestellten und widerrufenen Schlüsselzertifikate für die Überprüfung elektronischer Signaturen, einschließlich der in den von dieser Zertifizierungsstelle ausgestellten Schlüsselzertifikaten für die Überprüfung elektronischer Signaturen enthaltenen Informationen sowie Informationen über die Kündigungs- oder Löschungsdatum von Schlüsselzertifikaten für die Überprüfung elektronischer Signaturen und die Gründe für eine solche Kündigung oder Stornierung;
- 6. legt das Verfahren zur Führung des Registers der nicht qualifizierten Zertifikate und das Verfahren für den Zugriff darauf fest und gewährleistet außerdem den Zugang von Personen zu den im Zertifikatsregister enthaltenen Informationen, einschließlich der Nutzung des Informations- und Telekommunikationsnetzes Internet;
- 7. erstellt auf Antrag der Antragsteller Schlüssel für elektronische Signaturen und Schlüssel zur Überprüfung elektronischer Signaturen;
- 8. prüft die Einzigartigkeit der Schlüssel zur Überprüfung elektronischer Signaturen im Zertifikatsregister;
- 9. führt die Überprüfung elektronischer Signaturen auf Anfrage von Teilnehmern an der elektronischen Interaktion durch;
- 10. führt sonstige Tätigkeiten im Zusammenhang mit der Verwendung einer elektronischen Signatur durch.
Die Zertifizierungsstelle ist verpflichtet:
- 1. Antragsteller schriftlich über die Bedingungen und das Verfahren für die Verwendung elektronischer Signaturen und elektronischer Signaturwerkzeuge, über die mit der Verwendung elektronischer Signaturen verbundenen Risiken sowie über die erforderlichen Maßnahmen zur Gewährleistung der Sicherheit elektronischer Signaturen und ihrer Überprüfung informieren;
- 2. Gewährleistung der Relevanz der im Zertifikatsregister enthaltenen Informationen und deren Schutz vor unbefugtem Zugriff, Zerstörung, Änderung, Sperrung und anderen rechtswidrigen Handlungen;
- 3. jeder Person auf Anfrage gemäß dem festgelegten Verfahren für den Zugang zum Zertifikatsregister die im Zertifikatsregister enthaltenen Informationen, einschließlich Informationen über den Widerruf des Schlüsselzertifikats zur Überprüfung der elektronischen Signatur, kostenlos zur Verfügung zu stellen;
- 4. Gewährleistung der Vertraulichkeit der von der Zertifizierungsstelle erstellten elektronischen Signaturschlüssel.
Gemäß der Gesetzgebung der Russischen Föderation haftet die Zertifizierungsstelle für Schäden, die Dritten entstehen durch:
- 1. Nichterfüllung oder nicht ordnungsgemäße Erfüllung von Verpflichtungen aus dem Vertrag über die Erbringung von Dienstleistungen durch die Zertifizierungsstelle;
- 2. Nichterfüllung oder nicht ordnungsgemäße Erfüllung der in diesem Bundesgesetz vorgesehenen Pflichten.
Die Zertifizierungsstelle hat das Recht, autorisierten Personen die Befugnis zu erteilen, im Namen der Zertifizierungsstelle Zertifikate über elektronische Signaturprüfschlüssel zu erstellen und auszustellen, die mit einer elektronischen Signatur auf der Grundlage des der autorisierten Person durch diese Zertifizierung ausgestellten Zertifikats für den elektronischen Signaturprüfschlüssel signiert sind Center.
Die Zertifizierungsstelle gegenüber autorisierten Personen ist die Hauptzertifizierungsstelle und nimmt folgende Funktionen wahr:
- 1. führt die Prüfung elektronischer Signaturen durch, deren Prüfschlüssel in den von autorisierten Personen ausgestellten Zertifikaten der Prüfschlüssel elektronischer Signaturen angegeben sind;
- 2. stellt die elektronische Interaktion der Vertrauenspersonen untereinander sowie der Vertrauenspersonen mit der Zertifizierungsstelle sicher.
Gemäß dem Bundesgesetz „Über elektronische Signaturen“ kann das Schlüsselzertifikat zur Überprüfung der elektronischen Signatur wie folgt charakterisiert werden.
Das Zertifizierungszentrum erstellt und stellt ein Schlüsselzertifikat zur Überprüfung der elektronischen Signatur auf der Grundlage einer Vereinbarung zwischen dem Zertifizierungszentrum und dem Antragsteller aus.
Das Schlüsselzertifikat zur Überprüfung der elektronischen Signatur muss die folgenden Informationen enthalten:
- 1. Beginn und Ende der Gültigkeit;
- 2. Nachname, Vorname und Vatersname (falls vorhanden) – bei natürlichen Personen, Name und Ort – bei juristischen Personen oder andere Informationen, die es Ihnen ermöglichen, den Besitzer des Schlüsselzertifikats zur Überprüfung der elektronischen Signatur zu identifizieren;
- 3. Schlüssel zur Überprüfung der elektronischen Signatur;
- 4. der Name des verwendeten elektronischen Signaturtools und (oder) die Standards, deren Anforderungen der elektronische Signaturschlüssel und der elektronische Signaturprüfschlüssel erfüllen;
- 5. Name der Zertifizierungsstelle, die das Schlüsselzertifikat zur Überprüfung der elektronischen Signatur ausgestellt hat;
- 6. weitere Informationen gemäß Artikel 17 Teil 2 des Bundesgesetzes „Über elektronische Signaturen“ – für ein qualifiziertes Zertifikat (Zertifikat, Prüfschlüssel für elektronische Signaturen, ausgestellt von einer akkreditierten Zertifizierungsstelle oder einem bevollmächtigten Vertreter einer akkreditierten Zertifizierungsstelle oder ein im Bereich der Verwendung elektronischer Signaturen befugtes Bundesorgan).
Die Zertifizierungsstelle ist berechtigt, Schlüsselzertifikate zur Prüfung elektronischer Signaturen sowohl in Form elektronischer Dokumente als auch in Form von Papierdokumenten auszustellen. Der Inhaber eines in Form eines elektronischen Dokuments ausgestellten Schlüsselzertifikats zur Überprüfung der elektronischen Signatur hat außerdem das Recht, eine von einer Zertifizierungsstelle beglaubigte Kopie des Schlüsselzertifikats zur Überprüfung der elektronischen Signatur in Papierform zu erhalten.
Das Schlüsselzertifikat zur Überprüfung der elektronischen Signatur ist ab dem Zeitpunkt seiner Ausstellung gültig, es sei denn, im Schlüsselzertifikat zur Überprüfung der elektronischen Signatur selbst ist ein anderes Startdatum für ein solches Zertifikat angegeben. Informationen über das Schlüsselzertifikat zur Überprüfung der elektronischen Signatur müssen von der Zertifizierungsstelle spätestens zu dem darin angegebenen Gültigkeitsbeginn eines solchen Zertifikats in das Zertifikatsregister eingetragen werden.
Das Schlüsselzertifikat zur Überprüfung der elektronischen Signatur läuft ab:
- 1. aufgrund des Ablaufs der festgelegten Gültigkeitsdauer;
- 2. auf der Grundlage des Antrags des Inhabers des Schlüsselzertifikats zur Überprüfung der elektronischen Signatur, eingereicht in Form eines Dokuments auf Papier oder in Form eines elektronischen Dokuments;
- 3. bei Beendigung der Tätigkeit der Zertifizierungsstelle ohne Übertragung ihrer Aufgaben auf andere Personen;
- 4. in anderen Fällen insbesondere durch Vereinbarung zwischen der Zertifizierungsstelle und dem Inhaber des Schlüsselzertifikats zur Verifizierung der elektronischen Signatur.
Informationen über die Beendigung des Schlüsselzertifikats zur Überprüfung der elektronischen Signatur müssen von der Zertifizierungsstelle in das Zertifikatsregister eingetragen werden. Die Gültigkeit des Schlüsselzertifikats zur Überprüfung der elektronischen Signatur erlischt mit der Eintragung in das Zertifikatsregister.
Gemäß dem Bundesgesetz „Über elektronische Signaturen“ hat der Bundessicherheitsdienst „Anforderungen an die Mittel einer Zertifizierungsstelle“ genehmigt.
Die Anforderungen richten sich an Kunden und Entwickler der zu entwickelnden (aktualisierten) Zertifizierungszentrumstools in ihrer Interaktion untereinander, mit Organisationen, die kryptografische, ingenieurkryptografische und spezielle Studien der Zertifizierungszentrumstools durchführen, sowie an den FSB Russlands. Dies bestätigt die Konformität der Tools des Zertifizierungszentrums mit den Anforderungen.
Die Anforderungen gelten für Mittel, die zur Verwendung auf dem Territorium der Russischen Föderation, in Institutionen der Russischen Föderation im Ausland und in separaten Abteilungen juristischer Personen mit Sitz im Ausland bestimmt sind, die gemäß den Rechtsvorschriften der Russischen Föderation gegründet wurden.
Die Mittel der Zertifizierungsstelle hinsichtlich ihrer Entwicklung, Produktion, ihres Vertriebs und ihres Betriebs unterliegen den Anforderungen der Verordnung PKZ-2005.
Die Mittel der Zertifizierungsstelle müssen Bedrohungen entgegenwirken, die gezielte Aktionen mittels Hardware und (oder) Software mit dem Ziel darstellen, die technische und kryptografische Sicherheit zu verletzen oder mit dem Ziel, Voraussetzungen dafür zu schaffen.
Abhängig von ihrer Widerstandsfähigkeit gegen Angriffe werden die Tools der Zertifizierungszentren in Klassen eingeteilt, die mit den Klassen der Tools für elektronische Signaturen übereinstimmen. Die erforderliche Klasse der Tools, die entwickelt (aktualisiert) werden, wird vom Kunden (Entwickler) bestimmt, indem er die Fähigkeiten des Täters ermittelt, Angriffe auf die Zertifizierungsstelle vorzubereiten und durchzuführen.
Von der Zertifizierungsstelle erstellte Schlüsselzertifikate zur Überprüfung elektronischer Signaturen und Listen widerrufener Zertifikate müssen den internationalen Empfehlungen ITU-T X.509 entsprechen.
5. Die Akkreditierung einer CA unterliegt folgenden Anforderungen:
1) der Wert des Nettovermögens der CA beträgt mindestens eine Million Rubel;
2) das Vorliegen einer finanziellen Sicherheit für die Haftung für Verluste, die Dritten aufgrund ihres Vertrauens in die Informationen entstehen, die in dem von einer solchen Zertifizierungsstelle ausgestellten Schlüsselzertifikat zur Überprüfung der elektronischen Signatur angegeben sind, oder in Informationen, die im von einer solchen Zertifizierungsstelle geführten Zertifikatsregister enthalten sind CA in Höhe von mindestens eineinhalb Millionen Rubel;
3) die Verfügbarkeit von Tools für elektronische Signaturen und CA-Tools, die eine Bestätigung der Einhaltung der vom Bundesorgan im Bereich Sicherheit festgelegten Anforderungen erhalten haben;
4) die Anwesenheit von mindestens zwei Mitarbeitern im Personal der Zertifizierungsstelle, die direkt an der Erstellung und Ausstellung von Schlüsselzertifikaten zur Überprüfung elektronischer Signaturen beteiligt sind und über eine höhere Berufsausbildung im Bereich Informationstechnologie oder Informationssicherheit oder eine höhere oder sekundäre Ausbildung verfügen Berufsausbildung mit anschließender Umschulung oder Fortbildung zu Themen mit elektronischer Signatur.
Staatliche Stellen, lokale Selbstverwaltungsorgane, staatliche und kommunale Institutionen, die die Funktionen von CAs wahrnehmen, unterliegen nicht den in den Absätzen 1 und 2 dieses Absatzes festgelegten Anforderungen.
III. Anforderungen an die Vollständigkeit und den Inhalt der von der Zertifizierungsstelle im Rahmen eines Antrags auf staatliche Akkreditierung vorgelegten Unterlagen
6. Die Akkreditierung einer Zertifizierungsstelle erfolgt auf der Grundlage eines Antrags einer autorisierten Person der Zertifizierungsstelle, der bei der autorisierten Stelle eingereicht wird (das empfohlene Antragsformular wird auf der offiziellen Website der autorisierten Stelle im Internet-Informations- und Telekommunikationsnetz veröffentlicht). .
6.1. Der Antrag enthält folgende Informationen:
Organisations- und Rechtsform sowie Name der CA (juristische Person);
Standort und Hauptstaatsregistrierungsnummer (OGRN) der CA (juristische Person);
Steueridentifikationsnummer der CA (juristische Person).
7. Dem Antrag sind die folgenden Dokumente beigefügt (einschließlich derjenigen, die für die Erstellung eines qualifizierten Schlüsselzertifikats zur Überprüfung der elektronischen Signatur (im Folgenden als qualifiziertes Zertifikat bezeichnet) erforderlich sind, das mit Mitteln der übergeordneten Zertifizierungsstelle erstellt wurde):
1) ein Dokument, das die Verfügbarkeit einer finanziellen Sicherheit für die Haftung für Verluste bestätigt, die Dritten durch ihr Vertrauen in die Informationen entstehen, die in dem von einer solchen Zertifizierungsstelle ausgestellten Schlüsselzertifikat zur Überprüfung der elektronischen Signatur angegeben sind, oder in Informationen, die im geführten Zertifikatsregister enthalten sind durch eine solche CA in Höhe von mindestens eineinhalb Millionen Rubel. Ein solches Dokument kann sein:
Haftpflichtversicherungsvertrag;
Bankgarantie;
Bürgschaftsvereinbarung.
Wird eine Bankgarantie als Beleg für das Vorliegen einer finanziellen Sicherheit für die Haftung vorgelegt, gibt der Antragsteller die Nummer der Bankkonzession des Kreditinstituts an, das die Bankgarantie gestellt hat.
Wenn ein Haftpflichtversicherungsvertrag als Dokument vorgelegt wird, das die Verfügbarkeit einer finanziellen Sicherheit für die Haftung bestätigt, prüft die autorisierte Stelle zusätzlich die Anwesenheit der im Versicherungsvertrag genannten Organisation im einheitlichen staatlichen Register der Versicherungsunternehmen;
2) ein aktueller Auszug aus der Bilanz, der bestätigt, dass der Wert des Nettovermögens der CA mindestens eine Million Rubel beträgt;
3) von der föderalen Exekutive im Bereich Sicherheit ausgestellte Dokumente, die die Konformität der von der CA verwendeten elektronischen Signaturtools und CA-Tools mit den von der föderalen Exekutive im Bereich Sicherheit festgelegten Anforderungen bestätigen;
4) Dokumente, die das Eigentum der CA (das Recht zur Nutzung eines Computerprogramms) oder eine andere Rechtsgrundlage für ihre Nutzung der in Unterabschnitt 3 dieser Klausel genannten Tools für elektronische Signaturen und CA-Mittel bestätigen;
5) Dokumente, die die Anwesenheit von mindestens zwei Mitarbeitern im CA-Personal bestätigen, die direkt an der Erstellung und Ausstellung von Schlüsselzertifikaten zur Überprüfung elektronischer Signaturen beteiligt sind und über eine höhere Berufsausbildung im Bereich Informationstechnologie oder Informationssicherheit verfügen, oder Höhere oder mittlere Berufsausbildung mit anschließender Umschulung oder Fortbildungsabschlüssen im Umgang mit elektronischen Signaturen:
Kopien von Arbeitsverträgen (mit Beilage der genehmigten Arbeitsordnung);
Kopien von Dokumenten über eine höhere Berufsausbildung im Bereich Informationstechnologie oder Informationssicherheit (Diplom des festgelegten staatlichen Standards) oder Kopien von Dokumenten über den Abschluss einer Umschulung oder Fortbildung zur Verwendung elektronischer Signaturen (Zertifikat des festgelegten Formulars);
6) die Gründungsdokumente der CA oder deren ordnungsgemäß beglaubigte Kopien;
7) eine ordnungsgemäß beglaubigte Übersetzung ins Russische von Dokumenten über die staatliche Registrierung einer juristischen Person gemäß den Rechtsvorschriften eines ausländischen Staates (für ausländische juristische Personen);
8) eine Vollmacht oder ein anderes Dokument, das das Recht der bevollmächtigten Person der CA, die die angegebenen Dokumente gesendet hat, bestätigt, im Namen der CA zu handeln.
Die Entgegennahme der in diesem Absatz genannten Dokumente und die Bereitstellung von Dokumenten an Stellen, die öffentliche Dienstleistungen erbringen, an Stellen, die kommunale Dienstleistungen erbringen, an andere staatliche Stellen, an lokale Regierungsstellen oder an Organisationen, die staatlichen Stellen oder lokalen Regierungsstellen unterstellt sind, die an der Erbringung öffentlicher Dienstleistungen beteiligt sind, erfolgt. einschließlich der Einbeziehung in elektronischer Form unter Verwendung eines einheitlichen Systems der abteilungsübergreifenden elektronischen Interaktion und damit verbundener regionaler Systeme der abteilungsübergreifenden elektronischen Interaktion auf abteilungsübergreifenden Antrag der autorisierten Stelle.
Die in diesem Absatz genannten Dokumente können von der CA unabhängig eingereicht werden.
8. Darüber hinaus kann eine Zertifizierungsstelle, die eine Akkreditierung beantragt, Dokumente einreichen, die Folgendes bestätigen:
Verfügbarkeit von Lizenzen, die zur Ausübung der Tätigkeiten der CA gemäß den Anforderungen der Gesetzgebung der Russischen Föderation erforderlich sind;
Aufnahme der CA in das Register der Betreiber, die personenbezogene Daten verarbeiten;
das Vorhandensein eines Verfahrens zur Umsetzung der Funktionen einer Zertifizierungsstelle, zur Ausübung der Rechte und zur Erfüllung der Pflichten einer Zertifizierungsstelle, das den Anforderungen der Gesetzgebung der Russischen Föderation im Bereich der Verwendung elektronischer Signaturen entspricht;
Einhaltung der Infoin der Informationseinrichtung oder eine Kopie der Schlussfolgerung über die Einhaltung der Informationssicherheitsanforderungen, die vom FSTEC Russlands und dem FSB Russlands im Rahmen ihrer Befugnisse herausgegeben wurden.
9. Ein autorisierter Beamter der Zertifizierungsstelle hat das Recht, einen Antrag auf Akkreditierung einer Zertifizierungsstelle und die damit verbundenen Dokumente in Form eines mit einer elektronischen Signatur unterzeichneten elektronischen Dokuments an die autorisierte Stelle zu senden.
Die Einreichung des Antrags und der in diesem Absatz genannten Unterlagen in Form eines elektronischen Dokuments erfolgt über öffentliche Informations- und Telekommunikationsnetze, einschließlich eines einzigen Portals staatlicher und kommunaler Dienste.
Ohne ausreichende rechtliche Informationen ist es nicht möglich, fundierte Entscheidungen sowohl im wirtschaftlichen als auch im politischen Bereich zu treffen. Dieses Bedürfnis ist in der Zeit der Reform des wirtschaftlichen und politischen Systems besonders dringend. Die Aufgabe, dem Bedarf an rechtzeitiger Bereitstellung der erforderlichen Menge an Rechtsinformationen gerecht zu werden, wird durch verschiedene Medien gelöst.
In diesem Bereich konkurrieren sowohl traditionelle Medien als auch juristische Referenzsysteme (LRS). Eine wirklich effektive SPS kann nur durch den Einsatz moderner Informationstechnologien entstehen. Das auf diese Weise erstellte SPS wird als Computer-SPS bezeichnet.
Ein Computer-Rechtsreferenzsystem ist ein Softwarepaket, das eine Reihe von Rechtsinformationen und Tools für die Arbeit damit enthält. Mit diesen Tools können Sie nach Dokumenten suchen, Dokumentensammlungen erstellen und Dokumente oder Fragmente davon drucken.
Die Vorteile von Computer-SPS liegen auf der Hand. Dazu gehört die Verfügbarkeit von Informationen und die einfache Arbeit damit. Das diesen Systemen innewohnende Problem – unzureichende Effizienz – kann mit Hilfe des globalen Internets gelöst werden.
Die Hauptgründe für die aktive Entwicklung von Computer-SPS in Russland sind einerseits die rasche Verbesserung und Kostensenkung von Personalcomputern im letzten Jahrzehnt sowie eine große Anzahl regulatorischer und anderer Rechtsdokumente, die durch politische und wirtschaftliche Reformen entstanden sind das Leben auf dem Land hingegen. Derzeit gibt es viele praktische Probleme und Bereiche im Zusammenhang mit dem Zugriff auf rechtliche Informationen, die nur durch den Einsatz von Computer-SPS effektiv gelöst werden können. Das Rechnungswesen kann vollständig einem dieser Bereiche zugeordnet werden.
Ein Computer-Rechtsreferenzsystem (CRL) ist ein Softwarepaket, das eine Reihe von Rechtsinformationen und Softwaretools enthält, die es einem Spezialisten ermöglichen, mit dieser Informationsreihe zu arbeiten: nach bestimmten Dokumenten oder deren Fragmenten suchen, Sammlungen notwendiger Dokumente erstellen, Informationen drucken usw. d.
Der Einsatz von Computertechnologie zur Verarbeitung gesetzgeberischer Informationen begann in der zweiten Hälfte der 1960er Jahre. Nachschlagesysteme wurden zunächst hauptsächlich in Form elektronischer Aktenschränke („elektronische Kataloge“) erstellt. So wurde das belgische CREDOC-System, das 1967 ins Leben gerufen wurde, zum ersten elektronischen Aktenschrank in Europa für die Computersuche nach Rechtsinformationen.
Einige in der Entwicklung befindliche juristische elektronische Aktenschränke begannen dank eines Netzwerks von Terminals in Bibliotheken online zu funktionieren und wurden für jedermann allgemein zugänglich. Ein Beispiel für ein solches System ist FINLEX, das 1982 vom finnischen Justizministerium geschaffen wurde. Es soll über Gerichtsentscheidungen und Rechtsprechung informieren.
Trotz aller Vorteile ermöglichen elektronische Aktenschränke es nicht, sich mit dem vollständigen Text von Dokumenten vertraut zu machen. Daher sind Volltextsysteme komfortabler, da sie es nicht nur ermöglichen, das benötigte Dokument in riesigen Informationsmengen fast sofort zu finden, sondern auch mit dem Text des gefundenen Dokuments arbeiten. Im Jahr 1967 wurde aufgrund einer Vereinbarung zwischen der Ohio State Bar und DATA Corp. Die Entwicklung eines der bekanntesten Volltext-Rechtsreferenzsysteme (LRS) in den USA – LEXIS – begann. Seit 1980 steht das System Benutzern in Großbritannien und seit 1985 in Australien zur Verfügung. Jeden Tag beantwortet es mehr als 20.000 Anfragen; seine Informationsdatenbank enthält staatliche Vorschriften und Bundesgesetze, einschließlich des vollständigen Textes der US-Verfassung sowie aller US-Rechtspräzedenzfälle.
Im Laufe der Zeit hat LEXIS das britische Recht und seit 1981 auch die englische Rechtsprechung übernommen. Mittlerweile heißt dieses System LEXIS-NEXIS und ist auch über das Internet verfügbar.
Derzeit verfügen alle wirtschaftlich entwickelten Länder über ATP, und einigen Schätzungen zufolge gibt es mittlerweile weltweit mehr als hundert ähnliche Systeme.
In Russland begann die Entwicklung computergestützter Rechtsreferenzdatenbanken im Juli 1975, als die Führung der Sowjetunion beschloss, die Rechtsinformatisierung zu entwickeln. Im Rahmen der Umsetzung dieser Entscheidung wurde 1976 das Wissenschaftliche Zentrum für Rechtsinformation (SCLI) im Rahmen des Justizministeriums gegründet. Die Hauptaufgabe des Zentrums war die Entwicklung von Referenzsystemen und die staatliche Bilanzierung von Vorschriften. Damals konnten nur einzelne Ministerien, Abteilungen und staatliche Wissenschaftsorganisationen die NCPI-Informationsbasis nutzen, ein breiter Zugang zu Informationen war ausgeschlossen.
Die rasante Entwicklung und Verbreitung von ATP in Russland begann Ende der 1980er – Anfang der 1990er Jahre, als das erste nichtstaatliche ATP erschien: 1989 – „USIS“, 1991 – „Garant“, 1992 – „Consultant Plus“.
Die Grundlage von Rechtssystemen bilden elektronische Datenbanken und Rechtsinformationsbanken – sie sind sozusagen das „Gehirn und Herz“ des gesamten Systems. Informationsunterstützungsdatenbanken umfassen eine Vielzahl von Dokumenten: von Koordinierungsplänen für die Entwicklung von Vorschriften bis hin zu ausländischen Rechtsakten. Derzeit sind in Russland bereits eine Reihe von Rechenzentren und Rechtsinformationsnetzen entstanden. Die in Betrieb genommenen Netze decken den größten Teil des Territoriums Russlands ab und stellen ihre Dienste Hunderttausenden Nutzern zur Verfügung. Zu den Aufgaben dieser Zentren gehört das Sammeln, Sammeln, Systematisieren, Speichern und Bereitstellen verschiedener rechtlicher Informationen für Verbraucher. Die folgenden Produkte und die Unternehmen, die sie entwickelt haben, sind in Russland am bekanntesten:
„Consultant Plus“ (Firma „Consultant Plus“);
„Garant“ (KKW „Garant-Service“);
„Code“ (Computerentwicklungszentrum);
„Referent“ (Firma „Referent-Service“).
Zu den Systemen, die von staatlichen Unternehmen geschaffen wurden, um den Bedarf an Rechtsinformationen von Regierungsbehörden zu decken, gehören die folgenden Systeme:
„Etalon“ (NCPI unter dem Justizministerium der Russischen Föderation);
„System“ (STC „System“ unter FAPSI).
Darüber hinaus werden auf dem russischen Markt folgende Systeme präsentiert:
„USIS“ (Intralex-Unternehmen);
„Legal World“ (Verlag „delo i pravo“);
„Ihr Recht“ und „Rechtsberater“ (Firma „Information Systems and Technologies“);
„Gesetzgebung Russlands“ (Verband zur Entwicklung von Banktechnologien) und einige andere.
Gemäß Teil 3 der Kunst. Gemäß Artikel 15 der Verfassung der Russischen Föderation müssen alle Gesetze und Vorschriften zur öffentlichen Information veröffentlicht werden. Daher ist kein einziger Computer-Rechtsrahmen mit Ausnahme des Wissenschaftlich-Technischen Zentrums „System“ eine offizielle Quelle für die Veröffentlichung von Vorschriften. Somit ermöglichen juristische Referenzsysteme die Gewinnung und Nutzung vollständiger und verlässlicher Informationen zu rechtlichen Problemen, haben jedoch den Status von Referenzsystemen. Wenn Sie sich daher beispielsweise an ein Gericht (oder eine andere Behörde) wenden, ist es erforderlich, sich nicht auf die Rechtsgrundlage, sondern auf die offizielle Quelle der Veröffentlichung zu beziehen.
Dokumente durchsuchen
Der Benutzer hat die Möglichkeit, je nach den Informationen über das zu durchsuchende Dokument zwischen mehreren im System angezeigten Sucharten zu wählen. Das Garant-System bietet vier Sucharten:
Suche nach Details – Suche mit Angabe der Details des Dokuments;
Suche nach Situation – Suche anhand von Schlüsselwörtern, die die Situation beschreiben, in der das Dokument benötigt wird;
Suche nach Klassifikatoren – dient der Auswahl von Dokumenten zu einem bestimmten Thema;
Suche nach Veröffentlichungsquelle – ermöglicht die Suche nach Dokumenten mit einer bekannten Veröffentlichungsquelle.
Schauen wir uns jeden dieser Suchtypen genauer an.
Suche nach Details
Eine solche Suche wird normalerweise verwendet, wenn wir Einzelheiten des Dokuments wie Art, Nummer, Datum der Annahme, die Stelle, die das Dokument angenommen hat, ein Fragment des Texts des Dokuments usw. im Voraus kennen. Suchbedingungen können mit kombiniert werden logische Operatoren. Für die spätere schnelle Nutzung einer komplexen Abfrage kann diese gespeichert werden.
Suche nach Situation
Wenn die Dokumentdetails unbekannt sind, ist eine Suche nach Situation möglich. Für die Suche nach Situation wird ein Wörterbuch verwendet, das aus Schlüsselwörtern (wichtigsten Wörtern) besteht, die in den Dokumenten der Informationsdatenbank enthalten sind. Um die Abfrage konsistent zu spezifizieren, ist das Wörterbuch in zwei Ebenen unterteilt – Haupt- und Detailebene –, die in Form eines Baums dargestellt werden.
Der Prozess der Erstellung einer Abfrage bei der Suche nach einer Situation besteht aus der Auswahl eines Schlüsselworts oder von Wörtern (in der Abfrage werden sie durch den logischen Operator „ODER“ verbunden).
In der aktuellen Version des Systems ist es möglich, nur die Ergebnisse der letzten Suche nach einer Situation zu speichern, die darüber hinaus beim Beenden des Programms verloren gehen.
Suche nach Klassifikatoren
Durch die Suche nach Klassifikatoren können Sie Sammlungen von Dokumenten zu einem bestimmten Thema erstellen. Zu diesem Zweck gibt es im System fünf Klassifikatoren: allgemein, der alle Dokumente in der Informationsbasis darstellt, und spezialisiert:
Gerichts- und Schiedspraxis;
internationale Verträge;
Klarstellungen und Kommentare;
Gesetzesentwürfe.
Um nach Dokumenten zu einem bestimmten Thema zu suchen, können Sie die Detailsuche nutzen.
Suche nach Veröffentlichungsquelle
Diese Suche ermöglicht die Suche nach Dokumenten mit bekannter Veröffentlichungsquelle und ähnelt einem elektronischen Katalog der Inhalte gedruckter Veröffentlichungen, der in der Informationsdatenbank enthaltene veröffentlichte Dokumente enthält.
Listen von Dokumenten und Verwendung von Ordnern
Als Ergebnis der Suche nach einem beliebigen im System angezeigten Typ wird eine Liste der der Anfrage entsprechenden Dokumente erstellt. Diese Liste enthält die wichtigsten Details des Dokuments und kann nach diesen sortiert werden. Als Ergebnis einer Suche erhaltene Listen können zur späteren Bezugnahme in einem Ordner gespeichert werden. Das Garant-System implementiert ein mehrstufiges Ordnersystem, auf das darüber hinaus Zusammenführungs- und Schnittoperationen angewendet werden können. Vom Benutzer erstellte Ordner werden nach dem Schließen des Programms gespeichert.
Wird geladen...