ДСТУ CWA 14365-2:2009 Руководство по использованию электронных подписей. Часть 2. Профиль защиты для программных устройств создания подписи (CWA 14365-2:2004, ІDT)

Данный документ доступнен в тарифе «ВСЕ ВКЛЮЧЕНО»

Войти в Личный кабинет

Войти Регистрация

У Вас есть вопросы по документу? Мы рады на них ответить!

Обнаружили ошибку в документе или на сайте? Пожалуйста, напишите нам об этом!

Сервис содержит 24081 бесплатных документов. Регистрируйтесь бесплатно >>>

Информация о документе
Ссылки на документы

Наименование документа:

ДСТУ CWA 14365-2:2009 Руководство по использованию электронных подписей. Часть 2. Профиль защиты для программных устройств создания подписи (CWA 14365-2:2004, ІDT)

Статус:

Действующий

Язык документа

Украинский

Дата начала действия:

01.07.2011

Дата принятия:

14.12.2009

Утверждающий документ:

Приказ от 14.12.2009 № 448 Об утверждении национальных стандартов и отмене нормативных документов

Вид документа:

ДСТУ (Государственный Стандарт Украины)

Шифр документа:

ДСТУ CWA 14365-2:2009

Разработчик:

Технический комитет по стандартизации «Информационные технологии» (ТК 20)

Не является официальным изданием. Официальное издание распространяет национальный орган по стандартизации (ГП «УкрНДНЦ»)

В данном документе есть ссылки на другие нормативные документы:

Закон Украины от 22.05.2003 № 852-IV Об электронной цифровой подписи

Информация о документе

Наименование документа:

Статус:

Действующий

Язык документа

Украинский

Дата начала действия:

01.07.2011

Дата принятия:

14.12.2009

Утверждающий документ:

Приказ от 14.12.2009 № 448 Об утверждении национальных стандартов и отмене нормативных документов

Вид документа:

ДСТУ (Государственный Стандарт Украины)

Шифр документа:

ДСТУ CWA 14365-2:2009

Разработчик:

Технический комитет по стандартизации «Информационные технологии» (ТК 20)

Ссылки на документы

В данном документе есть ссылки на другие нормативные документы:

Закон Украины от 22.05.2003 № 852-IV Об электронной цифровой подписи

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

НАСТАНОВА ЩОДО ВИКОРИСТАННЯ
ЕЛЕКТРОННИХ ПІДПИСІВ
Частина 2. Профіль захисту
для програмних засобів створення підпису
(CWA 14365-2:2004, IDT)

ДСТУ CWA 14365-2:2009

Київ

(ДП «УкрНДНЦ»)
2016

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Гречко, канд. фіз.-мат. наук; О. Перевозчикова, д-р фіз.-мат. наук (науковий керівник)

2 НАДАНО ЧИННОСТІ наказ Держспоживстандарту України від 14 грудня 2009 р. № 448 з 2011-07-01

3 Стандарт відповідає міжнародному стандарту CWA 14365-2:2004 Guide on the Use of Electronic Signatures — Part 2: Protection Profile for Software Signature Creation Devices (Настанова з використання електронних підпиcів. Частина 2. Профіль захисту для програмних засобів створення підпису)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (en)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Передмова до CWA 14365-2:2004

1 Сфера застосування

2 Посилання

2.1 Нормативні посилання

2.2 Довідкові посилання

3 Визначення та скорочення

3.1 Визначення

3.2 Абревіатури

4 Порівняння SSCD РР та SCDev РР

4.1 Загрози, припущення, політики, цілі

4.2 Функціональні вимоги безпеки

4.3 Вимоги гарантій безпеки, EAL

Додаток 1 Профіль захисту для засобів створення підписів

Передмова

Хронологія перегляду

Умовні позначки й термінологічні угоди

Термінологія

Організація документа

1 Вступ

1.1 Ідентифікація

1.2 Короткий огляд профілю захисту

2 Опис ТОЕ

3 Середовище безпеки ТОЕ

3.1 Припущення

3.2 Загрози безпеки

3.3 Організаційна політика безпеки

4 Цілі безпеки

4.1 Цілі безпеки для ТОЕ

4.2 Цілі безпеки для середовища

5 Вимоги ІТ-безпеки

5.1 Функціональні вимоги безпеки ТОЕ

5.2 Вимоги гарантії безпеки ТОЕ

5.3 Вимоги безпеки для ІТ-середовища

5.4 Вимоги безпеки для не IТ-середовища

6 Пояснення

6.1 Вступ

6.2 Пояснення цілей безпеки

6.3 Пояснення вимог безпеки

6.4 Пояснення залежності

6.5 Обґрунтування функціональних вимог безпеки з ціллю

6.6 Пояснення для розширень

6.7 Пояснення гарантованих вимог безпеки

Посилання

Додаток А Акроніми

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт згармонізовано з CWA 14365-2:2004 Guide on the Use of Electronic Signatures — Part 2: Protection Profile for Software Signature Creation Devices (Настанова з використання електронних підписів. Частина 2. Профіль захисту для програмних засобів створення підпису). Ступінь відповідності CWA 14365-1:2004 — ідентичний стандарт.

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

Сфера застосування цього стандарту охоплює електронні цифрові підписи, що не виконують всі визначені у статті 5.1 Директиви Європарламенту 1999/93/ЕС вимоги до кваліфікованих електронних підписів. Тому в частині 1 стандарту проаналізовано розбіжності між криптографічним механізмом цифрових підписів, кваліфікованих електронних підписів (відповідно до статті 5.1 Директиви) і електронних підписів (відповідно до статті 5.2 Директиви) у середовищах електронної комерції або в інших сферах, які потребують засобів автентифікації. Мета цієї частини 2 стандарту полягає у визначенні, вимог безпеки до засобів створення підпису, які реалізовані в програмному забезпеченні, і тому задовольняють ширший спектр ринкових потреб, ніж «безпечний засіб створення підпису», потрібний для кваліфікованих електронних підписів. Ця частина стандарту призначена для використання технічними експертами й проектувальниками систем і продуктів для електронних підписів.

У CWA 14170:2004 введено термін «кваліфікований підпис», визначений в Директиві як розширений електронний підпис (advanced electronic signature), заснований на посилених сертифікатах (qualified certificate), створених безпечними (надійними) засобами накладання електронних підписів (secure signature creation device). Згідно з Законом України «Про електронний цифровий підпис» від 22 травня 2003 року N 852-IV вважають юридично правомочним (валідним) термін «кваліфікований підпис».

До стандарту внесено такі редакційні зміни:

— слова «CWA 14365» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмова», «Національний вступ» — оформлено згідно з вимогами ДСТУ 1.7;

— до розділу 2 та кінцевого розділу «Посилання», що містять бібліографію і нормативні посилання, долучено український переклад назв стандартів. Копії міжнародних стандартів з цього розділу можна отримати в Національному фонді нормативних документів.

Цей стандарт має обов’язковий додаток 1 та довідковий додаток А.

ПЕРЕДМОВА до CWA 14365-2:2004

Успішне впровадження Директиви 1999/93/ЕС Європарламенту від 13 грудня 1999 р. у комунікаційному середовищі для електронних цифрових підписів (ЕЦП) вимагає стандартів для послуг, процесів, систем і продукції, які стосуються ЕЦП, як і настанов для оцінювання відповідності таких послуг, процесів, систем і продукції.

У 1999 р. Європейська ІСТ Рада стандартів, за підтримки Єврокомісії, ініціативно звела разом промисловість і громадські органи, експертів та інших гравців ринку, щоб запровадити Європейську ініціативу стандартизації електронних цифрових підписів EESSI (European Electronic Signature Standardization Initiative).

У рамках цієї структури CEN/ISSS (Європейський комітет нормалізації/ Система стандартизації інформаційного суспільства) та ETSI/ESI (Інститут європейських стандартів телекомунікації/ Інститут електронних підписів та інфраструктури) довірили виконання робочої програми для розвитку загальноприйнятих стандартів на підтримку виконання Директиви 1999/93/ЕС і поширення Європейської інфраструктури ЕЦП.

Робоча група CEN/ISSS з електронних підписів (WS/E-SIGN) напрацювала набір документів, тобто Угоди робочої групи CEN (CWA), які зробили свій внесок у напрямку цих загальновизнаних стандартів. Цей документ одна з таких CWA.

Мета цієї серії CWA полягає в забезпеченні настанови з використання електронних підписів. Дотепер у фокусі розгляду найчастіше перебували «кваліфіковані електронні підписи», визначені в статті 5.1 Директиви 1999/93/ЕС, побічним ефектом чого стало те, що вимоги про використання загальних електронних підписів (так званих «5.2 підписів») в електронній комерції розглянуто не достатньо.

Мета цієї частини CWA полягає у визначенні вимог безпеки до засобів створення підпису, які реалізовані в програмному забезпеченні, і тому задовольняють ширший спектр ринкових потреб, ніж «безпечний засіб створення підпису», потрібний для кваліфікованих електронних підписів.

Ця частина CWA призначена для використання технічними експертами й проектувальниками систем і продуктів у сфері електронних підписів.

Серію CWA утворюють такі частини:

— Частина 1. Юридичні та технічні аспекти;

— Частина 2. Профіль захисту для програмних засобів накладання підпису.

Версію цієї частини CWA видано в березні 2004 р.

З переліком осіб і організацій, які підтримали технічну угоду, представлену цією CEN, можна ознайомитися в Центральному секретаріаті CEN.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

НАСТАНОВА ЩОДО ВИКОРИСТАННЯ
ЕЛЕКТРОННИХ ПІДПИСІВ
Частина 2. Профіль захисту
для програмних засобів створення підпису

РУКОВОДСТВО ПО ИСПОЛЬЗОВАНИЮ
ЭЛЕКТРОННЫХ ПОДПИСЕЙ
Часть 2. Профиль защиты
для программных средств создания подписи

GUIDE ON THE USE
OF ELECTRONIC SIGNATURES
Part 2. Protection Profile
for Software Signature Creation Devices

Чинний від 2011-07-01

1 СФЕРА ЗАСТОСУВАННЯ

Директива 1999/93/ЕС Європейського парламенту й Ради від 13 грудня 1999 р. за структурою сімейства для електронних підписів [Dir. 1999/93/ЕС] — так звана Директива в залишку цього документа — встановила правові рамки для електронних підписів і служб сертифікатів, щоб посприяти їхньому юридичному розпізнаванню. У статті 5.1 установлено, що електронні підписи, які виконують певні якісні показники — так звані кваліфіковані електронні підписи — задовольняють вимоги до рукописних підписів. У статті 5.2 дана залишкова умова, де загальним електронним підписам не відмовляють у юридичній ефективності й допустимості як доказ у процесуальних діях, навіть якщо не задовольняються якісні показники кваліфікованих електронних підписів.

Цей CWA містить в обов’язковому Додатку 1 Профіль захисту (Protection Profile, РР) для засобу створення підпису (Signature Creation Device, SCDev), що придатний для таких загальних електронних підписів. SCDEV-РР потрібний умовам Загальних критеріїв (Common Criteria, СС) [ISO 15408]. Він заснований на [SSCD РР], розробленому як стандарт для засобів, здатних створювати кваліфіковані електронні підписи. Наведено порівняння [SSCD РР] і SCDev РР, що вказує на основні розбіжності між ними.

2 ПОСИЛАННЯ

2.1 Нормативні посилання

Наступні нормативні документи містять умови, які через посилання в цьому тексті становлять положення цього стандарту; ці публікації не застосовують до застарілих посилань, наступних змін або переглядів. Однак сторони, дійшовши угод, заснованих на цьому стандарті, можуть вивчити можливість застосування нових випусків зазначених нижче нормативних документів. Для недатованих посилань наведено останні видання нормативного документа.

[DIR.1999/93/ЕС] Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a community framework for electronic signatures

[SSCD PP] CEN/ISSS WS/E-Sign Workshop Agreement 14169: Security Requirements of Secure Signature Creation Devices (SSCD)

[ISO 15408] ISO/IEC 15408-1 to 15408-3: Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements, 1999.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

[DIR.1999/93/ЕС] Директива 1999/93/ЕС Європарламенту від 13 грудня 1999 р. про комунікаційне середовище для електронних підписів

[СТР SSCD] CEN/ISSS WS/E-Sign Угода симпозіуму 14169: Вимоги щодо безпеки для безпечних засобів накладання підписів (SSCD), березень 2002

[ISO 15408] від ISO/IEC 15408-1 до 15408-3: Інформаційні технології. Методи захисту. Критерії оцінювання IT-безпеки. Частина 1. Вступ і загальна модель, Частина 2. Функціональні вимоги щодо безпеки, Частина 3. Вимоги гарантій безпеки, 1999.

2.2 Довідкові посилання

[SMIME] В. Ramsdell: Version 3 Message Specification, RFC 2633, 1999.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

[SMIME] В. Ramsdell: Специфікаційні повідомлення версії 3 S/MIME, RFC 2633, 1999.