Открытое тестирование
СЛУЖБА БЕЗПЕКИ УКРАЇНИ
Департамент спеціальних телекомунікаційних
систем та захисту інформації
НАКАЗ
13.01.2005 N 3
Зареєстровано
в Міністерстві юстиції України
27 січня 2005 р.за N 104/10384
Про затвердження Правил
посиленої сертифікації
На виконання пункту 2 постанови Кабінету Міністрів України від 13 липня 2004 року N 903 "Про затвердження Порядку акредитації центру сертифікації ключів" наказую:
1. Затвердити Правила посиленої сертифікації (додаються).
2. Заступнику начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Гулаку Г.М. забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.
Начальник Департаменту К.Бойко
Затверджено
Наказ Департаменту
спеціальних телекомунікаційних
систем та захисту інформації
Служби безпеки України
13.01.2005 N 3
Зареєстровано
в Міністерстві юстиції України
27 січня 2005 р.за N 104/10384
Правила
посиленої сертифікації
1. Загальні положення
1.1. Ці Правила визначають організаційні, технічні і технологічні вимоги до акредитованих центрів сертифікації ключів (далі - акредитовані центри) під час обслуговування ними посилених сертифікатів ключів (далі - сертифікат) та забезпечення їх використання.
1.2. Дія цих Правил поширюється на акредитовані центри.
1.3. Використані у цих Правилах терміни мають такі значення:
відокремлений пункт реєстрації - представництво (філія, підрозділ) акредитованого центру, яке здійснює реєстрацію заявників;
розпізнавальне ім'я - сукупність реквізитів підписувача, що забезпечують можливість однозначного визначення належності сертифіката цьому підписувачу серед інших сертифікатів, сформованих у акредитованому центрі;
захищений носій - носій (smart card, touch-memory тощо), що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу;
заявник - фізична або юридична особа, яка звертається до акредитованого центру з метою формування сертифіката;
реєстрація - встановлення особи заявника та перевірка інших наданих ним даних, що включаються у сертифікат;
режим безпеки - система правових норм, організаційних та організаційно-технічних заходів, яка створена в акредитованому центрі з метою забезпечення безпеки інформації, що у ньому обробляється;
розповсюдження інформації про статус сертифіката - надання вільного доступу до інформації про статус сертифіката;
сертифікація - формування сертифіката, заснованого на перевірених при реєстрації даних, накладання на сертифікат електронного цифрового підпису за допомогою особистого ключа акредитованого центру;
управління статусом сертифіката - зміна статусу сертифіката на підставі відповідних запитів та за умовами, визначеними Законом України "Про електронний цифровий підпис" (852-15 ).
Інші терміни застосовуються у значеннях, наведених у Законі України "Про електронний цифровий підпис" ( 852-15 ), Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13 липня 2004 року N 903 , інших нормативно-правових актах з питань криптографічного та технічного захисту інформації.
2. Умови обслуговування сертифікатів
акредитованим центром
2.1. Обслуговування сертифіката підписувача здійснюється акредитованим центром після попереднього ознайомлення підписувача через електронний інформаційний ресурс або в інший спосіб із:
вимогами цих Правил;
положеннями регламенту роботи акредитованого центру (далі - Регламент);
зобов'язаннями та підставами відповідальності акредитованого центру стосовно обслуговування сертифікатів;
зобов'язаннями та підставами відповідальності підписувачів стосовно використання сертифіката і зберігання особистого ключа;
сферами використання підписувачем сертифіката та усіма обмеженнями при його використанні;
порядком перевірки чинності сертифіката;
строками зберігання акредитованим центром даних про підписувачів, що були отримані ним під час реєстрації;
порядком розв'язання спорів;
відомостями про засоби електронного цифрового підпису, що можуть використовуватися для формування та перевірки електронного цифрового підпису.
2.2. Обслуговування сертифіката підписувача здійснюється акредитованим центром згідно з Регламентом, у якому вказуються:
ідентифікаційні дані акредитованого центру (повне найменування, код за ЄДРПОУ, місцезнаходження, номери телефонів, електронна адреса електронного інформаційного ресурсу);
сфера діяльності акредитованого центру;
перелік послуг електронного цифрового підпису, що надаються акредитованим центром;
права, обов'язки і відповідальність акредитованого центру та підписувачів;
порядок розв'язання спорів;
організаційна структура акредитованого центру (перелік підрозділів (служб), задіяних в обслуговуванні сертифікатів, їх функції та завдання);
перелік конфіденційної та відкритої інформації, що обробляється в акредитованому центрі;
опис регламентних процедур та механізмів обслуговування сертифікатів (порядок реєстрації, ідентифікації та автентифікації користувачів, генерації ключів, формування сертифікатів та надання їх власникам, скасування, блокування та поновлення сертифікатів тощо);
строки дії ключів акредитованого центру та підписувачів, а також порядок їх зміни;
вимоги до засобів електронного цифрового підпису користувачів;
порядок архівного зберігання документованої інформації;
опис структури програмно-технічного комплексу;
інші відомості щодо діяльності акредитованого центру.
2.3. Регламент розробляється до початку проведення процедури акредитації центру сертифікації ключів та затверджується керівником центру після його погодження з контролюючим органом.
Після затвердження Регламенту один його примірник надсилається до контролюючого органу.
2.4. У разі внесення змін до Регламенту у ньому окремо зазначаються положення (розділи, пункти), до яких внесено зміни, текст змін, а також дата їх внесення.
Погодження та затвердження змін до Регламенту здійснюються у порядку, що відповідає порядку погодження та затвердження Регламенту.
2.5. Акредитований центр повинен зобов'язати підписувача виконувати такі основні вимоги:
надавати повну та дійсну інформацію, необхідну для формування сертифіката підписувачу;
використовувати особистий ключ виключно для мети, визначеної у сертифікаті, та додержуватися інших обмежень щодо використання сертифіката;
використовувати надійні засоби електронного цифрового підпису для генерації особистих та відкритих ключів, формування та перевірки електронного цифрового підпису;
негайно інформувати акредитований центр про факти компрометації особистого ключа, виявлення неточностей або зміни даних у сертифікаті.
2.6. Акредитований центр інформує користувача, який використовує сертифікат підписувача при перевірці електронного цифрового підпису, про необхідність:
виконання визначених акредитованим центром умов перевірки чинності сертифіката;
врахування усіх визначених у сертифікаті обмежень щодо його використання.
3. Генерація ключів та поводження
з ними в акредитованому центрі
3.1. В акредитованому центрі генеруються і використовуються такі ключі:
особистий та відкритий ключі акредитованого центру, що застосовуються при формуванні сертифікатів підписувачів, даних про статус сертифікатів та наданні послуг фіксування часу;
особисті та відкриті ключі посадових осіб акредитованого центру, що застосовуються для забезпечення цілісності та конфіденційності даних, які обробляються посадовими особами акредитованого центру, та автентифікації посадових осіб.
3.2. Генерація ключів акредитованого центру здійснюється за безпосередньою участю керівника акредитованого центру та адміністратора безпеки.
3.3. Особистий ключ акредитованого центру може розміщуватися:
безпосередньо на незйомному носії (пристрої), що входить до складу спеціально призначеного для цього апаратно-програмного засобу програмно-технічного комплексу;
на зйомному захищеному або незахищеному носії (пристрої).
3.4. Після генерації особистого ключа акредитованого центру створюється резервна копія особистого ключа, яка розміщується на зйомному носії. Носій вміщується в упаковку, що опечатується печатками адміністратора сертифікації та адміністратора безпеки. За відсутності печатки зазначені адміністратори власноручно підписують зазначену упаковку.
3.5. Факти генерації ключів акредитованого центру та створення резервної копії його особистого ключа реєструються у журналі обліку адміністратора безпеки, який зберігається у сховищі цього адміністратора.
3.6. Відкритий ключ акредитованого центру засвідчується в центральному засвідчувальному органі (засвідчувальному центрі) відповідно до регламенту роботи центрального засвідчувального органу (засвідчувального центру).
3.7. Для зберігання зйомного носія з особистим ключем акредитованого центру та його резервної копії виділяється окреме сховище з двома екземплярами ключів і пристроями для опечатування замкових щілин.
Один екземпляр ключа від сховища знаходиться в уповноваженої посадової особи центру, яка відповідає за використання особистого ключа, а другий - в опечатаному вигляді зберігається у сховищі керівника акредитованого центру або посадової особи, яка його заміщує.
Незахищений зйомний носій зберігається в упаковці, що опечатується печаткою уповноваженої посадової особи центру, яка відповідає за використання особистого ключа. За відсутності печатки зазначена особа власноручно підписує упаковку.
3.8. Технологією функціонування програмно-технічного комплексу або організаційними заходами в акредитованому центрі повинно бути передбачено можливість застосування особистого ключа акредитованого центру під контролем або за безпосередньою участю двох посадових осіб акредитованого центру.
3.9. Передання особистого ключа акредитованого центру та його резервної копії між уповноваженими посадовими особами центру здійснюється за журналом прийому-передачі ключів, який зберігається у сховищі, зазначеному у пункті 3.7 цих Правил. У разі використання резервної копії особистого ключа у журналі вказуються причини її використання.
3.10. Цілісність упаковки з копією особистого ключа акредитованого центру періодично перевіряється адміністратором безпеки протягом усього терміну зберігання копії особистого ключа.
3.11. У разі, якщо до закінчення терміну дії особистого ключа пошкоджується носій, що унеможливлює подальше застосування цього ключа, носій знищується за участю осіб, зазначених у пункті 3.2 цих Правил.
3.12. Після закінчення терміну дії особистого ключа акредитованого центру особистий ключ та його резервна копія знищуються за участю осіб, зазначених у пункті 3.2 цих Правил, протягом доби способом, що не дозволяє їх відновлення.
3.13. Генерація ключів посадових осіб акредитованого центру здійснюється особисто посадовими особами у присутності адміністратора безпеки. Після генерації ключі посадових осіб засвідчуються особистим ключем акредитованого центру.
3.14. Необхідність зняття копій з особистих ключів посадових осіб визначається керівником акредитованого центру.
3.15. Факт генерації особистих ключів посадових осіб та їх копій реєструється у журналі обліку адміністратора безпеки.
3.16. Особистий ключ посадової особи та його копія зберігаються у закріпленому за цією посадовою особою сховищі, яке закривається та опечатується її печаткою.
3.17. У разі відсутності достатньої кількості сховищ дозволяється зберігання всіх або частини особистих ключів посадових осіб у сховищі, зазначеному у пункті 3.7 цих Правил, із дотриманням таких вимог:
кожний особистий ключ зберігається в окремій упаковці, опечатаній печаткою посадової особи, яка передала особистий ключ на зберігання;
видача особистих ключів для роботи та зворотне їх приймання на зберігання здійснюється з реєстрацією у журналі прийому-передачі ключів.
3.18. Після закінчення встановленого терміну дії особистого ключа посадової особи, а також у разі звільнення посадової особи, особистий ключ та його резервна копія знищуються адміністратором безпеки способом, що не дозволяє їх відновлення.
3.19. Відкриті ключі, що відповідають особистим ключам, зберігаються в акредитованому центрі протягом строку, який встановлений законодавством для електронних документів, які були засвідчені з використанням особистих ключів.
3.20. Факти знищення особистих ключів акредитованого центру та посадових осіб реєструються у журналі обліку адміністратора безпеки.
4. Обслуговування сертифікатів
4.1. Обслуговування акредитованим центром сертифікатів передбачає:
реєстрацію заявників;
сертифікацію;
розповсюдження сертифікатів їх власникам, а також з дозволу власників іншим користувачам;
управління статусом сертифіката;
розповсюдження інформації про статус сертифіката.
4.2. Умови реєстрації заявника в акредитованому центрі визначаються у Регламенті.
4.3. Реєстрація заявників в акредитованому центрі може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції згідно з Регламентом.
4.4. Встановлення фізичної особи здійснюється за паспортом або іншими документами відповідно до законодавства.
4.5. Встановлення юридичної особи здійснюється за її установчими документами (статут юридичної особи, положення про неї, довідка про державну реєстрацію тощо) або копіями таких документів, які нотаріально завірені відповідно до законодавства. Крім цього, акредитований центр здійснює встановлення представника юридичної особи та його повноважень.
Встановлення фізичної особи-підприємця здійснюється за паспортом або іншими документами відповідно до законодавства, а також довідкою про державну реєстрацію.
4.6. Акредитований центр має право вимагати, а заявник зобов'язаний надати документи і відомості, необхідні для з'ясування його особи та формування сертифіката.
4.7. Акредитований центр не приймає до розгляду документи, які мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також мають пошкодження, внаслідок чого їх текст неможливо прочитати.
4.8. Усі звернення заявників, а також надані ними дані, що використовуються для формування сертифікатів, беруться акредитованим центром на облік.
4.9. Після оброблення наданих для реєстрації даних інформація про заявника, яка необхідна для формування сертифіката, передається на сертифікацію.
4.10. Заява на формування сертифіката в електронному вигляді не приймається акредитованим центром у разі:
втрати чинності (скасування або блокування) сертифіката підписувача, особа якого раніше була встановлена акредитованим центром під час реєстрації;
потреби зміни даних, що містяться у сертифікаті (крім відкритого ключа та строку дії сертифіката).
4.11. У засобах програмно-технічного комплексу, що забезпечують виконання процедури реєстрації, повинен бути передбачений механізм засвідчення заяви в електронному вигляді шляхом накладання на неї електронного цифрового підпису посадовою особою акредитованого центру, яка здійснює реєстрацію.
4.12. Після завершення реєстрації акредитований центр укладає з підписувачем договір про надання послуг електронного цифрового підпису.
У договорі вказуються:
обов'язки сторін, у тому числі щодо обов'язковості використання сторонами надійних засобів електронного цифрового підпису;
порядок надання доступу користувачам до сертифіката підписувача;
можливі причини і порядок скасування, блокування та поновлення сертифіката;
порядок взаємодії між підписувачем та акредитованим центром;
сфери застосування сертифіката тощо.
4.13. Формування сертифікатів підписувачів здійснюється акредитованим центром на підставі даних, отриманих від підписувачів у ході їх реєстрації.
4.14. При формуванні сертифіката акредитований центр:
вносить у сертифікат обов'язкові дані, визначені Законом України "Про електронний цифровий підпис" (852-15 ), додаткові дані за зверненням підписувачів, дані про обмеження використання електронного цифрового підпису, а також посилання на Регламент;
перевіряє та забезпечує унікальність розпізнавального імені підписувача та реєстраційного номера сертифіката в межах акредитованого центру, а також унікальність відкритих ключів у реєстрі діючих, блокованих та скасованих сертифікатів;
дотримується формату сертифіката, наведеному у додатку 1 до цих Правил;
використовує об'єктні ідентифікатори для криптографічних алгоритмів, наведені у додатку 2 до цих Правил.
4.15. У разі, якщо центр сертифікації ключів акредитується засвідчувальним центром та надає послуги електронного цифрового підпису в межах інформаційної системи з обмеженим колом користувачів, що визначене власником інформаційної системи або відповідними угодами користувачів цієї системи, такий акредитований центр може використовувати формат сертифіката, визначений засвідчувальним центром.
4.16. Для фізичної особи обов'язковими реквізитами розпізнавального імені є прізвище, ім'я та по батькові (або ініціали), для фізичної особи-підприємця - прізвище, ім'я та по батькові (або ініціали) та ідентифікаційний номер платника податків та інших обов'язкових платежів, а для юридичної особи - повна назва юридичної особи відповідно до статуту та ідентифікаційний код за ЄДРПОУ.
4.17. Додаткові дані підписувача (належність до певної організації, посада тощо) вносяться у сертифікат за бажанням підписувача або відповідно до вимог нормативно-правових актів, що встановлюють особливості застосування електронного цифрового підпису у відповідній сфері.
4.18. Після формування сертифіката акредитований центр надає його підписувачу, для якого цей сертифікат був сформований, а також забезпечує вільний доступ до нього користувачів у разі згоди на це підписувача.
4.19. Усі звернення підписувачів щодо скасування, блокування та поновлення сертифікатів фіксуються та зберігаються в акредитованому центрі.
4.20. Про зміну статусу сертифіката акредитований центр інформує підписувача.
4.21. Скасовані сертифікати не можуть бути в подальшому поновлені.
4.22. Формат списку відкликаних сертифікатів наведений у додатку 3 до цих Правил.
5. Забезпечення безпеки інформаційних
ресурсів в акредитованому центрі
5.1. Безпека інформаційних ресурсів в акредитованому центрі досягається шляхом впровадження комплексу технічних і криптографічних засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації, в тому числі запровадженням належного режиму безпеки та дотриманням посадовими особами акредитованого центру покладених на них обов'язків.
5.2. Порядок забезпечення безпеки інформаційних ресурсів в акредитованому центрі визначається нормативним документом, який розробляється на підставі цих Правил та з урахуванням особливостей функціонування акредитованого центру та його програмно-технічного комплексу.
5.3. В акредитованому центрі повинно бути забезпечено захист усіх інформаційних ресурсів центру від несанкціонованої їх модифікації та знищення, а також захист від розголошення змісту особистих ключів та персональних даних.
5.4. Захист апаратних та апаратно-програмних засобів програмно-технічного комплексу акредитованого центру, які використовуються для генерації ключів та використання особистого ключа акредитованого центру, повинен унеможливлювати витік відомостей про зміст особистих ключів за рахунок побічних електромагнітних випромінювань та наведень (далі - ПЕМВН).
5.5. Апаратні та апаратно-програмні засоби програмно-технічного комплексу, що використовуються для генерації особистих ключів, повинні бути фізично відокремлені від інших засобів програмно-апаратного комплексу.
Під час використання особистого ключа акредитованого центру повинно бути передбачено неможливість доступу до апаратно-програмного засобу, в який він завантажений, з боку зовнішніх у відношенні до програмно-технічного комплексу засобів.
5.6. Захист електронного інформаційного ресурсу акредитованого центру, до якого має бути забезпечений вільний доступ користувачів, повинен здійснюватися відповідно до вимог нормативних документів щодо захисту Веб-сторінки від несанкціонованого доступу.
5.7. Усі засоби криптографічного захисту інформації акредитованого центру повинні мати сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації. Захищений носій також повинен мати сертифікат відповідності або позитивний експертний висновок на відповідність вимогам технічного захисту інформації.
5.8. Порядок зберігання особистого ключа акредитованого центру на незахищеному носії погоджується з контролюючим органом.
5.9. В акредитованому центрі повинно бути передбачено можливість зберігання сформованих ним сертифікатів в еталонній, резервній та архівній базах. Доступ до еталонної бази сертифікатів повинен бути обмежений крім посадових осіб, які безпосередньо здійснюють формування сертифікатів.
5.10. Резервні копії баз сертифікатів та журналів аудиту програмно-технічного комплексу повинні зберігатися в окремому приміщенні із забезпеченням їх захисту від несанкціонованого доступу.
5.11. У журналах аудиту програмно-технічного комплексу повинні відображатися такі події:
спроби створення, знищення, встановлення пароля, зміни прав доступу, системних привілеїв тощо у програмно-технічному комплексі;
заміни технічних засобів програмно-технічного комплексу та ключів;
формування, блокування, скасування та поновлення посилених сертифікатів ключів, а також формування списків скасованих сертифікатів;
спроби несанкціонованого доступу до програмно-технічного комплексу;
надання доступу до програмно-технічного комплексу персоналу акредитованого центру;
збої у роботі, зміна системних конфігурацій та технічне обслуговування програмно-технічного комплексу.
5.12. Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії, а також ідентифікувати суб'єкта, що ініціював цю подію.
5.13. Журнали аудиту зберігаються в акредитованому центрі не менше двох років.
5.14. Роботи персоналу акредитованого центру, пов'язані з використанням особистого ключа акредитованого центру, зберігання ключів акредитованого центру, а також сертифікатів підписувачів, списків відкликаних сертифікатів в еталонній базі даних сертифікатів здійснюються в спеціальному приміщенні (приміщеннях) акредитованого центру, вимоги до якого наведені у додатку 4 до цих Правил.
5.15. Перелік посадових осіб акредитованого центру, які мають право доступу до спеціального приміщення, затверджується керівником акредитованого центру.
5.16. Обов'язковими в акредитованому центрі є посади адміністратора безпеки, адміністратора сертифікації, адміністратора реєстрації та системного адміністратора.
Забороняється суміщення посади адміністратора безпеки з іншими посадами.
5.17. Основними обов'язками адміністратора безпеки є:
забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
розроблення розпорядчих документів, згідно з якими в акредитованому центрі повинен забезпечуватися захист інформації, контроль за їх виконанням;
своєчасне реагування на спроби несанкціонованого доступу до ресурсів програмно-технічного комплексу акредитованого центру, порушення правил експлуатації засобів захисту інформації;
участь у генерації ключів акредитованого центру та посадових осіб, формування для посадових осіб сертифікатів;
контроль за зберіганням особистого ключа акредитованого центру та його резервної копії, особистих ключів посадових осіб акредитованого центру;
участь у знищенні особистого ключа акредитованого центру, контроль за правильним і своєчасним знищенням посадовими особами особистих ключів;
ведення контролю за процесом резервування сертифікатів ключів та списків відкликаних сертифікатів, а також інших важливих ресурсів;
організація розмежування доступу до ресурсів програмно-технічного комплексу акредитованого центру, зокрема розподілення між посадовими особами паролів, ключів, сертифікатів тощо;
забезпечення спостереження (реєстрація та аудит подій в програмно-технічному комплексі акредитованого центру, моніторинг подій тощо) за функціонуванням комплексної системи захисту інформації;
забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування комплексної системи захисту інформації після збоїв, відмов, аварій програмно-технічного комплексу;
ведення журналу обліку адміністратора безпеки.
5.18. Основними обов'язками адміністратора сертифікації є:
подання до центрального засвідчувального органу (засвідчувального центру) даних, необхідних для формування сертифіката та засвідчення відкритого ключа акредитованого центру;
контроль за веденням журналів прийому-передачі ключів;
забезпечення використання особистого ключа акредитованого центру під час формування сертифікатів ключів, списків відкликаних сертифікатів та позначки часу;
забезпечення ведення, архівації та відновлення еталонної бази даних сформованих сертифікатів;
інформування адміністратора безпеки про події, що впливають на безпеку функціонування акредитованого центру.
5.19. Основними обов'язками адміністратора реєстрації є:
встановлення осіб, які звернулися до акредитованого центру з метою формування сертифіката;
перевірка даних, обов'язкових для формування сертифіката, а також даних, які вносяться у сертифікат на вимогу підписувача;
забезпечення отримання від користувачів заявок на формування, скасування, блокування та поновлення сертифікатів ключів;
організація встановлення належності підписувачу особистого ключа та його відповідність відкритому ключу, якщо їх генерація здійснювалася не в акредитованому центрі;
надання допомоги підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживання заходів щодо забезпечення безпеки інформації під час генерації;
забезпечення перевірки законності звернень про блокування, поновлення та скасування сертифікатів;
надання підписувачам консультацій щодо умов та порядку надання послуг електронного цифрового підпису;
інформування адміністратора безпеки про події, що впливають на безпеку функціонування акредитованого центру.
5.20. Основними обов'язками системного адміністратора є:
організація експлуатації та технічного обслуговування програмно-технічного комплексу акредитованого центру;
забезпечення підтримки електронного інформаційного ресурсу акредитованого центру, публікація сертифікатів та списку відкликаних сертифікатів;
адміністрування засобів програмно-технічного комплексу акредитованого центру;
участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації;
ведення журналів аудиту подій, що реєструються засобами програмно-технічного комплексу акредитованого центру;
встановлення та налагодження програмного забезпечення системи резервного копіювання;
формування та ведення резервних копій загальносистемного та спеціального програмного забезпечення програмно-технічного комплексу;
забезпечення актуальності еталонних, архівних і резервних копій баз сертифікатів, що створюються в акредитованому центрі, та їх зберігання.
Начальник Головного управління В.Кучинський
Додаток 1
до пункту 4.14
Правил посиленої
сертифікації
Формат
сертифіката відкритого ключа
1. Формат сертифіката, наведений у цьому додатку, засновується на міжнародному стандарті ISO/ІЕС 9594-8: "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks" з урахуванням вимог до змісту сертифіката, визначених у Законі України "Про електронний цифровий підпис" (852-15 ).
2. Визначення формату сертифіката не дублює зазначений стандарт, а лише описує особливості змісту сертифіката та форматів його полів. У разі, якщо існують розходження із зазначеним стандартом, використовуються положення цих Правил.
3. Формат сертифіката описується у нотації ASN.1, що визначена у ISO/ІЕС 8824: "Information technology - Open Systems Interconnection - Specification of Abstract Syntax Notation One (ASN.1)". Кодування усіх структур даних здійснюється за правилами DER згідно з рекомендаціями ITU-Т X.690 "Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".
4. Сертифікат ключа представляється у такому вигляді: |
Поле "TBSCertificate" являє собою частину сертифіката, на яке за допомогою особистого ключа акредитованого центру накладається електронний цифровий підпис за криптографічним алгоритмом (далі - криптоалгоритм), ідентифікатор якого міститься у полі "signatureAlgorithm". Значення електронного цифрового підпису містить поле "signatureValue".
TBSCertificate ::= SEQUENCE ( |
Для полів сертифіката, що передбачають україномовні значення, а також полів типу "DirectoryString" використовується універсальне кодування UTF-8 (тип UTF8String). Символ ";" використовується в якості роздільника даних у полі сертифіката.
5. Основні поля сертифіката наведені у таблиці 1.1.
Таблиця 1.1. Основні поля сертифіката
------------------------------------------------------------------ |
5.1. Поле "Номер версії сертифіката" ("version") повинно містити значення 2 (1 байт), яке означає, що формат сертифіката відповідає версії 3 згідно із стандартом ISO/ІЕС 9594-8.
Version ::= INTEGER (v3 (2))
5.2. Значення поля "Унікальний реєстраційний номер сертифіката" ("serialNumber") повинно бути додатним цілим числом, що не перевищує 20 байт.
Унікальність реєстраційного номера сертифіката повинна дотримуватися у рамках всіх сертифікатів, сформованих акредитованим центром.
CertificateSerialNumber ::= INTEGER
5.3. Поле "Найменування та реквізити акредитованого центру" ("issuer") повинно містити найменування та реквізити акредитованого центру.
Name : := СНОІСЕ ( |
id-at AttributeType : := (joint-iso-ccitt(2) ds(5) 4)
5.3.1. Реквізити акредитованого центру наведені у таблиці 1.2.
Таблиця 1.2. Реквізити акредитованого центру
------------------------------------------------------------------ |
|-------------------+-------------+------------------------------| |
5.3.2. З метою надання додаткової інформації про акредитований центр допускається визначати інші поля згідно з форматом сертифіката, визначеному у стандарті ISO/ІЕС 9594-8.
5.3.3. Поля "issuer" та "serialNumber" разом ідентифікують унікальний сертифікат.
5.4. Поле "Алгоритм електронного цифрового підпису" ("signature") повинно містити тільки ідентифікатор криптоалгоритму, що використовується акредитованим центром для накладання електронного цифрового підпису на сертифікат ключа.
Algorithmdentifier ::= SEQUENCE ( |
Значення поля "signature" повинно співпадати із значенням, що міститься у полі "signatureAlgorithm".
5.5. Поле "Строк чинності сертифіката" ("validity") повинно містити значення дати і часу початку та закінчення строку чинності сертифіката.
Validity ::= SEQUENCE ( |
У сертифікаті ключа, що формується до 2049 року, поле "validity" кодується у форматі UTCTime. Сертифікат ключа, що формується з 2050 року - у форматі GeneralizedTime.
5.6. Поле "Власник сертифіката" ("subject") повинно містити основні дані про підписувача-власника особистого ключа, що наведені у таблиці 1.3.
Таблиця 1.3. Основні дані про підписувача-
власника особистого ключа
------------------------------------------------------------------ |
|-------------------+------------+-------------------------------| |
5.6.1. Реквізити юридичної особи підписувача-власника особистого ключа можуть бути визначені в атрибутах поля "subject" "organizationName", "countryName", "stateOrProvinceName", "localityName" або у полі commonName. Розширене поле (extensions) "extended Кеу Usage" повинно містити об'єктний ідентифікатор, який вказує, що електронний цифровий підпис застосовується в якості печатки. Інші реквізити юридичної особи можуть бути зазначені у розширеному полі (extensions) "subjectAltName".
Реквізити фізичної особи підписувача-власника особистого ключа (прізвище, ім'я та по батькові за паспортними даними) можуть бути визначені в атрибутах "givenName" та "surname" або "commonName".
Крім зазначених атрибутів, обов'язково повинні бути визначені дані в атрибутах countryName (країна громадянства) та serialNumber (серійний номер).
5.6.2. Додаткові дані про підписувача можуть бути зазначені в інших полях, згідно з форматом, визначеним у стандарті ISO/ІЕС 9594-8.
5.7. Поле "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo") повинно містити ідентифікатор криптоалгоритму, що використовується підписувачем, а також відкритий ключ, який відповідає особистому ключу підписувача.
SubjectPublicKeyInfo ::= SEQUENCE ( |
"AlgorithmIdentifier" для ДСТУ 4145-2002 "Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих" та ГОСТ 31.310-95 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма".
AlgorithmIdentifier ::= SEQUENCE( |
5.7.1. Параметри криптоалгоритму ДСТУ 4145-2002
DSTU4145Params ::= SEQUENCE( |
Відкритий ключ для ДСТУ 4145-2002 являє собою строку байтів, що представляє елемент основного поля (пункт 5.3 ДСТУ 4145-2002), яка є стислим представленням точки еліптичної кривої (пункт 6.9 ДСТУ 4145-2002).
5.7.2. Параметри криптографічного алгоритму ГОСТ 34.310-95
Gost34310Params::=SEQUENCE
(SEQUENCE ( |
5.8. Поля "Унікальний ідентифікатор акредитованого центру" ("issuerUniqueIdentifier") та "Унікальний ідентифікатор підписувача" ("subjectUniqueIdentifier") сертифіката не використовуються.
6. Розширені поля сертифіката (extensions) |
6.1. Розширені поля сертифіката наведені у таблиці 1.4.
Таблиця 1.4. Розширені поля сертифіката
------------------------------------------------------------------ |
6.2. Поле "Ідентифікатор відкритого ключа акредитованого центру" ("authorityKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого акредитований центр здійснює накладання електронного цифрового підпису на сертифікат та список відкликаних сертифікатів.
id-се-authorityKeyIdentifier OBJECT IDENTIFIER ::= (id-се 35) |
Атрибути "authorityCertIssuer" та "authorityCertSerialNumber" структури "authorityKeyIdentifier" при формуванні сертифіката не використовуються.
Поле "authorityKeyIdentifier" не повинно визначатися як критичне.
6.3. Поле "Ідентифікатор відкритого ключа підписувача-власника особистого ключа" ("subjectKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого підписувач здійснює накладання електронного цифрового підпису.
id-се-subjectIdentifier OBJECT IDENTIFIER ::= ( id-се 14 ) |
Поле "subjectKeyIdentifier" не повинно визначатися як критичне.
6.4. Поле "Сфера використання відкритого ключа, що міститься в сертифікаті" ("keyUsage") повинно визначатися як критичне.
id-се-keyUsage OBJECT IDENTIFIER ::= ( id-се 15 ) |
Для сертифіката, що формується підписувачу, повинні бути встановлені біти "digitalSignature" (0) та "nonRepuduation" (1).
Для сертифіката акредитованого центру повинні бути встановлені біти "keyCertSign" та "crlSign".
6.5. Поле "Уточнене призначення відкритого ключа, що міститься в сертифікаті" ("extendedKeyUsage") може бути визначено як критичне або некритичне.
id-се-extKeyUsage OBJECT IDENTIFIER ::= ( id-се 37 ) |
У разі, якщо сертифікат акредитованого центру буде використовуватися для перевірки OCSP-відповідей та послуги фіксування часу повинні бути зазначені об'єктні ідентифікатори (id.kp 8) та (id-kp 9).
6.6. Поле "Політика сертифікації" ("certificatePolicies") містить посилання на ці Правила, відповідно до яких акредитованим центром сформований сертифікат, та повинно визначатися як критичне.
id-се-certificatePolicies OBJECT IDENTIFIER ::= ( id-се 32 ) |
6.7. Поле "Додаткові дані підписувача" ("subjectAlternativeName") використовується для розширення межі ідентифікації підписувача (адреса електронної пошти, DNS, ІР адреса, URI ).
id-се-subjectAltName OBJECT IDENTIFIER ::= ( id-се 17 ) |
6.8. Поле "Додаткові дані центру сертифікації ключів" ("issuerAlternativeName") дозволяє розширити межі ідентифікації підписувача (адреса електронної пошти, DNS, ІР адреса, URI ) та повинно бути визначено як некритичне.
id-се-issuerAltName OBJECT IDENTIFIER ::= ( id-се 18 ) |
6.9. Поле "Основні обмеження" ("basicConstraints") дозволяє визначити, що сертифікат сформований акредитованому центру або підписувачу, повинно визначатися як критичне.
id-се-basicConstraints OBJECT IDENTIFIER ::= ( id-се 19 ) |
Поле "pathLenConstraint" використовується, якщо поле СА встановлено в TRUE. У цьому разі воно визначає максимально допустиму кількість проміжних сертифікатів, що знаходяться між цим сертифікатом та кінцевим сертифікатом. У сертифікаті акредитованого центру поле "pathLenConstraint" повинно мати значення "нуль".
6.10. Поле "Персональні дані про підписувача" ("subjectDirectoryAttributes") може містити додаткові персональні дані про підписувача та повинно бути визначено як некритичне.
Поле не повинно використовуватися для зберігання даних про підписувача, що визначені в полі "subject".
id-се-subjectDirectoryAttributes OBJECT IDENTIFIER |
6.11. У полі "Точка доступу до списків відкликаних сертифікатів" ("CRL Distribution Points") повинна зазначатися як мінімум одна загальнодоступна точка розповсюдження списків відкликаних сертифікатів, яка визначається http (http://) або ldap (ldap://). При цьому, акредитований центр може підтримувати інші способи перевірки статусу сертифіката, зокрема протокол OCSP.
Поле не повинно визначатися як критичне.
id-се-cRLDistributionPoints OBJECT IDENTIFIER |
6.12. Поле "Позначка того, що сертифікат сформований як посилений" ("qualified certificate statement") повинно бути визначено як критичне.
id-ре-qcStatements OBJECT IDENTIFIER ::= (id-ре 3) |
6.12.2. Інформація про обмеження використання сертифіката (значення максимальної вартості трансакції, для якої сертифікат може бути використаний).
esi4-qcStatement-2 QC-STATEMENT ::= ( SYNTAX QcEuLimitValue |
7. Відповідність змісту сертифіката, визначеного у Законі України "Про електронний цифровий підпис" (852-15 ), формату сертифіката, визначеному у цьому додатку, наведено у таблиці 1.5.
Таблиця 1.5. Відповідність змісту сертифіката,
визначеного у Законі України "Про електронний
цифровий підпис" ( 852-15 ),формату сертифіката,
визначеному у цьому додатку.
------------------------------------------------------------------ |
Додаток 2
до пункту 4.14
Правил посиленої
сертифікації
Структура
об'єктних ідентифікаторів для
криптоалгоритмів, що є
державними стандартами
З додатком 2 Ви можете ознайомитись в розділі "Довідники", підрозділ "Додатки до документів", папка "Накази".
Додаток 3
до пункту 4.22
Правил посиленої
сертифікації
Формат
списку відкликаних сертифікатів
1. Формат списку відкликаних сертифікатів (англ. Certificate Revocation List - CRL), представлений у цьому додатку, засновується на стандарті ISO/ІЕС 9594-8. Визначення формату списку відкликаних сертифікатів не дублює зазначений стандарт, а лише описує особливості його змісту та форматів полів. У разі, якщо існують розходження із стандартом, визначеним вище, використовуються положення цих Правил.
2. Формат списку відкликаних сертифікатів описується у нотації ASN.1, що визначена у стандарті ISO/ІЕС 8824. Кодування усіх структур даних здійснюється за правилами DER згідно з рекомендаціями ITU-Т X.690 "Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".
3. Список відкликаних сертифікатів представляється у такому вигляді:
CertificateList ::= SEQUENCE ( |
Поле "TBSCertList" являє собою частину списку відкликаних сертифікатів, що кодується за правилами DER, на яке за допомогою особистого ключа акредитованого центру накладається електронний цифровий підпис за криптоалгоритмом, ідентифікатор якого міститься у полі "signatureAlgorithm". Значення електронного цифрового підпису містить поле "signatureValue".
Формат полів "signatureAlgorithm" та "signatureValue" відповідає форматам полів "signatureAlgorithm" та "signatureValue", визначеним для сертифіката у додатку 1.
TBSCertificate ::= SEQUENCE ( |
4. Структуру "TBSCertList" наведено у таблиці 3.1.
Таблиця 1.5. Структура "TBSCertList"
------------------------------------------------------------------ |
4.1. Поле "Номер версії" ("version") містить значення 1 (1 байт), яке означає, що формат списку відкликаних сертифікатів відповідає версії 2 згідно із стандартом ISO/ІЕС 9594-8.
4.2. Поле "Алгоритм електронного цифрового підпису" ("signature") містить тільки ідентифікатор криптоалгоритму, що використовується акредитованим центром для накладання електронного цифрового підпису на список відкликаних сертифікатів.
Формат поля "signature" відповідає формату поля "signature", визначеному для сертифіката та наведеному у додатку 1. Значення поля "signature" повинно збігатися з даними, що містяться у полі "signatureAlgorithm".
4.3. Поле "Реквізити акредитованого центру" ("issuer") містить найменування та реквізити акредитованого центру, який сформував сертифікат.
Формат поля "issuer" відповідає формату поля "issuer", визначеному для сертифіката та наведеному у додатку 1.
4.4. Поле "Час формування списку відкликаних сертифікатів" ("thisUpdate") містить дату і час формування списку відкликаних сертифікатів акредитованим центром.
Формат поля "thisUpdate" відповідає формату поля "validity", визначеному для сертифіката та наведеному у додатку 1.
4.5. Поле "Час наступного формування списку відкликаних сертифікатів" ("nextUpdate") містить дату і час наступного формування списку відкликаних сертифікатів акредитованим центром.
4.6. Поле "Елементи списку відкликаних сертифікатів" ("revokedCertificates") містить інформацію про скасовані, блоковані та поновлені сертифікати.
4.7. Формат поля "Унікальний реєстраційний номер сертифіката" ("userCertificate") повинен відповідати формату поля "serialnumber", визначеному для сертифіката та наведеному у додатку 1.
4.8. Поле "Час відкликання сертифіката" ("revocationDate") містить дату і час відкликання (скасування, блокування та доповнення) сертифіката.
Формат поля "revocationDate" відповідає формату поля "validity", визначеному для сертифіката та наведеному у додатку 1.
4.9. Поле "Причини відкликання сертифіката" ("crlReasons") не повинно бути визначено як критичне.
id-се-crlReasons OBJECT IDENTIFIER ::= (id-се 21)
Коди причин відкликання сертифіката для поля "CRLReason":
::= ENUMERATED ( |
4.10. Поле "Час компрометації особистого ключа" ("invalidityDate") не повинно бути визначено як критичне.
id-се-invalidityDate OBJECT IDENTIFIER ::= ( id-се 24 )
invalidityDate ::= GeneralizedTime
4.11. Поле "Ідентифікатор відкритого ключа акредитованого центру" "authorityKeyIdentifier" використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого акредитований центр здійснює накладання електронного цифрового підпису на список відкликаних сертифікатів.
Формат поля відповідає формату поля "authoritykeyidentifier", визначеному для сертифіката у додатку 1.
Зазначене поле не повинно бути визначено як критичне.
4.12. Поле "Серійний номер списку відкликаних сертифікатів" ("CRLNumber") не повинно бути визначено як критичне, а його значення повинно бути додатним цілим числом, що не перевищує
20 байт (1 <=? CRLnumber < 2159). |
Додаток 4
до пункту 5.14
Правил посиленої
сертифікації
Вимоги
до спеціальних приміщень
акредитованого центру
1. У цьому додатку наведені вимоги до спеціального приміщення (приміщень) акредитованого центру, що передбачають заходи щодо пасивного захисту інформації від її витоку каналами ПЕМВН, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів.
Вимоги цього додатка повинні бути враховані при проведенні робіт зі створення КСЗІ акредитованого центру.
2. Спеціальне приміщення призначено для розташування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби), за допомогою яких здійснюється генерація особистих ключів та використання особистого ключа акредитованого центру, а також іншої інформації, необхідність технічного захисту якої визначена у технічному завданні на створення КСЗІ акредитованого центру.
3. Шафи (сховища тощо), що призначені для зберігання технічних засобів та виготовлені в екранованому виконанні і відповідають вимогам цього додатка, дозволяється розміщувати не в спеціальних приміщеннях акредитованого центру із забезпеченням захисту від несанкціонованого доступу до них.
4. Технічний захист інформації, у тому числі захист від впливу зовнішніх електромагнітних полів, у спеціальному приміщенні здійснюється шляхом створення умов щодо забезпечення електромагнітного екранування технічних засобів та обладнання, а також шаф відповідно до таких варіантів:
суцільне екранування усієї внутрішньої поверхні спеціального приміщення;
розміщення технічних засобів та шаф в окремій екранованій кабіні (декількох кабінах);
розміщення у неекранованому спеціальному приміщенні лише екранованих шаф і технічних засобів в екранованому виконанні.
5. Для спеціальних приміщень рекомендується обирати приміщення, що відокремлені від зовнішніх стін (зі сторони оточуючої міської забудови) коридорами тощо. Розміщення спеціального приміщення під (над) санітарно-технічними кімнатами та гаражами не рекомендується.
6. Вікна спеціального приміщення повинні бути:
обладнані надійними металевими ґратами, якщо вони зовнішні та розташовані на першому чи останньому поверсі будівлі або до яких можливе проникнення сторонніх осіб з дахів сусідніх будівель, із розташованих поруч пожежних сходів (труб водостоків тощо), а також якщо вони є внутрішніми і мають вихід до інших приміщень акредитованого центру;
захищені від зовнішнього спостереження за допомогою скла з матовою чи рельєфною поверхнею нерівностями назовні, непрозорих штор тощо.
У разі суцільного екранування внутрішньої поверхні спеціального приміщення вікна та інші архітектурні отвори будівлі повинні бути відсутні або не повинні порушувати суцільність екрануючого покриття.
7. Спеціальне приміщення повинно бути обладнано системою контролю доступу та пожежною сигналізацією. Двері спеціального приміщення мають бути обладнані кодовим замком.
8. Величина ефективності екранування спеціального приміщення (або залежно від іншого варіанта пасивного захисту) та екранованих шаф для зберігання повинна складати не менше 20 дБ у діапазоні частот 0,15-1000 МГц щодо захисту від впливів зовнішніх електромагнітних полів.
9. Необхідна величина ефективності екранування та діапазон частот, у тому числі щодо рівня захищеності від витоку інформації каналами ПЕМВН, повинні визначатися на етапі проектування та облаштування спеціального приміщення залежно від достатності рівня захищеності технічних засобів від витоку інформації каналами ПЕМВН.
10. Розроблення, виготовлення, монтаж і визначення ефективності екранування спеціального приміщення повинні проводитися відповідно до вимог нормативних документів з питань технічного захисту інформації, що стосуються екранованих приміщень.
11. Спеціальне екрановане приміщення (окрема екранована кабіна (шафа), технічні засоби в екранованому виконанні) повинно оснащуватися:
протизавадними фільтрами для захисту вводів мереж електроживлення;
протизавадними фільтрами конструкції типу "позамежний хвильовід" для захисту місць вводу систем опалення, вентиляції і кондиціонування повітря;
іншими відповідними протизавадними фільтрами, у разі необхідності вводів оптоволоконних мереж, сигнальних тощо.
Протизавадні фільтри за своїми характеристиками повинні забезпечувати ефективність екранування у всьому діапазоні частот екранування не нижче величин, визначених у пунктах 8 та 9 цього додатка.
12. Екрануючі поверхні спеціального приміщення (або залежно від іншого варіанта пасивного захисту) та екранованих шаф не повинні мати гальванічного зв'язку з металоконструкціями будівлі (коробами, екрануючими та захисними оболонками кабелів тощо), що мають вихід за межі контрольованої зони акредитованого центру.
13. Для електроживлення технічних засобів, що розміщуються у спеціальному приміщенні, спільно з протизавадними фільтрами захисту кіл електроживлення повинні бути встановленні пристрої безперервного електроживлення.
14. Система заземлення спеціального приміщення та її складові елементи не повинні утворювати замкнутих контурів, розміщуватися в межах контрольованої зони акредитованого центру чи у місцях із максимально ускладненим доступом до них сторонніх осіб, а також не повинні мати гальванічного зв'язку з металоконструкціями будівлі, іншими системами заземлення, екрануючими та захисними оболонками кабелів і з'єднувальних ліній, що мають вихід за межі контрольованої зони.
15. У разі необхідності об'єднання окремих технічних засобів, що розміщені у спеціальному приміщенні, у локальну обчислювальну мережу, а також введення до спеціального приміщення кабелів та лінії зв'язку, необхідно здійснювати з використанням технологій ВОЛЗ та дотриманням вимог пункту 11 цього додатка.
16. У разі, якщо за результатами спеціальних досліджень (атестації тощо) технічних засобів, розміщених у спеціальному приміщенні, виявилось недостатнім впровадження визначених у цьому додатку заходів для забезпечення захищеності інформації від витоку інформації за рахунок ПЕМВН, повинні бути впроваджені додаткові заходи з пасивного або активного захисту інформації.