Документы



Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности icon

Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности

НазваниеРуководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности
Дата19.05.2013
Размер135.71 Kb.
ТипДокументы
скачать


RH 45-187:2006



РУКОВОДЯЩИЙ ДОКУМЕНТ




Инфраструктура открытых ключей

Центра регистрации ключей


ТРЕБОВАНИЯ БЕЗОПАСНОСТИ


Узбекское агентство связи и информатизации


Ташкент

Предисловие



1 РАЗРАБОТАН Центром научно-технических и маркетинговых исследований


2 ВНЕСЕН Отделом обеспечения информационной безопасности Узбекского агентства связи и информатизации


3 УТВЕРЖДЕН Первым заместителем генерального директора Узбекского агентства связи и информатизации 11.12.2006


4 ВВЕДЕН В ДЕЙСТВИЕ Приказом Узбекского агентства связи и информатизации от 15.12.2006382


^ 5 ВВЕДЕН В ПЕРВЫЕ


Н


астоящий документ не может быть полностью или частично воспроизведен, тиражирован и распространен без разрешения Узбекского агентства связи и информатизации.

^ РУКОВОДЯЩИЙ ДОКУМЕНТ


ОЧИŠ КАЛИТЛАР ИНФРАТУЗИЛМАСИ

КАЛИТЛАРНИ РŒЙХАТГА ОЛИШ МАРКАЗИ

ХАВФСИЗЛИК ТАЛАБЛАРИ


ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ

^ ЦЕНТРА РЕГИСТРАЦИИ КЛЮЧЕЙ

ТРЕБОВАНИЯ БЕЗОПАСНОСТИ




Дата введения 2006-12-15


1 Область применения


1.1 Настоящий документ определяет требования к центрам регистраций ключей электронных цифровых подписей по информационной безопасности.

1.2 Настоящий документ предназначен для применения центрами регистрации ключей электронных цифровых подписей.

2 Нормативные ссылки

СанПиН 0100-00 Санитарные правила и нормы при работе на персональных компьютерах, видео дисплейных терминалах и оргтехнике.

СНиП 2.04.09-84 Пожарная автоматика зданий и сооружений.

3 Термины и определения

В настоящем нормативном документе применены следующие термины с соответствующими определениями:

3.1 аппаратные средства: Специальное защитное устройство или приспособление, входящее в комплект технического средства обработки информации.

3.2 идентификация: Процедура установления подлинности пользователя (абонента сети, отправителя сообщения), программы, устройства или данных (информации, получаемого сообщения, ключа).

^ 3.3 имитация сообщения: Под имитацией сообщения понимается навязывание нарушителем ложных данных, которые воспринимаются ЦР ЭЦП как действительная информация, защищенная от несанкционированного доступа.

^ 3.4 компонент ЦР ЭЦП: Совокупность сертифицированных программно-аппаратных средств, предназначенных для решения определенных задач в составе ЦР ЭЦП, а также организационно-технических мероприятий, необходимых для обеспечения информационной безопасности ЦР ЭЦП и используемых каналов связи.

^ 3.5 несанкционированный доступ (НСД), несанкционированный доступ к информации: Доступ субъекта к объекту или информации в нарушение установленных в системе правил разграничения доступа.

^ 3.6 надёжность функционирования ЦР ЭЦП: Характеристика, определяющая его способность корректно функционировать в условиях действий пользователя технических средств ЦР ЭЦП в рамках предоставленных программных интерфейсов.

^ 3.7 программные средства: Специальная программа, входящая в комплект программного обеспечения и предназначенная для защиты информации.

3.8 средства криптографической защиты информации (СКЗИ): Комплекс отдельных программных и аппаратно-программных модулей, посредством которых осуществляются операции, связанные с криптографической защитой информации.

^ 3.9 устойчивость функционирования ЦР ЭЦП: Способность выполнять основные функции независимо от характера внешних воздействий.

3.10 центр регистрации ключей электронной цифровой подписи (ЦР ЭЦП): Юридическое лицо, прошедшее государственную регистрацию в специально уполномоченном органе и осуществляющее деятельность по выдаче сертификатов ключей электронных цифровых подписей.


^ 4 Общие положения

4.1 Настоящий документ разработан в соответствии с Законом Республики Узбекистан «Об электронной цифровой подписи» и «Положением о порядке деятельности центров регистрации ключей электронных цифровых подписей» [1].

4.2 Администрация ЦР ЭЦП обязана обеспечивать:

    • исключение несанкционированного доступа, утечки, хищения, утраты, искажения, блокировки, подделки информации;

    • сохранность информации в реестре сертификатов ключей ЭЦП;

    • надежность работы и предотвращение несанкционированных действий, направленных на нарушение нормального функционирования аппаратно-программных средств, обеспечивающих выполнение им своих функций, а также средств криптографической защиты информации;

    • защиту конфиденциальной информации ЦР ЭЦП.

4.3 Информационная безопасность обеспечивается путем реализации ЦР ЭЦП комплекса организационных и инженерно-технических мероприятий.

4.4 Приказом руководителя из сотрудников ЦР ЭЦП назначается ответственное за безопасность лицо.

4.5 Защите подлежит информация, хранимая, обрабатываемая и передаваемая ЦР ЭЦП в электронном виде и/или на ином носителе.
^

5 Требования безопасности

5.1 Общие требования безопасности

        5.1.1 Требования к функциональному разграничению


Для выполнения функций ЦР ЭЦП используется функциональное разграничение членов группы администраторов:

  • администраторы сертификации с основными обязанностями: выдачи и отзыва сертификатов на основании электронных сообщений, заверенных ЭЦП администратора ЦР ЭЦП;

  • администраторы регистрации с основными обязанностями: взаимодействие с абонентами системы, проверка и заверение своей ЭЦП, запросов и сообщений абонентов;

  • администратор системы аудита.
        ^

        5.1.2 Требования к программному обеспечению


ЦР ЭЦП используют только программные средства, прошедшие сертификацию в компетентных органах.

Программное обеспечение вычислительных средств ЦР ЭЦП должно быть лицензированным и не содержать средств отладки программ, позволяющих модифицировать или искажать алгоритм работы программно-технических средств ЦР ЭЦП.
        ^

        5.1.3 Требования к аппаратным компонентам


ЦР ЭЦП используют только аппаратные средства, прошедшие сертификацию в компетентных органах.

Аппаратные средства, на которых реализуются СКЗИ, не должны позволять модифицировать или искажать алгоритм работы технических средств ЦР ЭЦП.

Проверка компонента ЦР ЭЦП на наличие негативных функциональных возможностей производится заказчиком ЦР ЭЦП.

Проверка компонента ЦР ЭЦП проводится разработчиком по своей методике.
        ^

        5.1.4 Требования по защите от НСД


Технические средства ЦР ЭЦП должны быть защищены от воздействий со стороны внешних сетей передачи данных сертифицированными программными и аппаратно-программными средствами.

Исходя из уровня защиты от НСД при разработке ЦР ЭЦП должен быть построен профиль защиты ЦР ЭЦП, включающий:

  • архитектуру построения ЦР ЭЦП и принципы взаимодействия объектов ЦР ЭЦП;

  • описание уточненных возможностей нарушителя;

  • описание механизмов и средств защиты от НСД;

  • описание механизмов аудита и формата данных аудита;

  • перечень защищаемых объектов ЦР ЭЦП;

  • перечень субъектов ЦР ЭЦП;

  • непротиворечивую политику безопасности ЦР ЭЦП (в том числе, правила разграничения доступа, правила пользования операторов и администраторов ЦР ЭЦП, описание действий в нештатных ситуациях, правила фильтрации межсетевых экранов).

Все положения профиля защиты ЦР ЭЦП должны быть отражены в Типовом Регламенте и документации на ЦР ЭЦП.

Для защиты средств вычислительной техники, входящих в состав ЦР ЭЦП, должны использоваться устройства типа “электронный замок”.
        ^

        5.1.5 Требования к целостности технических средств


В ЦР ЭЦП реализуется механизм контроля несанкционированного случайного или преднамеренного искажения или разрушения информации, программных и аппаратных компонентов.

Контроль целостности должен выполняться не реже одного раза в сутки.

Должны иметься средства восстановления целостности технических средств ЦР ЭЦП.

5.1.6 Требования к идентификации и аутентификации

Для аутентификации членов группы администраторов при их обращении к средствам вычислительной техники, входящим в состав ЦР ЭЦП, должен применяться символьный периодически изменяющийся пароль из не менее чем восьми символов при использовании буквенно-цифровых знаков английского языка (раскладка клавиатуры английская) в разных регистрах. Период изменения пароля 60 дней.

Администрация ЦР ЭЦП должна обеспечить реализацию механизма аутентификации удаленных пользователей, при их обращении к техническим средствам ЦР ЭЦП.

В Регламенте должен содержаться список всех действий пользователя, выполнение которых разрешено до его идентификации и аутентификации. Выполнение остальных действий должно разрешаться только после успешной идентификации и аутентификации пользователя.

Администрация ЦР ЭЦП должна обеспечивать реализацию механизма аутентификации локальных пользователей, имеющих доступ к техническим средствам, входящим в состав ЦР ЭЦП, но не входящим в состав группы администраторов.

Администрация ЦР ЭЦП должна обеспечивать реализацию механизма ограничения числа безуспешных попыток аутентификации членов группы администраторов и локальных пользователей при их обращении к средствам вычислительной техники, входящей в состав ЦР ЭЦП.
        ^

        5.1.7 Требования к ключевой информации


Формирование ключевой информации должно производиться ЦР ЭЦП в соответствии с установленным порядком, отраженным в Регламенте.

Секретный ключ, используемый для подписи сертификатов и средств отозванных сертификатов, не должен использоваться ни для каких иных целей.

Секретный ключ электронной цифровой подписи и ключ шифрования должны храниться на отчуждаемом носителе. Не допускается копирование секретного ключа электронной цифровой подписи на жесткий диск ПЭВМ без предварительного шифрования.

В ЦР ЭЦП должен быть реализован алгоритм формирования производных ключей. Период формирования производных ключей определяется органом, проводящим сертификацию СКЗИ.

В ЦР ЭЦП должен быть реализован механизм хранения в памяти средств вычислительной техники, входящих в состав ЦР ЭЦП, ключевой информации, включая секретные ключи электронной цифровой подписи, с предварительным их шифрованием.

Должен быть обеспечен срок действия секретного ключа ЦР ЭЦП не менее одного года.
        ^

        5.1.8 Требования к защите данных, поступающих и экспортируемых из ЦР ЭЦП


ЦР ЭЦП должен обеспечивать передачу данных защищенных от несанкционированного доступа криптографическим способом.

Для взаимодействия элементов ЦР ЭЦП в составе сети должна выделяться VLAN (виртуальная локальная сеть), доступная только определенному ЦР ЭЦП и его элементам.

Взаимодействие между ЦР ЭЦП должно выполняться с использованием защищенных и сертифицированных протоколов.

Для обеспечения бесперебойности работы ЦР ЭЦП выделяемые каналы связи должны резервироваться.

В ЦР ЭЦП должен быть реализован механизм защиты от имитации сообщения. Под имитацией сообщения понимается навязывание нарушителем ложных данных, которые воспринимаются ЦР ЭЦП как действительная информация, защищенная от несанкционированного доступа.

5.1.9 Требования к хранению информации на бумажных, магнитных и оптических носителях

Все резервные материалы, документация и устройства хранения информации ЦР ЭЦП должны храниться в защищенных помещениях и пожаробезопасных местах.

Все съемные носители информации должны по штучно регистрироваться и учитываться, они должны храниться в местах, защищенных от возможности случайного или намеренного изменения информации.

Конфиденциальная информация ЦР ЭЦП на бумажных, магнитных и оптических носителях должна храниться в сейфах или в несгораемых железных шкафах или ящиках.
        ^

        5.1.10 Требования к регистрации событий


В ЦР ЭЦП должен быть реализован механизм, производящий регистрацию в электронном журнале ЦР ЭЦП событий, связанных с выполнением ЦР ЭЦП своих целевых функций.

Список регистрируемых событий включает выпуск и отзыв сертификата, запрос на сертификацию и сообщение о компрометации, приостановке и возобновлении действия сертифицированных ключей.

Структура записи должна включать обязательные поля:

  • дату и время события;

  • тип события;

  • идентификатор пользователя, выполнившего операцию, соответствующую регистрируемому событию;

  • результат операции: положительный или отрицательный.

Должны быть приняты меры обнаружения и предотвращения несанкционированных записей в журнале аудита или каждой записи журнала членами группы администраторов.
        ^

        5.1.11 Требования к резервному копированию и восстановлению


В ЦР ЭЦП должны быть реализованы одноразовое резервное копирование и механизм восстановления на случай повреждения технических средств или информации. Должна быть исключена возможность многоразового резервного копирования секретных ключей. Резервные копии должны храниться весь период использования их оригиналов в ЦР ЭЦП.

Должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных.
^

5.2 Требования безопасности к помещениям ЦР ЭЦП

        5.2.1 Требования к размещению технических средств


Доступ к ним должен иметь только уполномоченный персонал.

Серверы и оборудование телекоммуникаций должны быть размещены в выделенном специальном помещении.

Серверы и оборудование телекоммуникаций должны быть установлены в специальных стойках.

Технические средства используемые персоналом ЦР ЭЦП, должны быть размещены в рабочих помещениях по схеме организации рабочих мест персонала.

Сервера должны постоянно находиться в режиме ручного или электронного обнаружения несанкционированного доступа.

5.2.2 Физический доступ

Физический доступ к техническим средствам ЦР ЭЦП должен удовлетворять следующим требованиям:

    • серверное помещение должно быть оборудовано системой контроля доступа, включая систему видео наблюдения в видимом и инфракрасном спектре;

    • все двери, окна и другие пути доступа в помещения ЦР ЭЦП должны быть оборудованы защитными приспособлениями и сигнализацией, предотвращающими несанкционированные проникновения в помещения, а также просмотр, прослушивание и съем электромагнитного излучения;

    • помещения ЦР ЭЦП должны быть оснащены охранной сигнализацией, связанной с охранным помещением, пультом централизованного наблюдения за сигнализацией или с дежурным по сигнализации;

  • система сигнализации должна быть защищена дублирующей системой и средствами электропитания, гарантирующими функционирование в случае отключения внешнего электропитания;

  • доступом без сопровождения к техническим средствам ЦР ЭЦП должен обладать только персонал, определенный в списке доступа;

  • персонал, не находящийся в списке доступа, должен соответствующим образом сопровождаться и контролироваться;

  • должен вестись журнал доступа к техническим средствам ЦР ЭЦП;

  • идентификационные средства доступа в серверное помещение должны выдаваться сотрудникам по приказу руководителя;

  • ключи механических замков рабочих помещений должны выдаваться сотрудникам по распоряжению руководителя на основании схемы организации рабочих мест персонала;

  • контроль целостности технических средств ЦР ЭЦП должен осуществляться при каждом обращении к ЦР ЭЦП, но не реже одного раза в неделю;

  • оборудование в активированном состоянии должно быть защищено от несанкционированного доступа;

  • после ввода пароля, защищающего секретный ключ, пользователи не должны оставлять свои рабочие места без присмотра.

5.2.3 Электроснабжение и кондиционирование воздуха

Электроснабжение и кондиционирование воздуха ЦР ЭЦП должны удовлетворять следующим требованиям:

  • помещение, в котором размещается оборудование, должно быть обеспечено электроснабжением и системой кондиционирования для создания требуемых согласно их техническим паспортам, условий работы.

  • технические средства должны быть подключены к общегородской сети электроснабжения и иметь аварийные источники электропитания;

  • используемые электрические сети и электрооборудование должны отвечать требованиям действующих "Правил устройства электроустановок"[2], "Правил технической эксплуатации электроустановок потребителей" и "Правил техники безопасности при эксплуатации электроустановок потребителей"[3];

  • серверы, оборудование телекоммуникаций и технические средства, эксплуатируемые на рабочих местах сотрудников, должны быть подключены к источникам бесперебойного питания, обеспечивающим их работу не менее 30 минут после прекращения основного электроснабжения;

  • серверное помещение должно быть оборудовано средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха;

  • служебные помещения, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях должны быть оборудованы средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха;

  • рабочие и прочие служебные помещения должны быть оборудованы средствами вентиляции и кондиционирования воздуха в соответствии с санитарно-гигиеническими нормами СанПиН 0100-00.

5.2.4 Подверженность воздействию влаги

Для защиты от воздействия влаги сервера и оборудования телекоммуникаций ЦР ЭЦП должны размещается в шкафах-стойках.

5.2.5 Предупреждение и защита от возгорания

В части предупреждения и защиты от возгорания ЦР ЭЦП должен удовлетворять следующим требованиям:

  • пожарная безопасность помещений должна обеспечиваться в соответствии с нормами и требованиями СНиП 2.04.09;

  • автоматическая система пожаротушения должна быть установлена в соответствии с принятой в организации системой правил.







Библиография:

[1]

"Положение о порядке государственной регистрации центров регистрации ключей электронных цифровых подписей", утвержденное КМ РУз от 26 сентября 2005г № 215

[2]

"Правила технической эксплуатации электроустановок потребителей", утвержденные приказом Государственной инспекции "Узгосэнергонадзор" от 21 мая 2004г № 207

[3]

"Правила техники безопасности при эксплуатации электроустановок потребителей", утвержденные постановлением Совета Министров СССР от 29 июля 1967г № 726



УДК ОКС 35.020


Ключевые слова: открытый ключ, закрытый ключ, центр регистрации ключей, безопасность.






Похожие:

Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconНа государственную регистрацию Центра регистрации ключей эцп 1
Центра регистрации ключей эцп (наименование и организационно-правовая форма заявителя -юридического лица)
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПеречень документов на государственную регистрацию Центра регистрации ключей электронных цифровых подписей № Вид документа 1
Доверительное письмо на лицо, выбранное для взаимодействия с Органом регистрации центров регистрации ключей эцп
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПеречень документов на изготовление сертификата ключа эцп уполномоченного лица Центра регистрации ключей электронных цифровых подписей №
Заявление на изготовление сертификата ключа эцп уполномоченного лица Центра регистрации ключей эцп
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПеречень документов для генерации ключей и получения сертификата ключа эцп центра регистрации ключей эцп цнтми для физического лица
Заполненное и подписанное (собственноручно) заявление на изготовление ключа эцп и/или выдачу сертификата ключа эцп в установленной...
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПеречень документов для генерации ключей и получения сертификата ключа эцп центра регистрации ключей эцп гуп unicon. Uz для физического лица
Заполненное и подписанное (собственноручно) заявление на изготовление ключа эцп и/или выдачу сертификата ключа эцп в установленной...
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПоложение о порядке изготовления, учета, хранения и использования бланков свидетельств о государственной регистрации центров регистрации ключей электронных цифровых подписей и бланков сертификатов ключей электронной цифровой подписи
Разработано центром научно-технических и маркетинговых исследований Узбекского агентства связи и информатизации
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПеречень документов для генерации ключа и получения сертификата ключа эцп центра регистрации ключей эцп цнтми для юридического лица
Доверительное письмо или приказ организации о предоставлении своему представителю права на оформление регистрации и получение сертификатов...
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconПеречень документов для генерации ключа и получения сертификата ключа эцп центра регистрации ключей эцп гуп unicon. Uz для юридического лица
Доверительное письмо или приказ организации о предоставлении своему представителю права на оформление регистрации и получение сертификатов...
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconНа бланке Центра регистрации ключей эцп кому
Список уполномоченных лиц, на имя которых необходимо выдать сертификат ключа эцп
Руководящий документ инфраструктура открытых ключей Центра регистрации ключей требования безопасности iconРуководящийдокумен т общие требования к персоналу центров регистрации ключей электронной цифровой подписи
Разработан центром научно-технических и маркетинговых исследований Узбекского агентства связи и информатизации
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©uz.denemetr.com 2000-2015
При копировании материала укажите ссылку.
обратиться к администрации