Начало периода действия закрытого ключа пользователя Удостоверяющего центра исчисляется с даты и времени начала действия соответствующего сертификата ключа подписи пользователя Удостоверяющего центра.
Срок действия открытого ключа устанавливается равным сроку действия сертификата ключа подписи.
Максимальный срок, который может быть установлен в качестве срока действия сертификатов ключей подписей пользователей Удостоверяющего центра, составляет 1 год.
Срок действия сертификата ключа подписи устанавливается Удостоверяющим центром в момент его изготовления и заносится в базовое поля Validity сертификата (см. раздел 9).
Срок действия сертификата ключа подписи пользователя Удостоверяющего центра определяется путем выбора минимального из установленных сроков областей использования сертификатов, приведенных в Таблице 2, из числа областей использования, указанных в соответствующем заявлении на изготовление сертификата ключа подписи.
Таблица 2.
Сроки действия областей использования сертификатов
№ п/п | Наименование области использования | Срок действия |
1 | Центр Регистрации | не более 1 года |
2 | Администратор Центра Регистрации | не более 1 года |
3 | Оператор Центра Регистрации | не более 1 года |
4 | Пользователь Центра Регистрации | не более 1 года |
5 | Демонстрационный сертификат | 1 месяц |
6 | Защищенная электронная почта | не более 1 года |
7 | Проверка подлинности клиента | не более 1 года |
8 | Проверка подлинности сервера | не более 1 года |
9 | Подпись кода | не более 1 года |
8.5. Ключи ЭЦП и сертификат ключа подписи
Ключи ЭЦП и сертификат ключа подписи предназначены для применения в областях использования, указанных в сертификате.
8.6. Меры защиты рабочих закрытых ключей ЭЦП
Закрытые ключи ЭЦП пользователей Удостоверяющего центра должны записываться при их генерации на отчуждаемые (относительно рабочего места) носители ключевой информации. В качестве таких носителей ключевой информации допускается использовать только носители, указанные в формуляре средства ЭЦП, использовавшегося при их генерации.
Закрытые ключи на носителе защищаются паролем (ПИН-кодом). Пароль (ПИН-код) формирует лицо, выполняющее процедуру генерации ключей, учитывая следующие требования:
· длина пароля (ПИН-кода) не должна быть меньше 6 символов;
· В пароле должны присутствовать символы из следующих категорий:
o строчные буквы английского алфавита от "a" до "z" (всего 26 символов);
o прописные буквы английского алфавита от "A" до "Z";
o десятичные цифры от "0" до "9";
o символы, не принадлежащие к алфавитно-цифровому набору (всего 68 символов).
· Использование трех и более символов, набранных в одном регистре, идущих подряд на клавиатуре, недопустимо;
· Использование трех и более символов, набранных в одном регистре, идущих подряд в алфавитном порядке, недопустимо;
· Использование двух и более одинаковых символов, набранных в одном регистре, идущих подряд, недопустимо;
· Задание пароля, совпадающего с одним из трех последних паролей, недопустимо;
· Пароль не должен содержать букв русского алфавита.
Кроме того, должны действовать следующие правила.
· Смена пароля производится не реже чем 1 раз в 360 дней.
· Установленный по умолчанию на новых ключевых носителях пароль пользователя должен быть изменен перед началом эксплуатации.
· Пароли должны быть случайны, насколько это возможно, и не связаны каким-либо образом с конкретным пользователем, например, с датой его рождения.
Если процедуру генерации ключей ЭЦП пользователя Удостоверяющего центра выполняет сотрудник Удостоверяющего центра, то он должен сообщить сформированный пароль (ПИН-код) их владельцу.
Ответственность за сохранение пароля (ПИН-кода) в тайне возлагается на владельца закрытых ключей.
Не допускается использовать одно и тоже значение пароля (ПИН-кода) для защиты нескольких закрытых ключей.
Сотрудники Удостоверяющего центра, являющиеся владельцами закрытых ключей, также выполняют указанные в разделе меры защиты закрытых ключей.
8.7. Сертификат ключа подписи в электронной форме
Сертификат ключа подписи пользователя Удостоверяющего центра в электронной форме представляет собой электронный документ, имеющий структуру, соответствующую стандарту Международного союза телекоммуникаций ITU-T X.509 версии 3 и рекомендаций IETF (Internet Engineering Task Force) RFC 3280 и 5280 и представленный в кодировке Base64.
8.8. Сертификат ключа подписи на бумажном носителе
Сертификат ключа подписи пользователя Удостоверяющего центра на бумажном носителе, представляет собой документ, содержащий следующие обязательные реквизиты:
· серийный номер сертификата ключа подписи;
· идентификационные данные владельца сертификата;
· идентификационные данные издателя сертификата (идентификационные данные из сертификата ключа подписи уполномоченного лица Удостоверяющего центра);
· сведения о средстве ЭЦП уполномоченного лица Удостоверяющего центра;
· сведения об открытом ключе владельца сертификата и алгоритме его формирования;
· сведения об областях использования закрытого ключа и сертификата ключа подписи;
· собственноручную подпись уполномоченного лица Удостоверяющего центра;
· печать Удостоверяющего центра.
Сертификат ключа подписи печатается на листах белой бумаги формата А4, не содержащих средств защиты от копирования и подделки.
8.9. Архивное хранение документированной информации
8.9.1. Состав архивируемой документированной информации
Архивированию подлежит следующая документированная информация:
· реестр сертификатов ключей подписи пользователей Удостоверяющего центра;
· сертификаты ключей подписи уполномоченного лица Удостоверяющего центра;
· журналы аудита программно-аппаратных средств обеспечения деятельности Удостоверяющего центра;
· реестр зарегистрированных пользователей Удостоверяющего центра;
· заявления на регистрацию пользователей Удостоверяющего центра;
· заявления на аннулирование (отзыв) сертификатов ключей подписи;
· заявления на приостановление действия сертификатов ключей подписи;
· заявления на возобновление действия сертификатов ключей подписи;
· служебные документы Удостоверяющего центра;
· список отозванных сертификатов пользователей Удостоверяющего центра.
8.9.2. Комплектование архивного фонда
Исполнителями комплектования архивного фонда Удостоверяющего Центра являются подразделения Удостоверяющего Центра, обеспечивающие документирование.
8.9.3. Архивохранилище
Архивные документы хранятся в специально оборудованном помещении – архивохранилище, обеспечивающим установленный законодательством Российской Федерации режим хранения архивных документов.
8.9.4. Срок архивного хранения
Документы, подлежащие архивному хранению, являются документами временного хранения. Срок хранения архивных документов установлен законодательством Российской Федерации.
8.9.5. Уничтожение архивных документов
Выделение архивных документов к уничтожению и уничтожение осуществляется комиссией, формируемой из числа сотрудников Удостоверяющего центра и назначаемой приказом руководителя Удостоверяющего центра.
8.10. Смена ключей уполномоченного лица Удостоверяющего центра
8.10.1. Плановая смена ключей уполномоченного лица Удостоверяющего центра
Плановая смена ключей ЭЦП (закрытого и соответствующего ему открытого ключа) уполномоченного лица Удостоверяющего центра выполняется не ранее чем через 1 год и не позднее чем через 2 года после начала действия закрытого ключа ЭЦП уполномоченного лица Удостоверяющего центра.
Процедура плановой смены ключей уполномоченного лица Удостоверяющего центра осуществляется в следующем порядке:
· уполномоченное лицо Удостоверяющего центра формирует новый закрытый и соответствующий ему открытый ключ ЭЦП;
· уполномоченное лицо Удостоверяющего центра изготавливает новый сертификат ключа подписи и подписывает его ЭЦП с использованием нового закрытого ключа;
· уполномоченное лицо Удостоверяющего центра производит регистрацию нового сертификата ключа подписи уполномоченного лица Удостоверяющего центра в уполномоченном федеральном органе исполнительной власти в соответствии с п. 7.2 настоящего Регламента.
Старый закрытый ключ уполномоченного лица Удостоверяющего центра не изымается из обращения до тех пор, пока не истекут сроки действия всех сертификатов ключей подписи, выданных с его использованием, и применяется для формирования списков отозванных сертификатов в электронной форме.
8.10.2. Внеплановая смена ключей уполномоченного лица удостоверяющего центра
Внеплановая смена ключей выполняется в случае компрометации или появления явной угрозы компрометации закрытого ключа ЭЦП уполномоченного лица Удостоверяющего центра.
Процедура внеплановой смены ключей уполномоченного лица Удостоверяющего центра выполняется в порядке, определенном процедурой плановой смены ключей уполномоченного лица Удостоверяющего центра.
После выполнения процедуры внеплановой смены ключей ЭЦП уполномоченного лица Удостоверяющего центра, предыдущий сертификат ключа подписи уполномоченного лица Удостоверяющего центра аннулируется (отзывается) путем занесения в список отозванных сертификатов.
9. Структура сертификата ключа подписи и списков отозванных сертификатов ключей подписи
9.1. Структура сертификата ключа подписи, изготавливаемого Удостоверяющим центром в электронной форме
Удостоверяющий центр издает сертификаты ключей подписи пользователей Удостоверяющего центра и уполномоченного лица Удостоверяющего центра в электронной форме (далее по тексту раздела – сертификаты ключей подписей) формата X.509 версии 3.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
