Мостовые удостоверяющие центры должны будут удовлетворять наивысшей степени защищенности.
Вопросы обеспечения безопасного функционирования УЦ во всех режимах должны быть определены в Регламенте УЦ, отражающем обязанности субъектов системы УЦ, протоколы работы, принятые форматы объектов системы, основные организационно-технические мероприятия, необходимые для безопасной работы системы, в том числе:
- определение необходимой степени защищенности;
- категорирование обрабатываемой и хранимой информации с целью определения необходимого уровня защиты для каждой категории;
- разработка модели нарушителя;
- сертификация технических средств, используемых для защиты информации;
- аттестация удостоверяющего центра для подтверждения его соответствия требуемой степени защищенности;
- разработка инструкций по соблюдению правил обеспечения защиты информации как для персонала, так и для пользователей;
- ознакомление пользователей УЦ с Регламентом, получение от них обязательства на выполнение требований Регламента;
- ознакомлением пользователей УЦ с информацией о классе (ах) выдаваемых сертификатов (класс определяется полиси , другими словами назначением сертификата и классы - это группы объединяющие правила выпуска сертификатов разного назначения;
- ознакомление пользователей с информацией о степени защищенности удостоверяющего центра.
Обеспечение совместимости применяемых технологий
Согласно Федеральному Закону «Об электронной цифровой подписи» в ряде случаев должны использоваться сертифицированные ФАПСИ СЭЦП, которые базируются на сертифицированных ФАПСИ СКЗИ. Однако Государственные стандарты, регламентирующие отечественные криптографические алгоритмы оставляют за разработчиком СКЗИ некоторую свободу в реализации. Данный факт послужил основой к тому, что по большей части сертифицированные ФАПСИ СКЗИ различных разработчиков несовместимы между собой и, как следствие, порождают несовместимость СЭЦП[2]. Помимо этого СЭЦП в рамках СУЦРФ должны подчиняться идеологии ИОК и ее регламентирующим документам, которые не утверждены в РФ ни как стандарты, ни даже как рекомендации. Решение этой задачи требует в рамках СУЦРФ проведения ряда мероприятий:
1. Провести разработку с последующим выпуском дополнений в соответствующих разделах международных рекомендаций как минимум следующих документов:
· «Состав сертификата открытого ключа ЭЦП». Данный документ должен регламентировать для УЦ и прикладных систем единую связку размещаемой в сертификате информации в рамках ФЗ «Об ЭЦП» Ст. 6 и представлением X.509 сертификата. Свое отражение должен найти и тот факт, что атрибут commonName сертификатов ресурсов и самих УЦ, которые хоть и получены на физические лица, может содержать характеристику (доменное имя, название и т.п.) ресурса. Для удовлетворения формальных требований ФЗ «Об ЭЦП» считать подобную запись псевдонимом, который размещен не в атрибуте pseudonym, а в commonName.
· Описание шифр-сюит с использованием отечественных криптографических алгоритмов (дополнение к RFC 2246).
· Описание представлений отечественных алгоритмов используемых в криптографических сообщениях (CMS) (дополнение к RFC 3370).
При разработке данных документов следует строго придерживаться положений и аналогий международных рекомендаций и стандартов.
2. Зарегистрировать в Российском дереве объектов, идентификаторы, определенные в результате разработки документов из состава предыдущего пункта.
3. Рекомендовать сертифицирующему органу ФСБ при проведении последующих сертификаций образцов СКЗИ особо учитывать факт совместимости как на уровне криптографических вычислений и представления данных, так и на уровне СЭЦП, если СКЗИ планируется к использованию в ИОК.
4. Создание сети развернутых публичных сервисов (электронный нотариат) и при этом осуществлять:
- проверку ЭЦП на электронном документе выполненную на различных СЭЦП с построением необходимых цепочек проверок сертификатов,
- выдачу заверенной доверенной стороной («электронным нотариусом») квитанции в криптосистеме заявителя о результате проведенной проверки.
Обеспечение подготовки специалистов
Для создания и поддержки функционирования инфраструктуры открытых ключей и удостоверяющих центров необходимо организовать обучение и переподготовку кадров.
В качестве первоочередных образовательных курсов представляется целесообразным определить следующие.
1. Концептуальные вопросы построения ИОК. В данном образовательном курсе ИОК рассматривается не только как технология, но в большей степени как инфраструктура, затрагивающая разнообразные стороны деятельности организаций и являющаяся неотъемлемой составной частью стратегии обеспечения информационной безопасности. Определяются основные сервисы ИОК: аутентификация, целостность, конфиденциальность. Рассматриваются вопросы экономической эффективности использования ИОК и объясняются ситуации, в которых использование ИОК нецелесообразно.
2. Сертификаты и сертификация в ИОК. В данном образовательном курсе объясняется назначение и порядок использования сертификатов электронных цифровых подписей. Рассматриваются вопросы аутентификации и регистрации пользователей, генерации, восстановления, хранения, обновления и уничтожения ключей и сертификатов. Анализируются модели функционирования и взаимодействия уполномоченного федерального органа, удостоверяющих центров, сертификат-сервис-прорвайдеров, потребителей ИОК, разъясняются проблемы кросс-сертификации.
3. Стандартизация и совместимость различных доменов ИОК. В данном образовательном курсе рассматриваются основные стандарты, на которых базируется ИОК: X.509, PKIX, X.500, LDAP, ISO TC68, S/MIME, IPsec, XML и др. Обсуждаются вопросы совместимости решений, используемых при построении ИОК.
Целесообразно организовать разработку соответствующих учебных пособий.
Учебные программы могут быть реализованы на базе отраслевых ВУЗов и в лицензированных учебных центрах.
Ключевую роль в организации и проведении обучения пользователей ИОК и повышения квалификации специалистов, обслуживающих технические комплексы, может взять на себя АДЭ.
Для мостового УЦ принципиальными являются три элемента:
· Орган Управления Политиками ИОК национального масштаба (ЦУП);
· Самостоятельный УЦ мостового типа, который:
o Обеспечивает кросс-сертификацию с другими УЦ,
o Включает более чем один тип продуктов для УЦ/
· Мостовой депозитарий/хранилище (реестр) и служба директорий.
Каждая структурная компонента МУЦ предназначена для выполнения соответствующих функций:
· ЦУП:
o осуществляет надзор за работой МУЦ;
o подвергает экспертизе политику сертификатов заявителя на кросс-сертификацию и отображения политик;
o принимает решение о возможности рассмотрения заявок от федеральных или коммерческих структур на кросс-сертификацию с МУЦ.
· УЦ, образующие МУЦ:
o осуществляют типовой набор функций для внутренних нужд агенств, вовлеченных в обеспечение жизнедеятельности МУЦ;
o обеспечивают механизмы кросс-сертификации как внутри МУЦ, так и во внешние домены доверия, включая:
- обработку запросов на кросс-сертификацию,
- сопоставление и отображение в выдаваемых кросс-сертификатах политик (формируются как критичные и некритичные расширения),
- публикацию кросс-сертификатов в реестре;
o обеспечивают проверку текущего статуса сертификатов.
o осуществляют поддержку всего комплекса услуг службы директорий, включая:
- обеспечение и поддержку систем справочников стандарта Х.500,
- осуществление функций регистрации имен и объектных идентификаторов,
- соблюдение политики доступа к внутреннему каталогу – реестру, а также к пограничному каталогу.
Функции других участников СУЦРФ
В данном разделе перечислены функции участников СУЦРФ, которые могут выполняться УЦ и другими уполномоченными участниками ИОК:
· Проверка достоверности сведений сертификата в соответствии с Классом, производится УЦ или его уполномоченным агентом - Центром регистрации.
· Создание криптографических ключей владельца сертификата, производится владельцем сертификата, а по его поручению - УЦ или его уполномоченным агентом - Центром регистрации.
· Выдача сертификата ключа ЭЦП, всегда производится УЦ.
· Выдача сертификата ключа шифрования, всегда производится УЦ.
· Ведение реестров сертификатов, производится УЦ или другим уполномоченным участником информационной системы.
· Приостановление действия сертификата, производится по обращению владельца сертификата УЦ или другим уполномоченным участником информационной системы.
· Подтверждение подлинности электронной цифровой подписи, производится по обращению участников информационной системы УЦ или другим уполномоченным участником информационной системы.
· Выдача временных меток на электронном документе, предназначенных для достоверного фиксирования момента подписания электронного документа (может понадобиться в ряде случаев), производится по обращению отправителя электронного документа УЦ или другим уполномоченным участником информационной системы.