7.1.2.  Расширения сертификата

7.1.2.1.  Authority Key Identifier(идентификатор ключа центра сертификации)

Содержит поле keyIdentifier (Идентификатор ключа), равное идентификатору открытого ключа ПУЦ CA SRV11 - 3a 7b c0dda c1 49 d9 d5 ee

7.1.2.2.  Subject Key Identifier(идентификатор ключа субъекта)

Численное значение идентификатора открытого ключа владельца сертификата.

7.1.2.3.  KeyUsage (использование ключа)

Присутствует во всех издаваемых ПУЦ CA SRV11 сертификатах, является критическим. Значение флагов определяются политикой сертификата (см. Таблицу 2).

7.1.2.4.  Certificate Policies(политика сертификата)

Данное расширение может присутствовать в сертификате абонента и содержать объектные идентификаторы политики сертификата, в соответствии с которой он издан (см. п.7.1.6.), а также квалификатор этой политики. Расширение заполняется при наличии технической возможности.

7.1.2.5.  Basic Constraints(базовые ограничения)

В сертификатах абонентов, изданных ПУЦ CA SRV11, отсутствует.

7.1.2.6.  CRL Distribution Points(точки распространения списков отзыва CRL)

Расширение присутствует во всех сертификатах, изданных ПУЦ CA SRV11, и содержит следующую информацию:

[1]Точка распределения списка отзыва (CRL)

Имя точки распространения: Полное имя:

URL=http:// casrv101/certenroll/rootca. crl

URL=http://*****/certenroll/ca_srv1.crl

URL=http://*****/certenroll/ca_srv1.crl

7.1.2.7.  Authority Information Access(доступ к информации о центрах сертификации)

Расширение присутствует во всех сертификатах, изданных ПУЦ CA SRV1, и содержит следующую информацию:

[1]Доступ к сведениям центра сертификации

Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)

Дополнительное имя: URL=http://*****/certenroll/ca_srv1.crt

[2]Доступ к сведениям центра сертификации

Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)

Дополнительное имя: URL=http://*****/certenroll/ca_srv1.crt

[3]Доступ к сведениям центра сертификации

Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)

Дополнительное имя: URL=http:// casrv101/certenroll/rootca. crt

7.1.2.8.  Extended Key Usage (улучшенный ключ)

Данное расширение присутствует в сертификатах абонентов ПУЦ CA SRV11 и являться не критическим. Значение расширения зависит от политики сертификата (см. Таблицу 1).

7.1.2.9.  CA Version (версия ЦС)

В сертификатах абонентов, изданных ПУЦ CA SRV11, отсутствует.

7.1.3.  Объектные идентификаторы криптографических алгоритмов

При издании сертификатов ПУЦ CA SRV11 использует криптографические алгоритмы со следующими объектными идентификаторами:

·  sha-1WithRSAEncryption OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5 };

·  pkcs-1 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) 1 };

·  id-GostRwith-GostR OBJECT IDENTIFIER ::= { iso(1) member-body(2) ru(643) rans(2) cryptopro(2) gostRwith-gostR(3) };

·  id-GostR OBJECT IDENTIFIER ::= { iso(1) member-body(2) ru(643) rans(2) cryptopro(2) gostR(19) }.

7.1.4.  Формы имен

Согласно пункту 3.1.1 настоящей Политики.

7.1.5.  Ограничения имен

Не используется.

7.1.6.  Объектные идентификаторы применяемых политик сертификата

Объектные идентификаторы используемых ПУЦ CA SRV11 политик сертификата:

1.2.643.3.28.1.1.2 — политика II;

1.2.643.3.28.1.1.2.1 — политика IIa;

1.2.643.3.28.1.1.2.2 — политика IIb;

1.2.643.3.28.1.1.3 — политика III;

1.2.643.3.28.1.1.4 — политика V;

7.1.7.  Использование расширения Policy Constraints

Не используется.

7.1.8.  Семантика и синтаксис квалификаторов политики

При наличии технической возможности ПУЦ CA SRV11 может помещать в сертификаты следующие типы квалификаторов политики сертификта:

·  CPS Pointer —указатель в форме URI на настоящий Регламент;

·  User notice — уведомление о сфере применения сертификата в поле explicitText. Поле noticeRef не используется.

7.2.  Шаблон CRL

В списках отозванных сертификатов ИОК основные поля заполняются в соответствии с таблицей 5.

Таблица 5. Основные поля сертификата

7.2.1.  Номер версии

В ИОК используются списки отзыва сертификатов версии V2.

7.2.2.  Расширения CRL и элементов CRL

7.2.2.1.  Authority Key Identifier (идентификатор ключа центра сертификации)

Аналогично подпункту 7.1.2.1.

7.2.2.2.  CRL Number (номер CRL)

Некритическое расширение, содержащее порядковый номер списка отозванных сертификатов в последовательности таких списков, периодически публикуемых ПУЦ CA SRV11 .

7.2.2.3.  CA Version (версия ЦС)

Расширение, определенное компанией Microsoft с OID 1.3.6.1.4.1.311.21.1. Используется в списках отозванных сертификатов для обозначения версии ключей и сертификата центра сертификации. В CRL ПУЦ CA SRV11 значение этого расширения равно V0.0

7.2.2.4.  Reason Code (код причины списка отзыва)

Некритическое расширение элемента CRL, содержащее причину отзыва сертификата, указанную в соответствии с пунктом 4.7.3.

8.  Аудит соответствия и другие оценки

8.1.  Частота и условия оценки

Аудит ПУЦ CA SRV11 организовывается по решению центра управления ИОК с целью определения соответствия деятельности ПУЦ CA SRV11 требованиям используемых политик сертификата и других документов регламентирующего характера ИОК .

Решение о проведении аудита принимается руководством .

8.2.  Идентификация и квалификация эксперта

Внутренний аудит проводится аудитором ПУЦ CA SRV11.

Внешний аудит проводится независимой организацией, соответствующей следующим требованиям:

·  опыт в технологии PKI, информационной безопасности и проведении аудита безопасности;

·  наличие не менее двух специалистов, имеющих высшее образование или прошедших переподготовку по специальности «Защита информации».

8.3.  Отношение эксперта к оцениваемому

Для проведения внешнего аудита привлекается организационно или юридически независимая от организация, которая не является абонентом ПУЦ CA SRV11.

8.4.  Темы, охватываемые оценкой

Область вопросов, рассматриваемая при проведении аудита:

1.  физическая безопасность;

2.  аутентификация и идентификация;

3.  услуги;

4.  безопасность программного обеспечения и доступа к сети;

5.  ведение журналов событий и мониторинга системы;

6.  процедуры архивирования и резервного копирования.

8.5.  Действия, предпринимаемые по результатам аудиторских проверок

Отчеты о проведенных внешних и внутренних аудиторских проверках направляются администратору ПУЦ SRV11. В течение 15 рабочих дней, после получения отчетов, администратор обязан подготовить заключение со своим анализом отчетов аудиторских проверок в письменном виде, с указанием соответствующих действий по устранению замечаний, указанных в отчете. После устранения замечаний, они удаляются из отчетов аудитора, с составлением отчета об устранении выявленных замечаний, копия которого направляется в организацию, проводившую аудит.

В случае возникновения разногласий между действительной ситуацией и данными аудита деятельность ПУЦ CA SRV11 приостанавливается до устранения разногласий. Уведомление о приостановке публикуется в репозитории и рассылается абонентам по электронной почте.

8.6.  Сообщение результатов

Официальное заключение, заверенное лицом, осуществлявшим проверку, и самим удостоверяющим центром, не позднее трех месяцев с момента окончания проверки публикуется в репозитории.

9.  Другие коммерческие и юридические вопросы

9.1.  Оплата

Оплата за создание, публикацию и управление сертификатами ПУЦ CA SRV11 в рамках не предусматривается. Оплату за аналогичные услуги сторонним организациям допускается в явном виде предусматривать в соответствующих соглашениях (договорах) между сторонами.

9.2.  Финансовая ответственность

ПУЦ CA SRV11 не несет финансовой ответственности.

Финансовая ответственность за деятельность ПУЦ CA SRV11 может быть возложена на только в случае, если она будет явно определена условиями договора со сторонней организацией, пользующейся сервисами ПУЦ CA SRV11 за плату, предусмотренную соответствующими соглашениями (договорами) согласно п.9.1.

9.3.  Конфиденциальность коммерческой информации

9.3.1.  Пределы конфиденциальной информации

Конфиденциальной информацией считается:

·  Закрытый ключ ПУЦ CA SRV11 и его абонентов.

·  Персональная и корпоративная информация абонентов, содержащаяся в удостоверяющих центрах и не подлежащая непосредственной рассылке в качестве части сертификата открытого ключа или списка отозванных сертификатов;

·  Информация, хранящаяся в журналах аудита ПУЦ CA SRV11;

·  Отчетные материалы по выполненным проверкам деятельности удостоверяющих центров, за исключением заключения по результатам проверок, публикуемого в соответствии с настоящим Регламентом;

·  Сведения согласно «Перечня сведений, составляющих коммерческую тайну и иную конфиденциальную информацию -Западный Телеком»

9.3.2.  Информация, не являющаяся конфиденциальной

Информация, не являющаяся конфиденциальной информацией является открытой информацией. Открытая информация может публиковаться по решению удостоверяющего центра в соответствии с «Информационным регламентом . Место, способ и время публикации в рамках ИОК определяется решением центра управления ИОК .

Информация, включаемая в сертификаты открытых ключей и списки отозванных сертификатов, издаваемая удостоверяющими центрами, не считается конфиденциальной. Подача заявления на сертификат однозначно подтверждает, что абонент, знает, какая информация будет содержаться в сертификате, и согласен с ее публикацией.

Вся информация, подлежащая публикации в соответствии с политиками сертификата и требованиями настоящего регламента так же не считается конфиденциальной.

9.3.3.  Обязательства по защите конфиденциальной информации

Все участники ИОК , имеющие отношение к ПУЦ CA SRV11, должны скрывать и всячески препятствовать раскрытию конфиденциальной информации, каким бы то ни было третьим лицам за исключением случаев, требующих ее раскрытия в соответствии с действующим законодательством или при наличии судебного постановления. Защита конфиденциальной информации осуществляется в соответствии с «Положением по защите сведений, составляющих коммерческую тайну и иную конфиденциальную информацию -Западный Телеком».

9.4.  Конфиденциальность персональной информации

ПУЦ CA SRV11 осуществляет защиту персональных данных абонентов в соответствии с законодательством Российской Федерации.

Использование персональных данных абонентов в работе ПУЦ CA SRV11 осуществляется с их согласия, которым является заявление и запрос на получение сертификата открытого ключа.

9.5.  Права на интеллектуальную собственность

Не регламентируется.

9.6.  Заявления и гарантии

ПУЦ CA SRV11 не дает никаких гарантий, явных или подразумеваемых, кроме тех, что явно указаны в настоящем Регламенте, Политике и соглашениях между ним и абонентами. Ответственность перед абонентами может иметь место только при исполнении ими всех обязательств, соглашений и терминов настоящего Регламента, Политики, «Положения об ИОК , «Положения по защите сведений, составляющих коммерческую тайну и иную конфиденциальную информацию -Западный Телеком».

9.6.1.  Заявления и гарантии удостоверяющего центра

Удостоверяющий центр гарантирует:

·  соответствие своей деятельности требованиям законодательства Российской Федерации;

·  отсутствие каких-либо искажений или ошибок по вине УЦ в изданных сертификатах и списках отзыва;

·  соответствие сертификата требованиям политики сертификата, согласно которой он издан;

·  доступность сервисов проверки статуса сертификата.

9.6.2.  Заявления и гарантии абонента

Получая сертификат, абонент гарантирует, что:

·  вся информация, переданная абонентом в Заявлении на сертификат, является достоверной;

·  закрытый ключ хранится в тайне и неавторизованный доступ к нему невозможен;

·  сертификат будет использоваться им только по назначению и в соответствии с требованиями политики сертификата;

·  он немедленно оповестит УЦ при компрометации закрытого ключа.

9.6.3.  Заявления и гарантии пользователя

Используя сертификаты, пользователь сертификата должен гарантировать, что:

·  использование сертификата осуществляется в соответствии с требованиями политики сертификата;

·  использование сертификата осуществляется только после проведения проверки ЭЦП сертификата и его статуса, показавшей его действительность, и в соответствие с политикой сертификата.

9.7.  Ограничение ответственности

ПУЦ CA SRV11 не несёт ответственность за неисполнение своих обязательств по независящим от него причинам.

ПУЦ CA SRV11 не несёт ответственности в случае нарушения абонентами и/или пользователями требований настоящего Регламента, политики сертификата, Политики, использование сертификатов и соответствующих ключевых пар в целях отличных от тех, которые описаны в политике сертификата и соответствующих соглашениях.

Всякий пользователь обязан оберегать ПУЦ CA SRV11 от любой ответственности, которая возникнет от использования сертификатов не по назначению.

9.8.  Возмещение ущерба

Не предусматривается

9.9.  Период и прекращение действия

9.9.1.  Период

Настоящий Регламент и его изменения считаются действующими с момента публикации до момента прекращения его действия.

9.9.2.  Прекращение

Настоящий Регламент периодически исправляется и дополняется, оставаясь действующим до публикации новой версии, уведомления о прекращении его действия или даты прекращения действия всех сертификатов ЦС ПУЦ CA SRV11.

9.9.3.  Результат прекращения действия и долговечность

После завершения действия настоящего Регламента его требования продолжают действовать для всех участников, использующих сертификаты ПУЦ CA SRV11, изданные в период действия настоящего Регламента, в течение всего срока действия таких сертификатов.

9.10.  Индивидуальные уведомления и связь с участниками

Участники ИОК могут использовать любые способы связи между собой, если каким-либо соглашением не определено иное.

9.11.  Изменения

9.11.1.  Процедура изменения

Предложения по изменению настоящего документа могут вноситься директорами по направлениям и региональными директорами – директорами филиалов в адрес заместителя генерального директора по безопасности.

Изменения к данному документу составляются в письменной (печатной) форме администратором ПУЦ CA SRV11 и утверждаются руководителем центра управления ИОК - заместителем генерального директора по безопасности. Утверждение новых версий данного документа осуществляется в соответствии с пунктом 1.5.2.

Изменению не подлежат положения настоящего Регламента, прямо или косвенно ущемляющие права участников ИОК , имеющих отношение к ПУЦ CA SRV11.

9.11.2.  Период и механизм оповещения

Оповещение об изменении и/или дополнении настоящего Регламента осуществляются путем публикации новой версии Регламента в репозиториях ИОК . Публикация должна быть проведена в течение 30 (тридцати) календарных дней с момента вступления в силу изменений и/или дополнений. ПУЦ CA SRV11 может рассылать уведомления о внесении изменений и/или дополнений в настоящий Регламент своим абонентам по электронной почте.

9.12.  Условия разрешения споров

В случае возникновения споров сторонами в них считаются:

1) Абоненты ПУЦ CA SRV11;

2) Абонент ПУЦ CA SRV11 и абонент другого ПУЦ, входящего в ИОК ;

3) Абонент ПУЦ CA SRV11 и ПУЦ CA SRV11;

4) ПУЦ CA SRV11 и другой удостоверяющий центр в рамках ИОК .

Пользователи ПУЦ CA SRV11, не являющиеся его абонентами, а также УЦ, не входящие в состав ИОК не могут выступать в спорах в качестве стороны.

При возникновении споров стороны предпринимают все необходимые шаги для урегулирования спорных вопросов, которые могут возникнуть в рамках настоящего Регламента.

Разрешение споров абонентов ПУЦ CA SRV11 между собой осуществляет сам ПУЦ.

Разрешение споров между абонентами ПУЦ CA SRV11 и абонентами других ПУЦ, входящих в состав ИОК осуществляется ПУЦ CA SRV11 совместно с ПУЦ другого абонента.

Прочие споры разрешает центр управления ИОК .

Центр управления ИОК также разрешает споры, по которым стороны не смогли прийти к согласию.

9.13.  Соответствие применяемому законодательству

Настоящий Регламент разработан в соответствие с действующим законодательством Российской Федерации.

Приложение 1 к Регламенту подчиненного удостоверяющего центра CA SRV11 Ленинградского областного филиала открытого акционерного общества «Северо-Западный Телеком»

Правила заполнения поля Subject (субъект) в сертификатах, издаваемых ПУЦ CA SRV11.

Сертификаты политики II и её субполитик

* - псевдонимы должны быть определены регламентирующим документом ;

** - допускается только для политик II и IIb, в остальных случаях запрещается;

*** - для сертификатов абонентов сторонних организаций, в т. ч. зависимых и дочерних. Может не заполняться при отсутствии сведений об организационной структуре организации;

**** - только для сертификатов абонентов сторонних организаций;

***** - заполняется только в случае несовпадения с городом. Допускается, в случае использования в CN псевдонимов абонента, вносить вместо географического названия кодовое или полное обозначение информационной системы.

Сертификаты политики III

* сокращенное обозначение Общества допускается только в случаях неработоспособности ПО VPN c сертификатами, содержащими полное наименованием Общества и невозможности доработки;

** - может не указываться

К заполнению поля Subject сертификатов политики V не предъявляется никаких требований, кроме наличия слова «тестовый сертификат», «тестовый» или «test» в значениях одного из следующих параметров: CN, OU, O, S, СN. В целом рекомендуется заполнять параметры сертификатов политики V аналогично заполнению сертификатов политик II и III.

Приложение 2 к Регламенту подчиненного удостоверяющего центра CA SRV11 Ленинградского областного филиала открытого акционерного общества «Северо-Западный Телеком»

Образец для издания сертификата открытого ключа абонента ПУЦ CA SRV11, в бумажной форме.

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО

«СЕВЕРО-ЗАПАДНЫЙ ТЕЛЕКОМ»

СЕРТИФИКАТ ОТКРЫТОГО КЛЮЧА

Серийный номер:ABCSTFGHIJ;

Действителен с: ДД. ММ. ГГГГ чч:мм:сс по: ДД. ММ. ГГГГ чч:мм:сс;

Владелец сертификата: фамилия, имя и отчество владельца или его псевдоним;

Алгоритм открытого ключа: ГОСТР34.10-2001;

Значение открытого ключа: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

Расширения сертификата X.509:

Расширение: 2.5.29.37;

Название: Улучшенный ключ;

Значения**: Защищенная электронная почта (1.3.6.1.5.5.7.3.4);

Расширение: 2.5.29.15;

Название: Использование ключа;

Значение**: Цифровая подпись, неотрекаемость, шифрование ключей, шифрование данных;

Применяемое СКЗИ: CryptoPro CSP

* - вписывается от руки абонентом;

** - заполняется в зависимости от политики сертификата.

[1] Перечень разрешенных в ИОК защищенных ключевых носителей приведен в Приложении 4 к Политике.

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3