ДСТУ ETSI TS 102 158:2015 Электронные подписи и инфраструктура (ESI). Требования к политике для провайдеров услуг сертификации, которые выдают сертификаты атрибутов, используемых с усиленными сертификатами (E...

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Електронні підписи та інфраструктура (ESI)
ВИМОГИ ДО ПОЛІТИКИ
ДЛЯ ПРОВАЙДЕРІВ ПОСЛУГ СЕРТИФІКАЦІЇ, ЯКІ ВИДАЮТЬ СЕРТИФІКАТИ АТРИБУТІВ,
ЩО ВИКОРИСТОВУЮТЬСЯ З ПОСИЛЕНИМИ СЕРТИФІКАТАМИ
(ETSI TS 102 158:2003, IDТ)

ДСТУ ETSI TS 102 158:2015

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.org.ua)

ПЕРЕДМОВА

1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України (Міжнародний Центр) та Технічний комітет стандартизації України «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Мелащенко, канд. фіз.-мат. наук (науковий керівник); А. Гречко, канд. фіз.-мат. наук

2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає ETSI TS 102 158:2003 Electronic Signatures and Infrastructures (ESI); Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates (Електронні підписи та інфраструктури (ESI). Вимоги до політики для провайдерів послуг сертифікації, які видають сертифікати атрибутів, що використовуються з посиленими сертифікатами)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Вступ до ETSI TS 102 158:2003

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять і скорочення

3.1 Терміни та визначення понять

3.2 Скорочення

4 Загальні поняття

4.1 Сертифіковані атрибути

4.2 Орган атрибутизації

4.3 Служби сертифікації атрибутів

4.4 Політика сертифікатів атрибутів та положення практики сертифікації атрибутів

4.4.1 Мета

4.4.2 Рівень конкретизації

4.4.3 Підхід

4.4.4 Інші положення АА

4.5 Клієнт і суб’єкт

4.6 Семантика атрибутів

5 Вступ до політики сертифікатів атрибутів

5.1 Огляд

5.2 Ідентифікація

5.3 Спільнота користувачів і сфера застосування

5.4 Відповідність

6 Обов’язки і відповідальність

6.1 Зобов’язання органів атрибутизації

6.2 Зобов’язання клієнта

6.3 Зобов’язання суб’єкта

6.4 Інформація для залежних сторін

6.5 Відповідальність

7 Вимоги до практики АА

7.1 Положення практики сертифікації атрибутів

7.2 Життєвий цикл управління атрибутами

7.2.1 Початкова реєстрація суб’єктів і атрибутів

7.2.2 Поновлення атрибутів

7.2.3 Поширення умов

7.2.3.1 Умови для клієнтів і суб'єктів

7.2.4 Придбання сертифіката атрибутів

7.2.5 Поширення сертифікатів атрибутів

7.2.6 Генерація атрибутів сертифікатів

7.2.7 Призупинення та відкликання атрибутів і АС

7.3 Життєвий цикл управління ключами органу атрибутизації

7.3.1 Генерація ключів органу атрибутизації

7.3.2 Зберігання, резервне копіювання і відновлення ключів органу атрибутизації

7.3.3 Поширення відкритих ключів органу атрибутизації

7.3.4 Використання ключів органом атрибутизації

7.3.5 Кінець життєвого циклу ключа АА

7.3.6 Управління життєвим циклом криптографічних засобів, які використовуються для підпису ACS, ACRL або відповідей OCSP

7.4 Управління та експлуатація АА

7.4.1 Управління безпекою

7.4.2 Класифікація активів і управління

7.4.3 Безпека персоналу

7.4.4 Фізична безпека та безпека середовища

7.4.5 Управління експлуатацією

7.4.6 Управління доступом до системи

7.4.7 Розгортання та технічне обслуговування надійних систем

7.4.8 Управління безперервністю бізнесу та обробка інцидентів

7.4.9 Припинення діяльності АА

7.4.10 Відповідність вимогам законодавства

7.4.11 Запис інформації про сертифікати атрибутів

7.5 Організаційні

8 Базові принципи для визначення інших політик сертифікатів атрибутів

8.1 Управління політикою сертифікатів атрибутів

8.2 Винятки для приватних АС

8.3 Додаткові вимоги

8.4 Відповідність

Додаток А (обов’язковий) Вимоги до формату сертифікатів атрибутів

Додаток В (довідковий) Твердження відповідальності

Додаток С (довідковий) Зразок заяви про розкриття інформації АС

С.1 Вступ

С.2 Структура PDS

Додаток D (довідковий) Бібліографія

Додаток НА Перелік національних стандартів України, ідентичних міжнародним нормативним документам, посилання на які є в цьому стандарті

Історія

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ETSI TS 102 158:2015 (версія еп) «Електронні підписи та інфраструктури (ESI). Вимоги до політики для провайдерів послуг сертифікації, які видають сертифікати атрибутів, що використовуються з посиленими сертифікатами», прийнятий методом перекладу, — ідентичний щодо ETSI TS 102 158:2003 «Electronic Signatures and Infrastructures (ESI); Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates».

ETSI TS 102 158:2003 підготовлено технічним комітетом ETSI Електронні підписи та інфраструктури (ESI). Задача ESI — стандартизація електронних підписів і інфраструктур. Для досягнення своїх цілей ESI створює стандарти для потреби безпечної електронної комерції і безпечного електронного стандартообігу.

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей документ» замінено на «цей стандарт»;

— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять і скорочення» та «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— з «Передмови» та «Вступу» до ETSI TS 102 158:2003 до цього «Національного вступу» долучено те, що стосується безпосередньо цього стандарту;

— вилучено «Передмову» до ETSI TS 102 158:2003;

— виправлено помилку в переліку 8.1;

— до розділу «Нормативні посилання» долучено «Національне пояснення», виділене рамкою.

У цьому стандарті є посилання на CWA 14167-1; CWA 14167-2; CWA 14167-3; ISO/IEC 15945;

ISO/IEC TR 13 335-1; ISO/IEC TR 13 335-2; ISO/IEC TR 13 335-3; ISO/IEC TR 13 335-4; ETSI TR 102 044, які прийнято в Україні як національні. Перелік їх наведено в національному додатку НА. Решту стандартів, на які є посилання в цьому стандарті, в Україні не прийнято, і чинних замість них документів немає.

Додаток А є обов’язковим.

Додатки В, С, D носять довідковий характер.

Копії міжнародних нормативних документів, на які є посилання у цьому стандарті, можна отримати в Національному фонді нормативних документів.

ВСТУП до ETSI TS 102 158:2003

Електронна комерція стає способом ведення бізнесу і спілкування через публічні та приватні мережі.

Директива 1999/93/ EC [1] Європейського парламенту і Ради з суспільного середовища електронних підписів [1] не поширюється на використання сертифікатів атрибутів, оскільки тільки торкається можливості включати атрибути у сертифікатах відкритих ключів (РКС) (див. додаток І, пункт d): «залежно від цілі застосування сертифіката є можливість додати конкретний атрибут підписувачу».

Важливою вимогою електронної комерції є здатність ідентифікувати не тільки підписувача електронної інформації, аналогічно рукописному підпису, а й його атрибути, наприклад, роль(-і) в організації. Це можливо за допомогою послуг сертифікації:

— використовуючи атрибути, включені в сертифікати відкритих ключів (РКС);

— використовуючи атрибути, включені в сертифікати атрибутів (АС).

Останній варіант розглянуто у цьому стандарті.

Провайдера послуг сертифікації, який видає сертифікати атрибутів, називають органом атри- бутизації (АА). З метою довіри користувачів електронних підписів автентичності атрибутів, що містяться в електронних підписах, вони повинні довіряти АА, який використовує процедури і засоби захисту, що мінімізують операційні та фінансові ризики і загрози.

Цей стандарт визначає основні вимоги політики щодо практик використання та управління органами атрибутизації, які видають сертифікати атрибутів, що можна використовувати з кваліфікованим електронним підписом. Таким чином вони публічно доступні та пов’язані з посиленим сертифікатом, який підтримує політику сертифікації «публічний QCP + SSCD».

Сертифікати атрибутів, які можна використовувати в такому контексті, також можна використовувати для інших цілей, наприклад, для авторизації. У цьому відношенні їх можна застосувати в інфраструктурі управління привілеями (РМІ).

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ЕЛЕКТРОННІ ПІДПИСИ ТА ІНФРАСТРУКТУРА (ESI)
ВИМОГИ ДО ПОЛІТИКИ ДЛЯ ПРОВАЙДЕРІВ ПОСЛУГ СЕРТИФІКАЦІЇ,
ЯКІ ВИДАЮТЬ СЕРТИФІКАТИ АТРИБУТІВ, ЩО ВИКОРИСТОВУЮТЬСЯ З ПОСИЛЕНИМИ СЕРТИФІКАТАМИ

ЭЛЕКТРОННЫЕ ПОДПИСИ И ИНФРАСТРУКТУРА (ESI)
ТРЕБОВАНИЯ К ПОЛИТИКЕ ДЛЯ ПРОВАЙДЕРОВ УСЛУГ СЕРТИФИКАЦИИ,
КОТОРЫЕ ВЫДАЮТ СЕРТИФИКАТЫ АТРИБУТОВ, ИСПОЛЬЗУЕМЫХ С УСИЛЕННЫМИ СЕРТИФИКАТАМИ

ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI)
POLICY REQUIREMENTS FOR CERTIFICATION SERVICE PROVIDERS ISSUING ATTRIBUTE CERTIFICATES
USABLE WITH QUALIFIED CERTIFICATES

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт установлює вимоги, що стосуються політики органів атрибутизації (АА), які є провайдером послуг сертифікації, визначених у Директиві 1999/93/ЄС [1]. Цей стандарт визначає основні вимоги політики щодо практик використання та управління органами атрибутизації, які видають сертифікати атрибутів, яким довіряють абоненти, суб’єкти і залежні сторони під час використання електронних підписів.

Вимоги політики визначено в термінах:

a) специфікації двох політик сертифікації атрибутів для публічних атрибутів сертифікатів;

b) базові принципи визначення інших політик сертифікації атрибутів, що посилюють визначені в цьому стандарті політики чи з метою видачі конфіденційних сертифікатів атрибутів. Документи, на які є посилання та які публічно недоступні в очікуваному місці розташування, можна знайти за посиланням http://docbox.etsi.ora/Reference.

Примітка. Пперпосилання цього розділу були дійсні на момент публікації, але ETSI не може гарантувати їхньої довгострокової валідності.

Твердження політики, що належать до АА, охоплюють вимоги щодо надання послуг для реєстрації атрибуту, придбання АС, генерації АС, розповсюдження, управління відкликанням атрибутів та статусу відкликання АС. Інші функції провайдерів послуг сертифікації не визначено цим стандартом.

Вимоги політики цього стандарту спрямовані на публічні сертифікати атрибутів і їх використовують на підтримку кваліфікованих електронних підписів (тобто електронних підписів, які юридично еквівалентні рукописним підписам відповідно до статті 5.1 Директиви 1999/93/ЄС [1]). У цих вимогах політики розглянуто конкретні вимоги до CSP, які видають сертифікати атрибутів.

Сертифікати атрибутів, видані відповідно до цих вимог політики, можна використовувати для асоціації атрибутів із фізичною особою, яка діє від свого імені або від імені іншої фізичної особи, або юридичної особи, яку він (вона) представляє.

Цей стандарт стосується тільки вимоги до АА, що видають АС фізичним особам. АС, видані для інших цілей, не визначено в цьому стандарті, оскільки ці вимоги виходять за рамки Директиви 1999/93/ЄС [1].

Цей стандарт можна використовувати компетентним незалежним органам як основу для підтвердження відповідності АА вимогам до видачі сертифікатів атрибутів.

Хоча цей стандарт призначено для сертифікатів атрибутів, що використовуються для електронних підписів, вони також можуть бути використані для цілей контролю доступу.

Рекомендовано, щоб абоненти і залежні сторони ознайомилися з положеннями практики сертифікації атрибутів АА з метою отримання докладної додаткової інформації щодо того, як визначена політика сертифікації атрибутів реалізується в конкретному АА.

Цей стандарт не визначає, як оцінювати визначені вимоги незалежною стороною, у тому числі вимоги до інформації, яка буде доступна для таких незалежних експертів або вимог до оцінювачів.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи містять положення, які через посилання в цьому тексті становлять положення цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань треба користуватися останнім,виданням нормативних документів (разом зі змінами).

Стандарти, на які є посилання та які публічно недоступні за посиланням, можна знайти за адресою http://docbox.etsi.org/Reference.

1 Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures

2 ITU-T Recommendation X.509 (20CIO)|ISO/IEC 9594-8 (2001): «Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks»

3 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data

4 IETF RFC 3280 April 2002: Internet X.509 Public Key Infrastructure — Certificate and CRL Profile, R.Housley, W. Ford, W. Polk, D. Solo

5 ISO/IEC 15408 (parts 1 to 3): Information technology — Security techniques — Evaluation criteria for IT security

6 CEN Workshop Agreement 14167-2: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 2 Cryptographic Module for CSP Signing Operations — Protection Profile (MCSO-PP)

7 Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts

8 CEN Workshop Agreement 14167-1: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 1

9 CEN Workshop Agreement 14167-3: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 3.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

1 Директива 1999/93/ЄС Європейського парламенту та Ради від 13 грудня 1999 року про суспільне середовище для електронних підписів

2 Рекомендація МСЕ-Т Х.509 (2000) | ISO/IEC 9594-8 (2001 p.): Інформаційні технології. Взаємозв’язок відкритих систем. Директорія: фреймворк сертифікатів відкритих ключів і атрибутів

3 Директива 95/46/ЄС Європейського парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб щодо обробки персональних даних та про вільний рух таких даних

4 IETF RFC 3280 Квітень 2002: X.509 Інтернет інфраструктура відкритих ключів. Профілі сертифікатів і CRL, R. Housley, W. Ford, W. Polk, D. Solo

5 ISO/IEC 15408 (частини 1—3): Інформаційні технології. Методи безпеки. Критерії оцінки безпеки IT

6 CEN Workshop Agreement 14167-2: Вимоги до безпеки надійних систем управління сертифікатами для електронних підписів. Частина 2. Криптографічний модуль для операцій підпису CSP. Профіль захисту (MCSO-ПП)

7 Директива Ради 93/13/ЄЕС від 5 квітня 1993 року про несправедливі умови в споживчих договорах

8 CEN Workshop Agreement 14167-1: Вимоги до безпеки надійних систем управління сертифікатами для електронних підписів. Частина 1

9 CEN Workshop Agreement 14167-3: Вимоги до безпеки надійних систем управління сертифікатами для електронних підписів. Частина 3.