понедельник, 27 февраля 2017 г.

Франция: Соответствие стандарту NF Z 42-013 четко обозначено в требованиях ANSSI к доверенным хранилищам, соответствующих закону eIDAS


Данная коротенькая заметка Кристиана Дюбура (Christian Dubourg – на фото), директора по маркетингу компании Spark Archives (Klee Group) и члена комитета CN171 французского органа по стандартизации AFNOR, была опубликована 2 февраля 2017 года в социальной сети LinkedIn в группе по французским и международным стандартам в области электронной архивации и управления документами – «Archivage NF Z42-013 / Marque NF 461 / ISO 14641-1 / MEDONA NF Z44-022 / NF Z42-020 / PR NF Z42-026»

На сайте французского Национального агентства по безопасности информационных систем (l'Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI) в январе 2017 года были опубликованы Критерии оценки соответствия европейскому законодательству eIDAS об услугах в области доверия и об электронных подписях поставщиков квалифицированных услуг по сохранению квалифицированных электронных подписей и печатей.

Мой комментарий: Полное название документа, о котором идёт речь, следующее: «Квалифицированные услуги по сохранению квалифицированных электронных подписей и печатей. Критерии оценки соответствия закону eIDAS. Версия 1.0 от 3 января 2017 года» (Services de conservation qualifiés des signatures et des cachets électroniques qualifiés. Critères d’évaluation de la conformité au règlement eIDAS. Version 1.0 du 3 janvier 2017). Документ объёмом 11 страниц доступен по адресу https://www.ssi.gouv.fr/uploads/2016/06/eidas_conservation-signatures-cachets-qualifies_v1.0_anssi.pdf .

Несколько странное название услуги происходит от закона eIDAS. Статья 34 этого закона (англоязычная версия находится по адресу http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014R0910&from=EN ) посвящена «квалифицированным услугам по обеспечению сохранности для квалифицированных электронных подписей» (Qualified preservation service for qualified electronic signatures). По сути дела речь идёт о подтверждении подлинности «исторических» электронных подписей (как, без особых пояснений, сформулировано в законе - beyond the technological validity period).

В преамбуле документа ANSSI отмечается:
«Квалифицированные услуги по сохранению квалифицированных электронных подписей и квалифицированных электронных печатей, оказываемые поставщиком  услуг доверия в соответствии с требованиям, установленными в главе II настоящего документа, помогают обеспечить презумпцию надежности за пределами технологического срока действия квалифицированных электронных подписей и печатей, определенным согласно законодательству [eIDAS].»
Есть несколько важных новаций (по сравнению с предварительной версией, выпущенной в июне 2016 года – Н.Х.): ссылки на стандарт ISO 14641-1 заменены на ссылки на стандарт NF Z42-013: 2009.

В тексте также подчеркивается приверженность идее протоколирования (должны вестись журнал аудита жизненного цикла архивных документов и журнал аудита событий) и отмечается, что соответствие дополнительным требованиям пункта II.3.4.2. не требуется (это интересный пункт, содержащий дополнительные требования, касающиеся «расширения срока действия» и захвата информации о проверке квалифицированных электронных подписей и печатей – Н.Х.).

Мой комментарий: Речь идёт о международном стандарте ISO 14641-1:2012 «Управление электронными документами (электронная архивация) – Часть 1: Требования к проектированию и эксплуатации информационных систем для обеспечения долговременной сохранности электронной информации» (Electronic archiving - Part 1: Specifications concerning the design and the operation of an information system for electronic information preservation), который был разработан как раз на основе французского национального стандарта NF Z 42-013:2009 «Электронная архивация – Требования к разработке и использованию информационных систем по обеспечению сохранности и целостности содержащихся в этих системах документов» (Archivage électronique - Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes). Во Франции в настоящее время идёт работа над новой редакцией NF Z 42-013.

Кристиан Дюбур (Christian Dubourg)

Мой комментарий: В документе ANSSI приводятся ссылки на несколько других стандартов:
  • ETSI EN 319 102-1 версия 1.1.1 (май 2016 г.) «Электронные подписи и инфраструктуры – Процедуры создания и проверки усиленных электронных подписей AdES. Часть 1: Создание и проверка» (Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation), http://www.etsi.org/deliver/etsi_en/319100_319199/31910201/01.01.01_60/en_31910201v010101p.pdf

  • ETSI EN 319 401 версия 2.1.1 (февраль 2016 г.) «Электронные подписи и инфраструктуры: Общие требования к политике поставщиков доверенных услуг» (Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers), http://www.etsi.org/deliver/etsi_en/319400_319499/319401/02.01.01_60/en_319401v020101p.pdf

  • ETSI TS 119 612 версия 2.1.1 (июль 2015 г.) «Электронные подписи и инфраструктуры: Списки доверенных поставщиков услуг доверия» Electronic Signatures and Infrastructures (ESI); Trusted Lists) - более новая версия v2.2.1 доступна по адресу http://www.etsi.org/deliver/etsi_ts/119600_119699/119612/02.02.01_60/ts_119612v020201p.pdf
На сайте агентства ANSSI можно найти ещё ряд интересных руководств по части оценки поставщиков услуг доверия. В частности, это документ под названием «Органы по оценке соответствия поставщиков услуг в области доверия. Критерии признания соответствия закону eIDAS. Версия 1.1 от 3 января 2017 года» (Prestataires de services de confiance qualifiés. Critères d’évaluation de la conformité au règlement eIDAS. Version 1.1 du 3 janvier 2017). Документ объёмом 13 страниц доступен по адресу https://www.ssi.gouv.fr/uploads/2016/06/eidas_psc-qualifies_v1.1_anssi.pdf . Предыдущая версия была опубликована в феврале 2016 года, см. https://www.ssi.gouv.fr/uploads/2016/06/eidas-organismesevaluationconformite_v1.0_anssi.pdf

Источник: LinkedIn
https://www.linkedin.com/groups/1821365/1821365-6232709126577754114

Комментариев нет:

Отправить комментарий