РЕГЛАМЕНТ

подчиненного удостоверяющего центра CA SRV11 Ленинградского областного филиала

открытого акционерного общества «Северо-Западный Телеком»

Текущая версия: 1.0, дата издания: 13 декабря 2007 года;

Объектный идентификатор: 1.2.643.3.28.1.3.2.1.1

1.3.  Участники ИОК

ИОК имеет иерархическую структуру, во главе которой находится корневой удостоверяющий центр Root CA, издающий сертификаты только для подчиненных удостоверяющих центров. В каждом филиале развернут не меньше чем один подчиненный удостоверяющий центр, издающий сертификаты для конечных пользователей. Структура ИОК подробно рассмотрена в разделе 4 «Положения об ИОК .

По отношению к ПУЦ CA SRV11 участники ИОК определяются следующим образом:

1.3.1.  Центры сертификации

ПУЦ CA SRV11 содержит в своей структуре центр сертификации OJSC North-West Telecom CA SRV11, который производит все операции на основании сертификата открытого ключа, изданного изданный центром сертификации OJSC North-West Telecom Root CA корневого удостоверяющего центра Root CA, со следующими основными параметрами:

Кому выдан: OJSC North-West Telecom CA SRV11;

Серийный номер:  34 0f 3a ff2c;

Действителен с: 1 марта 2007 г. 16:06:00 по 28 августа 2009 г. 16:16:00;

Открытый ключ:
 Алгоритм открытого ключа: Название: ГОСТ Р 34.10-2001
 Значение открытого ключа:f2ad 91 7c e2 e1 3c 4d 13 4c 8e 09 b4 d9 c7 c5 bc eafaa8 3a 6d ba 9e 35 dd 23 7e c1 9d ad 2f a1 9e 5f e6 1f 19 f9 1be 67 cd 75 8f 23 2a 81 b4 b9 85.

1.3.2.  Центры регистрации

ПУЦ CA SRV11 содержит в своей структуре один центр регистрации – абонентскую службу. Данная служба «СЗТ» выполняет все функции центра регистрации (обработку заявлений на сертификат, отзыв, приостановление и возобновление действия) в соответствие с требованиями настоящего Регламента.

Внешних центров регистрации ПУЦ CA SRV11 не имеет.

1.3.3.  Абоненты

Абонентами ПУЦ CA SRV11 являются работники Ленинградского областного филиала , представители сторонних организаций, действующие в рамках договорных отношений, а также работники дочерних и зависимых от обществ, предприятий и организаций, которые являются владельцами действующих сертификатов, изданных им ПУЦ CA SRV11 в соответствии с настоящим Регламентом.

1.3.4.  Пользователи

Пользователями сертификатов являются все субъекты, использующие сертификаты, изданные ПУЦ CA SRV11 соответствующим образом. Пользователь может являться абонентом ПУЦ CA SRV11.

1.3.5.  Другие участники

Другим участником ИОК, обеспечивающим функционирование ПУЦ является репозиторий, описанный в подразделе 2.1.

1.4.  Использование сертификатов

1.4.1.  Допустимое использование

Допустимым использованием является использование сертификата открытого ключа в корпоративных информационных системах в соответствии с разделом 1.1.2. настоящего Регламента и политикой сертификата, которая установлена Политикой.

Технически допустимое использование сертификатов, выпущенных ПУЦ CA SRV11, определяется сочетанием параметров сертификата «Улучшенный ключ» и «Использование ключа» и приведено в таблице 1.

Таблица 1. Допустимое использование сертификатов

1.4.2.  Запрещенное использование

Сертификаты должны использоваться только в соответствии с их назначением, иное использование запрещается.

Также запрещается использование истекших и отозванных сертификатов и соответствующих им ключевых пар для шифрования и формирования электронной цифровой подписи.

1.5.  Управление Регламентом

1.5.1.  Организация, управляющая настоящим Регламентом

Отдел информационной и экономической безопасности управления безопасности Ленинградского областного филиала .

Росиия, г. Санкт-Петербург, ул. Почтамтская д. 15;

E-mail:*****@;

Телефон/факс: (8;

График работы: рабочие дни (пн-чт) с 08.30 до 17.30, (пт) с 08.30 до 16.30, перерыв с 12.00 до 13.00;

Контактное лицо: администратор УЦ.

1.5.2.  Процедура утверждения Регламента

Настоящий Регламент составляется в письменной форме, согласуется руководителем центра управление ИОК и утверждается начальником управления безопасности Ленинградского областного филиала .

Изменения и дополнения к данному документу составляются в письменной (печатной) форме, регистрируются в листе регистрации изменений, согласовываются и утверждаются в вышеизложенном порядке

1.5.3.  Контроль соответствия Регламента

Контроль соответствия настоящего Регламента требованиям Политики и других регламентирующих документов ИОК осуществляет Центр управления (ЦУ) ИОК .

Контактная информация ЦУ ИОК:

Росиия, г. Санкт-Петербург, ул. Гороховая д. 14/26 (ул. Большая Морская д. 26);

E-mail: *****@***ru;

Телефон/факс: (8, / (8;

График работы: рабочие дни с 9.00 до 17.00, перерыв с 12.00 до 13.00;

1.6.  Определения и акронимы

1.6.1.  Определения

Абонент — субъект, которому издан сертификат.

Аутентификация — процесс, устанавливающий, что субъект является тем за кого себя выдает.

Активация/деактивация закрытого ключа — процедура, разрешающая/запрещающая использование закрытого ключа.

Данные активации — закрытые данные, отличные от ключей, требуемые для управления ключевым носителем, например PIN, пароль и т. п.

Заявитель — субъект, подавший заявление на сертификат.

Защищенный ключевой носитель[1] — отчуждаемое хранилище ключевой информации, которое имеет встроенные средства обеспечения защиты ключевой информации от несанкционированного доступа.

Идентификация — процесс, устанавливающий однозначное соответствие субъекта отличительным признакам.

Инфраструктура открытых ключей — архитектура, организация, методики, способы и процедуры, которые обеспечивают управление и применение криптографической системы, основанной на сертификатах открытого ключа.

Квалификатор политики — зависимая от политики информация, которая может сопутствовать идентификатору политики в сертификате X.509.

Политика сертификата — набор правил, определяющий использование сертификата некоторым сообществом и/или классом приложений с заданными требованиями безопасности.

Пользователь — получатель сертификата, который действует, доверяя этому сертификату и/или любой ЭЦП, проверенной с использованием этого сертификата.

Путь (цепочка) сертификации — упорядоченная последовательность сертификатов, которая может быть обработана вместе с открытым ключом начального объекта для признания открытого ключа конечного объекта.

Регламент (Certification Practice Statement) — это документ, содержащий описание процедур и действий, которые удостоверяющий центр использует при издании, управлении, отзыве и обновлении сертификатов.

Репозиторий — субъект, ответственный за публикацию, хранение и доступ к сертификатам и другой информации, связанной с ИОК.

Удостоверяющий центр — организационная единица, объединяющая в себе центр сертификации и других участников ИОК, за исключением абонентов и пользователей сертификатов.

Участник — субъект, выполняющий роль в PKI, такую как абонент, пользователь, удостоверяющий центр, центр регистрации, поставщик сервиса репозитория или нечто подобное.

Центр регистрации — субъект, ответственный за одну или более из следующих функций:

·  идентификация и аутентификация Заявителей;

·  принятие или отклонение заявления на сертификат;

·  инициация отзыва или приостановления сертификата при некоторых обстоятельствах;

·  обработка запросов абонентов на отзыв или приостановку их сертификатов;

·  принятие или отклонение запросов абонентов на обновление их сертификатов.

·  Однако ЦР не может подписывать и издавать сертификаты.

Центр сертификации — субъект, ответственный за издание сертификатов.

1.6.2.  Акронимы

2.  Публикация и ответственность репозитория

2.1.  Репозитории

Репозиторий ПУЦ CA SRV11 состоит из web-портала в локальной сети Ленинградского областного филиала с адресом http://casrv101/certenroll/;

Также информация ПУЦ CA SRV11 передается для публикации в централизованном портале ИОК в сети интернет по адресам:

o  http://*****/certenroll

o  http://*****/certenroll;

2.2.  Публикация информации

Публикации в репозиториях подлежат:

·  сертификаты корневых удостоверяющих центров ИОК ;

·  сертификат ПУЦ CA SRV11;

·  списки отозванных сертификатов ПУЦ CA SRV11;

·  списки отозванных сертификатов корневых удостоверяющих центров;

·  Настоящий регламент.

В репозиториях могут публиковаться:

·  реестр изданных ПУЦ CA SRV11 сертификатов;

·  Политика сертификации ИОК ;

2.3.  Время и частота публикаций

Публикация информации о статусе сертификата (списков отзыва ПУЦ CA SRV11) осуществляется планово один раз в неделю, а также внепланово – по фактам отзыва действующих сертификатов.

Публикация информации о статусе сертификата ПУЦ (списка отзыва корневого центра сертификации ИОК ) производиться ежегодно по факту поступления обновленного списка отзыва корневого УЦ.

Публикация обновлений данного Регламента осуществляется по мере их утверждения в соответствии с разделом 1.5.2

Публикация сертификатов производится по мере их издания.

2.4.  Управление доступом к репозиториям

Вся публикуемая в репозитории информация доступна всем участникам ИОК по адресам централизованного портала в сети Интернет. Управление доступом и защита от неавторизованного изменения, дополнения и/или удаления информации, опубликованной на централизованном портале, осуществляется с использованием механизмов межсетевого экранирования, операционных систем и оборудования серверов, поддерживающих его работу.

По адресу портала локальной сети вся информация доступна только работникам Ленинградского областного филиала .

ПУЦ CA SRV11 использует встроенные средства операционной системы сервера для предотвращения неавторизованного изменения, дополнения и/или удаления информации, опубликованной на портале в локальной сети Ленинградского областного филиала .

3.  Идентификация и аутентификация

3.1.  Присваивание имен

Имя абонента, указываемое в сертификате открытого ключа, должно быть аутентичными, если политика сертификата, в соответствие с которой он был издан, не предусматривает обратного.

3.1.1.  Типы имен

В сертификатах открытого ключа, издаваемых абонентам ПУЦ CA SRV11 в качестве значений параметров Common Name полей «Поставщик» (Issuer) и «Субъект»(Subject) используется отличительное имя (distinguished name) X.500. Правила заполнения поля Subject сертификата приведены в Приложении 1 к настоящему Регламенту.

3.1.2.  Требования к интерпретации имен

Имена, содержащиеся в сертификатах, должны однозначно идентифицировать абонента.

3.1.3.  Анонимные абоненты и абоненты с псевдонимами

Издание анонимных сертификатов запрещено.

Использование псевдонимов разрешено. Соответствие псевдонима реальным данным для работников Ленинградского областного филиала осуществляется на основании соответствующих внутренних документов, для представителей сторонних организаций, подключившихся к ИОК - на основании официальных письменных обращений.

3.1.4.  Правила интерпретации различных форм имен

Определяются Приложением №1 к настоящему Регламенту.

3.1.5.  Уникальность имен

Возможно существование нескольких сертификатов с одинаковыми отличительными именами. При этом ПУЦ CA SRV11 гарантирует уникальность каждого изданного сертификата.

3.2.  Первоначальное подтверждение подлинности

Аутентификация (подтверждение подлинности) заявителей и проверка их полномочий обязательны при подаче заявлений на сертификат политики II и её субполитик, а также политики III и могут осуществляться при подаче заявления на сертификат политики V.

3.2.1.  Метод подтверждения обладания закрытым ключом

Методом подтверждения обладания закрытым ключом служит подача корректного запроса на сертификат.

3.2.2.  Аутентификация организации

Для сторонних организаций, подключающихся к ИОК , проверка осуществляется отделом информационной и экономической безопасности управления безопасности Ленинградского областного филиала в рамках процесса согласования заключаемых соглашений и договоров.

3.2.3.  Аутентификация физических лиц

Проверка идентификационной информации физических лиц осуществляется при приеме на работу отделом кадров департамента управления персоналом и отделом информационной и экономической безопасности управления безопасности Ленинградского областного филиала . В дальнейшем аутентификация Заявителя осуществляется на основании корпоративного пропуска .

Аутентификация представителей сторонних организаций осуществляется на основании документов определенных соглашением сторон либо, при их отсутствии, на основании общегражданских удостоверений личности.

3.2.4.  Непроверяемая абонентская информация

Отсутствует

3.2.5.  Проверка полномочий

Проверка полномочий для должностных лиц осуществляется на основании корпоративных документов об их правах и полномочиях.

3.2.6.  Критерии взаимодействия

Возможность и порядок взаимодействия с участниками сторонних ИОК устанавливаются ЦУ ИОК .

3.3.  Аутентификация и идентификация для обновления ключей

3.3.1.  Аутентификация и идентификация для плановой замены ключей

Аутентификация осуществляется по действительному сертификату абонента либо по сертификату ответственного лица подразделения Ленинградского областного филиала .

3.3.2.  Аутентификация и идентификация для обновления ключей после отзыва

Аутентификация осуществляется в порядке, определенном пп.3.2.1-3.2.2..

3.4.  Аутентификация и идентификация для запроса на отзыв

Аутентификация и идентификация в случае подачи запроса на отзыв осуществляются по сертификату абонента или реквизитам письменного заявлению на отзыв.

4.  Функциональные требования жизненного цикла сертификата

4.1.  Заявление на сертификат

4.1.1.  Кто может подать заявление на сертификат

Заявление на издание сертификата может быть подано:

·  работником Ленинградского областного филиала , который является пользователем информационных систем использующих сертификаты ИОК

·  ответственным лицом подразделения или руководителем подразделения данного работника

·  представителем сторонней организации, подключающейся к ИОК по соглашению сторон.

4.1.2.  Процесс регистрации и требования

Заявитель должен пройти процесс регистрации, состоящий из:

·  для политики II и её субполитик— подачи письменной заявки на доступ к информационным системам, сервисам и ресурсам с аутентификацией абонента по корпоративному пропуску;

·  для политики III — подачи служебной записки с указанием ответственного исполнителя, который аутентифицируется по корпоративному пропуску;

·  для политики V — получения формализованных обращений заинтересованных подразделений.

Регистрация представителей сторонних организаций осуществляется на основании официального письма за подписью её руководителя. В письме должны быть указаны полное наименование организации, Ф. И.О. e-mail и должность ответственных представителей организации. Их аутентификация осуществляется на основании общегражданских документов, удостоверяющих личность, если иное не предусмотрено соглашением сторон.

4.2.  Обработка заявления на сертификат

4.2.1.  Выполнение функций аутентификации и идентификации

Аутентификация и идентификация Заявителя при обработке его заявления на сертификат осуществляется абонентской службой ПУЦ CA SRV11 в соответствии с подразделом 3.2.

4.2.2.  Принятие или отклонение заявления на сертификат

ПУЦ CA SRV11 имеет право отклонить заявление на сертификат в следующих случаях:

·  заявление на сертификат было передано способом не соответствующим требованиям регламента, политик сертификата или в не соответствующем формате;

·  данные, указанные в заявлении, неполны и/или не соответствуют действительности;

·  Заявитель не прошел процедуру аутентификации и идентификации при регистрации.

Заявление на сертификат принимается, если отсутствуют вышеперечисленные причины для его отклонения.

4.2.3.  Срок обработки заявления на сертификат

ПУЦ CA SRV11 начинает обработку заявления с момента его получения.

При этом ПУЦ CA SRV11 не гарантирует и не берет на себя никаких обязательств в отношении срока рассмотрения заявления на сертификат.

После рассмотрения запроса ПУЦ CA SRV11 выносит решение о его принятии (одобрении) либо отклонении. В случае решения об отклонении Заявителю письменно сообщается об этом.

4.3.  Издание сертификата

4.3.1.  Действия удостоверяющего центра во время издания сертификата

В общем случае ПУЦ CA SRV11 издает сертификат в форме электронного документа по запросу, сформированному на основании принятого (одобренного) заявления. Генерация запроса и ключевой информации может совершаться как абонентом, так и ПУЦ CA SRV11.Сертификат издается в соответствии с политикой сертификата из числа политик, указанных в п.1.1.2, и информацией указанной в заявлении.

Для сертификатов политик II, IIa и III, сертификат, кроме того, издается и в форме документа на бумажном носителе в двух экземплярах по форме, приведенной в Приложении 2. Сертификат в форме документа подписывается администратором ПУЦ CA SRV11, заверяется печатью ПУЦ CA SRV11 и передается заявителю. Администратор ПУЦ также указывает в сертификате в форме документа тип и идентификационные данные ключевого носителя (при наличии этих сведений).

4.3.2.  Оповещение Заявителя об издании сертификата

ПУЦ CA SRV11 уведомляет Заявителя о факте издания сертификата открытого ключа. Оповещением о факте издания сертификата считается передача сертификата его владельцу.

4.4.  Признание сертификата

4.4.1.  Действия по признанию сертификата

После получения сертификата Заявитель обязан в течение 1 рабочего дня провести проверку соответствия выданного сертификата поданному им заявлению. По результатам проверки абонент имеет право уведомить ПУЦ CA SRV11 о признании либо непризнании сертификата, в последнем случае сертификат отзывается.

В тот же срок абонент обязан сообщать в ПУЦ CA SRV11 об обнаружении несоответствий между содержанием изданного сертификата и сведениями в заявлении на сертификат, в этом случае сертификат изменяется.

Признание сертификата политики II, IIa и III осуществляется абонентом путем собственноручной подписи обоих экземпляров сертификата в форме бумажного документа и отправке одного из них администратору ПУЦ CA SRV11. Абонент также обязан указать в сертификате в форме бумажного документа тип и идентификационные данные ключевого носителя, если они не указаны ранее администратором ПУЦ CA SRV11. В этом случае сертификат считается признанным с момента получения администратором ПУЦ CA SRV11 заполненного и подписанного абонентом экземпляра выданного сертификата в бумажной форме.

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3