Особенности работы с сертифицированными средствами защиты информации в системе тахографического контроля

Москва, 2014 г.

Приказ Минтранса России от 13 февраля 2013 г. № 36 2  

1.  Требования  к  тахографам,  устанавливаемым  на  транспортные  средства  (далее  -­‐  Требования),  разработаны  с  целью  обеспечения  тахографами  непрерывной,  некорректируемой  регистрации  информации  о  скорости  и  маршруте  движения  транспортных  средств,  о  режиме  труда  и  отдыха  водителей  транспортных  средств.  

3.  Бортовое  устройство  имеет  защищенный  от  вскрытия  опломбированный  корпус  и  содержит  внутри  него:  3)  программно-­‐аппаратное  шифровальное  (криптографическое)  средство  (далее  -­‐  блок  СКЗИ  тахографа),  реализующее  алгоритмы  криптографического  преобразования  информации  и  обеспечивающее:  аутентификацию;  регистрацию  информации  в  некорректируемом  виде  в  защищенной  памяти  (далее  -­‐  защищенный  архив  блока  СКЗИ  тахографа);  хранение  информации  ограниченного  доступа,  используемой  для  создания  электронной  подписи  и  проверки  электронной  подписи  (далее  -­‐  ключевой  информации),  и  аутентифицирующей  информации;  преобразование  сигналов  ГНСС  в  данные  о  текущем  времени  и  о  координатах  местоположения  транспортного  средства  в  некорректируемом  виде;  5.  Тахограф  обеспечивает  целостность  и  достоверность  информации,  регистрируемой  в  памяти  тахографа  в  некорректируемом  виде,  на  основе  применения  квалифицированной  электронной  подписи,  а  также  возможность  гарантированного  выявления  ее  корректировки  или  фальсификации  по  результатам  проверки  информации,  зарегистрированной  в  памяти  тахографа.  75.  Тахограф  обеспечивает  регистрацию  в  некорректируемом  виде  данных  о  скорости  и  маршруте  движения  транспортного  средства,  времени  периодов  труда  и  отдыха  водителя  транспортного  средства  созданием  квалифицированной  электронной  подписи,  присоединяемой  к  защищаемым  данным,  и  разграничение  доступа  к  защищаемой  информации  с  использованием  шифровальных  (криптографических)  средств.  76.  Реализация  криптографических  алгоритмов,  необходимых  для  вычисления  квалифицированной  электронной  подписи,  проведения  процедур  аутентификации  и  обеспечения  защиты  информации,  обрабатываемой  и  хранимой  в  тахографе  и  подлежащей  защите  в  соответствии  с  законодательством  Российской  Федерации,  осуществляется  блоком  СКЗИ  тахографа  и  картами.  77.  Разработка  блока  СКЗИ  тахографа  и  карт  осуществляется  в  соответствии  с  Положением  ПКЗ-­‐2005        

ЗАЩИТА ИНФОРМАЦИИ В ТАХОГРАФЕ 3

Блок приема и обработки

Управляющий процессор

ТАХОГРАФ

Управляющий процессор

Криптографи-ческий

сопроцессор

Микросхема архива данных

СКЗИ Модуль ГЛОНАСС/GPS

Блок хранения информации

Данные

Защищенный криптографическими методами канал передачи информации

Связной модуль (опция)

Данные,  заверенные  электронной  подписью    

Время,  скорость,  координаты,  другие  данные  в  некорректируемом  виде    

Датчик  ускорения  

От  Датчика  движения  

ОБМЕН ИНФОРМАЦИЕЙ И В ИНФОРМАЦИОННОЙ СИСТЕМЕ ТАХОГРАФИЧЕСКОГО КОНТРОЛЯ ПРИ АКТИВИЗАЦИИ СКЗИ 4

                           Аккредитованный    

удостоверяющий  центр              

Мастерская  (ЦТО)  

Сервер активации НКМ

ФБУ  «Росавтотранс»              

         

         

         

Реестры

МАСТЕРСКИЕ

Запрос на сертификат

Передача сертификата

Данные, передаваемые в перечни: 1.  Об изготовленных СКЗИ 2.  Об изготовленных тахографах 3.  Об активизированных тахографах и блоках СКЗИ тахографа

Производитель  СКЗИ  

Производитель  тахографов  

Поставки

Запрос

Защишенная Информация

Запрос на сертификат

1   2   3  

Персональные данные Запрос на тахограф

Сертификат

СХЕМА ОРГАНИЗАЦИИ ЗАЩИЩЕННОГО ИНФОРМАЦИОННОГО ОБМЕНА ПРИ ВЫПУСКЕ КАРТ 5

Оператор  

Заявка  на  карту  

Документ  об  оплате  

ü  Заявление ü  Фотография ü  Копия водительского

удостоверения

     Аккредитованный    удостоверяющий  центр  

             

ФБУ  «Росавтотранс»              

Реестры

Проверка  данных  

Сервер выданных карт

Выдача карты

Информация

Информация в реестр о выданной карте

заявка  

Запрос на выписку из реестра

Информация в реестр об изготовленной карте и сертификате

Выписка из реестра и подтверждение заявки

Оформление заявки

Изготов-­‐ление  

Персона-­‐лизация  

готовые карты

Организация  обеспечивающая  доставку  

Среда  информационного  взаимодействия

ОСНОВНЫЕ УЧАСТНИКИ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ В СИСТЕМЕ ТАХОГРАФИЧЕСКОГО КОНТРОЛЯ 6

1.  Юридические  лица  и  индивидуальные  предприниматели,  осуществляющие  на  территории  Российской  Федерации  деятельность,  связанную  с  эксплуатацией    транспортных  средств  

2.   Мастерские,  осуществляющие  деятельность  по  установке,  проверке,  техническому  обслуживанию  и  ремонту  тахографов  

3.   Производители  тахографов  

4.   Производители  карт  тахографов    

5.   Производители  блоков  СКЗИ  тахографа  

6.  ФБУ  «Росавтотранс»  

7.   Операторы  производителей  карт  

8.   Контролеры      

Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности" 7

Статья 3. Основные понятия, используемые в настоящем Федеральном законе 2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа; 8) место осуществления отдельного вида деятельности, подлежащего лицензированию (далее - место осуществления лицензируемого вида деятельности), - объект (помещение, здание, сооружение, иной объект), который предназначен для осуществления лицензируемого вида деятельности и (или) используется при его осуществлении, соответствует лицензионным требованиям, принадлежит соискателю лицензии или лицензиату на праве собственности либо ином законном основании, имеет почтовый адрес или другие позволяющие идентифицировать объект данные. Место осуществления лицензируемого вида деятельности может совпадать с местом нахождения соискателя лицензии или лицензиата

Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности"

8

Статья 8. Лицензионные требования

Статья  8.  Лицензионные  требования  1)  наличие  у  соискателя  лицензии  и  лицензиата  помещений,  зданий,  сооружений  и  иных  объектов  по  месту  осуществления  лицензируемого  вида  деятельности,  технических  средств,  оборудования  и  технической  документации,  принадлежащих  им  на  праве  собственности  или  ином  законном  основании,  соответствующих  установленным  требованиям  и  необходимых  для  выполнения  работ,  оказания  услуг,  составляющих  лицензируемый  вид  деятельности;  2)  наличие  у  соискателя  лицензии  и  лицензиата  работников,  заключивших  с  ними  трудовые  договоры,  имеющих  профессиональное  образование,  обладающих  соответствующей  квалификацией  и  (или)  имеющих  стаж  работы,  необходимый  для  осуществления  лицензируемого  вида  деятельности;  3)  наличие  у  соискателя  лицензии  и  лицензиата  необходимой  для  осуществления  лицензируемого  вида  деятельности  системы  производственного  контроля;  4)  соответствие  соискателя  лицензии  и  лицензиата  требованиям,  установленным  федеральными  законами  и  касающимся  организационно-­‐правовой  формы  юридического  лица,  размера  уставного  капитала,  отсутствия  задолженности  по  обязательствам  перед  третьими  лицами;  5)  иные  требования,  установленные  федеральными  законами.    

Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности"

9

Статья 13. Порядок представления соискателем лицензии заявления и документов, необходимых для получения лицензии, и их приема лицензирующим органом 1. Для получения лицензии соискатель лицензии представляет по установленной форме в лицензирующий орган заявление о предоставлении лицензии, которое подписывается руководителем постоянно действующего исполнительного органа юридического лица или иным имеющим право действовать от имени этого юридического лица лицом либо индивидуальным предпринимателем и в котором указываются: 1) полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, адрес его места нахождения, адреса мест осуществления лицензируемого вида деятельности, который намерен осуществлять соискатель лицензии, государственный регистрационный номер записи о создании юридического лица, данные документа, подтверждающего факт внесения сведений о юридическом лице в единый государственный реестр юридических лиц, с указанием адреса места нахождения органа, осуществившего государственную регистрацию, а также номера телефона и (в случае, если имеется) адреса электронной почты юридического лица;

Постановление Правительства Российской Федерации от 16 апреля 2012 г. № 313 10

6. Лицензионными требованиями при осуществлении лицензируемой деятельности являются: а) наличие у соискателя лицензии (лицензиата) права собственности или иного законного основания на владение и использование помещений, сооружений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности; б) выполнение соискателем лицензии (лицензиатом) при осуществлении лицензируемой деятельности требований по обеспечению информационной безопасности, устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О федеральной службе безопасности"; в) наличие у соискателя лицензии (лицензиата) условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации"; г) наличие у соискателя лицензии (лицензиата) допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (при выполнении работ и оказании услуг, указанных в пунктах 1, 4 - 6, 16 и 19 перечня);

Постановление Правительства Российской Федерации от 16 апреля 2012 г. № 313 11

д) наличие в штате у соискателя лицензии (лицензиата) следующего квалифицированного персонала: (в зависимости от видов выполняемых работ); е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом "Об обеспечении единства измерений", принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня; ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств; з) использование соискателем лицензии (лицензиатом) предназначенных для осуществления лицензируемой деятельности программ для электронных вычислительных машин и баз данных, принадлежащих соискателю лицензии (лицензиату) на праве собственности или ином законном основании.