ԵՎՐԱՍԻԱԿԱՆ ՏՆՏԵՍԱԿԱՆ ՀԱՆՁՆԱԺՈՂՈՎ
ԽՈՐՀՈՒՐԴ
Ո Ր Ո Շ ՈՒ Մ
|
5 դեկտեմբերի 2018 թվականի |
թիվ 96 |
քաղ. Սանկտ Պետերբուրգ |
ՎՍՏԱՀՈՒԹՅԱՆ ԱՆԴՐՍԱՀՄԱՆԱՅԻՆ ՏԱՐԱԾՔԻ ՍՏԵՂԾՄԱՆԸ, ԶԱՐԳԱՑՄԱՆԸ ԵՎ ԳՈՐԾՈՒՆԵՈՒԹՅԱՆԸ ՆԵՐԿԱՅԱՑՎՈՂ ՊԱՀԱՆՋՆԵՐԻ ՄԱՍԻՆ
«Եվրասիական տնտեսական միության շրջանակներում տեղեկատվական հաղորդակցական տեխնոլոգիաների և տեղեկատվական փոխգործակցության մասին» արձանագրության («Եվրասիական տնտեսական միության մասին» 2014 թվականի մայիսի 29-ի պայմանագրի թիվ 3 հավելված) 18-րդ կետի իրականացման նպատակներով` Եվրասիական տնտեսական հանձնաժողովի խորհուրդը որոշեց.
1. Հաստատել կցվող՝
Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջները.
Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջներին էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների համապատասխանության ստուգման հարցերով հանձնաժողովի մասին հիմնադրույթը:
2. Դիմել Եվրասիական տնտեսական միության անդամ պետություններին` սույն որոշումն ուժի մեջ մտնելուց հետո՝ մեկամսյա ժամկետում, Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջներին էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների համապատասխանության ստուգման հարցերով հանձնաժողովի կազմում ընդգրկելու համար լիազորված մարմինների և կազմակերպությունների ղեկավարների տեղակալների (կամ համապատասխան ինքնուրույն ստորաբաժանումների պետերի կամ նրանց տեղակալների) մակարդակով թեկնածությունները Եվրասիական տնտեսական հանձնաժողով ներկայացնելու խնդրանքով:
3. Սույն որոշումն ուժի մեջ է մտնում դրա պաշտոնական հրապարակման օրվանից 30 օրացուցային օրը լրանալուց հետո:
Եվրասիական տնտեսական հանձնաժողովի խորհրդի անդամներ՝
|
Հայաստանի Հանրապետությունից` |
Բելառուսի Հանրապետությունից` |
Ղազախստանի Հանրապետությունից` |
Ղրղզստանի Հանրապետությունից` |
Ռուսաստանի Դաշնությունից` |
|
|
|
|
|
|
|
Մ. Գրիգորյան |
Ի. Պետրիշենկո |
Ա. Մամին |
Ժ. Ռազակով |
Ա. Սիլուանով |
|
ՀԱՍՏԱՏՎԱԾ ԵՆ Եվրասիական տնտեսականհանձնաժողովի խորհրդի 2018 թվականի դեկտեմբերի 5-ի թիվ 96 որոշմամբ |
I. Ընդհանուր դրույթներ
1. Սույն պահանջները մշակվել են «Եվրասիական տնտեսական միության շրջանակներում տեղեկատվական հաղորդակցական տեխնոլոգիաների և տեղեկատվական փոխգործակցության մասին» արձանագրության («Եվրասիական տնտեսական միության մասին» 2014 թվականի մայիսի 29-ի պայմանագրի թիվ 3 հավելված) 18-րդ կետին համապատասխան և սահմանում են Եվրասիական տնտեսական միության (այսուհետ՝ Միություն) շրջանակներում վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջները:
2. Սույն պահանջների նպատակը Միության անդամ պետությունների (այսուհետ՝ անդամ պետություններ) պետական իշխանության մարմինների միջև՝ միմյանց և Եվրասիական տնտեսական հանձնաժողովի հետ (այսուհետ՝ Հանձնաժողով) տվյալների և էլեկտրոնային փաստաթղթերի միջպետական փոխանակման ժամանակ վստահության, ինչպես նաև Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտների կողմից տվյալ պահանջների կիրառման արդյունքում վստահության անդրսահմանային տարածքի գործունեության պաշտպանվածության և հուսալիության փոխընդունելի մակարդակի ապահովումն է:
3. Վստահության անդրսահմանային տարածքի տարրերի նկատմամբ պահանջները սահմանում են տվյալների և էլեկտրոնային փաստաթղթերի միջպետական փոխանակման ժամանակ վստահության ապահովման իրավական, կազմակերպչական և տեխնիկական պայմանները, այդ թվում` ընդգրկում են տեղեկատվության պաշտպանության հարցերը:
4. Վստահության անդրսահմանային տարածքի տարրերի նկատմամբ պահանջները որոշվում են այդ տարրերի համար արդիական՝ տեղեկատվության անվտանգության սպառնալիքներին և խախտում կատարողի գործողություններին համապատասխան:
5. Սույն պահանջները չեն տարածվում որևէ ծառայության, տարրի և բաղադրիչի վրա, որն օգտագործվում է բացառապես տվյալների և էլեկտրոնային փաստաթղթերի ներպետական փոխանակման նպատակներով:
6. Սույն պահանջների նպատակների համար օգտագործվում են հասկացություններ, որոնք ունեն հետևյալ իմաստը՝
կրիպտոգրաֆիկ ստանդարտ՝ տեխնիկական այն մասնագրերի ամբողջությունը, որոնք սահմանում են կրիպտոգրաֆիկ բանալու օգտագործմամբ տեղեկատվության փոխակերպման (կրիպտոգրաֆիկ փոխակերպում), այդ թվում՝ ԷԹՍ-ի ձևավորման և ստուգման կանոններն ու ալգորիթմները.
միջպետական հանձնաժողով՝ լիազորված մարմինների և Հանձնաժողովի ներկայացուցիչներից կազմված հանձնաժողով, որն իրականացնում է սույն պահանջներին էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների համապատասխանության ստուգում.
էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածք՝ Միության շրջանակներում օգտագործվող էլեկտրոնային փաստաթղթերին իրավաբանական ուժ տալու նպատակներով իրականացվող տեղեկատվական-տեխնոլոգիական և կազմակերպաիրավական միջոցառումների, կանոնների ու որոշումների ամբողջություն.
էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորներ՝ Հանձնաժողով կամ լիազորված մարմիններ կամ անդամ պետությունների օրենսդրությանը համապատասխան դրանց կողմից սահմանված կազմակերպություններ, որոնք սույն պահանջներին համապատասխան վստահության անդրսահմանային տարածքի շրջանակներում մատուցում են ծառայություններ և իրականացնում են գործառույթներ.
Էլեկտրոնային եղանակով տեղեկատվության փոխանակման ընդհանուր ենթակառուցվածքի տարրի ստուգում՝ համալիր միջոցառումներ, որոնց ընթացքում փաստաթղթորեն հաստատվում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական կամ ինտեգրացիոն բաղադրիչի կազմի մեջ մտնող տարրի, ինչպես նաև այդպիսի տարրի նկատմամբ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչի օպերատորի կողմից իրագործվող՝ տեղեկատվության պաշտպանության միջոցների և եղանակների համապատասխանությունը սույն պահանջներին:
ԷԹՍ-ի ստուգման բանալու հավաստագիր՝ հավաստագրման կենտրոնի կողմից թողարկված, ԷԹՍ բանալու օգտագործմամբ հավաստագրման կենտրոնի ԷԹՍ-ով ստորագրված և հավաստագրում նշված ԷԹՍ ստուգման բանալու՝ էլեկտրոնային փաստաթղթերի փոխանակման կոնկրետ մասնակցի պատկանելությունը հաստատող տեղեկատվություն և համապատասխան կրիպտոգրաֆիկ ստանդարտներով և սույն պահանջներով նախատեսված այլ տեղեկատվություն պարունակող էլեկտրոնային փաստաթուղթ.
վստահված երրորդ կողմի ծառայութուն՝ վստահված երրորդ կողմի այն ծառայությունների ամբողջություն, որոնք գործում են Հանձնաժողովի ինտեգրացիոն հատվածի և Միության ինտեգրացված տեղեկատվական համակարգի ազգային հատվածների կազմում, որոնք ԷԹՍ վստահության անդրսահմանային միասնական տարածքն են ապահովում՝ Միության ինտեգրացված տեղեկատվական համակարգերի միջոցներով սուբյեկտների էլեկտրոնային եղանակով փոխգործակցության դեպքում.
վստահված երրորդ կողմի միջոցներ՝ վստահված երրորդ կողմի գործառույթների իրականացման համար օգտագործվող ծրագրային և (կամ) ապարատային միջոցներ.
հավաստագրման կենտրոնի միջոցներ՝ հավաստագրման կենտրոնի գործառույթների իրականացման համար օգտագործվող ծրագրային և (կամ) ապարատային միջոցներ.
ԷԹՍ միջոցներ՝ կրիպտոգրաֆիկ միջոցներ, որոնք օգտագործվում են հետևյալ գործառույթներից առնվազն մեկի իրականացման համար՝ ԷԹՍ-ի ստեղծում, ԷԹՍ-ի ստուգում, ԷԹՍ բանալու ստեղծում և ԷԹՍ ստուգման բանալու ստեղծում.
հավաստագրման կենտրոն՝ լիազորված մարմին կամ կազմակերպություն, որը, Հանձնաժողովի ակտերին, անդամ պետությունների օրենսդրությանը համապատասխան, ապահովում է ԷԹՍ-ի ստուգման և հավաստագրերի վավերականության ստուգման բանալիների հավաստագրերի թողարկման, տարածման, պահպանման ծառայությունների տրամադրումը.
Հանձնաժողովի հավաստագրման կենտրոն՝ հավաստագրման կենտրոն, որը նախատեսված է Հանձնաժողովի կոլեգիայի անդամներին, Հանձնաժողովի պաշտոնատար անձանց և աշխատակիցներին ԷԹՍ-ի ստուգման բանալիների հավաստագրերով ապահովելու համար.
վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոն՝ հավաստագրման կենտրոն, որը նախատեսված է Միության ինտեգրացված տեղեկատվական համակարգի ինտեգրացիոն և ազգային հատվածների լիազորված վստահված երրորդ կողմերին ԷԹՍ-ի ստուգման բանալիների հավաստագրերով ապահովելու համար.
լիազորված մարմին՝ անդամ պետության պետական իշխանության մարմին կամ դրա կողմից սահմանված կազմակերպություն, որն օժտված է առանձին ոլորտներում պետական քաղաքականություն իրականացնելու լիազորություններով.
ժամանակի դրոշմ՝ էլեկտրոնային փաստաթղթի վավերապայման, որը հավաստում է էլեկտրոնային փաստաթղթի ստեղծման ամսաթիվը և ժամը.
էլեկտրոնային թվային ստորագրություն (էլեկտրոնային ստորագրություն), ԷԹՍ՝ էլեկտրոնային տեսքով տեղեկատվություն, որն էլեկտրոնային տեսքով կցված է այլ տեղեկատվության կամ այլ կերպ կապված է այդ տեղեկատվության հետ, ծառայում է այդ տեղեկատվության ամբողջականությունը և իսկությունը հսկելու համար, ապահովում է հեղինակությունից հրաժարվելու անհնարինությունը, մշակվում է տվյալ տեղեկատվության նկատմամբ փակ (անձնական) բանալու (ԷԹՍ բանալու) օգտագործմամբ կրիպտոգրաֆիկ փոխակերպում կիրառելու միջոցով և ստուգվում է բաց բանալու (ԷԹՍ-ի ստուգման բանալու) օգտագործմամբ:
II. Վստահության անդրսահմանային տարածքի ստեղծումը, զարգացումը և գործունեությունը
7. Վստահության անդրսահմանային տարածքի ստեղծումը, զարգացումը և գործունեությունն ապահովվում են Հանձնաժողովի և լիազորված մարմինների կողմից՝ Եվրասիական տնտեսական հանձնաժողովի խորհրդի 2014 թվականի սեպտեմբերի 18-ի թիվ 73 որոշմամբ հաստատված՝ «Միջպետական տեղեկատվական փոխգործակցության ժամանակ ծառայությունների և իրավաբանական ուժ ունեցող էլեկտրոնային փաստաթղթերի օգտագործման» հայեցակարգին, Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2016 թվականի սեպտեմբերի 27-ի թիվ 105 որոշմամբ հաստատված՝ Վստահության անդրսահմանային տարածքի զարգացման ռազմավարությանը, Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 թվականի սեպտեմբերի 28-ի թիվ 125 որոշմամբ հաստատված՝ «Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթին, ինչպես նաև Հանձնաժողովի՝ վստահության անդրսահմանային տարածքի ստեղծման, զարգացման և գործունեության հետ կապված հարցերի մասով այլ ակտերին համապատասխան:
8. էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների կազմի մեջ մտնող տարրերի՝ սույն պահանջներին համապատասխանության վերաբերյալ տեղեկությունները (այդ թվում ՝ այդ տարրերի օպերատորների մասին տեղեկությունները) ներառվում են միջպետական հանձնաժողովի եզրակացության հիման վրա հաստատվող՝ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման տեղեկատվության ընդհանուր ենթակառուցվածքի տարրերի ցանկում:
9. Վստահության անդրսահմանային տարածքի զարգացման և գործունեության նկատմամբ հսկողության ապահովման նպատակով Միության ինտեգրացված տեղեկատվական համակարգի (այսուհետ՝ ինտեգրացված համակարգ) անդամ պետությունների ազգային հատվածների շրջանակներում անդամ պետությունների կողմից սահմանվում են լիազորված մարմիններ՝ վստահության անդրսահմանային տարածքի ապահովման իրավական, կազմակերպչական, տեխնիկական պայմաններին ներկայացվող, այդ թվում՝ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների տեղեկատվության պաշտպանությանը վերաբերող պահանջների կատարման նկատմամբ հսկողություն իրականացնելու համար:
10. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքը բաղկացած է պետական բաղադրիչներից և ինտեգրացիոն բաղադրիչից։
11. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի ինտեգրացիոն բաղադրիչի օպերատորը Հանձնաժողովն է։
12. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների օպերատորները լիազորված մարմիններն են:
13. Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտներ են պետական մարմինները, ֆիզիկական կամ իրավաբանական անձինք, որոնք փոխգործակցում են էլեկտրոնային փաստաթղթերը և էլեկտրոնային տեսքով տեղեկատվությունը կազմելու, ուղարկելու, փոխանցելու, ստանալու, պահպանելու և օգտագործելու ընթացքում ծագող հարաբերությունների շրջանակներում:
14. Միության շրջանակներում էլեկտրոնային փոխգործակցության դեպքում էլեկտրոնային փոխգործակցության սուբյեկտների միջև վստահությունն ապահովվում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների կողմից, որոնք իրականացնում են գործառույթներ և տրամադրում ծառայություններ սույն պահանջներին համապատասխան վստահության անդրսահմանային տարածքի շրջանակներում:
15. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների և ինտեգրացիոն բաղադրիչի կազմի մեջ մտնող՝ վստահության անդրսահմանային տարածքի տարրերը պետք է համապատասխանեն նկարագրությանը՝ համաձայն թիվ 1 հավելվածի:
16. Վստահության անդրսահմանային տարածքի տարրերը շահագործվում են էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների կողմից՝ սույն պահանջներին համապատասխան վստահության անդրսահմանային տարածքի շրջանակներում ծառայություններ տրամադրելու և գործառույթներ իրականացնելու համար:
17. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորը կարող է ապահովել վստահության անդրսահմանային տարածքի մի քանի տարրերի շահագործումը:
18. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորները պատասխանատու են էլեկտրոնային փոխգործակցության սուբյեկտներին հետևյալի արդյունքում պատճառված վնասի համար՝
ա) սույն պահանջներով նախատեսված պարտավորությունների չկատարում կամ ոչ պատշաճ կատարում.
բ) այն անդամ պետության օրենսդրությամբ նախատեսված պարտավորությունների չկատարում կամ ոչ պատշաճ կատարում, որի պետական բաղադրիչի մեջ դրանք մտնում են:
19. Հանձնաժողովը և անդամ պետությունները սահմանում են համաձայնեցված պահանջներ՝ սույն պահանջներն էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների գործունեության մասով խախտելու համար պատասխանատվության նկատմամբ:
20. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի տարրերի ստուգումն իրականացվում է Եվրասիական տնտեսական հանձնաժողովի խորհրդի 2018 թվականի դեկտեմբերի 5-ի թիվ 96 որոշմամբ հաստատված՝ Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջներին էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների համապատասխանության ստուգման հարցերով հանձնաժողովի մասին հիմնադրույթին համապատասխան:
III. էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքը
1. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնին ներկայացվող պահանջները
21. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնն իրականացնում է ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծման մասով գործունեություն, որոնք նախատեսված են ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի կազմում գործող վստահված երրորդ կողմի (այսուհետ՝ Հանձնաժողովի վստահված երրորդ կողմ) և ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածներում գործող լիազորված վստահված երրորդ կողմերի (այսուհետ՝ անդամ պետությունների վստահված երրորդ կողմեր) էլեկտրոնային փոխգործակցության կազմակերպման համար:
22. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի կողմից տրամադրվող՝ ԷԹՍ-ի ստուգման բանալիների հավաստագրերի տիրապետողներ են՝
Հանձնաժողովի վստահված երրորդ կողմը.
անդամ պետությունների վստահված երրորդ կողմերը:
23. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնը պետք է գործի բաց բանալիների ենթակառուցվածքի (Public Key Infrastructure) ստեղծման վերաբերյալ միջազգային առաջարկություններին և լիազորված մարմինների հետ համաձայնեցված պահանջներին համապատասխան:
24. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնը ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծման համար պետք է օգտագործի թիվ 2 հավելվածի համաձայն պահանջներին համապատասխանող՝ հավաստագրման կենտրոնի միջոցները: Նախքան նշված միջոցների օգտագործումը՝ դրանց համապատասխանությունը նշված սահմանված պահանջներին պետք է հաստատվի Հանձնաժողովի գտնվելու երկրի լիազորված մարմինների կողմից՝ դրա օրենսդրությամբ սահմանված կարգով: Նախքան հավաստագրման կենտրոնի այն միջոցների օգտագործումը, որոնք մշակվել են վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի համար Միության տեղեկատվության կրիպտոգրաֆիկ պաշտպանության մասնագիտացված միջոցների համատեղ մշակման նախագծի շրջանակներում, դրանց համապատասխանությունը նշված սահմանված պահանջներին պետք է հաստատվի բոլոր անդամ պետությունների լիազորված մարմինների կողմից՝ դրանց օրենսդրությամբ սահմանված կարգով:
25. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի գործունեությանը ներկայացվող պահանջները սահմանվում են՝ հաշվի առնելով Հանձնաժողովի կողմից հաստատվող՝ տեղեկատվության անվտանգության սպառնալիքների և խախտում կատարողի գործողությունների մոդելները:
26. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնը պետք է ապահովի հետևյալ հիմնական գործառույթների կատարումը՝
ա) Հանձնաժողովի վստահված երրորդ կողմի և անդամ պետությունների վստահված երրորդ կողմերի գրանցում.
բ) ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծում և տրամադրում՝ ըստ Հանձնաժողովի վստահված երրորդ կողմի և անդամ պետությունների վստահված երրորդ կողմերի հարցումների.
գ) այն անձանց լիազորությունների սահմանում, որոնք հանդես են գալիս Հանձնաժողովի վստահված երրորդ կողմի անունից կամ անդամ պետությունների վստահված երրորդ կողմերի անունից ԷԹՍ-ի ստուգման բանալու հավաստագիր ստանալու համար դիմելիս, և նշված լիազորությունների մասին տեղեկատվության պահպանում՝ վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի գործունեությունը կանոնակարգող՝ Հանձնաժողովի կողմից հաստատվող փաստաթղթերին համապատասխան.
դ) ԷԹՍ այն բանալու տիրապետման հաստատում, որը համապատասխանում է համապատասխան վստահված երրորդ կողմի կողմից՝ ԷԹՍ-ի ստուգման բանալու հավաստագրի ստեղծման և ստացման հարցման մեջ նշված ԷԹՍ-ի ստուգման բանալուն, և նշված հավաստագրի ստեղծման մերժում՝ տվյալ բանալու տիրապետման հաստատման ժամանակ բացասական արդյունքի դեպքում.
ե) ԷԹՍ-ի ստուգման բանալիների հավաստագրերի գործողության ժամկետների սահմանում: ԷԹՍ-ի ստուգման բանալու հավաստագիրը գործում է դրա տրման պահից, եթե այդ հավաստագրի գործողության սկզբի այլ ամսաթիվ նշված չէ անմիջապես հավաստագրում, ընդ որում, ԷԹՍ-ի ստուգման բանալու հավաստագրի մասին տեղեկատվությունը պետք է վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի կողմից ներառվի ԷԹՍ-ի ստուգման բանալիների տրված, գործողությունը դադարած և չեղյալ ճանաչված հավաստագրերի ռեեստրում (այսուհետ՝ հավաստագրերի ռեեստր) այդ հավաստագրում նշված՝ դրա գործողության սկզբի ամսաթվից ոչ ուշ.
զ) ԷԹՍ-ի ստուգման բանալիների հավաստագրերի գործողության դադարեցումը և չեղյալ ճանաչումը.
է) հավաստագրերի ռեեստրի վարում՝ վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի կողմից տրված՝ ԷԹՍ-ի ստուգման բանալիների հավաստագրերում պարունակվող տեղեկատվության, ինչպես նաև այդ հավաստագրերի գործողության դադարեցման կամ չեղյալ ճանաչման ամսաթվերի և գործողության դադարեցման կամ չեղյալ ճանաչման հիմքերի մասին տեղեկատվության ներառմամբ.
ը) ԷԹՍ-ի ստուգման բանալիների՝ գործողությունը դադարած և չեղյալ ճանաչված հավաստագրերի ցանկի վարում (այսուհետ՝ հետ կանչված հավաստագրերի ցանկ).
թ) ԷԹՍ-ի ստուգման բանալու հավաստագրի տիրապետողին նրա հավաստագիրը չեղյալ ճանաչելու մասին տեղեկացում՝ նախքան հավաստագրերի ռեեստրում և հետ կանչված հավաստագրերի ցանկում համապատասխան փոփոխություններ կատարելը.
ժ) հավաստագրերի ռեեստրում ԷԹՍ-ի ստուգման բանալիների եզակիության ստուգում և ԷԹՍ-ի ստուգման բանալու հավաստագրի ստեղծման մերժում՝ Հանձնաժողովի վստահված երրորդ կողմի կամ անդամ պետության վստահված երրորդ կողմի հարցման մեջ նշված՝ ԷԹՍ-ի բանալու եզակիության ստուգման բացասական արդյունքի դեպքում.
ժա) հավաստագրերի ռեեստրում և հետ կանչված հավաստագրերի ցանկում պարունակվող տեղեկատվության արդիականացում, ինչպես նաև դրա պաշտպանությունն անօրինական հասանելիությունից, ոչնչացումից, ձևափոխումից, բլոկավորումից և անօրինական այլ գործողություններից.
ժբ) հավաստագրերի ռեեստրում ներառված տեղեկատվության պահպանում վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի գործունեության ամբողջ ընթացքում.
ժգ) Հանձնաժողովի վստահված երրորդ կողմի և անդամ պետությունների վստահված երրորդ կողմերի անհատույց հիմունքներով հասանելիություն հավաստագրերի ռեեստրին ինտեգրացված համակարգի միջոցների օգտագործմամբ ցանկացած ժամանակ.
ժդ) ԷԹՍ-ի ստուգումների իրականացում՝ ըստ Հանձնաժողովի վստահված երրորդ կողմի կամ անդամ պետությունների վստահված երրորդ կողմերի դիմումների, որոնք ստեղծվել են դրանց տրված՝ ԷԹՍ-ի ստուգման բանալիների հավաստագրերի օգտագործմամբ.
ժե) ժամանակի դրոշմների ստեղծում Հանձնաժողովի վստահված երրորդ կողմի անդորրագրերի և անդամ պետությունների վստահված երրորդ կողմերի անդորրագրերի վրա, որոնք պարունակում են ԷԹՍ-ի ստուգման արդյունքներ, որոնցով ստորագրված են էլեկտրոնային փաստաթղթերը, էլեկտրոնային փաստաթղթերի ստեղծման ժամանակի հաստատման և համապատասխան ԷԹՍ-ով դրանց ստորագրման նպատակով այդպիսի վստահված երրորդ կողմերի դիմելու դեպքում.
ժզ) ԷԹՍ-ի օգտագործման հետ կապված այլ գործառույթների իրականացում:
27. Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի գործունեության համար Հանձնաժողովը լիազորված մարմինների հետ փոխգործակցության միջոցով մշակում և հաստատում է տեխնիկական, տեխնոլոգիական, մեթոդական և կազմակերպչական փաստաթղթեր, որոնք նախատեսում են վստահված երրորդ կողմի ծառայության հավաստագրված կենտրոնի նկատմամբ պահանջների մանրամասնումը:
28. Սույն պահանջները և այն պահանջները, որոնք պարունակվում են վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի գործունեության ապահովման համար Հանձնաժողովի կողմից հաստատվող ակտերում, միջպետական հանձնաժողովի կողմից կիրառվում են էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի ինտեգրացիոն բաղադրիչի ստուգման շրջանակներում վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնը ստուգելու համար:
2. Վստահված երրորդ կողմի ծառայությանը և դրա կազմի մեջ մտնող վստահված երրորդ կողմերին ներկայացվող պահանջները
29. Վստահված երրորդ կողմի ծառայությունն ինտեգրացված համակարգի գործառութային մասն է:
30. Վստահված երրորդ կողմի ծառայությունը պետք է ներառի Հանձնաժողովի վստահված երրորդ կողմի ծառայությունները և անդամ պետությունների վստահված երրորդ կողմերի ծառայությունները:
31. Վստահված այն երրորդ կողմերից յուրաքանչյուրը, որոնց ծառայություններն ընդգրկված են վստահված երրորդ կողմի ծառայության կազմի մեջ, «Եվրասիական տնտեսական միության շրջանակներում տեղեկատվական հաղորդակցական տեխնոլոգիաների և տեղեկատվական փոխգործակցության մասին» արձանագրության 21-րդ կետին համապատասխան պետք է իրականացնի հետևյալ խնդիրները՝
ա) էլեկտրոնային փոխգործակցության սուբյեկտների էլեկտրոնային փաստաթղթերի և ԷԹՍ-ի օրինականացման իրականացում (իսկության հաստատում)՝ ժամանակի ֆիքսված պահին.
բ) էլեկտրոնային փաստաթղթերի միջպետական (անդրսահմանային) փոխանակման գործում վստահության երաշխիքների ապահովում.
գ) ելից և (կամ) մտից փաստաթղթերում ԷԹՍ-ի կիրառման իրավաչափության ապահովում` անդամ պետությունների օրենսդրությանը և Հանձնաժողովի ակտերին համապատասխան:
32. Հանձնաժողովի վստահված երրորդ կողմը և անդամ պետությունների վստահված երրորդ կողմերը պետք է ապահովեն վստահված երրորդ կողմերի միջոցների օգտագործմամբ իրականացվող հետևյալ ծառայությունների ամբողջությամբ գործելն իր կազմում՝
ա) իսկության հաստատման ծառայություն (ԷԹՍ-ի, ԷԹՍ-ի ստուգման բանալու հավաստագրի վավերականության և սահմանված պահանջներին դրա համապատասխանության ստուգում, լիազորությունների ստուգման ծառայությունից արդյունքի ստացում և էլեկտրոնային փաստաթղթի իսկության ստուգման արդյունքով անդորրագրերի ստեղծում).
բ) լիազորությունների ստուգման ծառայություն (էլեկտրոնային փոխգործակցության այն սուբյեկտի լիազորությունների ստուգում, որը ստեղծել և ստորագրել է էլեկտրոնային փաստաթուղթն ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածում կամ Հանձնաժողովի ինտեգրացիոն հատվածում).
գ) ժամանակի դրոշմի ծառայություն (ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածի կամ Հանձնաժողովի ինտեգրացիոն հատվածի մեջ մտնող էլեկտրոնային փաստաթղթերի համար ժամանակի դրոշմների և էլեկտրոնային փաստաթղթի իսկության ստուգման արդյունքով անդորրագրերի ստեղծում).
դ) տվյալների պահպանման ծառայություն (վստահված երրորդ կողմի կողմից կատարվող գործառնությունների փաստաթղթավորում).
ե) տեղեկատվության տրամադրման ծառայություն (վստահված երրորդ կողմի գործառնությունների մասին՝ ըստ լիազորված մարմինների և Հանձնաժողովի հարցումների):
33. Հանձնաժողովի վստահված երրորդ կողմի միջոցներով կամ անդամ պետությունների վստահված երրորդ կողմերի միջոցներով իրականացվող ծառայությունները պետք է համապատասխանեն սույն պահանջներին, «Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթին, ինչպես նաև Հանձնաժողովի՝ վստահված երրորդ կողմերի գործունեության հարցերին վերաբերող ակտերին:
34. Հանձնաժողովի վստահված երրորդ կողմը և անդամ պետությունների վստահված երրորդ կողմերն իրենց գործառույթներն իրականացնելիս պետք է ապահովեն հետևյալ հիմնական պայմանների պահպանումը՝ իրենց համակցությամբ՝
ա) այն ԷԹՍ-ի բանալու գաղտնիության ապահովում, որի ստուգման բանալին պարունակվում է վստահված երրորդ կողմի կողմից տրված՝ ԷԹՍ-ի ստուգման բանալու հավաստագրում.
բ) վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի, Հանձնաժողովի վստահված երրորդ կողմի և անդամ պետությունների վստահված երրորդ կողմերի ծանուցում՝ Միության շրջանակներում էլեկտրոնային փոխգործակցության համար նախատեսված ԷԹՍ-ի բանալու գաղտնիության խախտման մասին՝ ոչ ավելի, քան այդպիսի խախտման վերաբերյալ տեղեկատվություն ստանալու պահից 12 ժամվա ընթացքում.
գ) Միության շրջանակներում փոխգործակցության համար նախատեսված ԷԹՍ-ի բանալու օգտագործման դադարեցում, եթե առկա են հիմքեր՝ ենթադրելու համար, որ տվյալ բանալու գաղտնիությունը խախտվել է.
դ) Միության շրջանակներում փոխգործակցության համար նախատեսված ԷԹՍ-ի բանալու օգտագործում՝ բացառապես էլեկտրոնային փաստաթղթի ԷԹՍ-ի ստուգման արդյունքներով անդորրագրերի ստորագրման համար.
ե) Միության շրջանակներում էլեկտրոնային փոխգործակցության համար նախատեսված ԷԹՍ-ի ստեղծման և ստուգման, ԷԹՍ-ի բանալիների և ԷԹՍ-ի ստուգման բանալիների ստեղծման համար տեղեկատվության կրիպտոգրաֆիկ պաշտպանության այն միջոցների օգտագործում, որոնք իրականացնում են կրիպտոգրաֆիկ ալգորիթմներ, որոնք սահմանված են Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2016 թվականի հունիսի 2-ի թիվ 49 որոշմամբ (ԾՕՀ), նախքան Միության՝ տեղեկատվության կրիպտոգրաֆիկ պաշտպանության մասնագիտացված միջոցների համատեղ մշակման նախագծի իրականացումը.
զ) էլեկտրոնային փաստաթղթերում ԷԹՍ-ի ստուգման ժամանակ հետևյալ պայմանների՝ դրանց համակցությամբ պահպանման ստուգում՝
ԷԹՍ-ով ստորագրվող տվյալների ամբողջականությունը խախտված չէ.
ԷԹՍ-ը մշակված է ԷԹՍ-ի բանալու օգտագործմամբ, ԷԹՍ-ի ստուգման բանալու համապատասխան հավաստագիրը վստահված երրորդ կողմի տրամադրության տակ է ստուգումն սկսելու պահին կամ վստահված երրորդ կողմի կողմից ստացվել է ստուգման ընթացակարգերի իրականացման ընթացքում.
ԷԹՍ-ի ստուգման բանալու հավաստագիրը էլեկտրոնային փաստաթղթի ստորագրման պահին վավեր է.
հավաստագրման կենտրոնների ԷԹՍ-ի ստուգման բանալիների հավաստագրերի շղթայից ԷԹՍ-ի ստուգման բանալու յուրաքանչյուր հավաստագիր վավեր է ստորագրման պահին.
է) Հանձնաժողովի ակտերով կամ անդամ պետությունների օրենսդրությամբ սահմանված ժամանակահատվածի ընթացքում էլեկտրոնային փաստաթղթերում ԷԹՍ-ի անցկացվող բոլոր ստուգումներին վերաբերող անհրաժեշտ ամբողջ տեղեկատվության փաստաթղթավորում և պահպանում՝ ծառայությունների տրամադրման անընդհատությունն ապահովելու և (անհրաժեշտության դեպքում) դատարանում ապացույցներ ներկայացնելու համար: Նշված տեղեկատվության պահպանումը կարող է իրականացվել էլեկտրոնային եղանակով:
35. Հանձնաժողովի վստահված երրորդ կողմը պետք է օգտագործի վստահված երրորդ կողմի միջոցներ և ԷԹՍ-ի միջոցներ դրանց կազմում, որոնք համապատասխանում են պահանջներին՝ համաձայն թիվ 3 հավելվածի:
36. Հանձնաժողովը Հանձնաժողովի վստահված երրորդ կողմի գործունեության ապահովման համար լիազորված մարմինների հետ փոխգործակցության միջոցով մշակում և հաստատում է տեխնիկական, տեխնոլոգիական, մեթոդական և կազմակերպչական փաստաթղթեր, որոնք նախատեսում են բաղադրիչների և ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի վստահված երրորդ կողմին ներկայացվող պահանջների մանրամասնում:
37. Հանձնաժողովի վստահված երրորդ կողմի և անդամ պետությունների վստահված երրորդ կողմերի՝ միմյանց միջև և վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի հետ փոխգործակցությանը ներկայացվող պահանջները սահմանվում են՝ հաշվի առնելով Հանձնաժողովի կողմից հաստատվող՝ տեղեկատվության անվտանգության սպառնալիքների և խախտում կատարողի գործողությունների համապատասխան մոդելները:
38. Անդամ պետությունների վստահված երրորդ կողմերի գործունեության ապահովման համար լիազորված մարմինները, անդամ պետությունների օրենսդրությանը և Հանձնաժողովի ակտերին համապատասխան, մշակում և հաստատում են տեխնիկական, տեխնոլոգիական, մեթոդական և կազմակերպչական փաստաթղթեր, որոնք նախատեսում են բաղադրիչների և անդամ պետությունների վստահված երրորդ կողմերին ներկայացվող պահանջների մանրամասնում:
39. Հանձնաժողովն իրականացնում է ինտեգրացված համակարգի ստեղծման և զարգացման աշխատանքների շրջանակներում մշակված և վստահված երրորդ կողմերի գործունեության համար նախատեսված՝ տեղեկատվության կրիպտոգրաֆիկ պաշտպանության ծրագրային և ապարատային միջոցների փոխանցումը շահագրգիռ անդամ պետությունների լիազորված մարմիններին՝ Հանձնաժողովի կողմից հաստատվող կարգով ազգային հատվածների կազմում օգտագործելու համար:
40. Սույն պահանջները և այն պահանջները, որոնք պարունակվում են վստահված երրորդ կողմերի գործունեությունն ապահովելու համար անդամ պետությունների և Հանձնաժողովի կողմից հաստատվող փաստաթղթերում, միջպետական հանձնաժողովի կողմից օգտագործվում են էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչի ստուգման շրջանակներում վստահված երրորդ կողմի ծառայությունը և դրա կազմի մեջ մտնող վստահված երրորդ կողմերին ստուգելու համար:
3. Պահանջներ, որոնք ներկայացվում են Հանձնաժողովի հավաստագրման կենտրոնին և անդամ պետությունների հավաստագրման կենտրոններին, որոնք Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտներին ապահովում են ԷԹՍ-ի ստուգման բանալիների հավաստագրերով
41. Հանձնաժողովի հավաստագրման կենտրոնը և անդամ պետությունների հավաստագրման կենտրոնները, որոնք էլեկտրոնային փոխգործակցության սուբյեկտներին ապահովում են ԷԹՍ բանալիների հավաստագրերով՝ Միության շրջանակներում էլեկտրոնային փոխգործակցության համար, Վստահության անդրսահմանային տարածքի զարգացման ռազմավարությանը համապատասխան՝ վստահության անդրսահմանային տարածքի տարրեր են և մտնում են էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների կազմի մեջ:
42. Միության շրջանակներում էլեկտրոնային փոխգործակցության համար թույլատրվում են անդամ պետությունների օրենսդրությանը կամ Հանձնաժողովի ակտերին համապատասխան լիազորված միայն այն հավաստագրված կենտրոնները, որոնց մասին տեղեկությունները ներառված են էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի տարրերի ցանկում:
43. Հանձնաժողովի հավաստագրման կենտրոնը և անդամ պետությունների հավաստագրման կենտրոնները պետք է գործեն բաց բանալիների ենթակառուցվածքի (Public Key Infrastructure) ստեղծման վերաբերյալ միջազգային առաջարկություններին համապատասխան և կատարեն սույն պահանջների 49-րդ կետում նշված նվազագույն անհրաժեշտ պահանջները:
44. Անդամ պետությունների հավաստագրման կենտրոնների գործունեությանը ներկայացվող պահանջները, այդ թվում՝ տեղեկատվության պաշտպանության մասով, սահմանվում են՝ հաշվի առնելով տեղեկատվության անվտանգության արդիական սպառնալիքները և խախտում կատարողի գործողությունները՝ անդամ պետությունների՝ տեղեկատվության պաշտպանության ոլորտում օրենսդրությանը համապատասխան:
45. Հանձնաժողովի հավաստագրման կենտրոնի գործունեությանը ներկայացվող պահանջները սահմանվում են՝ հաշվի առնելով Հանձնաժողովի հավաստագրման կենտրոնում տեղեկատվության անվտանգության սպառնալիքների և խախտում կատարողի գործողությունների մոդելները:
Հանձնաժողովի հավաստագրման կենտրոնը ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծման համար պետք է օգտագործի ԷԹՍ-ի միջոցներ և հավաստագրման կենտրոնի միջոցներ, որոնք համապատասխանում են պահանջներին՝ համաձայն թիվ 4 հավելվածի: Նախքան նշված միջոցների օգտագործումը՝ դրանց համապատասխանությունը նշված պահանջներին պետք է հաստատվի Հանձնաժողովի գտնվելու երկրի լիազորված մարմինների կողմից՝ դրա օրենսդրությամբ սահմանված կարգով:
46. Անդամ պետությունների հավաստագրման կենտրոնները ստեղծում են ԷԹՍ-ի ստուգման բանալիների հավաստագրեր՝ համապատասխան անդամ պետության օրենսդրությանը համապատասխան:
47. Հանձնաժողովի հավաստագրման կենտրոնը ստեղծում է ԷԹՍ-ի ստուգման բանալիների հավաստագրեր՝ սույն պահանջներին համապատասխան:
48. ԷԹՍ-ի ստեղծման և ստուգման համար անդամ պետություններում պետք է օգտագործվեն դրանց օրենսդրությանը համապատասխան հավաստագրված (սահմանված պահանջներին համապատասխանության հաստատում ստացած) ԷԹՍ միջոցներ:
49. Հավաստագրման կենտրոնների գործունեության համար անդամ պետությունների օրենսդրությանը համապատասխան սահմանվում են հետևյալ նվազագույն անհրաժեշտ պահանջները՝
ա) էլեկտրոնային փոխգործակցության սուբյեկտների ինքնության ստուգման ապահովում՝ ԷԹՍ-ի ստուգման բանալիների հավաստագրերի տրամադրման ժամանակ: Հավաստագիրն ստացողի ինքնության ստուգումն իրականացվում է կա՛մ անմիջապես հավաստագրման կենտրոնի կողմից, կա՛մ երրորդ անձի (գրանցման կենտրոնի և այլն) ներգրավմամբ, եթե դա նախատեսված է անդամ պետությունների օրենսդրությամբ.
բ) հավաստագրման կենտրոնի ծառայություններից օգտվելու պայմանների, այդ թվում՝ դրանցից օգտվելու ցանկացած սահմանափակման մասին տեղեկատվության հրապարակում «Ինտերնետ» տեղեկատվական-հեռահաղորդակցական ցանցում՝ ընդհանուր հասանելիության ռեժիմով.
գ) էլեկտրոնային փոխգործակցության սուբյեկտներին, անդամ պետությունների օրենսդրությանը կամ Հանձնաժողովի ակտերին համապատասխան՝ Հանձնաժողովի կողմից հաստատվող պահանջներին համապատասխանող ԷԹՍ-ի ստուգման բանալիների հավաստագրերի տրամադրում.
դ) էլեկտրոնային փոխգործակցության բոլոր սուբյեկտներին ԷԹՍ-ի ստուգման բանալիների տրամադրված բոլոր հավաստագրերի կարգավիճակի (արդիականության) մասին տեղեկատվության ժամանակին տրամադրում: Այդ տեղեկատվությունը պետք է հասանելի լինի ցանկացած ժամանակ, այդ թվում՝ նաև ԷԹՍ-ի ստուգման բանալու հավաստագրի գործողության դադարեցումից հետո, և տրամադրվի ավտոմատացված եղանակով.
ե) հավաստագրերը հետ կանչելու դեպքում տեղեկատվության օպերատիվ (հարցումն ստանալու օրը՝ հավաստագրման կենտրոնի աշխատանքային ռեժիմին համապատասխան) ներառում հավաստագրերի ռեեստրում և հետ կանչված հավաստագրերի ցանկում: Հավաստագիրը համարվում է հետ կանչված այդ հավաստագրի համապատասխան կարգավիճակի (արդիականության) մասին տեղեկատվություն պարունակող և էլեկտրոնային փոխգործակցության սուբյեկտներին ցանկացած ժամանակ հասանելի՝ հետ կանչված հավաստագրերի ցանկի հրապարակման պահից.
զ) ԷԹՍ-ի ստուգման բանալիների հավաստագրերի տրմանը, ստացմանը և դրանց կարգավիճակների (արդիականության) փոփոխմանը վերաբերող անհրաժեշտ ամբողջ տեղեկատվության փաստաթղթավորում և պահում առնվազն 15 տարի (այդ թվում՝ Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտներին ԷԹՍ-ի բանալիների հավաստագրերով ապահովելու գործունեության դադարեցումից հետո)՝ ծառայությունների տրամադրման անընդհատությունն ապահովելու և (անհրաժեշտության դեպքում) դատարանում ապացույցներ ներկայացնելու համար: Նշված տեղեկատվության պահպանումը կարող է իրականացվել էլեկտրոնային եղանակով.
է) հավաստագրման կենտրոնի կողմից ստեղծված և պահվող կրիպտոգրաֆիկ բանալիների գաղտնիության, ամբողջականության ապահովում.
ը) Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտներին ԷԹՍ-ի բանալիների հավաստագրերով ապահովելու գործունեությունը դադարեցնելու մտադրության կամ գործունեության դադարեցման այլ դեպքերի մասին լիազորված մարմիններին տեղեկացում:
50. Անդամ պետությունների հավաստագրման կենտրոնների գործունեության համար լիազորված մարմինները մշակում և հաստատում են տեխնիկական, տեխնոլոգիական, մեթոդական և կազմակերպչական փաստաթղթեր՝ իրենց անդամ պետությունների օրենսդրությանը համապատասխան:
51. Հանձնաժողովի հավաստագրման կենտրոնի գործունեությունն ապահովելու համար Հանձնաժողովը լիազորված մարմինների հետ փոխգործակցության միջոցով մշակում և հաստատում է տեխնիկական, տեխնոլոգիական, մեթոդական և կազմակերպչական փաստաթղթեր:
52. Սույն պահանջները և այն պահանջները, որոնք պարունակվում են հավաստագրման կենտրոնների գործունեությունն ապահովելու համար անդամ պետությունների և Հանձնաժողովի կողմից հաստատվող փաստաթղթերում, միջպետական հանձնաժողովի կողմից օգտագործվում են էլեկտրոնային եղանակով՝ տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչի ստուգման շրջանակներում վստահված երրորդ կողմի ծառայությունը ստուգելու համար:
4. Տվյալների և էլեկտրոնային փաստաթղթերի միջպետական փոխանակման ժամանակ անդամ պետությունների և Հանձնաժողովի տեղեկատվական համակարգերի ու ռեսուրսների փոխգործակցության ապահովման ենթակառուցվածքին ներկայացվող պահանջներ
53. Տվյալների և էլեկտրոնային փաստաթղթերի միջպետական փոխանակման ժամանակ անդամ պետությունների և Հանձնաժողովի տեղեկատվական համակարգերի ու ռեսուրսների փոխգործակցության ապահովման ենթակառուցվածքը կազմված է ինտեգրացված համակարգի ինտեգրացիոն հարթակից և անդամ պետությունների միջգերատեսչական տեղեկատվական փոխգործակցության համակարգերից, որոնք գործառույթներ են կատարում՝ Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 հոկտեմբերի 12-ի թիվ 137 որոշմամբ հաստատված՝ Եվրասիական տնտեսական միության ինտեգրված տեղեկատվական համակարգի ստեղծման տեխնիկական առաջադրանքին համապատասխան:
54. Ինտեգրացված համակարգի ինտեգրացիոն հարթակը կազմված է ինտեգրացիոն անցուղիներից, տվյալների սինքրոնացման ենթահամակարգից, տրանսպորտային ենթահամակարգից, արտաքին տեղեկատվական համակարգերի հետ փոխգործակցության ենթահամակարգից և փոխկապակցման ենթահամակարգից:
55. Ինտեգրացված համակարգի ինտեգրացիոն հարթակը ներառում է անդամ պետությունների ինտեգրացիոն անցուղիները, որոնք գործում են ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածների կազմում, և Հանձնաժողովի ինտեգրված անցուղին, որը գործում է ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի կազմում:
56. Ինտեգրացված համակարգի ինտեգրացիոն հարթակը տվյալների սինքրոնացման ենթահամակարգի շրջանակներում պետք է ապահովի Հանձնաժողովի ինտեգրացիոն հատվածի շրջանակներում ինտեգրացված համակարգի ենթահամակարգերի տեղեկատվական փոխգործակցությունը:
57. Ինտեգրացված համակարգի ինտեգրացիոն հարթակը տրանսպորտային ենթահամակարգի շրջանակներում պետք է ապահովի ինտեգրացիոն հարթակի բաղադրիչների միջև էլեկտրոնային հաղորդագրությունների երաշխավորված առաքումը հաղորդագրությունների հերթերի օգտագործմամբ:
58. Ինտեգրացված համակարգի ինտեգրացիոն հարթակն արտաքին տեղեկատվական համակարգերի հետ փոխգործակցության ենթահամակարգի շրջանակներում պետք է ապահովի ինտեգրացիոն հարթակին միանալու միասնական կետ՝ Միության անդամ չհանդիսացող ինտեգրացիոն միավորումների, միջազգային կազմակերպությունների և պետությունների տեղեկատվական համակարգերի (այսուհետ՝ արտաքին տեղեկատվական համակարգեր) հետ տեղեկատվական փոխգործակցություն կազմակերպելիս:
59. Ինտեգրացված համակարգի ինտեգրացիոն հարթակը փոխկապակցման ենթահամակարգի շրջանակներում պետք է ապահովի փոխգործակցությունն ինտեգրացիոն հարթակի ինտեգրացիոն անցուղու և անդամ պետություններում կիրառվող միջպետական տեղեկատվական փոխգործակցության համակարգերի (տիպային ինտեգրացիոն անցուղու հիման վրա իրականացված՝ անդամ պետությունների ազգային հատվածների ինտեգրացիոն անցուղիների համար), ինչպես նաև արտաքին տեղեկատվական համակարգերի հետ փոխգործակցության ենթահամակարգի միջև:
60. Տեղեկատվության փոխանակումը ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի ինտեգրացիոն անցուղու և տվյալների սինքրոնացման ենթահամակարգի միջև, ինչպես նաև տեղեկատվության փոխանակումը ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածների ինտեգրացիոն անցուղիների միջև, ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացված հատվածի ինտեգրացիոն անցուղու և ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածների ինտեգրացիոն անցուղիների միջև պետք է իրականացվի Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 թվականի հունվարի 27-ի թիվ 5 որոշմամբ հաստատված՝ Արտաքին և փոխադարձ առևտրի ինտեգրացված տեղեկատվական համակարգում տվյալների էլեկտրոնային փոխանակման կանոններին համապատասխան:
61. Անդամ պետությունների ազգային հատվածների ինտեգրացիոն անցուղիների և Հանձնաժողովի ինտեգրացիոն անցուղիների հաշվիչ ռեսուրսները պետք է ապահովեն դրանց հասանելիության մակարդակն օրը 24 ժամ, շաբաթը՝ 7 օր, տարին՝ 365 օր՝ բացառությամբ տեխնիկական սպասարկման ժամանակահատվածների:
62. Ինտեգրացված համակարգի ինտեգրացիոն հարթակը պետք է ապահովի վթարային այն իրավիճակների ճշգրիտ մշակումը, որոնք առաջացել են մուտքային տվյալների ոչ ճիշտ ձևաչափի կամ անթույլատրելի արժեքների արդյունքում: Նշված դեպքերում ինտեգրացված համակարգի ինտեգրացիոն հարթակը պետք է ապահովի համապատասխան մատյաններում վթարային իրավիճակների վերաբերյալ տեղեկատվության պահպանումը, ինչից հետո վերադառնա ոչ ճիշտ մուտքային տվյալների ստացմանը նախորդող աշխատանքային վիճակին:
63. Անդամ պետությունների ինտեգրացիոն անցուղիները և միջգերատեսչական տեղեկատվական փոխգործակցության համակարգերը պետք է ապահովեն փոխանցվող տվյալների պաշտպանությունը:
64. Ինտեգրացիոն անցուղիների օպերատորները պետք է սահմանափակեն այն աշխատակիցների շրջանակը, որոնք հասանելիություն ունեն փոխանցվող տվյալներին, ընդ որում, տվյալներին հասանելիությունը պետք է տրամադրվի այդ աշխատակիցներին միայն արտակարգ (կոնֆլիկտային) իրավիճակների քննության համար:
65. Անդամ պետությունների ինտեգրացիոն անցուղիները և միջգերատեսչական տեղեկատվական փոխգործակցության համակարգերը պետք է ապահովեն փոխանցվող տվյալներն ուղարկողների և ստացողների նույնականացումն ու իսկորոշումը:
66. Ինտեգրացիոն անցուղիները պետք է ապահովեն փոխանցվող և ստացվող տվյալներով, այդ թվում՝ էլեկտրոնային փաստաթղթերով իրականացված գործառնությունների վերաբերյալ տեղեկատվության փաստաթղթավորումը և դրա պահպանումն անդամ պետությունների օրենսդրությամբ կամ Հանձնաժողովի ակտերով սահմանված ժամանակահատվածում, այդ թվում՝ դատարանում ապացույցներ ներկայացնելու հնարավորության համար:
67. Ինտեգրացիոն անցուղիների ծառայությունները, որոնք օգտագործվում են անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակումն իրականացնելու համար, պետք է համապատասխանեն սույն պահանջներին, «Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթի պահանջներին և Հանձնաժողովի՝ ինտեգրացիոն անցուղիների գործունեության հարցերի վերաբերյալ այլ ակտերի:
5. Տեղեկատվության պաշտպանության ապահովման ենթակառուցվածքին և համակարգերին ներկայացվող պահանջները
68. Ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի պաշտպանության համար Հանձնաժողովի կողմից օգտագործվում է տեղեկատվական անվտանգության ենթահամակարգ, որը Եվրասիական տնտեսական միության ինտեգրացված տեղեկատվական համակարգ ստեղծելու տեխնիկական խնդրին համապատասխան, նախատեսված է ապահովելու տվյալների գաղտնիությունը, ամբողջականությունը և հասանելիությունը Հանձնաժողովի ինտեգրացիոն հատվածում դրանց մշակման և պահպանման ժամանակ, ինչպես նաև ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածների հետ փոխգործակցության ժամանակ կապի ուղիներով դրանց փոխանցման ժամանակ:
69. Ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածների պաշտպանության համար լիազորված մարմինները պետք է ապահովեն անդամ պետություններում անդամ պետությունների ազգային հատվածների տեղեկատվության պաշտպանության այնպիսի ենթահամակարգերի ստեղծումը և ներդրումը, որոնք, ինտեգրացված համակարգ ստեղծելու տեխնիկական խնդրին համապատասխան, նախատեսված են ապահովելու տվյալների գաղտնիությունը, ամբողջականությունը և հասանելիությունն անդամ պետության ազգային հատվածում դրանց ստեղծման, մշակման և պահպանման ժամանակ, ինչպես նաև Հանձնաժողովի ինտեգրացիոն հատվածի ու ինտեգրացված համակարգի՝ մյուս անդամ պետությունների ազգային հատվածների հետ փոխգործակցելիս կապի ուղիներով դրանց փոխանցման ժամանակ: Ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածում տեղեկատվության գաղտնիության, ամբողջականության, հասանելիության և պահպանվածության ապահովման համար ընդունվում և իրականացվում է տեղեկատվության պաշտպանության իրավական, կազմակերպչական և տեխնիկական միջոցների համալիր՝ համապատասխան անդամ պետության օրենսդրությանը համապատասխան:
70. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների օպերատորները պետք է ձեռնարկեն տեխնիկական և կազմակերպչական միջոցներ, որոնք ուղղված են դրանց կողմից իրականացվող գործառույթների համար սպառնալիքների չեզոքացմանը: Նշված միջոցները պետք է իրականացվեն տեղեկատվության անվտանգության սպառնալիքները և խախտում կատարողի գործողությունները սահմանելու հիման վրա, որոնք արտացոլվում են անդամ պետությունների օրենսդրությանը համապատասխան մշակվող փաստաթղթերում (անվտանգության մասով խնդիրներում, սպառնալիքների մոդելներում և այլն):
71. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների օպերատորները պետք է ապահովեն իրենց աշխատակիցների անհրաժեշտ գիտելիքների, հուսալիության, լոյալության, փորձի և որակավորման առկայությունը, ինչպես նաև նրանց՝ համապատասխան անդամ պետության օրենսդրությանը համապատասխան՝ տեղեկատվության պաշտպանության ոլորտում բավարար պատրաստվածությունը:
72. Վստահության անդրսահմանային տարածքի տարրերի տեղեկատվության գաղտնիության, ամբողջականության և հասանելիության խախտման ցանկացած փաստի հայտնաբերման դեպքում էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների օպերատորները պետք է անհապաղ տեղեկացնեն այդ մասին իրենց լիազորված մարմնին:
Եթե տեղեկատվության պաշտպանության խախտումը վերաբերում է 2 կամ ավելի անդամ պետությունների, ապա այդպիսի ծանուցում ստացած լիազորված մարմինը տեղեկացնում է այդ մասին մյուս անդամ պետությունների լիազորված մարմիններին և միջպետական հանձնաժողովին:
73. Տեղեկատվության պաշտպանության ապահովման միջոցները և եղանակները, որոնք էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների օպերատորների կողմից իրականացվում են վստահության անդրսահմանային տարածքի տարրերի և դրանց կողմից տրամադրվող ծառայությունների նկատմամբ, պետք է համապատասխանեն պահանջներին՝ համաձայն թիվ 5 հավելվածի:
|
ՀԱՎԵԼՎԱԾ ԹԻՎ 1 Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջների |
Վստահության անդրսահմանային տարածքի
ԿԱՌՈՒՑՎԱԾՔԸ
1. Սույն փաստաթուղթը սահմանում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական և ինտեգրացիոն բաղադրիչների կազմում ներառված տարրերի կազմը, որը անհրաժեշտ և բավարար է Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2016 թվականի սեպտեմբերի 27-ի թիվ 105 որոշմամբ հաստատված՝ Վստահության անդրսահմանային տարածքի զարգացման ռազմավարության առաջին փուլի իրագործման շրջանակներում Եվրասիական տնտեսական միության անդամ պետությունների (այսուհետ համապատասխանաբար՝ Միություն, անդամ պետություններ) պետական իշխանության մարմինների միջև՝ միմյանց և Եվրասիական տնտեսական հանձնաժողովի հետ (այսուհետ՝ Հանձնաժողով) տվյալներն ու էլեկտրոնային փաստաթղթերի միջպետական փոխանակումն ապահովելու համար:
2. Իրավաբանական ուժ ունեցող էլեկտրոնային փաստաթղթերի օգտագործմամբ միջպետական տեղեկատվական փոխգործակցություն իրականացնելիս վստահությունն ապահովելու համար Միության շրջանակներում ստեղծվում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածք, որով երաշխավորվում է՝
էլեկտրոնային փաստաթղթերի ժամանակին և ճշգրիտ փոխանցումն էլեկտրոնային փոխգործակցության սուբյեկտների միջև՝ դրանց իրավաբանական ուժի ապահովմամբ (պահպանմամբ), ինչպես նաև տեղեկատվության պաշտպանության փոխընդունելի մակարդակի ապահովմամբ.
պահանջվող այն վկայությունների նախապատրաստման և ներկայացման համապատասխան մեթոդների առկայությունը ցանկացած տարաձայնության առաջացման դեպքում, որոնք թույլ են տալիս վերականգնել իրադարձությունների ընթացքը և որոշել դրանց պատճառը:
3. Յուրաքանչյուր անդամ պետությունում ստեղծվում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչ, Հանձնաժողովում ստեղծվում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի ինտեգրացիոն բաղադրիչ:
4. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի ինտեգրացիոն բաղադրիչը ներառում է հետևյալ տարրերը՝
Միության ինտեգրացված տեղեկատվական համակարգի վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոն (այսուհետ համապատասխանաբար՝ ինտեգրացված համակարգ, վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոն), որը նախատեսված է ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի և անդամ պետությունների ազգային հատվածների լիազորված վստահված երրորդ կողմերի ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծման և արդիականության ստուգման համար: Վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի ծառայությունների կազմի մեջ է մտնում ժամանակի դրոշմի ծառայությունը, որն օգտագործվում է ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի և անդամ պետությունների ազգային հատվածների վստահված երրորդ կողմերի կողմից՝ Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 թվականի սեպտեմբերի 28-ի թիվ 125 որոշմամբ հաստատված՝ «Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթին համապատասխան.
վստահված երրորդ կողմ, որը գործում է ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածում (այսուհետ՝ Հանձնաժողովի վստահված երրորդ կողմ), որը նախատեսված է էլեկտրոնային փաստաթուղթը ստորագրած անձի առնչությամբ ժամանակի ֆիքսված պահին էլեկտրոնային փաստաթղթերում ԷԹՍ-ի ստուգման և Հանձնաժողովի վստահված երրորդ կողմի հիմնական խնդիրների կատարման համար՝ «Եվրասիական տնտեսական միության շրջանակներում տեղեկատվական հաղորդակցական տեխնոլոգիաների և տեղեկատվական փոխգործակցության մասին» արձանագրությանը («Եվրասիական տնտեսական միության մասին» 2014 թվականի մայիսի 29-ի պայմանագրի թիվ 3 հավելված) համապատասխան: Հանձնաժողովի վստահված երրորդ կողմի ծառայությունների կազմի մեջ է մտնում ժամանակի դրոշմի ծառայությունը, որն օգտագործվում է Հանձնաժողովի վստահված երրորդ կողմի և ինտեգրացված համակարգի՝ անդամ պետությունների ազգային հատվածներում գործող լիազորված վստահված երրորդ կողմերի (այսուհետ՝ անդամ պետությունների վստահված երրորդ կողմեր) կողմից՝ Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթին համապատասխան.
Հանձնաժողովի հավաստագրման կենտրոն, որը նախատեսված է Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտ հանդիսացող՝ Հանձնաժողովի կոլեգիայի անդամներին, պաշտոնատար անձանց և Հանձնաժողովի աշխատակիցներին ԷԹՍ-ի ստուգման բանալիների հավաստագրերով ապահովելու և ԷԹՍ-ի ստուգման բանալիների տրված հավաստագրերի արդիականությունը ստուգելու համար.
ինտեգրացված համակարգի ինտեգրացիոն հարթակ, որն ապահովում է էլեկտրոնային փաստաթղթերի և տվյալների ուղարկումը և երաշխավորված առաքումն ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի և անդամ պետությունների ազգային հատվածների միջև էլեկտրոնային փոխգործակցության ժամանակ.
ինտեգրացված համակարգի ինտեգրացիոն անցուղի, որն ապահովում է ինտեգրացված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի ենթահամակարգերի փոխգործակցությունը ինտեգրացված համակարգի ինտեգրացիոն հարթակի հետ.
ինտեգրացված համակարգի տեղեկատվական անվտանգության ենթահամակարգ, որը նախատեսված է ապահովելու համար տվյալների գաղտնիությունը, ամբողջականությունը և հասանելիությունը Հանձնաժողովի ինտեգրացիոն հատվածում դրանց մշակման և պահպանման ժամանակ, ինչպես նաև դրանց՝ կապի այն ուղիներով փոխանցման ժամանակ, որոնք միավորում են ինտեգրված համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի ինտեգրացիոն անցուղիները և անդամ պետությունների ազգային հատվածների ինտեգրացիոն անցուղիները:
5. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի յուրաքանչյուր պետական բաղադրիչ ներառում է հետևյալ տարրերը՝
անդամ պետության վստահված երրորդ կողմ, որը նախատեսված է էլեկտրոնային փաստաթուղթը ստորագրած անձի առնչությամբ ժամանակի ֆիքսված պահին էլեկտրոնային փաստաթղթերում ԷԹՍ-ի ստուգման և անդամ պետության վստահված երրորդ կողմի հիմնական խնդիրների կատարման համար՝ «Եվրասիական տնտեսական միության շրջանակներում տեղեկատվական հաղորդակցական տեխնոլոգիաների և տեղեկատվական փոխգործակցության մասին» արձանագրությանը համապատասխան: Անդամ պետության վստահված երրորդ կողմի ծառայությունների կազմի մեջ է մտնում ժամանակի դրոշմի ծառայությունը, որն օգտագործվում է վստահված երրորդ կողմի կողմից՝ Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթին համապատասխան.
անդամ պետության հավաստագրման կենտրոններ, ինչպես նաև այլ ենթակառուցվածք, որը նախատեսված է Միության շրջանակներում էլեկտրոնային փոխգործակցության սուբյեկտներին ԷԹՍ-ի ստուգման բանալիների հավաստագրերով ապահովելու և ԷԹՍ-ի ստուգման բանալիների տրված հավաստագրերի արդիականությունը ստուգելու համար.
ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածի ինտեգրացիոն անցուղի, որն ապահովում է անդամ պետության միջգերատեսչական տեղեկատվական փոխգործակցության համակարգի միացումն ինտեգրացված համակարգի ինտեգրացիոն հարթակին.
ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածի պաշտպանության ենթահամակարգ, որը նախատեսված է ապահովելու համար տվյալների գաղտնիությունը, ամբողջականությունը և հասանելիությունն ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածում դրանց մշակման և պահպանման ժամանակ. ինտեգրացված համակարգի՝ անդամ պետության ազգային հատվածում տեղեկատվության գաղտնիության, ամբողջականության, հասանելիության և պահպանվածության ապահովման համար ընդունվում և իրականացվում է տեղեկատվության պաշտպանության իրավական, կազմակերպչական և տեխնիկական միջոցների համալիր՝ համապատասխան անդամ պետության օրենսդրությանը համաձայն:
|
ՀԱՎԵԼՎԱԾ ԹԻՎ 2 Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջների |
ՊԱՀԱՆՋՆԵՐ
Եվրասիական տնտեսական միության ինտեգրացված տեղեկատվական համակարգի վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի միջոցներին ներկայացվող
I. Ընդհանուր դրույթներ
1. Սույն պահանջները սահմանում են այն պահանջները, որոնք ներկայացվում են Եվրասիական տնտեսական միության ինտեգրացված տեղեկատվական համակարգի վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնի միջոցներին (այսուհետ համապատասխանաբար՝ Միություն, հավաստագրման կենտրոն):
II. Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովմանը ներկայացվող պահանջներ
2. Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովումը չպետք է պարունակի միջոցներ, որոնք թույլ են տալիս ձևափոխել կամ խեղաթյուրել հավաստագրման կենտրոնի միջոցների ծրագրային ապահովման աշխատանքի ալգորիթմը:
3. Հավաստագրման կենտրոնի միջոցների կիրառական ծրագրային ապահովումը և հավաստագրման կենտրոնի կողմից օգտագործվող՝ տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների ծրագրային ապահովումը պետք է օգտագործեն համակարգային ծրագրային ապահովման միայն փաստաթղթավորված գործառույթներ:
4. Հավաստագրման կենտրոնի միջոցների համակարգային և կիրառական ծրագրային ապահովումը պետք է ապահովի հավաստագրման կենտրոնի միջոցների համակարգային ադմինիստրատորի, հավաստագրման կենտրոնի միջոցների հավաստագրման ադմինիստրատորի, հավաստագրման կենտրոնի միջոցների օպերատորների և հավաստագրման կենտրոնի օգտագործողների՝ հավաստագրման կենտրոնի միջոցներով մշակվող տեղեկատվությանը հասանելիության սահմանազատումը՝ հավաստագրման կենտրոնի միջոցների համակարգային ադմինիստրատորի կողմից սահմանված՝ հասանելիության սահմանազատման կանոններին համապատասխան:
5. Հավաստագրման կենտրոնի միջոցների համակարգային և (կամ) կիրառական ծրագրային ապահովման կազմի մեջ պետք է մտնի մեխանիզմ, որն ապահովում է սահմանափակ հասանելիության տեղեկատվության պահպանման համար օգտագործվող՝ օպերատիվ և արտաքին հիշողության մաքրումը:
6. Հավաստագրման կենտրոնի միջոցների համակարգային և կիրառական ծրագրային ապահովման ելակետային տեքստերը պետք է անցնեն տեղեկատվությունը հարձակումներից պաշտպանելու այն մեթոդների և եղանակների իրագործման մասով ստուգում, որոնց նախապատրաստման և անցկացման համար օգտագործվում են տեղեկատվության անվտանգությունը խախտողի հնարավորությունները, որոնք նշված են Եվրասիական տնտեսական հանձնաժողովի (այսուհետ՝ Հանձնաժողով) կողմից հաստատվող՝ վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնում տեղեկատվության անվտանգության սպառնալիքների և խախտում կատարողի գործողությունների մոդելներում:
7. Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովման կազմի մեջ պետք է ընդգրկվի մեխանիզմ, որն ապահովում է կայունությունն արտաքին ցանցերից համակարգչային հարձակումների նկատմամբ:
8. Հավաստագրման կենտրոնի միջոցների համակարգային և կիրառական ծրագրային ապահովման ելակետային տեքստերը պետք է անցնեն չհայտարարագրված հնարավորությունների բացակայության ֆորմալ վերիֆիկացում, ինչպես նաև հարձակումներին դիմակայելու տեղեկատվության պաշտպանության մեթոդների և եղանակների իրագործման ֆորմալ վերիֆիկացում, որոնց նախապատրաստման և անցկացման համար օգտագործվում են տեղեկատվության անվտանգությունը խախտողի հնարավորությունները, որոնք նշված են Հանձնաժողովի կողմից հաստատվող՝ վստահված երրորդ կողմի ծառայության հավաստագրման կենտրոնում տեղեկատվության անվտանգության սպառնալիքների և խախտում կատարողի գործողությունների մոդելում:
III. Հավաստագրման կենտրոնի ապարատային միջոցներին ներկայացվող պահանջները
9. Հավաստագրման կենտրոնի ապարատային միջոցներին ներկայացվում են հետևյալ պահանջները՝
ա) հավաստագրման կենտրոնի նպատակային գործառույթների իրագործման՝ Հանձնաժողովի կողմից սահմանվող՝ հավաստագրման կենտրոնի ապարատային միջոցների փորձարկումների համակարգի հետ համապատասխանության ստուգման անցկացում.
բ) հավաստագրման կենտրոնի՝ երրորդ երկրներում արտադրված ապարատային միջոցների հատուկ ստուգման անցկացում՝ տեղեկատվությունը գաղտնի կերպով ստանալու համար նախատեսված սարքերի հայտնաբերման նպատակով.
գ) հավաստագրման կենտրոնի ապարատային միջոցների ուսումնասիրությունների և BIOS ծրագրային ծածկագրի վերլուծության անցկացում՝ չհայտարարագրված հնարավորությունների առկայությունը բացառելու նպատակով, ինչպես նաև Միության անդամ պետությունների (այսուհետ՝ անդամ պետություններ) օրենսդրությանը համապատասխան սահմանված՝ կողմնակի էլեկտրամագնիսական ճառագայթումների և մակածումների ուղիներով տեղեկատվության արտահոսքից պաշտպանությանը ներկայացվող պահանջներին համապատասխանության մասով ուսումնասիրությունների անցկացում:
IV. Դերերի սահմանազատմանը ներկայացվող պահանջները
10. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվեն հետևյալ պարտադիր դերերը՝
ա) համակարգային ադմինիստրատոր, որի լիազորությունները ներառում են հավաստագրման կենտրոնի միջոցների տեղադրումը, փոխդասավորության և գործունեության ապահովումը, հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամների պրոֆիլների ստեղծումը և պահպանումը, աուդիտի մատյանի պրոֆիլի և պարամետրերի փոխդասավորության ապահովումը.
բ) հավաստագրման ադմինիստրատոր, որի լիազորությունները ներառում են էլեկտրոնային թվային ստորագրության (էլեկտրոնային ստորագրության) (այսուհետ՝ ԷԹՍ) ստուգման բանալիների հավաստագրերի ստեղծումը և չեղարկումը.
գ) աուդիտի ադմինիստրատոր, որի լիազորությունները ներառում են աուդիտի մատյանի վերանայումը, պատճենումը և ամբողջական մաքրումը.
դ) տեղեկատվական անվտանգության կառավարիչը, որի լիազորությունները ներառում են տեղեկատվության ապահովման միջոցների գործունեության հսկողությունը և ապահովումը, հավաստագրման կենտրոնի միջոցների պաշտպանվածության վիճակի վերլուծությունը և հսկողությունը, տեղեկատվություն պաշտպանության կազմակերպչական միջոցների կատարման նկատմամբ հսկողությունը:
11. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվի մեխանիզմ, որը բացառում է տարբեր դերերի լիազորությունների օգտագործման նպատակով հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի մեկ անդամի ավտորիզացման հնարավորությունը:
12. Համակարգային ադմինիստրատորը չպետք է աուդիտի մատյանում փոփոխություններ կատարելու հնարավորություն ունենա:
V. Հավաստագրման կենտրոնի միջոցների ամբողջականությանը ներկայացվող պահանջները
13. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվի մեխանիզմ, որը բացառում է տեղեկատվության, հավաստագրման կենտրոնի համակարգային և (կամ) ապարատային միջոցների չարտոնված պատահական և (կամ) կանխամտածված խեղաթյուրման (փոփոխության, ձևափոխման) և (կամ) ոչնչացման հնարավորությունը (այսուհետ՝ ամբողջականության հսկողություն): Ամբողջականության հսկողության մեխանիզմին ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
14. Ամբողջականության հսկողությունը պետք է իրականացվի օպերացիոն համակարգի յուրաքանչյուր վերագործարկումից հետո մինչև դրա ներբեռնումը, ինչպես նաև հավաստագրման կենտրոնի միջոցների գործունեության ընթացքում դինամիկ կերպով (ամբողջականության դինամիկ հսկողություն):
15. Ամբողջականության դինամիկ հսկողությունը պետք է իրականացվի օրն առնվազն 1 անգամ:
16. Հավաստագրման կենտրոնի ծրագրային և (կամ) ապարատային միջոցների կազմում պետք է առկա լինեն հավաստագրման կենտրոնի ծրագրային միջոցների ամբողջականության վերականգնման միջոցներ:
VI. Հասանելիության կառավարմանը ներկայացվող պահանջները
17. Հավաստագրման կենտրոնի միջոցները պետք է ապահովեն հասանելիության կառավարման կամավոր և պարտադիր սկզբունքների իրագործումը, ինչպես նաև փակ աշխատանքային միջավայրի (ծրագրային այն միջավայրի, որը թույլ է տալիս դրանում ունենալ ծրագրերի և գործընթացների միայն ֆիքսված լրակազմ) ստեղծումը: Հասանելիության կառավարմանը ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
VII. Նույնականացմանը և իսկորոշմանը ներկայացվող պահանջները
18. Նույնականացումը և իսկորոշումը ներառում են հավաստագրման կենտրոնի միջոցների օգտագործողի, հավաստագրման կենտրոնի միջոցների կամ գործընթացի ադմինիստրատորների խմբի անդամի ճանաչում, ինչպես նաև դրանց իսկության ստուգում: Իսկորոշման բացասական արդյունքի դեպքում իսկորոշման մեխանիզմը պետք է արգելափակի այդ սուբյեկտների հասանելիությունը հավաստագրման կենտրոնի գործառույթներին:
19. Հավաստագրման կենտրոնի միջոցներում իսկորոշման ցանկացած իրականացված ընթացակարգի համար պետք է կիրառվի հասանելիության մեկ սուբյեկտի իսկորոշման՝ անընդմեջ հաջորդող փորձերի քանակի սահմանափակման մեխանիզմը, որոնց թիվը չպետք է գերազանցի 20-ը։ Հասանելիության մեկ սուբյեկտի իսկորոշման անընդմեջ հաջորդող փորձերի թիվը գերազանցելու դեպքում հասանելիության այդ սուբյեկտի համար հավաստագրման կենտրոնի միջոցների հասանելիությունը պետք է արգելափակվի 15 րոպեով:
20. Հավաստագրման կենտրոնի միջոցների օգտագործողների գրանցման ընթացակարգի (հավաստագրման կենտրոնի միջոցների օգտագործողների ռեեստրում տվյալների մուտքագրման) նկարագրությունը, այդ թվում՝ գրանցման ժամանակ հավաստագրման կենտրոնի միջոցներն օգտագործողի կողմից անձը հաստատող փաստաթղթերը ներկայացնելու անհրաժեշտության մասին պահանջը պետք է պարունակվեն հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
21. Հավաստագրման կենտրոնի միջոցներին հասանելիություն ձեռք բերող բոլոր անձանց համար պետք է անցկացվի երկգործոն իսկորոշում։
22. Հավաստագրման կենտրոնի միջոցների օգտագործողների և հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամների համար թույլատրվում է իրագործել հեռավար իսկորոշման մեխանիզմներ՝ իսկորոշման հավաստագրերի օգտագործմամբ՝ թույլատրված կրիպտոգրաֆիկ ալգորիթմների հիման վրա:
23. Հավաստագրման կենտրոնի միջոցների լոկալ հասանելիությունը ձեռք բերելիս հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամների իսկորոշումը պետք է կատարվի նախքան այդ միջոցների՝ աշխատանքային վիճակի անցնելը (օրինակ՝ մինչև բազային օպերացիոն համակարգի ներբեռնումը)։
24. Լոկալ իսկորոշման համար պայմանանշանային, պարբերաբար փոփոխվող գաղտնաբառ օգտագործելու դեպքում այն պետք է կազմված լինի առնվազն 8 պայմանանշանից (այն դեպքում, երբ այբուբենի պայմանանշանների ընդհանուր թիվը կազմում է առնվազն 36): Գաղտնաբառի փոփոխման ժամանակահատվածը չպետք է գերազանցի 6 ամիսը։
VIII. Հավաստագրման կենտրոնի կողմից ստացվող կամ փոխանցվող տվյալների պաշտպանությանը ներկայացվող պահանջները
25. Հավաստագրման կենտրոնի ԷԹՍ-ի ստուգման բանալու ինքնաստորագրված հավաստագիրը պետք է պահվի դրա ձևափոխումը կամ խեղաթյուրումը բացառող եղանակով:
26. Հավաստագրման կենտրոնի միջոցները պետք է ապահովեն սահմանափակ հասանելիության տեղեկատվություն պարունակող այն տվյալների փոխանցումը, որոնք ստացվել են հավաստագրման կենտրոնի կողմից կամ փոխանցվում են հավաստագրման կենտրոնից՝ տեղեկատվության չարտոնված հասանելիությունը բացառող եղանակով:
27. Հավաստագրման կենտրոնի միջոցները պետք է իրագործեն կեղծ հաղորդագրություններ (գործողություններ, որոնք էլեկտրոնային փոխգործակցության սուբյեկտների կամ հավաստագրման կենտրոնի միջոցների կողմից ընկալվում են որպես իրական հաղորդագրության փոխանցում՝ չարտոնված հասանելիությունից պաշտպանված եղանակով) պարտադրելուց պաշտպանությունը ԷԹՍ-ի ստուգման բանալու հավաստագրերի օգտագործմամբ՝ թույլատրված կրիպտոգրաֆիկ ալգորիթմները կիրառելու միջոցով: Կեղծ հաղորդագրություններ պարտադրելուց պաշտպանությանը ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
28. Հավաստագրման կենտրոնի միջոցները պետք է իրագործեն հավաստագրման կենտրոնի միջոցների օգտագործողի կողմից նրա համար ԷԹՍ-ի ստուգման բանալու հավաստագրի ստեղծման նախնական հարցման պաշտպանված փոխանցման ընթացակարգը:
29. Հավաստագրման կենտրոնի միջոցները պետք է ընդունեն հավաստագրման կենտրոնի գործունեության համար կրիտիկական տեղեկատվությունն այն դեպքում, երբ այն ստորագրված է ԷԹՍ-ով:
30. Հավաստագրման կենտրոնի միջոցների բոլոր բաղադրիչները պետք է տեղադրվեն հսկվող մեկ գոտում:
IX. Իրադարձությունների գրանցմանը ներկայացվող պահանջները
31. Հավաստագրման կենտրոնի միջոցների օպերացիոն համակարգը պետք է ապահովի աուդիտի այն մատյանի վարումը, որը տեղեկատվություն է պարունակում համակարգային իրադարձությունների և այն իրադարձությունների մասին, որոնք կապված են հավաստագրման կենտրոնի կողմից դրա գործառույթների կատարման հետ:
32. Աուդիտի մատյանում գրանցվող իրադարձությունների ցանկը պետք է պարունակվի հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
33. Աուդիտի մատյանը պետք է հասանելի լինի միայն աուդիտի ադմինիստրատորի համար:
34. Աուդիտի մատյանի ամբողջական մաքրումն անցկացվում է միայն մաքրման ենթակա ամբողջ տեղեկատվությունը պատճենելուց հետո։ Այդպիսի մաքրումից հետո աուդիտի մատյանում որպես առաջին գրառում պետք է ավտոմատ գրանցվի մաքրում անցկացնելու փաստը (նշված մաքրումն անցկացնելու ամսաթվի, ժամի և այն անցկացրած անձի մասին տեղեկատվության նշմամբ)։
X. Հավաստագրման կենտրոնի միջոցների հուսալիությանը և գործունեության կայունությանը ներկայացվող պահանջները
35. Իրականացվում է հավաստագրման կենտրոնի ապարատային միջոցների այնպիսի խափանումների և անսարքությունների առաջացման հավանականության հաշվարկ, որոնք հանգեցնում են հավաստագրման կենտրոնի կողմից դրա գործառույթները չկատարելուն:
36. Հավաստագրման կենտրոնի ապարատային միջոցների այնպիսի խափանումների և անսարքությունների առաջացման հավանականությունն օրվա ընթացքում, որոնք հանգեցնում են հավաստագրման կենտրոնի կողմից դրա գործառույթները չկատարելուն, չպետք է գերազանցի հավաստագրման կենտրոնի կազմում օգտագործվող կրիպտոգրաֆիկ միջոցների խափանումների և անսարքությունների առաջացման նույնանման հավանականությունը։
37. Հավաստագրման կենտրոնի միջոցների (համալիր) հրաժարման միջին աշխատատևությունը կազմում է առնվազն 18 000 ժամ։
38. Պետք է իրականացվի հավաստագրման կենտրոնի միջոցների գործունեության կայունության փորձարկում։
39. Հավաստագրման կենտրոնի միջոցների վերականգնման ժամանակը կազմում է ոչ ավելի, քան 4 ժամ։
40. Հավաստագրման կենտրոնի միջոցների հուսալիության և դրանց գործունեության կայունության բարձրացման միջոցառումներն ու միջոցները պետք է նախատեսեն հավաստագրման կենտրոնի միջոցների ռեսուրսների քվոտավորում։
XI. Առանցքային տեղեկատվության ստեղծմանը, օգտագործմանը, պահպանմանը և ոչնչացմանը ներկայացվող պահանջները
41. Առանցքային տեղեկատվության ստեղծման, օգտագործման, պահպանման և ոչնչացման կարգն ու դրա գործողության ժամկետները որոշվում են ԷԹՍ միջոցների և հավաստագրման կենտրոնի միջոցների կողմից օգտագործվող կրիպտոգրաֆիկ այլ միջոցների շահագործման փաստաթղթերում սահմանված պահանջներին համապատասխան, ինչպես նաև Հանձնաժողովի կողմից հաստատվող՝ տեղեկատվության պաշտպանության ծածկագրման (կրիպտոգրաֆիկ) միջոցների մշակման և արդիականացման սկզբունքներին համապատասխան:
42. Առանցքային տեղեկատվության պատճենումը պետք է իրականացվի հավաստագրման կենտրոնում օգտագործվող կրիպտոգրաֆիկ միջոցների շահագործման փաստաթղթերին համապատասխան։
43. ԷԹՍ-ի այն բանալիները, որոնք օգտագործվում են հավաստագրման կենտրոնի միջոցներով ստեղծվող ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստորագրման և վստահված ժամանակի ծառայության ու հավաստագրերի կարգավիճակների հաստատման ծառայության հաղորդագրությունների ստորագրման համար, պետք է գեներացվեն, պահպանվեն, օգտագործվեն և ոչնչացվեն առանձին կրիպտոգրաֆիկ մոդուլներում (վստահված հաշվիչ սարքերում):
44. ԷԹՍ-ի այն բանալին, որն օգտագործվում է ԷԹՍ-ի ստուգման բանալիների ստեղծվող հավաստագրերի ստորագրման և ԷԹՍ-ի ստուգման բանալիների հավաստագրերի եզակի համարների ցանկի ստորագրման համար, որոնց գործողությունը ժամանակի որոշակի պահին դադարեցվել է հավաստագրման կենտրոնի կողմից մինչև դրանց գործողության ժամկետը լրանալը (այսուհետ՝ հետ կանչված հավաստագրերի ցանկ), չպետք է օգտագործվի այլ նպատակներով:
XII. Տեղեկատվության պահուստային պատճենմանը և հավաստագրման կենտրոնի միջոցների աշխատունակության վերականգնմանը ներկայացվող պահանջները
45. Հավաստագրման կենտրոնի միջոցները պետք է իրականացնեն հավաստագրման կենտրոնի միջոցներով մշակվող տեղեկատվության պահուստային պատճենման և այդպիսի տեղեկատվության ու այդպիսի միջոցների վնասման դեպքում հավաստագրման կենտրոնի ապարատային միջոցների աշխատունակության վերականգնման գործառույթներ: Պահուստային պատճենման ընթացքում պետք է բացառվի կրիպտոգրաֆիկ բանալիների պատճենման հնարավորությունը:
46. Պահուստային պատճենման ժամանակ պահպանված տվյալները պետք է բավարար լինեն հավաստագրման կենտրոնի միջոցների գործունեության՝ մինչև տվյալների պատճենման պահի դրությամբ գրանցված վիճակը վերականգնելու համար:
47. Պետք է ձեռնարկվեն պահպանված տվյալների չարտոնված փոփոխությունների հայտնաբերմանն ուղղված միջոցներ:
48. Հավաստագրման կենտրոնի միջոցների աշխատունակության վերականգնման ժամանակին ներկայացվող պահանջները պետք է սահմանված լինեն հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում, ինչպես նաև հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
49. Պահուստային պատճենման ժամանակ պահպանվող՝ պաշտպանվող տեղեկատվությունը պետք է պահպանվի միայն ծածկագրված ձևով:
XIII. ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծմանը և չեղյալ ճանաչմանը ներկայացվող պահանջները
50. ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծման և չեղյալ ճանաչման արձանագրությունները պետք է նկարագրված լինեն հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
51. Հավաստագրման կենտրոնի կողմից ստեղծվող՝ ԷԹՍ-ի ստուգման բանալիների հավաստագրերը և հետ կանչված հավաստագրերի ցանկերը պետք է համապատասխանեն Հանձնաժողովի կողմից հաստատվող պահանջներին:
52. Հավաստագրման կենտրոնի միջոցները պետք է իրականացնեն ԷԹՍ-ի ստուգման բանալիների ստեղծվող հավաստագրերի՝ Հանձնաժողովի կողմից հաստատվող պահանջներին համապատասխանության հսկողության մեխանիզմ:
53. Հավաստագրման կենտրոնի միջոցները պետք է հետ կանչված հավաստագրերի ցանկերի և OCSP արձանագրության օգտագործմամբ իրականացնեն ԷԹՍ-ի ստուգման բանալու հավաստագրի հետկանչ՝ դրա գործողության դադարեցման կամ չեղյալ ճանաչման դեպքում: Այդպիսի հետկանչի կարգը հաստատվում է Հանձնաժողովի կողմից:
54. Հավաստագրման կենտրոնի միջոցները ԷԹՍ-ի ստուգման բանալու հավաստագրի տիրապետողի նկատմամբ պետք է իրականացնեն ԷԹՍ-ի ստուգման բանալու եզակիության ստուգում և ԷԹՍ-ի համապատասխան բանալուն տիրապետելու ստուգում:
XIV. ԷԹՍ-ի ստուգման բանալիների տրված, գործողությունը դադարած և չեղյալ ճանաչված հավաստագրերի ռեեստրին և դրան հասանելիություն տրամադրելուն ներկայացվող պահանջները
55. Հավաստագրման կենտրոնի միջոցներում պետք է իրականացվեն ԷԹՍ-ի ստուգման բանալիների տրված, գործողությունը դադարած և չեղյալ ճանաչված հավաստագրերի ռեեստրում (այսուհետ՝ հավաստագրերի ռեեստր) ԷԹՍ-ի ստուգման բանալիների՝ հավաստագրման կենտրոնի կողմից տրված, գործողությունը դադարած և չեղյալ ճանաչված հավաստագրերը պահպանելու և ատրիբուտներով փնտրելու մեխանիզմներ, ինչպես նաև հավաստագրերի ռեեստրին ցանցային հասանելիություն տրամադրելու մեխանիզմներ:
56. ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ռեեստրում կատարվող բոլոր փոփոխությունները պետք է գրանցվեն աուդիտի մատյանում:
XV. Կրիպտոգրաֆիկ միջոցներին ներկայացվող պահանջները
57. Հավաստագրման կենտրոնի միջոցները պետք է օգտագործեն ԷԹՍ-ի միջոցներ և կրիպտոգրաֆիկ այլ միջոցներ, որոնք ունեն Հանձնաժողովի գտնվելու պետության լիազորված մարմինների՝ այդ պետության օրենսդրությամբ ԿԱ դասի կրիպտոգրաֆիկ միջոցների նկատմամբ սահմանված պահանջներին համապատասխանության մասին եզրակացություն, և որոնք համապատասխանում են Հանձնաժողովի կողմից հաստատվող՝ տեղեկատվության պաշտպանության ծածկագրման (կրիպտոգրաֆիկ) միջոցների մշակման և արդիականացման սկզբունքներին:
58. ԷԹՍ-ի ստեղծման և ստուգման համար հավաստագրման կենտրոնի միջոցները պետք է օգտագործեն ԷԹՍ-ի միջոցներ, որոնք իրականացվում են կրիպտոգրաֆիկ այն մոդուլի հիման վրա, որն իր կազմում ունի ԷԹՍ-ի ստեղծման (ստուգման) արդյունքների արտացոլման միջոցներ:
XVI. Կրիպտոգրաֆիկ ստանդարտներին ներկայացվող պահանջները
59. Հավաստագրման կենտրոնի միջոցները պետք է օգտագործեն ԷԹՍ-ի այն միջոցները և կրիպտոգրաֆիկ այլ միջոցներ, որոնք իրագործում են կրիպտոգրաֆիկ այն ալգորիթմները, որոնց նույնացուցիչները նշված են Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 թվականի սեպտեմբերի 28-ի թիվ 125 որոշմամբ հաստատված՝ «Եվրասիական տնտեսական միության անդամ պետությունների պետական իշխանության մարմինների՝ միմյանց միջև և Եվրասիական տնտեսական հանձնաժողովի հետ անդրսահմանային փոխգործակցության ժամանակ էլեկտրոնային փաստաթղթերի փոխանակման մասին» հիմնադրույթի թիվ 8 հավելվածում։
XVII. ԷԹՍ-ի ստուգման բանալու հավաստագրի վավերականության ստուգմանը ներկայացվող պահանջները
60. ԷԹՍ-ի ստուգման բանալիների՝ հավաստագրման կենտրոնի կողմից տրվող հավաստագրերում ԷԹՍ-ի ստուգման՝ հավաստագրման կենտրոնի միջոցներում իրագործված մեխանիզմը պետք է նշված լինի հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում: Այդ մեխանիզմը պետք է ապահովի ԷԹՍ-ի ստուգումը ԷԹՍ-ի ստուգման բանալիների՝ հավաստագրման կենտրոնի կողմից տրվող հավաստագրերում՝ ԷԹՍ-ի ստուգման բանալու հավաստագրի ստեղծումից հետո և մինչև դրա տրամադրումը:
61. ԷԹՍ-ի ստուգման բանալու հավաստագրի վավերականությունը ստուգելիս հավաստագրման կենտրոնի միջոցները ստուգում են ԷԹՍ-ի ստուգման բանալիների հավաստագրերի շղթայից յուրաքանչյուր հավաստագրի վավերականությունը, այդ թվում՝ այն ԷԹՍ-ի վավերականությունը, որով ստորագրված են այդ հավաստագրերը: Տվյալ շղթան կազմված է հավաստագրման կենտրոնի ԷԹՍ-ի ստուգման բանալու հիմնական ինքնաստորագրված հավաստագրից և ԷԹՍ-ի ստուգման բանալու ստուգվող հավաստագրից:
XVIII. Լրացուցիչ պահանջներ
62. Կապի ուղիների օգտագործմամբ հավաստագրման կենտրոնի միջոցների վրա հարձակումների կազմակերպման հնարավորությունների սահմանափակման նպատակով պետք է կիրառվեն միջցանցային էկրանավորման միջոցներ, որոնք կիրառվում են կայքերը, վեբ-ծառայությունները և վեբ-հավելվածները սպասարկող սպասարկիչների կողմից: Միջցանցային էկրանավորման միջոցները պետք է ապահովեն տեղեկատվական այն հոսքերի հսկողությունն ու զտումն ըստ հիպերտեքստի փոխանցման արձանագրության, որոնք անցնում են դեպի վեբ-սպասարկիչ և վեբ-սպասարկչից։
63. Պետք է կիրառվեն համակարգչային վիրուսներից պաշտպանության միջոցներ, որոնք ապահովում են պաշտպանվող տեղեկատվության չարտոնված ոչնչացման, արգելափակման, ձևափոխման, պատճենման կամ տեղեկատվության պաշտպանության միջոցների չեզոքացման համար նախատեսված համակարգչային ծրագրերի կամ այլ համակարգչային տեղեկատվության հայտնաբերումը, ինչպես նաև պետք է ապահովվի այդպիսի ծրագրերի և տեղեկատվության հայտնաբերման առնչությամբ արձագանքումը։
64. Պետք է կիրառվեն համակարգչային հարձակումներից պաշտպանության միջոցներ, որոնք ապահովում են այնպիսի գործողությունների հայտնաբերումը, որոնք ուղղված են տեղեկատվության չարտոնված հասանելիություն ստանալուն, հավաստագրման կենտրոնի միջոցների վրա հատուկ ներգործություններ թողնելուն՝ պաշտպանվող տեղեկատվության ստացման, ոչնչացման, խեղաթյուրման և (կամ) դրա հասանելիության արգելափակման նպատակով, ինչպես նաև պետք է ապահովվի այդպիսի գործողությունների առնչությամբ արձագանքումը (այդպիսի գործողությունների կանխումը)։
65. Միջցանցային էկրանավորման միջոցները, համակարգչային վիրուսներից պաշտպանության միջոցները և համակարգչային հարձակումներից պաշտպանության միջոցները պետք է համապատասխանեն անդամ պետությունների լիազորված մարմինների կողմից սահմանվող պահանջներին:
66. Հավաստագրման կենտրոնի միջոցների ուսումնասիրությունները սույն պահանջներին դրանց համապատասխանությունը հաստատելու նպատակով պետք է իրականացվեն անդամ պետությունների լիազորված մարմինների կողմից սահմանվող՝ հավաստագրման կենտրոնի միջոցներում իրագործվող՝ տեղեկատվության պաշտպանության մեխանիզմների պարամետրերի և բնութագրերի թվային արժեքների օգտագործմամբ:
67. Հավաստագրման կենտրոնի միջոցները պետք է շահագործվեն դրանց շահագործման փաստաթղթերին համապատասխան: Հավաստագրման կենտրոնի միջոցների անվտանգ գործունեությունն ապահովելու համար անհրաժեշտ կազմակերպատեխնիկական միջոցառումները պետք է նշվեն հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
|
ՀԱՎԵԼՎԱԾ ԹԻՎ 4 Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջների |
ՊԱՀԱՆՋՆԵՐ
էլեկտրոնային թվային ստորագրության միջոցներին և Եվրասիական տնտեսական հանձնաժողովի հավաստագրման կենտրոնի միջոցներին ներկայացվող
I. Ընդհանուր դրույթներ
1. Սույն պահանջներով սահմանվում են Եվրասիական տնտեսական միության (այսուհետ՝ Միություն) ինտեգրացված տեղեկատվական համակարգի՝ Եվրասիական տնտեսական հանձնաժողովի (այսուհետ՝ Հանձնաժողով) ինտեգրացիոն հատվածում և Հանձնաժողովի տեղեկատվական համակարգերում օգտագործվող էլեկտրոնային թվային ստորագրության (էլեկտրոնային ստորագրության) (այսուհետ՝ ԷԹՍ) միջոցներին, ինչպես նաև Հանձնաժողովի հավաստագրման կենտրոնի (այսուհետ՝ հավաստագրման կենտրոն) այն միջոցներին ներկայացվող պահանջները, որոնք նախատեսված են ԷԹՍ-ի միջոցներ օգտագործող՝ Միության ինտեգրացված տեղեկատվական համակարգի՝ Հանձնաժողովի ինտեգրացիոն հատվածի ենթահամակարգերի և Հանձնաժողովի տեղեկատվական համակարգերի գործունեությունն ապահովելու համար։
II. ԷԹՍ-ի միջոցներին ներկայացվող պահանջները
1. ԷԹՍ-ի միջոցների գործառույթներին
ներկայացվող պահանջները
2. ԷԹՍ-ի ստեղծման ժամանակ ԷԹՍ-ի միջոցները պետք է կատարեն հետևյալ գործողությունները՝
ա) էլեկտրոնային փաստաթուղթը ստորագրող անձին ցույց տալ այն տեղեկատվության բովանդակությունը, որն այդ անձը ստորագրում է.
բ) ստեղծել ԷԹՍ՝ էլեկտրոնային փաստաթուղթը ստորագրող անձի կողմից ԷԹՍ-ի ստեղծման գործողությունը հաստատվելուց հետո.
գ) միանշանակ ցույց տալ, որ ԷԹՍ-ն ստեղծվել է:
3. ԷԹՍ-ի ստուգման ժամանակ ԷԹՍ-ի միջոցները պետք է կատարեն հետևյալ գործողությունները՝
ա) ցույց տալ ԷԹՍ-ով ստորագրված էլեկտրոնային փաստաթղթի բովանդակությունը.
բ) ցույց տալ ԷԹՍ-ով ստորագրված էլեկտրոնային փաստաթղթում փոփոխություններ կատարելու վերաբերյալ տեղեկատվությունը.
գ) ստուգել ԷԹՍ-ի ստուգման բանալու հավաստագիրը տիրապետողին այն ԷԹՍ պատկանելիությունը, որի օգտագործմամբ ստորագրվել է էլեկտրոնային փաստաթուղթը։
4. Սույն պահանջների 2-րդ ու 3-րդ կետերում նշված՝ ԷԹՍ-ի միջոցների գործառույթներին ներկայացվող պահանջներն իրագործվում են ապարատային և ծրագրային այն միջոցների օգտագործմամբ, որոնց հետ միասին նախատեսված ձևով գործում են ԷԹՍ-ի միջոցները, որոնք կարող են ազդել ԷԹՍ-ի միջոցներին ներկայացվող պահանջների կատարման վրա, և որոնց ամբողջությունը ԷԹՍ-ի միջոցների գործունեության միջավայրն է (այսուհետ՝ գործունեության միջավայր)։
2. ԷԹՍ-ի միջոցների ծրագրային ապահովմանը
ներկայացվող պահանջները
5. ԷԹՍ-ի միջոցների ծրագրային ապահովումը չպետք է պարունակի այնպիսի միջոցներ, որոնք թույլ են տալիս ձևափոխել կամ խեղաթյուրել ԷԹՍ-ի միջոցի ծրագրային ապահովման աշխատանքի ալգորիթմները։
6. ԷԹՍ-ի միջոցների ծրագրային ապահովումը պետք է օգտագործի օպերացիոն համակարգի միայն փաստաթղթավորված գործառույթները։
7. ԷԹՍ-ի միջոցի կողմից օգտագործվող համակարգային ծրագրային ապահովումը չպետք է հայտնի խոցելի տեղեր ունենա։
8. ԷԹՍ-ի միջոցների ծրագրային ապահովման ելակետային տեքստերը պետք է ենթարկվեն ստուգման՝ չհայտարարագրված հնարավորությունների բացակայության մասով։ ԷԹՍ-ի միջոցների ծրագրային ապահովումը պետք է համապատասխանի չհայտարարագրված հնարավորությունների բացակայության հսկողության՝ Միության անդամ պետությունների (այսուհետ՝ անդամ պետություններ) լիազորված մարմինների կողմից սահմանվող մակարդակին։
9. ԷԹՍ-ի միջոցների ծրագրային ապահովման կազմի մեջ պետք է մտնի սահմանափակ հասանելիություն ունեցող տեղեկատվության պահպանման համար օգտագործվող օպերատիվ և արտաքին հիշողության մաքրումն ապահովող մեխանիզմ՝ հիշողության մեջ քողարկող տեղեկատվություն (պայմանանշանների պատահական կամ պսևդո-պատահական հաջորդականություն) գրանցելու միջոցով հիշողության ազատման (վերաբաշխման) դեպքում։
10. ԷԹՍ-ի միջոցների ծրագրային ապահովման ելակետային տեքստերը պետք է ենթարկվեն ստուգման՝ տեղեկատվության պաշտպանության և այն հարձակումներին դիմակայելու մեթոդների ու եղանակների իրագործման մասով, որոնք իրականացվում են խախտողի կողմից՝ նախատեսված միջոցների օգտագործմամբ (ինչպես հսկվող գոտու սահմաններից դուրս, այնպես էլ դրա սահմաններում գտնվելու դեպքում)՝ նրա մոտ հաշվիչ տեխնիկայի այն միջոցների հասանելիության առկայության դեպքում, որոնցում իրագործվել են ԷԹՍ-ի միջոցները, ինչպես նաև ԷԹՍ-ի միջոցի և գործունեության միջավայրի ապարատային բաղադրիչներ ունենալու հնարավորության դեպքում այն ծավալով, որը կախված է չարտոնված այնպիսի գործողությունների կանխմանն ու կանխարգելմանն ուղղված միջոցառումներից, որոնք իրականացվել են տեղեկատվական այն համակարգում, որտեղ օգտագործվում է ԷԹՍ-ի միջոցը։
11. ԷԹՍ-ի միջոցների ինժեներական-կրիպտոգրաֆիկ պաշտպանությունը պետք է բացառի այնպիսի իրադարձությունների ի հայտ գալը, որոնք հանգեցնում են հաջող հարձակումների անցկացման հնարավորությանը՝ ԷԹՍ-ի միջոցի ապարատային միջոցների կամ հաշվիչ տեխնիկայի միջոցի ապարատային այն բաղադրիչի հնարավոր անսարքությունների կամ խափանումների պայմաններում, որի վրա իրագործվել է ԷԹՍ-ի ծրագրային միջոցը։
3. ԷԹՍ-ի միջոցների ապարատային միջոցներին
ներկայացվող պահանջները
12. ԷԹՍ-ի միջոցների ապարատային միջոցներին ներկայացվում են հետևյալ պահանջները՝
ա) ԷԹՍ-ի միջոցների նպատակային գործառույթների իրականացման համապատասխանության ստուգման անցկացում՝ Հանձնաժողովի կողմից սահմանվող՝ ԷԹՍ-ի միջոցների ապարատային միջոցների փորձարկումների համակարգի օգտագործմամբ.
բ) ԷԹՍ-ի միջոցների ապարատային միջոցների գործունեության հուսալիության պարամետրերի գնահատման անցկացում.
գ) ԷԹՍ-ի միջոցների ապարատային միջոցների ուսումնասիրությունների անցկացում՝ Հանձնաժողովի գտնվելու պետության լիազորված մարմնի կողմից սահմանված՝ կողմնակի էլեկտրամագնիսական ճառագայթումների և մակածումների ուղիներով տեղեկատվության արտահոսքից պաշտպանությանը ներկայացվող պահանջներին համապատասխանության մասով։
4. ԷԹՍ-ի միջոցների ամբողջականությանը
ներկայացվող պահանջները
13. ԷԹՍ-ի միջոցներում պետք է իրագործվի տեղեկատվության չարտոնված պատահական և (կամ) կանխամտածված խեղաթյուրման (փոփոխման, ձևափոխման) և (կամ) ոչնչացման, ինչպես նաև ԷԹՍ-ի միջոցի ձևափոխման հսկողության (այսուհետ՝ ամբողջականության հսկողություն) մեխանիզմ։
14. Ամբողջականության հսկողությունը պետք է իրականացվի օպերացիոն համակարգի յուրաքանչյուր վերաբեռնման ժամանակ՝ նախքան դրա ներբեռնումը, և ԷԹՍ-ի միջոցի գործունեության ընթացքում (ամբողջականության դինամիկ հսկողություն), ինչպես նաև շահագործման վայրերում ԷԹՍ-ի միջոցի կանոնակարգային ստուգումների ընթացքում (ամբողջականության կանոնակարգային հսկողություն)։
15. Ամբողջականության դինամիկ հսկողությունը պետք է իրականացվի առնվազն օրը 1 անգամ: Ամբողջականության կանոնակարգային հսկողության մեխանիզմը պետք է իրագործվի ԷԹՍ-ի միջոցի կազմում։ Ամբողջականության կանոնակարգային հսկողության իրականացման պարբերականությունը պետք է սահմանվի և հիմնավորվի ԷԹՍ-ի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքներում։
16. Հավաստագրման կենտրոնի ծրագրային և (կամ) ապարատային միջոցների կազմի մեջ պետք է մտնեն ԷԹՍ-ի միջոցի ամբողջականության վերականգնման միջոցներ:
5. Հասանելիության կառավարմանը ներկայացվող պահանջները
17. ԷԹՍ-ի միջոցների կամ գործունեության միջավայրի կազմի մեջ պետք է մտնեն այնպիսի բաղադրիչներ, որոնք ապահովում են հասանելիության սուբյեկտների համար ԷԹՍ-ի միջոցների տարբեր բաղադրիչների և (կամ) նպատակային գործառույթների հասանելիության կառավարումը տեղեկատվական այն համակարգերի ադմինիստրատորների կողմից սահմանված պարամետրերի հիման վրա, որոնցում օգտագործվում են ԷԹՍ-ի միջոցները, կամ ԷԹՍ-ի միջոցները մշակողների կողմից սահմանված պարամետրերի հիման վրա: Նշված բաղադրիչներին ներկայացվող պահանջները սահմանվում և հիմնավորվում են ԷԹՍ-ի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքներում:
6. Նույնականացմանը և իսկորոշմանը ներկայացվող պահանջները
18. Նույնականացումն ու իսկորոշումը ներառում են ԷԹՍ-ի միջոցները կամ գործընթացն օգտագործողի ճանաչումը, ինչպես նաև դրանց իսկության ստուգումը: Իսկորոշման բացասական արդյունքի դեպքում իսկորոշման մեխանիզմը պետք է արգելափակի հասանելիության այդ սուբյեկտների համար ԷԹՍ-ի միջոցների գործառույթների հասանելիությունը:
19. Իսկորոշման ցանկացած իրականացված ընթացակարգի համար ԷԹՍ-ի միջոցներում պետք է կիրառվի հասանելիության մեկ սուբյեկտի իսկորոշման անընդմեջ հաջորդող փորձերի քանակի սահմանափակման մեխանիզմ, որոնց թիվը չպետք է գերազանցի 3-ը:
Հասանելիության մեկ սուբյեկտի իսկորոշման անընդմեջ հաջորդող փորձերի թիվը գերազանցելու դեպքում հասանելիության այդ սուբյեկտի համար ԷԹՍ-ի միջոցների հասանելիությունը պետք է արգելափակվի ԷԹՍ-ի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքներով սահմանված ժամանակահատվածով:
20. ԷԹՍ-ի միջոցների հասանելիություն ունեցող անձանց համար պետք է անցկացվի երկգործոն իսկորոշում:
21. Թույլատրվում է կիրառել հեռավար իսկորոշման մեխանիզմներ՝ թույլատրված կրիպտոգրաֆիկ ալգորիթմների հիման վրա՝ իսկորոշման հավաստագրերի օգտագործմամբ։
22. ԷԹՍ-ի միջոցի լոկալ հասանելիությունն ապահովելիս ԷԹՍ-ի միջոցն օգտագործողի իսկորոշումը պետք է կատարվի նախքան այդ միջոցի՝ աշխատանքային վիճակի անցնելը (օրինակ՝ նախքան ԷԹՍ-ի միջոցի կողմից օգտագործվող օպերացիոն համակարգի ներբեռնումը)։
23. Լոկալ իսկորոշման համար պայմանանշանային, պարբերաբար փոփոխվող գաղտնաբառ օգտագործելու դեպքում այն պետք է կազմված լինի առնվազն 8 պայմանանշանից (այն դեպքում, երբ այբուբենի պայմանանշանների ընդհանուր թիվը կազմում է առնվազն 36): Գաղտնաբառի փոփոխման ժամանակահատվածը չպետք է գերազանցի 6 ամիսը։
7. Իրադարձությունների գրանցմանը ներկայացվող պահանջները
24. ԷԹՍ-ի միջոցների կազմի մեջ պետք է մտնի այնպիսի միջոց, որն իրականացնում է պաշտպանված էլեկտրոնային մատյանում այն իրադարձությունների գրանցումը, որոնք կապված են ԷԹՍ-ի միջոցների կողմից իրենց նպատակային գործառույթների կատարման հետ։ Նշված միջոցին ներկայացվող պահանջները և գրանցվող իրադարձությունների ցանկը սահմանվում են ԷԹՍ-ի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքներում։
25. Իրադարձությունների գրանցման էլեկտրոնային մատյանը պետք է հասանելի լինի միայն այն տեղեկատվական համակարգի օպերատորի կողմից սահմանված անձանց համար, որում օգտագործվում է ԷԹՍ-ի միջոցը։ Իրադարձությունների գրանցման էլեկտրոնային մատյանի հասանելիությունը պետք է տրամադրվի գրառումները դիտելու և դրա պարունակությունը արխիվային կրիչների վրա տեղափոխելու նպատակով։ ԷԹՍ-ի միջոցն օգտագործողի համար մատյանը պետք է հասանելի լինի միայն դիտելու համար։
8. ԷԹՍ-ի միջոցների հուսալիությանը և դրանց գործունեության կայունությանը ներկայացվող պահանջները
26. Կատարվում է ԷԹՍ-ի միջոցների ապարատային միջոցների այն խափանումների և անսարքությունների հավանականության հաշվարկ, որոնք հանգեցնում են ԷԹՍ-ի միջոցների կողմից իրենց գործառույթները չկատարելուն։
27. ԷԹՍ-ի միջոցների ապարատային միջոցների հրաժարման միջին աշխատատևությունը կազմում է առնվազն 10 000 ժամ։
9. Առանցքային տեղեկատվությանը ներկայացվող պահանջները
28. ԷԹՍ-ի բանալիների մշակումը պետք է կատարվի ԷԹՍ-ի միջոցի կողմից՝ պատահական թվերի ֆիզիկական տվիչի օգտագործմամբ (արտաքին պայմանների և սեփական պարամետրերի իրապես հնարավոր փոփոխությունների նկատմամբ կայուն՝ չդետերմինացվող ֆիզիկակական համակարգի կողմից գեներացվող պատահական գործընթացի ազդանշանի կերպափոխման միջոցով թվերի պատահական հաջորդականություն մշակող սարք), որը ԷԹՍ-ի միջոցի կազմի մեջ է մտնում։
29. ԷԹՍ-ի միջոցի կազմի մեջ մտնող՝ պատահական թվերի ֆիզիկական տվիչի համար պետք է մշակվի այդ տվիչում օգտագործվող պատահական ֆիզիկական գործընթացի տեսական հավանականության մոդելը, և պետք է անցկացվի պատահական թվերի համապատասխան ֆիզիկական տվիչի իրագործմանը նշված մոդելի համապատասխանության փորձնական ստուգում։ Տեսական հավանականության մոդելի պարամետրերի հիման վրա պետք է տեսականորեն հիմնավորվի պատահական թվերի ֆիզիկական տվիչի ելքային հաջորդականության որակի գնահատականը և անցկացվի այդ գնահատականի վիճակագրական ստուգում՝ պատահական թվերի ֆիզիկական տվիչի իրագործման նպատակով։
30. ԷԹՍ-ի միջոցի շահագործման դեպքում պետք է անցկացվի պատահական թվերի ֆիզիկական տվիչի ելքային հաջորդականության որակի վիճակագրական ստուգում։ Տվյալ ստուգումը պետք է անցկացվի՝
ա) պատահական թվերի ֆիզիկական տվիչի կանոնակարգային ստուգումների անցկացման ընթացքում (կանոնակարգային հսկողություն).
բ) ԷԹՍ-ի միջոցի գործունեության ընթացքում՝ ավտոմատ ռեժիմով (դինամիկ հսկողություն)։
31. Կանոնակարգային հսկողության անցկացման պարբերականությունը և պատահական թվերի ֆիզիկական տվիչի ելքային հաջորդականության որակի վիճակագրական ստուգման եղանակը կանոնակարգային և դինամիկ հսկողություն իրականացնելու ընթացքում սահմանվում են ԷԹՍ-ի միջոցի մշակման (արդիականացման) տեխնիկական առաջադրանքում։
32. Առանցքային տեղեկատվության ստեղծման, օգտագործման, պահպանման և ոչնչացման կարգը սահմանվում է ԷԹՍ-ի միջոցի շահագործման փաստաթղթերով սահմանված պահանջներին համապատասխան, ինչպես նաև այն անդամ պետության օրենսդրությամբ, որի վստահված երրորդ կողմի միջոցների կազմի մեջ է մտնում ԷԹՍ-ի միջոցը։ Հանձնաժողովի վստահված երրորդ կողմի միջոցների առնչությամբ նշված կարգը կանոնակարգվում է Միության մարմինների ակտերով։
33. Առանցքային փաստաթղթերի պատճենումը պետք է իրականացվի ԷԹՍ-ի միջոցի շահագործման փաստաթղթերին համապատասխան։ Չի թույլատրվում ԷԹՍ-ի բանալիների պատճենումը մասնագիտացված առանցքային կրիչներ չհանդիսացող կրիչների (օրինակ՝ կոշտ սկավառակի) վրա՝ առանց դրանց նախնական ծածկագրման։
34. ԷԹՍ-ի միջոցի առանցքային տեղեկատվության հետ գործողությունների իրականացումն ապահովող կրիպտոգրաֆիկ արձանագրությունները պետք է իրագործվեն ԷԹՍ-ի միջոցում։
35. ԷԹՍ-ի միջոցի կողմից օգտագործվող՝ ԷԹՍ-ի բանալիների ու ԷԹՍ-ի ստուգման բանալիների գործողության ժամկետները սահմանվում են ԷԹՍ-ի միջոցի շահագործման փաստաթղթերին համապատասխան, սակայն չպետք է կազմեն համապատասխանաբար 1 տարի և 3 ամսից ու 7 տարուց ավելի։
36. ԷԹՍ-ի միջոցում պետք է իրագործվի ԷԹՍ-ի բանալու գործողության ժամկետի հսկողության մեխանիզմ։ ԷԹՍ-ի բանալու գործողության ժամկետի հսկողության մեխանիզմը պետք է թույլ տա սահմանել ԷԹՍ-ի բանալու գործողության ժամկետը և ազդանշանել դրա գործողության ժամկետի ավարտի մասին սահմանված ժամանակահատվածում՝ մինչև ԷԹՍ-ի բանալու գործողության ժամկետի ավարտը, ինչպես նաև արգելափակել ԷԹՍ-ի այն միջոցի աշխատանքը, որի ԷԹՍ-ի բանալու գործողության ժամկետն ավարտվել է։ ԷԹՍ-ի բանալու գործողության ժամկետի ավարտի մասին ազդանշանման ժամանակահատվածը սահմանվում է ԷԹՍ-ի միջոցի մշակման (արդիականացման) տեխնիկական առաջադրանքում։
10. Կրիպտոգրաֆիկ ստանդարտներին ներկայացվող պահանջները
37. ԷԹՍ-ի միջոցը պետք է իրագործի կրիպտոգրաֆիկ ալգորիթմները՝ Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 թվականի փետրվարի 3-ի թիվ 10 (ԾՕՀ) որոշմանը համապատասխան։
11. ԷԹՍ-ի ստուգման բանալու հավաստագրի վավերականության ստուգմանը ներկայացվող պահանջները
38. ԷԹՍ-ի միջոցն ստուգում է ԷԹՍ-ի ստուգման բանալիների հավաստագրերի շղթայից յուրաքանչյուր հավաստագրի վավերականությունը, այդ թվում՝ այն ԷԹՍ-ների վավերականությունը, որոնցով ստորագրված են այդ հավաստագրերը: Տվյալ շղթան կազմված է հավաստագրման կենտրոնի ԷԹՍ-ի ստուգման բանալու հիմնական ինքնաստորագրված հավաստագրից և ԷԹՍ-ի ստուգման բանալու այն հավաստագրից, որը ԷԹՍ-ի միջոցի կողմից օգտագործվում է ԷԹՍ-ի ստուգման համար:
12. Լրացուցիչ պահանջներ
39. Սույն պահանջներին ԷԹՍ-ի միջոցների համապատասխանության հաստատման նպատակով դրանց ուսումնասիրությունները պետք է անցկացվեն ԷԹՍ-ի միջոցներում իրագործվող պաշտպանության մեխանիզմների պարամետրերի և բնութագրերի թվային արժեքների օգտագործմամբ, որոնք սահմանվում են Հանձնաժողովի գտնվելու պետության լիազորված մարմնի կողմից։
III. Հավաստագրման կենտրոնի միջոցներին
ներկայացվող պահանջները
1. Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովմանը ներկայացվող պահանջները
40. Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովումը չպետք է պարունակի միջոցներ, որոնք թույլ են տալիս ձևափոխել կամ խեղաթյուրել հավաստագրման կենտրոնի ծրագրային և ապարատային միջոցների աշխատանքի ալգորիթմները:
41. Հավաստագրման կենտրոնի միջոցների համակարգային և կիրառական ծրագրային ապահովումը չպետք է հայտնի խոցելի տեղեր ունենա։
42. Հավաստագրման կենտրոնի միջոցների կիրառական ծրագրային ապահովումը և հավաստագրման կենտրոնի կողմից օգտագործվող՝ տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների ծրագրային ապահովումը պետք է օգտագործեն համակարգային ծրագրային ապահովման միայն փաստաթղթավորված գործառույթներ:
43. Հավաստագրման կենտրոնի միջոցների համակարգային և կիրառական ծրագրային ապահովումը պետք է ապահովի հավաստագրման կենտրոնի միջոցների համակարգային ադմինիստրատորի, հավաստագրման կենտրոնի միջոցների հավաստագրման ադմինիստրատորի, հավաստագրման կենտրոնի միջոցների օպերատորների և հավաստագրման կենտրոնի օգտագործողների՝ հավաստագրման կենտրոնի միջոցներով մշակվող տեղեկատվությանը հասանելիության սահմանափակումը՝ հավաստագրման կենտրոնի միջոցների համակարգային ադմինիստրատորի կողմից սահմանված՝ հասանելիության սահմանափակման կանոններին համապատասխան:
44. Հավաստագրման կենտրոնի միջոցների համակարգային և (կամ) կիրառական ծրագրային ապահովման կազմի մեջ պետք է մտնի մեխանիզմ, որն ապահովում է սահմանափակ հասանելիության տեղեկատվության պահպանման համար օգտագործվող՝ օպերատիվ և արտաքին հիշողության մաքրումը:
45. Հավաստագրման կենտրոնի միջոցների համակարգային և կիրառական ծրագրային ապահովման ելակետային տեքստերը պետք է անցնեն հարձակումներին դիմակայելու տեղեկատվության պաշտպանության մեթոդների և եղանակների իրագործման ստուգում, որոնց նախապատրաստման և անցկացման համար օգտագործվում են խախտողի հնարավորությունները, որոնք նշված են Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2017 թվականի մայիսի 30-ի թիվ 58 (ԾՕՀ) որոշմամբ հաստատված՝ Եվրասիական տնտեսական հանձնաժողովի հավաստագրման կենտրոնում տեղեկատվության անվտանգության սպառնալիքների և խախտում կատարողի գործողությունների մոդելներում:
46. Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովման կազմի մեջ պետք է ընդգրկվի մեխանիզմ, որն ապահովում է կայունությունն արտաքին ցանցերից համակարգչային հարձակումների նկատմամբ:
47. Հավաստագրման կենտրոնի միջոցների կիրառական ծրագրային ապահովումը պետք է չհայտարարագրված հնարավորությունների բացակայության ստուգում անցնի։ Հավաստագրման կենտրոնի միջոցների ծրագրային ապահովումը պետք է համապատասխանի չհայտարարագրված հնարավորությունների բացակայության հսկողության՝ Հանձնաժողովի գտնվելու պետության լիազորված մարմնի կողմից սահմանված մակարդակին։
2. Հավաստագրման կենտրոնի ապարատային միջոցներին ներկայացվող պահանջները
48. Հավաստագրման կենտրոնի ապարատային միջոցներին ներկայացվում են հետևյալ պահանջները՝
ա) հավաստագրման կենտրոնի նպատակային գործառույթների իրագործման՝ Հանձնաժողովի կողմից սահմանվող՝ հավաստագրման կենտրոնի ապարատային միջոցների փորձարկումների համակարգի օգտագործման հետ համապատասխանության ստուգման անցկացում.
բ) հավաստագրման կենտրոնի ապարատային միջոցների աշխատանքի հուսալիության պարամետրերի գնահատման անցկացում.
գ) Հանձնաժողովի գտնվելու պետության լիազորված մարմնի կողմից սահմանվող՝ կողմնակի էլեկտրամագնիսական ճառագայթումների և մակածումների ուղիներով տեղեկատվության արտահոսքից պաշտպանությանը ներկայացվող պահանջներին հավաստագրման կենտրոնի ապարատային միջոցների համապատասխանության ուսումնասիրությունների անցկացում։
3. Դերերի սահմանազատմանը ներկայացվող պահանջները
49. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվեն հետևյալ պարտադիր դերերը՝
ա) համակարգային ադմինիստրատոր, որի լիազորությունները ներառում են հավաստագրման կենտրոնի միջոցների տեղադրումը, փոխդասավորության և աշխատանքի ապահովումը, հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամների պրոֆիլների ստեղծումը և պահպանումը, աուդիտի մատյանի պրոֆիլի և պարամետրերի փոխդասավորության ապահովումը.
բ) հավաստագրման ադմինիստրատոր, որի լիազորությունները ներառում են ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծումն ու չեղարկումը.
գ) աուդիտի ադմինիստրատոր, որի լիազորությունները ներառում են աուդիտի մատյանի ստուգումը և վարումը.
դ) օպերատոր, որի լիազորությունները ներառում են հայտատուների գրանցումը և ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստուգման հարցումների ձևավորումը:
50. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվի մեխանիզմ, որը բացառում է տարբեր դերերի լիազորությունների օգտագործման նպատակով հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի մեկ անդամի ավտորիզացման հնարավորությունը:
51. Օպերատորը չպետք է աուդիտի մատյանում փոփոխություններ կատարելու հնարավորություն ունենա:
4. Հավաստագրման կենտրոնի միջոցների ամբողջականությանը ներկայացվող պահանջները
52. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվի ամբողջականության հսկողության մեխանիզմ, որին ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում։
53. Ամբողջականության հսկողությունը պետք է իրականացվի օպերացիոն համակարգի յուրաքանչյուր վերագործարկման ժամանակ՝ նախքան դրա վերաբեռնումը, և հավաստագրման կենտրոնի միջոցների աշխատանքի ընթացքում (ամբողջականության դինամիկ հսկողություն)։
54. Ամբողջականության դինամիկ հսկողությունը պետք է կատարվի օրն առնվազն 1 անգամ։
55. Հավաստագրման կենտրոնի ծրագրային և (կամ) ապարատային միջոցների կազմում պետք է ներառվեն հավաստագրման կենտրոնի ծրագրային միջոցների ամբողջականության վերականգնման միջոցները։
5. Հասանելիության կառավարմանը ներկայացվող պահանջները
56. Հավաստագրման կենտրոնի միջոցները պետք է ապահովեն հասանելիության կառավարման կամավոր և պարտադիր սկզբունքների իրագործումը, ինչպես նաև փակ աշխատանքային միջավայրի ստեղծումը (ծրագրային միջավայր, որը թույլ է տալիս դրանում ունենալ ծրագրերի և գործընթացների միայն ֆիքսված լրակազմ)։ Հասանելիության կառավարմանը ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
6. Նույնականացմանը և իսկորոշմանը ներկայացվող պահանջները
57. Նույնականացումն ու իսկորոշումը ներառում են հավաստագրման կենտրոնի միջոցներն օգտագործողի, հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամի կամ գործընթացի ճանաչումը, ինչպես նաև դրանց իսկության ստուգումը։ Իսկորոշման բացասական արդյունքի դեպքում իսկորոշման մեխանիզմը պետք է արգելափակի հասանելիության սուբյեկտների հասանելիությունը հավաստագրման կենտրոնի գործառույթներին:
58. Հավաստագրման կենտրոնի միջոցներում իսկորոշման ցանկացած իրագործված ընթացակարգի համար պետք է կիրառվի հասանելիության մեկ սուբյեկտի իսկորոշման անընդմեջ հաջորդող փորձերի քանակի սահմանափակման մեխանիզմը, որոնց թիվը չպետք է գերազանցի 3-ը։ Հասանելիության մեկ սուբյեկտի իսկորոշման անընդմեջ հաջորդող փորձերի թիվը գերազանցելու դեպքում հասանելիության այդ սուբյեկտի համար հավաստագրման կենտրոնի միջոցներին հասանելիությունը պետք է արգելափակվի որոշակի ժամանակահատվածով, որը սահմանվում է հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում։
59. Հավաստագրման կենտրոնի միջոցներն օգտագործողների գրանցման ընթացակարգի (հավաստագրման կենտրոնի միջոցներն օգտագործողների ռեեստրում տվյալների մուտքագրման) նկարագրությունը, այդ թվում՝ գրանցման ժամանակ հավաստագրման կենտրոնի միջոցներն օգտագործողի կողմից անձը հաստատող փաստաթղթեր ներկայացնելու անհրաժեշտության մասին պահանջը պետք է պարունակվեն հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում։
60. Հավաստագրման կենտրոնի միջոցներին հասանելիություն ձեռք բերող անձանց համար պետք է անցկացվի երկգործոն իսկորոշում։
61. Հավաստագրման կենտրոնի միջոցներն օգտագործողների և հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամների մասով թույլատրվում է օգտագործել հեռավար իսկորոշման մեխանիզմներ՝ թույլատրված կրիպտոգրաֆիկ ալգորիթմների հիման վրա՝ իսկորոշման հավաստագրերի օգտագործմամբ:
62. Հավաստագրման կենտրոնի միջոցներին լոկալ հասանելիություն ձեռք բերելիս հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամների իսկորոշումը պետք է կատարվի նախքան այդ միջոցների՝ աշխատանքային վիճակի անցնելը (օրինակ՝ մինչև բազային օպերացիոն համակարգի ներբեռնումը)։
63. Լոկալ իսկորոշման համար պայմանանշանային, պարբերաբար փոփոխվող գաղտնաբառ օգտագործելու դեպքում այն պետք է կազմված լինի առնվազն 8 պայմանանշանից (այն դեպքում, երբ այբուբենի պայմանանշանների ընդհանուր թիվը կազմում է առնվազն 36): Գաղտնաբառի փոփոխման ժամանակահատվածը չպետք է գերազանցի 6 ամիսը։
7. Հավաստագրման կենտրոնի կողմից ստացվող կամ փոխանցվող տվյալների պաշտպանությանը ներկայացվող պահանջները
64. Հավաստագրման կենտրոնի ԷԹՍ-ի ստուգման բանալու ինքնաստորագրված հավաստագիրը պետք է պահվի դրա ձևափոխումը կամ խեղաթյուրումը բացառող եղանակով:
65. Հավաստագրման կենտրոնի միջոցները պետք է ապահովեն սահմանափակ հասանելիության տեղեկատվություն պարունակող այն տվյալների փոխանցումը, որոնք ստացվել են հավաստագրման կենտրոնի կողմից կամ փոխանցվում են հավաստագրման կենտրոնից՝ տեղեկատվության չարտոնված հասանելիությունը բացառող եղանակով:
66. Հավաստագրման կենտրոնի միջոցները պետք է իրագործեն կեղծ հաղորդագրություններ պարտադրելուց պաշտպանությունը (գործողություն, որը էլեկտրոնային փոխգործակցության սուբյեկտների կամ հավաստագրման կենտրոնի միջոցների կողմից ընկալվում է որպես իրական հաղորդագրության փոխանցում՝ չարտոնված հասանելիությունից պաշտպանված եղանակով)՝ թույլատրված կրիպտոգրաֆիկ ալգորիթմների հիման վրա՝ ԷԹՍ-ի ստուգման բանալու հավաստագրերի օգտագործմամբ։ Կեղծ հաղորդագրություններ պարտադրելուց պաշտպանության ընթացակարգին ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
67. Հավաստագրման կենտրոնի միջոցները պետք է իրագործեն հավաստագրման կենտրոնի միջոցներն օգտագործողի կողմից իր համար ԷԹՍ-ի ստուգման բանալու հավաստագրի ստեղծման սկզբնական հարցման պաշտպանված փոխանցման ընթացակարգ։
68. Հավաստագրման կենտրոնի միջոցները պետք է ընդունեն հավաստագրման կենտրոնի գործունեության համար կրիտիկական տեղեկատվությունն այն դեպքում, երբ այն ստորագրված է ԷԹՍ-ով:
69. Հավաստագրման կենտրոնի միջոցների բաղադրիչները պետք է տեղադրվեն մեկ հսկվող գոտում:
8. Իրադարձությունների գրանցմանը ներկայացվող պահանջները
70. Հավաստագրման կենտրոնի միջոցների օպերացիոն համակարգը պետք է ապահովի համակարգային իրադարձությունների մասին տեղեկատվություն պարունակող՝ աուդիտի մատյանի վարումը։ Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվի հավաստագրման կենտրոնի կողմից իր գործառույթները կատարելու հետ կապված իրադարձությունների՝ աուդիտի մատյանում ընտրանքային գրանցման մեխանիզմը։
71. Գրանցվող իրադարձությունների ցանկը պետք է պարունակվի հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
72. Պետք է միջոցներ ձեռնարկվեն՝ հայտնաբերելու համար հավաստագրման կենտրոնի միջոցների ադմինիստրատորների խմբի անդամ չհանդիսացող՝ հավաստագրման կենտրոնի միջոցներն օգտագործողների կողմից աուդիտի մատյանում չարտոնված փոփոխություններ կատարելու դեպքերը։
9. Հավաստագրման կենտրոնի միջոցների հուսալիությանը և գործունեության կայունությանը ներկայացվող պահանջները
73. Հավաստագրման կենտրոնի միջոցների հուսալիությանը և գործունեության կայունությանը ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
74. Կատարվում է հավաստագրման կենտրոնի ապարատային միջոցների այնպիսի խափանումների և անսարքությունների առաջացման հավանականության հաշվարկ, որոնք հանգեցնում են հավաստագրման կենտրոնի կողմից իր գործառույթները չկատարելուն:
75. Հավաստագրման կենտրոնի ապարատային միջոցների այնպիսի խափանումների և անսարքությունների առաջացման հավանականությունն օրվա ընթացքում, որոնք հանգեցնում են հավաստագրման կենտրոնի կողմից իր գործառույթները չկատարելուն, չպետք է գերազանցի հավաստագրման կենտրոնի կազմում օգտագործվող կրիպտոգրաֆիկ միջոցների խափանումների և անսարքությունների առաջացման նույնանման հավանականությունը։
76. Հավաստագրման կենտրոնի միջոցների (համալիր) միջին աշխատատևությունը մինչև խափանումը կազմում է առնվազն 10 000 ժ։
77. Պետք է իրականացվի հավաստագրման կենտրոնի միջոցների գործունեության կայունության փորձարկում։
78. Խափանումից հետո հավաստագրման կենտրոնի միջոցների վերականգնման ժամանակին ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում:
79. Հավաստագրման կենտրոնի միջոցների հուսալիության և դրանց գործունեության կայունության բարձրացման միջոցներն ու եղանակները պետք է նախատեսեն հավաստագրման կենտրոնի միջոցների ռեսուրսների քվոտավորում։
10. Առանցքային տեղեկատվության ստեղծմանը, օգտագործմանը, պահպանմանը և ոչնչացմանը ներկայացվող պահանջները
80. Առանցքային տեղեկատվության ստեղծման, օգտագործման, պահպանման և ոչնչացման կարգը, ինչպես նաև դրա գործողության ժամկետները սահմանվում են ԷԹՍ-ի միջոցների և հավաստագրման կենտրոնի միջոցների կողմից օգտագործվող կրիպտոգրաֆիկ այլ միջոցների շահագործման փաստաթղթերում սահմանված պահանջներին և Հանձնաժողովի կողմից հաստատվող՝ տեղեկատվության պաշտպանության ծածկագրման (կրիպտոգրաֆիկ) միջոցների մշակման և արդիականացման սկզբունքներին համապատասխան:
81. Առանցքային տեղեկատվության պատճենումը պետք է իրականացվի օգտագործվող կրիպտոգրաֆիկ միջոցների շահագործման փաստաթղթերին համապատասխան։ Չի թույլատրվում առանցքային փաստաթղթերի (կրիպտոգրաֆիկ բանալիների, այդ թվում՝ ԷԹՍ-ի բանալիների) տեղեկատվությունը պատճենել կրիչների վրա (օրինակ՝ կոշտ սկավառակի), որոնք մասնագիտացված առանցքային կրիչներ չեն, առանց դրա նախնական ծածկագրման, որը պետք է իրականացվի տեղեկատվության կրիպտոգրաֆիկ պաշտպանության օգտագործվող միջոցի ներկառուցված գործառույթի կիրառմամբ։
82. ԷԹՍ-ի այն բանալին, որն օգտագործվում է ԷԹՍ-ի ստուգման բանալիների ստեղծվող հավաստագրերի և ԷԹՍ-ի ստուգման բանալիների հավաստագրերի եզակի համարների ցանկի ստորագրման համար, որոնց գործողությունը ժամանակի որոշակի պահին դադարեցվել է հավաստագրման կենտրոնի կողմից մինչև դրանց գործողության ժամկետը լրանալը (այսուհետ՝ հետ կանչված հավաստագրերի ցանկ), չպետք է օգտագործվի այլ նպատակներով:
11. Տեղեկատվության պահուստային պատճենմանը և հավաստագրման կենտրոնի միջոցների աշխատունակության վերականգնմանը ներկայացվող պահանջները
83. Հավաստագրման կենտրոնի միջոցները պետք է իրագործեն հավաստագրման կենտրոնի միջոցներով մշակվող տեղեկատվության պահուստային պատճենման և այդ տեղեկատվության ու այդ միջոցների վնասման դեպքում հավաստագրման կենտրոնի ապարատային միջոցների աշխատունակության վերականգնման գործառույթներ։ Պահուստային պատճենման ընթացքում պետք է բացառվի կրիպտոգրաֆիկ բանալիների պատճենման հնարավորությունը:
84. Պահուստային պատճենման ժամանակ պահպանված տվյալները պետք է բավարար լինեն հավաստագրման կենտրոնի միջոցների գործունեության՝ մինչև տվյալների պատճենման պահի դրությամբ գրանցված վիճակը վերականգնելու համար:
85. Պետք է ձեռնարկվեն պահպանված տվյալների չարտոնված փոփոխությունների հայտնաբերմանն ուղղված միջոցներ:
86. Հավաստագրման կենտրոնի միջոցների աշխատունակության վերականգնման ժամանակին ներկայացվող պահանջները սահմանվում են հավաստագրման կենտրոնի միջոցների մշակման (արդիականացման) տեխնիկական առաջադրանքում և հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
12. ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծմանը և չեղարկմանը ներկայացվող պահանջները
87. ԷԹՍ-ի ստուգման բանալիների հավաստագրերի ստեղծման և չեղարկման արձանագրությունները պետք է նկարագրված լինեն հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
88. Հավաստագրման կենտրոնի կողմից ստեղծվող ԷԹՍ-ի ստուգման բանալիների հավաստագրերը և հետ կանչված հավաստագրերի ցանկերը պետք է համապատասխանեն Եվրասիական տնտեսական հանձնաժողովի խորհրդի 2018 թվականի դեկտեմբերի 5-ի թիվ 96 որոշմամբ հաստատված՝ Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջների թիվ 5 հավելվածով սահմանված պահանջներին:
89. Հավաստագրման կենտրոնի միջոցները պետք է իրագործեն Եվրասիական տնտեսական հանձնաժողովի խորհրդի 2018 թվականի դեկտեմբերի 5-ի թիվ 96 որոշմամբ հաստատված՝ Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջների թիվ 5 հավելվածով սահմանված պահանջներին ԷԹՍ-ի ստուգման բանալիների ստեղծվող հավաստագրերի համապատասխանության հսկողության մեխանիզմ:
90. Հավաստագրման կենտրոնի միջոցները հետ կանչված հավաստագրերի ցանկերի օգտագործմամբ պետք է իրագործեն ԷԹՍ-ի ստուգման բանալու հավաստագրի չեղարկում։
91. Հավաստագրման կենտրոնի միջոցները ԷԹՍ-ի ստուգման բանալու հավաստագրի տիրապետողի նկատմամբ պետք է իրագործեն ԷԹՍ-ի ստուգման բանալու եզակիության ստուգում և ԷԹՍ-ի համապատասխան բանալուն տիրապետելու ստուգում:
92. ԷԹՍ-ի ստուգման բանալիների հավաստագրերում և չեղարկված հավաստագրերի ցանկերում ժամանակի արժեքների սխալանքը չպետք է գերազանցի 10 րոպեն։
13. ԷԹՍ-ի ստուգման բանալիների տրված, գործողությունը դադարած և չեղարկված հավաստագրերի ռեեստրին և դրան հասանելիություն տրամադրելուն ներկայացվող պահանջները
93. Հավաստագրման կենտրոնի միջոցներում պետք է իրագործվեն ԷԹՍ-ի ստուգման բանալիների տրված, գործողությունը դադարած և չեղարկված հավաստագրերի ռեեստրում (այսուհետ՝ հավաստագրերի ռեեստր) ԷԹՍ-ի ստուգման բանալիների՝ հավաստագրման կենտրոնի կողմից տրված, գործողությունը դադարած և չեղարկված հավաստագրերը պահպանելու և ատրիբուտներով փնտրելու մեխանիզմներ, ինչպես նաև հավաստագրերի ռեեստրին ցանցային հասանելիություն տրամադրելու մեխանիզմներ:
94. Հավաստագրերի ռեեստրում կատարվող բոլոր փոփոխությունները պետք է գրանցվեն աուդիտի մատյանում:
14. Կրիպտոգրաֆիկ միջոցներին ներկայացվող պահանջները
95. Հավաստագրման կենտրոնի միջոցները պետք է օգտագործեն ԷԹՍ-ի միջոցներ և կրիպտոգրաֆիկ այլ միջոցներ, որոնք ունեն Հանձնաժողովի գտնվելու պետության լիազորված մարմինների՝ Հանձնաժողովի գտնվելու պետության օրենսդրությամբ ԿՄ3 դասի կրիպտոգրաֆիկ միջոցներին ներկայացվող պահանջներին և Հանձնաժողովի կողմից հաստատվող՝ տեղեկատվության պաշտպանության ծածկագրման (կրիպտոգրաֆիկ) միջոցների մշակման և արդիականացման սկզբունքներին համապատասխանության մասին եզրակացություն:
15. Կրիպտոգրաֆիկ ստանդարտներին ներկայացվող պահանջները
96. Հավաստագրման կենտրոնի միջոցները պետք է օգտագործեն Եվրասիական տնտեսական հանձնաժողովի կոլեգիայի 2015 թվականի փետրվարի 3-ի թիվ 10 որոշմանը (ԾՕՀ) համապատասխան կրիպտոգրաֆիկ ալգորիթմներ իրականացնող կրիպտոգրաֆիկ միջոցներ։
16. ԷԹՍ-ի ստուգման բանալու հավաստագրի վավերականության ստուգմանը ներկայացվող պահանջները
97. ԷԹՍ-ի ստուգման բանալիների՝ հավաստագրման կենտրոնի կողմից տրվող հավաստագրերում ԷԹՍ-ի ստուգման՝ հավաստագրման կենտրոնի միջոցներում իրագործված մեխանիզմը պետք է նշվի հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում: Այդ մեխանիզմը պետք է ապահովի ԷԹՍ-ի ստուգումը ԷԹՍ-ի ստուգման բանալիների՝ հավաստագրման կենտրոնի կողմից տրվող հավաստագրերում՝ ԷԹՍ-ի ստուգման բանալու հավաստագրի ստեղծումից հետո և մինչև դրա տրամադրումը:
98. Հավաստագրման կենտրոնի միջոցները ստուգում են ԷԹՍ-ի ստուգման բանալիների հավաստագրերի շղթայից յուրաքանչյուր հավաստագրի վավերականությունը, այդ թվում՝ այն ԷԹՍ-ի վավերականությունը, որով ստորագրված են այդ հավաստագրերը: Տվյալ շղթան կազմված է հավաստագրման կենտրոնի ԷԹՍ-ի ստուգման բանալու հիմնական ինքնաստորագրված հավաստագրից և ԷԹՍ-ի ստուգման բանալու ստուգվող հավաստագրից:
17. Լրացուցիչ պահանջներ
99. Հավաստագրման կենտրոնի միջոցների միացում այն տեղեկատվական-հեռահաղորդակցական ցանցին, որին հասանելիությունը սահմանափակված չէ անձանց որոշակի շրջանակի կողմից, չի թույլատրվում։
100. Կապի ուղիների օգտագործմամբ հավաստագրման կենտրոնի միջոցների վրա հարձակումների կազմակերպման հնարավորությունների սահմանափակման նպատակով պետք է կիրառվեն միջցանցային էկրանավորման միջոցներ, որոնք կիրառում են հավաստագրման կենտրոնի սպասարկիչները, որոնք փոխգործակցում են հավաստագրման կենտրոնի միջոցներն օգտագործողների հետ։
101. Պետք է կիրառվեն համակարգչային վիրուսներից պաշտպանության միջոցներ, որոնք ապահովում են պաշտպանվող տեղեկատվության չարտոնված ոչնչացման, արգելափակման, ձևափոխման, պատճենման կամ տեղեկատվության պաշտպանության միջոցների չեզոքացման համար նախատեսված համակարգչային ծրագրերի կամ այլ համակարգչային տեղեկատվության հայտնաբերումը, ինչպես նաև պետք է ապահովվի այդպիսի ծրագրերի և տեղեկատվության հայտնաբերման առնչությամբ արձագանքումը։
102. Միջցանցային էկրանավորման միջոցները և համակարգչային վիրուսներից պաշտպանության միջոցները պետք է համապատասխանեն Հանձնաժողովի գտնվելու պետության լիազորված մարմնի կողմից սահմանվող պահանջներին։
103. Հավաստագրման կենտրոնի միջոցների ուսումնասիրությունները` սույն պահանջներին դրանց համապատասխանությունը հաստատելու նպատակով, պետք է իրականացվեն Հանձնաժողովի գտնվելու պետության լիազորված մարմնի կողմից սահմանվող՝ հավաստագրման կենտրոնի միջոցներում իրագործվող՝ տեղեկատվության պաշտպանության մեխանիզմների պարամետրերի և բնութագրերի թվային արժեքների օգտագործմամբ:
104. Հավաստագրման կենտրոնի միջոցները պետք է շահագործվեն դրանց շահագործման փաստաթղթերին համապատասխան: Հավաստագրման կենտրոնի միջոցների անվտանգ գործունեությունն ապահովելու համար անհրաժեշտ կազմակերպատեխնիկական միջոցառումները պետք է նշվեն հավաստագրման կենտրոնի միջոցների շահագործման փաստաթղթերում:
|
ՀԱՎԵԼՎԱԾ ԹԻՎ 5 Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջների |
ՊԱՀԱՆՋՆԵՐ
տեղեկատվության պաշտպանության ապահովման միջոցներին և եղանակներին ներկայացվող
I. Ընդհանուր դրույթներ
1. Սույն պահանջները պարունակում են տեղեկատվության պաշտպանության ապահովման այն միջոցների և եղանակների նկարագրությունը, որոնք պետք է իրագործվեն էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների կողմից վստահության անդրսահմանային տարածքի տարրերի և նրանց կողմից տրամադրվող ծառայությունների նկատմամբ, որոնց շահագործումն ապահովում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորը (այսուհետ՝ պաշտպանության օբյեկտ)։
2. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի ինտեգրացիոն բաղադրիչի տարրերի և ծառայությունների պաշտպանությունն իրականացվում է սույն պահանջներին համապատասխան։
3. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական բաղադրիչների տարրերի և ծառայությունների պաշտպանությունն իրականացվում է Եվրասիական տնտեսական միության անդամ պետությունների օրենսդրությանը կամ տեղեկատվական անվտանգության բնագավառում միջազգային ստանդարտներին և սույն պահանջներին համապատասխան ։
4. Սույն պահանջներով սահմանվում են պաշտպանության օբյեկտներում իրագործվող՝ տեղեկատվության պաշտպանության միջոցներին և եղանակներին ներկայացվող նվազագույն անհրաժեշտ պահանջները և ներառում են՝
ա) ֆիզիկական պաշտպանության ապահովմանը ներկայացվող պահանջները,
բ) վնասաբեր ծրագրային ապահովումից պաշտպանության ապահովմանը ներկայացվող պահանջները,
գ) պահուստային պատճենման ապահովմանը ներկայացվող պահանջները,
դ) տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի հաշվառմանը ներկայացվող պահանջները,
ե) պաշտպանության օբյեկտի տեխնիկական միջոցների, ծրագրային ապահովման և տեղեկատվական ակտիվների պաշտպանվածության հսկողությանը ներկայացվող պահանջները,
զ) կրիպտոգրաֆիկ պաշտպանության միջոցների հետ աշխատանքին ներկայացվող պահանջները,
է) հասանելիության կառավարմանը ներկայացվող պահանջները։
5. Սույն պահանջների իրագործման նպատակով վստահության անդրսահմանային տարածքի յուրաքանչյուր տարրի համար էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների կողմից պետք է մշակվեն համապատասխան փաստաթղթեր, որոնք պետք է կանոնավոր վերանայման և արդիականացման ենթարկվեն։
6. Վստահության անդրսահմանային տարածքի տարրերի շահագործման և ուղեկցման նկատմամբ հասանելիություն ունեցող անձանց իրենց իրավասության շրջանակներում պետք է ծանոթացնել սույն պահանջների 5-րդ կետում նշված փաստաթղթերին։
II. Ֆիզիկական պաշտպանության ապահովմանը
ներկայացվող պահանջները
7. Պաշտպանության օբյեկտի համար պետք է սահմանված լինեն հսկվող գոտիներ, որտեղ ֆիզիկապես մուտք գործելը պետք է սահմանափակված լինի, այդ թվում՝ հասանելիության հսկման համակարգի միջոցներով։
8. Պետք է սահմանված լինի այն անձանց ցանկը, որոնց թույլատրվում է մուտք գործել պաշտպանության օբյեկտ՝ նշելով նրանց դերերը (հասանելիության մակարդակը)։
9. Պետք է բացառված լինի տեղեկատվության արտապատկերման միջոցներով կողմնակի անձանց համար տեղեկատվության նկատմամբ հասանելիություն ստանալու հնարավորությունը։
10. Հսկվող գոտու տարածքով կողմնակի անձանց տեղաշարժը պետք է արգելված լինի։
11. Այն հաշվողական տեխնիկայի միջոցների տեղակայումը, որի միջոցով իրականացվում է հսկող գոտուց դուրս պաշտպանության օբյեկտի տվյալների մշակումը, պետք է արգելված լինի։
12. Հաշվողական տեխնիկայի միջոցների և տեղեկատվության պահպանման միջոցների ներսբերումը (դուրսբերումը) հսկվող գոտի (հսկվող գոտուց) պետք է գրանցվի հատուկ մատյաններում։
13. Պաշտպանության օբյեկտի ֆիզիկական պաշտպանության և հասանելիության հսկման վերաբերյալ փաստաթղթերը պետք է պարունակեն՝
ա) սահմանափակ հասանելիությամբ հսկվող գոտիների սարքավորվածության կարգը,
բ) այն անձանց ցանկը վարելու կարգը, որոնց թույլատրվում է մուտք գործել պաշտպանության օբյեկտ՝ նշելով նրանց դերերը (հասանելիության մակարդակը),
գ) հսկվող գոտուն հասանելիություն ստանալու և դրանով կողմնակի անձանց տեղաշարժի հսկման կարգը,
դ) հսկվող գոտի (հսկվող գոտուց) հաշվողական տեխնիկայի միջոցների և տեղեկատվության պահպանման միջոցների ներսբերման (դուրսբերման) կարգը,
ե) հսկվող գոտում գտնվող՝ պաշտպանության օբյեկտի տարրերի նկատմամբ հասանելիություն ունեցող օգտագործողների դերերի նկարագրությունը,
զ) հասանելիության կառավարման այն քաղաքականության նկարագրությունը, որով սահմանվում է տարբեր դերեր ունեցող օգտագործողների՝ ծառայությունների հետ և օգտագործողների անունից հանդես եկող ծառայությունների՝ պաշտպանության օբյեկտի տարրերի և ծառայությունների հետ թույլատրելի գործողությունների ամբողջությունը։
III. Վնասաբեր ծրագրային ապահովումից պաշտպանության ապահովմանը ներկայացվող պահանջները
14. Պաշտպանության օբյեկտի բոլոր սպասարկիչների վրա և աշխատանքային կայաններում պետք է նախատեսված լինեն և պետք է իրականացվեն վնասաբեր ծրագրային ապահովումից պաշտպանության միջոցներ։
15. Պետք է կանոնավորապես կատարվի պաշտպանության օբյեկտի սպասարկիչների և աշխատանքային կայանների ստուգում վնասաբեր ծրագրային ապահովման առկայության առնչությամբ։
16. Պաշտպանության միջոցների անջատումը վնասաբեր ծրագրային ապահովումից պետք է արգելված լինի։
17. Պետք է կատարվի վնասաբեր ծրագրային ապահովումից պաշտպանության միջոցների կանոնավոր թարմացում։
18. Վնասաբեր ծրագրային ապահովման հայտնաբերման բոլոր դեպքերը պետք է արձանագրվեն։
19. Վնասաբեր ծրագրային ապահովումից պաշտպանության օբյեկտի պաշտպանության մասին փաստաթղթերը պետք է պարունակեն՝
ա) վնասաբեր ծրագրային ապահովումից պաշտպանության օբյեկտի պաշտպանության միջոցների կազմին ներկայացվող պահանջները,
բ) վնասաբեր ծրագրային ապահովումից պաշտպանության օբյեկտի պաշտպանության աշխատանքների կատարման կանոնակարգը,
գ) վնասաբեր ծրագրային ապահովում հայտնաբերելիս անձնակազմի գործողությունների կարգը,
դ) վնասաբեր ծրագրային ապահովման հայտնաբերման և վերացման իրադարձությունների գրանցման կարգը,
ե) վնասաբեր ծրագրային ապահովումից օբյեկտի պաշտպանության միջոցների աշխատունակության փորձարկման կարգը։
IV. Պահուստային պատճենման ապահովմանը
ներկայացվող պահանջները
20. Պաշտպանության օբյեկտի հաշվողական տեխնիկայի միջոցների կազմում պետք է նախատեսված լինեն տվյալների պատճենման և վերականգնման միջոցներ, պահուստային պատճենների կառավարման և հաշվառման միջոցներ, տվյալների պահպանման միջոցներ, պահուստային պատճենների պահպանման համար օգտագործվող տեղեկատվության կրիչներ։
21. Պահուստային պատճենման բոլոր իրադարձությունները պետք է գրանցվեն հատուկ մատյաններում։
22. Պետք է կատարվի պահուստային պատճենման միջոցների աշխատունակության կանոնավոր փորձարկում։
23. Տվյալների պահուստային պատճենում կատարելու մասին փաստաթղթերը պետք է պարունակեն՝
ա) տվյալների պատճենման և վերականգնման միջոցների կազմին ներկայացվող պահանջները,
բ) տեղեկատվության պահուստային պատճենման աշխատանքների կատարման կանոնակարգը,
գ) պահուստային պատճեններից տվյալների վերականգնման անհրաժեշտություն առաջանալու դեպքում անձնակազմի գործողությունների կարգը,
դ) տվյալների պահուստային պատճենման և վերականգնման իրադարձությունների գրանցման կարգը,
ե) պահուստային պատճենման միջոցների աշխատունակության փորձարկման կարգը։
V. Տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի հաշվառմանը ներկայացվող պահանջները
24. Պետք է վարել տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի հաշվառում։
25. Պետք է մշակել տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի մշակման կարգ։
26. Պետք է սահմանված լինեն տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի մշակման համար պատասխանատու անձինք։
27. Տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի գրանցման ու հաշվառման մասին փաստաթղթերը պետք է պարունակեն՝
ա) տեղեկատվական անվտանգության իրադարձությունների ու միջադեպերի հաշվառման կարգը,
բ) իրադարձությունների ու միջադեպերի մշակման քաղաքականությունը,
գ) իրադարձությունների ու միջադեպերի մշակման համար պատասխանատու անձանց նշանակման կարգն ու գործողությունների նկարագրությունը։
VI. Պաշտպանության օբյեկտի տեխնիկական միջոցների, ծրագրային ապահովման և տեղեկատվական ակտիվների պաշտպանվածության հսկողությանը ներկայացվող պահանջները
28. Պետք է կատարվի պաշտպանության օբյեկտի տարրերի կանոնավոր գույքագրում՝ պաշտպանության օբյեկտում բացված տեխնիկական միջոցների, ծրագրային ապահովման և տեղեկատվական ակտիվների, ինչպես նաև պետք է արձանագրվեն պաշտպանության օբյեկտի հետ տեղի ունեցող բոլոր փոփոխությունները։
29. Պետք է կատարել խոցելի տեղերի հսկում, որը ներառում է խոցելի տեղերի հայտնաբերումը (խոցելի տեղերին մշտապես հետևելը), հայտնաբերված խոցելի տեղերի հետ կապված՝ անվտանգության սպառնալիքների գնահատումը, խոցելի տեղերի վերացմանը (մեկուսացմանը) ուղղված պաշտպանության միջոցների ձեռնարկումը։
30. Պաշտպանության օբյեկտում բացված տեխնիկական միջոցների, ծրագրային ապահովման և տեղեկատվական ակտիվների պաշտպանվածության հսկման մասին փաստաթղթերը պետք է պարունակեն՝
ա) պաշտպանության օբյեկտի տարրերի կանոնավոր գույքագրում կատարելու կարգը. պաշտպանության օբյեկտում բացված տեխնիկական միջոցներ, ծրագրային ապահովման և տեղեկատվական ակտիվներ,
բ) խոցելի տեղերի հսկում կատարելու կարգը, որը ներառում է խոցելի տեղերին հետևելը, հայտնաբերված խոցելի տեղերի հետ կապված՝ անվտանգության սպառնալիքների գնահատումը, խոցելի տեղերի վերացմանն (մեկուսացմանն) ուղղված պաշտպանության միջոցների ձեռնարկումը,
գ) պաշտպանական միջոցների նկարագրությունը։
VII. Տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների հետ աշխատանքին ներկայացվող պահանջները
31. Պետք է իրականացվի տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների բաղադրիչների ամբողջականության հսկողություն։
32. Պետք է սահմանված և ճշգրիտ իրագործված լինեն տեղեկատվության պաշտպանության միջոցների բաղադրիչների ամբողջականության հսկողության ապահովման կրիպտոգրաֆիկ մեթոդները։
33. Պետք է սահմանված և ճշգրիտ իրագործված լինեն տեղեկատվության պաշտպանության ապարատային մեթոդները։
34. Պետք է սահմանված և ճշգրիտ իրագործված լինեն գաղտնիքի բաժանման մեթոդները։
35. Տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցներից տվյալներն արտահանելիս պետք է սահմանվի այդ տվյալների պաշտպանությունը և պետք է կատարվի ամբողջականության հսկում։
36. Բոլոր սեանսային կրիտիկական օբյեկտները պետք է մաքրվեն՝ նախքան սեանսներն ավարտվելը։
37. Պետք է օգտագործվեն տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միայն հավաստագրված միջոցներ։
38. Տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցները պահելու վայրերը պետք է սարքավորված լինեն պաշտպանության հատուկ միջոցներով, որոնք բացառում են կողմնակի անձանց՝ այդ վայրեր մուտք գործելու ցանկացած եղանակի հնարավորությունը՝ ներառյալ ֆիզիկական ներթափանցումից պաշտպանությունը, տեղեկատվության վիզուալիզացման միջոցների պաշտպանությունը, պաշտպանությունը ցանցային հասանելիության մակարդակում և պաշտպանության այլ միջոցներ։
39. Պետք է կատարվի տեղեկատվության կրիպտոգրաֆիկ պաշտպանության պահպանվող միջոցների նմուշ առ նմուշ հաշվառում։
40. Հատուկ մատյաններում պետք է տեղեկատվության պաշտպանության կրիպտոգրաֆիկ միջոցներով կատարվի սպասարկող անձնակազմի բոլոր աշխատանքների գրանցում։
41. ԷԹՍ-ի բանալիները պահող հանովի կրիչների համար պետք է սարքավորվեն հատուկ պահոցներ (սեյֆեր)։
42. Տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների շահագործումը պետք է կատարվի այն անձանց կողմից, որոնք պատրաստություն են անցել և ուսումնասիրել տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների շահագործման փաստաթղթերը։
43. Տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների հետ աշխատանքի մասին փաստաթղթերը պետք է պարունակեն՝
ա) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների բաղադրիչների ամբողջականության հսկողության իրականացման կանոնակարգը.
բ) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների բաղադրիչների ամբողջականության, պաշտպանության ապարատային մեթոդների հսկողության ապահովման կրիպտոգրաֆիկ մեթոդների իրագործմանը ներկայացվող պահանջները.
գ) ամբողջականության պաշտպանությանն ու հսկողությանը ներկայացվող պահանջները տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցներից տվյալներ արտահանելիս.
դ) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության հավաստագրված միջոցների ցանկը.
ե) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցները պահելու վայրերի՝ պաշտպանության այնպիսի հատուկ միջոցներով սարքավորմանը ներկայացվող պահանջները, որոնք բացառում են կողմնակի անձանց՝ այդ վայրեր մուտք գործելու ցանկացած եղանակի հնարավորությունը՝ ներառյալ ֆիզիկական ներթափանցումից պաշտպանությունը, տեղեկատվության վիզուալիզացման միջոցների պաշտպանությունը, պաշտպանությունը ցանցային հասանելիության մակարդակում և պաշտպանության այլ միջոցներ.
զ) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության պահպանվող միջոցների հաշվառման կարգը.
է) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների հետ բոլոր աշխատանքների գրանցման կարգը.
ը) տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների շահագործում իրականացնող անձանց պատրաստվածությանը ներկայացվող պահանջները։
VIII. Հասանելիության կառավարմանը ներկայացվող պահանջները
44. Հասանելիության կառավարումն ապահովելու համար պետք է սահմանված լինեն օգտագործողների դերերը։
45. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների կողմից պետք է հստակեցվի հասանելիության կառավարման կարգը, որով սահմանվում է տարբեր դերեր ունեցող օգտագործողների՝ ծառայությունների և օգտագործողների անունից հանդես եկող ծառայությունների՝ օբյեկտների և այլ ծառայությունների հետ թույլատրելի գործառնությունների ամբողջությունը։
|
ՀԱՍՏԱՏՎԱԾ Է Եվրասիական տնտեսական հանձնաժողովի խորհրդի 2018 թվականի դեկտեմբերի 5-ի թիվ 96 որոշմամբ |
ՀԻՄՆԱԴՐՈՒՅԹ
էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների՝ վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջներին համապատասխանության ստուգման հարցերով հանձնաժողովի մասին
1. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի բաղադրիչների՝ վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջներին համապատասխանության ստուգման հարցերով հանձնաժողովը (այսուհետ՝ միջպետական հանձնաժողով) ստեղծվում է «Եվրասիական տնտեսական միության շրջանակներում տեղեկատվական հաղորդակցական տեխնոլոգիաների և տեղեկատվական փոխգործակցության մասին» արձանագրության («Եվրասիական տնտեսական միության մասին» 2014 թվականի մայիսի 29-ի պայմանագրի թիվ 3 հավելված) 18-րդ կետին համապատասխան։
2. Սույն հիմնադրույթում կիրառվող հասկացություններն օգտագործվում են Եվրասիական տնտեսական հանձնաժողովի խորհրդի 2018 թվականի դեկտեմբերի 5-ի թիվ 96 որոշմամբ հաստատված՝ Վստահության անդրսահմանային տարածքի ստեղծմանը, զարգացմանը և գործունեությանը ներկայացվող պահանջներով (այսուհետ՝ Պահանջներ) սահմանված իմաստներով։
3. Միջպետական հանձնաժողովի կազմում ընդգրկվում են Եվրասիական տնտեսական հանձնաժողովի (այսուհետ՝ Հանձնաժողով) պաշտոնատար անձինք և Եվրասիական տնտեսական միության անդամ պետությունների (այսուհետ համապատասխանաբար՝ անդամ պետություններ, լիազորված մարմիններ) լիազորված մարմինների ներկայացուցիչներ, որոնց իրավասությանն են վերապահված Եվրասիական տնտեսական միության ինտեգրացված տեղեկատվական համակարգի՝ անդամ պետությունների ազգային հատվածների ստեղծման, անդրսահմանային էլեկտրոնային փաստաթղթաշրջանառության շրջանակներում օգտագործվող էլեկտրոնային փաստաթղթերի տեղեկատվական անվտանգության և իրավաբանական նշանակության ապահովման հարցերը՝ հաշվի առնելով անդամ պետությունների հավասար ներկայացվածությունը։
4. Միջպետական հանձնաժողովի կազմը հաստատվում է Հանձնաժողովի խորհրդի կարգադրությամբ։
5. Միջպետական հանձնաժողովի նախագահը Հանձնաժողովի կոլեգիայի այն անդամն է, որի իրավասությանն են վերապահված տեղեկատվայնացման և տեղեկատվական-հաղորդակցական տեխնոլոգիաների հարցերը։
Միջպետական հանձնաժողովի նախագահն իրականացնում է միջպետական հանձնաժողովի աշխատանքի ընդհանուր ղեկավարումը։
6. Միջպետական հանձնաժողովի որոշմամբ դրա կազմում կարող են ձևավորվել ենթահանձնաժողովներ, ինչպես նաև աշխատանքային և փորձագիտական խմբեր։
7. Միջպետական հանձնաժողովի որոշումներն ընդունվում են կոնսենսուսով:
8. Միջպետական հանձնաժողովի նիստերի անցկացման, ենթահանձնաժողովների, աշխատանքային և փորձագիտական խմբերի ձևավորման, փորձագետների ներգրավման, միջպետական հանձնաժողովի կողմից որոշումների ընդունման և դրանց ձևակերպման, ինչպես նաև միջպետական հանձնաժողովի կողմից ընդունվող փաստաթղթերի ձևերը սահմանվում են Հանձնաժողովի կողմից սահմանվող՝ միջպետական հանձնաժողովի աշխատանքի կանոնակարգով։
9. Միջպետական հանձնաժողովը կատարում է հետևյալ հիմնական գործառույթները՝
ա) լիազորված մարմինների և Հանձնաժողովի առաջարկությունների հիման վրա ձևավորում և հաստատում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական և ինտեգրացիոն բաղադրիչների՝ Պահանջներին համապատասխանության ստուգումների անցկացման պլան-ժամանակացույցը.
բ) մշակում և Հանձնաժողովի կոլեգիայի քննարկմանն է ներկայացնում Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական և ինտեգրացիոն բաղադրիչների կազմի մեջ մտնող տարրերի, ինչպես նաև այդ տարրերի նկատմամբ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի օպերատորների կողմից իրականացվող՝ տեղեկատվության պաշտպանության ապահովման միջոցների և եղանակների՝ սույն պահանջներին համապատասխանության մասով ստուգումներ (այսուհետ՝ ստուգումներ) անցկացնելու վերաբերյալ մեթոդական փաստաթղթեր.
գ) լիազորված մարմինների և Հանձնաժողովի դիմումների հիման վրա կատարում է ստուգումներ՝ սույն դրույթի 11-րդ կետին համապատասխան:
դ) նախապատրաստում է Հանձնաժողովի կողմից հաստատվող՝ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի տարրերի պետական կամ ինտեգրացիոն բաղադրիչների ցանկի կազմի մեջ մտնող տարրերի մասին տեղեկությունները, ինչպես նաև այդ տարրերի օպերատորների մասին տեղեկությունները էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի տարրերի ցանկում ներառելու անհրաժեշտության վերաբերյալ եզրակացություն.
ե) գնահատում է ցանկը պահանջների թիվ 1 հավելվածին համապատասխանության, այդ թվում՝ անդամ պետությունների պետական իշխանության մարմինների և Հանձնաժողովի միջև տվյալների և էլեկտրոնային փաստաթղթերի միջպետական փոխանակման համար ցանկում ներառված տեղեկությունների բավարար լինելու մասով:
10. Ստուգումներն անցկացվում են միջպետական հանձնաժողովի աշխատանքի կանոնակարգով սահմանվող կարգով և ժամկետներում:
11. Ստուգումը կատարվում է 2 հաջորդական փուլերով՝
Փուլ I՝ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական կամ ինտեգրացիոն բաղադրիչների կազմի մեջ մտնող տարրի՝ պահանջներին համապատասխանության մասով գնահատում, որը կատարվում է լիազորված մարմնի կամ Հանձնաժողովի կողմից ներկայացված՝ ցանկում այդ տարրը ներառելու մասին տեղեկությունների (այսուհետ՝ դիմում) հիման վրա:
Փուլ II՝ էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական կամ ինտեգրացիոն բաղադրիչի կազմի մեջ մտնող տարրը ցանկում ներառելու անհրաժեշտության մասին եզրակացության նախապատրաստում:
12. Դիմումները ներկայացնելու կարգը և դրանցում նշվող տեղեկությունների կազմը սահմանվում են միջպետական հանձնաժողովի կողմից:
13. Դիմումի կազմում ներկայացված տեղեկությունների անհամապատասխանությունը կամ դրանց ոչ լիարժեք լինելը հայտնաբերելու դեպքում միջպետական հանձնաժողովը համապատասխան ակտ է ուղարկում լիազորված մարմին կամ Հանձնաժողով:
Ակտի քննության արդյունքներով լիազորված մարմինը կամ Հանձնաժողովը միջպետական հանձնաժողով է ներկայացնում համապատասխան տեղեկություններ կամ հետ է կանչում դիմումը:
14. Միջպետական հանձնաժողովը նախապատրաստում է էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական կամ ինտեգրացիոն բաղադրիչների կազմի մեջ մտնող տարրերը դիմումներ ներկայացրած լիազորված մարմինների և Հանձնաժողովի միջնորդությունների հիման վրա ցանկից հանելու անհրաժեշտության վերաբերյալ եզրակացություններ:
15. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական կամ ինտեգրացիոն բաղադրիչների կազմի մեջ մտնող տարրերը ցանկում ներառելու կամ դրանք ցանկից հանելու անհրաժեշտության վերաբերյալ եզրակացությունները ստորագրվում և Հանձնաժողով են ուղարկվում միջպետական հանձնաժողովի նախագահի կողմից:
16. Պահանջների թիվ 1 հավելվածին ցանկի անհամապատասխանությունը, այդ թվում՝ պետական իշխանության մարմինների միջև և Հանձնաժողովի հետ տվյալների փոխանակման և էլեկտրոնային փաստաթղթերի միջպետական փոխանակման համար տեղեկությունների բավարար չլինելը հայտնաբերելու դեպքում միջպետական հանձնաժողովն այդ մասին տեղեկացնում է լիազորված մարմիններին կամ Հանձնաժողովին և պակաս տեղեկությունների վերաբերյալ հարցում է կատարում:
17. Էլեկտրոնային եղանակով տեղեկատվության փաստաթղթավորման ընդհանուր ենթակառուցվածքի պետական կամ ինտեգրացիոն բաղադրիչների կազմի մեջ մտնող և ցանկում ներառված տարրի օպերատորի լիազորությունների դադարեցման կամ պահանջների և (կամ) անդամ պետության օրենսդրության էական խախտման հայտնաբերման դեպքում այդ տարրի վերաբերյալ դիմում ներկայացրած լիազորված մարմինը կամ Հանձնաժողովը այդ տարրը ցանկից հանելու վերաբերյալ միջնորդություն է ուղարկում միջպետական հանձնաժողով:
Պաշտոնական հրապարակման օրը՝ 22 հունիսի 2022 թվական:
| Փոփոխող ակտ | Համապատասխան ինկորպորացիան |
|---|
| Փոփոխող ակտ | Համապատասխան ինկորպորացիան |
|---|