Закладки

Официальная правовая информация
Информационно-поисковая система ”ЭТАЛОН-ONLINE“, 29.03.2024
Национальный центр правовой информации Республики Беларусь

ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ

29 ноября 2013 г. № 89

Об утверждении Инструкции о порядке проведения аккредитации поставщиков услуг в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь и осуществления контроля за соблюдением условий аккредитации

Изменения и дополнения:

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 30 апреля 2015 г. № 48 (зарегистрировано в Национальном реестре - № 7/3106 от 12.05.2015 г.);

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 8 февраля 2019 г. № 45 (зарегистрировано в Национальном реестре - № 7/4217 от 13.02.2019 г.);

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 9 октября 2019 г. № 336 (зарегистрировано в Национальном реестре - № 7/4372 от 10.10.2019 г.);

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 (зарегистрировано в Национальном реестре - № 7/4470 от 25.02.2020 г.);

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 29 декабря 2022 г. № 210 (зарегистрировано в Национальном реестре - № 7/5249 от 29.12.2022 г.)

 

На основании части седьмой статьи 29 Закона Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном документе и электронной цифровой подписи» ПРИКАЗЫВАЮ:

1. Утвердить Инструкцию о порядке проведения аккредитации поставщиков услуг в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь и осуществления контроля за соблюдением условий аккредитации (прилагается).

2. Настоящий приказ вступает в силу с 2 декабря 2013 г.

 

Начальник

С.В.Шпегун

 

 

УТВЕРЖДЕНО

Приказ
Оперативно-аналитического
центра при Президенте
Республики Беларусь

29.11.2013 № 89

ИНСТРУКЦИЯ
о порядке проведения аккредитации поставщиков услуг в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь и осуществления контроля за соблюдением условий аккредитации

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. В настоящей Инструкции, разработанной на основании части седьмой статьи 29 Закона Республики Беларусь «Об электронном документе и электронной цифровой подписи», определяется порядок аккредитации поставщиков услуг (далее, если не установлено иное, – заявитель) в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (далее – ГосСУОК) и осуществления контроля за соблюдением ее условий.

2. Для целей настоящей Инструкции применяются термины и их определения в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации», Законом Республики Беларусь «Об электронном документе и электронной цифровой подписи».

3. Аккредитация поставщиков услуг в ГосСУОК (далее – аккредитация) проводится Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – орган по аккредитации) по инициативе заявителя на соответствие условиям аккредитации по перечню согласно приложению 1.

4. При проведении аккредитации заявитель и орган по аккредитации несут ответственность за соблюдение конфиденциальности полученной информации в соответствии с законодательством.

5. Аккредитация проводится на основании договора, который заключается между заявителем и органом по аккредитации.

6. Орган по аккредитации ведет реестр аккредитованных поставщиков услуг в ГосСУОК, обеспечивает открытый доступ к актуальной информации о выданных аттестатах аккредитации, текущем статусе аккредитации поставщика услуг посредством размещения соответствующей информации на официальном сайте органа по аккредитации в глобальной компьютерной сети Интернет.

7. Аккредитация включает следующие этапы:

подача заявки на аккредитацию с прилагаемыми документами и их регистрация;

анализ заявки и прилагаемых к ней документов;

принятие решения по заявке;

заключение договора между органом по аккредитации и заявителем на проведение аккредитации;

оценка заявителя на соответствие условиям аккредитации;

анализ данных, полученных после проведения оценки заявителя, и принятие решения об аккредитации;

оформление, регистрация и выдача аттестата аккредитации.

Каждый последующий этап аккредитации реализуется при положительных результатах предыдущего этапа.

8. Допускается оформление аттестата аккредитации на иностранном языке. При этом заявитель должен представить в орган по аккредитации реквизиты, подлежащие включению в аттестат аккредитации, на запрашиваемом иностранном языке.

ГЛАВА 2
ПОДАЧА ЗАЯВКИ И ПРИНЯТИЕ РЕШЕНИЯ О ПРОВЕДЕНИИ АККРЕДИТАЦИИ

9. Для проведения аккредитации заявитель направляет в орган по аккредитации заявку по форме согласно приложению 2. При аккредитации в качестве регистрационного центра (далее – РЦ) заявитель дополнительно указывает в заявке удостоверяющий центр (далее – УЦ) и политику применения сертификатов, к которой он присоединяется.

К заявке прилагаются документы по перечню согласно приложению 3.

Прилагаемые к заявке документы, в том числе их копии, должны быть заверены подписью заявителя.

Указанные в части второй настоящего пункта документы представляются на языке оригинала вместе с их переводом на один из государственных языков Республики Беларусь.

10. Орган по аккредитации в месячный срок после регистрации заявки проводит анализ заявки и прилагаемых к ней документов, в том числе проверку правильности ее заполнения и достаточности представленных документов.

11. При отрицательных результатах анализа заявки заявителю сообщается о необходимости предоставления дополнительной информации или об отказе в принятии заявки.

12. Отказ в принятии заявки не препятствует повторному обращению с ней после устранения недостатков, явившихся причиной отказа.

13. При соответствии заявки установленной форме и достаточности представленных документов заявителю направляется решение о проведении аккредитации по форме согласно приложению 4, а также проект договора на проведение аккредитации.

ГЛАВА 3
ОЦЕНКА ЗАЯВИТЕЛЯ НА СООТВЕТСТВИЕ УСЛОВИЯМ АККРЕДИТАЦИИ

14. Для проведения оценки заявителя на соответствие условиям аккредитации решением руководителя органа по аккредитации назначается экспертная группа, состоящая из сотрудников органа по аккредитации и республиканского унитарного предприятия «Национальный центр электронных услуг», а также при необходимости технических экспертов, привлекаемых в установленном порядке.

15. Проведение оценки заявителя включает:

оценку с выездом на место нахождения заявителя в соответствии с пунктом 16 настоящей Инструкции;

обобщение данных, полученных после оценки, и подготовку отчета в соответствии с пунктом 18 настоящей Инструкции.

16. В рамках осуществления оценки с выездом на место нахождения заявителя экспертной группой изучается:

инфраструктура, необходимая для оказания услуг по распространению открытых ключей;

наличие и состояние служебных помещений, программно-аппаратных средств электронной цифровой подписи, технических средств, используемых для функционирования программного комплекса УЦ и (или) РЦ, персональных компьютеров, локальных компьютерных сетей, программных продуктов, электронных баз данных, множительной и копировальной техники;

наличие коммуникаций, связи, системы контроля физического доступа к компонентам УЦ и (или) РЦ и системы контроля доступа к программным компонентам УЦ и (или) РЦ, системы видеонаблюдения серверных и служебных помещений УЦ и (или) РЦ, источников бесперебойного питания и резервного электропитания, установок кондиционирования воздуха в серверном помещении УЦ, систем пожарной сигнализации, автоматического газопожаротушения, газоудаления в соответствии с условиями аккредитации по перечню согласно приложению 1.

17. Экспертная группа оценивает:

возможности заявителя по оказанию услуг по распространению открытых ключей;

соблюдение требований политики применения сертификатов и регламента.

Оценка проводится посредством:

наблюдения за действиями заявителя при оказании услуг по распространению открытых ключей;

моделирования процесса оказания услуг по распространению открытых ключей (выработка, хранение, резервное копирование и восстановление личного ключа подписи УЦ; регистрация пользователя; издание сертификатов открытых ключей и списков отозванных сертификатов; отзыв, приостановка, возобновление действия сертификатов открытых ключей).

18. Экспертная группа на основании объективных данных, собранных в ходе оценки, оформляет отчет и направляет его заявителю не позднее 15 дней после завершения оценки. В случае наличия несоответствий заявителя требованиям политики применения сертификатов и регламента в отчете указывается информация о необходимости проведения дополнительной оценки в целях проверки их устранения.

Отчет об оценке подписывается экспертами группы и уполномоченным представителем заявителя, который вправе высказать особое мнение о результатах работы экспертной группы, которое отражается в отчете об оценке.

19. Заявитель в установленные в отчете об оценке сроки разрабатывает корректирующие мероприятия по устранению выявленных несоответствий и представляет их руководителю экспертной группы для согласования. Срок выполнения корректирующих действий не должен превышать 90 дней с даты их согласования.

Заявитель представляет в орган по аккредитации отчет о реализации запланированных корректирующих мероприятий по устранению выявленных несоответствий.

20. Экспертная группа анализирует результаты предпринятых заявителем мероприятий на предмет их достаточности и результативности. В случае недостаточности корректирующих мероприятий экспертная группа вправе запросить дополнительную информацию. Органом по аккредитации может быть принято решение о проведении дополнительной оценки в целях контроля устранения выявленных несоответствий.

В случае непредставления необходимой информации о реализации запланированных корректирующих мероприятий в установленный срок руководитель экспертной группы информирует орган по аккредитации о целесообразности прекращения работ по аккредитации.

По результатам представления заявителем данных, свидетельствующих о выполнении корректирующих мероприятий, руководитель экспертной группы оформляет заключительный отчет об оценке заявителя. Для принятия решения об аккредитации заявителя руководитель экспертной группы представляет результаты оценки заявителя в орган по аккредитации.

21. Решение о предоставлении аккредитации, подтверждении и продлении аккредитации, приостановлении, отказе в аккредитации принимается органом по аккредитации посредством утверждения руководителем органа по аккредитации или его уполномоченным заместителем заключительного отчета по результатам оценки заявителя.

22. Основанием для приостановления аккредитации, отказа в аккредитации и отрицательного решения по аккредитации является:

неподтверждение в ходе проведения оценки заявителя его соответствия условиям аккредитации;

несоответствие деятельности аккредитованного поставщика услуг требованиям политики применения сертификатов и регламента (отказ в аккредитации или приостановление аккредитации возможно при однократном несоответствии требованиям политики применения сертификатов и регламента, которое может повлиять на объективность и компетентность при выполнении работ);

неустранение в согласованные сроки выявленных несоответствий;

наличие отрицательных результатов оценки аккредитованного поставщика услуг, полученных при проведении его периодического контроля;

полное отсутствие деятельности аккредитованного поставщика услуг в течение более двух лет со дня принятия решения о выдаче аттестата аккредитации;

несоблюдение условий соглашения с аккредитованным поставщиком услуг в части обязательств аккредитованного поставщика услуг.

ГЛАВА 4
ОЦЕНКА АККРЕДИТОВАННОГО ПОСТАВЩИКА УСЛУГ В ЦЕЛЯХ ПОДТВЕРЖДЕНИЯ И ПРОДЛЕНИЯ АККРЕДИТАЦИИ

23. Подтверждение и продление аттестата аккредитации осуществляются по заявке аккредитованного поставщика услуг. Проведение данных работ осуществляется в порядке, предусмотренном в главе 3 настоящей Инструкции.

24. Заявка на проведение работ в целях подтверждения и продления аттестата аккредитации подается аккредитованным поставщиком услуг не позднее чем за три месяца до окончания срока действия аттестата аккредитации по форме согласно приложению 2.

25. При проведении оценки аккредитованного поставщика услуг в целях подтверждения и продления аккредитации экспертной группой применяются методы, направленные на выявление объективных свидетельств выполнения требований политики применения сертификатов и регламента при оказании услуг по распространению открытых ключей за предыдущий период действия аттестата аккредитации по результатам деятельности аккредитованного поставщика услуг.

При этом экспертная группа также оценивает:

выполнение аккредитованным поставщиком услуг условий постаккредитационного соглашения;

выполнение мероприятий по результатам предыдущих оценок (периодического контроля), проведенных органом по аккредитации;

результаты анализа информации, поступившей от республиканских органов государственного управления;

результаты анализа обратной связи с клиентами аккредитованного поставщика услуг (результаты рассмотрения отзывов, опросов, обращений).

26. При принятии органом по аккредитации положительного решения о продлении аккредитованному поставщику услуг срока действия аттестата аккредитации последнему присваивается тот же регистрационный номер на новый срок действия аттестата аккредитации.

27. Орган по аккредитации заключает соглашение с аккредитованным поставщиком услуг на новый срок действия аттестата аккредитации.

28. Информация о продлении срока действия аттестата аккредитации вносится в реестр не позднее 15 дней после принятия решения об аккредитации.

ГЛАВА 5
ПОРЯДОК ВЫДАЧИ, ПРОДЛЕНИЕ СРОКА ДЕЙСТВИЯ, ПРИОСТАНОВЛЕНИЕ, ПРЕКРАЩЕНИЕ, ВОЗОБНОВЛЕНИЕ ДЕЙСТВИЯ АТТЕСТАТА АККРЕДИТАЦИИ

29. Выдача, продление срока действия, приостановление, прекращение, возобновление действия аттестата аккредитации осуществляются по результатам проведенной оценки заявителя (аккредитованного поставщика услуг) органом по аккредитации.

30. При положительном принятии решения об аккредитации орган по аккредитации в течение 15 рабочих дней со дня принятия такого решения выдает заявителю аттестат аккредитации по форме согласно приложению 5.

31. Аттестат аккредитации выдается сроком на 5 лет.

32. Внесение изменений и (или) дополнений в аттестат аккредитации осуществляется одним из следующих способов:

изложением аттестата аккредитации в новой редакции (при изменении наименования аккредитованного поставщика услуг и (или) его структурного подразделения, их местонахождения);

проставлением отметки о внесении изменений и (или) дополнений, продлении срока действия, приостановлении, прекращении, возобновлении действия аттестата аккредитации на оборотной стороне бланка аттестата аккредитации.

33. При наличии у одного поставщика услуг нескольких обособленных структурных подразделений, оказывающих услуги по распространению открытых ключей, аттестату аккредитации присваивается один регистрационный номер, на оборотной стороне бланка аттестата аккредитации приводится перечень аккредитованных поставщиков услуг.

34. В случае продления действия аттестата аккредитации на время проведения работ по подтверждению и продлению действия аккредитации на оборотной стороне бланка аттестата аккредитации проставляется отметка о сроке продления.

35. Аттестат аккредитации, а также отметки о продлении срока действия, приостановлении, прекращении, возобновлении, внесении изменений и (или) дополнений подписываются руководителем органа по аккредитации или его уполномоченным заместителем и скрепляются гербовой печатью органа по аккредитации.

36. Аттестат аккредитации выдается руководителю аккредитованного поставщика услуг или его уполномоченному представителю, который расписывается о его получении в журнале регистрации аттестатов аккредитации.

37. Одновременно с выдачей аттестата аккредитации заключается соглашение органа по аккредитации с аккредитованным поставщиком услуг по форме согласно приложению 6.

38. В органе по аккредитации хранятся копии выданных аттестатов аккредитации, заверенные в установленном порядке.

39. Информация о выдаче аттестата аккредитации по истечении срока его действия, при прекращении, приостановлении, возобновлении, продлении действия аккредитации, внесенных изменениях и (или) дополнениях в аттестат аккредитации вносится в реестр аккредитованных поставщиков услуг ГосСУОК.

40. Аккредитованный поставщик услуг обязан представить аттестат аккредитации в орган по аккредитации для внесения изменений и (или) дополнений не позднее 15 дней после получения выписки из протокола органа по аккредитации о принятом в отношении его решении. В случае непредставления аккредитованным поставщиком услуг в установленный срок аттестата аккредитации органом по аккредитации составляется акт с указанием причин непредставления.

ГЛАВА 6
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ УСЛОВИЙ АККРЕДИТАЦИИ

41. С даты принятия решения о выдаче аттестата аккредитации орган по аккредитации осуществляет контроль за деятельностью аккредитованного поставщика услуг в форме проверок, проводимых в соответствии с планом проверок, размещаемым на официальном сайте органа по аккредитации в глобальной компьютерной сети Интернет не позднее 20 декабря года, предшествующего году проведения проверки.

Без включения в план, указанный в части первой настоящего пункта, проверки аккредитованных поставщиков услуг могут назначаться руководителем органа по аккредитации при наличии сведений, в том числе полученных от государственного органа, иной организации или физического лица, свидетельствующих о совершаемом (совершенном) нарушении требований политики применения сертификатов и (или) регламента аккредитованного поставщика услуг, а также условий аккредитации и постаккредитационного соглашения.

42. Для проведения проверки решением руководителя органа по аккредитации назначается комиссия и определяется ее председатель.

43. Для проведения проверки разрабатывается план проверочных мероприятий, который утверждается руководителем органа по аккредитации или его уполномоченным заместителем.

44. Проверка аккредитованного поставщика услуг проводится в соответствии с порядком, установленным в главе 3 настоящей Инструкции. При проведении проверки председатель комиссии самостоятельно определяет методы и способы ее осуществления.

45. По результатам проверки оформляется отчет об оценке, в котором дается оценка состояния деятельности аккредитованного поставщика услуг, приводятся соответствующие выводы о соблюдении им политики применения сертификатов и регламента.

46. Один экземпляр отчета по результатам проверки, подписанный председателем комиссии, передается аккредитованному поставщику услуг.

47. Несоответствия, отмеченные в отчете, должны быть устранены аккредитованным поставщиком услуг в сроки, согласованные с председателем комиссии.

48. Аккредитованный поставщик услуг должен представить в орган по аккредитации отчет о выполнении запланированных корректирующих мероприятий.

49. Неустранение в согласованные сроки выявленных несоответствий является основанием для приостановления аккредитации.

 

 

Приложение 1

к Инструкции о порядке проведения
аккредитации поставщиков услуг
в Государственной системе
управления открытыми ключами
проверки электронной цифровой
подписи Республики Беларусь
и осуществления контроля
за соблюдением условий аккредитации
(в редакции приказа
Оперативно-аналитического
центра при Президенте
Республики Беларусь
20.02.2020 № 66)

ПЕРЕЧЕНЬ
условий, на соответствие которым осуществляется аккредитация поставщиков услуг в ГосСУОК

1. Поставщики услуг в ГосСУОК должны иметь лицензию на осуществление деятельности по технической и (или) криптографической защите информации, составляющими услугами которой являются:

удостоверение формы внешнего представления электронного документа на бумажном носителе и распространение открытых ключей проверки электронной цифровой подписи (для аккредитации в качестве УЦ);

распространение открытых ключей проверки электронной цифровой подписи (для аккредитации в качестве РЦ).

2. Аккредитация УЦ в ГосСУОК осуществляется на соответствие следующим условиям:

2.1. УЦ должен разработать политику применения сертификатов УЦ и регламент УЦ;

2.2. в политике применения сертификатов УЦ должны быть определены требования:

по управлению ключами (по выработке личного ключа подписи УЦ, хранению, резервному копированию и восстановлению личного ключа подписи УЦ, распространению открытых ключей УЦ, использованию личного ключа УЦ, действиям по окончании срока действия личного ключа УЦ, управлению средствами электронной цифровой подписи), используемыми для издания сертификатов открытых ключей;

по управлению сертификатами открытых ключей (по регистрации субъектов для получения сертификата открытого ключа, изданию, возобновлению действия и обновлению данных, распространению, отзыву и приостановке действия сертификатов открытых ключей), издаваемыми УЦ;

по организации функционирования и управления деятельностью УЦ;

2.3. для реализации услуг УЦ и обеспечения своей деятельности поставщики услуг, кроме выполнения требований по управлению деятельностью УЦ, определенных в политике применения сертификатов УЦ, должны использовать в УЦ следующие программные, программно-аппаратные и технические средства:

2.3.1. системное и прикладное программное обеспечение. При этом:

входящие в состав системного и прикладного программного обеспечения операционные системы, системы управления базами данных, программное обеспечение архивного хранения, программное обеспечение резервного копирования и при необходимости другое программное обеспечение должны быть приобретены в соответствии с законодательством (на основании лицензионного договора или быть свободно распространяемыми);

системное и прикладное программное обеспечение должно быть установлено, сконфигурировано и находиться в работоспособном состоянии;

2.3.2. средства УЦ, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). При этом:

указанные средства должны использовать аппаратный датчик случайных чисел (для генерации случайных чисел), а также обеспечивать невозможность доступа к криптографическим ключам в случае несанкционированного вскрытия корпуса;

настройка и выполнение функций указанных средств должны осуществляться путем подачи команд с автоматизированного рабочего места администратора этих средств. Взаимодействие средств УЦ с автоматизированным рабочим местом администратора должно осуществляться по надежному каналу передачи данных, который логически отличается от других информационных каналов и обеспечивает гарантированную идентификацию конечных сторон, а также защиту данных от модификации и раскрытия. Средства канального (линейного) шифрования между средствами УЦ и автоматизированным рабочим местом администратора должны иметь сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY);

2.3.3. средства канального (линейного) шифрования между УЦ и удаленным РЦ, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY);

2.3.4. технические средства обеспечения функционирования УЦ. При этом технические средства обеспечения работы программного комплекса УЦ должны быть исправны, корректно сконфигурированы, работоспособны и включать:

сервер (серверы) УЦ;

средства резервного копирования;

сервер (устройство) получения точного времени;

телекоммуникационное оборудование;

электронные вычислительные машины рабочих мест сотрудников УЦ;

устройства печати на бумажных носителях (принтеры).

При реализации УЦ услуги по регистрации субъектов должны быть дополнительно предусмотрены следующие технические средства:

сервер (серверы) или автоматизированное рабочее место РЦ;

устройства печати на бумажных носителях (принтеры);

средства обеспечения бесперебойной работы;

устройства подтверждения подлинности идентификационных документов.

Технические средства должны обеспечивать возможность непрерывной и бесперебойной работы программного обеспечения УЦ, а также производительность (скорость выполнения операций), достаточную для выполнения оператором любой прикладной задачи (услуги УЦ) в течение 30 минут;

2.4. система защиты информации информационной системы УЦ должна быть создана и аттестована по классам типовых информационных систем в порядке, установленном законодательством;

2.5. требования по обеспечению безопасности при монтаже, наладке, эксплуатации и обслуживании технических средств УЦ (защита от воздействий электрического тока, электромагнитных полей, акустических шумов и тому подобное) по допустимым уровням освещенности, вибрационных и шумовых нагрузок должны быть согласованы с требованиями документации на соответствующие виды оборудования;

2.6. серверы УЦ, серверы баз данных, серверы средств резервного копирования и телекоммуникационное оборудование поставщиков услуг должны размещаться в выделенном помещении;

2.7. требования по физическому доступу к компонентам УЦ:

физический доступ к компонентам УЦ должен быть защищен как минимум двумя уровнями доступа;

на каждом уровне доступа должна осуществляться проверка разрешения на доступ;

контроль доступа к программным компонентам УЦ должен осуществляться с использованием двухфакторной аутентификации, включая использование аппаратных носителей ключевой информации;

серверное и рабочие помещения УЦ должны быть оборудованы системами контроля доступа и видеонаблюдения;

охрана объекта, в котором размещены технические средства УЦ, должна быть обеспечена в соответствии с Указом Президента Республики Беларусь от 25 октября 2007 г. № 534 «О мерах по совершенствованию охранной деятельности»;

2.8. требования к электроснабжению:

технические средства УЦ в повседневном режиме должны быть подключены к электрической сети энергоснабжающей организации;

электрические сети и электрооборудование, используемые в УЦ, должны соответствовать требованиям законодательства, в том числе обязательным для соблюдения требованиям технических нормативных правовых актов;

серверы, телекоммуникационное оборудование и технические средства сотрудников УЦ должны быть подключены к источникам бесперебойного питания, обеспечивающим их работу в течение 30 минут после прекращения основного электроснабжения;

в случае прекращения подачи электрической энергии должно быть предусмотрено резервное электропитание технических средств УЦ;

источник резервного электропитания должен быть подключен к потребителям электропитания и обеспечивать автоматическую подачу необходимой электрической энергии в течение 30 минут после прекращения подачи электрической энергии от энергоснабжающей организации (источник резервного электропитания не требуется при наличии двух вводов в здание УЦ от различных подстанций);

2.9. серверное помещение УЦ должно быть оборудовано двумя установками кондиционирования воздуха. Данные установки должны управляться автоматизированной системой и обеспечивать постоянный температурно-влажностный режим, определенный эксплуатационной документацией на технические средства УЦ;

2.10. серверное помещение УЦ должно быть оборудовано системами пожарной сигнализации, автоматического газопожаротушения, газоудаления и противопожарной дверью с огнестойкостью не менее одного часа;

2.11. пожарная безопасность помещений УЦ должна обеспечиваться в соответствии с требованиями законодательства, в том числе обязательными для соблюдения требованиями технических нормативных правовых актов.

3. Аккредитация РЦ в ГосСУОК осуществляется на соответствие следующим условиям:

3.1. РЦ должен присоединиться к соответствующей политике применения сертификатов УЦ и выполнять ее в части оказания услуг по регистрации субъектов УЦ;

3.2. для реализации услуг РЦ и обеспечения своей деятельности, кроме выполнения требований по управлению деятельностью РЦ, определенных в политике применения сертификатов УЦ, в РЦ должны использоваться следующие программные, программно-аппаратные и технические средства:

3.2.1. системное и прикладное программное обеспечение. При этом:

входящие в состав системного и прикладного программного обеспечения операционные системы, системы управления базами данных, программное обеспечение архивного хранения, программное обеспечение резервного копирования и при необходимости другое программное обеспечение должны быть приобретены в соответствии с законодательством (на основании лицензионного договора или быть свободно распространяемыми);

системное и прикладное программное обеспечение должно быть установлено, сконфигурировано и находиться в работоспособном состоянии;

3.2.2. средства РЦ, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY);

3.2.3. средства канального (линейного) шифрования между удаленным РЦ и УЦ, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY);

3.2.4. технические средства обеспечения функционирования РЦ. При этом технические средства обеспечения работы программного комплекса РЦ должны быть исправны, корректно сконфигурированы, работоспособны и включать:

электронные вычислительные машины рабочих мест сотрудников РЦ;

устройства печати на бумажных носителях (принтеры);

устройства подтверждения подлинности идентификационных документов (за исключением РЦ, реализующих функции по достоверному подтверждению полномочий, предоставленных физическому лицу от имени организации или другого физического лица);

телекоммуникационное оборудование;

средства обеспечения бесперебойной работы.

Технические средства обеспечения программного комплекса РЦ могут включать серверы баз данных и (или) серверы архивного хранения электронных документов.

Технические средства должны обеспечивать производительность (скорость выполнения операций), достаточную для выполнения оператором любой прикладной задачи (услуги РЦ), а также непрерывную и бесперебойную работу в ходе выполнения этой прикладной задачи.

Программные, программно-аппаратные и технические средства РЦ должны быть протестированы на предмет корректного взаимодействия с УЦ, в интересах которого РЦ будут оказываться услуги;

3.3. система защиты информации информационной системы РЦ должна быть создана и аттестована по классам типовых информационных систем в порядке, установленном законодательством, с учетом требований к организации взаимодействия информационных систем;

3.4. требования по обеспечению безопасности при монтаже, наладке, эксплуатации и обслуживании технических средств РЦ (защита от воздействий электрического тока, электромагнитных полей, акустических шумов и тому подобное) по допустимым уровням освещенности, вибрационных и шумовых нагрузок должны соответствовать документации на соответствующие виды оборудования;

3.5. электронные вычислительные машины рабочих мест сотрудников РЦ и телекоммуникационное оборудование РЦ должны размещаться в выделенном помещении. В случае невозможности выделения такого помещения, а также организации дополнительных переносных рабочих мест сотрудников РЦ для реализации его функций при выезде к заявителю должна обеспечиваться защита технических средств от несанкционированного изменения их конфигурации и несанкционированного доступа к интерфейсным портам этих средств. В таких случаях должно быть обеспечено применение программных, программно-аппаратных средств защиты от несанкционированного доступа, саморазрушающихся наклеек, стикеров, а также хранение технических средств в опечатываемых коммутационных шкафах;

3.6. требования по физическому доступу к компонентам РЦ:

физический доступ к компонентам РЦ должен быть защищен как минимум двумя уровнями доступа;

на каждом уровне доступа должна осуществляться проверка разрешения на доступ;

контроль доступа к программным компонентам РЦ должен осуществляться с использованием двухфакторной аутентификации, включая использование аппаратных носителей ключевой информации;

рабочие места РЦ, как правило, должны быть оборудованы системами видеонаблюдения;

охрана объекта, в котором размещены технические средства РЦ, должна быть обеспечена в соответствии с Указом Президента Республики Беларусь от 25 октября 2007 г. № 534;

3.7. требования по электроснабжению:

технические средства РЦ в повседневном режиме должны быть подключены к электрической сети энергоснабжающей организации;

электрические сети и электрооборудование, используемые в РЦ, должны соответствовать требованиям законодательства, в том числе обязательным для соблюдения требованиям технических нормативных правовых актов;

телекоммуникационное оборудование и технические средства сотрудников РЦ должны быть подключены к источникам бесперебойного питания, обеспечивающим их работу в течение времени, достаточного для выполнения оператором любой прикладной задачи (услуги РЦ);

3.8. пожарная безопасность помещений РЦ должна обеспечиваться в соответствии с требованиями законодательства, в том числе обязательными для соблюдения требованиями технических нормативных правовых актов.

 


 

 

Приложение 2

к Инструкции о порядке проведения
аккредитации поставщиков услуг
в Государственной системе
управления открытыми ключами
проверки электронной цифровой
подписи Республики Беларусь
и осуществления контроля за
соблюдением условий аккредитации

 

Форма

ЗАЯВКА
на проведение аккредитации
в Государственной системе управления открытыми ключами
проверки электронной цифровой подписи Республики Беларусь

______________________________________________________________________________

(наименование заявителя, регистрационный номер в Едином государственном регистре юридических лиц

______________________________________________________________________________

и индивидуальных предпринимателей или учетный номер плательщика, местонахождение)

просит провести аккредитацию в качестве удостоверяющего и (или) регистрационного центра в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

Необходимые документы по аккредитации прилагаются.

Заявитель готов предоставить условия для проведения аккредитации и необходимые документы.

Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аккредитации.

 

Приложение:

 

Руководитель организации

_________________

_________________________

 

(подпись)

(инициалы, фамилия)

__.__.20__

 

 

 

 

 

Главный бухгалтер

_________________

_________________________

 

(подпись)

(инициалы, фамилия)

__. __.20__

 

 

 


 

 

Приложение 3

к Инструкции о порядке проведения
аккредитации поставщиков услуг
в Государственной системе
управления открытыми ключами
проверки электронной цифровой
подписи Республики Беларусь
и осуществления контроля
за соблюдением условий аккредитации
(в редакции приказа
Оперативно-аналитического
центра при Президенте
Республики Беларусь
20.02.2020 № 66)

ПЕРЕЧЕНЬ
документов, представляемых поставщиком услуг при аккредитации в ГосСУОК

1. Копии учредительного документа, положения о структурном подразделении, которое будет выполнять функции поставщика услуг.

2. Для аккредитации в качестве УЦ заявитель, кроме документов, перечисленных в пункте 1 настоящего приложения, представляет:

документ с указанием сведений о реквизитах сертификатов соответствия Национальной системы подтверждения соответствия Республики Беларусь в отношении используемых средств УЦ, средств канального (линейного) шифрования;

копию аттестата соответствия требованиям по защите информации системы защиты информации информационной системы УЦ, выданного в соответствии с законодательством, а также копию технического задания на создание системы защиты информации данной информационной системы либо сведения о представлении указанного технического задания в орган по аккредитации;

документы, взаимосвязанные с политикой применения сертификатов и регламентом УЦ (стандарты организации, документированные процедуры, рабочие инструкции), либо их копии;

документы, содержащие информацию об инфраструктуре поставщика услуг (здания, помещения, оборудование, технические средства и другое) и о компетентности персонала (список сотрудников, копии документов о высшем образовании в области защиты информации либо высшем, или среднем специальном, или профессионально-техническом образовании и переподготовке или повышении квалификации по вопросам технической и криптографической защиты информации);

документы, содержащие информацию об обеспечении пожарной безопасности, охраны и контроля доступа в помещения УЦ, обеспечении гарантированным непрерывным электроснабжением технических средств УЦ.

3. Для аккредитации в качестве РЦ заявитель, кроме документов, перечисленных в пункте 1 настоящего приложения, представляет:

копию регламента работы РЦ заявителя;

документ с указанием сведений о реквизитах сертификатов соответствия Национальной системы подтверждения соответствия Республики Беларусь в отношении используемых средств РЦ, средств канального (линейного) шифрования;

копию аттестата соответствия требованиям по защите информации системы защиты информации информационной системы РЦ, выданного в соответствии с законодательством, а также копию технического задания на создание системы защиты информации данной информационной системы либо сведения о представлении указанного технического задания в орган по аккредитации;

документы (акты либо протоколы тестирования, утвержденные руководителями организаций), подтверждающие положительные результаты тестирования программных, программно-аппаратных и технических средств РЦ на предмет корректного взаимодействия с УЦ;

документы, взаимосвязанные с политикой (политиками) применения сертификатов УЦ, к которой (которым) присоединяется РЦ, и с регламентом работы РЦ (стандарты организации, документированные процедуры, рабочие инструкции), либо их копии;

документы, содержащие информацию об инфраструктуре поставщика услуг (здания, помещения, оборудование, технические средства и другое) и о компетентности персонала (список сотрудников, копии документов о высшем образовании в области защиты информации либо высшем, или среднем специальном, или профессионально-техническом образовании и переподготовке или повышении квалификации по вопросам технической и криптографической защиты информации);

документы, содержащие информацию об обеспечении пожарной безопасности, охраны и контроля доступа в помещения РЦ, обеспечении гарантированным непрерывным электроснабжением технических средств РЦ.

 


 

 

Приложение 4

к Инструкции о порядке проведения
аккредитации поставщиков услуг
в Государственной системе
управления открытыми ключами
проверки электронной цифровой
подписи Республики Беларусь
и осуществления контроля за
соблюдением условий аккредитации
(в редакции приказа
Оперативно-аналитического
центра при Президенте
Республики Беларусь
30.04.2015 № 48)

 

РЕШЕНИЕ
по заявке на проведение аккредитации

от «___» ________ 20____ г. № _________

 

В Оперативно-аналитическом центре при Президенте Республики Беларусь рассмотрена заявка __________________________________________________________

(наименование заявителя)

на проведение аккредитации ___________________________________________________

(наименование удостоверяющего (регистрационного) центра)

в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

На основании положительного решения по рассмотрению заявки сообщаем, что:

1. Аккредитация будет проведена на соответствие условиям аккредитации согласно требованиям Инструкции о порядке проведения аккредитации поставщиков услуг в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь и осуществления контроля за соблюдением условий аккредитации, утвержденной приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 29 ноября 2013 г. № 89.

2. Оценка на соответствие условиям аккредитации будет проведена по месту нахождения заявителя ________________________________________________________

(область, район, город)

___________________________________________________________________________

(улица, номер дома, номер помещения)

3. Аккредитация будет проводиться на договорной основе.

 

________________________

 

________________

 

_______________________

(должность)

 

(подпись)

 

(инициалы, фамилия)

 

 

М.П.

 

 

 

 

 

 

 

Приложение 5

к Инструкции о порядке проведения
аккредитации поставщиков услуг
в Государственной системе
управления открытыми ключами
проверки электронной цифровой
подписи Республики Беларусь
и осуществления контроля за
соблюдением условий аккредитации
(в редакции приказа
Оперативно-аналитического
центра при Президенте
Республики Беларусь
30.04.2015 № 48)

 

Форма

АТТЕСТАТ АККРЕДИТАЦИИ
CERTIFICATE OF ACCREDITATION

Регистрационный номер ___________________________________________________

(номер в реестре органа по аккредитации)

от __________________________________________________________ подтверждает, что

(дата принятия решения о предоставлении аккредитации)

______________________________________________________________________________

(наименование аккредитованного структурного подразделения)

______________________________________________________________________________

(местонахождение аккредитованного структурного подразделения)

______________________________________________________________________________

(наименование юридического лица, которому выдается аттестат аккредитации)

______________________________________________________________________________

(местонахождение юридического лица, которому выдается аттестат аккредитации)

аккредитован в качестве ________________________________________________________

(удостоверяющего/регистрационного центра)

в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

 

Срок действия

аттестата аккредитации: с ________________ по __________________

 

_________________________

 

_______________________

 

(населенный пункт, в котором произведена выдача аттестата)

 

(дата выдачи аттестата аккредитации)

 

 

Руководитель
органа по аккредитации

 

__________________

 

_______________________

 

 

(подпись)

 

(инициалы, фамилия)

 

 

М.П.

 

 

 

 

 

Приложение 6

к Инструкции о порядке проведения
аккредитации поставщиков услуг
в Государственной системе
управления открытыми ключами
проверки электронной цифровой
подписи Республики Беларусь
и осуществления контроля за
соблюдением условий аккредитации
(в редакции приказа
Оперативно-аналитического
центра при Президенте
Республики Беларусь
30.04.2015 № 48)

 

ГОСУДАРСТВЕННАЯ СИСТЕМА
УПРАВЛЕНИЯ ОТКРЫТЫМИ КЛЮЧАМИ
ПРОВЕРКИ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
РЕСПУБЛИКИ БЕЛАРУСЬ

СОГЛАШЕНИЕ № ___
с аккредитованным поставщиком услуг

 

Срок действия
с __.__.20__ по __.__.20__

 

Оперативно-аналитический центр при Президенте Республики Беларусь, в дальнейшем именуемый «орган по аккредитации», в лице ___________________________

(должность, фамилия и инициалы)

с одной стороны и ____________________________________________________________,

(наименование заявителя)

в дальнейшем именуемый(ое) «аккредитованный поставщик услуг», в лице руководителя _____________________________________________________ с другой стороны, вместе

(должность, фамилия и инициалы)

именуемые «стороны», заключили настоящее соглашение о нижеследующем:

1. Орган по аккредитации имеет право:

1.1. проводить контроль за соблюдением условий аккредитации в форме проверок, осуществляемых в сроки, установленные планом проверок, размещаемым на официальном сайте органа по аккредитации в глобальной компьютерной сети Интернет, либо в иные сроки, при наличии сведений, свидетельствующих о совершаемом (совершенном) нарушении требований политики применения сертификатов открытых ключей и (или) регламента удостоверяющего (регистрационного) центра;

1.2. оказывать консультативную и методическую помощь аккредитованному поставщику услуг по вопросам соблюдения условий аккредитации.

2. Орган по аккредитации обязуется информировать аккредитованного поставщика услуг об изменениях требований к условиям аккредитации путем размещения информации об изменениях на официальном сайте органа по аккредитации в глобальной компьютерной сети Интернет или иным способом, установленным законодательством.

3. Аккредитованный поставщик услуг имеет право:

3.1. подавать в орган по аккредитации заявление о выдаче, продлении срока действия, приостановлении, прекращении, возобновлении действия аттестата аккредитации;

3.2. вносить на рассмотрение органа по аккредитации предложения по совершенствованию правовых актов, регулирующих создание и поддержание единого пространства доверия к сертификатам открытых ключей, а также функционирование Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь;

3.3. принимать участие в работе экспертных комиссий по урегулированию споров, связанных с использованием электронной цифровой подписи (далее – ЭЦП);

3.4. обращаться в орган по аккредитации по вопросам урегулирования споров, связанных с применением электронных документов и ЭЦП.

4. Аккредитованный поставщик услуг обязуется:

4.1. на основании аттестата аккредитации от ___. ___.20__ № _____ оказывать услуги по распространению открытых ключей проверки ЭЦП в качестве удостоверяющего центра (регистрационного центра);

4.2. выполнять функции и обязанности удостоверяющего центра (регистрационного центра), определенные Положением о Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь, утвержденным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 10 декабря 2015 г. № 118;

4.3. осуществлять управление открытыми ключами в соответствии с политикой применения сертификатов открытых ключей, согласованной с органом по аккредитации;

4.4. обеспечивать беспрепятственный доступ на территорию аккредитованного поставщика услуг, а также физический доступ к оборудованию, используемому для изготовления и отзыва сертификатов открытых ключей, представителям органа по аккредитации, осуществляющим контроль за соблюдением условий аккредитации, и создавать им все условия, необходимые для его проведения;

4.5. оплачивать все расходы, связанные с осуществлением контроля за соблюдением условий аккредитации;

4.6. информировать орган по аккредитации:

незамедлительно – в случае компрометации личного ключа удостоверяющего центра (регистратора);

в течение суток – о случаях возникновения нештатных ситуаций или об изменении условий эксплуатации удостоверяющего (регистрационного) центра;

не позднее чем за трое суток – о планируемых изменениях условий эксплуатации удостоверяющего (регистрационного) центра;

4.7. вести учет нарушений порядка оказания услуг подписчикам (субъектам), с которыми заключены гражданско-правовые договоры, и информировать о них орган по аккредитации в течение пяти рабочих дней с момента их возникновения.

5. За неисполнение или ненадлежащее исполнение условий аккредитации аккредитованный поставщик услуг несет ответственность в порядке и размере, определяемых законодательством.

6. Во всем, что не урегулировано настоящим соглашением, стороны руководствуются законодательством.

7. Настоящее соглашение составлено в двух экземплярах, один из которых находится в органе по аккредитации, другой – у аккредитованного поставщика услуг.

8. Соглашение вступает в силу с момента его подписания обеими сторонами.

 

Руководитель
органа по аккредитации

 

Руководитель аккредитованного
поставщика услуг

_______________

 

________________

 

_______________

 

________________

(подпись)

 

(инициалы, фамилия)

 

(подпись)

 

(инициалы, фамилия)

__. __.20__

 

__. __.20__

М.П.

 

 

 

 

Здравствуйте, данный браузер не поддерживается нашей системой, для продолжения работы воспользуйтесь другим браузером.