ДСТУ ETSI TS 101 456:2015 Электронные подписи и инфраструктуры (ESI). Требования политики для органов сертификации, выдающих усиленные сертификаты (ETSI TS 101 456:2007, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Електронні підписи та інфраструктура (ESI)

ВИМОГИ ДО ПОЛІТИКИ ОРГАНІВ СЕРТИФІКАЦІЇ,
ЯКІ ВИДАЮТЬ КВАЛІФІКОВАНІ СЕРТИФІКАТИ
(ETSI ТS 101 456:2007, IDТ)

ДСТУ ETSI ТS 101 456:2015

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.org.ua)

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Мелащенко, канд. фіз.-мат. наук (науковий керівник), А. Гречко, канд. фіз.-мат. наук

2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 27 листопада 2015 р. № 164 з 2017-01-01

Національний стандарт відповідає ETSI TS 101 456:2007 Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates (Електронні підписи та інфраструктури (ESI). Вимоги до політики органів сертифікації, які видають посилені сертифікати)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (en)

3 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять, абревіатури

3.1 Терміни та визначення понять

3.2 Абревіатури

4 Загальні положення

4.1 Орган сертифікації

4.2 Послуги сертифікації

4.3 Політика сертифікації та приписи практики сертифікації

4.3.1 Мета

4.3.2 Рівень специфіки

4.3.3 Підхід

4.3.4 Інші положення СА

4.4 Підписувач і суб’єкт

5 Вступ до політики посиленого сертифіката

5.1 Короткий огляд

5.2 Ідентифікація

5.3 Співтовариство користувачів і застосовність

5.3.1 QCP public + SSCD

5.3.2 QCP public

5.4 Відповідність

5.4.1 Загальні положення

5.4.2 QCP public + SSCD

5.4.3 QCP public

6 Зобов'язання та відповідальність

6.1 Зобов’язання органу сертифікації

6.2 Зобов’язання підписувача

6.3 Інформація для належних сторін

6.4 Відповідальність

7 Вимоги до практики СА

7.1 Приписи практики сертифікації (CPS)

7.2 Інфраструктура відкритих ключів. Керування життєвим циклом ключів

7.2.1 Генерація ключів органом сертифікації

7.2.2 Зберігання, резервне копіювання та відновлення ключів органом сертифікації

7.2.3 Поширення відкритих ключів органом сертифікації

7.2.4 Тимчасове депонування ключів

7.2.5 Використання ключів органом сертифікації

7.2.6 Завершення життєвого циклу ключів СА

7.2.7 Керування життєвим циклом криптографічних апаратних засобів, що використовують для підписування сертифікатів

7.2.8 Послуги керування ключами суб’єктів, що надаються СА

7.2.9 Підготовка засобів безпечного створення підписів

7.3 Інфраструктура відкритих ключів. Керування життєвим циклом сертифікатів

7.3.1 Реєстрація суб’єктів

7.3.2 Відновлення сертифікатів, повторна генерація ключів і відновлення

7.3.3 Генерація сертифікатів

7.3.4 Поширення термінів та умов

7.3.5 Поширення сертифікатів

7.3.6 Скасування та блокування сертифікатів

7.4 Управління та функціонування СА

7.4.1 Управління безпекою

7.4.2 Класифікація та управління ресурсами

7.4.3 Безпека персоналу

7.4.4 Фізична та екологічна безпека

7.4.5 Керування операціями

7.4.6 Контроль доступу до системи

7.4.7 Розгортання та обслуговування надійних систем

7.4.8 Керування безперервністю бізнес-процесів та оброблення інцидентів

7.4.9 Ліквідація СА

7.4.10 Відповідність правовим нормам

7.4.11 Записування інформації, що стосується посилених сертифікатів

7.5 Організаційні рекомендації

8 Середовище для визначення іншої політики посиленого сертифіката

8.1 Керування політикою посиленого сертифіката

8.2 Винятки для не QCPs public

8.3 Додаткові вимоги

8.4 Відповідність

Додаток А Потенційна відповідальність за використання електронних підписів

I) Відповідальність СА

II) Відповідальність підписувачів

Додаток В Модель PKI твердження про виявлення

В.1 Вступ

В.2 Структура PDS

Додаток С Директива з електронних підписів і сумісний розгляд політики посиленого сертифіката

Додаток D IETF RFC 3647/RFC 2527 і сумісний розгляд політики посиленого сертифіката

Додаток Е Перегляди, зроблені у версії 1.2.1

Е.1 Додаткові вимоги

Е.2 Вимоги відновлення

Е.3 Роз’яснення

Е.4 Редакторські зміни

Е.5 Перегляди, зроблені у версії 1.3.1

Додаток F Бібліографія

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є повний письмовий переклад з англійської мови ETSI TS 101 456 v1.4.1 (2007-05) Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates (Електронні підписи та інфраструктури (ESI). Вимоги політики для органів сертифікації, які видають посилені сертифікати).

Технічний комітет, відповідальний за цей стандарт. — ТК 20 «Інформаційні технології».

Стандарт містить вимоги, які відповідають чинному законодавству України.

У стандарті наведено конкретні вимоги політики сертифіката для провайдерів послуг сертифікації, які видають посилені сертифікати. Викладені в стандарті вимоги політики сертифікації задовольняють вимоги Закону України «Про електронний цифровий підпис» та Директиви 1999/93/ЄС і, таким чином, вимоги правочинності однієї зі складових кваліфікованного підпису.

У ДСТУ CWA 14365-1:2008 уведено термін «кваліфікований підпис», визначений у Директиві 1999/93/ЄС як розширений електронний підпис (advanced electronic signature), що грунтується на посилених сертифікатах (qualified certificate), створених безпечними (надійними) засобами накладання електронних підписів (secure signature creation device). Згідно з Законом України «Про електронний цифровий підпис» від 22 травня 2003 року № 852 вважають юридично правочинним (валідним) термін «кваліфікований підпис».

До стандарту внесено такі редакційні зміни:

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Нормативні посилання», «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України.

У стандарті є посилання на такі документи: ETSI TS 101 862 впроваджено в Україні як ДСТУ ETSI TS 101 862:2009 Профіль посилених сертифікатів (ETSI TS 101 862:2006, IDT.

CEN Workshop Agreement 14167-1 впроваджено в Україні як ДСТУ CWA 14167-1:2014 Вимоги безпеки для надійних систем управління сертифікатами для електронних підписів. Частина 1. Вимоги безпеки системи (CWA4167-1:2003, IDT).

CEN Workshop Agreement 14167-2 впроваджено в Україні як ДСТУ CWA 14167-2:2014 Криптографічний модуль для операцій підписування CSP з резервуванням. Частина 2. Профіль захисту CMCSOB (CWA 14167-2:2004, IDT).

CEN Workshop Agreement14167-3 впроваджено в Україні як ДСТУ CWA 14167-3:2008 Криптографічний модуль для послуг генерування ключів провайдером послуг сертифікації. Профіль захисту CMCKG-PP (CWA 14167-3:2004, IDT).

CEN Workshop Agreement 14167-4 впроваджено в Україні як ДСТУ CWA 14167-4:2014 Криптографічний модуль для операцій підписування CSP. Частина 4. Профіль захисту CMCSO CEN Workshop Agreement (CWA 14167-4:2004, IDT).

ITU-T Recommandation X.843 | ISO/IEC 15945 впроваджено в Україні як ДСТУ ISO/IEC 15945-2012 Інформаційні технології. Методи захисту. Специфікація послуг ТТР для підтримки застосування цифрових підписів (ISO/IEC 15945:2002, IDT).

ITU-T Recommandation X.842 | ISO/IEC 14516 впроваджено в Україні як

ДСТУ ISO/IEC TR 14516:2008 Інформаційні технології. Методи захисту. Настанова для керування послугами третьої довіреної сторони та користування ними (ISO/IEC TR 14516:2002, IDT).

ISO/IEC TR 13335 впроваджено в Україні як ДСТУ ISO/IEC Tr 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції й моделі безпеки IT (ISO/IEC TR 13335-1:1996, IDT), ДСТУ ISO/IEC TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT (ISO/IEC TR 13335-2:1997, IDT), ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 3. Методи керування захистом IT (ISO/IEC TR 13335-3:1998, IDT), ДСТУ ISO/IEC TR 13335-4:2005 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибирання засобів захисту (ISO/IEC TR 13335-4:2000, IDT).

ETSI TS 102 176-1 впроваджено в Україні як ДСТУ ETSI TS 102 176-1:2009 Електронні підписи та інфаструктури (ESI). Алгоритми та параметри безпечних електроних підписів. Частина 1. Геш-функції й асиметричні алгоритми (ETSI TS 102 176-1:2007, IDT).

Копії нормативних документів, на які є посилання в цьому стандарті, можна замовити в Національному фонді нормативних документів.

ВСТУП ДО ETSI TS 101 V1.4.1 (2007-05)

Електронна торгівля з'явилася як спосіб бізнесу та комунікації через суспільні й приватні мережі. Важлива вимога електронної торгівлі — здатність ідентифікувати автора електронної інформації в такий самий спосіб, як підписані документи, використовуючи рукописний підпис. Цього зазвичай досягають використанням електронних підписів, які підтримують провайдери послуг сертифікації, що видають сертифікати та називають органами сертифікації.

Упевненість користувачів електронних підписів у їх автентичності ґрунтується на впевненості, що СА має належним чином установлені процедури й заходи захисту для мінімізації функціональних і фінансових загроз та ризиків, пов'язаних із криптосистемами відкритих ключів.

Директива 1999/93/ЕС Європарламенту та Ради про комунікаційне середовище електронних підписів [1] (далі — Директива) ідентифікує спеціальну форму електронного підпису, яка ґрунтується на «посиленому сертифікаті». У додатку I цієї Директиви визначено вимоги до посилених сертифікатів. У додатку II Директиви визначено вимоги до провайдерів послуг сертифікації, що видають посилені сертифікати (тобто органу сертифікації, що видає посилені сертифікати). У цьому стандарті визначено основні вимоги політики для функціонування та методів керування органу сертифікації, що видає посилені сертифікати відповідно до Директиви. Використання засобу безпечного створення підписів, як вимагає додаток III Директиви, є додатковим елементом вимог політики, визначених у цьому стандарті.

Цей стандарт стосується також органів сертифікації, які включають атрибути у посилені сертифікати. Вимоги політики для органів атрибутизації, тобто для органів, що видають сертифікати атрибутів, визначено в TS 102 158 [14].

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ЕЛЕКТРОННІ ПІДПИСИ ТА ІНФРАСТРУКТУРИ (ESI)
ВИМОГИ ДО ПОЛІТИКИ ОРГАНІВ СЕРТИФІКАЦІЇ,
ЩО ВИДАЮТЬ КВАЛІФІКОВАНІ СЕРТИФІКАТИ

ЭЛЕКТРОННЫЕ ПОДПИСИ И ИНФРАСТРУКТУРЫ (ESI)
ТРЕБОВАНИЯ ПОЛИТИКИ ДЛЯ ОРГАНОВ СЕРТИФИКАЦИИ,
ВЫДАЮЩИХ УСИЛЕННЫЕ СЕРТИФИКАТЫ

ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI)
POLICY REQUIREMENTS FOR CERTIFICATION AUTHORITIES
ISSUING QUALIFIED CERTIFICATES

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт установлює вимоги політики органів сертифікації (СА), які видають посилені сертифікати (іменованих провайдерами послуг сертифікації, відповідно до Директиви [1]). Він установлює вимоги політики для функціонування та методи керування органів сертифікації, що видають посилені сертифікати, так, що передплатники, суб’єкти, сертифіковані СА та зацікавлені сторони можуть бути впевнені в застосовності сертифікатів на підтримку електронних підписів.

Вимоги політики визначено в термінах:

a) специфікації двох близько пов’язаних політик посиленого сертифіката для посилених сертифікатів, які видано публічно та потребують використання безпечних засобів створення підписів;

b) структур для визначення іншої політики посиленого сертифіката, що зміцнює згадану вище політику, або для посилених сертифікатів, виданих для закритих груп користувачів.

Вимоги політики, що стосуються СА, містять вимоги з надання послуг із реєстрації, генерації та поширення сертифікатів, керування скасуванням і статусом, за потреби, з наданням засобу створення підписів. Такі функції провайдера послуг сертифікації, як штемпелювання часу, сертифікати атрибутів і підтримка конфіденційності, не розглядають у цьому стандарті. Крім того, цей стандарт не поширюється на вимоги для сертифікатів органів сертифікації, враховуючи ієрархії сертифікатів і кроссертифікації. Вимоги політики обмежено вимогами до сертифікатів ключів, що використовують для електронних підписів.

Ці вимоги політики безперечно спрямовано на посилені сертифікати, публічно видані та використані на підтримку кваліфікованих електронних підписів (тобто електронних підписів, юридично еквівалентних рукописним підписам відповідно до статті 5.1 європейської Директиви з комунікаційного середовища електронних підписів [1]). Вимоги чітко спрямовано на вимоги до посилених сертифікатів, виданих СА відповідно до додатків I і II Директиви [1]. Вимоги для використання засобів безпечного створення підписів, як визначено в додатку III, що є також вимогою для електронних підписів відповідно до статті 5.1, є додатковим елементом вимог політики, визначених у цьому стандарті.

Сертифікати, видані згідно із цими вимогами політики, можна використовувати для автентифікації особи, що діє від свого імені або від імені фізичної чи юридичної особи або особи, яку він/вона представляє.

Ці вимоги політики ґрунтуються на використанні криптографії відкритих ключів на підтримку електронних підписів.

Цей стандарт можуть використовувати компетентні незалежні органи як підставу для підтвердження, що СА відповідає вимогам для видання посилених сертифікатів.

Рекомендовано, щоб підписувачі та зацікавлені сторони консультувалися щодо практичних положень сертифікатів, виданих СА, для одержання точних відомостей про те, як зазначену політику сертифікації реалізує конкретний СА.

Цей стандарт не визначає, як ідентифіковані вимоги може оцінити незалежна сторона; зокрема й вимоги до інформації, що буде доступна таким незалежним експертам, або вимоги до цих експертів.

Примітка. Див. угоду робочої групи CEN 14172 Настанова з оцінювання відповідності EESSI.

2 НОРМАТИВНІ ПОСИЛАННЯ

Нижченаведені документи містять положення, які через посилання у цьому тексті становлять положення цього стандарту:

— посилання є датовані (ідентифіковані за датою публікації та/або номером видання чи версії) або недатовані;

— на датовані посилання не поширюються подальші переглянуті версії;

— для недатованого посилання застосовують останню версію.

Документи, на які є посилання та які публічно недоступні в очікуваному місці розташування, можна знайти за адресою http://docbox.etsi.org/Reference.

Примітка. Всі гіперпосилання, внесені до цього розділу, доступні на час опублікування, проте ETSI не може гарантувати їх подальшу доступність.

1 Directive 1999/93/ЕС of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures

Примітка. Наведену вище Директиву згадано як «Директива» у цьому стандарті.

2 IETF RFC 3647 (2003): Internet Х.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework

Примітка. Застарілий IETF RFC 2527.

3 ITU-T Recommendation X.509 (2000)/ISO/IEC 9594-8 (2001) Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks

4 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data

5 FIPS PUB 140-2 (2001) Security Requirements For Cryptographic Modules

6 ETSI TS 101 862 Qualified certificate profile

7 ISO/IEC 15408 (2005) (parts 1 to 3): Information technology — Security techniques — Evaluation criteria for IT security

8 CEN Workshop Agreement 14167-1: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 1: System Security Requirements

9 CEN Workshop Agreement 14167-2: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 2: Cryptographic Module for CSP signing operations with backup — Protection profile (CMCSOB-PP)

10 CEN Workshop Agreement 14167-3: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 3: Cryptographic module for CSP key generation services — Protection profile (CMCKG-PP)

11 CEN Workshop Agreement 14167-4: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 4: Cryptographic module for CSP signing operations — Protection profile CMCSO PP

12 Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts.

13 ISO/IEC 17799 (2005): Information technology — Security techniques — Code of practice for information security management

14 ETSI TS 102 158: Electronic Signatures and Infrastructures (ESI); Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

1 Директива 1999/93/ЕС Європарламенту й Ради від 13 грудня 1999 р. про комунікаційне середовище електронних підписів

2 IETF RFC 3647 (2003) Середовище політики та практики сертифікації Інтернет інфраструктури відкритих ключів Х.509

3 ITU-T Recommendation Х.509 (2000) /ISO/IEC 9594-8 (2001) Інформаційні технології. Взаємозв’язок відкритих систем. Довідник. Середовище відкритих ключів й атрибутів сертифікатів

4 Директива 95/46/ЕС Європарламенту та Ради від 24 жовтня 1995 р. про захист людей щодо обробки анкетних даних і про вільний рух таких даних

5 FIPS PUB 140-2 (2001) Вимоги безпеки для криптографічних модулів

6 ETSI TS 101 862 Профіль посилених сертифікатів

7 ISO/IEC 15408:2005 (частини 1-3) Інформаційні технології. Методи захисту. Критерії оцінювання ІТ-безпеки

8 CEN CWA 14167-1 Вимоги безпеки для надійних систем управління сертифікатами електронних підписів. Частина 1. Вимоги системної безпеки

9 CEN CWA 14167-2 Вимоги безпеки для надійних систем управління сертифікатами електронних підписів. Частина 2. Криптографічний модуль провайдерів послуг сертифікації для операцій підписування з резервним копіюванням. Профіль захисту CMCSOB-PP

10 CEN CWA 14167-3 Вимоги безпеки для надійних систем управління сертифікатами для електронних підписів. Частина 3. Криптографічний модуль для служб генерації ключів CSP. Профіль захисту (CMCKG-CTP)

11 CEN CWA 14167-4 Вимоги безпеки для надійних систем керування сертифікатами для електронних підписів. Частина 4. Криптографічний модуль для CSP операцій підписання. Профіль захисту CMCSO РР

12 Директива 93/13/EEC Ради від 5 квітня 1993 р. щодо несправедливих термінів у споживчих контрактах

13 ISO/IEC 17799:2005 Інформаційні технології. Методи захисту. Зведення правил для керування безпекою інформації

14 ETSI TS 102 158 Електронні підписи та інфраструктури (ESI). Вимоги політики для провайдерів послуг сертифікації, що видають сертифікати атрибутів, придатні до використання з посиленими сертифікатами.