Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
СОГЛАСОВАНО | УТВЕРЖДАЮ |
Заместитель начальника Департамента безопасности | Первый заместитель начальника Департамента информатизации и корпоративных процессов управления |
П. п | П. п. |
"18" декабря 2009 г | "18" декабря 2009 г |
Регламент функционирования
Удостоверяющего центра
СОГЛАСОВАНО | СОГЛАСОВАНО |
Главный инженер ГВЦ – филиала | Генеральный директор «Информзащита» |
П. п. | П. п. |
" 18 " декабря 2009 г | " 18 " декабря 2009 г |
Москва, 2009
ЛИСТ СОГЛАСОВАНИЯ
Наименование подразделения | Ф. И.О. | Подпись | Дата |
Начальник отдела технических средств защиты информации Департамента безопасности | |||
Начальник отдела безопасности информационных ресурсов ГВЦ – филиала | |||
Руководитель проектов «Информзащита» |
Содержание
Определения 5
Сокращения 9
1 Введение 10
1.1 Общая информация 10
1.2 Название Регламента и его идентификация 10
1.3 Компоненты и пользователи УЦ РЖД 10
1.3.1 Компоненты УЦ РЖД 10
1.3.2 Пользователи УЦ РЖД 12
1.4 Область применения сертификатов ключей подписи 13
1.5 Администрирование Регламента 13
2 Политика публикации Регламента, сертификатов ключей подписи и информации об их отзыве 14
2.1 Публикация Регламента 14
2.2 Публикация списков отзыва сертификатов 14
2.3 Публикация сертификатов ключей подписи в сетевом справочнике сертификатов 15
3 Идентификация и аутентификация 16
3.1 Имена и идентификация пользователей 16
3.1.1 Типы имен пользователей 16
3.1.2 Правила задания имен пользователей УЦ 16
3.1.3 Идентификационные данные 17
3.2 Начальная регистрация пользователей в УЦ 18
3.2.1 Начальная регистрация уполномоченного лица ЦС 18
3.2.2 Регистрация пользователей УЦ 18
3.3 Идентификация и аутентификация пользователей при смене сертификатов ключей подписи 19
3.4 Идентификация и аутентификация пользователей при запросе на отзыв сертификата ключа подписи 20
4 Эксплуатационные требования 21
4.1 Процедура подачи заявления на выдачу сертификата ключа подписи 21
4.1.1 Подача заявления на выдачу сертификата ключа подписи при личном прибытии в ЦР 21
4.1.2 Подача заявления на выдачу сертификата ключа подписи по электронной почте 21
4.2 Обработка заявления на выдачу сертификата ключа подписи 21
4.2.1 Обработка заявления в бумажном виде 21
4.2.2 Обработка заявления, полученного по электронной почте 22
4.3 Издание сертификата ключа подписи 23
4.3.1 Издание сертификата при генерации ключей оператором УЦ 23
4.3.2 Издание сертификата при удаленной генерации ключей 23
4.4 Получение сертификата ключа подписи 24
4.4.1 Получение сертификата при личном прибытии к оператору УЦ 24
4.4.2 Получение сертификата при удаленной генерации ключей 24
4.5 Использование ключей и сертификатов ключей подписи 25
4.5.1 Управление паролями 25
4.5.2 Приостановление и возобновление действия сертификата 26
4.6 Замена сертификата ключа подписи без смены закрытого ключа 27
4.7 Замена сертификата ключа подписи при смене закрытого ключа 27
4.8 Замена сертификата ключа подписи при смене имени или роли пользователя 27
4.9 Отзыв сертификата ключа подписи 28
4.9.1 Инициаторы отзыва сертификата ключа подписи 28
4.9.2 Процедура отзыва сертификата ключа подписи 28
4.9.3 Периодичность издания СОС 29
4.10 Процедуры проверки статуса сертификата ключа подписи 29
4.11 Прекращение действия сертификата ключа подписи 30
5 Физический, процедурный и персональный контроль безопасности 31
5.1 Физический контроль безопасности 31
5.1.1 Размещение и построение технических средств УЦ РЖД 31
5.1.2 Физический доступ 31
5.1.3 Резервное копирование 32
5.2 Процедурный контроль безопасности 32
5.2.1 Доверенные роли 32
5.2.2 Ролевая идентификация и аутентификация 33
5.3 Персональный контроль безопасности 34
5.4 Процедуры аудита 35
5.5 Архивирование 36
5.6 Смена ключа уполномоченного лица УЦ РЖД 36
5.7 Восстановление УЦ РЖД после аварийных ситуаций 37
5.8 Завершение деятельности УЦ РЖД 37
6 Технический контроль режима конфиденциальности 38
6.1 Генерация и ввод в действие пар ключей 38
6.2 Защита закрытого ключа 39
6.3 Иные аспекты управления парами ключей 39
6.3.1 Сроки действия ключей уполномоченного лица УЦ РЖД 39
6.3.2 Сроки действия закрытых ключей и сертификатов открытых ключей пользователей УЦ РЖД 40
6.3.3 Процедура контроля соответствия электронного сертификата ключа подписи бумажной копии 40
6.4 Данные активации 40
6.5 Контроль защищенности на протяжении жизненного цикла технических средств УЦ РЖД 40
6.6 Контроль защищенности сетевой среды 41
6.7 Использование доверенных меток времени 41
7 Структура сертификата и СОС 43
7.1 Структура сертификата 43
7.2 Структура СОС 43
7.3 Структура OCSP 44
7.4 Структура TSP 45
8 Порядок проведения аудита 47
9 Правовое и финансовое обеспечение УЦ 48
9.1 Права УЦ РЖД 48
9.2 Права пользователей УЦ РЖД 49
А.1 Пользовательское соглашение 50
А.2 Шаблон доверенности на представление интересов пользователя в УЦ РЖД 55
А.3 Шаблон заявки на предоставление сервисов УЦ РЖД 56
А.4 Шаблон заявления на изготовление сертификата ключа подписи 57
А.5 Шаблон заявления на отзыв сертификата 58
А.6 Шаблон заявление на приостановление действия сертификата ключа подписи 59
А.7 Шаблон заявления на возобновление действия сертификата ключа подписи 60
А.8 Шаблон расписки о получении пакета документов от доверенного лица 61
А.9 Шаблон журнала учета выдачи сертификатов ключей подписи 62
Определения
Владелец сертификата ключа подписи
Физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Аннулированный сертификат ключа подписи
Сертификат ключа подписи, для которого:
-- истек срок действия;
-- скомпрометирован закрытый ключ ЭЦП.
Отозванный сертификат ключа подписи
Аннулированный сертификат ключа подписи до истечения срока действия или сертификат ключа подписи, действие которого приостановлено.
Закрытый ключ электронной цифровой подписи
Уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Информационная безопасность удостоверяющего центра
Состояние удостоверяющего центра, при котором он способен обеспечить выполнение своих целевых функций в соответствии с настоящим Регламентом.
Информационная система общего пользования
Информационная система, которая открыта для использования всеми физическими и юридическими лицами
и в услугах которой этим лицам не может быть отказано.
Квотирование ресурсов УЦ
Механизм, позволяющий накладывать ограничения на ресурсы УЦ и осуществлять контроль выполнения наложенных ограничений.
Компонент удостоверяющего центра
Совокупность программно-аппаратных средств, предназначенных для решения определенных задач в соответствии с функциональным назначением удостоверяющего центра и во взаимодействии с другими компонентами, а также организационно-технических мероприятий, необходимых для обеспечения информационной безопасности удостоверяющего центра и используемых каналов связи.
Корпоративная информационная система
Информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Криптосредство
Шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Надежность функционирования УЦ
Характеристика УЦ, определяющая способность УЦ корректно функционировать в условиях действий пользователя технических средств УЦ в рамках предоставленных программных интерфейсов и в соответствии с Регламентом.
Нарушитель
Лицо или группа лиц, случайно или преднамеренно совершающие действия, следствием которых является нарушение информационной безопасности Удостоверяющего центра.
Открытый ключ электронной цифровой подписи
Уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Подтверждение подлинности электронной цифровой подписи в электронном документе
Положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Пользователь сертификата ключа подписи
Физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.
Пользователь УЦ
Физическое лицо, использующее сертифицированный в удостоверяющем центре ключ для подписи электронных документов или сертификаты ключей подписей для проверки подписанных электронных документов.
Регламент
Основной руководящий документ удостоверяющего центра, отражающий обязанности пользователей и членов группы администраторов, протоколы работы, принятые форматы данных, а также основные организационно-технические мероприятия, необходимые для безопасного функционирования УЦ.
Ролевое разграничение
Политика разграничения доступа, основанная на создании и использовании абстрактных профилей прав пользователя.
Сертификат ключа подписи
Документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Сертификат средств электронной цифровой подписи
Документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.
Сертификационные испытания УЦ
Испытания УЦ конкретного типа или конкретные виды испытаний УЦ для целей сертификации, осуществляемые сертификационными испытательными лабораториями (центрами), аккредитованными в установленном порядке и имеющими соответствующую лицензию ФСБ России.
Служба УЦ
Комплекс технических средств и организационно-технических мероприятий, предназначенный для обеспечения дополнительных функций УЦ, например, таких как - Служба нотариата, Служба Актуальных Статусов, Служба штампов времени, Служба имен и другие.
Список отозванных сертификатов (СОС)
Электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя список серийных номеров сертификатов, которые на определенный момент времени были отозваны.
Среда функционирования криптосредства
Совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.
Средства электронной цифровой подписи
Аппаратные и/или программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи; подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе; создание закрытых и открытых ключей электронных цифровых подписей.
Структура сертификата ключа подписи (списка отозванных сертификатов)
Упорядоченный набор допустимых полей данных сертификата ключа подписи (списка отозванных сертификатов), часть из которых конкретизирована на основе их предполагаемого использования.
Удостоверяющий центр
Комплекс технических средств и организационно-технических мероприятий, предназначенный для обеспечения выполнения целевых функций УЦ, определенных в Статье 9 Федерального закона от 01.01.2001 г. №1-ФЗ «Об электронной цифровой подписи».
Устойчивость функционирования УЦ
Способность УЦ выполнять основные функции независимо от характера внешних воздействий.
Формат сертификата ключа подписи (списка отозванных сертификатов)
Упорядоченный набор допустимых полей данных сертификата ключа подписи (списка отозванных сертификатов).
Электронная цифровая подпись
Реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронный документ
Документ, в котором информация представлена в электронно-цифровой форме.
Сокращения
ГВЦ | Главный вычислительный центр |
ДЗО | Дочернее зависимое общество |
ИВЦ | Информационно-вычислительный центр |
КИС | Корпоративная информационная система |
НСД | Несанкционированный доступ |
Открытое акционерное общество | |
ОИБ | Отдел информационной безопасности |
ПАК | Программно-аппаратный комплекс |
ПО | Программное обеспечение |
РЖД | Российские железные дороги |
САС | Список аннулированных сертификатов |
СДВ | Служба доверенного времени |
СКД | Система контроля доступа |
СПД | Сеть передачи данных |
СКЗИ | Средство криптографической защиты информации |
СОПСС | Служба оперативной проверки статуса сертификата |
СОС | Список отозванных сертификатов |
ССС | Сетевой справочник сертификатов |
СУБД | Система управления базами данных |
ЦР | Центр регистрации |
ЦС | Центр сертификации |
УЦ | Удостоверяющий центр |
ФЗ | Федеральный закон |
ФИО | Фамилия, имя, отчество |
ЭЦП | Электронная цифровая подпись |
1 Введение
1.1 Общая информация
Настоящий Регламент определяет механизмы и условия предоставления и использования услуг Удостоверяющего центра (далее - УЦ) Открытого акционерного общества «Российские железные дороги» (далее – РЖД), обязанности пользователей УЦ РЖД и обслуживающего персонала УЦ РЖД.
1.2 Название Регламента и его идентификация
Наименование документа: «Регламент функционирования Удостоверяющего Центра».
Версия: 1.0.
Дата: ______.______________.200_
Объектный идентификатор: __________________________
1.3 Компоненты и пользователи УЦ РЖД
1.3.1 Компоненты УЦ РЖД
УЦ РЖД состоит из следующих компонентов:
-- корневой центр сертификации (далее – ЦС);
-- выпускающий ЦС;
-- выпускающий центр регистрации (далее – ЦР);
-- служба доверенного времени (далее – СДВ);
-- служба оперативной проверки статуса сертификатов (далее – СОПСС);
-- система управления базой данных (далее – СУБД);
-- сетевой справочник сертификатов (далее – ССС)
-- АРМ администратора УЦ;
-- АРМ оператора УЦ;
-- АРМ аудитора УЦ.
Корневой ЦС является базовым компонентом УЦ РЖД и предназначен для выполнения следующих функций:
-- изготовления ключей ЭЦП корневого ЦС и выпуск сертификата ключа подписи корневого ЦС;
-- изготовления ключей ЭЦП выпускающего ЦС и выпуск сертификата ключа подписи выпускающего ЦС;
-- кроссертификации с УЦ Уполномоченного Федерального Органа.
Закрытый ключ ЭЦП, соответствующий сертификату ключа подписи корневого ЦС, предназначен для заверения сертификата ключа подписи выпускающего ЦС.
Выпускающий ЦС предназначен для выполнения следующих функций:
-- изготовление сертификатов ключей подписей пользователей и компонентов УЦ;
-- подписание сертификатов ключей подписей пользователей и компонентов УЦ;
-- отзыв, приостановление/возобновление действия сертификатов ключей подписей;
-- формирование списка и ведение базы данных отозванных сертификатов ключей подписей на основе информации, получаемой от ЦР;
-- формирование ключей электронной цифровой подписи компонентов УЦ;
-- ведение базы данных всех изготовленных в УЦ сертификатов ключей подписей в течение установленного срока
хранения;
-- публикация в реестре сертификатов ключей подписей списка отозванных сертификатов (далее – СОС) и изданных сертификатов ключей подписей и обеспечение доступности указанной информации;
-- протоколирование работы ЦС.
Сертификаты ключей подписей корневого и выпускающего ЦС изготавливаются на имя уполномоченного лица УЦ.
Выпускающий центр регистрации обеспечивает возможность обработки регистрационной информации пользователей УЦ и авторизацию запросов на выпуск, приостановление действия и отзыв ключей подписей.
К функциям ЦР относятся:
-- идентификация, аутентификация и регистрация пользователей в УЦ;
-- проверка информации, находящейся в запросе на получение сертификата открытого ключа;
-- ведение БД, содержащей информацию о пользователях и пользовательских сертификатов;
-- взаимодействие с выпускающим ЦС;
-- обработка запросов на издание, приостановление действия и отзыв сертификата ключа подписи и их отправка в выпускающий ЦС;
-- выдача сертификатов ключей подписей.
Служба оперативной проверки статуса сертификатов реализует функции по централизованной проверке статуса отзыва сертификата на текущий момент времени.
Служба доверенного времени обеспечивает подтверждение времени подписания электронного документа собственной электронной цифровой подписью. В качестве источника точного времени используется специализированное аппаратно-программное средство ведения единого времени.
АРМ администратора УЦ предназначено для администрирования и контроля за функционированием программно-технических средств, входящих в число компонентов УЦ, формирования служебных ключей и сертификатов пользователей и компонентов УЦ, обработки запросов на издание/приостановление действия/отзыв сертификатов.
АРМ оператора УЦ выполняет функции по регистрации пользователей, созданию и передаче запросов на издание/приостановлении действия/отзыв сертификатов в ЦР и получению сертификатов ключей подписей.
АРМ аудитора УЦ выполняет функции по аудиту процессов регистрации пользователей и проверке данных переданных при создании и передаче запросов на издание сертификатов в ЦР.
Сетевой справочник сертификатов реализован в виде LDAP каталога на отдельном сервере, не входящем в состав технических средств УЦ РЖД.
СУБД предназначена для обмена и хранения информации об инфраструктуре открытого ключа, включая:
-- перечень и настройки установленных компонентов;
-- учетные записи пользователей;
-- изданные сертификаты;
-- полученные запросы на издание сертификатов;
-- служебную информацию;
-- события.
1.3.2 Пользователи УЦ РЖД
Пользователями УЦ РЖД могут являться лица, относящиеся к одной из следующих категорий:
-- сотрудники ;
-- сотрудники дочерних зависимых обществ (далее – ДЗО) , использующие информационные ресурсы КИС .
Для предоставления сервисов УЦ РЖД сотрудникам ДЗО , между и ДЗО заключается договор о предоставлении услуг УЦ. После чего ДЗО входит в состав УЦ РЖД в качестве Центра регистрации.
Владельцем закрытого ключа и сертификата открытого ключа может быть только физическое лицо.
Пользователем сертификата открытого ключа может быть физическое лицо, устройство или программное приложение.
В тех случаях, когда сертификаты требуются для работы каких–либо устройств или программных приложений КИС , назначается ответственное лицо (сотрудник ), на имя которого издается сертификат.
1.4 Область применения сертификатов ключей подписи
Сертификат ключа подписи – это электронный документ, подписанный ЭЦП выпускающего ЦС, и в соответствии со статьей 6 Федерального закона РФ «Об электронной цифровой подписи» содержащий:
-- уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи;
-- фамилию, имя и отчество владельца сертификата ключа подписи (имя пользователя УЦ);
-- открытый ключ электронной цифровой подписи;
-- наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
-- наименование и место нахождения УЦ;
-- сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.
Формат сертификата ключа подписи соответствует требованиям рекомендаций PKIX «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile» (RFC 3280). Подробное описание формата сертификата ключа подписи приведено в п. 7.1 .
В корпоративной информационной системе (далее – КИС) ключи и сертификаты ключей подписи могут применяться для:
-- аутентификации владельца сертификата ключа подписи;
-- формирования и проверки ЭЦП;
-- использования в процедурах согласования ключей шифрования.
1.5 Администрирование Регламента
Настоящий Регламент утверждается в соответствии с порядком утверждения документов, принятых в . Один раз в год проводится пересмотр данного документа с учетом состояния и развития УЦ РЖД.
2 Политика публикации Регламента, сертификатов ключей подписи и информации об их отзыве
2.1 Публикация Регламента
Данный регламент должен располагаться на общедоступном ресурсе либо может быть получен при обращении к оператору УЦ.
2.2 Публикация списков отзыва сертификатов
Публикация СОС должна выполняться в следующие справочники:
-- сетевой справочник сертификатов;
-- внешний сервер СОПСС;
-- внутренний сервер СОПСС.
Публикация СОС корневого ЦС осуществляется в следующем порядке:
-- каждую среду месяца администратор УЦ издает СОС корневого ЦС;
-- администратор УЦ записывает СОС на отчуждаемый носитель;
-- администратор УЦ размещает СОС в разделяемом каталоге на сервере выпускающего УЦ;
-- по заданному расписанию СОС распространяется на сервера центров регистрации, после чего автоматически публикуется специализированным ПО LDAPPublisher в ССС.
Публикация СОС выпускающего ЦС осуществляется в следующем порядке:
-- по заданному расписанию (раз в час) СОС распространяется на сервера центров регистрации, после чего автоматически публикуется специализированным ПО LDAPPublisher в ССС;
-- публикация СОС на внутренний сервер СОПСС осуществляется автоматически по завершении операции распространения СОС на сервера центров регистрации;
-- публикация СОС на внешний сервер СОПСС осуществляется администратором ЦР вручную не реже 1 (раза) раза в 2 (два) дня.
2.3 Публикация сертификатов ключей подписи в сетевом справочнике сертификатов
После издания сертификата пользователя администратор ЦР помещает сертификат ключа подписи в разделяемый каталог UserCert на сервере ЦР, в котором был зарегистрирован пользователь.
Как только сертификат будет помещен в разделяемый каталог на сервере ЦР, публикация сертификатов пользователей будет выполнена автоматически специализированным программным обеспечением LDAPPublisher.
3 Идентификация и аутентификация
3.1 Имена и идентификация пользователей
3.1.1 Типы имен пользователей
Для идентификации пользователей в УЦ РЖД в состав сертификата ключа подписи должно быть включено имя пользователя УЦ.
Имя пользователя УЦ должно записываться в поле Subject сертификата ключа подписи согласно рекомендациям PKIX «Internet X.509 Public Key Infrastructure Certificate and CRL Profile» (RFC 3280).
Имя пользователя УЦ должно иметь формат X.501 и не быть пустой строкой. Присвоение имени осуществляется при создании ключей электронной цифровой подписи и формировании запроса на изготовление сертификата.
3.1.2 Правила задания имен пользователей УЦ
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
