Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 1
к постановлению Правительства Оренбургской области
от 27 июня 2013 г. N 525-п
Регламент
удостоверяющего центра государственного бюджетного учреждения Оренбургской области "Центр информационных технологий Оренбургской области"
3 октября 2014 г.
I. Сокращения, термины и определения, используемые в настоящем Регламенте
ViPNet - торговая марка программных продуктов компании ОАО "Инфотекс".
Абонентский пункт, АП - АРМ, на котором установлен либо ViPNet "Координатор" либо ViPNet "Клиент".
АРМ - автоматизированное рабочее место.
АРМ Центр регистрации - автоматизированное рабочее место с установленным ПО ViPNet "Центр регистрации".
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
Внешний пользователь - пользователь, не зарегистрированный в ЦУС и не имеющий доступа на СУ сети ViPNet.
ГБУ "ЦИТ" - государственное бюджетное учреждение Оренбургской области "Центр информационных технологий Оренбургской области".
ГУЦ - головной удостоверяющий центр.
Закрытый ключ - криптографический ключ, который хранится пользователем системы в тайне. Он используется для формирования электронной подписи и/или шифрования данных.
Запрос на отзыв сертификата - сообщение, содержащее необходимую информацию для отзыва сертификата ключа подписи.
Запрос на сертификат - сообщение, содержащее необходимую информацию для получения сертификата ключа подписи.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
КД - ключевая дискета. Содержит в себе: хэш-пароль, действующий персональный ключ, закрытый ключ, сертификат ЭП пользователя.
Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований, ключ подписи, открытый ключ или закрытый ключ подписи.
Ключевой носитель - носитель, содержащий один или несколько ключей.
КН - ключевой набор. Содержит в себе ключи связи с ЦУС и ПО/ПАК ViPNet "Координатор".
Компрометация ключа - недоверие к обеспечению безопасности информации используемыми ключами.
Корпоративный пользователь - пользователь, зарегистрированный в ЦУС.
КЦ - ключевой центр, компонент УЦ. Входит в программу ViPNet "Удостоверяющий и Ключевой центр". Предназначен для формирования пользовательской ключевой информации.
НСД - несанкционированный доступ.
ОС - операционная система.
Открытый ключ (ключ подписи) - криптографический ключ, который связан с закрытым ключом подписи с помощью особого математического соотношения. Известен другим пользователям системы и предназначен для проверки электронной подписи, шифрования, но не позволяет вычислить закрытый ключ подписи.
ПАК - программно-аппаратный комплекс.
ПК УЦ - программный комплекс обеспечения реализации целевых функций УЦ.
Плановая смена ключей - смена ключей с установленной в системе периодичностью, не вызванная компрометацией ключей.
ПО - программное обеспечение.
ПР - пункт регистрации, компонент УЦ. Предназначен для регистрации внешних пользователей, создания ключей подписи и формирования запросов на приостановление, отзыв и возобновление сертификата ключа подписи.
РНПК - резервный набор персональных ключей.
Сертификат (сертификат ключа подписи) - электронный документ, который содержит открытый ключ подписи субъекта и подписан электронной подписью его издателя, сведения о владельце открытого ключа подписи.
СЗИ УЦ - программные и программно-аппаратные средства защиты информации.
СКЗИ - средство криптографической защиты информации.
СОС - список отозванных сертификатов, созданный УЦ список сертификатов ключей подписи, отозванных до окончания срока их действия.
Средство электронной подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной подписи в электронном документе с использованием закрытого ключа электронной подписи; подтверждение с использованием открытого ключа электронной подписи подлинности электронной подписи в электронном документе; создание закрытых и открытых ключей электронных подписей.
СУ - сетевой узел.
СУЦ - система удостоверяющих центров.
ТС УЦ - технические средства обеспечения работы ПК УЦ.
УЦ - удостоверяющий центр. Компонент программы ViPNet "Удостоверяющий и Ключевой центр".
УКЦ - удостоверяющий и ключевой центр.
УЛ - уполномоченное лицо.
ЦР - центр регистрации. Компонент УЦ, предназначенный для создания защищенного автоматизированного рабочего места для регистрации пользователей, хранения регистрационных данных, создания запросов на выпуск сертификатов и их обслуживание в УКЦ, а также запросов на формирование дистрибутивов справочно-ключевой информации для узлов сети ViPNet в УКЦ.
ЦУС - центр управления сетью. Компонент УЦ, предназначенный для формирования и изменения структуры корпоративной сети.
ЭП - электронная подпись.
II. Общие положения
1. Настоящий Регламент определяет механизмы и условия предоставления и использования услуг удостоверяющего центра государственного бюджетного учреждения Оренбургской области "Центр информационных технологий Оренбургской области", включая обязанности пользователей УЦ и администраторов УЦ, протоколы работы, принятые форматы данных, основные организационно-технические мероприятия, необходимые для безопасной работы УЦ.
2. Настоящий Регламент налагает обязательства на все привлеченные стороны, а также служит средством официального уведомления и информирования всех сторон о взаимоотношениях, возникающих в процессе предоставления и использования услуг УЦ.
Местонахождение государственного бюджетного учреждения Оренбургской области "Центр информационных технологий Оренбургской области": 460046, город Оренбург, улица 9 Января, дом N 64, к. 706.
Назначение УЦ
4. УЦ предназначен для обеспечения участников информационных систем средствами и спецификациями для использования сертификатов ключей подписи в целях обеспечения:
применения электронной подписи;
контроля целостности и конфиденциальности информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников информационных систем;
аутентификации участников информационных систем в процессе их взаимодействия.
Услуги, предоставляемые УЦ
5. В процессе своей деятельности УЦ предоставляет пользователям УЦ следующие виды услуг:
внесение в реестр УЦ регистрационной информации о пользователях УЦ;
формирование и обновление справочно-ключевых наборов для организации защищенного обмена информацией;
создание сертификатов ключей подписи пользователей УЦ в электронной форме;
создание копии сертификатов ключей подписи пользователей УЦ на бумажном носителе;
формирование закрытых и открытых ключей подписи по обращениям пользователей УЦ с записью их на ключевой носитель;
ведение реестра созданных сертификатов ключей подписи пользователей УЦ;
предоставление копий сертификатов ключей подписи в электронной форме, находящихся в реестре созданных сертификатов, по запросам пользователей УЦ;
аннулирование (отзыв) сертификатов ключей подписи по обращениям владельцев сертификатов ключей подписи;
приостановление и возобновление действия сертификатов ключей подписи по обращениям владельцев сертификатов ключей подписи;
предоставление пользователям УЦ сведений об аннулированных и приостановленных сертификатах ключей подписи;
подтверждение подлинности электронных подписей в документах, представленных в электронной форме, по обращениям пользователей УЦ;
подтверждение подлинности электронных подписей уполномоченного лица УЦ в созданных им сертификатах ключей подписи по обращениям пользователей УЦ;
распространение средств электронной подписи.
Структура, задачи и функции УЦ
6. Структура УЦ:
администратор УЦ;
центр регистрации УЦ.
7. Администратор УЦ решает задачи по:
управлению деятельностью УЦ;
координации деятельности центра регистрации УЦ;
взаимодействию с пользователями УЦ в части разрешения вопросов связанных:
с применением средств электронной подписи, распространяемых УЦ;
с подтверждением электронной подписи уполномоченного лица УЦ в сертификатах ключей подписи, созданных УЦ в электронной форме, или подтверждения собственноручной подписи уполномоченного лица УЦ в копиях сертификатов ключей подписи, созданных УЦ на бумажном носителе.
8. Центр регистрации УЦ решает задачи по:
регистрации пользователей УЦ;
ведению реестра зарегистрированных пользователей УЦ;
предоставлению ключей и сертификатов ключей подписи по обращению пользователей УЦ;
распространению средств электронной подписи.
9. Администратор и центр регистрации УЦ совместно выполняют следующие функции:
организация и выполнение мероприятий по защите ресурсов УЦ;
формирование и обновление справочно-ключевых наборов для организации защищенного обмена информацией;
обеспечение взаимодействия с другими УЦ, участниками системы УЦ на основе кросс-сертификации;
создание и предоставление ключей подписи по обращению пользователей УЦ;
создание и предоставление сертификатов ключей подписи в электронной форме по обращению пользователей УЦ;
создание и предоставление копий сертификатов ключей подписи на бумажном носителе по обращению их владельцев;
аннулирование (отзыв) сертификатов ключей подписи по обращениям владельцев сертификатов ключей подписи;
приостановление и возобновление действия сертификатов ключей подписи по обращению владельцев сертификатов ключей подписи;
предоставление пользователям УЦ сведений об аннулированных и приостановленных сертификатах ключей подписи;
предоставление копий сертификатов ключей подписи, находящихся в реестре созданных сертификатов, по запросам пользователей УЦ;
техническое обеспечение процедуры подтверждения электронной подписи в документах, представленных в электронной форме, подлинности электронных подписей уполномоченного лица УЦ в созданных сертификатах ключей подписи по обращениям пользователей УЦ;
организация и выполнение мероприятий по эксплуатации программных и технических средств обеспечения деятельности УЦ;
организация и выполнение мероприятий по техническому сопровождению распространяемых средств электронной подписи.
Пользователи УЦ
10. Пользователи УЦ - лица, зарегистрированные в УЦ, являющиеся владельцами сертификатов ключей подписи. Пользователи УЦ входят в одну из нижеперечисленных групп:
группа 1 - пользователи сертификатов ключей подписи (в том числе пользователи, не имеющие собственных сертификатов, но использующие сертификаты других пользователей для каких-либо целей);
группа 2 - пользователи сети ViPNet (ViPNet Client, ViPNet Crypto Service);
группа 3 - внешние пользователи по отношению к пользователям сети и не имеющие доступа на сетевой узел сети (ViPNet CSP).
11. Процедура регистрации в УЦ доступна только физическим лицам.
Зарегистрированными пользователями УЦ могут быть только физические лица.
Владельцами сертификатов ключей подписи могут быть только физические лица.
Физические лица могут представлять юридические лица при наличии доверенности, предоставляющей права данным физическим лицам представлять юридические лица и пользоваться услугами, предоставляемыми УЦ.
В тех случаях, когда сертификаты требуются для работы каких-либо устройств или программных приложений, назначается ответственное лицо, на имя которого выдается сертификат.
Пользователем сертификата может быть любое лицо, устройство или программное приложение.
Разрешение споров
12. При возникновении споров УЦ и пользователи (далее - стороны) предпринимают все необходимые меры для урегулирования спорных вопросов, которые могут возникнуть в рамках настоящего Регламента, путем переговоров.
Споры между сторонами, не урегулированные в процессе переговоров, должны рассматриваться в соответствии с законодательством Российской Федерации.
Платность услуг
13. Услуга УЦ по предоставлению копий сертификатов ключей подписи в электронной форме, находящихся в реестре созданных сертификатов, предоставляется на безвозмездной основе.
Состав и стоимость предоставляемых дополнительных услуг определяются владельцем (оператором) УЦ.
Ответственность УЦ
14. УЦ не несет ответственности в случае нарушения пользователями УЦ положений настоящего Регламента.
Претензии к УЦ ограничиваются указанием на несоответствие его действий настоящему Регламенту или в порядке, установленном законодательством Российской Федерации.
Прекращение деятельности
15. Деятельность УЦ может быть прекращена в порядке, установленном законодательством Российской Федерации.
III. Права УЦ и его пользователей
Права УЦ
16. УЦ имеет право:
предоставлять копии сертификатов ключей подписи в электронной форме, находящиеся в реестре УЦ, всем лицам, обратившимся за ними в УЦ;
не проводить регистрацию лиц, обратившихся по вопросу предоставления копий сертификатов ключей подписи в электронной форме, находящихся в реестре УЦ;
отказать в предоставлении услуг по регистрации пользователям УЦ, подавшим заявление на регистрацию, без предоставления информации о причинах отказа;
отказать в создании ключей незарегистрированным пользователям УЦ, подавшим заявление на создание ключей, без предоставления информации о причинах отказа;
отказать в создании сертификата ключа подписи зарегистрированным пользователям УЦ, подавшим заявление на его создание, с указанием причин отказа;
отказать в аннулировании (отзыве) сертификата ключа подписи владельцу сертификата, подавшему заявление на аннулирование (отзыв) сертификата, в случае, если истек установленный срок действия закрытого ключа, соответствующего ключу подписи в сертификате;
отказать в приостановлении или возобновлении действия сертификата ключа подписи владельцу сертификата, подавшему заявление на приостановление или возобновление действия сертификата, в случае, если истек установленный срок действия закрытого ключа, соответствующего ключу подписи в сертификате;
аннулировать (отозвать) сертификат ключа подписи пользователя УЦ в случае установленного факта компрометации соответствующего закрытого ключа с уведомлением владельца аннулированного (отозванного) сертификата и указанием обоснованных причин компрометации;
приостановить действие сертификата ключа подписи пользователя УЦ с уведомлением владельца приостановленного сертификата ключа подписи и указанием обоснованных причин приостановления.
Права пользователей УЦ
Пользователи группы 1 (подраздел "Пользователи УЦ" раздела II настоящего Регламента)
17. Зарегистрированные в УЦ пользователи до генерации и положительного результата аутентификации имеют права пользователей группы 1:
получать список аннулированных (отозванных) и приостановленных сертификатов ключей подписи, составленный УЦ;
получать сертификат ключа подписи уполномоченного лица УЦ;
получать копию сертификата ключа подписи в электронной форме, находящегося в реестре сертификатов ключей подписи УЦ;
применять сертификат ключа подписи уполномоченного лица УЦ для проверки электронной подписи уполномоченного лица УЦ в сертификатах ключа подписи, созданных УЦ;
применять копию сертификата ключа подписи в электронной форме для проверки электронной подписи в соответствии со сведениями, указанными в сертификате ключа подписи;
применять список аннулированных (отозванных) и приостановленных сертификатов ключей подписи, созданных УЦ, для проверки статуса сертификатов ключей подписи;
обращаться в УЦ за подтверждением подлинности электронных подписей в документах, представленных в электронной форме;
обращаться в УЦ за подтверждением подлинности электронных подписей уполномоченного лица УЦ в созданных им сертификатах ключей подписи;
обращаться в УЦ на предмет получения средств электронной подписи.
Пользователи группы 2 (подраздел "Пользователи УЦ" раздела II настоящего Регламента)
18. Зарегистрированные в УЦ пользователи группы 2 после идентификации и аутентификации имеют права пользователей группы 1, а также право:
формировать закрытые и открытые ключи подписи на своем рабочем месте с использованием средства ЭП, предоставляемых УЦ;
обращаться в УЦ для создания сертификата ключа подписи;
пользоваться предоставляемыми удостоверяющим центром программными средствами (в случае предоставления таких средств) для передачи по сети в УЦ запроса в электронной форме на создание сертификата ключа подписи;
пользоваться предоставляемыми УЦ программными средствами для получения и ввода в действие на своем рабочем месте созданного сертификата ключа подписи в электронной форме.
Пользователи группы 3 (подраздел "Пользователи УЦ" раздела II настоящего Регламента)
19. Зарегистрированные в УЦ пользователи группы 3 после идентификации и аутентификации имеют права пользователей группы 1, а также право:
обращаться в УЦ с заявлением на создание сертификата ключа подписи;
обращаться в УЦ с заявлением для аннулирования (отзыва) сертификата ключа подписи в течение срока действия соответствующего закрытого ключа;
обращаться в УЦ с заявлением для приостановления действия сертификата ключа подписи в течение срока действия соответствующего закрытого ключа;
обращаться в УЦ с заявлением для возобновления действия сертификата ключа подписи в течение срока действия соответствующего закрытого ключа.
IV. Обязанности УЦ и его пользователей
Обязанности УЦ
Регистрация пользователей УЦ
20. УЦ обязан:
обеспечить регистрацию пользователей УЦ по заявлению согласно приложению N 2 к настоящему Регламенту;
обеспечить уникальность регистрационной информации пользователей УЦ, заносимой в реестр УЦ и используемой для идентификации владельцев сертификатов ключей подписи;
не разглашать (не публиковать) информацию о зарегистрированных пользователях УЦ, за исключением информации, используемой для идентификации владельцев сертификатов ключей подписи и заносимой в созданные сертификаты.
Публикация информации, используемой для идентификации владельцев сертификатов ключей подписи, осуществляется путем включения ее в созданные сертификаты.
Синхронизация времени
21. УЦ обязан:
организовать работу по времени GMT (Greenwich Mean Time) с учетом часового пояса;
синхронизировать по времени все программные и технические средства обеспечения деятельности по предназначению.
Создание закрытого и открытого ключей подписи пользователей УЦ
22. УЦ обязан:
создать закрытый и открытый ключи подписи пользователю УЦ по его заявлению с использованием средств ЭП, сертифицированных в соответствии с законодательством Российской Федерации;
обеспечить сохранность созданного закрытого ключа подписи до момента передачи пользователю;
записать созданный ключ подписи на отчуждаемый носитель в соответствии с требованиями по эксплуатации программного и/или аппаратного средства, выполняющего процедуру генерации ключей согласно подразделу "Регистрация пользователей УЦ в централизованном режиме" раздела VI настоящего Регламента;
выполнять процедуру генерации и запись ключей подписи на отчуждаемый носитель только с использованием программного и/или аппаратного средства, сертифицированного в соответствии с законодательством Российской Федерации.
Ключ подписи уполномоченного лица УЦ
УЦ обязан:
использовать для создания закрытого ключа уполномоченного лица УЦ и формирования ЭП только средства электронной подписи, сертифицированные по классу КС2 или выше в соответствии с законодательством Российской Федерации;
использовать закрытый ключ уполномоченного лица УЦ только для подписи созданных им сертификатов ключей подписи и списков отозванных сертификатов;
принять меры по защите закрытого ключа уполномоченного лица УЦ в соответствии с положениями настоящего Регламента.
Создание сертификата ключа подписи
23. УЦ обязан:
обеспечить создание сертификата ключа подписи пользователю УЦ по его заявлению согласно приложению N 2 к настоящему Регламенту в соответствии с форматом и порядком идентификации владельца сертификата ключа подписи, определенными настоящим Регламентом;
обеспечить уникальность регистрационных (серийных) номеров создаваемого сертификата ключа подписи пользователя УЦ.
Аннулирование (отзыв) сертификата ключа подписи
24. УЦ обязан:
аннулировать (отозвать) сертификат ключа подписи по заявлению его владельца согласно приложению N 3 к настоящему Регламенту;
занести в течение 24 часов сведения об аннулированном (отозванном) сертификате ключа подписи в список отозванных сертификатов с указанием даты и времени занесения.
Приостановление действия сертификата ключа подписи
25. УЦ обязан:
приостановить действие сертификата ключа подписи по заявлению его владельца согласно приложению N 4 к настоящему Регламенту;
занести в течение 24 часов сведения о сертификате ключа подписи, действие которого приостановлено, в список отозванных сертификатов с указанием даты и времени занесения и признака приостановления.
Возобновление действия сертификата ключа подписи
26. УЦ обязан:
возобновить действие сертификата ключа подписи по заявлению его владельца согласно приложению N 5 к настоящему Регламенту;
исключить в течение 24 часов сведения о сертификате ключа подписи, действие которого приостановлено, из списка отозванных сертификатов.
Уведомления
Уведомление о факте создания сертификата ключа подписи
27. УЦ обязан уведомить о факте создания сертификата ключа подписи его владельца либо доверенное лицо.
Срок уведомления - не позднее 24 часов с момента создания сертификата ключа подписи.
Уведомление о факте аннулирования сертификата ключа подписи
28. УЦ обязан официально уведомить о факте аннулирования (отзыва) сертификата ключа подписи его владельца.
Срок уведомления - не позднее 24 часов с момента занесения сведений об аннулированном (отозванном) сертификате ключа подписи в список отозванных сертификатов.
Официальным уведомлением о факте аннулирования сертификата является опубликование списка отозванных сертификатов, содержащего сведения об аннулированном (отозванном) сертификате, по адресу: http://crl.uc.orb.ru/pubservice/.
Временем аннулирования (отзыва) сертификата ключа подписи признается время занесения сведений об аннулированном (отозванном) сертификате в список отозванных сертификатов.
Временем опубликования списка отозванных сертификатов ключей подписи признается включенное в его структуру время создания списка отозванных сертификатов.
УЦ обязан включать полный адрес (URL) списка отозванных сертификатов УЦ в издаваемые сертификаты ключей подписи пользователей УЦ.
Уведомление о факте приостановления действия сертификата ключа подписи
29. УЦ обязан официально уведомить о факте приостановления действия сертификата ключа подписи его владельца.
Срок уведомления - не позднее 24 часов с момента занесения сведений об этом сертификате в список отозванных сертификатов.
Официальным уведомлением о факте приостановления действия сертификата ключа подписи является опубликование списка отозванных сертификатов, содержащим сведения о сертификате ключа подписи, действие которого приостановлено, по адресу: http://crl.uc.orb.ru/pubservice/.
Временем приостановления действия сертификата ключа подписи признается время занесения сведений о нем в список отозванных сертификатов.
Временем опубликования списка отозванных сертификатов признается включенное в его структуру время создания списка отозванных сертификатов.
Уведомление о факте возобновления действия сертификата ключа подписи
30. УЦ обязан официально уведомить о факте возобновления действия сертификата ключа подписи его владельца.
Срок уведомления - не позднее 24 часов с момента исключения сведений о сертификате ключа подписи, действие которого приостановлено, из списка отозванных сертификатов.
Официальным уведомлением о факте возобновления действия сертификата ключа подписи является опубликование списка отозванных сертификатов, не содержащего сведений об этом сертификате, по адресу: http://crl.uc.orb.ru/pubservice/.
Список отозванных сертификатов должен иметь более позднее время опубликования, чем список отозванных сертификатов, в котором указан сертификат ключа подписи, действие которого приостановлено. Временем возобновления действия сертификата ключа подписи признается время официального уведомления о факте возобновления действия сертификата.
Реестр сертификатов ключей подписи
31. УЦ обязан вести реестр всех созданных сертификатов ключей подписи пользователей УЦ.
Реестр сертификатов ключей подписи ведется в электронном виде.
Сертификаты ключей подписи представлены в реестре в форме электронных копий созданных сертификатов.
УЦ обязан осуществлять выдачу копий сертификатов ключей подписи в электронной форме по заявлениям пользователей УЦ.
Прочие обязанности
32. УЦ обязан уведомлять в свободной форме владельца сертификата ключа подписи о фактах, которые стали известны УЦ, влияющих на возможности дальнейшего использования закрытого ключа и сертификата ключа подписи.
Обязанности пользователей УЦ
Обязанности лиц, проходящих процедуру регистрации
33. Лица, проходящие процедуру регистрации в реестре УЦ, обязаны представить регистрационную и идентифицирующую информацию в объеме, определенном в подразделе "Заявление на регистрацию пользователя(лей) УЦ и создание сертификата ключа подписи" раздела VI настоящего Регламента.
Обязанности владельцев закрытых ключей подписи
34. Владелец закрытого ключа подписи обязан:
хранить в тайне закрытый ключ подписи, принимать все возможные меры для предотвращения его потери, раскрытия, модифицирования или несанкционированного использования;
не использовать для электронной подписи закрытые ключи подписи, если ему известно, что эти ключи используются или использовались ранее другими лицами;
использовать закрытый ключ подписи только для целей, определенных соответствующими областями использования, определенными сертификатом ключа подписи согласно настоящему Регламенту или в порядке, установленном законодательством Российской Федерации.
Владелец сертификата ключа подписи, пользователь, не являющийся его владельцем, должны удостовериться, что назначение сертификата, определенное соответствующими областями использования, определенными сертификатом согласно настоящему Регламенту, соответствует предполагаемому использованию.
V. Политика конфиденциальности
Типы ключевой информации
35. Ключевая информация администратора УЦ:
предназначена для защиты ключевой информации, формируемой и хранимой в УЦ;
хранится в УЦ, архивации не подлежит;
объем информации - не более 3 Кб;
зашифрована на парольном ключе защиты.
36. Ключевая информация УЦ, необходимая для выполнения его функций как "Ключевого центра":
формируется и хранится в УЦ в течение срока действия ключей (но не более 1 года);
защищается на ключах администратора УЦ;
объем информации - не более 1 Мб;
подлежит архивации.
37. Ключевая информация пользователей группы 2:
формируется и депонируется в УЦ до момента передачи пользователю или отправки в ЦУС для дистанционного обновления;
срок хранения во втором случае в УЦ - не более 1 месяца;
архивации не подлежит;
защищается на ключах администратора УЦ;
объем информации - не более 10 Кб на одного абонента.
ПО ViPNet надежно удаляет ключевую информацию либо по истечении 1 месяца, либо после отправки файлов дистанционного обновления.
38. Ключевая информация пользователей группы 3 не депонируется и не архивируется.
Типы конфиденциальной информации
39. Под конфиденциальной информацией подразумевают:
пароли аутентификации пользователей группы 2;
персональная и корпоративная информация пользователей УЦ, содержащаяся в УЦ, не подлежащая непосредственной рассылке в качестве части сертификата ключа подписи или списка отозванных сертификатов;
информация, содержащаяся в журналах аудита УЦ;
отчетные материалы по выполненным проверкам деятельности УЦ, не публикуемые в соответствии с настоящим Регламентом.
Типы информации, не являющейся конфиденциальной
40. Информация, не являющаяся конфиденциальной, является открытой:
информация, включаемая в сертификаты ключей подписи пользователей УЦ и списки отозванных сертификатов;
информация о настоящем Регламенте.
Открытая информация может публиковаться по решению УЦ, место, способ и время публикации также определяются решением УЦ.
Исключительные полномочия официальных лиц
41. УЦ не должен раскрывать информацию, относящуюся к типу конфиденциальной, каким бы то ни было третьим лицам, за исключением случаев:
определенных настоящим Регламентом;
требующих раскрытия в соответствии с законодательством Российской Федерации или при наличии судебного постановления.
VI. Процедуры и механизмы
Процедура регистрации пользователей УЦ
42. Под регистрацией пользователей УЦ понимается внесение регистрационной информации о пользователях УЦ в реестр УЦ.
Процедура регистрации пользователей УЦ применяется в отношении физических лиц, обращающихся в УЦ за услугами в части создания сертификатов ключей подписи пользователей УЦ и/или формирования закрытых и открытых ключей подписи пользователей УЦ с записью их на ключевой носитель.
Заявление на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи
43. Заявитель (лицо), желающий пройти процедуру регистрации в УЦ, должен подать заявление, заверенное собственноручной подписью, в центр регистрации УЦ согласно приложению N 2 к настоящему Регламенту.
Заявление должно содержать следующие обязательные реквизиты:
а) для физического лица:
идентификационные данные, включающие в себя:
фамилию, имя и отчество;
адрес электронной почты;
паспортные данные (или другого документа, удостоверяющего личность):
серия документа, удостоверяющего личность;
номер документа, удостоверяющего личность;
кем и когда выдан;
контактные телефоны;
б) для физического лица, представляющего юридическое лицо идентификационные данные, включающие в себя:
фамилию, имя и отчество;
наименование должности;
серию, номер документа, удостоверяющего личность;
адрес электронной почты;
наименование организации.
Дополнительно (определяется заявителем) заявление может содержать следующую информацию, включаемую в идентификационные данные:
псевдоним;
почтовый и/или юридический адрес.
К заявлению физического лица, представляющего юридическое лицо, прилагаются оригинал доверенности или копии документов, подтверждающих правомочность действий от имени юридического лица.
Идентификация пользователя УЦ
44. Идентификация пользователя выполняется в процессе его регистрации в качестве пользователя УЦ.
Результатом идентификации является присвоение пользователю УЦ идентификатора и занесение идентификатора в реестр пользователей УЦ.
Идентификатором зарегистрированного пользователя являются идентификационные данные из базы данных ЦУС.
Регистрация пользователя УЦ в централизованном режиме
45. Регистрация пользователя УЦ в централизованном режиме осуществляется сотрудником центра регистрации УЦ на основании заявления на регистрацию при личном присутствии лица либо доверенного лица, проходящего процедуру регистрации, в офисе УЦ, расположенном по адресу: 460046, г. Оренбург, ул. 9 Января, д. 64, к. 725.
Сотрудник центра регистрации УЦ выполняет процедуру идентификации лица, проходящего процедуру регистрации, путем установления личности по паспорту или иному документу, удостоверяющему личность.
После положительной идентификации лица, проходящего процедуру регистрации, которую осуществляет сотрудник центра регистрации УЦ, заявитель передает заполненное и подписанное заявление на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи, доверенность на создание ключей подписи (в случае создания сертификата(ов) ключей подписи на других пользователей УЦ).
Заявление на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи рассматривается центром регистрации УЦ до двух рабочих дней с момента поступления.
В случае отказа в регистрации заявление вместе с приложениями возвращается заявителю.
При принятии положительного решения сотрудник центра регистрации УЦ вносит регистрационную информацию в реестр УЦ.
Действия по регистрации могут быть выполнены администратором непосредственно в ЦУС или по запросу Центра регистрации.
По окончании процедуры регистрации зарегистрированному пользователю УЦ выдаются:
ключи подписи, записанные на ключевой носитель;
копия сертификата ключа подписи на бумажном носителе по форме, определенной настоящим Регламентом.
При необходимости регистрируемый пользователь УЦ должен приобрести (получить) средство ЭП и шифрования, распространяемое либо УЦ, либо свободно распространяемое, совместимое с ПО УЦ.
Идентификация зарегистрированного пользователя
46. Идентификация зарегистрированного пользователя УЦ осуществляется по идентификатору зарегистрированного пользователя, занесенному в базу данных ЦУС.
Аутентификация зарегистрированного пользователя
Очная аутентификация зарегистрированного пользователя
47. Очная аутентификация зарегистрированного пользователя УЦ выполняется при предъявлении паспорта или иного документа, удостоверяющего личность лично пользователем.
Аутентификация зарегистрированного пользователя по сертификату ключа подписи
48. Аутентификация зарегистрированного пользователя УЦ по сертификату ключа подписи выполняется путем выполнения процедуры подтверждения ЭП с использованием сертификата ключа подписи согласно подразделу "Процедура подтверждения электронной с использованием сертификата ключа подписи" раздела VI настоящего Регламента.
Аутентификация пользователя при удаленном доступе
49. Удаленный доступ пользователя к ресурсам УЦ возможен только для:
отправки запроса на обновление сертификата и получения созданного по запросу сертификата;
получения обновления справочников сертификатов уполномоченных лиц УЦ и списков отозванных сертификатов.
Для выполнения этих функций пользователь должен являться зарегистрированным пользователем сети ViPNet N 1471, компьютер пользователя должен быть оснащен программным обеспечением ViPNet "Клиент" ("Криптосервис"), в состав которых входит транспортный модуль ViPNet Mftp, реализующий функцию защищенного транспортного канала передачи информации между пользователем и ЦУС. В этом случае пользователь обладает уникальным идентификатором и симметричными ключами шифрования для связи с ЦУС и сервером, осуществляющим маршрутизацию сообщений.
При создании запроса на обновление сертификата:
созданный запрос подписывается действующим ключом подписи;
запрос упаковывается в структуру специального вида (электронный конверт), защищается имитовставкой и шифруется на симметричном ключе обмена с ЦУС;
транспортный модуль клиента при отправке конверта на сервер или непосредственно в ЦУС (в зависимости от настроек модуля) проводит аутентификацию с использованием соответствующего ключа связи с сервером или ЦУС. При успешной аутентификации конверт передается в ЦУС;
транспортный модуль ЦУС при получении конверта проверяет по идентификатору регистрацию пользователя, расшифровывает конверт и проверяет имитовставку на содержимом конверта. При успешном завершении процедуры аутентификации запрос передается в УКЦ на обработку;
УКЦ при обработке запроса производит аутентификацию пользователя по его сертификату путем проверки подписи под запросом. Результат обработки запроса (созданный сертификат или отклоненный запрос) передается обратно в ЦУС.
Отправка ответа осуществляется транспортным модулем ЦУС в виде зашифрованного конверта в обратном порядке.
При отправке обновлений из ЦУС транспортный модуль осуществляет формирование конвертов с шифрованием и имитозащитой индивидуально для каждого пользователя аналогично процедуре отправки запроса на сертификат.
50. Прием заявлений, создание и выдача ключей подписи осуществляются центром регистрации УЦ при личном присутствии лица, обратившегося с заявлением.
Заявление на создание ключей подписи
51. Заявление на создание ключей подписи заверяется собственноручной подписью заявителя, подается заявителем лично или по доверенности.
Заявление на регистрацию пользователя(ей) УЦ и вопрос о создании сертификата ключа подписи рассматриваются администратором УЦ в течение 30 минут с момента поступления.
Создание и выдача ключей подписи владельцу
52. Создание ключей подписи выполняется ответственным сотрудником УЦ на АРМ Центр регистрации на основании принятого заявления.
Созданные ключи подписи записываются на отчуждаемый носитель, предоставляемый УЦ или заявителем.
Предоставляемый заявителем ключевой носитель должен удовлетворять следующим требованиям:
соответствовать перечню устройств, указанному к документации ViPNet "Информация о внешних устройствах хранения данных" ФРКЕ: 00004-04 90 09;
иметь USB-интерфейс, не требующий дополнительных адаптеров;
быть проинициализированным (отформатированным);
не содержать никакой информации, за исключением данных инициализации.
Ключевые носители, не удовлетворяющие указанным требованиям, для записи ключевой информации не принимаются.
Ключевой носитель, содержащий созданные ключи подписи, передается владельцу (заявителю). Факт выдачи ключей заносится в журнал учета создания и выдачи ключей подписи под роспись владельца.
Создание сертификата ключа подписи и предоставление его владельцу
53. Создание сертификата ключа подписи осуществляется УЦ на основании заявления согласно подразделу "Заявление на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи" раздела VI настоящего Регламента.
Заявление на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи подается заявителем в центр регистрации УЦ лично либо другим лицом на основании доверенности.
Срок рассмотрения заявления на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи составляет до трех рабочих дней с момента его поступления в центр регистрации УЦ.
После создания сертификата ключа подписи его владельцу направляется официальное уведомление согласно подразделу "Уведомление о факте создания сертификата ключа подписи" раздела IV настоящего Регламента.
Созданный сертификат ключа подписи в электронной форме, заверенный электронной подписью уполномоченного лица УЦ, предоставляется его владельцу при его личном обращении в центр регистрации УЦ либо обращении другого лица на основании доверенности. Также представляется копия сертификата ключа подписи на бумажном носителе.
Пользователь, обладающий действующим сертификатом ключа подписи, может сформировать новый закрытый ключ подписи и направить запрос на создание нового сертификата в электронном виде. В этом случае запрос содержит ЭП действующим на момент создания запроса ключом. Идентификационные данные пользователя, указанные в запросе, должны совпадать с данными действующего сертификата пользователя.
Постановлением Правительства Оренбургской области от 3 октября 2014 г. N 711-п в пункт 54 настоящего приложения внесены изменения, вступающие в силу после официального опубликования названного постановления
Форма заявления на регистрацию пользователя(ей) УЦ и создание сертификата ключа подписи
54. Заявление на создание сертификата ключа подписи представляет собой документ в письменной#, печатном, комбинированном виде по форме заявления на создание сертификата ключа подписи (для юридических и физических лиц) на бумажном носителе, заверенный собственноручной подписью заявителя.
Заявление включает в себя следующие обязательные реквизиты:
фамилия, имя, отчество заявителя;
дата и подпись заявителя;
текст запроса на сертификат.
Идентификация владельца сертификата ключа подписи
55. Владелец сертификата ключа подписи идентифицируется по значениям атрибутов поля Subject сертификата согласно подразделу "Структура сертификата ключа подписи, созданных в электронной форме" раздела VIII настоящего Регламента.
Аннулирование (отзыв) сертификата ключа подписи
56. Аннулирование (отзыв) сертификата ключа подписи, созданного УЦ, осуществляется уполномоченным лицом УЦ по заявлению на отзыв сертификата ключа подписи его владельца или организации (далее - заявитель).
Заявление на отзыв сертификата ключа подписи подается заявителем администратору УЦ лично либо другим лицом на основании доверенности.
Срок рассмотрения заявления на отзыв сертификата ключа подписи составляет один рабочий день с момента его поступления администратору УЦ.
Заявление на отзыв сертификата ключа подписи представляет собой документ в письменном, печатном виде на бумажном носителе по форме заявления на аннулирование (отзыв) сертификата ключа подписи, заверенный собственноручной подписью заявителя.
Заявление включает в себя следующие обязательные реквизиты:
идентификационные данные заявителя;
серийный номер отзываемого сертификата;
причина отзыва сертификата;
дата и подпись заявителя.
После аннулирования (отзыва) сертификата ключа подписи его владельцу направляется официальное уведомление согласно подразделу "Уведомление" раздела IV настоящего Регламента.
УЦ может по собственной инициативе отозвать сертификат ключа подписи пользователя УЦ в случае установленного факта компрометации соответствующего закрытого ключа подписи с внесением записи в журнал внештатных ситуаций, уведомлением владельца отозванного сертификата и указанием обоснованных причин отзыва.
Приостановление действия сертификата ключа подписи
57. Приостановление действия сертификата ключа подписи, созданного УЦ, осуществляется уполномоченным лицом УЦ по заявлению на приостановление действия сертификата ключа подписи заявителя.
Заявление на приостановление действия сертификата ключа подписи в письменной форме подается заявителем в центр регистрации УЦ лично либо другим лицом на основании доверенности.
Срок рассмотрения заявления на приостановление действия сертификата ключа подписи составляет один рабочий день с момента его поступления администратору УЦ.
Заявление на приостановление действия сертификата ключа подписи представляет собой документ в письменном, печатном виде на бумажном носителе по форме заявления на приостановление действия сертификата ключа подписи, заверенный собственноручной подписью заявителя.
Заявление включает в себя следующие обязательные реквизиты:
идентификационные данные заявителя;
серийный номер сертификата, действие которого приостанавливается;
срок, на который приостанавливается действие сертификата;
причина приостановки действия сертификата;
дата и подпись заявителя.
После приостановления действия сертификата ключа подписи его владельцу направляется официальное уведомление согласно подразделу "Уведомление" раздела IV настоящего Регламента.
УЦ может по собственной инициативе приостановить действие сертификата ключа подписи пользователя УЦ с уведомлением владельца приостановленного сертификата с указанием обоснованных причин приостановления действия.
Возобновление действия сертификата ключа подписи
58. Возобновление действия сертификата ключа подписи, созданного УЦ, осуществляется уполномоченным лицом УЦ по заявлению на возобновление действия сертификата ключа подписи его заявителя.
Заявление на возобновление действия сертификата ключа подписи подается заявителем в офис центра регистрации УЦ лично.
Заявление на возобновление действия сертификата ключа подписи представляет собой документ в письменном, печатном виде на бумажном носителе по форме заявления на возобновление действия сертификата ключа подписи, заверенный собственноручной подписью заявителя.
Заявление включает в себя следующие обязательные реквизиты:
идентификационные данные заявителя;
серийный номер сертификата, действие которого возобновляется;
причина возобновления действия сертификата;
дата и подпись заявителя.
Срок рассмотрения заявления на возобновление действия сертификата ключа подписи составляет до трех рабочих дней с момента его поступления в центр регистрации УЦ.
После возобновления действия сертификата ключа подписи его владельцу направляется официальное уведомление согласно подразделу "Уведомление" раздела IV настоящего Регламента.
Проверка сертификата ключа подписи по заявлению пользователя
59. Проверка сертификата ключа подписи осуществляется УЦ по обращению граждан на основании заявления в письменной форме или в электронном виде для пользователей группы 2. При подаче заявления в письменной форме оно должно быть подписано заявителем собственноручно. При подаче заявления в электронной форме оно должно быть подписано действующим ключом подписи заявителя.
Обязательным приложением к заявлению на подтверждение подлинности сертификата ключа подписи является файл, содержащий сертификат ключа подписи зарегистрированного пользователя, подлежащий процедуре проверки. При необходимости могут быть запрошены дополнительные данные:
файл, содержащий сертификат ключа подписи уполномоченного лица УЦ, являющегося издателем сертификата ключа подписи пользователя УЦ, подлежащий процедуре проверки;
файл, содержащий список отозванных сертификатов ключей подписи УЦ, являющегося издателем сертификата ключа подписи, использовавшийся для проверки электронной подписи уполномоченного лица УЦ заявителем.
Срок рассмотрения заявления составляет пять рабочих дней с момента его поступления администратору УЦ. Результаты проверки оформляются в виде отчета, содержащего следующие основные сведения:
время и место проведения проверки;
сведения о лицах, проводивших проверку;
основание для проведения проверки;
данные, предоставленные для проверки;
результат проверки;
оценка результатов проверки.
Отчет оформляется в электронной или письменной форме в зависимости от формы поступившего заявления и передается заявителю.
Постановлением Правительства Оренбургской области от 3 октября 2014 г. N 711-п в пункт 60 настоящего приложения внесены изменения, вступающие в силу после официального опубликования названного постановления
Срок хранения сертификата ключа подписи
60. Хранение сертификата ключа подписи пользователей УЦ в реестре сертификатов УЦ осуществляется в течение установленного срока действия сертификата ключа подписи согласно подразделу "Типы ключевой информации" раздела V настоящего Регламента.
Срок архивного хранения сертификата ключа подписи устанавливается в соответствии со сроком, определенным в подразделе "Состав и хранение архивируемых документов" раздела VII настоящего Регламента.
Процедура подтверждения ЭП с использованием сертификата ключа подписи
61. Подтверждение ЭП в электронном документе осуществляется УЦ по обращению граждан на основании заявления, которое подается администратору УЦ лично либо по доверенности.
Заявление на подтверждение ЭП в электронном документе должно содержать информацию о дате и времени формирования ЭП в электронном документе.
Ответственность за достоверность даты и времени формирования ЭП в электронном документе возлагается на заявителя.
Обязательным приложением к заявлению на подтверждение ЭП в электронном документе является отчуждаемый носитель, содержащий следующие файлы:
файл, содержащий электронный документ, к которому применена ЭП;
файл, содержащий ЭП формата PKCS#7 Cryptographic Message Syntax Standard электронного документа;
файл, содержащий сертификат ключа подписи уполномоченного лица УЦ, являющегося издателем сертификата ключа подписи электронного документа;
файл, содержащий список отозванных сертификатов ключей подписи УЦ, являющегося издателем сертификата ключа ЭП электронного документа, и использовавшийся для проверки ЭП электронного документа заявителем.
62. Срок рассмотрения заявления на подтверждение ЭП в электронном документе составляет пять рабочих дней с момента его поступления администратору УЦ.
В случае отказа подтверждения ЭП в электронном документе заявителю возвращается заявление на подтверждение ЭП в электронном документе с резолюцией администратора УЦ.
В случае принятия положительного решения по заявлению на подтверждение ЭП в электронном документе, заявителю представляется ответ в письменном виде, заверенный собственноручной подписью администратора УЦ и печатью УЦ.
Ответ должен содержать:
результат проверки соответствующим сертифицированным средством ЭП с использованием сертификата ключа подписи принадлежности ЭП в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной ЭП электронном документе;
детальный отчет по выполненной проверке (экспертизе).
63. Детальный отчет по выполненной проверке включает в себя следующие обязательные компоненты:
время и место проведения проверки (экспертизы);
основания для проведения проверки (экспертизы);
сведения об эксперте или комиссии экспертов (фамилия, имя, отчество, образование, специальность, стаж работы, ученая степень и/или ученое звание, наименование занимаемой должности), которым поручено проведение проверки (экспертизы);
вопросы и их обоснование, поставленные перед экспертом или комиссией экспертов;
объекты исследований и материалы по заявлению, представленные эксперту для проведения проверки (экспертизы);
методы, содержание и результаты;
оценка результатов исследований;
иные сведения в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи".
Материалы и документы, подтверждающие заключение эксперта или комиссии экспертов, прилагаются к детальному отчету и служат его составной частью.
Детальный отчет составляется в письменной форме и заверяется собственноручной подписью эксперта или членами комиссии экспертов.
Механизм доказательства обладания закрытым ключом подписи
64. Заявление на создание сертификата ключа подписи, поступающее в УЦ от владельца закрытого и открытого ключей подписи, должно содержать собственноручную подпись заявителя. При создании первого сертификата для данного пользователя закрытый и открытый ключи формируются непосредственно в УЦ или регистрационном пункте. В этом случае факт обладания закрытым ключом подписи подтверждается актом передачи пользователю ключевого носителя.
В случае если закрытый ключ формировался пользователем, в УЦ направляется запрос, подписанный действующим на момент создания запроса ключом подписи. В трехдневный срок с момента получения созданного сертификата пользователь обязан подтвердить факт обладания закрытым ключом подписи путем отправки подписанного сообщения администратору УЦ. Положительный результат проверки подписи средствами УЦ подтверждает, что заявитель является владельцем закрытого ключа, которому соответствует открытый ключ подписи. В случае отсутствия подтверждения администратор имеет право отозвать созданный сертификат.
Проверка уникальности ключей подписи
65. При рассмотрении запроса пользователя на создание сертификата ключа подписи производится проверка на наличие созданных сертификатов, содержащих открытый ключ подписи, идентичный ключу, содержащемуся в запросе. При обнаружении такого сертификата ключа подписи проверяется наличие в базе данных запросов, идентичных входящему. В зависимости от результата проверки выполняются следующие действия:
если обнаружен запрос, идентичный входящему, он автоматически удаляется из системы без уведомления;
если запрос уникален, но обнаружен созданный сертификат с идентичным открытым ключом подписи, запрос отклоняется, и отклоненный запрос отправляется пользователю.
Проверка соответствия рекомендациям X.509 сертификатов и списков отозванных сертификатов
66. Сертификаты и списки отозванных сертификатов издаются УЦ в соответствии с рекомендациями X.509. Контроль корректности объектов может осуществляться администратором УЦ или администратором центра регистрации с использованием встроенных механизмов операционной системы Windows. Для проведения проверки сертификат должен быть экспортирован в файл с расширением *.cer (список отозванных сертификатов - в файл с расширением *.crl). Системная утилита просмотра объекта вызывается при двойном клике мыши по выделенному файлу в окне обозревателя ОС Windows.
Критериями корректности являются:
отсутствие сообщений об ошибках при экспорте объекта и при вызове утилиты просмотра объекта;
корректное отображение объекта системной утилитой;
соответствие между составами, содержаниями# полей при просмотре техническими средствами УЦ и средствами ОС.
VII. Дополнительные положения
Идентифицирующие данные уполномоченного лица УЦ
67. Уполномоченное лицо УЦ идентифицируется по следующим данным:
фамилия, имя, отчество;
организация: государственное бюджетное учреждение Оренбургской области "Центр информационных технологий Оренбургской области";
подразделение: УЦ;
адрес электронной почты;
субъект Российской Федерации: Оренбургская область.
Сроки действия ключей уполномоченного лица УЦ
68. Срок действия закрытого ключа уполномоченного лица УЦ составляет один год.
Начало действия закрытого ключа уполномоченного лица УЦ исчисляется с даты и времени начала действия соответствующего сертификата ключа подписи.
Максимальный срок, который может быть установлен в качестве срока действия сертификатов ключей подписи уполномоченного лица УЦ, составляет шесть лет.
Требования к средствам ЭП пользователей УЦ
69. Средство ЭП должно обеспечивать выполнение следующих процедур:
генерация закрытых и открытых ключей подписи;
формирование ЭП;
проверка ЭП.
Средство электронной подписи должно обеспечивать выполнение мер защиты закрытых ключей подписи согласно подразделу "Меры защиты закрытых ключей подписи" раздела VII настоящего Регламента.
В качестве средства электронной подписи пользователи должны использовать сертифицированные в соответствии с правилами сертификации средства криптографической защиты информации по уровню защиты не ниже КС1.
Сроки действия закрытых ключей и сертификатов ключей подписи владельцев сертификатов
70. Срок действия закрытого ключа подписи пользователя УЦ, соответствующего сертификату ключа подписи, владельцем которого он является, составляет один год.
Начало действия закрытого ключа подписи пользователя УЦ исчисляется с даты и времени начала действия соответствующего сертификата ключа подписи пользователя УЦ.
Максимальный срок, который может быть установлен в качестве срока действия сертификатов ключей подписи пользователей УЦ, составляет пять лет.
Срок действия сертификата ключа подписи устанавливается УЦ в момент его создания.
Назначение ключей подписи и сертификата ключа подписи
71. Ключи подписи и сертификат ключа подписи предназначены для:
обеспечения аутентификации и авторизации зарегистрированного пользователя УЦ при использовании программного обеспечения зарегистрированного пользователя УЦ, предоставляемого УЦ в соответствии подразделом "Пользователи УЦ" раздела II настоящего Регламента;
формирования ЭП в заявлении на сертификат ключа подписи в электронном виде;
использования в соответствии со сведениями, указанными в сертификате ключа подписи в разделе "Область использования".
Меры защиты закрытых ключей подписи
72. Закрытые ключи подписи пользователей УЦ при их генерации должны записываться на отчуждаемые носители ключевой информации.
Закрытые ключи подписи на отчуждаемом носителе защищаются паролем (ПИН-кодом). Пароль (ПИН-код) формирует лицо, выполняющее процедуру генерации ключей, учитывая следующие требования:
длина пароля (ПИН-кода) не должна быть меньше 6 символов;
срок действия пароля (ПИН-кода) - не более 12 месяцев;
пароль (ПИН-код) должен содержать символы цифр и/или букв латинского алфавита.
Если процедуру генерации ключей подписи пользователя УЦ выполняет сотрудник УЦ, то он должен сообщить сформированный пароль (ПИН-код) владельцу закрытых ключей.
Ответственность за сохранение пароля (ПИН-кода) возлагается на владельца закрытых ключей подписи.
Не допускается использование одинакового значения пароля (ПИН-кода) для защиты нескольких закрытых ключей подписи.
Сотрудники УЦ, являющиеся владельцами закрытых ключей подписи, также выполняют указанные в настоящем разделе меры защиты закрытых ключей подписи.
Копии сертификата ключа подписи
73. Копия сертификата ключа подписи пользователя УЦ в электронной форме представляет собой электронный документ, имеющий структуру, соответствующую стандарту Международного союза телекоммуникаций ITU-T X.509 версии 3 и рекомендациям IETF (Internet Engineering Task Force) RFC 2459, представленный в кодировке Der или Base64.
Копия сертификата ключа подписи на бумажном носителе
74. Копия сертификата ключа подписи пользователя УЦ на бумажном носителе представляет собой документ, содержащий следующие обязательные реквизиты:
серийный номер сертификата ключа подписи;
идентификационные данные владельца сертификата;
идентификационные данные издателя сертификата (идентификационные данные из сертификата ключа подписи уполномоченного лица УЦ);
сведения о средстве ЭП уполномоченного лица УЦ;
сведения о ключе подписи владельца сертификата и алгоритме его формирования;
сведения об областях использования закрытого ключа подписи и сертификата;
собственноручную подпись уполномоченного лица УЦ;
печать УЦ.
Копия сертификата ключа подписи печатается на белой бумаге, листе формата А4, не содержащих средств защиты от копирования и подделки.
Состав и хранение архивируемых документов
75. Источником комплектования архивного фонда УЦ является центр регистрации УЦ, обеспечивающий документирование. Архивированию подлежит следующая документированная информация:
реестр сертификатов ключей подписи пользователей УЦ;
сертификаты ключей подписи уполномоченного лица УЦ;
журналы аудита программно-аппаратных средств обеспечения деятельности УЦ;
реестр зарегистрированных пользователей УЦ;
заявления на создание ключей подписи пользователей УЦ;
заявления на создание сертификатов ключей подписи пользователей УЦ;
заявления на аннулирование (отзыв) сертификатов ключей подписи;
заявления на приостановление действия сертификатов ключей подписи;
заявления на возобновление действия сертификатов ключей подписи;
служебные документы УЦ.
76. Архивные документы хранятся в специально оборудованном помещении - архивохранилище, в котором обеспечивается режим хранения архивных документов, установленный законодательством Российской Федерации.
77. Документы, подлежащие архивному хранению, являются документами временного хранения.
Срок хранения архивных документов - 11 лет.
Уничтожение архивных документов
78. Выделение архивных документов к уничтожению и уничтожение осуществляется постоянно действующей комиссией, формируемой из числа сотрудников УЦ и назначаемой приказом руководителя УЦ.
Смена ключей подписи уполномоченного лица УЦ
Плановая и внеплановая смена ключей подписи уполномоченного лица УЦ
79. Плановая смена ключей (закрытого и соответствующего ему открытого ключа подписи) подписи уполномоченного лица УЦ выполняется в соответствии со сроком действия сертификата ключа подписи уполномоченного лица УЦ.
Процедура плановой смены ключей подписи уполномоченного лица УЦ осуществляется в следующем порядке:
уполномоченное лицо УЦ формирует новый закрытый и соответствующий ему открытый ключи подписи;
уполномоченное лицо УЦ изготавливает сертификат нового ключа подписи и подписывает его ЭП с использованием нового закрытого ключа подписи.
80. Внеплановая смена ключей подписи выполняется в случае компрометации или угрозы компрометации закрытого ключа подписи уполномоченного лица УЦ.
Процедура внеплановой смены ключей подписи уполномоченного лица УЦ выполняется в порядке, определенной процедурой плановой смены ключей подписи уполномоченного лица УЦ.
После выполнения процедуры внеплановой смены ключей подписи уполномоченного лица УЦ сертификат ключа подписи уполномоченного лица УЦ аннулируется (отзывается) путем занесения в список отозванных сертификатов.
Лицензионные ограничения, квотирование ресурсов
81. Количество центров регистрации, сетевых узлов и пользователей, которые могут быть зарегистрированы в ЦУС, и сертификатов пользователей, которые могут быть созданы в УЦ, ограничивается лицензией производителя при поставке программного обеспечения. Распределение квот на регистрацию пользователей и число создаваемых запросов на сертификаты производится администратором УЦ в ПО ViPNet ЦУС для каждого из центров регистрации.
При распределении лицензий администратор должен учитывать:
суммарное количество лицензий;
количество обслуживаемых центров регистрации;
распределение нагрузки по количеству обслуживаемых пользователей среди центров регистрации и в ЦУС непосредственно.
82. Суммарное число лицензий на сертификаты не должно превышать общего числа свободных лицензий для внутренних пользователей в данной сети.
VIII. Структура сертификата ключа подписи и списков отозванных сертификатов ключей подписи
Структура сертификата ключа подписи, создаваемого УЦ в электронной форме
83. УЦ создает сертификаты ключей подписи пользователей УЦ и уполномоченного лица УЦ в электронной форме формата X.509 версии 3.
Базовые поля сертификата ключа подписи
84. Сертификаты ключей подписи содержат следующие базовые поля X.509:
Signature: |
- |
ЭП уполномоченного лица УЦ |
Issuer: |
- |
идентифицирующие данные уполномоченного лица УЦ |
Validity: |
- |
даты начала и окончания срока действия сертификата ключа подписи |
Subject: |
- |
идентифицирующие данные владельца сертификата ключа подписи |
SubjectPublicKeyInformation: |
- |
идентификатор алгоритма средства электронной подписи, с которым используется данный открытый ключ подписи, значение открытого ключа подписи |
Version: |
- |
версия сертификата формата X.509 версия 3 |
SerialNumber: |
- |
уникальный серийный (регистрационный) номер сертификата в реестре сертификатов ключей подписи УЦ. |
Дополнения сертификата
85. Сертификаты ключей подписи содержат следующие дополнения:
AuthorityKeyIdentifier |
- |
идентификатор открытого ключа уполномоченного лица УЦ |
SubjectKeyIdentifier |
- |
идентификатор ключа владельца сертификата ключа подписи |
ExtendedKeyUsage |
- |
область (области) использования ключа, при котором электронный документ с ЭП будет иметь юридическое значение |
CRLDistributionPoint |
- |
точка распространения списка аннулированных (отозванных) сертификатов ключей подписи, созданных УЦ (может включаться или не включаться в соответствии с настройками УЦ) |
KeyUsage |
- |
назначение ключа |
Basic Constraints |
- |
определяет принадлежность сертификата ключа подписи УЦ и ограничение длины цепочки сертификатов для подчиненного УЦ. |
Поддерживаемые параметры и идентификаторы алгоритмов
86. УЦ обеспечивает формирование ключей подписи пользователей в соответствии с параметрами:
Алгоритм подписи |
Описание |
Параметры ключа подписи |
Описание OID ISO |
Длина ключа |
стандарт ЭП, основанный на арифметике эллиптических кривых. OID "1.2.643.2.2.19 " |
ГОСТ Р 34.10-2001 параметры по умолчанию |
набор параметров по умолчанию (рекомендуется). OID "1.2.643.2.2. 35.1" |
512 |
|
ГОСТ Р 34.10-2001 "Оскар" |
набор параметров "КриптоПРО" (Параметры 2) OID "1.2.643.2.2. 35.2" |
|||
ГОСТ Р 34.10-2001 параметры подписи 3 |
набор параметров "КриптоПРО" (Параметры 3) OID "1.2.643.2.2. 35.3" |
Формы имени
87. В сертификате ключа подписи поля идентификационных данных уполномоченного лица УЦ и владельца сертификата содержат атрибуты имени формата X.500.
Ограничения на имена
88. Обязательными атрибутами поля идентификационных данных уполномоченного лица УЦ являются:
Common Name |
фамилия, имя, отчество |
Organization |
наименование организации, являющейся владельцем УЦ |
Organization Unit |
наименование подразделения, сотрудником которого является уполномоченное лицо УЦ |
|
адрес электронной почты |
Country |
RU |
State |
субъект Российской Федерации, где зарегистрирована организация, являющаяся владельцем УЦ |
89. Обязательными атрибутами поля идентификационных данных владельца сертификата ключа подписи, являющегося физическим лицом, являются:
Common Name |
фамилия, имя, отчество |
|
адрес электронной почты |
Country |
RU |
90. Обязательными атрибутами поля идентификационных данных владельца сертификата ключа подписи, являющегося физическим лицом и представляющего юридическое лицо, являются:
Common Name |
фамилия, имя, отчество |
Organization |
наименование организации, которую представляет владелец сертификата |
Organization Unit |
наименование подразделения организации, сотрудником которого является владелец сертификата |
|
адрес электронной почты |
Country |
RU |
State |
субъект Российской Федерации, где зарегистрирована организация, которую представляет владелец сертификата |
Структура списка отозванных сертификатов ключей подписи, созданного УЦ в электронной форме
91. УЦ издает СОС ключей подписи пользователей УЦ и уполномоченного лица УЦ в электронной форме формата X.509 версии 2.
Дополнения СОС
92. УЦ использует следующие дополнения:
AuthorityKeyIdentif ier |
идентификатор открытого ключа уполномоченного лица УЦ |
ReasonCode |
код причины отзыва сертификата ключа подписи |
Нумерация пунктов приводится в соответствии с источником
II. Программные и технические средства обеспечения деятельности УЦ
93. Для реализации своих услуг и обеспечения жизнедеятельности УЦ использует следующие программные и технические средства:
программный комплекс обеспечения реализации целевых функций УЦ;
технические средства обеспечения работы ПК УЦ;
программные и программно-аппаратные средства защиты информации.
Программный комплекс обеспечения реализации целевых функций УЦ
94. Программный комплекс обеспечения реализации целевых функций УЦ включает в себя следующие программные компоненты:
ViPNet "Администратор";
ViPNet "Центр управления сетью";
ViPNet "Удостоверяющий и Ключевой центр";
ViPNet "Сервис публикации";
ViPNet "Пункт регистрации".
ViPNet "Администратор"
95. ViPNet "Администратор" является базовым компонентом ПК УЦ, включает в себя программы ViPNet ЦУС и ViPNet УКЦ.
Программа ViPNet ЦУС предназначена для формирования и изменения структуры корпоративной сети, обеспечивает реализацию следующих целевых функций УЦ:
регистрация СУ;
распределение задач для СУ ("Координатор", "Клиент", "Центр регистрации");
регистрация клиентов (абонентов) в сети на СУ;
задание и изменение разрешенных связей для СУ;
формирование и рассылка адресных справочников для СУ;
формирование справочников для УКЦ;
рассылка для СУ обновлений справочно-ключевой информации, формируемой УКЦ;
рассылка для СУ списков отозванных сертификатов ключей подписи и списков сертификатов ключей подписи уполномоченных лиц УЦ своей и смежных сетей;
прием и передача в УКЦ запросов на сертификаты ключей подписи, обновление сертификатов от пользователей корпоративной сети и центров регистрации, рассылка созданных сертификатов на СУ.
96. Программу ViPNet УКЦ по функциям можно условно разделить на две программы: КЦ и УЦ.
Программа КЦ предназначена для формирования пользовательской ключевой информации на основе информации, поступающей из ЦУС. Созданные программой КЦ ключи передаются пользователям, после чего при наличии соответствующего ПО ViPNet пользователи сети смогут безопасно обмениваться конфиденциальной информацией.
КЦ обеспечивает реализацию следующих целевых функций УЦ:
формирование ключевых дискет для пользователей сети ViPNet;
формирование ключевых наборов для сетевых узлов;
формирование паролей;
обновление ключевых дискет и ключевых наборов.
97. Программа УЦ предназначена для обслуживания следующих запросов на:
создание сертификатов ЭП;
отзыв, приостановление и возобновление приостановленного действия сертификатов ключей подписи пользователей УЦ, сформированных на сетевых узлах сети ViPNet (пользователями корпоративной сети) или в центрах регистрации для внешних пользователей.
УЦ обеспечивает реализацию следующих целевых функций:
создание ключей подписи и создание сертификатов ключей подписи уполномоченных лиц УЦ;
формирование запросов к ГУЦ на создание сертификата ключа подписи уполномоченного лица УЦ;
импорт сертификатов ключей подписи уполномоченных лиц УЦ смежных сетей и ГУЦ;
ведение эталонной копии реестра справочников сертификатов ключей подписи уполномоченных лиц УЦ, формирование и отправка в ЦУС обновлений справочников СУ;
создание ключей подписи пользователей и создание сертификатов ключей подписи корпоративной сети по запросам ЦУС;
рассмотрение запросов на создание сертификатов ключей подписи от пользователей корпоративной сети;
рассмотрение запросов от центров регистрации на создание сертификатов ключей подписи внешних пользователей;
хранение информации о запросах и ведение эталонной копии реестра справочников созданных сертификатов ключей подписи;
рассмотрение запросов на отзыв, приостановление и возобновление сертификатов ключей подписи;
отправка в ЦУС для обновления списков отозванных сертификатов ключей подписи;
ведение эталонной копии списка аннулированных (отозванных) и приостановленных сертификатов ключей подписи пользователей УЦ.
УЦ обеспечивает возможность формирования и сертификации ключей подписи для алгоритма ГОСТ Р 34.10-2001.
Ответственность за эксплуатацию ViPNet "Администратор" возлагается на уполномоченное лицо УЦ.
ViPNet "Центр регистрации"
98. Программа ViPNet "Центр регистрации" предназначена для регистрации внешних пользователей, создания ключей подписи и формирования запросов на создание, приостановление, отзыв и возобновление сертификата ключа подписи. Внешние пользователи - пользователи, не зарегистрированные в ЦУС и не имеющие доступа на СУ корпоративной сети.
Программа обеспечивает реализацию следующих целевых функций УЦ:
регистрация персональных данных внешних пользователей;
ведение реестра зарегистрированных внешних пользователей УЦ;
генерация секретного ключа подписи и сохранение его на персональном ключевом носителе внешнего пользователя;
формирование запроса на сертификат ключа подписи;
отправка запроса в УКЦ (через ЦУС);
прием и ввод в действие созданных сертификатов ключей подписи;
ведение реестра справочников запросов и созданных сертификатов ключей подписи;
формирование запросов на отзыв, приостановление или возобновление сертификатов ключей подписи;
ведение журнала событий и действий абонентов ЦР.
Ответственность за эксплуатацию ViPNet "Центр регистрации" возлагается на центр регистрации УЦ.
Технические средства обеспечения работы ПК УЦ
99. Технические средства обеспечения работы ПК УЦ включают в себя:
выделенный сервер с ПО ViPNet "Администратор" (УКЦ) (ЦУС и УКЦ могут быть установлены на разных компьютерах);
компьютер с ПО ViPNet "Центр регистрации";
выделенный сервер с ПО ViPNet "Координатор";
программно-аппаратные комплексы защиты от несанкционированного доступа типа "электронный замок";
телекоммуникационное оборудование;
АРМ сотрудников УЦ;
устройства печати на бумажных носителях (принтеры).
Ответственность за эксплуатацию технических средств и общесистемного программного обеспечения возлагается на сотрудников УЦ.
Программные и программно-аппаратные средства защиты информации
100. Программные и программно-аппаратные средства защиты информации включают в себя:
средства криптографической защиты информации (СКЗИ "Домен-К2" или СКЗИ "Домен-КМ");
ViPNet "Координатор";
ViPNet "Клиент";
устройства обеспечения температурно-влажностного режима и кондиционирования служебных и рабочих помещений УЦ;
устройства обеспечения противопожарной безопасности помещений УЦ.
Ответственность за эксплуатацию программных и программно-аппаратных средств защиты информации возлагается на администратора УЦ.
Перечень событий, регистрируемых программным комплексом обеспечения реализации целевых функций УЦ
101. Для УКЦ и ЦР:
вход администратора в программу УКЦ;
регистрация администратора УКЦ;
создание сертификата ключа подписи администратора УКЦ;
формирование СОС;
принятие запроса на сертификат ключа подписи;
отклонение запроса на создание ключа подписи;
создание сертификата ключа подписи;
принятие запроса на отзыв сертификата ключа подписи;
удовлетворение запроса на отзыв сертификата ключа подписи;
отклонение запроса на отзыв сертификата ключа подписи;
невыполнение внутренней операции программной компоненты;
системные события общесистемного программного обеспечения.
Перечень данных программного комплекса обеспечения реализации целевых функций УЦ, подлежащих резервному копированию
102. При эксплуатации программного комплекса обеспечения реализации целевых функций УЦ выполняется резервное копирование данных компонент ПК УЦ. Периодичность создания резервных копий определяется настройками программы УКЦ и может варьироваться в зависимости от числа выполненных операций.
Перечень данных ПК УЦ, подлежащих резервному копированию, включает в себя:
списки сертификатов ключей подписи уполномоченных лиц УКЦ и УЦ смежных сетей в электронном виде;
базу данных пользователей УЦ;
базу данных созданных сертификатов ключей подписи, включая очередь входящих запросов и историю запросов на сертификаты;
журналы УКЦ.
III. Обеспечение безопасности Инженерно-технические меры защиты информации
103. Серверы и телекоммуникационное оборудование размещаются в выделенном помещении.
Серверы и телекоммуникационное оборудование размещаются в шкафу-стойке.
Остальные технические средства УЦ размещаются в рабочих помещениях УЦ согласно схеме организации рабочих мест персонала.
104. Помещение УЦ оборудовано системой сигнализации, выведенной на пульт охраны.
Рабочие и служебные помещения УЦ не подключены к системе контроля доступа и оборудованы механическими замками.
Ключи механических замков рабочих помещений УЦ выдаются сотрудникам УЦ по распоряжению руководителя УЦ в соответствии со схемой организации рабочих мест персонала. Ключи также имеют руководитель и заместитель руководителя государственного бюджетного учреждения Оренбургской области "Центр информационных технологий Оренбургской области".
Электроснабжение и кондиционирование воздуха
105. Технические средства УЦ подключены к общегородской сети электроснабжения.
Серверы, телекоммуникационное оборудование подключены к источникам бесперебойного питания, обеспечивающим их работу в течение часа после прекращения основного электроснабжения.
Технические средства, используемые на рабочих местах сотрудников УЦ, также должны быть обеспечены источниками бесперебойного питания.
Служебные помещения УЦ, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях, серверное помещение оборудованы средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха.
Защита серверов и телекоммуникационного оборудования от воздействия влаги так же обеспечивается их размещением в шкафу-стойке.
106. Помещение УЦ оборудовано пожарной сигнализацией. Пожарная безопасность помещений УЦ обеспечивается в соответствии с нормами и требованиями, установленными законодательством Российской Федерации.
Хранение документированной информации
107. Документальный фонд УЦ как фондообразователя подлежит хранению в соответствии с законодательством Российской Федерации по делопроизводству и архивному делу.
Уничтожение документированной информации
108. Выделение к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляется сотрудниками УЦ, которые обеспечивают документирование.
Разграничение прав структурных подразделений УЦ для обеспечения безопасности
Администратор УЦ
109. Администратором УЦ может являться только уполномоченное лицо УЦ.
Администратор УЦ выполняет следующие функции:
администрирование УКЦ;
администрирование ЦУС;
обеспечивает соблюдение правил безопасной эксплуатации комплекса в целом;
осуществляет настройки ОС и прикладного ПО;
обеспечивает синхронизацию времени на серверах времени и контроль за синхронизацией времени на компьютерах пользователей;
осуществляет контроль за соблюдением правил эксплуатации и соблюдением мер защиты от несанкционированного доступа. Осуществляет проверку целостности ПО и данных компонент УЦ;
осуществляет аудит событий по журналам программных компонент УЦ, журналам операционной системы и аппаратных средств защиты от НСД;
контролирует целостность журналов и архивов журналов;
осуществляет регистрацию абонентских пунктов и пользователей сети ViPNet;
назначает связи между объектами сети;
формирует и рассылает справочники для абонентских пунктов и УКЦ, а также обновления ключевой и справочной информации;
обеспечивает взаимодействие с ЦУС других сетей ViPNet.
110. Для обеспечения своих функций администратору УС необходимо:
обладать паролями входа в ОС с правами, достаточными для выполнения своих обязанностей. Иметь полный доступ к программе ViPNet "Администратор" (ЦУС) и ее рабочим каталогам;
осуществлять первичную генерацию ключевой информации УКЦ и абонентских пунктов сети;
осуществлять формирование симметричных ключей шифрования для абонентских пунктов сети;
осуществлять формирование и своевременную смену мастер-ключей своей сети и для межсетевого взаимодействия;
обеспечивать своевременную передачу в ЦУС сформированной ключевой и справочной информации.
111. Администратор УЦ при администрировании УКЦ выполняет следующие функции:
формирует ключ подписи УЛ и издает корневой сертификат УЛ;
формирует ключи подписи УЛ и запросы на сертификаты УЛ к вышестоящему УЦ;
осуществляет первичную генерацию ключей подписи и создание сертификатов для абонентов сети;
издает сертификаты по запросам ЦР и запросам на обновление сертификатов;
отзывает, приостанавливает и возобновляет сертификаты пользователей по их запросам или по запросам ЦР;
осуществляет экспорт и отправку в ЦУС справочников сертификатов УЛ, пользователей, списков отозванных сертификатов.
112. В общие обязанности администратора УЦ входят:
своевременное создание архивов баз данных и восстановление при сбоях;
настройка и ведение журналов УКЦ;
ведение документации УКЦ в соответствии с настоящим Регламентом и должностными инструкциями.
Центр регистрации УЦ
113. Оператор ЦР выполняет следующие функции:
осуществляет регистрацию внешних пользователей;
создает запросы на создание обновления и отзыв сертификатов внешних абонентов;
осуществляет (при необходимости) проверку сертификатов внешних пользователей.
Для обеспечения своих функций оператору ЦР необходимо:
иметь действительный ключ подписи и сертификат для подписи запросов к УЦ;
обладать паролями входа в ОС с правами, достаточными для выполнения своих обязанностей;
иметь полный доступ к программе ViPNet "Администратор" ("Центр регистрации") и ее рабочим каталогам.
Программно-аппаратные меры защиты информации
Организация доступа к техническим средствам УЦ
114. Организацию доступа к техническим средствам УЦ, размещенных на рабочих местах сотрудников УЦ, обеспечивают сотрудники УЦ, ответственные за эксплуатацию данных технических средств.
Доступ к техническим средствам УЦ осуществляется администраторами при выполнении следующих процессов:
регистрация пользователей, сетевых объектов, управление сетью в ЦУС;
создание ключевой информации для зарегистрированных пользователей;
создание сертификатов по запросам пользователей;
отзыв сертификатов пользователей;
регистрация пользователей в ЦР, создание запросов на регистрацию пользователей в ЦУС;
формирование ключей подписи на АРМ Центр регистрации, создание запросов на создание сертификатов пользователей в УКЦ;
создание и отзыв сертификатов по запросам от АРМ Центр регистрации.
Организация доступа к программным средствам УЦ
115. Все АРМ сотрудников УЦ, на которых установлены программные приложения ViPNet "Администратор" (ЦУС, УКЦ, "Пункт регистрации", "Сервис публикации"), оснащены программно-аппаратными комплексами защиты от несанкционированного доступа согласно паспорту АРМ. Доступ системных администраторов общесистемного программного обеспечения серверов для выполнения регламентных работ осуществляется в присутствии администратора УЦ.
116. Аутентификация администратора предусматривает:
аутентификацию пользователя компьютера и ОС с использованием устройств аутентификации к аппаратным средствам защиты от НСД;
аутентификацию пользователя ПО ViPNet "Клиент" (или "Криптосервис") на узле ViPNet, зарегистрированном в прикладных задачах, отвечающих роли администратора ("Центр регистрации", ЦУС, "Удостоверяющий и ключевой центр" или "Сервис публикации");
аутентификацию пользователя прикладного ПО ViPNet, соответствующего выполняемой роли администратора.
Перечень объектов доступа, предоставляемых администратору УЦ при взаимодействии с программно-аппаратными средствами УЦ
117. В перечень объектов доступа, предоставляемых администратору УЦ при взаимодействии с программно-аппаратными средствами УЦ, входят:
устройства аутентификации к аппаратным средствам защиты от НСД ("Электронный замок") с правами администратора;
учетные записи и пароли пользователей операционной системы на подконтрольных технических средствах с правами, необходимыми для выполнения своих обязанностей;
ключевая информация пользователя ПО ViPNet "Клиент" (или "Криптосервис") для аутентификации на подконтрольных компьютерах;
пароли администратора сетевых узлов ViPNet для аутентификации с правами администратора на подконтрольных компьютерах;
журналы аудита операционной системы и программно-аппаратных средств УЦ и их настройки на подконтрольных технических средствах;
ПО ViPNet "Администратор" (ЦУС) или ПО ViPNet "Пункт регистрации" в зависимости от полномочий;
журналы аудита ПО ViPNet;
ПО ViPNet "Администратор" (УКЦ), аутентификационная информация администратора УКЦ;
секретный ключ подписи УЛ УЦ для администраторов, выполняющих данную роль;
журналы аудита ПО ViPNet "Администратор" (УКЦ).
Перечень объектов доступа, предоставляемых аутентифицированным пользователям УЦ при осуществлении взаимодействия с программными средствами УЦ
118. Пользователям УЦ предоставляется программное обеспечение ViPNet "Клиент" (или "Криптосервис") для:
организации защищенного канала обмена информацией с ЦУС;
формирования запроса на сертификат ключа подписи аутентифицированного пользователя УЦ;
получения и установки на рабочем месте созданного сертификата ключа подписи аутентифицированного пользователя УЦ;
предоставления учетной информации о сертификатах ключей подписи аутентифицированного пользователя УЦ и статусе их обработки;
предоставления учетной информации о запросах в электронной форме, поступивших на УЦ от аутентифицированного пользователя УЦ, и статусе их обработки;
копия сертификата ключа подписи уполномоченного лица УЦ в электронной форме;
копия списка аннулированных (отозванных) сертификатов ключей подписи в электронной форме.
Контроль целостности программного обеспечения
119. Контролю целостности подлежат следующие программные компоненты из состава программного обеспечения, эксплуатируемого УЦ:
программные модули средств электронной подписи и криптографической защиты информации;
программные модули ViPNet "Администратор";
программные модули ViPNet "Пункт регистрации";
программные модули ViPNet "Сервис публикации".
Состав программных модулей и справочно-ключевой информации, подлежащих контролю целостности, определяется приказом руководителя УЦ.
Система контроля целостности программных модулей основывается на аппаратном контроле целостности общесистемного программного обеспечения до загрузки операционной системы.
Данная система обеспечивается использованием сертифицированного устройства типа "электронный замок".
Программная составляющая системы контроля целостности осуществляет проверку контрольных сумм, подлежащих контролю программных модулей и справочно-ключевой информации, при каждом запуске программ или в процессе работы по требованию администратора.
Контроль целостности программных модулей средств электронной подписи и криптографической защиты информации, а также справочно-ключевой информации УЦ, осуществляется средствами электронной подписи и криптографической защиты информации.
Периодичность выполнения мероприятий по контролю целостности - при каждом перезапуске ПО УЦ, но не реже чем раз в сутки.
Ответственность за выполнение мероприятий по контролю целостности программных средств возлагается на группу администраторов безопасности УЦ.
Контроль целостности журналов событий
120. Контролю целостности подлежат средства просмотра, файлы конфигурации и данных журналов событий (содержимое подкаталогов log каталогов установки программных средств УЦ).
Компоненты подсистемы ведения журналов, не изменяющиеся в процессе работы ПО, подлежат контролю целостности с использованием устройств типа "электронный замок".
Программная составляющая подсистемы контроля целостности осуществляет проверку контрольных сумм файлов конфигурации и данных журналов при каждом запуске ПО и при каждом вызове функций просмотра или настроек журнала событий. При обнаружении искажений журналов факт обнаружения фиксируется в служебном журнале, доступ к ПО возможен только с правами администратора.
Настройки операционной системы должны предоставлять права на доступ к подкаталогам log в каталогах установки программных компонент УЦ только для пользователей, обеспечивающих эксплуатацию данной компоненты ПО.
Периодичность выполнения мероприятий по контролю целостности - при каждом перезапуске ПО УЦ, но не реже чем раз в сутки.
Ответственность за выполнение мероприятий по контролю целостности журналов событий возлагается на группу администраторов безопасности и аудиту УЦ.
Контроль целостности технических средств
121. Контроль целостности технических средств УЦ обеспечивается опечатыванием корпусов устройств, препятствующих их неконтролируемому вскрытию.
Опечатывание устройств выполняется перед вводом технических средств в эксплуатацию и после выполнения регламентных работ.
Контроль целостности печатей осуществляется в начале каждой рабочей смены.
Ответственность за выполнение мероприятий по контролю целостности технических средств возложена на администратора УЦ.
Защита внешних сетевых соединений
122. Защита конфиденциальной информации, передаваемой между программно-техническими средствами обеспечения деятельности УЦ и программными средствами, предоставляемыми УЦ пользователям УЦ, в процессе обмена документами в электронной форме осуществляется путем шифрования информации с использованием шифровальных (криптографических) средств, сертифицированных в соответствии с законодательством Российской Федерации.
В качестве шифровальных (криптографических) средств, используемых для защиты конфиденциальной информации пользователями УЦ, используется программное обеспечение ViPNet "Клиент".
Требуемый уровень безопасности (класс 1В) обеспечивается использованием программного обеспечения ViPNet, сертифицированного Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК) Российской Федерации и Федеральной службы безопасности Российской Федерации.
Перечень информации, подлежащей защите
123. Поступающая в УЦ информация:
запросы на создание сертификата ключа подписи;
запросы на отзыв, приостановление и возобновление сертификатов ключей подписи;
заявления на аннулирование (отзыв), приостановление и возобновление действия сертификатов ключей подписи в электронной форме;
списки сертификатов ключей подписи УЛ других УЦ.
124. Передаваемая из УЦ информация:
бланки копий сертификатов ключей подписи для вывода на бумажный носитель;
списки сертификатов ключей подписи УЛ;
списки сертификатов ключей подписи пользователей УЦ и их статус;
список запросов на сертификаты ключей подписи пользователей УЦ и их статус;
список запросов на аннулирование (отзыв), приостановление и возобновление действия сертификатов ключей подписи пользователей УЦ и их статус.
Организационные меры защиты информации
125. Уполномоченное лицо УЦ должно иметь высшее профессиональное образование и профессиональную подготовку в области информационной безопасности.
Сотрудники УЦ должны иметь высшее профессиональное образование или пройти курсы повышения квалификации в области информационной безопасности.
Профессиональная переподготовка персонала УЦ не осуществляется.
126. Деятельность УЦ по работе с пользователями УЦ в части приема заявлений в бумажной форме и создания сертификатов ключей подписи организована в одну рабочую смену с 9.00 до 18.00 в рабочие дни.
Выходные дни - суббота, воскресенье, а также дни государственных праздников России.
127. Доступ сотрудников УЦ к документальному фонду организации организован в соответствии с должностными инструкциями и функциональными обязанностями.
Юридические меры защиты информации
128. УЦ имеет разрешение (лицензию) на все виды деятельности, связанные с предоставлением услуг согласно подразделу "Услуги, предоставляемые УЦ" раздела II настоящего Регламента.
Системы безопасности УЦ и защиты информации УЦ созданы и поддерживаются на договорной основе с юридическими лицами, осуществляющими свою деятельность на основании лицензий, полученных в соответствии с законодательством Российской Федерации.
Все меры по защите информации в УЦ применяются в соответствии с приказами руководителя УЦ.
Для обеспечения своей деятельности УЦ использует средства ЭП и криптографической защиты информации, сертифицированные в соответствии с законодательством Российской Федерации.
Исключительные имущественные права на информационные ресурсы УЦ находятся в собственности УЦ.
Пользователям УЦ предоставляются неисключительные имущественные права на копии сертификатов ключей подписи и списков отозванных сертификатов ключей подписи, создаваемые УЦ в объеме прав согласно подразделу "Права пользователей УЦ" раздела III настоящего Регламента.
<< Назад |
Приложение >> N 1. Структуры записей аудита |
|
Содержание Постановление Правительства Оренбургской области от 27 июня 2013 г. N 525-п "Об использовании электронной подписи в органах... |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.