俄罗斯联邦政府
解析度
2022 年 8 月 26 日第 1498 号
莫斯科
批准国家机构对拥有国家信息系统的权利的认可要求,并使用该系统进行识别和(或)认证,和(或)执行这些国家信息的运营商的职能国家机关对国家信息系统拥有权进行认证和(或)进行身份验证和(或)执行这些国家信息系统运营商职能的规则
根据“关于信息、信息技术和信息保护”的联邦法第 14 1条第 18 14部分,俄罗斯联邦政府决定:
1. 经俄罗斯联邦联邦安全局、联邦通信、信息技术和大众传媒领域监督局和俄罗斯联邦中央银行同意,批准以下内容:
国家机构对拥有国家信息系统的权利进行认证的要求,这些信息系统用于识别和(或)认证,和(或)执行这些国家信息系统的运营商的职能;
国家信息系统拥有权的国家认证机构通过的规则,使用该权利进行识别和(或)认证,和(或)实施这些国家信息系统的运营商的职能。
二、本决议自2023年3月1日起施行。
俄罗斯联邦政府主
席米舒斯京
经俄罗斯联邦政府2022 年 8 月 26 日第 1498
号法令批准
国家机构对拥有国家信息系统的权利进行认证的要求
1. 国家机关对国家信息系统(以下简称国家信息系统)的拥有权进行认定和(或)认证,和(或)其功能国家信息系统的经营者,即国家信息系统的所有者和经营者或经营者,应遵守以下要求:
a) 国家机构拥有硬件加密(加密)手段的所有权或其他物权,用于使用生物特征个人数据进行识别和(或)认证,并确认符合联邦执行机构在该领域制定的要求安全性,以及使用软件加密(密码)手段合法的权利;
b) 国家机关工作人员中至少有 2 名直接操作国家信息系统的员工,他们在信息技术或信息安全领域受过高等教育;
c) 确保国家机构与国家系统的互动,以检测、预防和消除对俄罗斯联邦信息资源的计算机攻击的后果;
d) 用于处理个人生物特征数据以进行识别和(或)认证的信息技术和技术手段符合根据“关于信息、信息的联邦法”第 14 条第 13 部分第1款规定的要求技术和信息保护”,如果根据“关于信息、信息技术和信息保护”的联邦法第 14 1条第 18 15部分国家信息系统用于收集和传输个人生物特征数据,以将其放置在一个提供处理的个人数据信息系统中,包括收集和存储个人生物特征数据、验证和传输有关其遵守程度的信息根据联邦法律提供的个人生物特征个人数据,以及如果它使用的信息是处理包含在使用信息技术产生的指定统一个人数据信息系统中的个人生物特征个人数据的结果,以及满足第 14 条第 13 部分第 1 款规定的要求的技术手段1《关于信息、信息技术和信息保护的联邦法》 ,不受《关于个人数据的联邦法》第 11 条的约束,用于对个人进行身份验证;
e) 使用旨在处理个人生物特征数据以进行识别和(或)身份验证的技术,这些技术使用俄罗斯电子计算机和数据库程序统一登记册中包含的软件,符合规则的形成和维护规则俄罗斯电子计算机和数据库程序的统一登记册以及欧亚经济联盟成员国电子计算机和数据库程序的统一登记册,俄罗斯联邦除外,经俄罗斯联邦政府法令批准2015年11月16日第1236号“关于禁止进口来自外国的软件用于州和市政需要的采购。”
2.国家信息系统拥有权的国家机关,即国家信息系统的所有者,如果国家信息系统的运营者是按照本规则获得认可的组织,则进行国家信息系统拥有权的认可。俄罗斯政府法令批准的拥有信息系统的组织的认证,该组织使用个人生物特征数据提供识别和(或)认证,和(或)使用个人生物特征数据提供识别和(或)认证服务联邦2021年10月20日第1799号“关于拥有信息系统的组织的认证,这些信息系统使用个人的生物特征个人数据提供识别和(或)认证,和(或)使用个人的生物特征个人数据提供识别和(或)认证服务。”
____________
经俄罗斯联邦政府2022 年 8 月 26 日第 1498
号法令批准
国家机构通过认证拥有国家信息系统的权利的规则
一、一般规定
一、本规则规定了国家信息系统(以下简称国家信息系统)拥有权的认定程序,利用该系统进行识别和(或)认证,和(或)实施国家信息系统运营者、拥有者的国家机关和(或)国家信息系统运营者(以下简称国家机关)的职能。
2. 国家机构的认证由俄罗斯联邦数字发展、电信和大众传媒部(以下简称联邦机构)根据本规则进行。
三、本规则所用术语的含义如下:
“国家机构的认可” - 由授权的联邦机构确认国家机构符合国家机构对其拥有国家信息系统的权利的认可要求,使用该信息系统进行识别和(或)认证执行,和(或)这些国家信息系统运营商的职能,经俄罗斯联邦政府 2022 年 8 月 26 日第 1498 号法令批准“关于批准国家机构的权利认证要求拥有用于进行识别和(或)认证的国家信息系统,和(或)行使上述国家信息系统运营者的职能和国家机关对拥有国家信息系统的权利的认可规则,并使用这些信息系统进行身份识别和(或)认证,和(或)行使上述国家信息系统运营商的职能”;
"经认可的国家机构" - 列入经认可的国家机构名单的国家机构;
“申请人” - 申请认证的国家机构;
“经认可的国家机构名单”——在信息和电信网络“互联网”(以下简称“互联网”网络)中发布在授权联邦机构的官方网站上的经认可的国家机构名单;
“国家机构认证要求” - 根据国家机构对拥有国家信息系统的权利的认证要求对获得认证的国家机构提出的要求,这些信息系统用于识别和(或)认证,和(或)实施这些国家信息系统运营商的职能,经俄罗斯联邦政府 2022 年 8 月 26 日第 1498 号法令批准“关于批准国家机构拥有国家信息系统的权利的要求,以及使用其中进行了识别和(或)认证,和(或)行使上述国家信息系统运营者的职能和国家机关对拥有国家信息系统的权利的认可规则,并使用这些信息系统进行身份识别和(或)认证,和(或)行使上述国家信息系统运营商的职能。
4. 国家机构的认证有效期不限。
二、国家机构的认可程序
5. 为获得认可,国家机关向授权的联邦机构提交由国家机关首长或其授权代表签署的认可申请(以下简称认可申请),并附上确认履行的文件国家机构的认证要求。
认证申请由申请人直接提交给授权的联邦机构,或通过邮寄方式(附有附件说明)连同回执一起发送到授权的联邦机构的邮政地址或授权的电子邮件地址联邦机构或通过跨部门的电子文件管理系统。
认可申请被视为自其在授权联邦机构的电子文件管理系统中注册之日起提交。
6. 认可申请应包含申请人的以下信息:
a) 全名和地址;
b) 纳税人识别号;
c) 网站在互联网上的地址;
d) 如果国家信息系统运营商的职能由组织执行, - 该组织的全名、地址、纳税人识别号。
七、作为国家信息系统的所有者和运营者或运营者的国家机构的认可申请,应附有下列文件,确认申请人符合国家机构认可的要求:
a) 确认存在硬件加密(加密)手段的所有权或其他财产权的文件,用于使用生物特征个人数据进行识别和(或)认证,并确认符合联邦执行机构在安全领域制定的要求,以及使用软件加密(密码)的权利是合法的;
b) 证明申请人的员工中有至少 2 名直接操作国家信息系统并在信息技术或信息安全领域受过高等教育的员工的文件;
c) 确认用于处理个人生物特征数据的信息技术和技术手段符合《联邦法》第 14 条第1款第 13 条第 1 款规定的识别和(或)认证要求的文件信息、信息技术和信息保护”,或确认信息技术和技术手段包括在技术和手段清单中,由授权的联邦机构根据第 14 条第1款第13 部分第 2 款公布《关于信息、信息技术和信息保护的联邦法》;
d) 确认发送本款规定的文件的申请人的授权人有权代表申请人行事的文件。
8. 授权的联邦机构:
a) 在授权联邦机构的电子文件管理系统中注册申请之日起不超过 10 个工作日内,检查申请人提交的文件的完整性、完整性和可靠性;
b) 对于申请人——作为国家信息系统的所有者和运营商或运营商的国家机构,根据部门间请求,使用联邦执行机构在以下领域的部门间电子交互的统一系统提出请求安全、申请人与国家检测、警告系统交互的信息以及消除计算机攻击对俄罗斯联邦信息资源的影响;
c) 检查履行国家机构拥有的国家信息系统运营商职能的组织是否已按照《提供身份识别和(或)使用生物特征个人身份验证的信息系统拥有组织的认可规则》获得认可俄罗斯联邦政府2021 年 10 月 20 日第 1799号令批准的个人数据和(或)使用个人生物特征个人数据提供识别和(或)认证服务“关于拥有信息系统的组织的认证,该信息系统使用个人生物特征数据提供识别和(或)认证,和(或)使用个人生物特征数据提供识别和(或)认证服务”;
d) 根据“关于信息、信息技术和信息保护”的联邦法第 14 1条第 13 部分第 1 款规定的程序,对预期的信息技术和技术手段的符合性进行评估为识别和(或)认证的目的处理生物特征个人数据,根据“信息、信息技术和信息保护”联邦法第 14条第 13 部分第 1 款规定的要求,基于提供处理的统一个人数据信息系统的运营商进行的技术评估的结果,包括收集和存储生物特征个人数据,验证和传输有关其符合所提供生物特征的程度的信息个人的个人数据,或检查技术和手段清单中信息技术和技术资金的可用性,并确认符合性,根据“关于信息、信息的联邦法”第 14条第 13 部分第 2 款发布技术和信息保护”;
e) 根据对申请人是否符合要求的文件评估,在授权联邦机构的电子文件管理系统中注册申请之日起不超过 25 个工作日内做出认可或拒绝认可的决定国家机构的认证要求。
9. 如果在审核本规则第 8 款“a”项规定的文件期间,发现申请人提交的确认申请人符合性的文件不完整,联邦授权机构决定暂停认可程序符合国家机构认证要求。
授权的联邦机构在作出暂停认证程序的决定之日起 5 个工作日内,凭收据直接将其交付给申请人的代表,或通过邮寄方式(附有附件说明)将回执连同回执一起寄回申请人的邮政局地址或电子邮件地址或通过跨部门电子文件管理系统通知暂停认证程序,其中包含暂停原因和期限的信息。
中止认可程序自作出中止认可程序决定之日起不超过10个工作日,本规则第八款a项规定的审核文件期限延长至适当的时期。
申请人有权在暂停认证程序的期限届满之前,通过邮寄方式(附有附件说明)将回执直接发送至授权的联邦机构,并附上回执至授权的联邦邮政地址。或通过跨部门电子文件管理系统,在本规则第 8 款“a”项规定的核查过程中发现的缺失文件。
如果申请人向授权的联邦机构提交了缺失的文件,而在本规则第 8 款“a”项规定的核查过程中发现缺失的文件,则这些文件的核查将在 10 个工作时间内进行自在授权联邦机构的电子文件管理系统中注册之日起的几天。在这种情况下,本规则第 8 款“e”项规定的认可程序的总期限增加 10 个工作日。
如果申请人在暂停认可程序的期限届满前未按照本规则提交国家机构认可所需的遗漏文件,则授权的联邦机构应以“ b”本规则第 14 段。
10. 认可的国家机构的认可确认是认可的国家机构列表中的相应条目。
授权的联邦机构在国家机构认可决定之日起不超过 2 个工作日内,在认可的国家机构名单中做出适当的条目。
11. 经认可的国家机构名单包含以下有关经认可的国家机构的信息:
a) 全名和地址;
b) 纳税人识别号;
c) 网站在互联网上的地址;
d) 如果国家信息系统运营商的职能由组织执行, - 该组织的全名、地址、纳税人识别号。
12. 对国家机构的认可决定或有理由拒绝认可的决定应由授权的联邦机构在其通过之日起 5 个工作日内直接收到或邮寄给申请人的代表(附上附件说明)和回执回执到申请人的邮寄地址或申请人的电子邮件地址或通过跨部门电子文件管理系统。
13. 如果收到拒绝认可的决定,申请人有权在拒绝理由消除后重新向授权的联邦机构提出认可申请。
14. 拒绝认可的理由是:
a) 申请人不符合国家机构认可的要求;
b) 申请人未能提交确认国家机构符合国家机构认可要求的文件;
c) 申请人提交的文件中存在不可靠的信息;
d) 由未经申请人授权的人员提交认可申请。
三、暂停和终止认可的程序,对认可的国家机构名单的修改
15. 经授权的联邦机构决定暂停对经认证的州机构的认证,如果作为联邦州在身份识别和(或)认证领域实施控制(监督)的一部分,经认证的州机构不符合国家机构的认证要求和发布命令以消除与违反国家机构认证要求相关的违规行为,通过在认证的国家机构列表中进行适当的条目。
授权的联邦机构,在决定暂停认可的国家机构的认可之日起 3 个工作日内,直接向申请人的代表提供收据或邮寄(附有说明)和回执向申请人的邮寄地址或向申请人的电子邮件地址或通过系统部门间电子文件管理通知暂停认可的国家机构的认可,包含有关暂停认可的原因和期限的信息,说明订单的详细信息本条第一款中规定的或附上该命令的副本。
被认可的国家机构的认可暂停自作出暂停认可的决定之日起不超过 15 个工作日内进行。
经认可的国家机构有权在暂停认可期限届满之前,通过邮寄方式(附有附件说明)将信息和文件直接发送至经授权的联邦机构,并附上回执至美国邮政地址。授权联邦机构或授权联邦机构的电子邮件地址或通过跨部门电子文件管理系统,确认消除作出暂停认可决定的原因。
如果经认可的国家
| 建设单位:海南海商智谷产业园运营管理有限公司 地址:海南省海口市美兰区新埠大道3号海商智谷产业园办公楼 |
| 版权所有:海商智谷 备案号:琼ICP备17001760号-4 |
