ДСТУ ETSI TS 102 437:2015 Електронні цифрові підписи та інфраструктура (ESI). Настанова з TS 101 456 (вимоги до політики органів сертифікації, які видають посилені сертифікати) (ETSI TS 102 437:2006, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ДСТУ ETSI TS 102 437:2015
(ETSI TS 102 437:2006, IDТ)
Електронні цифрові підписи та інфраструктура (ESI)
НАСТАНОВА З TS 101 456
(ВИМОГИ ДО ПОЛІТИКИ ОРГАНІВ СЕРТИФІКАЦІЇ,
ЯКІ ВИДАЮТЬ ПОСИЛЕНІ СЕРТИФІКАТИ)
Київ
(ДП «УкрНДНЦ»)
2018
ПЕРЕДМОВА
1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України (Міжнародний Центр), Технічний комітет стандартизації України «Інформаційні технології» (ТК 20)
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Мелащенко, канд. фіз.-мат. наук (науковий керівник); А. Гречко, канд. фіз.-мат. наук
2 НАДАНО ЧИННОСТІ: наказ
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01
3 Національний стандарт відповідає ETSI TS 102 437:2006 Electronic Signatures and Infrastructures (ESI); Guidance on TS 101 456 (Policy Requirements for certification authorities issuing qualified certificates) (Електронні цифрові підписи та інфраструктури (ESI). Настанова з TS 101 456 (Вимоги до політики органів сертифікації, які видають посилені сертифікати)
Ступінь відповідності — ідентичний (IDТ)
Переклад з англійської (еn)
4 УВЕДЕНО ВПЕРШЕ
ЗМІСТ
Національний вступ
Вступ до ETSI TS 102 437:2006
1 Сфера застосування
2 Нормативні посилання
3 Терміни, визначення понять і абревіатури
3.1 Терміни та визначення понять
3.2 Абревіатури
3.3 Додаткові терміни, використані в цьому стандарті
4 Загальні положення
5 Вступ до політики посиленого сертифіката
5.1 Короткий огляд
5.2 Ідентифікація
5.3 Співтовариство користувачів і застосовність
5.3.1 Публічність QCP + SSCD
5.3.2 Публічність QCP
5.4 Відповідність
5.4.1 Загальні положення
5.4.2 Публічність QCP + SSCD
5.4.3 Публічність QCP
6 Зобов’язання та відповідальність
6.1 Зобов’язання органу сертифікації
6.2 Зобов’язання підписувача
6.3 Інформація для належних сторін
6.4 Відповідальність
7 Вимоги до практики СА
7.1 Приписи практики сертифікації (CPS)
7.2 Інфраструктура відкритих ключів. Керування життєвим циклом ключів
7.2.1 Генерація ключів органом сертифікації.
7.2.2 Зберігання, резервне копіювання та відновлення ключів органом сертифікації
7.2.3 Поширення відкритих ключів органом сертифікації
7.2.4 Тимчасове депонування ключів
7.2.5 Використання ключів органом сертифікації
7.2.6 Завершення життєвого циклу ключів СА
7.2.7 Керування життєвим циклом криптографічних апаратних засобів, використовуваних для підписування сертифікатів
7.2.8 Послуги керування ключами суб’єктів, що їх надають СА
7.2.9 Підготування засобів безпечного створення підписів
7.3 Інфраструктура відкритих ключів. Керування життєвим циклом сертифікатів
7.3.1 Реєстрація суб’єктів
7.3.2 Відновлення сертифіката, повторна генерація та відновлення ключів
7.3.3 Генерація сертифікатів
7.3.4 Поширення термінів та умов
7.3.5 Поширення сертифікатів
7.3.6 Скасування та блокування сертифікатів
7.4 Керування та функціювання СА
7.4.1 Керування безпекою
7.4.2 Класифікація та керування ресурсами
7.4.3 Безпека персоналу
7.4.4 Фізична та екологічна безпека
7.4.5 Керування операціями
7.4.6 Контроль доступу до системи
7.4.7 Розгортання та обслуговування надійних систем
7.4.8 Керування безперервністю бізнес-процесів та оброблення інцидентів
7.4.9 Ліквідація СА
7.4.10 Відповідність правовим нормам
7.4.11 Записування інформації стосовно посилених сертифікатів
7.5 Організаційні рекомендації
8 Структура для визначення іншої політики посиленого сертифіката
8.1 Керування політикою посиленого сертифіката
8.2 Винятки для не публічних QCPs
8.3 Додаткові вимоги
8.4 Відповідність
Історія
Додаток НА Перелік національних стандартів України, згармонізованих з міжнародними та європейськими нормативними документами, на які є посилання в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт є перекладом ETSI TS 102 437:2006 Electronic Signatures and Infrastructures (ESI); Guidance on TS 101 456 (Policy Requirements for certification authorities issuing qualified certificates) (Електронні цифрові підписи та інфраструктури (ESI). Настанова щодо TS 101 456 (Вимоги до політики органів сертифікації, які видають посилені сертифікати).
Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт» замінено на «цей стандарт»;
— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— вилучено «Передмову» до ETSI TS 102 437:2006 як таку, що не стосується безпосередньо цього стандарту;
— долучено національній додаток НА (Перелік національних стандартів України, згармонізованих з міжнародними та Європейськими нормативними документами, на які є посилання в цьому стандарті).
У цьому стандарті є посилання на ETSI TS 101 862; CWA 14167-1; CWA 14172-2; CWA 14172-3; CWA 14167-4; ETSI TS 102176-1; ETSI TS 102176-2; ISO/IEC 15945, ISO/IEC TR 13335-1, ISO/lEC TR 13335-2, ISO/IEC TR 13335-3, ISO/IEC TR 13335-4, прийняті в Україні як національні. Перелік їх наведено в національному додатку НА. Решту стандартів, на які є посилання в цьому стандарті, в Україні не прийнято, і чинних замість них документів немає.
ВСТУП до ETSI TS 102 437:2006
Електронна комерція — це імпульс як спосіб ведення бізнесу та спілкування через публічні та приватні мережі. Важлива вимога електронної комерції — здатність ідентифікувати відправника електронної інформації так само як документи, підписані рукописним підписом. Зазвичай цього досягають через використання електронних підписів, що їх забезпечують провайдери послуг сертифікації, які видають свідоцтва, називають центром сертифікації. Директива 1999/93/ЄС Європарламенту та Ради про комунікаційне середовище електронних підписів [1] (далі — Директива) ідентифікує спеціальну форму електронного підпису, основану на «посиленому сертифікаті». Додаток І цієї Директиви визначає вимоги до посилених сертифікатів. Додаток II Директиви визначає вимоги стосовно провайдерів послуг сертифікації, що видають посилені сертифікати (тобто органу сертифікації, який видає посилені сертифікати). У цьому стандарті визначено основні вимоги до політики щодо функціювання та методів керування органу сертифікації, який видає посилені сертифікати відповідно до Директиви. Додаток III Директиви визначає вимоги до засобів безпечного створення підписів.
Користувачі електронних підписів, щоб бути впевненими в автентичності кваліфікованих електронних підписів, мають переконатися, що СА (орган сертифікації) видав електронний підпис посиленого сертифіката на основі належним чином установлених процедур і захисних заходів для мінімізації операційних та фінансових загроз і ризиків, пов’язаних з відкритим ключем криптосистеми.
ETSI ESI видають і продовжують оновлювати, технічна специфікація TS 101 456 [15] зазначає основні вимоги політики щодо використання та управлінської практики органів сертифікації', які видають кваліфіковані сертифікати для громадськості, використовувані для підтримання кваліфікованих електронних підписів (тобто електронні підписи, які юридично еквівалентні власноручним підписам відповідно до статті 5.1 Європейської директиви в межах спільноти для електронних підписів [1]). Використання безпечних пристроїв для створення підписів, як того вимагають у додатку III Директиви, є необов’язковим елементом цих вимог до політики.
Цей документ забезпечує рекомендації для інтерпретації TS 101 456 [15] вимоги для використання незалежними тілами та їх експертами, постачальниками послуг свідоцтва та іншими зацікавленими сторонами. Настанову призначено і для експертів, визначаючи, які перевірки їм рекомендують зробити щодо повноважень свідоцтва, надаючи документи та іншу фактичну довідкову інформацію, яку вони мають надати експертам.
На рисунку 1 схематично показано СА (організація, системи, продукти, криптомодулі) та відповідні сфери застосування оцінювання.
Більш детально:
— керування СА, організацію, процеси та процедури має бути оцінено згідно з TS 101456 [15];
— системи СА і продукти потрібно оцінити з урахуванням KAM 14167-1 [8];
— системи Каліфорнія крипто потрібно оцінювати з урахуванням KAM 14167-2 [9], -3 [10], -4 [11] залежно від обставин, або FIPS 140-1, -2 [5], або ISO/ІЕС 15408 [7] для профілів захисту та цільової безпеки для цільової EAL 4.
Це означає наведене нижче:
— Для системи керування: аудит документації та реалізації.
— Для надійних систем: виконання в EDP-аудиту з урахуванням KAM 14167-1 [8] або перевірка заяви, що EDP-аудиту KAM 14167-1 проведено з позитивними результатами.
— Для криптомодулів: вимагаючи заяви, які відповідають певним умовам (на основі правових норм, поставляється за прямими замовленнями організацій та осіб тощо).
Подальші рекомендації з оцінювання на TS 101 456 [15] наведено в KAM 14172-2 [18]. Крім того, Настанову щодо оцінювання надійних систем проти KAM 14167-1 [8] наведено в KAM 14172-3 [18].
Цей документ поєднує Настанову щодо TS 101 456 [15]:
— як зазначено в більшості приміток, врахованих у TS 101 456 [15];
— як зазначено в KAM 14172-2, з посиланням на відповідні розділи;
— з додатковими вказівками щодо подальших питань, виявлених під час застосування TS 101 456 [15].
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ЕЛЕКТРОННІ ЦИФРОВІ ПІДПИСИ ТА ІНФРАСТРУКТУРА (ESI)
НАСТАНОВА З TS 101 456
(ВИМОГИ ДО ПОЛІТИКИ ОРГАНІВ СЕРТИФІКАЦІЇ,
ЯКІ ВИДАЮТЬ ПОСИЛЕНІ СЕРТИФІКАТИ)
ЭЛЕКТРОННЫЕ ЦИФРОВЫЕ ПОДПИСИ И ИНФРАСТРУКТУРА (ESI)
РУКОВОДСТВО ПО TS 101456
(ТРЕБОВАНИЯ К ПОЛИТИКЕ ОРГАНОВ СЕРТИФИКАЦИИ,
КОТОРЫЕ ВЫДАЮТ КВАЛИФИЦИРОВАННЫЕ СЕРТИФИКАТЫ)
ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI)
GUIDANCE ON TS 101 456
(POLICY REQUIREMENTS FOR CERTIFICATION AUTHORITIES
ISSUING QUALIFIED CERTIFICATES)
Чинний від 2017-01-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей стандарт розроблено для інтерпретації вимог відповідно до TS 101 456 [15]. Цей стандарт можуть використовувати органи, які здійснюють нагляд (наприклад відповідно до ст. 3.3 Директиви), затверджують або акредитують (ст. 3.2 Директиви [15]) експерти, постачальники послуг сертифікації та інші зацікавлені сторони.
Цей стандарт сприятиме експертам в оцінюванні відповідності органів сертифікації згідно з TS 101 456 [15] і полегшить виконання вимог органам сертифікації.
Дослівний текст з TS 101 456 [15] виділено курсивом.
2 НОРМАТИВНІ ПОСИЛАННЯ
У наведених нижче нормативних документах зазначено положення, які через посилання в цьому стандарті становлять положення цього стандарту. У разі датованих посилань пізніші зміни до будь-якого з цих видань або перегляд їх не застосовують. У разі недатованих посилань треба користуватись останнім виданням наведених документів.
Примітка. Будь-які гіперпосилання, зазначені в цій публікації, були чинними на момент опублікування ЕТ81, проте не можна гарантувати їх довгострокову чинність.
Наведену нижче довідкову інформацію взято з TS 101 456.
1 Directive 1999/93/ЕС of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures.
Примітка. Наведене вище джерело в цьому стандарті названо «Директива»
2 IETF RFC 3647 (2003): Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework.
Примітка. Заміняє IETF RFC 2527
3 ITU-T Recommendation X.509 (2000)/ISO/IEC 9594-8 (2001) Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks
4 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
5 FIPS PUB 140-2 (2001): Security Requirements For Cryptographic Modules.
Примітка. FIPS 140-1 сертифіковані пристрої — альтернатива FIPS 140-2
6 ETSI TS 101 862 Qualified certificate profile
7 ISO/IEC 15408 (2005) (parts 1 to 3): Information technology — Security techniques — Evaluation criteria for IT security
8 CEN Workshop Agreement 14167-1 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 1 System Security Requirements
9 CEN Workshop Agreement 14167-2 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 2: Cryptographic Module for CSP signing operations with backup — Protection profile (CMCSOB-PP)
10 CEN Workshop Agreement 14167-3 C Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 3: Cryptographic module for CSP key generation services — Protection profile (CMCKG-PP)
11 CEN Workshop Agreement 14167-4 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures — Part 4: Cryptographic module for CSP signing operations — Protection profile — CMCSO PP
12 Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts
13 ISO/IEC 17799 (2005) Information technology — Security techniques — Code of practice for information security management
14 ETSI TS 102158 Electronic Signatures and Infrastructures (ESI); Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates
Додаткові посилання
15 ETSI TS 101 456 Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates
16 ETSI TS 102 176-1 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms
17 ETSI TS 102 176-2 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices
18 CWA14172-2 EESSI Conformity Assessment Guidance on ETSI TS 101 456
19 CWA14172-3 EESSI Conformity Assessment Guidance on Trustworthy Systems
20 IETF RFC 2119 Key words for use in RFCs to Indicate Requirement Levels
21 IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)
22 IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)
23 PKCS #5 v2.0 Password-Based Cryptography Standard
24 TTP.NL Part 1 Requirements and Guidance for the Certification of the Public Key Infrastructure of Certification Service Providers
25 TTP.NL Part 2 Requirements and Guidance for the Certification of Information Security Management of Certification Service Providers
26 TTP.NL Part 3 General Requirements and Guidance for the Accreditation of Certification Service Providers issuing Qualified Certificates
27 Scheme approval profiles for Trust Service Providers.
Примітка. Див. http://www.tscheme.org/
28 ITU-T Recommendation X.843 | ISO/IEC 15945 Information technology — Security techniques — Specification of TTP services to support the Application of Digital Signatures
29 ITU-T Recommendation X.842 | ISO/IEC 14516 Information technology — Security techniques — Guidelines on the use and management of Trusted Third Party services
30 ISO/IEC TR 13335-1 (1996) Information technology — Guidelines for the management of IT Security — Part 1 : Concepts and models for IT Security
31 ISO/IEC TR 13335-2 (1997) Information technology — Guidelines for the management of IT Security — Part 2: Managing and planning IT Security
32 ISO/IEC TR 13335-3 (1998) Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT Security
33 ISO/IEC TR 13335-4 (2000) Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards
34 ANSI X9.79: Public Key Infrastructure (PKI) — Practices and Policy Framework
35 Directive 97/7/EC of the European Parliament and of the Council of 20 May 1997 on the protection of consumers in respect of distance contracts — Statement by the Council and the Parliament re article 6(1) — Statement by the Commission re article 3 (1), first indent
36 Commission Decision 2000/709/EC of 6 November 2000 on the minimum criteria to be taken into account by Member States when designating bodies in accordance with Article 3(4) of Directive 1999/93/EC of the European Parliament and of the Council on a Community framework for electronic signatures
37 ANSI X9.17 Financial Institution Key Management (wholesale)
38 NIST Special Publication 800-57 Recommendation for key management — Part 1: General guideline
39 CWA14169 Secure signature-creation devices «EAL4+».
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
1 Директива 1999/93 /ЄС Європейського парламенту та Ради від 13 грудня 1999 року про комунікаційне середовище електронних підписів.
Примітка. Наведене джерело в цьому стандарті названо «Директива»
2 IETF RFC 3647 (2003) Х.509 Інтернет інфраструктура відкритих ключів: політика сертифікації та структура практики сертифікації.
Примітка. Заміняє IETF RFC 2527
3 Рекомендація ITU-T Х.509 (2000)/ISO/IEC 9594-8 (2001 р.) Інформаційні технології. Взаємозв’язок відкритих систем. Довідник: структури для сертифікатів відкритих ключів та атрибутів державно-ключів і атрибутів
4 Директива 95/46/ЄС Європейського парламенту та Ради від 24 жовтня 1995 про захист фізичних осіб в частині обробки та вільного обміну персональними даними
5 FIPS PUB 140-2 (2001) Вимоги безпеки до криптографічних модулів.
Примітка. Сертифіковані за FIPS 140-1 пристрої є альтернативою FIPS 140-2
6 ETSI TS 101 862 Профіль посиленого сертифіката
7 ISO/IEC 15408 (2005) (частини 1 по 3) Інформаційні технології. Методи безпеки. Критерії оцінювання безпеки IT
8 Угода семінару 14167-1 Вимоги безпеки до управління сертифікатами електронних підписів. Частина 1. Системні вимоги безпеки
9 Угода семінару CEN 14167-2 Криптографічний модуль для послуг генерування ключів провайдером послуг сертифікації. Частина 2. Профіль захисту CMCSOB РР
10 Угода семінару CEN 14167-3 Криптографічний модуль для послуг генерування ключів провайдером послуг сертифікації. Частина 3. Профіль захисту CMCKG РР
11 Угода семінару CEN 14167-4 Криптографічний модуль для операцій підписування провайдером послуг сертифікації. Частина 4. Профіль захисту CMCSO РР
12 Директиви 93/1 З/EC від 5 квітня 1993 року про несправедливі умови в споживчих договорах
13 ISO/IEC 17799 (2005) Інформаційні технології. Методи безпеки. Кодекс практики з управління інформаційною безпекою
14 ETSI TS 102 158 Електронні підписи та інфраструктура (ESI). Вимоги політики для провайдерів послуг сертифікації, які видають сертифікати атрибутів, що використовуються з посиленими сертифікатами
Додаткові посилання
15 ETSI TS+101456 Електронні цифрові підписи та інфраструктури (ESI). Вимоги до політики органів сертифікації, які видають кваліфіковані сертифікати
16 ETSI TS 102 176-1 Електронні підписи та інфраструктури (ESI). Алгоритми та параметри безпечних електронних підписів. Частина 1. Геш-функції й асиметричні алгоритми
17 ETSI TS 102 176-2 Електронні підписи та інфраструктури (ESI). Алгоритми та параметри безпечних електронних підписів. Частина 2. Протоколи безпечних каналів і алгоритми засобів створення підписів
18 CWA 14172-2 Настанова ЄІСЕЦП щодо оцінювання відповідності. Частина 2. Послуги та процеси органу сертифікації
19 CWA14172-3 Настанова ЄІСЕЦП щодо оцінювання відповідності. Частина 3. Надійні системи, що керують сертифікатами для електронних підписів
20 IETF RFC 2119 Ключові слова, що їх використовують в RFC для зазначення рівня вимог
21 IETF RFC +4210 Х.509 Інтернет інфраструктура відкритих ключів: протокол управління сертифікатами (СМР)
22 IETF RFC+4211 Х.509 Інтернет інфраструктура відкритих ключів формат повідомлення для запиту сертифіката (CRMF)
23 PKCS # 5 v2.0 Криптографічний стандарт, що використовує паролі
24 TTP.NL Частина 1. Вимоги та настанови щодо сертифікації інфраструктури відкритих ключів провайдерів послуг сертифікації
25 TTP.NL Частина 2. Вимоги та настанови по сертифікації управління інформаційною безпекою провайдерів послуг сертифікації
26 TTP.NL Частина 3. Загальні вимоги і настанови щодо акредитації провайдерів послуг сертифікації, що видають посилені сертифікати
27 Профілі схем затвердження для провайдерів трастових послуг.
Примітка. Дів. http://www.tscheme.org/
28 Рекомендація ITU-T Х.843 | ISO/IEC 15945 Інформаційні технології. Методи безпеки. Специфікація служб ТТР для застосування цифрових підписів
29 Рекомендація ITU-T Х.842 | ISO/IEC 14516 Інформаційні технології. Методи безпеки. Настанови щодо використання та керування службами третіх довірчих сторін
30 ISO/IEC 13335-1 TR (1996) Інформаційні технології. Настанова щодо керування ІТ-безпекою. Частина 1. Концепції та моделі для ІТ-безпеки
31 ISO/IEC 13335-2 TR (1997) Інформаційні технології. Настанова щодо керування ІТ-безпекою. Частина 2. Керування та планування ІТ-безпеки
32 ISO/IEC 13335-3 TR (1998) Інформаційні технології. Настанова щодо керування ІТ-безпекою Частина 3. Методи для управління ІТ-безпекою
33 ISO/IEC 13335-4 TR (2000) Інформаційні технології. Настанова щодо керування ІТ-безпекою. Частина 4. Вибір засобів захисту
34 ANSI Х9.79 Інфраструктура відкритих ключів (ІРК). Основи практики і політики
35 Директива 97/7/ЄС Європейського парламенту та Ради від 20 травня 1997 р. про захист споживачів при підписанні дистанційних договорів. Заява Ради та ст. 6 (1) Парламенту — Заява Комісії щодо статті 3 (1), перший абзац
36 Рішення Комісії 2000/709/ЄС від 6 листопада 2000 року Європейського парламенту і Ради в межах співтовариства для електронних підписів щодо мінімальних критеріїв при призначенні органів відповідно до статті 3 (4) Директиви 1999/93/ЕС
37 ANSI Х9.17 Керування ключами фінансової установи (оптова торгівля)
38 NIST Special Publication 800-57 Рекомендація для управління ключами. Частина 1. Загальна настанова
39 CWA14169 Безпечні пристрої для створення підписів» EAL4+.
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».