Год назад, в сентябре, при содействии сообщества PKI-ФОРУМ , был выпущен справочник " Удостоверяющие центры России ", из которого, в частности, можно сделать вывод о распределении программно-аппаратных платформ, на базе которых функционируют Удостоверяющие Центры (далее - УЦ) в России. Несмотря на то, что в справочнике обозначены далеко не все УЦ, об общей картине распределения судить можно по диаграмме под катом.
Лидирующую позицию с большим отрывом в доле рынка занимает продукт компании Крипто-Про .
name='more'> Исходя из этих данных можно взять за основу, для выделения процессов, документ ЖТЯИ.00067-01 90 17. КриптоПро УЦ. Регламент. [1]
 |
| Распределение платформ функционирования УЦ в России на 2011 год |
- Федеральный Закон от 6 апреля 2011 г. №63-ФЗ «Об электронной подписи» [2]
- Положение о лицензировании деятельности по разработке, производству, распространению шифровальный (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств (за исключением случаев, если техническое обслуживание шифровальных (криптографических) средств, перфорационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Утверждено Постановлением Правительства РФ от 16 апреля 2012 года №313. [3]
- Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом , не содержащей сведений, составляющих государственную тайну. Утверждена приказом ФАПСИ от 13 июня 2001 года №152. [4]
В результате анализа этих документов были выделены следующие процессы:
- Создание сертификатов ключей проверки электронных подписей (СКП ЭП) и выдача таких сертификатов лицам, обратившимся за их получением (заявителям); [1, 2, 4]
- Установление срококов действия СКП ЭП; [2]
- Аннулирование выданных этим УЦ СКП ЭП; [2, 4]
- Выдача по обращению заявителя средств ЭП, содержащие ключ ЭП и ключ проверки ЭП (в том числе созданные УЦ) или обеспечивающих возможность создания ключа ЭП и ключа проверки ЭП заявителем; [1, 2]
- Ведение реестра выданных и аннулированных УЦ СКП ЭП (далее - реестр сертификатов), в том числе включающего в себя информацию, содержащуюся в выданных этим УЦ СКП ЭП, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки ЭП и об основаниях таких прекращения или аннулирования; [1, 2]
- Установление порядка ведения реестра сертификатов, не являющихся квалифицированными, и порядка доступа к нему, а также обеспечкние доступа лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети "Интернет"; [2]
- Создание по обращениям заявителей ключей ЭП и ключей проверки ЭП; [1, 2]
- Проверка уникальности ключей проверки ЭП в реестре сертификатов; [2]
- Осуществление по обращениям участников электронного взаимодействия проверки ЭП; [1, 2]
- Информирование в письменной форме заявителей об условиях и о порядке использования ЭП и средств ЭП, о рисках, связанных с использованием ЭП, и о мерах, необходимых для обеспечения безопасности ЭП и их проверки; [2]
- Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защиту от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий; [2]
- Предоставление безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов, информации, содержащуюся в реестре сертификатов, в том числе информации об аннулировании СКП ЭП; [1, 2]
- Обеспечение конфиденциальности созданных УЦ ключей ЭП. [2, 4]
- Наличие права собственности или иного законного основания на владение и использование помещений, сооружений, технологического оборудования и иных объектов, необходимых для осуществления деятельности УЦ; [3]
- Выполнение при осуществлении лицензируемой деятельности требований по обеспечению информационной безопасности, устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О федеральной службе безопасности"; [3]
- Наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации"; [3]
- Наличие в штате следующего квалифицированного персонала:
- руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки "Информационная безопасность" и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет;
- инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки "Информационная безопасность" и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет; [3]
- Представление в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств; [3]
- Использование предназначенных для осуществления лицензируемой деятельности программ для электронных вычислительных машин и баз данных, принадлежащих соискателю лицензии (лицензиату) на праве собственности или ином законном основании. [3]
- Проверка готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно - программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ); [4]
- Разработка мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам; [4]
- Обучение лиц, использующих СКЗИ, правилам работы с ними; [4]
- Поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним; [4]
- Учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ; [4]
