В остальных случаях сертификат считается признанным при отсутствии любого уведомления по истечении одного рабочего дня с момента отправки оповещения или при начале использования сертификата его владельцем.

4.4.2.  Публикация сертификата удостоверяющим центром

После того как сертификат считается признанным Заявителем, сертификат публикуется в реестре изданных сертификатов.

4.4.3.  Уведомление третьей стороны об издании сертификата

ПУЦ CA SRV11 может уведомлять потенциальных пользователей сертификата об издании сертификатов, но не берет на себя никаких обязательств по этому поводу.

4.5.  Использование сертификата и ключевой пары

4.5.1.  Использование сертификата и ключевой пары абонентом

Абонент имеет право использовать ключевую пару, на основе открытого ключа которой был сформирован выданный абоненту сертификат открытого ключа, только после признания сертификата и строго в соответствии с требованиями подраздела 1.4. настоящего Регламента, политики сертификата и Политики сертификации ИОК .

Абонент обязан защищать закрытый ключ ключевой пары от компрометации.

4.5.2.  Использование сертификата и открытого ключа пользователями

Перед использованием сертификата пользователь обязан:

·  ознакомиться с политикой сертификата, в соответствии с которой выдан сертификат, и использовать сертификат только в соответствии с требованиями этой политики;

·  проверить статус используемого сертификата: если используемый сертификат отозван или истек срок его действия, то использование сертификата запрещается.

4.6.  Обновление и изменение сертификата

4.6.1.  Обстоятельства

4.6.1.1.  Обновление сертификата

Обновление сертификата является изданием абоненту ПУЦ CA SRV11 нового сертификата без изменения открытого ключа и другой информации в имеющемся сертификате, кроме срока его действия. Сертификат может быть обновлен при отсутствии необходимости обновления ключей.

Обновление сертификатов может применяеться ПУЦ CA SRV11 только для сертификатов политик IIb и III и не ранее чем за 5 рабочих дней до истечения срока действия обновляемых сертификатов. В иных случаях обновлении сертификатов запрещено.

4.6.1.2.  Обновление ключей

Обновление ключей является изданием абоненту ПУЦ CA SRV11 нового сертификата с обязательной сменой открытого и закрытого ключей, но без изменения другой информации в сертификате, кроме срока его действия. Обновление ключей обязательно производится в случае компрометации закрытого ключа, в этом случае имеющийся сертификат отзывается.

Обновление ключей сертификатов применяется ПУЦ CA SRV11 для сертификатов всех используемых политик согласно п.1.1.2., кроме политики V. Обновление ключей осуществляется в период действия имеющегося сертификата абонента и/или не позднее 5 рабочих дней с истечения его срока действия.

4.6.1.3.  Изменение сертификата

Изменение сертификата является выдачей абоненту ПУЦ CA SRV11 нового сертификата с изменением информации, включенной в действующий сертификат абонента, но без изменения открытого ключа. При этом исходный сертификат отзывается. Изменение сертификата производится в случае, если информация, содержащаяся в сертификате, становится не актуальной или при ее внесении в сертификат была допущена ошибка. Имеющийся сертификат абонента отзывается.

Изменение сертификата применяется ПУЦ CA SRV11 для сертификатов всех используемых политик согласно п.1.1.2. в период действия имеющегося сертификата абонента.

4.6.2.  Обработка и издание обновленного (измененного) сертификата

Подача и обработка заявки на сертификат, а так же издание сертификата осуществляются аналогично таким же процедурам при издании нового сертификата в соответствии с подразделами Абонентам - работникам Ленинградского областного филиала , которые получили имеющийся у них действительный сертификат на основании ранее зарегистрированной ПУЦ CA SRV11 письменной заявки, повторная подача такой заявки не требуется. Обработка и издание нового сертификата осуществляются на основании личного обращения работника Ленинградского областного филиала .

4.7.  Отзыв и приостановление сертификата

По истечении срока действия сертификата открытого ключа сертификат автоматически считается аннулированным. Автоматически аннулированные сертификаты не включаются в списки отозванных сертификатов.

Сертификат, аннулированный иным способом, либо сертификат, действие которого приостановлено или возобновлено, считается таковым (отозванным (аннулированным), приостановленным или возобновленным) с момента публикации ПУЦ CA SRV11 списка отозванных сертификатов (CRL), содержащего информацию об изменении статуса этого сертификата в Репозитории ПУЦ CA SRV11.

4.7.1.  Обстоятельства отзыва (приостановления, возобновления) сертификата

Сертификат должен быть отозван (приостановлен) до истечения срока своего действия при следующих обстоятельствах:

·  компрометация закрытого ключа абонента;

·  несоблюдение абонентом требований политики сертификата и/или настоящего Регламента;

·  дальнейшее использование сертификата может нанести вред домену доверия PKI;

·  по запросу на отзыв сертификата от абонента или ответственного лица подразделения абонента.

Приостановление/возобновление сертификата применяется ПУЦ CA SRV11 только в отношении сертификатов, изданных в соответствии с политикой II и её субполитиками при приостановке/восстановлении полномочий абонента. Приостановление/возобновление сертификатов политик III и V не используется.

Срок приостановления действия сертификата не ограничен, однако не должен превышать срок действия сертификата.

По окончанию срока приостановления сертификата, указанного в соответствующей заявке, сертификат восстанавливается без дополнительных запросов.

Действие сертификата политики II и её субполитик может быть возобновлено до истечения срока приостановления, указанного в заявлении по запросу абонента или ответственного лица подразделения.

4.7.2.  Кто имеет право подать запрос на отзыв (приостановление, возобновление)

Запрос на отзыв (приостановку, возобновление) сертификата подается:

·  абонентом или ответственным лицом подразделения абонента;

·  администратором УЦ, если он располагает достоверной документированной информацией, содержание которой требует отзыва (приостановления, возобновления) сертификата абонента для обеспечения информационной безопасности ;

·  отделом кадров (при увольнении работника Ленинградского областного филиала ).

4.7.3.  Процедура рассмотрения заявления на отзыв (приостановление, возобновление) сертификата

Заявление на отзыв (приостановку, возобновление) может быть подан следующими способами:

·  В электронной форме с идентификацией и аутентификацией по сертификату абонента или ответственного лица подразделения (организации) - при помощи электронной почты, системы электронного документооборота - подписанным сообщением;

·  В бумажной форме, заверенный подписью абонента или ответственного лица подразделения абонента;

·  В форме уведомления об увольнении работника Ленинградского областного филиала (только отделом кадров в качестве заявления на отзыв);

Примечание: Заявление на возобновление подается только в случае, если необходимо возобновить сертификат до окончания срока приостановления.

Заявление должно содержать следующую информацию:

1.  Идентификационные данные сертификата (Common Name, серийный номер).

2.  Одну из перечисленных причин отзыва:

·  увольнение работника;

·  организационно-штатные изменения;

·  компрометация или подозрение на компрометацию, в том числе утеря или порча ключевого носителя;

·  ошибка в сертификате;

3.  Дату и время отзыва (приостановки, возобновления), в случае необходимости немедленно отозвать (приостановить, возобновить) сертификат должно быть указано «немедленно».

Уведомление отдела кадров оформляется по правилам, установленным отделом кадров.

После получения заявления ПУЦ CA SRV11 производит его проверку на соответствие вышеизложенным требованиям, и если таковая прошла успешно, то производит отзыв (приостановку, возобновление) сертификата. Информация об изменении статуса сертификата вносится в список отозванных сертификатов с обязательным указанием одной из следующих причин:

·  "1" – компрометация ключа, в случае утери или порчи ключевого носителя, компрометации или подозрения на компрометацию ключа;

·  "4" – сертификат заменен, в результате организационно-штатных изменений или ошибке в выданном сертификате и издании нового сертификата;

·  "5" – прекращение работы, в случае увольнения работника;

·  "6" – приостановление действия сертификата;

·  "8" – удален из CRL (в случае возобновления действия сертификата);

В случае возобновления действия сертификата информация о приостановке действия сертификата может быть исключена из списка отозванных сертификатов, после чего ПУЦ CA SRV11 обновляет этот список.

4.7.4.  Срок передачи заявления на отзыв (приостановление, возобновление)

Заявление на отзыв должно быть передано администратору УЦ настолько быстро, насколько это возможно. Заявления на приостановление /возобновление действия подаются по мере необходимости.

4.7.5.  Срок, за который удостоверяющий центр должен обработать заявление на отзыв (приостановление, возобновление)

Решение о принятии или отклонении заявки на отзыв должно быть вынесено в течение одного рабочего дня с момента его подачи. В случае принятия запроса отзыв сертификата осуществляется в указанную в запросе дату и время.

4.7.6.  Требования к пользователям по проверке статуса сертификата

Пользователь сертификата открытого ключа обязан проверять его действительность по списку отозванных сертификатов ПУЦ CA SRV11 перед каждым использованием сертификата.

4.7.7.  Частота издания списка отозванных сертификатов

Аналогично п.2.3.

4.7.8.  Максимальное время задержки публикации CRL

Списки отозванных сертификатов публикуются в репозитории сразу же после генерации настолько быстро, насколько это возможно технически.

4.8.  Сервис статуса сертификата

Сервис статуса сертификата предназначен для информирования всех участников ИОК о статусе изданных сертификатов и реализован в ПУЦ CA SRV11, как и во всей ИОК , на базе CRL – общедоступных списков отозванных сертификатов.

4.8.1.  Эксплуатационные характеристики

Проверка статуса сертификатов через CRL в репозитарии ПУЦ CA SRV11 и централизованном репозитарии ИОК по протоколу HTTP. Адреса размещения CRL включаются в изданные сертификаты.

4.8.2.  Доступность сервиса

Сервис доступен круглосуточно, за исключением запланированных перерывов на техническое обслуживание, общей длительностью более 24 часов в год. При этом техническое обслуживание репозитария ПУЦ планируется только на периоды гарантированной работы централизованного репозитания.

4.9.  Прекращение использования услуг

Абонент может отказаться от услуг ПУЦ CA SRV11 следующим образом:

·  отказавшись от обновления сертификата по истечению срока его действия;

·  отозвав свой сертификат до истечения срока действия без заявки на выдачу нового сертификата, обновление или изменение сертификата или замену ключей.

6.  Технические меры обеспечения безопасности

6.1.  Генерация и инсталляция ключевых пар

6.1.1.  Генерация ключевых пар

Генерация ключевых пар производится либо абонентом самостоятельно, либо работником ПУЦ CA SRV11. Генерация ключевых пар осуществляется либо программно, либо аппаратно, в зависимости от типа используемого ключевого носителя, требования к которым приведены в пункте 6.2.1. Предпочтительными является генерация ключа абонентом с помощью специализированного аппаратного обеспечения.

При генерации ключевых пар, предназначенных для издания к ним сертификата политики II и её субполитики IIb, а также политики V, допускается устанавливать возможность разрешения экспорта закрытого ключа. Во всех иных случаях возможность экспорта закрытого ключа должна быть запрещена.

6.1.2.  Передача закрытого ключа абоненту

В случае если генерация ключевой пары осуществляется работником ПУЦ CA SRV11, то передача закрытого ключа на ключевом носителе осуществляется лично абоненту или ответственному лицу подразделения (организации) под подпись в соответствующем журнале учета.

6.1.3.  Передача открытого ключа издателю сертификата

Заявитель передает открытый ключ в составе подписанного запроса PKCS#10, при помощи электронной почты или иным способом по соглашению сторон.

6.1.4.  Передача открытого ключа удостоверяющего центра пользователям

Открытые ключи ПУЦ CA SRV11 содержатся в его сертификате, который доступен пользователям в репозиториях, а также могут быть высланы пользователям по запросу согласованным способом.

6.1.5.  Размеры ключей

Размер открытых ключей равен 512 бит в соответствие с ГОСТ 34.10/11-2001;

6.1.6.  Параметры генерации открытого ключа и проверка качества

Используются параметры генерации и методы проверки качества ключевой информации, установленные производителем СКЗИ CSP CryptoPro.

6.1.7.  Назначение ключей

Назначение ключей разрешенных политик сертификата ПУЦ CA SRV11 приведено в таблице 2.

Таблица 2

6.2.  Защита закрытого ключа и технический контроль криптографических модулей

6.2.1.  Стандарты и контроль криптографических модулей

Ключевые носители, которые разрешается использовать для хранения ключевой информации к сертификатам, издаваемым ПУЦ CA SRV11 , приведены в таблице 3.

Таблица 3.

* при хранении ключевой информации на дискете допускается издание сертификатов политики II со сроком действия не более 90 дней.

Сертифицированные СКЗИ и отчуждаемые ключевые носители учитываются в соответствии с требованиями документа, регламентирующего использования СКЗИ в .

6.2.2.  Контроль закрытого ключа несколькими лицами

Не используется.

6.2.3.  Депонирование закрытого ключа

Не используется

6.2.4.  Резервная копия закрытого ключа

Резервное копирование ключей УЦ осуществляется в процессе резервного копирования ПУЦ CA SRV11.

Резервное копирование ключевой информации абонентов запрещается.

6.2.5.  Архивация закрытого ключа

Не используется.

6.2.6.  Перенос закрытого ключа из/в криптографический модуль

Не регламентируется.

6.2.7.  Хранение закрытого ключа в криптографическом модуле

Не регламентируется.

6.2.8.  Метод активации закрытого ключа

Активацию закрытого ключа для использования должен производить только абонент, если иное не предусмотрено настоящим Регламентом.

Закрытый ключ должен использоваться абонентом только после аутентификации. Закрытый ключ должен активироваться абонентом только на время проведения необходимых операций.

Закрытый ключ из ключевой пары, соответствующей сертификату политики II и её субполитики IIb может использоваться администратором ПУЦ CA SRV11 или ответственным лицом (руководителем) подразделения абонента для расшифрования электронных документов абонента в его отсутствие при наличии случае служебной необходимости.

6.2.9.  Метод деактивации закрытого ключа

Деактивация закрытого ключа производится либо автоматически, либо путем отключения ключевого носителя.

6.2.10.  Метод уничтожения закрытого ключа

Закрытый ключ уничтожается средствами СКЗИ CryptoPro CSP.

6.3.  Другие аспекты управления ключевой парой

6.3.1.  Архивация открытого ключа

Архивация и резервирование открытого ключа, осуществляется в составе сертификатов открытого ключа как часть процедуры резервного копирования.

6.3.2.  Сроки действия сертификата и использования ключевой пары

Срок действия сертификата ПУЦ CA SRV11 составляет 2 года 5 месяцев 4 недели.

Срок действия абонентских сертификатов устанавливается

·  365 дней для сертификатов политики II и её субполитик;

·  не более срока действия сертификата ПУЦ CA SRV11 для политики III;

·  не более 90 суток для Политики II при использовании незащищенного ключевого носителя;

·  не более 30 суток для Политики V.

Срок использования ключевой пары для создания ЭЦП и шифрования равен сроку действия соответствующего сертификата, срок использования ключевой пары для расшифровки и проверки ЭЦП неограничен.

6.4.  Данные активации

6.4.1.  Генерация и инсталляция данных активации

Данные активации используются для защиты ключевых носителей и создаются перед генерацией ключевой пары. ПУЦ CA SRV11 создает данные активации только в случае генерации ключевой пары абоненту. Данные активации передаются абоненту вместе с ключевым носителем.

6.4.2.  Защита данных активации

Абонент должен защищать данные активации от потери, порчи, неавторизованного использования или раскрытия всеми разумно-достаточными мерами и средствами.

6.4.3.  Другие аспекты, относящиеся к данным активации

Не регламентируются.

6.5.  Средства управления безопасностью вычислительной техники

6.5.1.  Особые технические требования по безопасности вычислительной техники

Центр сертификации «OJSC North-West Telecom CA SRV11» ПУЦ CA SRV11 развернут на сервере «Flagman-ZK», выполненном в защищенном исполнении в соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» и оснащенном программно-аппаратным комплексом защиты информации от несанкционированного доступа «Соболь» сертифицированным ФСБ и ФСТЭК России.

Доступ к информации ограничен работниками, исполняющими доверенные роли.

6.5.2.  Оценка безопасности вычислительной техники

Программное обеспечение ПУЦ имеет следующие сертификаты соответствия:

o  КриптоПро CSP —СФ/ от 01.01.2001 г. ФСБ России.

Аппаратное обеспечение ПУЦ CA SRV11 имеет следующие сертификаты соответствия:

o  Сервер «Flagman-ZK —№ К предписание №22/05, протокол №НЗ-20/05;

o  ПАК «Соболь» — СФ/ от 01.01.2001 и СФ/ от 01.01.2001 ФСБ России.

На ПУЦ CA SRV11 выполняется контроль целостности следующих программных компонент из состава программного обеспечения:

o  программные модули средств электронной цифровой подписи и криптографической защиты информации;

o  программные модули центра сертификации;

Система контроля целостности базируется на возможностях ПАК «Соболь» по контролю целостности аппаратного и общесистемного программного обеспечения до загрузки операционной системы. Контроль целостности осуществляется переда каждой загрузкой сервера.

Ответственность за выполнение мероприятий по контролю целостности программных средств возложена на управление безопасности Ленинградского областного филиала .

6.6.  Технические средства управления жизненным циклом

6.6.1.  Средства управления разработкой системы

Не применяются в связи с отсутствием разработок.

6.6.2.  Средства управления организацией безопасности

ПУЦ CA SRV11 проверяет безопасность конфигурации и целостность используемых систем.

6.6.3.  Средства управления безопасностью жизненного цикла

Не применяются.

6.7.  Средства управления сетевой безопасностью

ПУЦ CA SRV11 защищается от неавторизованного доступа и атак средствами защиты периметра локальной вычислительной сети (ЛВС) без окон, соответствующими настройками сетевого оборудования ЛВС и соответствующим конфигурирование настроек безопасности операционной системы сервера ПУЦ.

Для защиты от несанкционированного доступа и атак со стороны внешних сетей используется средства межсетевого экранирования, сертифицированных по 3-му классу защищенности от НСД в соответствии с требованиями руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации».

Защита информации, в том числе конфиденциальной, которая передается между программно-техническими средствами обеспечения деятельности ПУЦ CA SRV11 и программными средствами, предоставляемыми пользователям ПУЦ CA SRV11, осуществляется путем шифрования информации с использованием криптографических средств.

6.8.  Метки времени

Сертификаты и списки отзыва сертификатов содержат информацию о дате и времени. ПУЦ CA SRV11 синхронизирует все программные и технические средства по Universal Coordinated Time с учетом часового пояса. Коррекция даты и времени проводится вручную администратором ПУЦ не реже одного раза в месяц.

7.  Шаблоны сертификатов и списков отзыва

Шаблоны сертификатов и списков отзыва определены в соответствии с рекомендациями ITU-T Recommendation X.509: Information Technology - Open Systems Interconnection - The Directory: Authentication Framework и RFC 3280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile.

Расширения, используемые в сертификатах, но не определенные в X.509 и RFC 3280, заданы в соответствии с документацией производителей программного обеспечения.

7.1.  Шаблон сертификата

В сертификатах, издаваемых ПУЦ CASRV11 основные поля заполняются в соответствии с таблицей 4. Таблица 4. Основные поля сертификата

7.1.1.  Номер версии

В ИОК используются сертификаты формата X509 версии 3.

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3