ведення журналів аудиту подій, що реєструють засоби ІТС ЦЗО;
інсталяція та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ІТС ЦЗО;
встановлення та налагодження штатної підсистеми резервного копіювання бази даних ІТС ЦЗО;
забезпечення актуалізації баз даних, створюваних та оброблюваних у ІТС ЦЗО, внаслідок збоїв.
3.4. Адміністратор сертифікації відповідає за формування сертифікатів ключів, ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів, збереження та використання особистого ключа ЦЗО.
Основними обов'язками адміністратора сертифікації є:
участь у генерації пари ключів (особистий та відкритий ключі) та зберігання особистих ключів ЦЗО та їх резервних копій;
забезпечення використання особистих ключів ЦЗО під час формування та обслуговування сертифікатів ключів ЦЗО та Центрів;
перевірка запитів на формування сертифікатів Центру вимогам Регламенту;
участь у знищенні особистих ключів ЦЗО;
забезпечення ведення, архівування та відновлення баз даних сертифікатів ключів Центрів;
розповсюдження (публікація) переліку сертифікатів ключів Центрів і СВС на офіційному веб-сайті ЦЗО;
резервування сертифікатів ключів і СВС, інших важливих ресурсів ІТС ЦЗО.
3.5. Адміністратор реєстрації відповідає за перевірку документів, наданих Центрами, звернень Центрів щодо формування, блокування, поновлення та скасування сертифікатів ключів Центрів.
Основними обов'язками адміністратора реєстрації є:
ідентифікація та автентифікація заявників;
перевірка заяв на формування, скасування, блокування та поновлення сертифікатів ключів;
встановлення належності Центру особистого ключа та його відповідності відкритому ключу Центру;
ведення електронного Реєстру суб'єктів.
4. Журнали аудиту
4.1. У журналах аудиту ІТС ЦЗО реєструються дії та події таких типів:
спроби створення, знищення, встановлення паролів, зміни прав доступу в ІТС ЦЗО тощо;
заміни технічних засобів ІТС ЦЗО та ключів;
формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;
спроби несанкціонованого доступу до ІТС ЦЗО;
надання доступу персоналу до ІТС ЦЗО;
зміна системних конфігурацій та технічне обслуговування ІТС ЦЗО;
збої в роботі ІТС ЦЗО;
інші події, відомості про які фіксуються в журналі аудиту ІТС ЦЗО.
Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб'єкта, що її здійснив або ініціював.
4.2. Журнали аудиту підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку того, що журнал не піддавався несанкціонованим модифікаціям, вивчення всіх дій та/або подій у журналі з приділенням особливої уваги повідомленням про невідповідності і попередженням про небезпечні ситуації. Перегляд журналів аудиту ІТС ЦЗО здійснює адміністратор безпеки. Результати перегляду адміністратор безпеки фіксує в журналі аудиту адміністратора безпеки.
4.3. Система ведення електронного журналу аудиту включає механізми його захисту від неавторизованого перегляду, модифікації і знищення. Записи подій у журналах аудиту в паперовій формі повинні бути завірені і підписані адміністратором безпеки.
Журнали аудиту в електронній формі резервуються з періодичністю не менше одного разу на тиждень.
4.4. Адміністратор ІТС ЦЗО зберігає журнали аудиту на місці їх створення протягом 10 років, після чого забезпечує їх передачу для архівного збереження.
5. Ведення архівів
Документи з паперовими та електронними носіями, що створюються або надходять до ЦЗО, зберігаються та знищуються відповідно до вимог законодавства.
VII. Періодичність, порядок планової заміни, використання особистих ключів ЦЗО та управління ключами в ЦЗО
1. Загальні положення
В ІТС ЦЗО використовуються такі особисті та відповідні їм відкриті ключі:
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі шлюзу захисту мережевих з'єднань зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з'єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002.
Процедури генерації особистих та відповідних їм відкритих ключів, що використовуються в ІТС ЦЗО, створення резервних копій, відновлення із резервних копій, використання та знищення особистих ключів, що використовуються в ІТС ЦЗО, здійснюються в частині, що не суперечить вимогам цього Регламенту, відповідно до положень Інструкції із забезпечення безпеки експлуатації засобу криптографічного захисту інформації та Інструкції щодо порядку генерації ключових даних і поводження (обліку, зберігання, знищення) з ключовими документами, передбачених Положенням про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації , затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованим в Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (із змінами), до відповідних засобів криптографічного захисту інформації (далі - КЗІ) зі складу ІТС ЦЗО, які погоджуються з Адміністрацією Державної служби спеціального зв'язку та захисту інформації України.
2. Генерація особистих та відкритих ключів
2.1. В ІТС ЦЗО генеруються особистий та відповідний йому відкритий ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС, особистий та відповідний йому відкритий ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистий та відповідний йому відкритий ключі шлюзу захисту мережевих з'єднань, особистий та відповідний йому відкритий ключі адміністраторів (далі разом - особисті та відповідні їм відкриті ключі ЦЗО).
2.2. Генерація особистих та відповідних їм відкритих ключів ЦЗО здійснюється у спеціальному приміщенні ІТС ЦЗО за участю адміністратора безпеки під контролем адміністратора сертифікації.
( Абзац перший пункту 2.2 глави 2 розділу VII із змінами, внесеними згідно з Наказом Міністерства юстиції № 134/5 від 22.01.2014 )
Після генерації особистих та відкритих ключів ЦЗО здійснюється формування відповідних сертифікатів ключів.
Особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС та особисті ключі ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зберігаються відповідно в апаратних та апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО.
Особисті ключі шлюзу захисту мережевих з'єднань та особисті ключі адміністраторів зберігаються на зовнішніх носіях ключової інформації (далі - НКІ).
Для забезпечення можливості відновлення особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу у випадку виходу з ладу апаратних та апаратно-програмних засобів КЗІ, виконується резервне копіювання відповідного особистого ключа із засобу КЗІ на НКІ.
Для забезпечення можливості відновлення особистих ключів шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів у випадку виходу з ладу НКІ виконується резервне копіювання особистого ключа із засобу КЗІ на окремі резервні НКІ.
Факти генерації та створення резервних копій особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань (далі разом - особисті ключі ЦЗО), особистих ключів адміністраторів та відповідних їм відкритих ключів реєструються адміністратором безпеки у відповідному журналі обліку.
2.3. Передавання особистих ключів ЦЗО здійснюється за журналом прийому-передачі ключів.
Забороняється:
передавання особистих ключів адміністраторів між адміністраторами.
виносити особисті ключі ЦЗО та їх резервні копії із спеціального приміщення ІТС ЦЗО.
3. Планова та позапланова заміна ключів, їх знищення
3.1. Строки дії особистих ключів ЦЗО відповідають строкам чинності сертифікатів відповідних їм відкритих ключів і становлять:
для особистих ключів ЦЗО для накладення ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС не більше 10 років;
для особистих ключів ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, не більше 5 років;
для особистих ключів шлюзу захисту мережевих з'єднань не більше 2 років.
Строк дії особистих ключів адміністраторів становить не більше 2 років.
3.2. Планова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується не пізніше ніж за 2 робочі дні до закінчення строку дії відповідного сертифіката ключа.
Під час планової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором безпеки під контролем адміністратора сертифікації відповідно до вимог пункту 2.2 глави 2 цього розділу здійснюється генерація нових особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката ключа та створення резервних копій особистого ключа.
( Абзац другий пункту 3.2 глави 3 розділу VII із змінами, внесеними згідно з Наказом Міністерства юстиції № 134/5 від 22.01.2014 )
Після введення в дію нових особистого та відповідного йому відкритого ключа ЦЗО особистий ключ, термін дії сертифіката відкритого ключа якого завершився, та всі його резервні копії знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
3.3. Позапланова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується у випадках компрометації або підозри на компрометацію особистого ключа ЦЗО та/або особистого ключа адміністратора.
Під час позапланової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором безпеки під контролем адміністратора сертифікації відповідно до вимог пункту 2.2 глави 2 цього розділу здійснюється генерація нових особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката ключа та створення резервних копій особистого ключа.
( Абзац другий пункту 3.3 глави 3 розділу VII із змінами, внесеними згідно з Наказом Міністерства юстиції № 134/5 від 22.01.2014 )
У разі підтвердження факту компрометації особистих ключів ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС усі попередньо сформовані сертифікати ключів Центрів скасовуються та формується СВС, який підписується новим особистим ключем ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС.
Усі особисті ключі ЦЗО та особисті ключі адміністраторів, факт компрометації яких було підтверджено, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
3.4. ЦЗО невідкладно інформує Центри та контролюючий орган про здійснення планової чи позапланової заміни особистих та відкритих ключів ЦЗО.
4. Особливості планової заміни особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС
4.1. Не пізніше завершення половини строку дії поточного особистого та відповідного йому відкритого ключа ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС здійснюється генерація нового особистого та відповідного йому відкритого ключа ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС та формування відповідного сертифіката ключа. При цьому поточний особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС стає попереднім, а новий - поточним.
Поточний особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС повинен зберігатися і застосовуватися в апаратному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП на сертифікати ключів Центрів і СВС.
Попередній особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС повинен зберігатися і застосовуватися в апаратно-програмному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП тільки для обслуговування сертифікатів ключів Центрів, які були сформовані за допомогою цього ключа.
4.2. Перенесення попереднього особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС з апаратного до апаратно-програмного засобу КЗІ здійснюється шляхом створення резервної копії особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС та її відновлення.
Факти створення та відновлення резервної копії попереднього особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС та його перенесення з апаратного засобу КЗІ до апаратно-програмного засобу КЗІ реєструються адміністратором безпеки у відповідному журналі обліку.
| Директор Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу | К.І. Чижмарь |
Додаток 1
до Регламенту роботи
центрального засвідчувального органу
ОБОВ'ЯЗКОВІ РЕКВІЗИТИ
Центру в запиті на формування сертифіката ключа
Таблиця 1
__________
-1 Якщо місцем реєстрації юридичної особи або фізичної особи - суб'єкта підприємницької діяльності є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім.
Обробка розширень, поданих у запиті під час формування сертифіката ключа Центру
Таблиця 2
| Назва розширення англійською мовою | Назва розширення українською мовою (у термінології Наказу ) | Обов’язковість розширення у сертифікаті ключа Центру-1 | Обов’язковість розширення у запиті-2 | Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті-3 | Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті-4 | Примітки |
| Стандартні розширення | ||||||
| authorityKeyIdentifier | Ідентифікатор відкритого ключа Центру | + | +/- | - | + | Встановлюється значення ідентифікатора відкритого ключа ЦЗО |
| subjectKeyIdentifier | Ідентифікатор відкритого ключа підписувача | + | +/- | + | + | У разі відсутності розширення у запиті встановлюється значення ідентифікатора відкритого ключа, який обчислюється ЦЗО згідно з вимогами, встановленими Наказом |
| keyUsage | Призначення відкритого ключа, що міститься в сертифікаті | + | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві на формування посиленого сертифіката відкритого ключа. У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві на формування посиленого сертифіката відкритого ключа |
| extKeyUsage | Уточнене призначення відкритого ключа, що міститься в сертифікаті | +/- | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві на формування посиленого сертифіката відкритого ключа. У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві на формування посиленого сертифіката відкритого ключа |
| certificatePolicies | Політика сертифікації | + | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
| subjectAltName | Додаткові дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
| issuerAlternativeName | Додаткові дані Центру | +/- | +/- | - | - | |
| basicConstraints | Основні обмеження | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу , встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що визначено Наказом, встановлюється значення, що відповідає ЗЦ, ЦСК або АЦСК згідно з Наказом |
| subjectDirectoryAttributes | Персональні дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
| crlDistributionPoints | Точки доступу до СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до повних СВС ЦЗО |
| freshestCRL | Точки доступу до часткового СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до часткових СВС ЦЗО |
| Нестандартні розширення | ||||||
| qcStatements | Ознаки посиленого сертифіката | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу , встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
__________
-1 Обов’язковість розширення у сертифікаті ключа Центру:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-2 Обов’язковість розширення у запиті:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-3 Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру;
+/- - розширення може встановлюватися або не встановлюватися у сертифікаті ключа Центру.
-4 Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру.
Додаток 2
до Регламенту роботи центрального
засвідчувального органу
ЗАЯВА
на проведення реєстрації
( Див. текст )
Додаток 3
до Регламенту роботи центрального
засвідчувального органу
ЗАЯВА
на проведення акредитації
( Див. текст )
Додаток 4
до Регламенту роботи центрального
засвідчувального органу
ЗАЯВА
на формування посиленого сертифіката відкритого ключа
( Див. текст )
Додаток 5
до Регламенту роботи центрального
засвідчувального органу
ЗАЯВА
на скасування посиленого сертифіката відкритого ключа
( Див. текст )
Додаток 6
до Регламенту роботи центрального
засвідчувального органу
ЗАЯВА
на блокування посиленого сертифіката відкритого ключа
( Див. текст )
Додаток 7
до Регламенту роботи центрального
засвідчувального органу
ЗАЯВА
на поновлення посиленого сертифіката відкритого ключа
( Див. текст )
