Как мы можем помочь?
< Все темы
Print

РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ БЛОКА НКМ 2.11

Posted
Updated
ByAshita

«Навигационно-криптографическиймодуль«НКМ-2.11»

1. Общее положение

1.1 Термины и определения

Блок СКЗИ тахографа – программно-аппаратное шифровальное (крипто- графическое) средство защиты информации (СКЗИ), реализующее алгоритмы криптографического преобразования информации и обеспечивающее:

  • аутентификацию;
  • регистрацию информации в некорректируемом виде в защищённой памяти (далее – защищённый архив блока СКЗИ тахографа);
  • хранение информации ограниченного доступа, используемой для созда- ния электронной подписи и проверки электронной подписи (далее – ключевой информации), и аутентифицирующей информации;
  • преобразование сигналов ГНСС в данные о текущем времени и о координатах местоположения транспортного средства в некорректируемом виде.

Транспортное средство (ТС) – средство автотранспорта, подлежащее, в соответствии с российским законодательством, оснащению тахографом.

Транспортные предприятия– юридические лица и индивидуальные предприниматели, осуществляющие на территории Российской Федерации деятельность, связанную с эксплуатацией транспортных средств (далее – предприятия).

Пользователи тахографа – предприятия, водители, сотрудники контроль- ных органов, сотрудники мастерских.

Жизненный цикл тахографа– комплекс операций и процессов, включающий разработку, производство, активизацию, настройку, эксплуатацию, ремонт, техническое обслуживание, вывод из эксплуатации тахографа.

Мастерская– юридические лица и индивидуальные предприниматели, осуществляющие работы по установке, проверке, техническому обслуживанию и ремонту устанавливаемых на транспортные средства тахографов, сведения о которых учтены ФБУ «Росавтотранс» в перечне мастерских.

Активизация тахографа – внесение в блок СКЗИ тахографа с исполь- зованием карты мастерской установочных данных, включая идентификационные данные транспортного средства и квалифицированные сертификаты ключей проверки электронной подписи (далее – квалифицированный сертификат) блока СКЗИ тахографа.

Активизация тахографа выполняется:

  • при установке нового тахографа на транспортное средство;
  • при переносе тахографа с одного транспортного средства на другое;
  • при ремонте тахографа, с заменой блока СКЗИ тахографа (поломка или окончание срока эксплуатации).

Настройка тахографа– процедура обновления или подтверждения параметров транспортного средства, которые должны храниться в памяти блока СКЗИ тахографа.

Ремонтитехническоеобслуживаниетахографа– операции по диагностике технического состояния тахографа и замене его компонентов.

Программно-аппаратное шифровальное (криптографическое) средствозащитыинформации«Картатахографа«Диамант»и «Картатахографа

«Диамант-2»(далее – карты тахографа).

Карты тахографа включают в себя следующие типы карт:

  • картаводителя– обеспечивает идентификацию и аутентификацию водителя с использованием шифровальных (криптографических) средств, а также хранение данных о деятельности водителя;
  • карта контролёра – обеспечивает идентификацию и аутентификацию контрольного органа и соответствующего сотрудника контрольного органа (владельца карты) с использованием шифровальных (криптографических) средств;
  • карта мастерской – обеспечивает идентификацию и аутентификацию держателя карты с использованием шифровальных (криптографических) средств;
  • карта предприятия – обеспечивает идентификацию и аутентификацию транспортных предприятий, с использованием шифровальных (криптографичес- ких) средств, установку блокировки (ограничения) доступа к данным тахографа и данным карт водителей.

Перечень[карттахографа,тахографов,блоковСКЗИтахографа]– перечни сведений, формируемых в соответствии с требованиями Правил исполь- зования тахографов, установленных на транспортные средства (приложение № 3 к приказу Минтранса России от 13 февраля 2013 г. № 36).

Криптографическийключ(криптоключ)– совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразова- ния из числа всех возможных в данной криптографической системе (далее – ключ).

Ключевая информация – специальным образом организованная совокуп- ность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевойдокумент– физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.

1.2 Список сокращений и обозначений АС– автоматизированная система.

БУ– бортовое устройство.

ГНСС – глобальная навигационная спутниковая система. СКЗИ – средство криптографической защиты информации. ТС– транспортное средство.

НКМ-2.11– Программно-аппаратное шифровальное (криптографическое) средство блок СКЗИ тахографа «Навигационно-криптографический модуль

«НКМ-2.11».

УЦ– Удостоверяющий центр.

1.3 Назначение НКМ-2.11

Программно-аппаратное шифровальное (криптографическое) средство блок СКЗИ тахографа «Навигационно-криптографический модуль «НКМ-2.11» (далее

  • НКМ-2.11) является компонентом тахографа, предназначенным для реализации криптографических алгоритмов, необходимых для вычисления квалифицированной электронной подписи, проведения процедур аутентифи- кации и обеспечения защиты информации, обрабатываемой и хранимой в тахографе и подлежащей защите в соответствии с законодательством Российской Федерации.

НКМ-2.11 представляет собой средство защиты информации, класса КС3 и способен противостоять соответствующим информационным атакам.

1.4 Перечень документов, на основании которых осуществляется разработка и эксплуатация НКМ-2.11

  • • Кодекс Российской Федерации об административных правонарушениях.
  • Федеральный закон от 10 декабря 1995 г. № 196-ФЗ «О безопасности дорожного движения».
  • Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  • Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
  • Федеральный закон от 03 апреля 1995 г. № 40-ФЗ «О Федеральной службе безопасности».
  • Федеральный закон от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности».
  • Постановление       Правительства       Российской       Федерации       от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства Российской Федерации от 21 марта 2012 г.

№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

  • Постановление      Правительства       Российской       Федерации       от

15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

  • Постановление Правительства Российской Федерации от 06 июля 2008 г.

№ 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информа- ционных систем персональных данных».

  • Постановление       Правительства       Российской       Федерации       от 09 февраля 2012 г. № 111 «Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке её использования, а также об установлении требований к обеспечению совместимости средств электронной подписи».
  • Постановление Правительства Российской Федерации от 26 июня 1995 г.

№ 608 «О сертификации средств защиты информации».

  • Приказ ФСБ России от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи».
  • Приказ ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
  • Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информа- ции с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены ФСБ России 21 февраля 2008 г. № 149/54-144.
  • Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утверждённое постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313.
  • Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённое приказом ФСБ России от 9 февраля 2005 г. № 66.
  • Требования к тахографам, устанавливаемым на транспортные средства,

утверждённые приказом Министерства транспорта Российской Федерации от 13 февраля 2013 г. № 36.

  • Правила использования тахографов, установленных на транспортные

средства, утверждённые приказом Министерства транспорта Российской Федерации от 13 февраля 2013 г. № 36.

  • ГОСТ Р 34.12-2015 Информационная технология. Криптографическая

защита информации. Блочные шифры.

  • ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режим работы блочных шифров.
  • ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
  • ГОСТ Р 34.11-2012 Информационная технология. Криптографическая

защита информации. Функция хеширования.

  • ГОСТ 28147-89 Системы обработки информации. Защита крипто- графическая. Алгоритм криптографического преобразования.
  • ГОСТ Р ИСО/МЭК 7816-4-2004 Информационная технология. Карты идентификационные. Карты на интегральных схемах с контактами. Часть 4. Межотраслевые команды для обмена.
  • ГОСТ Р 34.11-94 Криптографический алгоритм вычисления значения хэш-функции заданного сообщения;
  • ГОСТ Р 34.10-2001 Криптографический алгоритм вычисления значения электронной цифровой подписи; Криптографический алгоритм проверки значения электронной цифровой подписи.

Примечание – Криптографические алгоритмы ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 применяются только для реализации совместимости с картами тахографа, выпущенными до 31.12.2018.

2. Основные технические характеристики НКМ-2.11

2.1 СоставНКМ-2.11

  • «Навигационно-криптографический модуль «НКМ-2.11»;
  • Формуляр на «Навигационно-криптографический модуль «НКМ-2.11».

2.2 Технические характеристики НКМ-2.11

НКМ-2.11 должно монтироваться на плату внутри корпуса бортового устройства тахографа.

Подключение НКМ-2.11 к плате тахографа осуществляется через разъём FCI 87409-110, 20.

Подключение кабеля антенны приёмника ГНСС осуществляется через разъём – MMCX (Amphenol 908-24100).

Питание НКМ-2.11 осуществляется от источника питания тахографа. Напряжение питания постоянное 3,3 В ± 5 %, 5,0 В ± 5 % с заземлённым

«минусом».

2.3 Функции НКМ-2.11 и поддерживаемые криптографические алгоритмы

НКМ-2.11 в составе тахографа выполняет следующие функции:

  • проведение взаимной аутентификации карт тахографа и НКМ-2.11;
  • формирование и передача в процессор тахографа данных о параметрах движения транспортных средств на основании данных ГНСС (текущая скорость, координаты);
  • формирование и передача в процессор тахографа данных о текущем времени в формате UTC(SU);
  • архивирование данных о координатах, скорости транспортного средства и текущем времени в формате UTC(SU);
  • архивирование данных о событиях НКМ-2.11;
  • архивирование данных о событиях тахографа;
  • архивирование данных по запросу от тахографа;
  • обеспечение хранения данных в некорректируемом виде в архиве НКМ-2.11;
  • долговременное хранение зарегистрированных данных (за последние

365 дней) в некорректируемом виде в архиве НКМ-2.11, в том числе, идентификационных данных, вводимых в НКМ-2.11;

  • обеспечение конфиденциальности, целостности и аутентификации данных, загружаемых из архива НКМ-2.11 на внешние носители информации;
  • управление разграничением доступа к данным архива НКМ-2.11;
  • обеспечение конфиденциальности, целостности и аутентификации данных, передаваемых между тахографом и картами тахографа;
  • хранение ключевой информации.

НКМ-2.11 обеспечивает выполнение следующих криптографических алгоритмов:

  • шифрование и расшифрование данных по алгоритму ГОСТ 28147-89 в режиме простой замены и простой замены с зацеплением;
  • шифрование и расшифрование данных по алгоритму ГОСТ Р 34.12-2015

«Магма» в режимах простой замены и простой замены с зацеплением (ГОСТ Р 34.13-2015);

  • вычисление криптографической контрольной суммы по алгоритмам ГОСТ 28147-89 и ГОСТ Р 34.13-2015 в режиме выработки имитовставки;
  • вычисление значения хэш-функции заданного сообщения по алгоритму ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012;
  • вычисление значения электронной цифровой подписи с использованием алгоритма ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012;
  • проверку значения электронной цифровой подписи, сформированной с использованием алгоритма ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012;
  • согласование ключей в соответствии с алгоритмом «VKO GOST R 34.10- 2012»;
  • удаление ключевой информации по истечении срока её действия.
  • Ключевая система НКМ-2.11 и ключевые носители

2.4 Составключей НКМ-2.11

ОбозначениеОпределениеСрокдействияключей НКМ-2.11

Sкс		Закрытый ключ, предназначенный для проведения взаимной аутентификации и выработки сеансового ключа обмена данными с картами тахографа и сервером АИСТК
3 года
SCAЗакрытый ключ формирования электронной подписи3 года

Pкс		Открытый ключ предназначенный для проведения взаимной аутентификации и выработки сеансового ключа обмена данными с картами тахографа и сервером АИСТК
6 лет
PCAnОткрытый ключ проверки электронной подписи15 лет

2.5 Занесение ключевой информации в энергонезависимую память

Занесение ключевой информации в НКМ-2.11 производится на этапе производства НКМ-2.11.

Значения параметров криптографических алгоритмов и ключевая информация НКМ-2.11 загружаются в НКМ-2.11 с использованием сертифи- цированных программно-аппаратных средств, организацией, обладающей соответствующей лицензией ФСБ России.

Загрузка сертификатов открытых ключей НКМ-2.11 осуществляется в процессе проведения активизации НКМ-2.11 в составе тахографа.

3. Учёт и хранение НКМ-2.11 и криптографических ключей

3.1 Учёт и хранение НКМ-2.11 при распространении

Организация поэкземплярного учёта НКМ-2.11 возлагается на предприятие- заказчика.

При хранении НКМ-2.11 в организации, осуществляющей распростране- ние НКМ-2.11, поэкземплярный учёт и хранение НКМ-2.11 должны произво- диться в следующем порядке:

  • Поэкземплярный учёт НКМ-2.11 осуществляет уполномоченный сотрудник организации, внесением соответствующих записей в журнал учёта НКМ-2.11.
  • При распространении НКМ-2.11 должна производиться проверка наличия у покупателя НКМ-2.11 лицензий ФСБ России на деятельность по распространению шифровальных (криптографических) средств.
  • При передаче НКМ-2.11 производитель должен записывать реквизиты покупателя в журнале поэкземплярного учёта НКМ-2.11.
  • Распространитель НКМ-2.11 должен вести журнал поэкземплярного учёта НКМ-2.11 с указанием: даты приобретения НКМ-2.11, даты продажи НКМ- 2.11, реквизитов покупателей НКМ-2.11.
  • Складские помещения распространителя НКМ-2.11 должны быть обеспечены следующими мерами защиты:
  • защитой от проникновения (усиленная дверь, решётки на окнах);
  • системой защиты от несанкционированного доступа с двумя независи- мыми конкурами защиты (механический + цифровой или биометричес- кий замок, система охранной сигнализации, видеонаблюдения);
  • списком лиц, имеющих допуск в помещение и журналом выдачи ключей.

3.2 Учёт и хранение НКМ-2.11 при встраивании их в тахограф

При проведении работ по встраиванию НКМ-2.11 в тахограф поэкземплярный учёт НКМ-2.11 должен производиться в следующем порядке:

  • Организация, осуществляющая встраивание НКМ-2.11 в тахограф должна обеспечить учёт приобретённых НКМ-2.11 в журнале поэкземплярного учёта НКМ-2.11. В журнале поэкземплярного учёта НКМ-2.11 регистрируются заводские номера тахографов, в которые устанавливаются НКМ-2.11.
  • Данные о заводских и регистрационных номерах НКМ-2.11 и заводских номерах тахографов, в которые НКМ-2.11 были встроены, по защищённому каналу, обеспечивающему целостность и конфиденциальность передаваемой информации, направляются в ФБУ «Росавтотранс» для включения в соответствующий перечень.
  • Оборудование складских помещений организации, выполняющей работы по встраиванию НКМ-2.11 в тахограф, должно обеспечивать:
  • защиту от проникновения (усиленная дверь, решётки на окнах);
  • защиту от несанкционированного доступа, состоящую из двух незави- симых контуров защиты (механический + цифровой или биометричес- кий замок, система охранной сигнализации, видеонаблюдения);
  • учёт лиц, имеющих допуск в помещение и журнал выдачи ключей.
  • При поставках тахографов со встроенными НКМ-2.11 производитель тахографа должен производить запись реквизитов покупателя (распростра- нителя) тахографа в журнале поэкземплярного учёта НКМ-2.11.

3.3 Учёт НКМ-2.11 при распространении и эксплуатации в составетахографа

Учёт НКМ-2.11 в соответствующих перечнях ведётся ФБУ «Росавтотранс» в соответствии с требованиями приказа Минтранса России от 13 февраля 2013 г.

№ 36.

Владельцы транспортных средств ведут учёт тахографов со встроенными НКМ-2.11 в рамках установленных правил учёта материальных ценностей.

3.4 Учёт и хранение НКМ-2.11 при техническом обслуживаниитахографов

Мастерские, приобретая НКМ-2.11, должны обеспечить их поэкземпляр- ный учёт, записывая в журнал поэкземплярного учёта НКМ-2.11 учётные номера НКМ-2.11.

Хранение НКМ-2.11 должно осуществляться на складе Мастерской, оборудование которого обеспечивает:

  • защиту от проникновения (усиленная дверь, решётки на окнах);
  • защиту от несанкционированного доступа, содержащую два независи- мых контура защиты (механический + цифровой или биометрический замок, система охранной сигнализации, видеонаблюдения);
  • учёт лиц, имеющих допуск в помещение и журнал выдачи ключей.

При активизации тахографа представитель Мастерской должен провести следующие учётные операции:

  • сделать запись в журнале поэкземплярного учёта НКМ-2.11 о заводском и регистрационном номерах НКМ-2.11, установленного на заданное транспорт- ное средство и внести в журнал запись о реквизитах владельца транспортного средства;
  • по защищённому каналу, обеспечивающему целостность и конфи- денциальность передаваемой информации, используя карту мастерской передать в ФБУ «Росавтотранс» данные:
    • о заводском и регистрационном номерах НКМ-2.11;
    • об активизации тахографа и его заводской номер.

При замене отработавшего срок эксплуатации или отказавшего НКМ-2.11 представитель Мастерской должен провести следующие учётные операции:

  • сделать запись в журнале поэкземплярного учёта НКМ-2.11 об установке НКМ-2.11 с данным заводским и регистрационным номерами в тахограф, установленный на конкретное транспортное средство, и внести в журнал запись о транспортном средстве и его владельце;
  • по защищённому каналу, обеспечивающему целостность и конфиден- циальность передаваемой информации, направить в ФБУ «Росавтотранс» данные:
    • о заводском и регистрационном номерах снятого с тахографа НКМ- 2.11, для установки его статуса в состояние «заблокирован»;
    • о заводском и регистрационном номерах НКМ-2.11, установленного взамен снятого, для установки его статуса в состояние «ТС активировано»;
    • о заводском номере тахографа, в котором заменён НКМ-2.11.

3.5 Учёт и хранение криптографических ключей

  • ПорядокучётаихранениякриптографическихключейНКМ-2.11

Учёт криптографических ключей НКМ-2.11 ведётся в составе мер учёта НКМ-2.11 в соответствии с порядком, установленным в разделе «Учёт и хранение НКМ-2.11». Отдельные операции учёта ключевых документов не организуются.

Срок действия ключевых документов НКМ-2.11 составляет три года с момента активизации НКМ-2.11.

Эксплуатация НКМ-2.11 с истекшим сроком действия ключевой информации запрещается. НКМ-2.11 с истекшим сроком действия ключевой информации подлежит замене. Тахограф за 60 дней до истечения срока действия ключевой информации НКМ-2.11, формирует сообщение о дате истечения срока действия ключевой информации НКМ-2.11 и о необходимости замены НКМ-2.11.

  • Порядок работы с ключами при техническом обслуживании иутилизацииНКМ-2.11
  • При замене отработавшего срок эксплуатации НКМ-2.11 уничтожение ключевой информации, содержащейся в НКМ-2.11 осуществляется в автоматизированном режиме в соответствии с эксплуатационной документацией на НКМ 2.11. При этом сертификат открытого ключа НКМ-2.11 сохраняется в составе НКМ-2.11 для обеспечения проверки электронной подписи выгруженных данных из защищённого архива НКМ-2.11.

При выводе из эксплуатации НКМ-2.11 до завершения его срока эксплуатации удаление ключевой информации должно осуществляться организацией, имеющей лицензию ФСБ России на выполнение работ и оказание услуг по пунктам 12 или 20 Перечня выполняемых работ в соответствии с Приложением к постановлению Правительства Российской Федерации от

16 апреля 2012 г. № 313 с использованем сертифицированных ФСБ России средств. При этом сертификат открытого ключа НКМ-2.11 должен быть сохранён в составе НКМ-2.11 для обеспечения проверки электронной подписи выгруженных данных из защищённого архива НКМ-2.11.

Уничтожение ключевой информации НКМ-2.11 осуществляется в соответствии с требованиями п. 46 «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использова- нием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утверждённой приказом ФАПСИ от 13 июня 2001 г. № 152.

Информация о выводе НКМ-2.11 из эксплуатации и об уничтожении ключевой информации в НКМ-2.11 (заводской номер и дата уничтожения ключевой информации) передается в ФБУ «Росавтотранс».

  • После уничтожения ключевой информации, НКМ-2.11 с сохраненным сертификатом открытого ключа должен храниться у владельца транспортного средства. При этом срок хранения НКМ-2.11 после его вывода из эксплуатации должен быть не менее года.
  • Отработавшие срок эксплуатации НКМ-2.11, после хранения или НКМ-2.11, признанные отказавшими в процессе эксплуатации на основании заключения экспертной лаборатории, подлежат утилизации (уничтожению) путём физического уничтожения материального носителя НКМ-2.11, что оформляется соответствующим актом. В акте указываются: наименование изделия, дата его выпуска, заводской номер, регистрационный номер поэкземплярного учёта, дата уничтожения, подписи членов комиссии по уничтожению материального носителя НКМ-2.11 с их расшифровкой. Информация об утилизации (физическом

уничтожении) материального носителя НКМ-2.11 (заводской номер, дата уничтожения носителя) передается в ФБУ «Росавтотранс».

  • Утилизация НКМ-2.11 проводится путём его механического разрушения (прессование, дробление электронного модуля НКМ-2.11). Факт утилизации НКМ-2.11 оформляется актом произвольной формы. Срок хранения акта определяется действующими нормативными документами.
  • Порядокдействийприкомпрометацииключевыхдокументов

Событием компрометации ключевой информации НКМ-2.11 является любое нарушение целостности корпуса тахографа в процессе его эксплуатации, в результате которого могло бы произойти несанкционированное изъятие НКМ-2.11 из защищённого корпуса тахографа.

При выявлении события компрометации ключевой информации НКМ-2.11 подлежит немедленной замене в установленном порядке.

4. Использование НКМ-2.11

4.1 Порядок встраивания НКМ-2.11 в тахограф

  • • Испытания функциональности и совместимости привстраиванииНКМ-2.11втахограф

Для проведения оценки влияния аппаратных, аппаратно-программных и программных средств тахографа на выполнение заданных требований по безо- пасности информации, предъявляемых к НКМ-2.11 при его функционировании в штатном режиме, разработчику НКМ-2.11 должен быть представлен опытный образец модели тахографа со встроенным НКМ-2.11. В соответствии с Поло- жением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённым приказом ФСБ России от 9 февраля 2005 г. № 66 оценка влияния осуществляется разработчиком НКМ-2.11 совместно со специализиро-ванной организацией. Результаты оценки влияния (испытаний) в форме отчёта, а также образец НКМ-2.11 и опытный образец тахографа, с которыми проводились исследования, направляются для проведения экспертизы в ФСБ России, которая готовит соответствующее заключение. При положительном заключении ФСБ России допускается совместное использование тахографа и НКМ-2.11.

Для испытаний функциональности и совместимости производитель тахографа должен предоставить разработчику НКМ-2.11:

  • опытный образец тахографа со встроенным НКМ-2.11;
  • техническую (конструкторскую и программную) документацию на тахограф, описывающую все взаимодействия тахографа с НКМ-2.11;
  • протоколы испытаний тахографа со встроенным НКМ-2.11 (в соответствии с техническими условиями).

Испытания функциональности и совместимости должны производиться для каждой версии программного обеспечения тахографа. При изменении версии (обновлении) программного обеспечения тахографа испытания функциональ- ности и совместимости должны производиться повторно в полном объёме.

Встраивание НКМ-2.11 в тахограф должно производиться для тахографов, прошедших испытания функциональности и совместимости и получивших положительное Заключение о совместимости.

4.2 Технологический процесс производства тахографов совстроеннымНКМ-2.11

Установка НКМ-2.11 в тахограф на производственном участке должна производиться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённым приказом ФСБ России от 9 февраля 2005 г. № 66.

Контроль работоспособности НКМ-2.11 в составе тахографа должен обеспечивать выполнение операции диагностики НКМ-2.11.

Производитель НКМ-2.11 может участвовать в контроле процесса встраивания НКМ-2.11 в тахограф в том числе осуществлять:

  • согласование документов технологического процесса;
  • анализ данных событийного протоколирования;
  • анализ отчётности по производственным операциям, предоставляемым производителем тахографа;
  • плановые и внеплановые проверки.

Производитель тахографа должен предоставить производителю НКМ-2.11 необходимые технические и организационные условия для осуществления участия в контроле за встраиванием НКМ-2.11 в тахограф.

Производитель НКМ-2.11 вправе обращаться в установленном порядке по осуществлению контроля и расследования инцидентов при встраивании НКМ-

2.11 в тахограф в Управления ФСБ России.

4.3 Порядок эксплуатации НКМ-2.11 в составе тахографа

Эксплуатация НКМ-2.11 в составе тахографа должна выполняться в соответствии с настоящими Правилами пользования и техническими условиями на НКМ-2.11.

Нарушения процесса эксплуатации тахографа, приведшие к нарушению целостности защиты корпуса тахографа, должны рассматриваться, как событие компрометации НКМ-2.11 и вести к замене НКМ-2.11.

4.4 Порядок технического обслуживания НКМ-2.11

  • • Операции технического обслуживания НКМ-2.11

В ходе технического обслуживания НКМ-2.11 могут выполняться следующие операции:

  • диагностика НКМ-2.11 в составе тахографа путём печати отчёта о техническом состоянии НКМ-2.11;
  • диагностика НКМ-2.11 в составе тахографа путём выдачи отчёта о техническом состоянии НКМ-2.11 на карту тахографа;
  • замена НКМ-2.11 при ремонте тахографа;
  • замена отработавшего срок эксплуатации или отказавшего НКМ-2.11;
  • уничтожение секретного ключа отработавшего срок эксплуатации НКМ-2.11 и неисправного НКМ-2.11.
  • Место проведения технологических операций и субъектытехнического обслуживания

Активизация тахографа со встроенным НКМ-2.11 и замена отработавшего срок эксплуатации или неисправного НКМ-2.11 могут производиться как на территории Мастерской, так и на удалённом Посту активизации тахографа с использованием соответствующего сертифицированного оборудования.

Диагностика НКМ-2.11 в составе тахографа может производиться любым пользователем тахографа, аутентифицированным при помощи карты тахографа (Водителя, Предприятия, Мастерской, Контролёра) путём печати отчёта о техническом состоянии НКМ-2.11.

4.5 Активизация и диагностика НКМ-2.11

При активизации НКМ-2.11 должно обеспечиваться выполнение следующих требований:

  • НКМ-2.11 в организации – изготовители тахографов и в мастерские поступают с загруженной ключевой информацией;
  • ключевая информация, загруженная в НКМ-2.11 в процессе его производства, до загрузки в него квалифицированного сертификата НКМ-2.11 и завершения активизации НКМ-2.11 не принадлежит владельцу транспортного средства;
  • активизация НКМ-2.11 осуществляется после аутентификации им карты мастерской;
  • тахограф с неактивизированным НКМ-2.11 записывает на карту мастерской данные, необходимые для создания квалифицированного сертификата ключа НКМ-2.11 (далее – данные для создания сертификата ключа);
  • мастерская направляет данные для создания сертификата ключа в аккредитованный удостоверяющий центр;
  • мастерская, получив квалифицированный сертификат ключа НКМ-2.11, записывает его на карту мастерской;
  • ввод квалифицированного сертификата ключа НКМ-2.11 с карты мастерской в НКМ-2.11 осуществляется путём ввода карты мастерской в тахограф, ввода PIN-кода и аутентификации карты мастерской НКМ-2.11;
  • проверка завершения загрузки квалифицированного сертификата ключа НКМ-2.11 с карты мастерской в НКМ-2.11 проводится путём взаимной аутентификации карты мастерской и НКМ-2.11;
  • после загрузки в НКМ-2.11 квалифицированного сертификата ключа НКМ-2.11 осуществляется загрузка в НКМ-2.11 идентификационных данных транспортного средства, а также установочных параметров, требующих сохранения в защищённом архиве НКМ-2.11;
  • после загрузки в НКМ-2.11 идентификационных данных транспортного средства и установочных параметров, требующих сохранения в защищённом архиве НКМ-2.11, активизация НКМ-2.11 завершается, ключевая информация, загруженная в НКМ-2.11, с этого момента принадлежит владельцу транспортного средства;
  • мастерская направляет сведения об активизированных тахографе и НКМ-

2.11 для их внесения в соответствующие перечни.

Диагностика тахографа со встроенным НКМ-2.11 путём печати отчёта должна выполняться в следующем порядке:

  • пользователь должен аутентифицироваться при помощи карты тахографа;
  • пользователь должен запросить функцию вывода данных диагностики НКМ-2.11 на печать;
  • тахограф должен сформировать отчёт, в который автоматически включается текущее время, дата, координаты местонахождения транспортного средства и заводской номер НКМ-2.11 тахографа, подписанные квалифициро- ванной электронной подписью;
  • при выгрузке на внешние носители данных, содержащихся в памяти бортового устройства, в состав этих данных НКМ-2.11 автоматически включается текущее время, дата, координаты местонахождения транспортного средства и заводской номер НКМ-2.11, подписанные квалифицированной электронной подписью;
  • доступ к памяти защищённого архива НКМ-2.11 осуществляется только после проведения взаимной аутентификации карты (контролёра, мастерской, предприятия) и НКМ-2.11;
  • данные о проведенной аутентификации карты регистрируются в памяти защищённого архива НКМ-2.11;
  • в данные, выгружаемые на внешние носители из памяти защищённого архива НКМ-2.11, автоматически включается дата, время, счётчик событий и квалифицированная электронная подпись.

4.6 Замена НКМ-2.11 при обслуживании тахографа

Замена НКМ-2.11 производится в случаях:

  • выдачи тахографом диагностики об ошибках работы с НКМ-2.11;
  • выдачи НКМ-2.11 диагностики об ошибках в работе НКМ-2.11;
  • компрометации ключевых документов НКМ-2.11;
  • выработки НКМ-2.11 установленного срока пользования. При замене НКМ-2.11 выполняются следующие операции:
  • производится осмотр средств защиты тахографа (состояния кабелей, стыков подключения проводки, защитных пломб и клейм) и их состояние заносится в Акт выполненных работ в виде соответствующей записи: «средства защиты тахографа не нарушены» или «имеются следующие нарушения средств защиты тахографа»;
  • при обнаружении нарушения средств защиты тахографа представитель мастерской должен:
    • сфотографировать имеющиеся нарушения, распечатать фотографии и приложить их к Акту выполненных работ;
    • сохранить цифровые фотографии для отчётности в архиве документов Мастерской;
    • уведомить владельца транспортного средства об обнаруженных нарушениях средств защиты тахографа;
    • если тахограф находится на гарантии – оформить Акт об отказе в гарантийном обслуживании на основании нарушения средств защиты тахографа;
  • произвести демонтаж тахографа в соответствии с технической документацией поставщика тахографа;
  • произвести вскрытие корпуса и замену НКМ-2.11;
  • произвести операции установки, активизации НКМ-2.11 в установленном настоящими правилами порядке;
  • осуществить уничтожение ключевой информации НКМ-2.11 в мастерской с использованием сертифицированного оборудования в соответствии с технической документацией производителя НКМ-2.11.
  • Требования по обеспечению мер защиты
  • Требования к помещению

Оборудование помещений, предназначенных для хранения, встраивания и активизации НКМ-2.11 должно исключать возможность бесконтрольного проникновения в эти помещения посторонних лиц и гарантировать сохранность находящихся в них носителей сведений, составляющих конфиденциальную информацию (средства криптографической защиты информации, ключевая информация).

Помещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие помещений в нерабочее время, в них также могут устанавливаться кодовые и электронные замки и оборудоваться приспособления для опечатывания.

Режимные помещения, в которых в нерабочее время хранятся носители сведений, составляющих конфиденциальную информацию, оснащаются охран- ной сигнализацией, связанной со службой охраны здания.

Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решётками. Для предотвращения просмотра извне окна оборудуются металлическими жалюзи.

Режим охраны помещений, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает ответственное лицо. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящих требований.

Двери режимных помещений должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам, имеющим право допуска в режимные помещения, под расписку в

журнале учёта хранилищ. Дубликаты ключей от входных дверей таких помещений следует хранить в сейфе ответственного лица.

Режимные помещения, в которых имеются технические средства, оборудуются в соответствии со специальными требованиями и рекомендациями по защите конфиденциальной информации, от утечки по техническим каналам (СТР-К).

Режимное помещение и размещаемое в нём оборудование (АРМ) должно быть аттестовано на соответствие требованиям по безопасности информации (т.е. иметь аттестаты соответствия).

Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.

Режимные помещения, как правило, должны быть оснащены охранной и пожарной сигнализацией, связанной со службой охраны здания, а также системой видеонаблюдения.

Оборудование помещений средствами вентиляции и кондиционирования воздуха должно соответствовать санитарно-гигиеническими нормам СНиП, устанавливаемым законодательством Российской Федерации.

  • Требования к персоналу

К выполнению обязанностей встраивания и активизации НКМ-2.11 допускаются лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциальной информации с использованием НКМ-2.11.

При определении обязанностей должностных лиц необходимо учитывать, что безопасность хранения, обработки и передачи по каналам связи с использованием НКМ-2.11 конфиденциальной информации обеспечивается:

  • соблюдением персоналом режима конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе

со сведениями о функционировании и порядке обеспечения безопасности применяемых НКМ-2.11 и ключевых документов к ним;

  • точным выполнением требований к обеспечению безопасности конфиденциальной информации;
  • надёжным хранением эксплуатационной и технической документации к ним, ключевых документов, носителей конфиденциальной информации;
  • своевременным выявлением персоналом попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используемых НКМ-2.11 или ключевых документах к ним;
  • немедленным принятием персоналом мер по предупреждению разглашения защищаемых сведений конфиденциального характера, а также возможной утечки таких сведений при выявлении фактов утраты или недостачи НКМ-2.11, ключевых документов к ним, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.

Объём и порядок ознакомления должностных лиц с конфиденциальной информацией определяется обладателем конфиденциальной информации.

Должен быть определён и утверждён список лиц, имеющих доступ к ключевой̆ информации.

Обязанности между персоналом должны быть распределены с учётом персональной ответственности за сохранность НКМ-2.11, ключевой документа- ции и конфиденциальных документов, а также за порученные участки работы.

  • Рекомендации по размещению оборудования (техническихсредств, АРМ) для обеспечения встраивания НКМ-2.11в тахограф,активизацииНКМ-2.11,техническогообслуживанияНКМ-2.11

При размещении технических средств, АРМ для обеспечения встраивания НКМ-2.11 в тахограф, АРМ активизации тахографов с установленным НКМ- 2.11, а также АРМ технического обслуживания НКМ-2.11 должны быть приняты меры по исключению несанкционированного доступа посторонних лиц в помещения, предназначенные для хранения, встраивания и активизации НКМ-

2.11, а также по сохранению находящихся в этих помещениях конфиденциальных документов.

На АРМ, должно использоваться только лицензионное программное обеспечение (ПО) фирм-производителей.

Доступ персонала в режимные помещения должен быть регламентирован внутренним распорядком эксплуатирующей организации и должностными инструкциями.

Для исключения сбоев АРМ, вызванных отключением электропитания, необходимо обеспечить электропитание АРМ от источников бесперебойного питания достаточной мощности. Как минимум, мощности батарей источников бесперебойного питания должно хватать на время достаточное для корректного автоматического завершения работы АРМ.

На случай пожара, аварии или стихийного бедствия должны быть раз- работаны специальные инструкции, утверждённые руководством организации, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очерёдность и порядок эвакуации НКМ-2.11, конфиденциальных документов и дальнейшего их хранения.

  • Требования по защите от НСД при эксплуатации НКМ-2.11
    • Общие положения

Защита информации от НСД должна обеспечиваться на всех технологичес- ких этапах обработки информации и во всех режимах функционирования, в том числе при проведении технического обслуживания тахографов в мастерской.

Защита информации от НСД должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем или администратором безопасности.

НКМ-2.11 удовлетворяет «Требованиям к шифровальным (крипто- графическим) средствам, предназначенным для защиты информации, не

содержащей сведений, составляющих государственную тайну» по классу КС3,

«Требованиям к средствам электронной подписи» по уровню класса КС3.

Защита аппаратного и программного обеспечения АРМ от НСД при установке, активизации, техническом обслуживании НКМ-2.11 является состав- ной частью общей задачи обеспечения безопасности информации в системе тахографического контроля.

Наряду с применением технических средств защиты от НСД необходимо выполнение целого ряда мер, включающего в себя организационно-технические и административные мероприятия, связанные с обеспечением правильности функционирования технических средств обработки и передачи информации, а также установление соответствующих правил для обслуживающего персонала, допущенного к работе с конфиденциальной информацией.

  • Организация работ по защите от НСД

Персонал, обеспечивающий встраивание НКМ-2.11 в тахограф и активизацию НКМ-2.11, несёт ответственность за соблюдение мер по защите от НСД. При обеспечении встраивания НКМ-2.11 в тахограф, активизации тахографов с НКМ-2.11, в организации должен быть назначен администратор безопасности, на которого возлагаются задачи организации работ по использованию НКМ-2.11, выработки соответствующих инструкций для пользователей, а также контроль за соблюдением соответствующих требований.

Правом доступа к АРМ (по обеспечению встраивания НКМ-2.11 в тахограф, активизации НКМ-2.11 в тахографе, технического обслуживания тахографа) должны обладать только определенные (выделенные для эксплуатации) лица, прошедшие соответствующую подготовку.

Администратор безопасности должен ознакомить каждого пользователя с документацией, обеспечивающей встраивание, активизацию и использование НКМ-2.11, а также с другими нормативными документами по обеспечению информационной безопасности.

При встраивании НКМ-2.11 должны быть предусмотрены меры, исключающие возможность несанкционированного не обнаруживаемого измене- ния аппаратной части тахографа (например, путём пломбирования тахографа).

При организации работ по защите информации от НСД необходимо учитывать следующие требования:

  • необходимо разработать и применить политику назначения и смены паролей на АРМ;
  • на АРМ, подключённых к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например, установка межсетевых экранов, организация VPN сетей и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации;
  • организовать и использовать систему аудита, организовать регулярный анализ результатов аудита;
  • организовать и использовать комплекс мероприятий антивирусной защиты.

Предыдущая Регистрация сим-карт на портале государственных услуг
Оглавление