перевірка запитів на формування сертифікатів Центру вимогам Регламенту;
участь у знищенні особистих ключів ЦЗО;
забезпечення ведення, архівування та відновлення баз даних сертифікатів ключів Центрів;
розповсюдження (публікація) переліку сертифікатів ключів Центрів і СВС на веб-сайті ЦЗО;
резервування сертифікатів ключів і СВС, інших важливих ресурсів ІТС ЦЗО.
8.4.5. Адміністратор реєстрації відповідає за перевірку документів, наданих Центрами, звернень Центрів щодо формування, блокування, поновлення та скасування сертифікатів ключів Центрів.
Основними обов'язками адміністратора реєстрації є:
ідентифікація та автентифікація заявників;
перевірка заяв на формування, скасування, блокування та поновлення сертифікатів ключів;
встановлення належності Центру особистого ключа та його відповідності відкритому ключу Центру;
ведення електронного Реєстру суб'єктів.
8.5. Ведення журналів аудиту ІТС ЦЗО.
У журналах аудиту ІТС ЦЗО реєструються дії та події таких типів:
спроби створення, знищення, встановлення паролів, зміни прав доступу в ІТС ЦЗО тощо;
заміни технічних засобів ІТС ЦЗО та ключів;
формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;
спроби несанкціонованого доступу до ІТС ЦЗО;
надання доступу персоналу до ІТС ЦЗО;
зміна системних конфігурацій та технічне обслуговування ІТС ЦЗО;
збої в роботі ІТС ЦЗО;
інші події, відомості про які фіксуються в журналі аудиту ІТС ЦЗО.
Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб'єкта, що її здійснив або ініціював.
Журнали аудиту підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку того, що журнал не піддавався несанкціонованим модифікаціям, вивчення всіх дій та/або подій у журналі з приділенням особливої уваги повідомленням про невідповідності і попередженням про небезпечні ситуації. Перегляд журналів аудиту ІТС ЦЗО здійснює адміністратор безпеки. Результати перегляду адміністратор безпеки фіксує в журналі аудиту адміністратора безпеки.
Система ведення електронного журналу аудиту повинна включати механізми його захисту від неавторизованого перегляду, модифікації і знищення. Записи подій у журналах аудиту в паперовій формі повинні бути завірені і підписані адміністратором безпеки.
Журнали аудиту в електронній формі резервуються з періодичністю не менше одного разу на тиждень.
Адміністратор ІТС ЦЗО зберігає журнали аудиту на місці їх створення протягом 10 років, після чого забезпечує їх передачу для архівного збереження.
8.6. Порядок архівного збереження документованої інформації.
Документи, складені у паперовій формі, зберігаються в порядку, встановленому законодавством про архіви й архівну справу.
Архівному зберіганню підлягають такі документи:
сертифікати ключів ЦЗО;
сертифікати ключів Центрів;
СВС ЦЗО;
заяви форм 2, 3 та документи, подані разом з ними;
заяви форм 4–7;
Регламент та всі зміни, що вносилися до Регламенту;
службові документи ЦЗО (інструкції, положення, накази тощо);
журнали аудиту ІТС ЦЗО;
документована інформація, що передається АЦСК, які припиняють діяльність, до ЦЗО відповідно до вимог чинного законодавства.
Документами постійного зберігання є:
сертифікати ключів ЦЗО;
сертифікати ключів Центрів;
СВС ЦЗО;
сертифікати ключів підписувачів АЦСК, що припинили діяльність;
СВС АЦСК, що припинили діяльність.
Інші документи, що підлягають архівному зберіганню, є документами тимчасового зберігання. Строк тимчасового зберігання архівних документів становить 10 років. Знищення архівних документів тимчасового зберігання здійснює комісія, сформована з числа працівників Мін’юсту та Адміністратора ІТС ЦЗО.
IX. Періодичність, порядок планової заміни, використання особистих ключів ЦЗО та управління ключами в ЦЗО
9.1. В ІТС ЦЗО використовуються такі пари (особистих та відкритих) ключів:
особисті та відкриті ключі (поточний та попередній) для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відкриті ключі шлюзу захисту мережевих з'єднань зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відкриті ключі адміністраторів зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002.
9.2. Процедура генерації особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів здійснюється відповідно до положень Інструкції щодо порядку генерації ключових даних і поводження з ключовими документами (далі - Інструкція) до відповідних засобів криптографічного захисту інформації (далі - КЗІ) зі складу ІТС ЦЗО, які погоджуються з контролюючим органом.
9.3. Генерація особистих ключів здійснюється у спеціальному приміщенні ІТС ЦЗО за участю адміністратора сертифікації під контролем адміністратора безпеки.
Після генерації особистих ключів здійснюється формування відповідних їм сертифікатів ключів.
Особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС та особисті ключі ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зберігаються відповідно в апаратних та апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО.
Особисті ключі шлюзу захисту мережевих з'єднань та особисті ключі адміністраторів зберігаються на зовнішніх носіях ключової інформації (далі - НКІ).
Для забезпечення можливості відновлення особистих ключів ЦЗО у випадку виходу з ладу апаратних та апаратно-програмних засобів КЗІ виконується резервне копіювання особистого ключа із засобу КЗІ на НКІ.
Для забезпечення можливості відновлення особистих ключів шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів у випадку виходу з ладу НКІ виконується резервне копіювання особистого ключа із засобу КЗІ на окремі резервні НКІ.
Факт генерації ключів та створення їх резервних копій реєструється адміністратором безпеки у відповідному журналі обліку.
9.4. Не пізніше завершення половини строку дії поточної пари ключів (особистий та відкритий ключі) ЦЗО, що використовуються для накладення та перевірки ЕЦП на сертифікатах ключів Центрів та СВС, здійснюється генерація нової пари ключів (особистий та відкритий ключі) ЦЗО та формування відповідного сертифіката ключа ЦЗО. При цьому поточний особистий ключ ЦЗО стає попереднім, а новий - поточним.
Поточний особистий ключ ЦЗО повинен зберігатися і застосовуватися в апаратному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП на сертифікати Центрів і СВС.
Попередній особистий ключ ЦЗО повинен зберігатися і застосовуватися в апаратно-програмному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП тільки для обслуговування сертифікатів ключів Центрів, які були сформовані за допомогою цього ключа.
Перенесення попереднього особистого ключа ЦЗО з апаратного до апаратно-програмного засобу КЗІ здійснюється шляхом створення та відновлення резервної копії особистого ключа та її відновлення відповідно до вимог Інструкції.
9.5. Факти створення та відновлення резервної копії попереднього особистого ключа ЦЗО та його перенесення з апаратного засобу КЗІ до апаратно-програмного засобу КЗІ реєструються адміністратором безпеки у відповідному журналі обліку.
Передавання особистих ключів ЦЗО між адміністраторами здійснюється за журналом прийому-передачі ключів.
Забороняється виносити особисті ключі ЦЗО із спеціального приміщення ІТС ЦЗО.
9.6. Заміна особистих ключів.
Строки дії особистих ключів ЦЗО відповідають строкам чинності сертифікатів відповідних їм відкритих ключів і становлять:
не більше 10 років - для особистих ключів ЦЗО для накладення ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС;
не більше 5 років - для особистих ключів ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу;
не більше 2 років - для особистих ключів шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів.
Планова заміна особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів здійснюється відповідно до положень Інструкції та виконується не пізніше ніж за 2 робочі дні до закінчення строку дії відповідних сертифікатів ключів.
Під час планової заміни адміністратором сертифікації під контролем адміністратора безпеки здійснюється генерація нових особистих ключів, створення їх резервних копій та формування відповідних сертифікатів ключів.
Після введення в дію нових особистих ключів особисті ключі, термін дії сертифікатів відкритих ключів яких завершився, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
Факти генерації нових особистих ключів, створення їх резервних копій та знищення особистих ключів, термін дії сертифікатів відкритих ключів яких завершився, реєструються адміністратором безпеки у відповідному журналі обліку.
Позапланова заміна особистих ключів виконується у випадках компрометації або підозри на компрометацію особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів відповідно до вимог Інструкції.
Під час позапланової заміни здійснюється генерація нових особистих ключів, створення їх резервних копій та формування відповідних сертифікатів ключів за участю двох адміністраторів, у тому числі адміністратора безпеки.
У разі підтвердження факту компрометації особистих ключів ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС усі попередньо сформовані сертифікати ключів Центрів скасовуються та формується СВС, який підписується новим особистим ключем ЦЗО.
Усі особисті ключі, факт компрометації яких було підтверджено, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
Факти генерації нових особистих ключів, створення їх резервних копій та знищення особистих ключів, термін дії сертифікатів відкритих ключів яких завершився, реєструються адміністратором безпеки у відповідному журналі обліку.
Про планову та позапланову заміну особистого ключа ЦЗО невідкладно інформує Центри та контролюючий орган.
Додаток
до Регламенту роботи центрального
засвідчувального органу
Запит на формування сертифіката ключа Центру (далі - запит) подається у форматі, визначеному у стандарті PKCS#10.
Запит повинен містити інформацію про відкритий ключ Центру, що подає такий запит. Зазначена інформація визначається атрибутом "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo"), формат якого повинен відповідати Вимогам до формату посиленого сертифіката відкритого ключа , затвердженим наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 "Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису", зареєстрованим у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (далі - Наказ).
Запит повинен містити такі обов'язкові реквізити Центру, наведені в таблиці 1.
Таблиця 1
__________
-1 Якщо місцезнаходження юридичної особи або фізичної особи, яка є суб'єктом підприємницької діяльності, є місто Київ або Севастополь, поле "stateOrProvinceName" не заповнюється
Формат інших обов’язкових полів запиту на формування сертифіката ключа Центру повинен відповідати Наказу .
Запит може містити додаткову інформацію відносно Центру, що подає такий запит. Зазначена інформація визначається атрибутом "Розширений запит" ("extensionRequest").
Атрибут "Розширений запит" використовується для визначення розширень у сертифікаті ключа Центру, що формується, та має такий вигляд:
extensionRequest ATTRIBUTE ::= ( WITH SYNTAX ExtensionRequest SINGLE VALUE TRUE ID pkcs-9-at-extensionRequest ) ExtensionRequest ::= Extensions
Формат поля Extensions повинен відповідати Вимогам до формату посиленого сертифіката відкритого ключа , затвердженим Наказом. Під час формування сертифіката ключа Центру розширення, подані у запиті, обробляються за правилами, наведеними в таблиці 2.
Додаткові розширення, що не наведені в таблиці 2 та можуть міститись у запиті, встановлюються у сертифікаті ключа Центру за умови, що вони були визначені як некритичні, а об’єктні ідентифікатори таких розширень зареєстровані у встановленому порядку.
Таблиця 2
Назва розширення англійською мовою | Назва розширення українською мовою (у термінології Наказу ) | Обов’язковість розширення у сертифікаті ключа Центру-1 | Обов’язковість розширення у запиті-2 | Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті-3 | Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті-4 | Примітки |
Стандартні розширення | ||||||
authorityKeyIdentifier | Ідентифікатор відкритого ключа Центру | + | +/- | - | + | Встановлюється значення ідентифікатора відкритого ключа ЦЗО |
subjectKeyIdentifier | Ідентифікатор відкритого ключа підписувача | + | +/- | + | + | У разі відсутності розширення у запиті встановлюється значення ідентифікатора відкритого ключа, який обчислюється ЦЗО згідно з вимогами, встановленими Наказом |
keyUsage | Призначення відкритого ключа, що міститься в сертифікаті | + | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві форми 4. У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві форми 4 |
extKeyUsage | Уточнене призначення відкритого ключа, що міститься в сертифікаті | +/- | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві форми 4. У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві форми 4 |
certificatePolicies | Політика сертифікації | + | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
subjectAltName | Додаткові дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
issuerAlternativeName | Додаткові дані Центру | +/- | +/- | - | - | |
basicConstraints | Основні обмеження | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу , встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що визначено Наказом, встановлюється значення, що відповідає ЗЦ, ЦСК або АЦСК згідно з Наказом |
subjectDirectoryAttributes | Персональні дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
crlDistributionPoints | Точки доступу до СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до повних СВС ЦЗО |
freshestCRL | Точки доступу до часткового СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до часткових СВС ЦЗО |
Нестандартні розширення | ||||||
qcStatements | Ознаки посиленого сертифіката | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу , встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
__________
-1 Обов’язковість розширення у сертифікаті ключа Центру:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-2 Обов’язковість розширення у запиті:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-3 Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру;
+/- - розширення може встановлюватися або не встановлюватися у сертифікаті ключа Центру.
-4 Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру.
Додаток 2
до наказу Міністерства юстиції України
28.09.2012 № 1434/5
ЗАЯВА
на реєстрацію центру сертифікації ключів, засвідчувального центру
( Див. текст )
Додаток 3
до наказу Міністерства юстиції України
28.09.2012 № 1434/5
ЗАЯВА
на проведення акредитації
( Див. текст )
Додаток 4
до наказу Міністерства юстиції України
28.09.2012 № 1434/5
ЗАЯВА
на формування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
( Див. текст )
Додаток 5
до наказу Міністерства юстиції України
28.09.2012 № 1434/5
ЗАЯВА
на скасування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
( Див. текст )
Додаток 6
до наказу Міністерства юстиції України
28.09.2012 № 1434/5
ЗАЯВА
на блокування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
( Див. текст )
Додаток 7
до наказу Міністерства юстиції України
28.09.2012 № 1434/5
ЗАЯВА
на поновлення посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
( Див. текст )