Основные принципы формирования системы удостоверяющих центров российской федерации (суцрф) — страница 10

обеспечения: -проектирования, -внедрения, -эксплуатации Федерального Мостового Удостоверяющего Центра Технологическая служба действует на основании: Политики сертификатов (Certificate Policy) Федерального МУЦ Регламента Сертификатов (Certificate Practice Statement) Федерального МУЦ, разрабатываемых Центром Управления политиками на основании рекомендаций Координационного Комитета. Обеспечение информационной безопасности в УЦ Основными

задачами по обеспечению информационной безопасности УЦ являются: - защита конфиденциальной информации (ключевая информация СКЗИ, личная информация, охраняемая в соответствии с действующим законодательством, закрытые ключи УЦ, парольная информация и информация аудита и т.п.) при ее хранении, обработке и передаче; - контроль целостности конфиденциальной и открытой информации (информация о владельцах, входящая в состав

сертификатов, информация об отозванных сертификатах, свободно распространяемые программные компоненты (и документация к ним) и т.п.); - контроль целостности программных и аппаратных компонент комплекса; - обеспечение безотказной работы. Комплекс мер и средств защиты информации в УЦ должен включать в себя следующие подсистемы: - подсистема криптографической защиты информации, включающая в себя программные и/или

программно-аппаратные СКЗИ; - подсистема защиты информации от несанкционированного доступа (НСД), включающая в себя программные и/или программно-аппаратные средства аутентификации, разграничения доступа, межсетевые экраны; - подсистема активного аудита информационной безопасности УЦ; - подсистема обнаружения вторжений (IDS); - подсистема резервного копирования и архивирования данных; - подсистема обеспечения целостности

информации, программных и аппаратных компонент комплекса, в том числе криптографическими методами; - подсистема обеспечения безотказной работы комплекса, включающая в себя антивирусные средства; - подсистема защиты оборудования комплекса от утечки информации по техническим и побочным каналам; - подсистема обеспечения защиты информации от НСД режимными и организационно-техническими мерами. Ключевым аспектом решения

проблемы безопасности государственных удостоверяющих центров является выработка системы требований (для коммерческих УЦ - рекомендаций), критериев и показателей для оценки уровня их безопасности. Исходя из этих требований будут выбираться те или иные средства защиты информации. За выбор и обоснование таких требований отвечает УФО. К этой работе привлекаются также Гостехкомиссия и ФСБ. Такие требования (рекомендации) могут