Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы қызметінің куәландырушы орталығы туралы

Еуразиялық экономикалық комиссия Алқасының 2018 жылғы 25 қыркүйектегі № 154 шешімі

      Еуразиялық экономикалық одақ шеңберіндегі ақпараттық-коммуникациялық технологиялар және ақпараттық өзара іс-қимыл туралы хаттаманың (2014 жылғы 29 мамырдағы Еуразиялық экономикалық одақ туралы шартқа № 3 қосымша) 18-тармағын іске асыру мақсатында Еуразиялық экономикалық комиссия Алқасы шешті:

      1. Қоса беріліп отырған Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы қызметінің куәландырушы орталығы туралы ереже бекітілсін.

      2. Осы Шешім ресми жарияланған күнінен бастап күнтізбелік 30 күн өткен соң күшіне енеді.

      Еуразиялық экономикалық комиссия
Алқасының Төрағасы
Т. Саркисян

  Еуразиялық экономикалық
комиссия Алқасының
2018 жылғы 25 қыркүйектегі
№ 154 шешімімен
БЕКІТІЛГЕН

Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы қызметінің куәландырушы орталығы туралы ЕРЕЖЕ

І. Жалпы ережелер

      1. Осы Ереже Еуразиялық экономикалық комиссияда (бұдан әрі – Комиссия) құрылатын Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы қызметінің (бұдан әрі тиісінше – Одақ, СҮТ қызметі) куәландырушы орталығының мақсаты мен негізгі міндеттерін, сондай-ақ оның құқықтарын, міндеттемелерін, жауапкершілігін және қызметін тоқтату тәртібін айқындайды.

      2. СҮТ қызметі куәландырушы орталығының негізгі мақсаты Одақ шеңберінде электрондық құжаттармен халықаралық (трансшекаралық) алмасу кезінде электрондық цифрлық қолтаңбаны қолдана отырып, электрондық құжаттардың заңдық күшін қамтамасыз ету үшін Комиссияның сенім білдірілген үшінші тараптары мен СҮТ қызметі құрамындағы Одаққа мүше мемлекеттердің (бұдан әрі – мүше мемлекеттер) электрондық өзара іс-қимылын ұйымдастыру мақсатында Комиссияның сенім білдірілген уәкілетті үшінші тараптарын және мүше мемлекеттерді электрондық цифрлық қолтаңбаны тексеру кілттерінің сертификаттарымен қамтамасыз ету болып табылады.

      3. Осы Регламенттің мақсаттары үшін төмендегілерді білдіретін мынадай ұғымдар пайдаланылады:

      "криптографиялық стандарт" – криптографиялық кілтті пайдалана отырып ақпаратты өзгерту, соның ішінде ЭЦҚ қалыптастыру және тексеру (криптографиялық өзгерту) қағидалары мен алгоритмдерін белгілейтін техникалық ерекшеліктердің жиынтығы;

      "ЭЦҚ-ны тексеру кілтінің сертификаты" – куәландырушы орталық шығаратын, ЭЦҚ кілті пайдаланыла отырып куәландырушы орталықтың ЭЦҚ-мен қол қойылған және сертификатта көрсетілген ЭЦҚ-ны тексеру кілтінің белгілі бір электрондық іс-қимыл субъектісіне тиесілілігін растайтын ақпаратты және Комиссия Кеңесі бекітетін трансшекаралық сенім кеңістігін құрудың, дамытудың және оның жұмыс істеуінің тиісті криптографиялық стандарттары мен талаптарын көздейтін өзге де ақпаратты қамтитын электрондық құжат;

      "куәландырушы орталық" – Комиссия актілеріне, мүше мемлекеттің заңнамасына сәйкес ЭЦҚ-ны тексеру кілттерінің сертификаттарын шығару, тарату, сақтау және осы сертификаттардың жарамдылығын тексеру бойынша қызметтер көрсетуді қамтамасыз ететін уәкілетті орган немесе ұйым;

      "электрондық цифрлық қолтаңба (электрондық қолтаңба)", "ЭЦҚ" – электрондық түрдегі басқа ақпаратқа қосылған немесе осындай ақпаратпен өзге де түрде байланысқан, осы ақпараттың тұтастығын және түпнұсқалылығын бақылау үшін қызмет ететін, авторлықтан бас тартудың мүмкін еместігін қамтамасыз ететін, жабық (жеке) кілт пайдаланыла отырып осы ақпаратқа қатысты криптографиялық өзгертуді қолдану жолымен дайындалатын және ашық кілт (ЭЦҚ-ны тексеру кілті) пайдаланыла отырып тексерілетін электрондық түрдегі ақпарат.

      Осы Ережеде пайдаланылатын өзге де ұғымдар Еуразиялық экономикалық одақ шеңберіндегі ақпараттық-коммуникациялық технологиялар және ақпараттық өзара іс-қимыл туралы хаттамада (2014 жылғы 29 мамырдағы Еуразиялық экономикалық одақ туралы шартқа № 3 қосымша), Еуразиялық экономикалық комиссия Кеңесінің 2014 жылғы 18 қыркүйектегі № 73 шешімімен бекітілген Мемлекетаралық ақпараттық өзара іс-қимыл кезінде сервистерді және заңды күші бар электрондық құжаттарды пайдалану тұжырымдамасында және трансшекаралық сенім кеңістігін құруға, дамытуға және оның жұмыс істеуіне қойылатын талаптарда айқындалған мәндерде қолданылады.

      4. Электрондық құжаттарды ресімдеу трансшекаралық сенім кеңістігін құруға, дамытуға және оның жұмыс істеуіне қойылатын талаптарға және Еуразиялық экономикалық комиссия Алқасының 2015 жылғы 28 қыркүйектегі № 125 шешімімен бекітілген Еуразиялық экономикалық одаққа мүше мемлекеттердің мемлекеттік билік органдарының бір-бірімен және Еуразиялық экономикалық комиссиямен трансшекаралық өзара іс-қимылы кезінде электрондық құжаттармен алмасу туралы ережеге сәйкес жүзеге асырылады.

      5. СҮТ қызметі куәландырушы орталығының функцияларын Комиссияның Ақпараттық технологиялар департаменті жүзеге асырады.

ІІ. СҮТ қызметі куәландырушы орталығының негізгі міндеттері

      6. Мыналар:

      а) ЭЦҚ-ны тексерудің ашық кілтінің жабық (жеке) кілтке сәйкестігін куәландыру, сондай-ақ Комиссияның сенім білдірілген үшінші тарапы мен мүше мемлекеттердің сенім білдірілген үшінші тараптарының ЭЦҚ-ны тексеру кілттері сертификаттарының түпнұсқалылығын растау;

      б) СҮТ қызметі шеңберінде электрондық құжаттармен халықаралық (трансшекаралық) алмасу кезінде Комиссияның сенім білдірілген үшінші тарапы мен мүше мемлекеттердің сенім білдірілген үшінші тараптарының ЭЦҚ-ны тексеру кілттерінің сертификаттарына сенім кепілдіктерін қамтамасыз ету;

      в) Комиссияның сенім білдірілген үшінші тарапы мен мүше мемлекеттердің сенім білдірілген үшінші тараптарының сұрау салулары бойынша ЭЦҚ-ны тексеру кілттерінің сертификаттарын шығару, тарату және сақтау, сондай-ақ осы сертификаттардың жарамдылығын тексеру;

      г) Комиссияның сенім білдірілген үшінші тарапы мен мүше мемлекеттердің сенім білдірілген үшінші тараптарының сұрау салулары бойынша ЭЦҚ-ны тексеру кілттерінің сертификаттарында көрсетілген мәліметтердің дұрыстығын растау СҮТ қызметі куәландырушы орталығының негізгі міндеттері болып табылады.

ІІІ. СҮТ қызметі куәландырушы орталығының құқықтары, міндеттері және жауапкершілігі

      8. Өз функцияларын жүзеге асыру мақсатында СҮТ қызметі куәландырушы орталығының:

      а) пайдаланушылар (Комиссияның және мүше мемлекеттердің сенім білдірілген үшінші тараптарының өкілдері) ЭЦҚ-ны тексеру кілттерінің сертификаттарын алу мақсатында ұсынатын мәліметтерді тексеруді жүргізуге;

      б) пайдаланушылар ЭЦҚ-ны тексеру кілттерінің сертификаттарын алу үшін сенімсіз мәліметтер немесе толық емес көлемде мәліметтер берген жағдайда, оларға ЭЦҚ-ны тексеру кілттерінің сертификаттарын беруден бас тартуға;

      в) мынадай:

      ЭЦҚ-ны тексеру кілтінің құпиялылығының бұзылғаны туралы сенімді мәліметтер және (немесе) ЭЦҚ-ны тексеру кілттерінің сертификаттарын одан әрі пайдалану мүмкіндігіне елеулі түрде әсер етуі мүмкін өзге де мәліметтер алынған;

      ЭЦҚ-ны тексеру кілттері заңды күшінен айрылған;

      ЭЦҚ-ның тиісті құралдары жоғалған;

      сертификаттың иесі туралы мәліметтер өзгерген;

      Регламентте немесе Одақ органдарының актілерінде белгіленген өзге де жағдайларда ЭЦҚ-ны тексеру кілттерінің берілген сертификаттарының қолданысын тоқтатуға немесе күшін жоюға;

      г) СҮТ қызметі куәландырушы орталығының құралдарын пайдалану кезінде пайдаланушылардың ақпараттық қауіпсіздікке қойылатын талаптарды сақтауын қамтамасыз етуге және бақылауға;

      д) СҮТ қызметі куәландырушы орталығы жұмысының мәселелерін регламенттейтін құжаттарды әзірлеуге және келісуге қатысуға;

      е) СҮТ қызметі куәландырушы орталығының ЭЦҚ-ны тексеру кілтінің түбір сертификатының және пайдаланушылардың ЭЦҚ-ны тексеру кілттері сертификаттарының қолданылу мерзімін белгілеуге құқығы бар.

      9. СҮТ қызметінің куәландырушы орталығы өз функцияларын жүзеге асыру кезінде:

      а) пайдаланушылар ұсынған құжаттардың (оларда көрсетілген мәліметтерді міндетті түрде тексерумен) негізінде оларды белгіленген тәртіппен СҮТ қызметінің куәландырушы орталығына тіркеуді қамтамасыз етуге;

      б) ЭЦҚ-ны және ЭЦҚ құралдарын пайдалану тәртібі туралы, ЭЦҚ-ны пайдаланумен байланысты тәуекелдер және ЭЦҚ қауіпсіздігін қамтамасыз ету және оны тексеру үшін қажетті шаралар туралы Комиссияның және мүше мемлекеттердің сенім білдірілген үшінші тараптарын жазбаша нысанда хабардар етуге;

      в) Комиссияның және мүше мемлекеттердің сенім білдірілген үшінші тараптарын СҮТ қызметі куәландырушы орталығының жұмыс тәртібімен таныстыруға;

      г) Комиссияның және мүше мемлекеттердің сенім білдірілген үшінші тараптарын ЭЦҚ-ны тексеру кілттері сертификаттарының тізілімінде қамтылған ақпаратты өзекті етуге және оны заңсыз енуден, жоюдан өзгертуден, бұғаттаудан және өзге де заңсыз әрекеттерден қорғауды қамтамасыз етуге;

      д) Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының ЭЦҚ-ны тексеру кілттері сертификаттарының тізіліміндегі ақпаратты, соның ішінде ЭЦҚ-ны тексеру кілттері сертификаттарының күшін жою туралы ақпаратты кез келген адамға оның өтініші бойынша ұсынуға;

      е) СҮТ қызметінің куәландырушы орталығы жасаған ЭЦҚ-ны тексеру кілттері сертификаттарының құпиялылығын қамтамасыз етуге;

      ж) ЭЦҚ-ны тексеру кілттерінің сертификаттарын шығару, олардың мәртебесін тексеру, қолданысын тоқтату, қалпына келтіру және күшін жою техникалық рәсімдерін толық көлемде орындауды, сондай-ақ ЭЦҚ-ны тексеру кілттері сертификаттарының күшін жою туралы ақпаратты жариялауды қамтамасыз етуге;

      з) пайдаланушылардың сұрау салулары бойынша Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының ЭЦҚ-ны тексеру кілттерінің сертификаттарын қолданумен байланысты даулы жағдайларды шешуге қатысуға;

      и) Комиссияның куәландырушы орталығы жасаған ЭЦҚ-ны тексеру кілттерінің сертификаттарын, ЭЦҚ-ны тексеру кілттерінің сертификаттары олардың негізінде шығарылған қағаз жеткізгіштегі құжаттарды және СҮТ қызметінің куәландырушы орталығының өзге де құжаттарын 15 жыл бойына сақтауды қамтамасыз етуге (Комиссия белгілеген мұрағаттық сақтау мерзімі өткен құжаттарды жою тәртібін сақтай отырып);

      к) пайдаланушының жеке басын куәландыратын негізгі құжаттың деректемелерін кемінде 15 жыл бойы сақтауға;

      л) осы сертификатқа сәйкес келетін ЭЦҚ кілтінің құпиясы ашылған жағдайда, СҮТ қызметі куәландырушы орталығының ЭЦҚ-ны тексеру кілті сертификатының күшін жоюға міндетті.

      10. СҮТ қызметінің куәландырушы орталығы:

      а) осы Ережеде және Одақ органдарының ЭЦҚ-ны қолдануды реттеу саласындағы актілерінде көзделген міндеттемелердің орындалмауы немесе тиісті дәрежеде орындалмауы;

      б) ЭЦҚ құралдарын және СҮТ қызметі куәландырушы орталығының құралдарын пайдалану кезінде ақпараттың қауіпсіздігі жұмыстарын және оны бақылауды тиісті түрде ұйымдастырмау;

      в) СҮТ қызметі куәландырушы орталығының аппараттық және бағдарламалық-техникалық құралдарын пайдалану қағидаларын СҮТ қызметі куәландырушы орталығының сақтамауы нәтижесінде үшінші тұлғаларға зиян келтірілген жағдайда Одақ органдарының актілеріне сәйкес жауапкершілік көтереді.

IV. СҮТ қызметі куәландырушы орталығының өзге тұлғалармен өзара іс-қимылы

      11. СҮТ қызметінің куәландырушы орталығы Комиссияның құрылымдық бөлімшелерімен СҮТ қызметі куәландырушы орталығының құзыретіне жатқызылған мәселелер бойынша өзара іс-қимыл жасайды.

      12. СҮТ қызметінің куәландырушы орталығы өз функцияларын жүзеге асыру мақсатында Регламентке сәйкес өз атынан ашық кілттер инфрақұрылымына өзге де қатысушылармен (мүше мемлекеттердің сенім білдірілген үшінші тараптарымен) өзара іс-қимыл жасайды.

V. СҮТ қызметі куәландырушы орталығының жұмысын тоқтату

      13. СҮТ қызметі куәландырушы орталығының жұмысы Комиссия Алқасының шешімі бойынша тоқтатылады.

      14. СҮТ қызметінің куәландырушы орталығы жұмысының тоқтатылғаны туралы шешім қабылданған жағдайда жұмысы тоқтатылған күнге дейін 1 айдан кешіктірмей Комиссияның сенім білдірілген үшінші тарапын және мүше мемлекеттердің сенім білдірілген үшінші тараптарын ол туралы хабардар етеді.

      15. СҮТ қызметі куәландырушы орталығының функциялары басқа куәландырушы орталыққа берілген жағдайда Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының СҮТ қызметінің куәландырушы орталығының жұмысын тоқтату күнінде шығарылған ЭЦҚ-ны тексеру кілттері сертификаттарының тізілімі де беріледі.

      16. СҮТ қызметі куәландырушы орталығының ақпараттық жүйелері таратылған жағдайда Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының ЭЦҚ-ны тексеру кілттері сертификаттарының тізілімі, сондай-ақ СҮТ қызметі куәландырушы орталығының басқа да электрондық құжаттары мен қағаз жеткізгіштегі құжаттары Комиссияда белгіленген тәртіппен мұрағаттық сақтауға беріледі.

  Еуразиялық экономикалық
одақтың интеграцияланған
ақпараттық жүйесінің сенім
білдірілген үшінші тарапы
қызметінің куәландырушы
орталығы туралы ережеге
ҚОСЫМША

Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы қызметі куәландырушы орталығының РЕГЛАМЕНТІ

І. Жалпы ережелер

      1. Осы Регламент Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы (СҮТ) қызметінің куәландырушы орталығы (бұдан әрі тиісінше – ақпараттық жүйе, СҮТ қызметінің КО-сы) берген сертификаттар пайдаланылатын ашық кілттер инфрақұрылымына қатысушылардың өзара іс-қимыл жасау тәртібін, электрондық цифрлық қолтаңбаны (электрондық қолтаңба) (бұдан әрі – ЭЦҚ) тексеру кілттерінің сертификаттарын шығару, көрсетілген сертификаттарды сүйемелдеу кезінде СҮТ қызметінің КО-сы пайдаланатын негізгі рәсімдер мен ұйымдастыру-техникалық іс-шаралардың деректер форматтары мен жұмыс хаттамаларының сипаттамасын белгілейді.

      Осы Регламент RFC 3647. "Certificate Policy and Certification Practices Framework" ұсынымдарына (Сертификаттар беру саясаты және сертификациялық практикалар жөніндегі ұсынымдар) сәйкес дайындалды.

      1.1. Құжаттың атауы және сәйкестендіру

      Құжаттың атауы: Еуразиялық экономикалық одақтың интеграцияланған ақпараттық жүйесінің сенім білдірілген үшінші тарапы қызметінің куәландырушы орталығының регламенті.

      Қысқартылған атауы: СҮТ қызметі КО-сының регламенті.

      1.2. Интеграцияланған жүйенің ашық кілттері инфрақұрылымына қатысушылар

      МСЭ-Т Х.509 "Ақпараттық технологиялар – Ашық жүйелердің өзара байланысы – Анықтамалық: Ашық кілттер мен атрибуттар сертификаттарының құрылымы" ұсынымына сәйкес интеграциялық жүйе ашық кілттерінің инфрақұрылымы (бұдан әрі – АКИ) деп Одақтың бірыңғай сенім кеңістігі шеңберінде авторлықты түпнұсқаландыру, шифрлау қызметтерін, оның тұтастығын немесе тіркелуін қолдау үшін ашық кілттерді басқаруды ұстап тұруға қабілетті инфрақұрылым түсініледі.

      1.2.1. Куәландырушы орталық

      СҮТ қызметінің КО-сы – СҮТ уәкілеттік берген Комиссияның интеграциялық сегменті мен Одаққа мүше мемлекеттердің (бұдан әрі – мүше мемлекеттер) ұлттық сегменттерінің өзара іс-қимылы үшін ЭЦҚ-ны тексеру кілттерінің сертификаттарымен қамтамасыз ету жөніндегі функцияларды жүзеге асыратын Еуразиялық экономикалық комиссияның (бұдан әрі – Комиссия) Ақпараттық технологиялар департаментінің құрамындағы бөлім.

      СҮТ қызметі КО-сының негізгі функцияларына:

      Комиссияның сенім білдірілген үшінші тарапын және мүше мемлекеттердің сенім білдірілген үшінші тараптарын тіркеу;

      Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының сұрау салулары бойынша ЭЦҚ-ны тексеру кілттерінің сертификаттарын жасау және беру;

      Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының атынан ЭЦҚ-ны тексеру кілтінің сертификатын алу үшін өтініш жасайтын адамдардың өкілеттіктерін айқындау және Комиссия бекітетін, сенім білдірілген үшінші тарап куәландырушы орталығының жұмыс істеуін регламенттейтін құжаттарға сәйкес көрсетілген өкілеттіктер туралы ақпаратты сақтау;

      ЭЦҚ-ны тексеру кілтінің сертификатын жасауға және алуға берілген сұрау салуда тиісті сенім білдірілген үшінші тарап көрсеткен ЭЦҚ-ны тексеру кілтіне сәйкес келетін ЭЦҚ кілтінің иелілігін растау және осы кілттің иелілігін растау кезінде теріс нәтиже болған жағдайда көрсетілген сертификатты жасаудан бас тарту;

      ЭЦҚ-ны тексеру кілттері сертификаттарының қолданылу мерзімдерін белгілеу. ЭЦҚ-ны тексеру кілтінің сертификаты, егер сертификаттың өзінде осындай сертификаттың қолданысы басталуының өзге күні көрсетілмесе, ол берілген сәттен бастап қолданылады, бұл ретте ЭЦҚ-ны тексеру кілтінің сертификаты туралы ақпаратты сенім білдірілген үшінші тарап қызметінің куәландырушы орталығы онда көрсетілген осындай сертификат қолданысының басталатын күнінен кешіктірмей ЭЦҚ-ны тексеру кілттерінің берілген, қолданысын тоқтатқан және күші жойылған сертификаттарының тізіліміне (бұдан әрі – сертификаттар тізілімі) енгізуге тиіс;

      ЭЦҚ-ны тексеру кілттері сертификаттарының қолданылуын тоқтату және күшін жою;

      сертификаттар тізілімін оған сенім білдірілген үшінші тарап қызметінің куәландырушы орталығы берген ЭЦҚ-ны тексеру кілттерінің сертификаттарында қамтылған ақпаратты, сондай-ақ осындай сертификаттардың қолданысын тоқтату немесе күшін жою туралы және қолданысын тоқтату немесе күшін жою негіздемелері туралы ақпаратты енгізе отырып жүргізу;

      ЭЦҚ-ны тексеру кілттерінің қолданысын тоқтатқан және күші жойылған сертификаттарының тізімін (бұдан әрі – кері қайтарылған сертификаттардың тізімі) жүргізу;

      сертификаттар тізіліміне және кері қайтарылған сертификаттар тізіміне тиісті өзгерістер енгізілгенге дейін ЭЦҚ-ны тексеру кілті сертификатының иесіне оның сертификатының күші жойылғаны туралы хабарлау;

      сертификаттар тізіліміндегі ЭЦҚ-ны тексеру кілттерінің бірегейлігін тексеру және Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының сұрау салуында көрсетілген ЭЦҚ-ны тексеру кілтінің бірегейлігін тексерудің теріс нәтижесі жағдайында ЭЦҚ-ны тексеру кілтінің сертификатын жасаудан бас тарту;

      сертификаттар тізіліміндегі және кері қайтарылған сертификаттар тізіміндегі ақпаратты өзекті ету, сондай-ақ оны заңсыз енуден, жоюдан, өзгертуден, бұғаттаудан және өзге де заңсыз әрекеттерден қорғау;

      сенім білдірілген үшінші тарап қызметінің куәландырушы орталығы қызметінің бүкіл мерзімі ішінде сертификаттар тізіліміне енгізілген ақпаратты сақтау;

      Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының кез келген уақытта интеграцияланған жүйе құралдарын пайдалана отырып сертификаттар тізіліміне тегін негізде қол жеткізуі;

      Комиссияның сенім білдірілген үшінші тарапының және мүше мемлекеттердің сенім білдірілген үшінші тараптарының өтініштері бойынша ЭЦҚ-ны тексеруді жүзеге асыру;

      Комиссияның сенім білдірілген үшінші тарапы және мүше мемлекеттердің сенім білдірілген үшінші тараптары электрондық құжаттар дайындау және оларға тиісті ЭЦҚ қол қою уақытын растау мақсатында өтініш жасаған жағдайда осындай сенім білдірілген үшінші тараптардың түбіртектеріне уақыт штамптарын жасау;

      ЭЦҚ-ны тексеру кілттерінің берілген сертификаттарын басқарумен байланысты өзге де қызметті жүзеге асыру жатады.

1.2.2. Ашық кілттер инфрақұрылымын пайдаланушылар

      Ашық кілттер инфрақұрылымын (АКИ) пайдаланушылар: сертификаттардың иелері және сенім білдіруші тараптар деген екі санатқа бөлінеді.

      СҮТ қызметінің КО-сы беретін ЭЦҚ-ны тексеру кілттері сертификаттарының иелері мынадай субъектілер (кілт жұптарын генерациялауды, сертификат алуға сұрау салу қалыптастыруды, өзінің жұмыс орнында СҮТ қызметі КО-сының сертификатын орнатуды және ЭЦҚ-ны тексеру кілттерінің сертификаттары иелерінің құқықтары мен міндеттеріне сәйкес басқа да операцияларды жүзеге асыратын) болып табылады:

      Комиссияның сенім білдірілген үшінші тарапы;

      мүше мемлекеттердің сенім білдірілген үшінші тараптары (уәкілетті ұйымдар – тиісті сервистердің операторлары);

      СҮТ қызметінің КО-сы.

      Криптографиялық кілттерді қалыптастырумен, электрондық-цифрлық қолтаңбаларды (электрондық қолтаңбаларды) тексеру кілттерінің сертификаттарын дайындауға сұрау салулар қалыптастырумен, электрондық-цифрлық қолтаңбаларды (электрондық қолтаңбаларды) тексеру кілттерінің сертификаттарын алумен, электрондық-цифрлық қолтаңбаларды (электрондық қолтаңбаларды) тексеру кілттері сертификаттарының көрсетілген иелері атынан электрондық-цифрлық қолтаңбаларды (электрондық қолтаңбаларды) тексеру кілттері сертификаттарының қолданысын тоқтатуға және күшін жоюға сұрау салуларды алумен байланысты операцияларды осы Регламенттің 23.2-тармағында сипатталған тәртіппен өкілеттіктері расталатын уәкілетті тұлғалар орындайды.

      ЭЦҚ-ны тексеру кілттері сертификаттарының иелері АКИ басқа пайдаланушыларының ЭЦҚ-сын тексеру рәсімдерін жүргізу кезінде СҮТ қызметінің КО-сынан сертификаттар мен ашық кілттердің мәртебесі туралы ақпаратты (ЭЦҚ тексеру және электрондық құжаттың түпнұсқалылығы туралы шешім қабылдау кезінде соған сене отырып) сұрататын сенім білдіруші тараптар болып табылады.

      Интеграцияланған жүйе интеграциялық сегментінің АКИ-інде басқа сенім білдіруші тараптар жоқ.

1.2.2.1. Комиссияның сенім білдірілген үшінші тарапы және мүше мемлекеттердің сенім білдірілген үшінші тараптары

      Комиссияның интеграциялық сегментінің және мүше мемлекеттердің ұлттық сегменттерінің құрамында жұмыс істейтін, субъектілердің Одақтың интеграцияланған ақпараттық жүйесі құралдарымен өзара іс-қимылының электрондық нысаны кезінде ЭЦҚ бірыңғай трансшекаралық сенім кеңістігін қамтамасыз ететін СҮТ сервистерінің жиынтығы интеграцияланған ақпараттық жүйенің СҮТ бірыңғай қызметін (бұдан әрі – СҮТ қызметі) білдіреді.

      СҮТ қызметі шеңберінде мүше мемлекеттердің СҮТ-і атынан мүше мемлекеттер және Комиссияның СҮТ-і атынан Комиссия СҮТ сервистерін ұсынады.

      Мүше мемлекеттер СҮТ сервистерінің операторлары уәкілетті органдар немесе олар айқындаған (аккредиттеген) ұйымдар болып табылады.

      Комиссия СҮТ сервистерінің операторлары Комиссия болып табылады.

      Интеграцияланған жүйе шеңберінде СҮТ қызметінің негізгі міндеттері:

      ақпараттық өзара іс-қимыл субъектілерінің – интеграцияланған жүйенің шеңберінде тіркелген уақыт сәтінде куәландырушы орталықтар шығарған сертификаттар иелерінің электрондық құжаттарының және ЭЦҚ түпнұсқалылығын және өзектілігін растау;

      электрондық құжаттармен халықаралық (трансшекаралық) алмасуда сенім кепілдіктерін қамтамасыз ету;

      мүше мемлекеттердің заңнамасына және Комиссия актілеріне сәйкес шығыс және (немесе) кіріс электрондық құжаттарда ЭЦҚ қолданудың заңдылығын қамтамасыз ету болып табылады.

      СҮТ сервисі серверінің сертификаты (СҮТС серверінің сертификаты) түбіртектер мен сұрау салулардың құрамына кіреді және осы түбіртектер мен сұрау салулардағы ЭЦҚ-ны тексеру, сондай-ақ СҮТ сервисінің серверін сәйкестендіру үшін пайдаланылады.

1.2.2.2. Уақыт штамптары сервисі

      Интеграцияланған жүйенің ашық кілттері инфрақұрылымында уақыт штамптары сервистері іске асырылған. Уақыт штамптары сервистері RFC 3161 (Time-Stamp Protocol) ұсынымдарына – уақыт штамптары хаттамасына сәйкес уақыт штамптарын тудырады. Әрбір уақыт штампы уақыт штамптарының сервистері үшін арнайы жасалған ЭЦҚ кілттерінің көмегімен ғана куәландырылады.

1.2.2.3. Сертификат мәртебесін тексеру сервисі

      Интеграцияланған жүйенің ашық кілттері инфрақұрылымында сертификаттың мәртебесін кері қайтарылған сертификаттардың тізімі бойынша тексеру әдісінен басқа, сертификаттың мәртебесін онлайн-режимде (OCSP) тексеру бойынша сервис ұсынылады. Сертификаттың мәртебесін тексеру сервисінің барлық жауаптарына сертификаттың мәртебесін тексеру сервисі үшін арнайы жасалған ЭЦҚ кілттерінің көмегімен қол қойылады.

1.2.3. Сертификаттарды пайдалану

      СҮТ қызметінің КО шығаратын сертификаттарды СҮТ операторлары СҮТ қызметінің жұмыс істеуін қамтамасыз ету мақсатында СҮТ операторлары пайдаланады.

      Сертификаттарды пайдалану салалары СҮТ қызметі КО-сының басшылары бекітетін, сертификаттар соларға сәйкес берілетін саясаттарға тәуелді болады.

      СҮТ қызметінің КО-сы сертификаттарды ЭЦҚ-ны тексеру кілттері сертификаттарының мынадай саясаттарына сәйкес береді:

      СҮТ қызметі КО-сының сертификаттау сервисінің ЭЦҚ-ны тексеру кілттерінің сертификаттары (бұдан әрі – КО уәкілетті тұлғаларының сертификаттары, КО түбір сертификаттары);

      СҮТ сервисі (СҮТС) серверінің ЭЦҚ-ны тексеру кілттерінің сертификаттары;

      сертификаттың мәртебесін тексеру сервисінің (СМТС) ЭЦҚ-ны тексеру кілттерінің сертификаттары;

      уақыт штамптары сервисінің (УШС) ЭЦҚ-ны тексеру кілттерінің сертификаттары.

      СҮТ қызметі КО-сының сертификаттау сервисінің ЭЦҚ-ны тексеру кілттерінің сертификаттары сертификаттардағы және кері қайтарылған сертификаттар тізімдеріндегі (бұдан әрі – КСТ) электрондық-цифрлық қолтаңбаларды тексеруге арналған.

      СҮТС серверінің ЭЦҚ-ны тексеру кілттерінің сертификаттары түбіртектердегі ЭЦҚ-ны тексеруге және СҮТ сервисінің серверін сәйкестендіруге арналған. СҮТС серверінің ЭЦҚ-ны тексеру кілттерінің сертификаттары сондай-ақ СҮТ операторларынан СҮТ қызметінің КО-сына келіп түсетін сертификаттарды шығаруға және кері қайтаруға сұрау салудың қолтаңбаларын тексеру үшін де пайдаланылады.

      СМТС ЭЦҚ-ны тексеру кілттерінің сертификаттары сертификаттардың мәртебесін тексеру сервисі беретін жауаптардағы электрондық цифрлық қолтаңбаларды тексеруге арналған.

      УШС ЭЦҚ-ны тексеру кілттерінің сертификаттары интеграцияланған жүйенің интеграциялық және ұлттық сегменттерінің уақыт штамптары сервисі беретін уақыт штамптарындағы электрондық цифрлық қолтаңбаларды тексеруге арналған.

      СҮТ қызметінің КО-сы берген, СҮТ қызметі КО-сының басшылары бекітетін саясаттарда көзделмеген, №1 қосымшаға сәйкес көзделген сертификат соларға сәйкес шығарылған сертификаттарды пайдалануға жол берілмейді.

1.3. Құжатты басқару

      СҮТ қызметі КО-сының Регламентін басқаратын ұйым: Еуразиялық экономикалық комиссияның Ақпараттық технологиялар департаменті.

      СҮТ қызметі куәландырушы орталығының мекенжайы:

      115114, Мәскеу қаласы, Летниковская көшесі, 2-үй, 1-құр., 2-құр.

      Телефон: +7 (495) 669-24-00, доб. ______

      Факс: 8 (495) 669-24-15

      e-mail: info@eecommission.org

      СҮТ қызметі куәландырушы орталығының пошта және заңды

      мекенжайы: 119121, Мәскеу қаласы, Смоленск бульвары, 3/5-үй, 1-құр.

      Байланысушы адам: ________________________________

      СҮТ қызметі КО-сының Регламентін бекіту рәсімі:

      СҮТ қызметі КО-сының осы Регламентін және сертификаттар саясаттарын бекітуді, сондай-ақ оларға өзгерістер енгізуді белгіленген тәртіппен Комиссия жүзеге асырады. Өзгерістер репозиторийде құжаттың жаңа нұсқасы түрінде жарияланады.

1.4. Белгіленімдер, терминдер және айқындамалар

      Осы Регламентте Еуразиялық экономикалық одақ шеңберіндегі ақпараттық-коммуникациялық технологиялар және ақпараттық өзара іс-қимыл туралы хаттамада (2014 жылғы 29 мамырдағы Еуразиялық экономикалық одақ туралы шартқа № 3 қосымша) келтірілген ұғымдар және мынадай терминдер мен айқындамалар пайдаланылады:

      "сенім білдіруші тарап" – ЭЦҚ тексеретін ашық кілттер инфрақұрылымын пайдаланатын ақпараттық өзара іс-қимылға қатысушы;

      "электрондық цифрлық қолтаңбаны тексеру кілті сертификатының иесі" – ЭЦҚ-ны тексеру кілтінің сертификаты берілген тұлға;

      "өтініш беруші" – СҮТ қызметінің КО-сына сертификат шығаруға өтініш беретін жеке тұлға;

      "электрондық цифрлық қолтаңбаны тексеру кілті (ашық кілт, ЭЦҚ-ны тексеру кілті" – электрондық цифрлық қолтаңба кілтімен бір текті байланысты және электрондық цифрлық қолтаңбаның түпнұсқалылығын тексеруге арналған символдардың бірегей дәйектілігі;

      "электрондық цифрлық қолтаңба кілті (ЭЦҚ кілті)" – символдардың ЭЦҚ жасауға арналған бірегей дәйектілігі;

      "кілттер жұбы" – ЭЦҚ-ны тексеру кілті және ЭЦҚ кілті;

      "ЭЦҚ кілтінің компрометациясы" – ЭЦҚ кілтінің құпиясы ашылуы мүмкін деуге негіз беретін факт;

      "КО пайдаланушы" – сертификаттың иесі немесе өтініш беруші;

      "электрондық цифрлық қолтаңбаны тексеру кілтінің сертификаты (сертификат)" – 3-нұсқаның Х.509 стандартына сәйкес қалыптастырылған, ашық кілтті және оның иесінің сәйкестендіру деректерін қамтитын және КО уәкілетті тұлғасының ЭЦҚ-сымен қол қойылған электрондық құжат;

      "кері қайтарылған сертификаттар тізімі, КСТ" – ЭЦҚ-ны тексеру кілттерінің қолданысын тоқтатқан және күші жойылған сертификаттарының тізімі;

      "ЭЦҚ құралдары" – ең болмағанда мына функциялардың бірін: ЭЦҚ жасауды, ЭЦҚ-ны тексеруді, ЭЦҚ кілтін жасауды және ЭЦҚ-ны тексеру кілтін жасауды іске асыру үшін пайдаланылатын криптографиялық құралдар;

      "уақыт штампы" – бұл деректердің белгілі бір уақытқа дейін өмір сүретіндігінің дәлелдемесі (RFC 3161 " Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)" сәйкес);

      "электрондық цифрлық қолтаңба (электрондық қолтаңба) (ЭЦҚ)" – басқа ақпаратқа (қол қойылатын ақпаратқа) электрондық нысанда қосылған немесе осындай ақпаратпен өзге де түрде байланысқан және қол қойған адамды айқындау үшін пайдаланылатын электрондық нысандағы ақпарат.

ІІ. СҮТ қызметінің КО-сы көрсететін қызметтердің тізбесі

      2. Осы Регламенттің 1.2.1-тармағында көзделген негізгі функциялардың тізбесіне сәйкес көрсетілетін СҮТ қызметі КО-сының қызметтерін қамтамасыз ету үшін СҮТ қызметінің КО-сында мынадай функционалдық құрамдастар (сервистер) іске асырылған:

      сертификаттар сервисі;

      уақыт штамптары сервисі;

      сертификаттардың мәртебесін тексеру сервисі;

      тіркеу сервисі;

      сертификаттау сервисі;

      ақпаратты қорғау жүйесі;

      ЭЦҚ құралдары.

      Сертификаттар сервисі мүше мемлекеттер ұлттық сегменттерінің СҮТ-і және Комиссияның СҮТ-і тарапынан ЭЦҚ-ны тексеру кілттері сертификаттарының тізіліміне және кері қайтарылған сертификаттардың тізіміне қол жеткізуді қамтамасыз етеді.

      Уақыт штамптары сервисі мүше мемлекеттер ұлттық сегменттерінің СҮТ-і және Комиссияның СҮТ-і үшін ЭЦҚ қалыптастыру операцияларын орындау кезінде уақыт штамптарын алуға арналған интерфейс ұсынады.

      Сертификаттардың мәртебесін тексеру сервисі мүше мемлекеттер ұлттық сегменттерінің СҮТ-і және Комиссияның СҮТ-і үшін OCSP хаттамасын пайдалана отырып күші жойылған сертификаттардың сұрау салуынсыз сертификаттың мәртебесін нақты уақыт режимінде тексеру мүмкіндігін береді.

      Тіркеу сервисі сертификаттарды беруге және олардың мәртебесін өзгертуге сұрау салуларды тіркеу мүмкіндігін береді. Сервис мүше мемлекеттердің ұлттық сегменттері СҮТ-інің және Комиссия СҮТ-інің тіркеу деректерін, ЭЦҚ-ны тексеру кілттерінің сертификаттарын жасауға сұрау салуларды сақтауды қамтамасыз етеді.

      Сертификаттау сервисі ЭЦҚ-ны тексеру кілттері сертификаттарының эталондық базасын және күші жойылған сертификаттардың тізімдерін сақтауды қамтамасыз етеді. Сервис ЭЦҚ кілттерін, негізгі жеткізгіштердегі негізгі ақпараттың жазбаларын қалыптастыру, ЭЦҚ-ны тексеру кілттерінің сертификаттарын дайындауға және олардың мәртебесін өзгертуге сұрау салулар дайындау және өңдеу, ЭЦҚ-ны тексеру кілттерінің сертификаттарын және күші жойылған сертификаттардың тізімдерін жасау үшін пайдаланылады.

      Ақпаратты қорғау жүйесі КО техникалық құралдарында, оның ішінде резервтік көшіру кезінде өңделетін және сақталатын құпия ақпаратты қорғауды, соның ішінде криптографиялық қорғауды қамтамасыз етеді.

      ЭЦҚ құралдары ЭЦҚ кілттерінің жұптарын генерациялау, негізгі ақпаратты сақтау, ЭЦҚ-ны тексеру, ЭЦҚ-ны генерациялау, қол қойылатын және тексерілетін ақпаратты көрсету функцияларын қамтамасыз етеді.

      Көрсетілген қызметтерді қамтамасыз ету үшін СҮТ қызметінің КО-сында бір немесе бірнеше адам орындауы мүмкін мынадай сенім білдірілген рөлдер бөлінеді:

      СҮТ қызметі КО-сының басшысы – СҮТ қызметі КО-сының жұмысын жалпы ұйымдастыруды жүзеге асырады, СҮТ қызметі КО-сының жұмыс істеуі саласындағы нормативтік актілерді әзірлеу және жетілдіру, ЭЦҚ құралдарын пайдалану жөніндегі жұмысты ұйымдастырады;

      СҮТ қызметі КО-сының уәкілетті адамы (сертификаттау әкімшісі) – СҮТ қызметі КО-сының ЭЦҚ кілтін сақтауды және пайдалануды қамтамасыз етеді, СҮТ қызметі КО-сының нормативтік базасын әзірлеуге және ЭЦҚ құралдарын пайдалануға қатысады, Комиссияның СҮТС-ін олардың қажеттілігіне сәйкес сертификаттармен қамтамасыз ету жоспарларын әзірлейді, даулы жағдайларды шешу жөніндегі жұмысты ұйымдастырады, сертификаттар иелерінің өтініштері бойынша электрондық құжаттардағы ЭЦҚ-ның түпнұсқалылығын растау, ЭЦҚ-ны тексеру кілттерінің жасалған сертификаттарындағы СҮТ қызметінің КО-сы уәкілетті адамының ЭЦҚ-сының түпнұсқалылығын растау рәсімдерін жүргізеді;

      СҮТ қызметінің КО-сы ақпараттық қауіпсіздігінің әкімшісі, оның лауазымдық міндеттеріне АКҚҚ пайдалану жөніндегі жұмыстарды ұйымдастыру, пайдаланушыларға арналған нұсқаулықтар әзірлеуге қатысу, АКҚҚ-дағы нұсқаулықтар мен қажетті құжаттаманы жеткізуді қамтамасыз ету (оның ішінде орнатылған АКҚҚ БҚ бүтіндігін мерзімдік бақылауды ұйымдастыру), олардың талаптарының орындалуын бақылау кіреді.

      Куәландырушы орталықтың құралдарымен мынадай міндетті рөлдер іске асырылады:

      жүйелік әкімші, оның өкілеттіктеріне куәландырушы орталықтың серверіндегі және әкімшінің автоматтандырылған жұмыс орнындағы арнайы БҚ-ны әкімшілендіру кіреді:

      ақпараттың қорғалуын және қорғау құралдарын теңшеуді қамтамасыз ететін қауіпсіздік әкімшісі;

      сертификаттау әкімшісі, оның өкілеттіктеріне ЭЦҚ-ны тексеру кілттерінің сертификаттарын және ЭЦҚ-ны тексеру кілттерінің кері қайтарылған сертификаттарының тізімдерін жасау кіреді;

      аудит әкімшісі, оның өкілеттіктеріне жүйелік оқиғаларды және аудит журналдары бойынша ақпаратты қорғау құралдарының оқиғаларын бақылау, сондай-ақ қақтығыстық жағдайларды шешу кіреді.

      Бір функционалдық рөл бір немесе бірнеше қызметкерге бекітілуі мүмкін. СҮТ қызметі КО персоналының жалпы саны 2 адамнан кем болмауы шарты сақталған жағдайда, бір қызметкерге бірнеше функционалдық рөл бекітілуі мүмкін.

      Комиссия басшылығының шешімі бойынша СҮТ қызметінің КО-сын пайдалану жөніндегі міндеттерді орындайтын қызметкерлердің саны шешілетін міндеттердің көлеміне және күрделілігіне теңбе-тең мөлшерде ұлғайтылуы мүмкін.

ІІІ. Ашық кілттер инфрақұрылымына қатысушылардың құқықтары мен міндеттері

      3. СҮТ қызметі КО-сының құқықтары мен міндеттері:

      СҮТ қызметі КО-сының:

      егер өтініш беруші осы Регламентке сәйкес барлық құжаттарды ұсынбаса, құжаттарда толық емес және (немесе) қате ақпарат қамтылса, ұсынылған құжаттардың бұрмалауының айқын белгісі болса, өтінішті қабылдаудан және сертификат шығарудан бас тартуға;

      егер олардың көмегімен кілттер және сұрау салу туындаған ЭЦҚ құралдары СҮТ қызметі КО-сының ЭЦҚ құралдарымен үйлеспесе, сертификатқа сұрау салуды қабылдаудан бас тартуға;

      егер ЭЦҚ-ның тиісті кілтінің белгіленген қолданылу мерзімі өтіп кетсе, ЭЦҚ-ны тексеру кілтінің сертификатын кері қайтарудан бас тартуға құқығы бар.

      СҮТ қызметінің КО-сы:

      сертификаттау әкімшісінің ЭЦҚ кілтін шығарылатын сертификаттарда және КСТ-да қалыптастыру үшін ғана пайдалануға;

      СҮТ қызметі КО-сы уәкілетті тұлғасының ЭЦҚ кілтінің құпиялылығын қамтамасыз етуге;

      КО пайдаланушыларына уәкілетті тұлғаның электрондық құжат нысанындағы ЭЦҚ кілтінің сертификатын ұсынуға;

      осы Регламентке сәйкес КСТ-ны өзекті жай-күйде ұстауға;

      берілетін сертификаттардың сериялық нөмірлерінің және олардағы ЭЦҚ-ны тексеру кілттерінің бірегейлігін қамтамасыз етуге;

      осы Регламентке сәйкес сертификат иесінің сұрау салуы бойынша пайдаланушының сертификатын ең қысқа мерзімді кері қайтаруға;

      осы Регламентті КО-ның репозиторийінде қолданыстағы редакцияда жариялауға міндетті.

      4. СҮТ қызметінің КО-сын пайдаланушының;

      сертификат шығаруға берілетін өтінішпен СҮТ қызметінің КО-сына жүгінуге;

      сертификат кері қайтаруға берілетін өтінішпен СҮТ қызметінің КО-сына жүгінуге;

      СҮТ қызметінің КО-сы уәкілетті тұлғасының электрондық құжат нысанындағы ЭЦҚ-ны тексеру кілтінің сертификатын алуға;

      СҮТ қызметі КО-сының тізілімінен электрондық құжат нысанындағы сертификат алуға;

      СҮТ қызметі КО-сының тізілімінен қағаз жеткізгіштегі сертификат алуға;

      КО берген сертификаттағы ЭЦҚ-ны тексеру үшін СҮТ қызметінің КО-сына өтініш жасауға;

      куәландырушы орталық берген сертификатқа сәйкес келетін кілтті пайдалана отырып қол қойылған құжаттағы ЭЦҚ-ны тексеру үшін СҮТ қызметінің КО-сына өтініш жасауға;

      сертификаттардың мәртебелерін тексеру үшін КСТ мен СМТС пайдалануға;

      уақыт штамптарын қою үшін КО УШС пайдалануға құқығы бар.

      СҮТ қызметінің КО-сын пайдаланушы:

      осы Регламентпен танысуға;

      меншікті ЭЦҚ кілтінің құпиялылығын қамтамасыз етуге;

      ЭЦҚ кілтін оның қолданылу мерзімінің ішінде ғана пайдалануға;

      ЭЦҚ кілтін тек тиісті сертификатта көрсетілген саясаттарға сәйкес пайдалануға;

      КСТ мен СМТС-ты сертификаттардың мәртебелері туралы ақпарат алу үшін пайдалануға;

      ЭЦҚ кілтінің құпиялылығы бұзылған деп санауға негіздемелер болған жағдайда ЭЦҚ кілтін пайдаланбауға;

      ЭЦҚ кілтінің компрометациясы жағдайында КО-ны жедел хабардар етуге және сертификатты кері қайтаруды сұрауға;

      кілттер жұбын және СҮТ қызметі КО-сының ЭЦҚ құралдарымен үйлесімді ЭЦҚ құралдарының сертификаттарына сұрау салуларды генерациялау үшін пайдалануға;

      СҮТ қызметінің КО-сы ЭЦҚ кілттерін жоспардан тыс ауыстыруды жүргізу туралы хабарланған жағдайда СҮТ қызметі КО-сының жаңа түбір сертификатын, жасалған кросс-сертификатты алуға, оларды орнатуды орындауға және СҮТ тиісті серверлерінде кері қайтарудың жергілікті тізімдерін жаңартуды жүзеге асыруға міндетті.

IV. СҮТ қызметінің КО қызметтерін көрсету үшін қажетті рәсімдерді (әрекеттерді) орындау тәртібі және мерзімдері

      5. Қызметтердің құны

      СҮТ қызметінің КО-сы СҮТ қызметінің функцияларын қамтамасыз ету үшін өтеусіз негізде сертификаттар шығаруды жүзеге асырады.

      6. Негізгі жеткізгіштердің тізбесі

      СҮТ қызметінің КО-сы негізгі жеткізгіштер ретінде:

      ЕЭК Алқасының 29.08.17 ж. № 101 ҚБПҮ шешімімен бекітілген қатерлер моделіне сәйкес ЭЦҚ-ның сенім білдірілген есептеу құрылғысын (СЕҚ) (ақпарат СЭҚ құрамындағы SSD-дискіде сақталады);

      негізгі жеке жеткізгіштерді – арнайы дайындалған USB-flash жеткізгіштерді пайдаланады.

      ЭЦҚ кілтін инициализациялау үшін қажетті негізгі ақпараттың бір бөлігі СЕҚ-та, ал екінші бөлігі USB-flash жеткізгіште сақталады. СЕҚ-тағы және USB-flash жеткізгіштердегі ақпарат қорғалған түрде сақталады.

      Кілттерді инициализациялау және ЭЦҚ кілттерімен жұмыс ЭЦҚ СЕҚ-ында ғана және тиісті USB-flash жеткізгіш ұсынылған және ЭЦҚ кілтінің иесі сәтті аутентификацияланған жағдайда ғана орындалады.

7. СҮТ қызметі КО-сының ЭЦҚ кілттерін жоспардан тыс ауыстыру тәртібі

      СҮТ қызметі КО-сының ЭЦҚ кілттерін жоспардан тыс ауыстыру пайдаланылатын ЭЦҚ құралдарының талаптарына сәйкес ерте дегенде КО-ның ЭЦҚ кілттерінің қолданысы басталған сәттен бастап 1 жыл өткеннен кейін және 1 жыл және 3 айдан кешіктірілмей орындалады.

      ЭЦҚ кілтін жоспарлы ауыстыру рәсімі мынадай тәртіппен жүзеге асырылады:

      СҮТ қызметі КО-сының сертификаттау әкімшісі СҮТ қызметі КО-сының ақпараттық қауіпсіздік әкімшісімен бірлесіп ЭЦҚ-ның жаңа кілтін және соған сәйкес келетін ЭЦҚ-ны тексеру кілтін қалыптастырады;

      СҮТ қызметі КО-сының өздігінен қол қойылған сертификаты қалыптастырылады және сертификаттар тізілімінде сақталады;

      сертификат алмалы-салмалы жеткізгіште сақталады және СҮТ қызметі КО-сының серверіне орнатылады.

      СҮТ қызметінің КО-сы ЭЦҚ-сының өзекті емес кілті СҮТ қызметінің КО-сы өзінің жұмыс істеу кезеңінде шығарған электрондық нысандағы кері қайтарылған сертификаттардың тізімдерін қалыптастыру үшін ғана пайдаланылады.

      СҮТ қызметінің КО-сы ЭЦҚ-сының кілттерін жоспарлы ауыстыру туралы пайдаланушыларды хабардар ету СҮТ қызметі КО-сының жаңа сертификатын СҮТ қызметі КО-сының репозитоийінде жариялау жолымен жүзеге асырылады.

8. СҮТ қызметі КО-сының электрондық қолтаңба кілттерін жоспардан тыс ауыстыру тәртібі

      СҮТ қызметінің КО-сы ЭЦҚ-сының кілттерін жоспардан тыс ауыстыру СҮТ қызметі КО ЭЦҚ-ның кілті компрометацияланған жағдайда немесе ЭЦҚ құралдары аппараттық бөлігінің (СЕҚ және (немесе) USB-flash жеткізгіш) физикалық жарамсыздығы туындаған жағдайда не ЭЦҚ құралдарын пайдаланудың мүмкін еместігіне әкеп соқтыратын бағдарламалық қамтамасыз етудің іркілісі кезінде орындалады.

      СҮТ қызметі КО-сының ЭЦҚ-сы кілтінің компрометациясына күдік болмаған кезде кілтті ауыстыру осы Регламенттің 7-тармағында көрсетілген кілттерді жоспарлы ауыстыру тәртібіне сәйкес орындалады.

      ЭЦҚ кілтінің компрометациясы (немесе оның компрометациясына күдік болуы) кезінде оны ауыстыру рәсімі мынадай тәртіппен жүзеге асырылады:

      СҮТ қызметі КО-сының сертификаттау әкімшісі СҮТ қызметі КО-сының ақпараттық қауіпсіздік әкімшісімен бірлесіп кілттердің жаңа жұбын әзірлейді және осы Регламенттің 7-тармағында көрсетілген кілттерді жоспарлы ауыстыру тәртібіне сәйкес жаңа сертификат дайындайды.

      СҮТ қызметі КО-сының түбір сертификатының компрометацияланған тиісті кілтіне кросс-сертификаттау орындалады (кросс-сертификатқа СҮТ қызметінің КО-сы ЭЦҚ-сының жаңа кілтімен қол қойылады);

      СҮТ қызметі КО-сының компрометацияланған түбір сертификатының күшін жою (кері қайтару) рәсімі орындалады. Кері қайтарылған сертификаттардың қалыптастырылған тізіміне СҮТ қызметінің КО-сы ЭЦҚ-сының жаңа кілтімен қол қойылады.

      Сертификаттардың иелерін кілттерді жоспарлы ауыстыру туралы хабардар ету телефон байланысын пайдалана отырып хабарлау жолымен жүргізіледі.

      СҮТ қызметінің КО-сы ЭЦҚ-сының кілттерін жоспардан тыс ауыстыру кезінде СҮТ әкімшісі СҮТ қызметі КО-сының жаңа түбір сертификатын, жасалған кросс-сертификаттыалуға, оларды орнатуды орындауға және СҮТ-тің тиісті серверлеріндегі кері қайтарудың жергілікті тізімдерін жаңартуды жүзеге асыруға тиіс.

9. СҮТ қызметі КО-сының сертификаттарды сүйемелдеу жөніндегі әрекеттері

      9.1. Сертификат шығаруға өтініш беру

      Сертификат шығаруға өтініш қағаз жеткізгіштегі құжат нысанында СҮТ қызметі КО-сына беріледі, оның деректемелерінің түпнұсқалылығы осы Регламентке № 2 қосымшаға сәйкес тексеріледі. Өтініш өтініш берушінің қолтаңбасымен, сондай-ақ ұйымның – сертификат ол үшін сұратылатын тиісті СҮТ операторының мөрімен куәландырылуға тиіс, не осы Регламентке № 3 қосымшаға сәйкес нысан бойынша мүше мемлекеттің заңнамасына сай нотариалды куәландырылуға тиіс.

      Ұйымдардың – СҮТ қызметі сервистері операторларының тізбесі Комиссияның шешімімен айқындалады.

      СҮТ түпнұсқалылығын растау сервисінің сертификатын және СҮТ уақыт штамптары қызметінің сертификатын шығаруға өтінішті ұйымның – СҮТ операторының уәкілетті қызметкерлері ғана бере алады.

      СҮТ түпнұсқалылығын растау сервисінің (ТРС) сертификатын және СҮТ уақыт штамптары қызметінің сертификатын шығаруға өтініштерді беру кезінде ұйымның – СҮТ операторының уәкілетті қызметкері СҮТ-те СҮТ сервистерінің негізгі және резервтік серверлерінің болуын ескереді. СҮТ қызметінің КО-сында бір СҮТ-ті сервистер сертификаттарымен қамтамасыз ету үшін 4 өтініш беріледі:

      СҮТ негізгі серверінің ТРС үшін;

      СҮТ резервтік серверінің ТРС үшін;

      СҮТ негізгі серверінің УШС үшін;

      СҮТ резервтік серверінің УШС үшін.

      Өтініш беруші СҮТ сервистерінің ЭЦҚ-ны тексеру кілттерінің сертификаттарын шығаруға өтініштерді СҮТ қызметінің КО-сына өтініш беруші тиісті СҮТ серверінде тікелей туындатқан иеліктен шығарылатын жеткізгіштегі (CD немесе DVD дискідегі) ЭЦҚ-ны тексеру кілтінің сертификатына PKCS#10 форматындағы сұрау салулар файлдарын ұсынады.

      ЭЦҚ кілттерін ауыстыру кезінде, егер өтініш беруші адам өзгермеген жағдайда, сертификат шығаруға сұрау салу файлы бар жеткізгішті СҮТ қызметінің КО-сына жөнелту жолымен Комиссияға бармастан өтінішті оңайлатып беруге жол беріледі (ЭЦҚ кілтінің компрометациялануы жағдайларынан басқа). Комиссияға өзі бармастан СҮТ қызметінің КО-сына берілетін сертификат шығаруға сұрау салуларға СҮТ-тің тиісті кіші жүйесінің түпнұсқалылығын растау сервисі ЭЦҚ-сының қолданыстағы кілтімен қол қойылуға тиіс.

9.2. Сертификат шығаруға берілетін өтінішті өңдеу

      Өтініш беруші сәтті аутентификацияланғаннан кейін сертификаттау әкімшісі СҮТ қызметі КО-сының ақпараттық қауіпсіздік әкімшісімен бірлесіп сәйкестендіру ақпаратының сертификат шығаруға өтініштегі деректерге сәйкестігін тексереді. Сертификат шығаруға сұрау салу дерекқорда сақталады. Бастапқы тіркеу кезінде сәйкестендіру ақпараты да дерекқорға енгізіледі және сертификатты кері қайтаруға телефонмен сұрау салу кезінде жедел аутентификациялау үшін өтініш берушіге пароль сөзі беріледі.

      Сертификат шығаруға өтініш, егер мынадай талаптар орындалған:

      өтініш беруші осы Регламенттің 23.2-тармағына сәйкес аутентификациялау рәсімінен өткен;

      сертификат сұрату файлы белгіленген форматқа (сұрау салудың форматы осы Регламентке № 1 қосымшада көрсетілген) сәйкес келген, сұрау салудағы сәйкестендіру деректері қағаз жеткізгіштегі өтініште көрсетілген деректермен үйлескен;

      сұрау салудағы DN бірегей аты осы Регламенттің 23.1.1-тармағының талаптарына сәйкес келген;

      кілттерді генерациялау алгоритмі және сұрау салу қолтаңбалары СҮТ қызметінің КО-сында пайдаланылатындармен үйлескен жағдайда өңдеуге беріледі.

      Егер келтірілген талаптардың ең болмағанда бірі орындалмаса, онда сертификат шығаруға берілетін өтініш міндетті түрде өтініш берушіге хабарлана отырып қабылданбайды.

9.3. Сертификат шығаруға берілетін өтінішті өңдеу мерзімі

      Сертификат шығаруға берілетін өтінішті өңдеу 1 жұмыс күнінің ішінде жүргізіледі. Егер СҮТ қызметінің КО-сына өтініш берушіні аутентификациялау үшін қосымша деректер талап етілген жағдайда, өңдеу мерзімі ұзартылуы мүмкін.

10. Сертификат шығару

      10.1. СҮТС серверінің сертификатын шығару

      СҮТС серверінің сертификатын шығару кезінде өтініш беруші СҮТ қызметінің КО-сына өтініш беруші тікелей СҮТС серверінде генерациялаған белгіленген форматтағы сұрау салу файлын ұсынады. СҮТ қызметі КО-сының сертификаттау әкімшісі СҮТ қызметі КО-сының дерекқорындағы өтініштен сәйкестендіру ақпаратының болуын тексереді және "СҮТС сервері" шаблоны бойынша сұрау салу файлының негізінде сертификат шығаруды жүзеге асырады.

      Сертификаттардың қалыптары осы Регламентке № 1 қосымшада келтірілген.

10.2. СМТС серверінің сертификатын шығару

      СМТС серверінің сертификатын шығару кезінде өтініш беруші СҮТ қызметінің КО-сына өтініш беруші тікелей СМТС серверінде генерациялаған белгіленген форматтағы сұрау салу файлын ұсынады. СҮТ қызметі КО-сының сертификаттау әкімшісі СҮТ қызметінің дерекқорындағы өтініштен сәйкестендіру ақпаратының болуын тексереді және "СМТС сервері" шаблоны бойынша сұрау салу файлының негізінде сертификат шығаруды жүзеге асырады.

      Сертификаттардың қалыптары осы Регламентке № 1 қосымшада келтірілген.

10.3. УШС серверінің сертификатын шығару

      УШС серверінің сертификатын шығару кезінде өтініш беруші СҮТ қызметінің КО-сына өтініш беруші тікелей УШС серверінде генерациялаған белгіленген форматтағы сұрау салу файлын ұсынады. СҮТ қызметі КО-сының сертификаттау әкімшісі КО дерекқорындағы өтініштен сәйкестендіру ақпаратының болуын тексереді және "УШС сервері" шаблоны бойынша сұрау салу файлының негізінде сертификат шығаруды жүзеге асырады.

      Сертификаттардың шаблондары осы Регламентке № 1 қосымшада келтірілген.

10.4 Меншік иесін сертификаттың шығарылуы туралы хабардар ету

      Уәкілетті өкілі КО-ға жеке өзі келуі кезінде берген СҮТ операторынан келіп түскен сұрау салу бойынша сертификаттар шығарылғаннан кейін СҮТ қызметі КО-сының әкімшісі оператордың өкіліне қағаз жеткізгіштегі сертификатты және алмалы-салмалы жеткізгіштегі электрондық түрдегі сертификатты беру жолымен меншік иесін сертификаттың шығарылғаны туралы хабардар етеді.

      Уәкілетті өкілінің КО-ға жеке келуінсіз берілген СҮТ операторынан келіп түскен сұрау салу бойынша сертификаттар шығарылғаннан кейін СҮТ қызметі КО-сының әкімшісі телефон байланысы арқылы не шығарылған электрондық түрдегі сертификатты қоса бере отырып, пошта хабарламасын жөнелту арқылы меншік иесін сертификаттың шығарылғаны туралы хабардар етеді. Сертификат иесінің мекенжайына қағаз жеткізгіштегі сертификат қосымша жіберіледі.

11. Иесінің сертификатты қабылдауы

      11.1. Сертификатты қабылдауды растау

      Сертификаттың иесіне сертификатпен бірге қағаз құжат нысанындағы сертификат беріледі. Меншік иесі сертификатты қабылдап алу кезінде сертификаттың құрамына енгізілген сәйкестендіру ақпаратымен танысуға міндетті. Егер сәйкестендіру ақпараты дұрыс болған жағдайда, меншік иесі қағаз жеткізгіштегі сертификатты өз қолтаңбасымен куәландырады. Қағаз жеткізгіштегі сертификаттың бір данасы иесіне беріледі, екінші данасы СҮТ қызметінің КО-сына мұрағаттық сақтауға беріледі.

      Қағаз жеткізгіштегі құжат нысанындағы сертификатқа қол қойылу фактісі сертификатты қабылдауды растау болып табылады.

      11.2. Сертификатты жариялау

      Берілген сертификат СҮТ қызметі КО-сының серверінде жарияланады.

      11.3. Сертификатты жасау және беру мерзімі

      Сертификатты жасау және беру мерзімі өтініш пен растау құжаттары берілген сәттен бастап бір жұмыс күнінен аспайды.

12. Кілттер мен сертификаттарды пайдалану

      Кілттер мен сертификаттарды пайдалану мақсаттары сертификат оған сәйкес берілген саясатқа байланысты болады.

      12.1. СҮТС серверінің кілті және сертификаты

      СҮТС серверінің ЭЦҚ кілті ЭЦҚ-ны тексеру түбіртектерінде және ұлттық сегменттердің СҮТС автоматты режимде тексеру жүргізуге сұрау салуларда ЭЦҚ қалыптастыру үшін ғана пайдаланылады.

      СҮТС серверінің сертификаты түбіртектердің және сұрау салулардың құрамына енгізіледі және осы түбіртектер мен сұрау салуларда ЭЦҚ-ны тексеру, сондай-ақ СҮТС серверін сәйкестендіру үшін пайдаланылады.

      12.2. СМТС серверінің кілті және сертификаты

      СМТС серверінің ЭЦҚ кілті қызметтің OCSP-жауаптарында автоматты режимде сенім білдірілген жауапкер режимінде ЭЦҚ қалыптастыру үшін ғана пайдаланылады.

      СМТС сертификаты сервистің OCSP-жауабының құрылымына енгізіледі және OCSP-жауаптағы ЭЦҚ-ны тексеру және СМТС сәйкестендіру үшін пайдаланылады.

      12.3. УШС серверінің кілті және сертификаты

      СҮТС сұрау салулары жөніндегі қызмет беретін уақыт штамптарында ЭЦҚ қалыптастыру үшін ғана пайдаланылады.

      СҮТС сертификатын сервис сервері берілетін уақыт штамптары құрылымына енгізеді және уақыт штамптарындағы ЭЦҚ-ны тексеру және қызметті сәйкестендіру үшін пайдаланылады.

13. Сертификатты жаңарту

      Сертификатты жаңарту қолданыстағы кілттер жұбы үшін жүргізілмейді. Әрбір сертификат кілттердің жаңа жұбымен шығарылады.

14. Кілттерді жаңарту

      Кілттерді жаңарту сертификаттың иесі тіркеген кілттердің жаңа жұбы үшін жаңа сертификат беруді білдіреді. Жаңа кілттері бар сертификатты сәйкестендіру және шығару рәсімдері бастапқы тіркеу рәсімдеріне ұқсас және олар осы Регламенттің 23.2-тармағына сәйкес орындалады.

15. Сертификатқа енгізілетін деректерді өзгерту

      СҮТ қызметінің КО-сы сертификаттарды өзгертуді жүргізбейді. Сертификатқа енгізілетін сәйкестендіру деректері өзгерген жағдайда осы Регламенттің 20.2-тармағына сәйкес жаңа кілттер жұбы бар жаңа сертификат шығару жүргізіледі.

16. Сертификатты кері қайтару және оның қолданысын тоқтата тұру

      16.1. Сертификатты кері қайтару үшін негіздемелер

      СҮТ қызметінің КО-сы берген ЭЦҚ-ны тексеру кілтінің сертификаты осы Регламенттің 30.3-тармағына сәйкес ЭЦҚ кілтінің компрометациясы жағдайында, сондай-ақ сертификатқа енгізілетін ақпарат дәл болмаған немесе толық болмаған жағдайда кері қайтаруға жатады.

      Сертификаттың қолданысын тоқата тұру қолдау таппайды.

      16.2. Сертификатты кері қайтаруға сұрау салу

      СҮТ қызметінің КО-сы берген сертификатты кері қайтаруды сертификаттың иесі немесе СҮТ қызметі КО-сының басшысы жазбаша нысанда сұратуы мүмкін.

      16.3. Cертификатты кері қайтаруға сұрау салуды беру

      Cертификатты кері қайтаруға сұрау салу CD/DVD оптикалық алмалы-салмалы жеткізгіші пайдаланыла отырып СҮТ қызметінің КО-сына берілуі мүмкін. Бұл ретте сұрау салуға СҮТ қызметінің КО-сы берген кері қайтарылатын сертификаттың кілті пайдаланыла отырып қол қойылады. Кері қайтаруға сұрау салу СҮТ қызметінің КО-сына бастапқы тіркеу кезінде тағайындалатын парольдік сөз бойынша сертификат иесінің аутентификациялануымен телефон байланысы бойынша да берілуі мүмкін.

      Кері қайтаруға сұрау салу СҮТ қызметінің КО-сына берілгеннен кейін сертификаттың иесі сертификат иесінің өз қолтаңбасымен, уәкілетті адамның қолтаңбасымен және СҮТ операторы органының (ұйымының) мөрімен куәландырылған не ұлттық заңнамаға сәйкес нотариалдық куәландырылған қағаз жеткізгіштегі сертификатты кері қайтаруға өтініш беруге тиіс. Өтініштің нысаны осы Регламентке № 4 қосымшада келтірілген.

      16.4. Сертификатты кері қайтаруға сұрау салуды өңдеуді кешіктірудің жол берілетін мерзімдері

      Сертификатты кері қайтаруға сұрау салу 1 жұмыс күнінің ішінде өңделеді.

17. Сенім білдіруші тарап сертификатының мәртебесін тексеруге қойылатын талаптар

      Сенім білдіруші тарап ЭЦҚ-мен электрондық құжатты алғаннан кейін сертификаттардың мәртебелерін тексеру хаттамасы бойынша ЭЦҚ-ны тексеру кілтінің сертификатын кері қайтарылған сертификаттардың тізімі бойынша жедел режимде тексеруге міндетті. Егер құжаттың ЭЦҚ-сы оның көмегімен тексерілетін сертификат кері қайтарылған сертификаттардың тізілімінде болса, онда мұндай құжатты сенім білдіруші тарап қабылдамайды.

      17.1. КСТ шығару жиілігі

      Кері қайтарылған сертификаттардың тізімін СҮТ қызметінің КО-сы сертификатты кері қайтаруға сұрау салу өңделгеннен кейін дереу, бірақ 3 айда 1 реттен сиретпей (тіпті тізімде өзгерістер болмаған кезде де) шығарады және репозиторийге мына мекенжайлар бойынша жариялайды:

      http:// <XXX>00.DTS.EEC;

      http:// <XXX>01.DTS.EEC.

      17.2. КСТ жариялауды кешіктірудің ең ұзақ уақыты

      Кері қайтарылған сертификаттардың тізімі СҮТ қызметі КО-сының серверінде тікелей шығарудан кейін жарияланады. Жариялауды кешіктірудің ең ұзақ уақыты 1 сағатты құрайды.

      17.3. Сертификаттарды нақты уақыт режимінде тексеру сервисі

      СҮТ қызметінің КО-сы сертификаттарды нақты уақыт режимінде тексеру қызметтерін көрсетеді. Осы түрдегі қызмет RFC 6960-та сипатталған OCSP хаттамасы бойынша көрсетіледі.

      OCSP хаттамасы сертификаттың мәртебесі туралы ақпаратты CRL толық тізімін алу және тексеру қажеттігінсіз алуға мүмкіндік береді.

      OCSP хаттамасы сұрау салу – жауап моделінің негізінде әрекет етеді. СҮТ қызметі КО-сының құрылымына кіретін СМТС сервері әрбір сұрау салудың жауабына сертификаттың мәртебесі туралы мынадай стандарттық ақпарат жібереді:

      дұрыс (ағылш. good) – сұрау салуға оң жауапты білдіреді, оны сертификаттың жарамды болып табылатындығын куәландыру ретінде бір мәнді түсіндіру қажет;

      кері қайтарылған (ағылш. revoked) – сертификаттың кері қайтарылғанын білдіреді;

      белгісіз (ағылш. unknown) – тексерілетін сертификатты СҮТ қызметінің КО-сы бермегенін білдіреді.

      OCSP сервисі СҮТ қызметі КО-сының КСТ-ын негізге ала отырып жауап дайындайды.

18. Кілттердің компрометацияланған жұбын ауыстыру кезіндегі ерекше талаптар

      Кілттер компрометацияланған жағдайда тиісті сертификат дереу КСТ-ға енгізіледі және жаңа сертификат беру бастапқы тіркеу үшін көзделген тәртіппен жүргізіледі.

19. Сертификаттар қолданысын тоқата тұрудың негіздемелері

      СҮТ КО-сы берілген сертификаттардың қолданысын тоқата тұрмайды.

20. Сертификаттардың мәртебелері қызметтері

      20.1. СҮТ қызметінің КО-сы берген сертификаттардың мәртебесі туралы хабардар ету тәсілдері

      СҮТ қызметінің КО-сы берген сертификаттардың мәртебесі туралы ақпаратты СҮТ қызметі КО-сының репозиторийінде жарияланатын КСТ негізінде, сондай-ақ OCSP хаттамасы бойынша алуға болады. OCSP қызметінің серверіне қол жеткізу туралы ақпарат берілген әрбір сертификатта қамтылады.

      20.2. Сервистің қол жетімділігі

      Сертификат мәртебесін тексеру жөніндегі қызметтер тәулігіне 24 сағат, аптасына 7 күн қол жетімді болады.

      21. Кілттерді депозиттеу және қалпына келтіру

      СҮТ қызметінің КО-сы кілттерді депозиттеуді және қалпына келтіруді жүзеге асырмайды.

      22. Репозиторий

      Репозиторий СҮТ қызметі КО-сының серверіне орналастырылған файлдар мен каталогтардың жиынтығы болып табылады. Репозиторийде сертификаттар, кері қайтарылған сертификаттардың тізімдері және осы Регламент болады.

      СҮТ қызметінің КО-сы өзінің Репозиторийінде жариялаған барлық ақпарат мына мекенжайлар бойынша қол жетімді болады:

      http://<XXX>00.DTS.EEC,

      http:// <XXX>01.DTS.EEC

      Репозиторий мынадай ақпаратты:

      СҮТ қызметінің КО-сы берген барлық сертификаттарды;

      кері қайтарылған сертификаттардың өзекті тізімдерін;

      СҮТ қызметі КО-сының басшысы бекіткен сертификаттарды басқару саясаттарын;

      осы Регламенттің өзекті нұсқасын қамтиды.

      Репозиторийдегі ақпарат мынадай кезеңділікпен:

      СҮТ қызметінің КО-сы берген сертификаттар – тікелей жаңа сертификат шығарылғаннан кейін;

      кері қайтарылған сертификаттардың тізімдері – кемінде 3 айда 1 рет және бұрын берілген сертификаттар кері қайтарылған жағдайда шұғыл;

      осы Регламенттің жаңа нұсқасы – оның бекітілу фактісі бойынша жарияланады.

      СҮТ қызметінің КО-сы репозиторийге рұқсатсыз қосудың, жоюдың немесе ондағы жазбаларды өзгертудің алдын алатын қорғау механизмдерін пайдаланады.

      Репозиторийге қол жетімділік тәулігіне 24 сағат, аптасына 7 күн қамтамасыз етіледі.

      КО орналастырылған сертификаттарға және http хаттамасы бойынша КСТ-ға қол жетімділікті шектемейді.

23. Сәйкестендіру және аутентификациялау тәртібі

      23.1. Сертификаттың құрамына енгізілетін сәйкестендіру ақпаратына қойылатын талаптар

      23.1.1. Атаулардың түрлері

      Сертификаттарда көрсетілетін сертификаттар иелерінің сәйкестендіру деректері, сондай-ақ СҮТ қызметі КО-сының сәйкестендіру деректері Х.500 Ұсынымдарына сәйкес кодталған айырымдық атауды (DN) білдіруге тиіс. Айырымдық атау СҮТ қызметі КО-сының шеңберінде бірегей болуға тиіс.

      Айырымдық атау құрамдастарының құрамы мен форматы Х.501 ұсынымдарына сәйкес болуға тиіс.

      Атау құрамдастарына (сертификат иесінің сәйкестендіру ақпаратына) қойылатын талаптар 1-кестеде келтірілген.

      1-кесте

Атрибут

Талаптар

Distinguished name (DN)

айырымдық атау СҮТ қызметі PKI шеңберінде бірегей болуға тиіс

Country (C)

МЕМСТ 7.67-2003 (ИСО 3166-1:1997) сәйкес елдің екі символдық коды

Organization (O)

жарғылық құжаттарға сәйкес ұйымның қысқартылған атауы

Description

ұйымның жалпы атауы

StateOrProvinceName(S)

СҮТ ұйымы-операторы тіркелген ұйымның орналасқан саласы

LocalityName (L)

СҮТ ұйымы-операторы тіркелген елді мекеннің атауы

StreetAddress

СҮТ ұйымы-операторы орналасқан мекенжай

Ақпараттық жүйенің сәйкестендіргіші


E-Mail Address (E)

СҮТ ұйымы-операторы өкілінің, қызметтің немесе сервистің электрондық поштасының мекенжайы немесе сертификаттау әкімшісі электрондық поштасының мекенжайы

CommonName (CN)

өрісінің мәні сертификат соған сәйкес берілген саясатқа байланысты:
<СҮТ псевдонимі> – СҮТС серверінің сертификаты (мысалы, интеграциялық сегменттің СҮТС-і)
<СМТС ИС> – сертификат мәртебесін тексеру сертификаты
<УШС псевдонимі> – уақыт штамптары қызметінің сертификаты
<тегі, аты, әкесінің аты> – әкімшінің немесе оператордың сертификаты

      DN атауын СҮТ қызметінің КО-сына өтініш беретін адам ұсынады. Егер осы атау жалпы талаптарға сәйкес келсе және бірегей болып табылса, яғни СҮТ қызметінің КО-сында тіркеліп қойған сертификаттың басқа иесінің DN-на сәйкес келсе, онда ол сәйкестендіру деректері ретінде қабылданады және сертификат иесін тіркеу кезінде СҮТ қызметінің КО-сына енгізіледі.

      DN атауының бірегейлігін қамтамасыз ету үшін СҮТ қызметі КО-сының операторлары айырымдық атаудың СN құрамдасына әртүрлі символдар қосуы мүмкін.

      23.1.2. Анонимдік сертификаттар

      СҮТ қызметінің КО-сы анонимдік сертификаттар шығармайды. Псевдонимдер ретінде қызметтер мен сервистердің атаулары пайдаланылады.

      23.2. СҮТ қызметінің КО-сын пайдаланушыларды сәйкестендіру және аутентификациялау және бастапқы тіркеу рәсімдері

      СҮТ қызметінің КО-сын пайдаланушыларды тіркеу сертификаттар шығаруға өтініш берген жеке тұлғаның СҮТ қызметінің КО-сы берген бір де бір жарамды сертификаты болмаған кезде жүзеге асырылады.

      Ұсынылған деректер сәтті тексерілгеннен кейін өтініш беруші СҮТ қызметінің КО-сын уәкілетті пайдаланушылар тізіміне енгізеді және кері қайтаруға сұрау салу кезінде жедел сәйкестендіру үшін пароль сөзін алады. Сертификат шығаруға берілетін өтініш өңделеді және сертификатты шығару жүзеге асырылады.

      Сәйкестендіру рәсімі СҮТ қызметі КО-сының басшысы бекіткен сертификаттар саясаттарымен айқындалады.

      23.2.1. СҮТ түпнұсқалылығын растау сервисі серверінің сертификатын сұрату кезіндегі сәйкестендіру және аутентификациялау тәртібі

      Сертификат шығаруға өтініш беру кезінде өтініш берушіні сәйкестендіру СҮТ қызметінің КО-сына жеке өтініш жасау кезінде ғана жүзеге асырылады. Өтініш беруші мынадай құжаттарды ұсынуға тиіс:

      қағаз жеткізгіштегі сертификат шығаруға өтініш;

      сертификатқа өтінім беретін жеке адамның паспорты;

      СҮТ ұйымы-операторы өтініш берушінің атына берген сертификат алу құқығына сенімхат;

      СҮТ бағдарламалық-аппараттық кешенін (бұдан әрі – БАК) пайдалануға жауапты адамды тағайындау туралы ұйым басшысы куәландырған ұйым бойынша бұйрықтың көшірмесі немесе бұйрықтан үзінді.

      Егер өтініш берушінің жеке басын куәландыратын паспорт түпнұсқа болып табылса және құжаттағы фотосурет ұсынушының фотосуреті болып табылса, ал өтініш беруші СҮТ уәкілетті тұлғаларының тізіміне (бұған дейін СҮТ операторы электрондық поштамен ұсынған) кірген болса, онда өтініш беруші аутентификацияланған болып есептеледі.

      Егер ұйымның сенімхаттағы қолтаңбалары мен мөрлері және бұйрықтың (үзіндінің) көшірмелері түпнұсқа болып табылса (не сенімхат ұлттық заңнамаға сәйкес нотариалды куәландырылса), ал сенімхатты берген ұйым СҮТ ұйымдары-операторларының тізбесіне кірген болса, өтініш берушінің өкілеттіктері расталған болып есептеледі.

      Құжаттардың түпнұсқалылығын тексеру осы Регламентке № 2 қосымшаға сәйкес жүргізіледі.

      23.2.2. Сертификаттың мәртебесін тексеру сервисінің сертификатын сұрату кезіндегі сәйкестендіру және аутентификациялау тәртібі

      Сертификат шығаруға өтініш беру кезінде өтініш берушіні сәйкестендіру СҮТ қызметінің КО-сына жеке өтініш жасау кезінде ғана жүзеге асырылады. Өтініш беруші мынадай құжаттарды ұсынуға тиіс:

      қағаз жеткізгіштегі сертификат шығаруға өтініш;

      сертификатқа өтінім беретін жеке адамның паспорты;

      СҮТ қызметі КО-сының ұйымы-операторы өтініш берушінің атына берген СМТС сертификатын алу құқығына сенімхат;

      СМТС пайдалануға жауапты адамды тағайындау туралы ұйым басшысы куәландырған ұйым бойынша бұйрықтың көшірмесі немесе бұйрықтан үзінді.

      Егер өтініш берушінің жеке басын куәландыратын паспорт түпнұсқа болып табылса және құжаттағы фотосурет ұсынушының фотосуреті болып табылса, онда өтініш беруші аутентификацияланған болып есептеледі.

      Егер ұйымның бұйрықтың көшірмесіндегі (үзіндідегі) қолтаңбалары мен мөрлері түпнұсқа болып табылса (не сенімхат ұлттық заңнамаға сәйкес нотариалды куәландырылса), ал сенімхатты берген ұйым СҮТ ұйымдары-операторларының тізбесіне кірген болса, өтініш берушінің өкілеттіктері расталған болып есептеледі.

      Құжаттардың түпнұсқалылығын тексеру осы Регламентке № 2 қосымшаға сәйкес жүргізіледі.

      23.2.3. Уақыт штамптары сервисінің сертификатын сұрату кезіндегі сәйкестендіру және аутентификациялау тәртібі

      УШС сертификатын шығаруға өтініш беру кезінде өтініш берушіні сәйкестендіру СҮТ қызметінің КО-сына жеке өтініш жасау кезінде ғана жүзеге асырылады. Өтініш беруші мынадай құжаттарды ұсынуға тиіс:

      қағаз жеткізгіштегі сертификат шығаруға өтініш;

      сертификатқа өтінім беретін жеке адамның паспорты;

      СҮТ операторы өтініш берушінің атына берген УШС сертификатын алу құқығына сенімхат;

      УШС (немесе СҮТ БАК) пайдалануға жауапты адамды тағайындау туралы ұйым басшысы куәландырған ұйым бойынша бұйрықтың көшірмесі немесе бұйрықтан үзінді.

      Егер өтініш берушінің жеке басын куәландыратын паспорт түпнұсқа болып табылса және құжаттағы фотосурет ұсынушының фотосуреті болып табылса, онда өтініш беруші аутентификацияланған болып есептеледі.

      Егер ұйымның сенімхаттағы, бұйрықтың көшірмесіндегі (үзіндідегі) қолтаңбалары мен мөрлері түпнұсқа болып табылса (не сенімхат ұлттық заңнамаға сәйкес нотариалды куәландырылса), өтініш беруші УШС (СҮТ БАК) пайдалануға жауапты болып тағайындалса, ал ұйым УШС (СҮТ БАК) операторы болып табылса, өтініш берушінің өкілеттіктері расталған болып есептеледі.

      Құжаттардың түпнұсқалылығын тексеру осы Регламентке № 2 қосымшаға сәйкес жүргізіледі.

      23.2.4. Кілттерді жаңарту кезіндегі сәйкестендіру және аутентификациялау

      Кілттерді жоспарлы ауыстыру кезінде сертификат шығаруға өтініш беру кезіндегі сәйкестендіру және аутентификациялау сертификаттың саясатына қарай осы Регламенттің осы тармағында сипатталған бастапқы сәйкестендірудің ұқсас тәртібіне сәйкес жүргізіледі.

      23.2.5. Сертификат кері қайтарылғаннан кейін сұрау салу беру кезіндегі сәйкестендіру және аутентификациялау

      Сертификат кері қайтарылғаннан кейін сұрау салу беру кезіндегі сәйкестендіру және аутентификациялау сертификаттың саясатына қарай осы Регламенттің осы тармағында сипатталған бастапқы сәйкестендірудің ұқсас тәртібіне сәйкес жүргізіледі.

      23.2.6. Сертификатты кері қайтару кезіндегі сәйкестендіру және аутентификациялау

      Кері қайтаруға сұрау салу беру кезіндегі аутентификациялау бастапқы тіркеу процесінде берілетін парольдік сөз бойынша жүзеге асырылады. Кері қайтаруға сұрау салуды жедел өңдеу үшін сертификаттың иесі СҮТ қызметінің КО-сына өтініш жасау кезінде өзінің атын, тегін, лауазымын және парльдік сөзді атауға тиіс.

      Егер СҮТ қызметі КО-сының дерекқорындағы сертификат иесінің сәйкестендіру деректері және берілген парольдік сөзі өтініш беру кезінде көрсетілгендермен сәйкес келсе, онда сертификаттың иесі аутентификацияланған болып есептеледі және кері қайтаруға сұрау салу өңдеуге беріледі.

      Кері қайтаруға өтініш алмалы-салмалы жеткізгіш пайдаланыла отырып берілген жағдайда пайдаланушының аутентификациясы сұрау салудың ЭЦҚ-ны тексеру кілті арқылы жүзеге асырылады.

      Егер сертификат иесінің сәйкестендіру деректері СҮТ қызметі КО-сының дерекқорында қамтылса және хабардағы ЭЦҚ дұрыс болса, онда пайдаланушы аутентификацияланған болып есептеледі және сұрау салу өңделеді.

24. Қауіпсіздікті қамтамасыз етудің физикалық, ұйымдастыру және пайдалану шаралары

      Бұл бөлімде СҮТ қызметінің КО-сында жүргізілетін физикалық, ұйымдастырушылық қорғау құралдарын және персоналдың әрекеттерін бақылау саласындағы негізгі іс-шаралар сипатталады.

      24.1. Қауіпсіздікті қамтамасыз етудің физикалық шаралары

      СҮТ қызметінің КО-сы бақыланатын аймақта – адамдардың және (немесе) көлік құралдарының болуы мен іс-әрекеттерін бақылау оның шегінде жүзеге асырылатын кеңістікте орналасады.

      Комиссияда СҮТ қызметі КО-сының орналасуы мекенжайында орналасқан СҮТ қызметінің КО-сы пайдаланушыларының сертификаттарын алу үшін пайдаланылатын техникалық құралдар орналасқан үй-жайлардың қоршау конструкциялары, периметрлері СҮТ қызметінің КО-сы бақылайтын аймақтың физикалық шекарасы болып табылады.

      24.2. Физикалық қол жетімділік

      СҮТ қызметі КО-сының үй-жайлары Комиссияда орналасқан және қол жетімділікті бақылау және басқару жүйесімен жабдықталған. СҮТ қызметі КО-сының үй-жайына енуге авторланған персоналға ғана және СҮТ қызметі КО-сының жауапты қызметкерінің бірге жүруімен өзге де адамдарға рұқсат етіледі.

      24.3. Электрмен жабдықтау және ауаны баптау

      Негізгі қоректену жоғалған жағдайда жүйе автоматты түрде үздіксіз қоректендіру көздерінен резервтік қоректенуге көшеді.

      СҮТ қызметі КО-сының серверлік үй-жайы ауаны баптау және желдету жүйесімен жарақтандырылған, ол микроклиматтың мынадай параметрлерін ұстап тұрады:

      ауаның температурасы 18 – 24 °С шегінде (оның өзгеруінің шекті жылдамдығы – сағатына 3 °С);

      ауаның ылғалдылығы ылғалдың конденсациясынсыз 30-дан 75 пайызға дейін (оның өзгеруінің шекті жылдамдығы – сағатына 6 пайыз);

      шаңның шекті мөлшері - 10-6 г/м³ аспайды.

      24.4. Ылғал әсеріне ұшырағыштығы

      СҮТ қызметі КО-сының орналасқан жері су басудың табиғи қатерлеріне ұшырамайды.

      24.5. Өртке қарсы қауіпсіздік шаралары және қорғау

      СҮТ қызметі КО-сының серверлік үй-жайы МЕМСТ Р 53246-2008-ге және Ресей Федерациясы Үкіметінің 2012 жылғы 2 сәуірдегі № 390 қаулысымен бекітілген РФ-дағы өртке қарсы режим қағидаларына сәйкес автоматты өрт сөндіру жүйесімен жабдықталған.

      24.6. Ақпарат жеткізгіштерді сақтау

      СҮТ қызметінің КО-сында резервтік көшіру үшін USB жеткізгіштер пайдаланылады. Мұрағаттар сақталатын жеткізгіштер, сондай-ақ деректердің ағымдағы көшірмелері әкімшілік үй-жайларында орналасқан отқа төзімді сейфтерде сақталады.

      24.7. Ақпарат жеткізгіштерді кәдеге жарату

      Кілттік жеткізгіштер пайдалану құжаттамасына сәйкес форматталады және кілттерді сақтау үшін қайтадан пайдаланылады.

      Аппараттық криптографиялық модульдер (HSM) өндірушінің пайдалану құжаттамасына сәйкес пайдалану аяқталғаннан кейін жойылады. HSM жою олар істен шыққан жағдайда сервис орталығына беру кезінде де жүргізіледі.

25. Персоналды басқару

      25.1. Персоналдың біліктілігі

      Қызмет көрсетуші персонал қолданысқа енгізілуі кезінде әзірленетін пайдалану құжаттамасында айқындалатын барлық қажетті рәсімдерді орындай алуға және:

      ашық кілттер технологиясының негізгі ұғымдарын;

      куәландырушы орталықтар қызметінің нормативтік-құқықтық негіздерін және заңдық жағынан маңызы бар электрондық құжат айналымын;

      СҮТ қызметінің КО-сы бағдарламалық кешенінің тағайындалуын, негізгі сипаттамаларын және оның іске асырылатын алгоритмдерін;

      СҮТ қызметінің КО-сы сервистерінің қызметін қамтамасыз ету кезінде құжаттармен жұмысты ұйымдастыру тәртібін;

      дербес деректерді өңдеу тәртібін білуге тиіс.

      25.2. Персоналға ұсынылатын құжаттама

      СҮТ қызметі КО-сының басшылығы КО персоналына лауазымдық міндеттерді орындау үшін қажетті құжаттарға қол жетімділік береді.

26. Аудит журналдарын жүргізу

      26.1. Тіркелетін оқиғалардың түрлері

      СҮТ қызметі КО-сының БАК-ы оқиғалардың мынадай түрлерін:

      жалпыжүйелік бағдарламалық қамтамасыз етудің жүйелі оқиғаларын;

      сұрау салудың ЭЦҚ-ны тексеру сертификатына орналастырылуын;

      сұрау салудың ЭЦҚ-ны тексеру сертификатына қабылдануын;

      ЭЦҚ-ны тексеру кілті сертификатының шығарылуын;

      ЭЦҚ-ны тексеру сертификатына сұрау салудың қабылданбауын;

      кері қайтарылған ЭЦҚ-ны тексеру сертификаттарының шығарылуын;

      бағдарламалық құрамдастың ішкі операциясының орындалмауын тіркейді.

      Оқиғалар жазбаларының құрылымдары куәландырушы орталықтың нысаналы функцияларын іске асыруды бағдарламалық қамтамасыз етудің және жалпыжүйелік бағдарламалық қамтамасыз етудің пайдалану құжаттамасына сәйкес келеді.

      26.2. Тіркелетін оқиғалардың жазбаларын өңдеу жиілігі

      Тіркелетін оқиғалардың жазбаларын талдауды күн сайын аудит әкімшісі жүргізеді. Қауіпсіздік оқиғалары туындаған жағдайда тіркелетін оқиғалардың жазбаларын талдау осы оқиғаларды тергеп-тексеру шеңберінде жүргізіледі.

      26.3. Тіркелетін оқиғалардың жазбаларын сақтау мерзімі

      Тіркелетін оқиғалардың жазбалары жүйелі дискідегі файлдарда олар үшін берілген көлемнің ең көп мәнінен асуы сәтіне дейін сақталады. Осы уақыт кезеңінде олар уәкілетті тұлғаның немесе уәкілетті процестің сұрау салуы бойынша жедел режимде қол жетімді болады. Осы мерзім өткеннен кейін иеліктен шығарылатын жеткізгіштерде оқиғалар журналдарының резервтік көшірмесі жасалады.

      Оқиғалар журналдарының резервтік көшірмелері белгіленген мерзім ішінде, кемінде 7 жыл сақталады.

      26.4. Тіркелетін оқиғалардың жазбаларын қорғау

      Оқиғалар журналдары қолданбалы және жалпыжүйелік бағдарламалық қамтамасыз ету құралдарымен қараудан, өзгертуден және жоюдан қорғалған.

      26.5. Аудит жазбаларын жинау шарттары

      Тіркелетін оқиғалар қолданбалы және жалпыжүйелік бағдарламалық қамтамасыз ету құралдарымен журналдарға автоматты түрде жазылады.

      26.6. Тіркеу журналына енгізілген оқиға субъектісіне хабарлау

      Тіркеу журналына оқиғаны жазу кезінде осы оқиғаның субъектісіне хабарлау жүргізілмейді.

27. Осалдықтарды талдау

      Аудит әкімшісі пайдалану құжаттамасына сәйкес оқиғалар журналдарын мерзімдік қарау кезінде журналдардың мазмұнын КО бағдарламалық-техникалық құралдарына рұқсатсыз қол жеткізу (бұдан әрі – РҚЖ) әрекеттері туралы жазбалардың жоқтығы мәніне талдау жүргізеді. РҚЖ әрекеттері туралы жазбалар болған жағдайда осы факт туралы ақпараттық қауіпсіздік әкімшісіне хабарланады.

28. Мұрағатты жүргізу

      28.1. Мұрағаттық жазбалардың түрлері

      СҮТ қызметінің КО-сында деректердің мынадай түрлері:

      алынатын өтінімдер, берілетін сертификаттар және түпкі пайдаланушыдан келіп түскен немесе оған файл немесе электрондық хабар нысанында берілген электрондық нысаны бар КСТ;

      пайдаланушылардың тіркеу деректері;

      берілген сертификаттардың тізілімі;

      аудит журналдары;

      СҮТ қызметі КО-сының пайдаланушылармен, сондай-ақ сенім білдіруші тараптармен ішкі және сыртқы хат-хабарлары (қағаз және электрондық нысандағы);

      жеке басты куәландыру процесінде пайдаланылған құжаттар мен деректер мұрағаттауға жатады.

      28.2. Мұрағатты сақтау мерзімі

      СҮТ қызметінің КО-сы мұрағатты СҮТ қызметі КО-сының өнеркәсіптік пайдалануға іске қосылған сәтінен бастап оның қызметі тоқтатылған сәтке дейінгі КО-ны пайдаланудың бүкіл мерзімі бойында сақтайды.

      28.3. Мұрағатты қорғау

      СҮТ қызметі КО-сының мұрағаты бақыланатын аумақта орналастырылады. СҮТ қызметінің КО-сында сенім білдірілген рөлдерді орындайтын уәкілетті адамдар ғана мұрағатқа қол жетімділікті иеленеді.

      28.4. Мұрағатты резервтік көшіру

      Мұрағатталатын электрондық түрдегі барлық ақпарат сыртқы дербес жеткізгіштерге көшіріледі.

      28.5. Мұрағаттың резервтік көшірмесіндегі деректерді қалпына келтіру

      Резервтік көшірмедегі деректерді қалпына келтіруді пайдалану құжаттамасына сәйкес оператор орындайды. Резервтік көшірме деректерінің тұтастығын тексеру деректерді тікелей қалпына келтірудің алдында СҮТ қызметі КО-сының штаттық бағдарламалық қамтамасыз ету құралдарымен автоматты түрде орындалады. Тұтастығы бұзылған жағдайда резервтік көшірмедегі деректерді қалпына келтіру орындалмайды.

29. СҮТ қызметінің КО-сы уәкілетті тұлғасының кілттерін және сертификатын ауыстыру

      СҮТ қызметінің КО-сы уәкілетті тұлғасының кілті 3 жылда 1 реттен сиретпей ауыстырылады. Кілтті ауыстыру уәкілетті тұлғаның ЭЦҚ-ны тексеру кілтінің сертификатын ауыстырумен бірге жүргізіледі.

      ЭЦҚ-ны тексеру кілттері сертификаттарының барлық иелері СҮТ қызметі КО-сының репозиторийінен СҮТ қызметінің КО-сы уәкілетті тұлғасының жаңа сертификатын алуға және оны алдыңғы сертификатты жоймастан СҮТС-ке орнатуға міндетті.

30. Компрометация және іркілістер кезіндегі қалпына келтіру

      30.1. Компрометация жағдайында қалпына келтіру рәсімі

      СҮТ қызметінің КО-сы уәкілетті тұлғасының ЭЦҚ кілтінің компрометациясы жағдайында СҮТ қызметінің КО-сы сертификаттарды қайтарып алудың кезектен тыс тізімін дайындайды, содан кейін СҮТ қызметінің КО-сы уәкілетті тұлғасының кілттері мен сертификатын ауыстыру жүргізіледі.

      СҮТ қызметінің КО-сы компрометация фактісі туралы сертификаттардың иелерін және сенім білдіруші тараптарды хабардар ету бойынша мүмкін болатын барлық шараларды қабылдауға және ең қысқа мерзімде уәкілетті тұлғаның жаңа сертификатын пайдалана отырып барлық берілген сертификаттарды ауыстыруды жүргізуге міндетті.

      30.2. Жабдықтардың бұзылу, бағдарламалық және (немесе) аппараттық іркіліс жағдайлары

      Жабдықтардың бұзылу, бағдарламалық және (немесе) аппараттық іркіліс жағдайында оқиға туралы мәліметтерді Комиссияның осы фактіні анықтаған қызметкері СҮТ қызметі КО-сының басшысына және әкімшісіне хабарлайды, ол осы мәліметті басшылыққа жеткізеді, оқиғаны тергеп-тексереді және резервтік көшірмелер мен қосылқы жабдықты пайдалана отырып, салдарды жою бойынша қажетті шаралар қабылдайды.

      30.3. СҮТ қызметі КО-сының ЭЦҚ кілтінің компрометациясы

      Компрометациямен байланысты оқиғаларға мынадай оқиғалар жатады:

      кілттік жеткізгіштерді жоғалту, оның ішінде олардың кейіннен табылуымен;

      кілттік жеткізгіштерге немесе осы жеткізгіштердегі кілттік ақпаратқа қол жетімділігі бар қызметкерлердің кез келген себеп бойынша жұмыстан шығуы (осындай қол жетімділік мүмкіндігі жүйені ЭЦҚ құралдарымен нақты іске асыруға және осы жүйемен ақпаратты өңдеу технологиясына байланысты айқындалады);

      жүйедегі ақпараттың жылыстауы немесе оның бұрмалануы туралы күдіктің туындауы;

      кілттік жеткізгіштер бар сейфтегі мөр бүтіндігінің бұзылуы немесе осындай сейф кілтіне бақылауды жоғалту;

      пайдаланушы жүйені пайдалану процесінде оның кілттік жеткізгішке қол жетімділікті шектеуге бақылауды жоғалтуы;

      кілттік жеткізгішке не болғанын дәл анықтау мүмкін болмайтын жағдайлар (мысалы, оның бұзылуы және жеткізгішті бұзу қаскүнемнің оған қол жеткізу әрекетінің нәтижесінде болғандығы күдігін теріске шығарудың мүмкін болмауы);

      нәтижесінде ЭЦҚ кілттері рұқсаты жоқ адамдарға және (немесе) процестерге қол жетімді болуы мүмкін кілттік ақпаратты жария етудің басқа да түрлері.

      Санамаланған оқиғалар туындаған жағдайда СҮТ қызметінің КО-сында сенім білдірілген рөлді орындайтын ЭЦҚ кілтінің иесі ең қысқа мерзімде СҮТ қызметі КО-сының әкімшісіне хабарлайды және сертификатты кері қайтаруды сұратады. Жаңа сертификат алу осы Регламентте сипатталған тәртіппен жүзеге асырылады.

31. Авариядан кейін жұмыс қабілетін қалпына келтіру

      СҮТ қызметі КО-сының персоналы деректердің резервтік көшірмелерін және қосалқы жабдықты пайдалана отырып, 8 сағаттан аспайтын уақыт ішінде КО-ның авариядан кейін жұмыс қабілетін қалпына келтіру бойынша мүмкін болатын барлық шараларды қабылдайды.

32. Техникалық қауіпсіздік шаралары

      32.1. Кілттер жұбын генерациялау және орнату

      32.1.1. Кілттер жұбын генерациялау

      СҮТ қызметі КО-сының кілттер жұбы пайдалану құжаттамасына сәйкес әкімшінің автоматтандырылған жұмыс орнында (АЖО) жасалады. КО кілттерін генерациялауды сертификаттау әкімшісі СҮТ қызметі КО-сының ақпараттық қауіпсіздік әкімшісімен бірлесіп жүзеге асырады.

      СҮТ қызметі КО-сының СМТС пен УШС кілттерінің жұптары пайдалану құжаттамасына сәйкес КО серверінде жасалады. КО кілттерін генерациялауды СҮТ қызметі КО-сының сертификаттау әкімшісі жүзеге асырады.

      Интеграциялық жүйенің ұлттық сегменттерінің және интеграциялық сегментінің СҮТ ТРС және УШС кілттерінің жұптарын СҮТ кіші жүйесіне арналған пайдалану құжаттамасына сәйкес тікелей СҮТ серверінде СҮТ операторының уәкілетті қызметкері жасайды.

      Комиссияның КО мен СҮТ-тегі кілттерін генерациялау үшін ЭЦҚ құралдарының сенім білдірілген есептеу құрылғысы (ЭЦҚ СЕҚ) пайдаланылады. Сақталатын кілттік ақпаратты қорғау үшін арнайы дайындалған USB-flash жеткізгіштері қосымша пайдаланылады.

      СЕҚ-тағы ЭЦҚ кілтін инициализациялау үшін СЕҚ-та сақталатын ақпараттың болуынан басқа, қол жеткізу паролін енгізу және USB-flash жеткізгіште сақталатын деректер қосымша талап етіледі.

      32.1.1.1. Пайдаланушыға ЭЦҚ-ның жеке кілтін ұсыну

      СҮТ қызметі КО-сының пайдаланушылардың ЭЦҚ кілттеріне қол жетімділігі жоқ, өйткені осы Регламентке сәйкес әрбір пайдаланушы кілттер жұбын генерациялауды дербес жүзеге асырады.

      32.1.1.2. СҮТ қызметінің КО-сына ЭЦҚ-ны тексеру кілтін беру

      Пайдаланушы кілттерді өз бетімен генерациялауды жүзеге асырады және электрондық жеткізгіштерді пайдалана отырып, электрондық түрдегі сертификатқа сұрау салу файлының құрамында ЭЦҚ-ны тексеру кілтін СҮТ қызметінің КО-сына береді.

      32.1.1.3. ЭЦҚ-ны тексеру кілтін сенім білдіруші тараптарға ұсыну

      СҮТ қызметі КО-сының ЭЦҚ-ны тексеру кілтін сенім білдіруші тараптарға беру ЭЦҚ-ны тексеру кілтін қамтитын ЭЦҚ-ны тексеру кілтінің сертификатын СҮТ қызметі КО-сының репозиторийінде жариялау жолымен жүзеге асырылады.

      СҮТ қызметінің КО-сы берген барлық сертификаттар СҮТ қызметі КО-сының репозиторийінде жарияланған СҮТ қызметі КО-сының түбір сертификатының файлына сілтемесі бар AuthorityInformationAccess кеңейтуді қамтиды.

      32.1.2. Кілттердің мөлшерлері

      ЭЦҚ-ның пайдаланылатын құралдарына арналған пайдалану құжаттамасына сәйкес кілттердің мөлшерлері мыналарды құрайды:

      электрондық цифрлық қолтаңба кілттерінің ұзындығы:

      электрондық цифрлық қолтаңба кілті – 512 бит;

      электрондық цифрлық қолтаңбаны тексеру кілті – 1024 бит;

      шифрлау кезінде пайдаланылатын кілттердің ұзындығы:

      симметриялық кілт – 256 бит.

      32.1.3. ЭЦҚ-ны тексеру кілтін генерациялау параметрлері және кілттердің сапасын тексеру

      СҮТ қызметінің КО-сын пайдаланушылар кілттерді генерациялау үшін СЕҚ-ты пайдаланады. Бұл ретте СЕҚ құрамындағы SSD-диск кілттік жеткізуші болып табылады. Кілттік жеткізушілер ретінде кілттік жеке USB-жеткізгіштері де пайдаланылады.

      ЭЦҚ-ны тексеру кілтін генерациялау параметрлерін пайдаланылатын ЭЦҚ құралы автоматты түрде береді.

      Кілттерді генерациялау алгоритмі ЕЭК Алқасының 2.06.16 ж. № 49 ҚБПҮ шешіміне сай МЕМСТ Р 34.10-2012-ге сәйкес келеді.

      Сертификатқа сұрау салуды алу кезінде СҮТ қызметінің КО-сы сұрау салуда алынған кілттің пайдаланылатын ЭЦҚ құралына үйлесімділігін, оның разрядтылығын, сондай-ақ оның бірегейлігін тексереді. Алынған кілт СҮТ қызметі КО-сының дерекқорында бар кілтке сәйкес келген жағдайда СҮТ қызметінің КО-сы сұрау салуды қабылдамайды және қайталама кілтпен сұрау салу берген пайдаланушыға жаңа кілттер жұбы мен сертификатқа сұрау салуды генерациялау қажеттігі туралы хабарлайды.

      32.1.4. Кілттерді пайдалану мақсаттары

      Кілтті қолдану тәсілі Х.509 v3 сәйкес келетін сертификаттың стандарттық кеңейтулерінің KeyUsage жолағында айқындалған.

      СҮТ қызметінің КО-сы уәкілетті тұлғасының кілті шығарылатын сертификаттарда (бит 5 keyCertSign) және КСТ-да (бит 6 cRLSign) ЭЦҚ қалыптастыру үшін ғана пайдаланылуы мүмкін.

      Түпкі пайдаланушылардың кілттері ЭЦҚ қалыптастыру үшін пайдаланылады. KeyUsage жолағындағы әрбір битті пайдалану RFC 5280-де жазылған қағидаларға сәйкес келеді.

      32.1.5. СҮТ қызметінің КО-сы уәкілетті тұлғасының ЭЦҚ кілтін қорғау

      СҮТ қызметінің КО-сы уәкілетті тұлғасының (сертификаттау әкімшісінің) ЭЦҚ кілті СҮТ қызметінің КО-сы әкімшісінің АЖО ЭЦҚ СЕҚ-ында қорғалған (шифрланған) түрде сақталады.

      СЕҚ-та уәкілетті тұлғаның ЭЦҚ кілтін инициализациялау үшін КО әкімшілерінің кілттік жеткізгіштерін дәйекті түрде енгізу (ену парольдерін енгізе отырып) және СЕҚ құрамындағы SSD-дискіде сақталатын қызметтік деректердің болуы талап етіледі.

      Уәкілетті тұлғаның ЭЦҚ кілті пайдаланылу кезеңінде (жасалған сәтінен бастап жойылған сәтіне дейін) ЭЦҚ СЕҚ-ында болады және қандай да бір сыртқы жеткізгіштерге иеліктен шығарылмайды (ЭЦҚ СЕҚ кілттерін депозиттеу функциясы сақталмайды).

      32.1.6. Криптографиялық модульдің стандарттары

      Кілттердің форматтары мен аппараттық криптографиялық модульмен орындалатын криптографиялық операциялар МЕМСТ Р 34.10-2012 және МЕМСТ Р 34.11-2012 стандарттарына сәйкес келеді.

      32.1.7. ЭЦҚ кілттерін депозиттеу

      СҮТ қызметінің КО-сы ЭЦҚ кілттерін депозиттеуді жүзеге асырмайды.

      32.1.8. ЭЦҚ кілтінің резервтік көшірмесі

      СҮТ қызметінің КО-сы ЭЦҚ кілттерін резервтеуді жүзеге асырмайды.

      32.1.9. Қолданылу мерзімі аяқталғаннан кейін ЭЦҚ кілтін сақтау

      ЭЦҚ кілті қолданылу мерзімі аяқталғаннан кейін ЭЦҚ құралдарының және СҮТ қызметінің КО-сы құралдарының штаттық функциялары пайдаланыла отырып жойылуға жатады.

      32.1.10. СҮТ қызметі КО-сының ЭЦҚ кілтін жасау және жою

      СҮТ қызметінің КО-сы уәкілетті тұлғасының ЭЦҚ кілті жасалған сәттен бастап пайдаланудан шығару кезінде жойылғанға дейін СЕҚ-та тұрақты түрде болады.

      32.1.11. ЭЦҚ кілтін криптографиялық модульде сақтау

      СҮТ қызметінің КО-сы уәкілетті тұлғасының ЭЦҚ кілті аппараттық криптографиялық модульде шифрланған түрде сақталады.

      32.1.12. ЭЦҚ кілтін активтендіру тәсілі

      СҮТ қызметінің КО-сы уәкілетті тұлғасының ЭЦҚ кілті КО әкімшілерінің алмалы-салмалы кілттік жеткізгіштерінің дәйекті ұсынылуы (қол жеткізу парольдерін енгізе отырып) және СЕҚ құрамындағы SSD-дискіде сақталатын қызметтік деректердің болуы кезінде инициализацияланады.

      32.1.13. Репозиторийді резервтік көшіру

      СҮТ қызметі КО-сының репозиторийі СҮТ қызметінің КО-сында белгіленген резервтік көшіру тәртібіне сәйкес мерзімдік резервтік көшіруге жатады.

      32.1.14. Сертификаттар мен кілттердің қолданылу мерзімдері

      ЭЦҚ кілттерінің және ЭЦҚ-ны тексеру кілттері сертификаттарының қолданылу мерзімдері пайдаланылатын ЭЦҚ құралының пайдалану құжаттамасымен айқындалады.

      СҮТ қызметі КО-сының кілттері мен сертификаттарының қолданылу мерзімдері:

      ЭЦҚ кілттері қолданысының ең ұзақ мерзімі – 3 жылға дейін;

      ЭЦҚ-ны тексеру кілттері қолданысының ең ұзақ мерзімі – 7 жылға дейін.

      Пайдаланушылардың кілттері мен сертификаттарының қолданылу мерзімдері:

      ЭЦҚ кілттері қолданысының ең ұзақ мерзімі – 3 жылға дейін;

      ЭЦҚ-ны тексеру кілттері қолданысының ең ұзақ мерзімі – 7 жылға дейін.

      32.1.15. Активтендіру деректері

      СҮТ қызметі КО-сының ЭЦҚ кілттері үшін активтендіру деректері ретінде мыналар әрекет етеді:

      СҮТ USB-flash жеткізгіштен оқитын деректер;

      USB-flash жеткізгішке қол жеткізу парольдері;

      СЭҚ-тың SSD-дискісінде сақталатын қызметтік деректер.

33. Бағдарламалық-аппараттық қамтамасыз етудің қауіпсіздігі

      СҮТ қызметі КО-сының бағдарламалық-аппараттық кешенінің қауіпсіздігін қамтамасыз ету жөніндегі іс-шараларды СҮТ қызметі КО-сының ақпараттық қауіпсіздік әкімшісі жүзеге асырады.

      АЖО-ға және КО серверлеріне бағдарламалық қамтамасыз етуді және оны теңшеуді СҮТ қызметі КО-сының жүйелік әкімшісі эталондық дискіден жүзеге асырады.

      Серверлердің корпусы, әкімшінің АЖО-сы және СЕҚ пайдалану құжаттамасына сәйкес СҮТ қызметі КО-сының ақпараттық қауіпсіздік әкімшісінің жеке мөрімен мөрленеді. Жұмыс басталар алдында корпустың және мөрлердің (пломбалардың) бүтіндігіне визуалдық бақылау жасалады. Корпустың ашылғаны және/немесе мөрлердің (пломбалардың) бүлінгені анықталған жағдайда одан арғы жұмысқа тыйым салынады, осы факт туралы КО басшылығына баяндалады.

      КО техникалық құралдарын пайдалану процесінде СҮТ қызметі КО-сының құрамына, конструкциясына, электр және монтаждау схемаларына өзгеріс енгізуге тыйым салынады.

      Техникалық құралдарды жөндеу көрсетілген құралдарды дайындаған кәсіпорында жүзеге асырылады. Жөндеу жүргізілгеннен кейін техникалық құралдарды арнайы тексеру және арнайы зерттеу жүргізіледі.

      КО құрамына қосымша аппарат құралдарын енгізуге тақырыптық зерттеулер, арнайы тексерулер және осы құралдарға арнайы зерттеулер жүргізбей жол берілмейді.

34. Жұмыс істеу ортасының тұтастығын бақылау құралдары

      КО құралдарын бағдарламалық қамтамасыз етудің және жұмыс істеу ортасының тұтастығын динамикалық бақылау құралдары QP ОС базалық операциялық жүйесінің құрамына кіреді.

      Тұтастықты бастапқы және кезеңдік бақылау СҮТ қызметі КО-сының ТҚ құрамындағы СЖАБМ құралдарымен орындалады.

35. Желілік қауіпсіздік

      Желілік қауіпсіздік трафикті сүзу арқылы желіаралық экрандардың көмегімен, сондай-ақ желіні сегменттеумен қамтамасыз етіледі. Желіаралық экрандарда жүйенің кідіріссіз жұмыс істеуі үшін қажетті порттар мен хаттамалар бойынша қосуға рұқсат етілген. Қалған барлық порттар мен хаттамаларға қол жетімділік жоқ. Жалпыға бірдей қол жетімді деректерді жариялау үшін желінің жеке сегменті бөлінген.

      Сыртқы сегментте рұқсатсыз енуді анықтау құралы пайдаланылады.

  Еуразиялық экономикалық
одақтың интеграцияланған
ақпараттық жүйесінің сенім
білдірілген үшінші тарапы
қызметі куәландырушы
орталығының регламентіне
№ 1 ҚОСЫМША

Сертификаттарға сұрау салулардың, сертификаттардың және кері қайтарылған сертификаттар тізімдерінің ШАБЛОНДАРЫ

      Сертификатқа сұрау салу шаблоны

      Сертификатқа сұрау салу PKCS#10 форматындағы құрылымды білдіреді және үш жолақтың дәйектілігі болып табылады, олардың біріншісі сұрау салудың негізгі сұлбасын (certificationRequestInfo), екіншісі – сертификатқа сұрау салуға қол қою үшін пайдаланылған алгоритмнің тұрпаты туралы ақпаратты (signatureAlgorithm), ал үшіншісі – сұрау салуға қол қойған электрондық цифрлық қолтаңбаны (signatureValue) қамтиды.

      СҮТ қызметі КО-сының ЭЦҚ сертификаттарына сұрау салулар кем дегенде мынадай негізгі жолақтарды қамтиды:

      Version: сертификатқа сұрау салу форматының бірінші нұсқасы (v1(0));

      Subject: сертификат алатын түпкі пайдаланушының бірегей атауы (DN);

      SubjectPublicKeyInfo: алгоритм сәйкестендіргішімен бірге ашық кілттің мәні;

      Attributes: сертификатта сақталатын кеңейтулер туралы ақпаратты қамтуы мүмкін атрибуттардың коллекциясы.

      Негізгі жолақтар мен кеңейтулердің мәндері ЭЦҚ-ны тексеру кілтінің сертификаты оған сәйкес берілетін саясатқа байланысты айқындалады.

      СҮТС серверінің сертификатына сұрау салу

Жолақтың атауы

мән немесе мәнді шектеулер

Version (нұсқа)

Version 1

Subject (субъект, DN атауы)

DN атауы X.501 талаптарына сәйкес келеді.
Common Name (CN) = <СҮТ сервисінің атауы>,
Organization (O) = <Ұйымның қысқартылған атауы>,
Organization Unit (OU) = <Бөлімшенің атауы>,
mailAddress (E) = <СҮТ БАК әкімшісі электрондық поштасының мекенжайы>

Subject Public Key Info
(субъектінің ашық кілті)

кодталатын жолақ RFC 2986-да сипатталған талаптарға сәйкес келеді және ашық кілттер туралы МЕМСТ 34.10-2012 ақпаратты қамтиды (яғни кілттің сәйкестендіргіші мен биттардағы кілттің ұзындығымен және ашық кілттің мәндері).

KeyUsage
(OID кеңейту 2.5.29.15)
(кілтті пайдалану) – Attributes-те қамтылады

digitalSignature, nonRepudiation

ExtendedKeyUsage
(OID кеңейту 2.5.29.37)
(кілтті кеңейтілген пайдалану) – Attributesте қамтылады

Dvcs (OID 1.3.6.1.5.5.7.3.10)

SubjectKeyIdentifier
(OID кеңейту 2.5.29.14) – Attributesте қамтылады

субъектінің ашық кілтінің бірегей сәйкестендіргіші

CertificatePolicy
(OID кеңейту 2.5.29.32)
(сертификат саясаты) – Attributesте қамтылады

саясат сәйкестендіргіші:
iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Signature (қолтаңба)

сертификатқа сұрау салудың қолтаңбасы RFC 2986-да айқындалған талаптарға сәйкес генерацияланады және кодталады.

      СМТС серверінің сертификатына сұрау салу

Жолақтың атауы

Мән немесе мәнді шектеулер

Version (нұсқа)

Version 1

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Subject (субъект, DN атауы)

DN атауы X.501 талаптарына сәйкес келеді.
Common Name (CN) = <Псевдоним СПСС>,
Organization (O) = <Ұйымның қысқартылған атауы>,
Organization Unit (OU) = <Бөлімшенің атауы>,
mailAddress (E) = <OCSP сервер әкімшісінің электрондық поштасының мекенжайы>

Subject Public Key Info
(субъектінің ашық кілті)

кодталатын жолақ RFC 2986-да сипатталған талаптарға сәйкес келеді және ашық кілттер туралы МЕМСТ 34.10-2012 ақпаратты қамтиды (яғни кілттің сәйкестендіргіші мен биттардағы кілттің ұзындығымен және ашық кілттің мәндері).

KeyUsage
(OID кеңейту 2.5.29.15)
(кілтті пайдалану) – Attributesте қамтылады

digitalSignature, nonRepudiation,

ExtendedKeyUsage
(OID кеңейту 2.5.29.37)
(кілтті кеңейтілген пайдалану) – Attributesте қамтылады

OCSPSigning (OID 1.3.6.1.5.5.7.3.9)

SubjectKeyIdentifier
(OID кеңейту 2.5.29.14) – Attributesте қамтылады

субъектінің ашық кілтінің бірегей сәйкестендіргіші

CertificatePolicy
(OID кеңейту 2.5.29.32)
(сертификат саясаты) – Attributesте қамтылады

саясат сәйкестендіргіші:
iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Signature (қолтаңба)

сертификаттың қолтаңбасы RFC 2986-да айқындалған талаптарға сәйкес генерацияланады және кодталады.

      УШС серверінің сертификатына сұрау салу

Жолақтың атауы

Мән немесе мәнді шектеулер

Version (нұсқа)

Version 1

Subject (субъект, DN атауы)

DN атауы X.501 талаптарына сәйкес келеді.
Common Name (CN) = <Псевдоним СШВ>,
Organization (O) = <Ұйымның қысқартылған атауы>,
Organization Unit (OU) = <Бөлімшенің атауы>,
mailAddress (E) = <адрес электронной почты администратора TSP сервер әкімшісінің электрондық поштасының мекенжайы>

Subject Public Key Info
(субъектінің ашық кілті)

кодталатын жолақ RFC 2986-да сипатталған талаптарға сәйкес келеді және ашық кілттер туралы МЕМСТ 34.10-2012 ақпаратты қамтиды (яғни кілттің сәйкестендіргіші мен биттардағы кілттің ұзындығымен және ашық кілттің мәндері).

KeyUsage
(OID кеңейту 2.5.29.15)
(кілтті пайдалану) – Attributesте қамтылады

digitalSignature, nonRepudiation,

ExtendedKeyUsage
(OID кеңейту 2.5.29.37)
(кілтті кеңейтілген пайдалану) – Attributesте қамтылады

timestamping (OID 1.3.6.1.5.5.7.3.8)

SubjectKeyIdentifier
(OID кеңейту 2.5.29.14) – Attributesте қамтылады

субъектінің ашық кілтінің бірегей сәйкестендіргіші

CertificatePolicy
(OID кеңейту 2.5.29.32)
(сертификат саясаты) – Attributesте қамтылады

саясат сәйкестендіргіші:
iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Signature (қолтаңба)

сертификаттың қолтаңбасы RFC 2986-да айқындалған талаптарға сәйкес генерацияланады және кодталады

      ЭЦҚ-ны тексеру кілті сертификатының шаблоны

      ЭЦҚ-ны тексеру кілтінің сертификаты X.509 v.3 стандартына сәйкес үш жолақтың дәйектілігі болып табылады, олардың біріншісі сертификаттың ішіндегісін (tbsCertificate)), екіншісі – сертификатқа қол қою үшін пайдаланылған алгоритмнің тұрпаты туралы ақпаратты (signatureAlgorithm), ал үшіншісі – сертификатқа қол қойған электрондық цифрлық қолтаңбаны (signatureValue) қамтиды.

      СҮТ қызметі КО-сының ЭЦҚ-ны тексеру кілттерінің сертификаттары кем дегенде мынадай негізгі жолақтарды қамтиды:

      Version: сертификат форматының үшінші нұсқасы (X.509 v.3);

      SerialNumber: куәландырушы орталықтың шеңберінде бірегей сертификаттың сериялық нөмірі;

      Signature Algorithm: сертификатқа қол қою үшін сертификаттар беретін куәландырушы орталық қолданатын алгоритмнің сәйкестендіргіші;

      Issuer: Куәландырушы орталықтың бірегей атауы (DN);

      Validity: сертификат қолданысының басталуын (notBefore) және аяқталуын (notAfter) айқындайтын сертификаттың қолданылу мерзімі;

      Subject: сертификат алатын түпкі пайдаланушының бірегей атауы (DN);

      SubjectPublicKeyInfo: алгоритм сәйкестендіргішімен бірге ашық кілттің мәні;

      Signature: қолтаңба RFC 5280 сәйкес генерацияланады және кодталады.

      Негізгі жолақтар мен кеңейтулердің мәндері ЭЦҚ-ны тексеру кілтінің сертификаты оған сәйкес берілетін саясатқа байланысты айқындалады.

      СҮТС серверінің сертификаты

Жолақтың атауы

мән немесе мәнді шектеулер

Version (нұсқа)

Version 3

Serial Number (сериялық
нөмірі)

СҮТ қызметінің КО беретін барлық сертификаттардағы бірегей мән

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (баспагер, DN атауы)

Common Name (CN) = СҮТ қызметінің КО-сы,
Organization (O) = ЕЭК,
Organization Unit (OU) = ИТ,
Country (C) = RU

Not before (қолданылу мерзімінің басы)

UTC (Universal Coordinate Time) сәйкес негізгі уақыт

Not after (қолданылу мерзімінің аяғы)

UTC (Universal Coordinate Time) сәйкес негізгі уақыт

Subject (субъект, DN атауы)

DN атауы X.501 талаптарына сәйкес келеді.
Common Name (CN) = <СҮТ сервисінің атауы>,
Organization (O) = <Ұйымның қысқартылған атауы>,
Organization Unit (OU) = <Бөлімшенің атауы>,
mailAddress (E) = <СҮТ БАК әкімшісінің электрондық поштасының мекенжайы>

Subject Public Key Info
(субъектінің ашық кілті)

кодталатын жолақ RFC 2986-да сипатталған талаптарға сәйкес келеді және ашық кілттер туралы МЕМСТ 34.10-2012 ақпаратты қамтиды (яғни кілттің сәйкестендіргіші мен биттардағы кілттің ұзындығымен және ашық кілттің мәндері).

KeyUsage
(OID кеңейту 2.5.29.15)
(кілтті пайдалану)

digitalSignature, nonRepudiation

ExtendedKeyUsage
(OID кеңейту 2.5.29.37)
(кілтті кеңейтілген пайдалану)

Dvcs (OID 1.3.6.1.5.5.7.3.10)

CertificatePolicy
(OID кеңейту 2.5.29.32)
(сертификат саясаты)

саясат сәйкестендіргіші:
iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

AuthorityInformationAccess
(OID кеңейту 1.3.6.1.5.5.7.1.1)
(СҮТ қызметі КО УЛ сертификатына қол жетімділік)

СҮТ қызметі КО УЛ сертификаты файлының мынадай түрдегі URL:
http:// <XXX>00.DTS.EEC/RootTTPCA.crt,
http:// <XXX>01.DTS.EEC/RootTTPCA.crt
СМТС серверінің мынадай түрдегі URL:
http:// <XXX>00.DTS.EEC/<псевдоним_СМТС>/ocsp.srf, http:// <XXX>01.DTS.EEC/<псевдоним_СМТС>/ocsp.srf

CRLDistributionPoint
(OID кеңейту 2.5.29.31)
(КСТ қолданылу нүктесі)

СҮТ қызметі КО КСТ файлының URL:
http:// <XXX>00.DTS.EEC/RootTTPCA.crl,
http:// <XXX>01.DTS.EEC/RootTTPCA.crl

BasicConstraints
(OID кеңейту 2.5.29.19)

түпкі субъект

SubjectKeyIdentifier
(OID кеңейту 2.5.29.14)

субъектінің ашық кілтінің бірегей сәйкестендіргіші

Signature (қолтаңба)

сертификаттың қолтаңбасы RFC 5280-де айқындалған талаптарға сәйкес генерацияланады және кодталады

      СМТС серверінің сертификаты

Жолақтың атауы

мән немесе мәнді шектеулер

Version (нұсқа)

Version 3

Serial Number (сериялық нөмірі)

СҮТ қызметінің КО беретін барлық сертификаттардағы бірегей мән

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (баспагер, DN атауы)

Common Name (CN) = СҮТ қызметінің КО-сы,
Organization (O) = ЕЭК,
Organization Unit (OU) = ИТ,
Country (C) = RU

Not before (қолданылу мерзімінің басы)

UTC (Universal Coordinate Time) сәйкес негізгі уақыт

Not after (қолданылу мерзімінің аяғы)

UTC (Universal Coordinate Time) сәйкес негізгі уақыт

Subject (субъект, DN атауы)

DN атауы X.501 талаптарына сәйкес келеді.
Common Name (CN) = <Псевдоним СМТС>,
Organization (O) = <Ұйымның қысқартылған атауы>,
Organization Unit (OU) = <Бөлімшенің атауы>,
mailAddress (E) = <OCSP сервер әкімшісінің электрондық поштасының мекенжайы>

Subject Public Key Info
(субъектінің ашық кілті)

кодталатын жолақ RFC 2986-да сипатталған талаптарға сәйкес келеді және ашық кілттер туралы МЕМСТ 34.10-2012 ақпаратты қамтиды (яғни кілттің сәйкестендіргіші мен биттардағы кілттің ұзындығымен және ашық кілттің мәндері).

KeyUsage
(OID кеңейту 2.5.29.15)
(кілтті пайдалану)

digitalSignature, nonRepudiation,

ExtendedKeyUsage
(OID кеңейту 2.5.29.37)
(кілтті кеңейтілген пайдалану)

OCSPSigning (OID 1.3.6.1.5.5.7.3.9)

CertificatePolicy
(OID кеңейту 2.5.29.32)
(сертификат саясаты)

саясат сәйкестендіргіші:
iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

AuthorityInformationAccess
(OID кеңейту 1.3.6.1.5.5.7.1.1)
(СҮТ қызметі КО УЛ сертификатына қол жетімділік)

СҮТ қызметі КО УЛ сертификаты файлының мынадай түрдегі URL:
http:// <XXX>00.DTS.EEC/RootTTPCA.crt,
http:// <XXX>01.DTS.EEC/RootTTPCA.crt
СМТС серверінің мынадай түрдегі URL:
http:// <XXX>00.DTS.EEC/<псевдоним_СМТС>/ocsp.srf, http:// <XXX> 01.DTS.EEC/<псевдоним_СМТС>/ocsp.srf

SubjectKeyIdentifier
(OID 2.5.29.14)

субъектінің ашық кілтінің бірегей сәйкестендіргіші

CRLDistributionPoint
(OID кеңейту 2.5.29.31)
(КСТ қолданылу нүктесі)

СҮТ қызметі КО КСТ файлының URL:
http:// <XXX>00.DTS.EEC/RootTTPCA.crl,
http:// <XXX>01.DTS.EEC/RootTTPCA.crl

Signature (қолтаңба)

сертификаттың қолтаңбасы RFC 5280-де айқындалған талаптарға сәйкес генерацияланады және кодталады

      УШС серверінің сертификаты

Жолақтың атауы

мән немесе мәнді шектеулер

Version (нұсқа)

Version 3

Serial Number (сериялық нөмірі)

СҮТ қызметінің КО беретін барлық сертификаттардағы бірегей мән

Signature Algorithm (қолтаңба алгоритмі)

МЕМСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (баспагер, DN атауы)

Common Name (CN) = СҮТ қызметінің КО-сы,
Organization (O) = ЕЭК,
Organization Unit (OU) = ИТ,
Country (C) = RU

Not before (қолданылу мерзімінің басы)

UTC (Universal Coordinate Time) сәйкес негізгі уақыт

Not after (қолданылу мерзімінің аяғы)

UTC (Universal Coordinate Time) сәйкес негізгі уақыт

Subject (субъект, DN атауы)

DN атауы X.501 талаптарына сәйкес келеді.
Common Name (CN) = <Псевдоним СШВ>,
Organization (O) = <Ұйымның қысқартылған атауы>,
Organization Unit (OU) = <Бөлімшенің атауы>,
mailAddress (E) = <TSP сервер әкімшісінің электрондық поштасының мекенжайы >

Subject Public Key Info
(субъектінің ашық кілті)

кодталатын жолақ RFC 2986-да сипатталған талаптарға сәйкес келеді және ашық кілттер туралы МЕМСТ 34.10-2012 ақпаратты қамтиды (яғни кілттің сәйкестендіргіші мен биттардағы кілттің ұзындығымен және ашық кілттің мәндері).

KeyUsage
(OID кеңейту 2.5.29.15)
(кілтті пайдалану)

digitalSignature, nonRepudiation

ExtendedKeyUsage
(OID кеңейту 2.5.29.37)
(кілтті кеңейтілген пайдалану)

timestamping (OID 1.3.6.1.5.5.7.3.8)

CertificatePolicy
(OID кеңейту 2.5.29.32)
(сертификат саясаты)

саясат сәйкестендіргіші:
iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

SubjectKeyIdentifier
(OID кеңейту 2.5.29.14)

субъектінің ашық кілтінің бірегей сәйкестендіргіші

AuthorityInformationAccess
(OID кеңейту 1.3.6.1.5.5.7.1.1)
(СҮТ қызметі КО УЛ сертификатына қол жетімділік)

СҮТ қызметі КО УЛ сертификаты файлының мынадай түрдегі URL:
http:/ <XXX>00.DTS.EEC/RootTTPCA.crt,
http:// <XXX>01.DTS.EEC/RootTTPCA.crt
СМТС серверінің мынадай түрдегі URL:
http://<XXX>00.DTS.EEC/<псевдоним_СМТС>/ocsp.srf, http://<XXX>01.DTS.EEC/<псевдоним_СМТС>/ocsp.srf

CRLDistributionPoint
(OID кеңейту 2.5.29.31)
(КСТ қолданылу нүктесі)

СҮТ қызметі КО КСТ файлының URL:
http:// <XXX>00.DTS.EEC/RootTTPCA.crl,
http:// <XXX>01.DTS.EEC/RootTTPCA.crl

Signature (қолтаңба)

сертификаттың қолтаңбасы RFC 5280-де айқындалған талаптарға сәйкес генерацияланады және кодталады

      Нұсқа нөмірі

      ЭЦҚ-ны тексеру кілттерінің барлық сертификаттарын X.509 v.3 нұсқасына сәйкес СҮТ қызметінің КО-сы береді.

      ЭЦҚ-ны тексеру кілті сертификатын кеңейту

      Әрбір кеңейтудің функциясы онымен байланысты объект сәйкестендіргішінің (OBJECT IDENTIFIER) стандарттық мәнімен айқындалады. ЭЦҚ-ны тексеру кілтінің сертификатын беретін СҮТ қызметінің КО-сы таңдап алған опцияға байланысты кеңейту сыни немесе сыни емес болуы мүмкін. Егер кеңейту сыни ретінде белгіленсе, онда ЭЦҚ-ны тексеру кілттерінің сертификаттарын пайдаланатын қосымша ЭЦҚ-ны тексеру кілтінің әрбір сертификатын қабылдамауға тиіс, ондағы сыни кеңейту анықталғаннан кейін ол оны айырып тани алмайды. Әрбір сыни емес кеңейтудің ескерілмеуі мүмкін.

      Кілтті пайдалану (Key Usage)

      Кілтті пайдалануды шешу – сыни немесе сыни емес болуы мүмкін. Осы кеңейту кілтті қолдану тәсілін айқындайды (мысалы деректерді шифрлауға арналған кілт, ЭЦҚ арналған кілт және т.б.). Осы кеңейтудің мәні ЭЦҚ-ны тексеру кілтінің сертификаты оған сәйкес берілген саясатқа байланысты.

      СҮТС серверінің сертификаты

      СҮТ серверінің сертификатындағы "Кілтті пайдалану" деген кеңейту сыни ретінде белгіленеді және оның мынадай мәндері бар:

      digitalSignature (0) – цифрлық қолтаңбаны іске асыруға (субъектіні немесе деректерді сәйкестендіруге) арналған кілт;

      nonRepudiation (1) – бас тартпаушылықты іске асырумен байланысты кілт;

      ЭЦҚ-ны тексеру кілті сертификатының мәртебесін тексеру сервисінің сертификаты

      СМТС сертификатында "Кілтті пайдалану" деген кеңейту сыни ретінде белгіленеді және оның мынадай мәндері бар:

      digitalSignature (0) – цифрлық қолтаңбаны іске асыруға (субъектіні немесе деректерді сәйкестендіруге) арналған кілт;

      nonRepudiation (1) – бас тартпаушылықты іске асырумен байланысты кілт;

      Уақыт штамптары сервисінің сертификаты

      УШС сертификатында "Кілтті пайдалану" деген кеңейту сыни ретінде белгіленеді және оның мынадай мәндері бар:

      digitalSignature (0) – цифрлық қолтаңбаны іске асыруға (субъектіні немесе деректерді сәйкестендіруге) арналған кілт;

      nonRepudiation (1) – бас тартпаушылықты іске асырумен байланысты кілт;

      Жақсартылған кілт (ExtendedKeyUsage)

      Кілтті пайдалануды нақтылау (шектеу) – кеңейту сыни болуы мүмкін. Бұл жолақ шегінде сертификат пайдаланылуы мүмкін keyUsage жолағында белгіленген негізгі қолдануға қосымша ретінде бір немесе одан да көп салаларды айқындайды. Бұл жолақты keyUsage жолағында айқындалған кілтті қолданудың жол берілетін саласын шектеу ретінде түсіндіру қажет. Кеңейтудің нақты мәндері ЭЦҚ-ны тексеру кілтінің сертификаты оған сәйкес берілген саясатқа байланысты болады.

      Сертификаттың мәртебесін тексеру сервисінің сертификаты

      СМТС сертификатында кеңейту сыни емес ретінде белгіленеді және OCSPSigning объектілік сәйкестендіргішін қамтиды: 1.3.6.1.5.5.7.3.9.

      Уақыт штамптары сервисінің сертификаты

      УШС сертификатында кеңейту сыни емес ретінде белгіленеді және Timestaping объектілік сәйкестендіргішін қамтиды: 1.3.6.1.5.5.7.3.8.

      Сертификат саясаттары (Certificate Policy)

      Сертификаттарды қолдану саясатын кеңейту (CertificatePolicies) СҮТ қызметі КО-сының Регламентінде сипатталған қағидаларға сәйкес ЭЦҚ-ны тексеру кілтінің сертификатына енгізілетін саясаттарды сәйкестендіргіштер мен оның квалификаторларын қамтиды. Бұл кеңейту сыни кеңейту болып табылмайды.

      Негізгі шектеулер (Basic Constraints)

      Куәландырушы орталықтардың ЭЦҚ-ны тексеру кілттерінің сертификаттарындағы кеңейту сыни болып табылады және түпкі пайдаланушылардың сертификаттарында ол сыни немесе сыни емес болуы мүмкін. Кеңейту сертификат субъектісінің куәландырушы орталық болып табылатындығын не болып табылмайтындығын (СА жолағы), сондай-ақ қарастырылып отырған куәландырушы орталықтан түпкі пайдаланушыға дейін жеткізетін жолда көп дегенде (куәландырушы орталықтардың иерархиялық жүйеленуін қабылдай отырып) қанша куәландырушы орталықтардың болуы мүмкін екендігін айқындауға мүмкіндік береді (pathLength жолағы).

      РathLength жолағы мәнінің 0 тең екендігі сертификаттың түпкі пайдаланушыларға ғана сертификаттар бере алатын куәландырушы орталыққа тиесілілігін білдіреді.

      Сертификаттарда BasicContraints кеңейтуіне СА жолағы және pathLength жолағы көрсетілместен бос дәйектілік енгізіледі.

      Кері қайтарылған сертификаттар тізіміне қол жеткізу нүктесі (CRL Distribution Points)

      Кеңейту сыни болып табылмайды. Кеңейту осы шешімді қамтитын сертификатты шығарушы берген кері қайтарылған сертификаттардың өзекті тізімін алуға болатын хаттамалар мен желілік мекенжайларды айқындайды.

      Сертификаттау орталықтары туралы ақпаратқа қол жеткізу (AuthorityInformationAccess)

      Кеңейту сыни болып табылмайды. Жолақта деректердің және сертификатында осы кеңейту орын алған сертификат шығарушы көрсететін қызметтердің қалай берілетіні көрсетіледі. Егер осы кеңейту орын алған болса, ол әдетте куәландырушы орталықтың сертификаты файлының URL мекенжайын және осы мекенжай көрсетілген сертификаттың мәртебесін OCSP тексеру қызметтерінің URL мекенжайын қамтиды.

      Алгоритмнің сәйкестендіргіші

      SignatureAlgorithm жолағы Куәландырушы орталық сертификатқа енгізетін ЭЦҚ-ны іске асыру үшін қолданылатын алгоритмді сипаттайтын криптографиялық алгоритмнің сәйкестендіргішін қамтиды.

      СҮТ қызметінің КО-сы беретін сертификаттар үшін жолақтың мәні:

      id-tc26-gost3410-2012-512 OBJECT IDENTIFIER ::= id-tc26-signwithdigest-gost3410-2012-512 OBJECT IDENTIFIER ::= { iso(1) member-body(2) ru(643) rosstandart(7) tc26(1) algorithms(1) signwithdigest(3) gost3410-2012-512(3) }

      Атаулар нысандары

      СҮТ қызметінің КО-сы баспагердің және СҮТ қызметі КО-сының Регламентінде сипатталған қағидаларға сәйкес құрылатын субъектінің атауын қамтитын сертификаттар береді.

      Сертификаттар саясаттарының сәйкестендіргіштері

      Сертификат саясаты сертификаттар беретін СҮТ қызметінің КО-сы іске асыратын сертификат саясаты туралы PolicyInformation (сәйкестендіргіш, электрондық мекенжай) түріндегі ақпаратты қамтиды – кеңейту сыни болып табылмайды. СҮТ қызметінің КО-сы беретін сертификаттарда саясаттардың мынадай сәйкестендіргіштері болуы мүмкін:

      iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) … – сертификат мәртебелері қызметінің сертификаты саясаты;

      iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) … – уақыт штамптары қызметінің сертификаты саясаты;

      iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) … – сертификаттау әкімшілігінің сертификаты саясаты. Кері қайтарылған сертификаттардың тізімі (CRL) дәйекті үш жолақтан тұрады. Бірінші жолақта (tbsCertList) кері қайтарылған сертификаттар туралы ақпарат, екінші және үшінші жолақтарда (signatureAlgorithm және signatureValue) – тиісінше тізімге қол қою үшін қолданылған алгоритмнің тұрпаты және сертификатқа куәландырушы орталық қоятын ЭЦҚ туралы ақпарат болады. Соңғы екі жолақтың мәні сертификат сияқты жағдайға толық сәйкес келеді. ТbsCertList ақпараттық жолағы міндетті және опционалдық жолақтардың дәйектілігі болып табылады. Міндетті жолақ кері қайтарылған сертификаттар тізімін басып шығарушыны сәйкестендіреді, ал міндетті емес жолақтар кері қайтарылған сертификаттарды және кері қайтарылған сертификаттар тізімінің кеңейтуін қамтиды.

      Кері қайтарылған сертификаттар тізімінің негізгі жолақтары мен кеңейтулерінің мәндері 2-кестеде келтірілген.

      2-кесте

Жолақтың атауы

Мән немесе мәнді шектеулер

Version (нұсқа)

Version 2

Signature Algorithm (қолтаңба алгоритмі)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (баспагер, DN атауы)

Common Name (CN) = СҮТ қызметінің КО-сы, Organization (O) = ЕЭК, Organization Unit (OU) = ИТ, Country (C) = RU

thisUpdate

кері қайтарылған сертификаттарды шығару күні және уақыты

nextUpdate

кері қайтарылған сертификаттардың кезекті тізімін шығару күні және уақыты

revokedCertificates (Кері қайтарылған сертификаттар)

кері қайтарылған сертификаттар туралы ақпарат, сертификатқа қатысты әрбір жазба мынадай жолақтарды қамтиды:
 userCertificate - кері қайтарылған сертификаттың сериялық нөмірі,
 revocationDate – сертификатты кері қайтару күні,
 crlEntryExtensions - кері қайтарылған сертификаттардың тізіміне кеңейтілген қол жетімділік (кері қайтарылған сертификаттар туралы қосымша ақпаратты қамтиды - опционалды),
 CRLReason (сертификатты кері қайтару себебі туралы ақпаратты қамтиды – КСТ негізгі жолақтары және кеңейтулері – опционалды)
жоғарыда санамаланған жолақтар туралы ақпарат осы кестенің келесі үш жолында жазылған

userCertificate (сертификат)

кері қайтарылған сертификаттың сериялық нөмірі

revocationDate (Кері қайтарылған күні)

сертификатты кері қайтару күні және уақыты

CRLReason (Кері қайтару себебі)

сертификатты кері қайтару себебі. Жол берілетін мәндер:
keyCompromise; cessationOfOperation.

Extensions

сертификатты пайдаланумен байланысты қосымша ақпаратты айқындайтын кеңейтулер жиынтығы (міндетті кеңейтулер:
authorityKeyIdentifier;
crlNumber)

Signature (қолтаңба)

КСТ қолтаңбасы RFC 5280 айқындалған талаптарға сәйкес генерацияланады және кодталады

      Нұсқа нөмірі

      СҮТ қызметінің КО-сы шығаратын КСТ Х.509 v2 сәйкес келеді.

      КСТ кеңейтулері

      CRL көптеген кеңейтулерінің арасында екеуі маңызды болып табылады, олардың біріншісі (AuthorityKeyIdentifier жолағы) кері қайтарылған сертификаттардың тізіміне қол қою үшін қолданылатын ЭЦҚ кілтіне сәйкес келетін ЭЦҚ-ны тексеру кілтін сәйкестендіруге мүмкіндік береді, ал екіншісі (cRLNumber жолағы) куәландырушы орталық шығаратын CRL тізімінің біртіндеп ұлғайтылатын нөмірін қамтиды (осы кеңейтудің арқасында тізімді пайдаланушы бір CRL-дің екінші CRL-ді алмастырғанын айқындай алады).

      OCSP шаблоны

      Сертификаттың мәртебесін жедел режимде тексеру хаттамасын (OCSP) куәландырушы орталықтар қолданады және ол сертификаттардың жай-күйін айқындауға мүмкіндік береді. СМТС сұрау салулары мен жауаптарының құрылымы RFC 6960 сәйкес келеді. Осыған байланысты нұсқаның бірден бір шешілген нөмірі 0 болып табылады (бұл v1 нұсқасына сәйкес келеді). СҮТ қызметі КО-сының СМТС-ы авторланған жауапкер режимінде жұмыс істейді.

      СМТС серверінің сертификаты RFC 5280-де айқындалған extKeyUsage атауындағы кеңейтуді қамтуға тиіс. Осы кеңейту сыни ретінде белгіленуге тиіс және ол куәландырушы орталық сертификатты OCSP серверіне бере отырып өз қолтаңбасымен өзінің атынан осы орталықтың клиенттері сертификаттарының мәртебесі туралы куәліктерді беру құқығының өзіне берілуі фактісін растайтынын білдіреді.

      Сертификатта сертификаттың мәртебесін тексеру орталығының серверімен байланысу тәсілі туралы ақпарат та қамтылуы мүмкін. Бұл ақпарат AuthorityInfoAccess кеңейту жолағында бар.

      Сертификаттың мәртебесі туралы ақпарат SingleResponse құрылымының certStatus жолағына енгізіледі. Ол СҮТ қызметі КО-сының Регламентінде айқындалған үш кеңейтілген мәннің біреуін қабылдауы мүмкін.

      OCSP сұрау салуының шаблоны

      OCSP-сұрау салу RFC 6960 сәйкес ASN.1-құрылымын қабылдайды және оның мынадай шектеулері болады:

      ТbsRequest құрылымының requestExtensions жолағында кеңейтулердің тізімі бар. Бұл тізімде ocspNonce (OID 1.3.6.1.5.5.7.48.1.2) кеңейтуі ғана болуға тиіс.

      Дара сұрау салуға арналған кеңейтулердің тізімін қамтитын tbsRequest құрылымының singleRequestExtensions міндетті емес жолағы болмауға тиіс.

      Егер OCSP Request құрылымының optionalSignature жолағы берілсе, онда оған мынадай шектеулер қойылады:

      signatureAlgorithm жолағы "МЕМСТ Р 34.11/34.10-2012" (OID 1.2.643.7.1.1.3.3) мәнін қабылдауға тиіс;

      certs жолағына OCSP сұрау салуының ЭЦҚ-ны тексеру үшін сертификат енгізілуге тиіс. Бұдан басқа, tbsRequest құрылымындағы requestorName жолағы міндетті түрде қатысуға және ол CommonName (объективтік сәйкестендіргіш - 2.5.4.3) элементін қамтитын directoryName құрылымын білдіруге тиіс.

      OCSP жауабының шаблоны

      OCSP-жауап RFC 6960 сәйкес ASN.1-құрылымын қабылдайды және оның мынадай шектеулері болады.

      ResponseType жолағында 1.3.6.1.5.5.7.48.1.1 мәндері бар жауап түріндегі объективтік сәйкестендіргіш болады. Response жолағында BasicOCSPResponse құрылымы бар.

      Егер тиісті OCSP сұрау салуында ocspNonce кеңейтуі қатысқан жағдайда, онда OCSP-жауапта ResponseData құрылымының responseExtensions міндетті емес жолағы ұқсас мәні бар ocspNonce кеңейтуін қамтитын болады.

      SignatureAlgorithm жолағы "МЕМСТ Р 34.11/34.10-2012" (OID 1.2.643.7.1.1.3.3) мәнін қабылдайды.

      Сerts сертификаттар тізімінде ЭЦҚ-ны тексеру үшін қажетті СМТС сертификаты бар.

      SingleResponse құрылымының OCSP-жауап кеңейтуін қамтуы мүмкін singleExtensions міндетті емес жолағы жоқ.

      Уақыт штамптары шаблоны

      СҮТ қызметі КО-сының УШС осы мақсат үшін арнайы резервтелген ЭЦҚ кілтінің көмегімен өзіне берілетін ЭЦҚ-мен уақыт штамптарына қол қояды. RFC 5280 ұсынымына сәйкес олармен үйлесетін УШС ЭЦҚ-ны тексеру кілттерінің сертификаттары сыни ретінде белгіленген кілттің (ExtKeyUsage) жол берілетін тар қолданысын нақтылайтын жолақты қамтиды. Бұл сертификатты УШС-ның пайдалануы мүмкіндігін және ол берілетін уақыт штамптарында қалыптастыру үшін ғана пайдаланатынын білдіреді.

      СҮТ қызметі КО-сының УШС берген уақыт штампында SignedData құрылымына енгізілген (RFC 2630 сәйкес), УШС қол қойған және ContentInfo құрылымында бекітілген уақыт штампы туралы ақпарат (TSTInfo құрылымы) бар. СҮТ қызметі КО-сының УШС беретін уақыт штамптары RFC 3161 сәйкес келеді.

      TSP сұрау салуының шаблоны

      TSP-сұрау салу RFC 2630 сәйкес ASN.1-құрылымын білдіреді және оның мынадай шектеулері болады.

      TimeStampReq құрылымының reqPolicy міндетті емес жолағында базалық саясаттың объективтік сәйкестендіргіші (OID = 0.4.0.2023.1.1) болмауға не ол қамтылуға тиіс.

      nonce міндетті емес жолағында кездейсоқ генерацияланған 64-биттік мән болмауға не ол қамтылуға тиіс.

      TSP жауабының шаблоны

      TSP-жауап TSP-сұрау салу RFC 2630 сәйкес ASN.1-құрылымын білдіреді және оның мынадай шектеулері болады.

      SignedData құрылымының digestAlgorithms жолағы "512 ұзындығымен МЕМСТ 34.11-2012" (OID 1.2.643.7.1.1.2.3) мәнін қабылдайды;

      егер TSP сұрау салуда ТimeStampReq құрылымының certReq міндетті емес жолағында true мәні болса, SignedData құрылымының certificates міндетті емес жолағы TSP қызметінің сертификатын қамтитын болады.

      SignedData құрылымының crls міндетті емес жолағы болмауға тиіс.

      TSTInfo құрылымының policy жолағында базалық саясаттың объективтік саясаты (OID = 0.4.0.2023.1.1) болуға тиіс.

      егер тиісті TSP-сұрау салуда nonce міндетті емес жолағы болған жағдайда, TSP-жауапта TSTInfo құрылымының nonce міндетті емес жолағы да соған ұқсас мәнді иеленетін болады.

      TSTInfo құрылымының tsa міндетті емес жолағы жоқ.

      TSTInfo құрылымының extensions міндетті емес жолағы жоқ.

      SignerInfo құрылымының digestAlgorithm жолағы "512 ұзындығымен МЕМСТ Р 34.11-2012" мәнін (OID 1.2.643.7.1.1.2.3) қабылдайды.

      SignerInfo құрылымының signedAttrs жолағы мынадай объектілерді қамтитын болады: қол қойылатын мөлшердің тұрпаты (OID 1.2.840.113549.1.9.16.1.4 (уақыт штампы)), уақыт штампы хеш-функциясының мәні, уақыт штампы қызметінің сертификаты туралы ақпарат;

      SignerInfo құрылымының signatureAlgorithm жолағы "512 ұзындығымен МЕМСТ Р 34.10-2.12" мәнін қабылдайды.

  Еуразиялық экономикалық
одақтың интеграцияланған
ақпараттық жүйесінің сенім
білдірілген үшінші тарапы
қызметі куәландырушы
орталығының регламентіне
№ 2 ҚОСЫМША

Құжаттар түпнұсқалылығының негізгі белгілерінің ТІЗБЕСІ

      1. Паспорт:

      паспорттың бланкісі бекітілген және қолданыстағы нысанға сәйкес келеді;

      барлық міндетті деректемелері, мөрлері, мөртабандары бар;

      паспорттың қолданылу мерзімі өткен жоқ;

      лауазымды адамдардың қолтаңбалары бар;

      туған күні және паспорттың берілген күні сәйкес келеді;

      паспортты беру жүргізілген өңір туралы жазбалар азаматтың сол сәтте тұрған жері бойынша тіркеу мөртабанына сәйкес келеді және құжаттағы фотосурет (соның ішінде фотосуретте бейнеленген адамның шамамен алғандағы жасы құжатта көрсетілгенге сәйкес келеді) ұсынушыға сәйкес келеді.

      2. Сенімхат және бұйрықтардың көшірмелері:

      мөр бедерінде грамматикалық қателер, симметриялы емес орналасқан мәтін, штрихтардың қисықтығы, иректігі, басу бейнесінің жалпы солғындығы, қағаздың деформациясы, қаріптер мен цифрлардың оңайлатылған суреті, кертпесіз қаріптер мен цифрлар, бұрышты құрылысы бар сопақшалар мен жартылай сопақшалар жоқ.

  Еуразиялық экономикалық
одақтың интеграцияланған
ақпараттық жүйесінің сенім
білдірілген үшінші тарапы
қызметі куәландырушы
орталығының регламентіне
№ 3 ҚОСЫМША

Сертификат жасауға және беруге арналған өтініштің НЫСАНЫ


СҮТ қызметі КО-сының басшысына

_______________________________________


115114, Мәскеу қ., Летниковская к-сі, 2-үй, 1-құр.


_______________________________________


(басшы лауазымының атауы)


_______________________________________


(ұйымның толық атауы)


_______________________________________


(басшының Т. А. Ә.)

/

/




ЭЦҚ-ны тексеру кілтінің сертификатын дайындауға ӨТІНІШ

      1. ЭЦҚ кілтін және ЭЦҚ-ны тексеру кілтін жасауды және осы өтініште көрсетілген деректерге сәйкес ЭЦҚ-ны тексеру кілтінің сертификатын дайындауды сұраймын:


Ұйымның атауы (қысқ.)


Т. А. Ә. (толық):


Туған күні


Туған жері (толық)


Жынысы

☐ер

☐әйел

Паспорт деректері (серия, нөмір):


(бөлімше коды)


(берілген күні)


Лауазымы:


Бөлімше:


e-mail/телефон:


Заңды мекенжайы (толық):


Мекенжай бойынша жұмыс орны:








      Сертификаттың тағайындалуы:




СҮТС серверінің сертификаты



УШС серверінің сертификаты



СМТС серверінің сертификаты

      СҮТ қызметінің Куәландырушы орталығы Регламентінің және оған қосымшаның талаптарымен таныстым және оның барлық ережелерін сақтауға міндеттенемін.

ЭЦҚ-ны тексеру кілті сертификатының иесі







[жеке қолы]


Т.А.Ә.

      2. Мәліметтер түпнұсқа құжаттардың негізінде ұсынылды және дұрыс болып табылады.






(Ұйым басшысының лауазымы)



(қолы)


(Т.А.Ә.)

"

"

ж.




М.О.



  Еуразиялық экономикалық
одақтың интеграцияланған
ақпараттық жүйесінің сенім
білдірілген үшінші тарапы
қызметі куәландырушы
орталығының регламентіне
№ 4 ҚОСЫМША

Сертификаттың күшін жоюға арналған өтініштің НЫСАНЫ


СҮТ қызметі КО-сының басшысына


115114, Мәскеу қ., Летниковская к-сі, 2-үй, 1-құр.




(басшы лауазымының атауы)




(ұйымның толық атауы)




(басшының Т. А.Ә.)

/

/




Қол кілтінің сертификатын кері қайтаруға ӨТІНІШ

      Сізден сертификаттың күшін жоюды,

      Сертификаттың тағайындалуы:




СҮТС серверінің сертификаты



УШС серверінің сертификаты



СМТС серверінің сертификаты

      және күші жойылған сертификатты кері қайтарылған сертификаттардың тізіміне қосуды сұраймын:


(Лауазымы, Т.А.Ә. толық)


(Күшін жою себебі)

Сертификат №



(Сериялық нөмірі)






(Ұйым басшысының лауазымы)


(қолы)


(Т.А.Ә.)

"___" _______________ 20__ ж.





М.О.



  Еуразиялық экономикалық
одақтың интеграцияланған
ақпараттық жүйесінің сенім
білдірілген үшінші тарапы
қызметі куәландырушы
орталығының регламентіне
№ 5 ҚОСЫМША

Сертификат алуға сенімхаттың НЫСАНЫ


СҮТ қызметі КО-сының басшысына


115114, Мәскеу қ., Летниковская к-сі, 2-үй, 1-құр.




(басшы лауазымының атауы)




(ұйымның толық атауы)




(басшының Т.А.Ә.)

/

/




ЭЦҚ-ны тексеру кілтінің сертификатын алуға СЕНІМХАТ

      ______________________________________________________________

      _________________________________________________________________

      _________________________________________________________________

      _______________________________________________________________________________ сұраймын

      Сенімхат берілетін адам туралы мәліметтер:



Т. А. Ә. (толық):


Туған күні


Туған жері (толық)


Жынысы

☐ер

☐әйел

Паспорт деректері
(сериясы, нөмірі):


(бөлімшенің коды)


(берілген күні)


Лауазымы:


Бөлімше:


e-mail/телефон:


Заңды мекенжайы (толық):


Мекенжай бойынша жұмыс орны:










Атына сенімхат берілетін адам







жеке қолы


Т.А.Ә.

      2. Мәліметтер түпнұсқа құжаттардың негізінде ұсынылды және дұрыс болып табылады.






(Ұйым басшысының лауазымы)



(қолы)


(Т.А.Ә.)

"______"_______________20___ж.






М.О.



 

Об удостоверяющем центре службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза

Решение Коллегии Евразийской экономической комиссии от 25 сентября 2018 года № 154.

      В целях реализации пункта 18 Протокола об информационно-коммуникационных технологиях и информационном взаимодействии в рамках Евразийского экономического союза (приложение № 3 к Договору о Евразийском экономическом союзе от 29 мая 2014 года) Коллегия Евразийской экономической комиссии решила:

      1. Утвердить прилагаемое Положение об удостоверяющем центре службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза.

      2. Настоящее Решение вступает в силу по истечении 30 календарных дней с даты его официального опубликования.

      Председатель Коллегии
Евразийской экономической комиссии
Т. Саркисян

  УТВЕРЖДЕНО
Решением Коллегии
Евразийской экономической
комиссии
от 25 сентября 2018 г. № 154

ПОЛОЖЕНИЕ
об удостоверяющем центре службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза

I. Общие положения

      1. Настоящее Положение определяет назначение и основные задачи удостоверяющего центра службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза (далее соответственно – служба ДТС, Союз), создаваемого в Евразийской экономической комиссии (далее – Комиссия), а также его права, обязанности, ответственность и порядок прекращения деятельности.

      2. Основным назначением удостоверяющего центра службы ДТС является обеспечение сертификатами ключей проверки электронной цифровой подписи уполномоченных доверенных третьих сторон Комиссии и государств – членов Союза (далее – государства-члены) с целью организации электронного взаимодействия доверенных третьих сторон Комиссии и государств-членов в составе службы ДТС для обеспечения с применением электронной цифровой подписи юридической силы электронных документов при международном (трансграничном) обмене электронными документами в рамках Союза.

      3. Для целей настоящего Положения используются понятия, которые означают следующее:

      "криптографический стандарт" – совокупность технических спецификаций, устанавливающих правила и алгоритмы преобразования информации с использованием криптографического ключа (криптографическое преобразование), в том числе формирования и проверки ЭЦП;

      "сертификат ключа проверки ЭЦП" – электронный документ, изданный удостоверяющим центром, подписанный ЭЦП удостоверяющего центра с использованием ключа ЭЦП и содержащий информацию, подтверждающую принадлежность указанного в сертификате ключа проверки ЭЦП определенному субъекту электронного взаимодействия, и иную информацию, предусмотренную соответствующими криптографическими стандартами и требованиями к созданию, развитию и функционированию трансграничного пространства доверия, утверждаемыми Советом Комиссии;

      "удостоверяющий центр" – уполномоченный орган или организация, обеспечивающие в соответствии с актами Комиссии, законодательством государства-члена предоставление услуг по изданию, распространению, хранению сертификатов ключей проверки ЭЦП и проверке действительности этих сертификатов;

      "электронная цифровая подпись (электронная подпись)", "ЭЦП" – информация в электронном виде, которая присоединена к другой информации в электронном виде или иным образом связана с такой информацией, служит для контроля целостности и подлинности этой информации, обеспечивает невозможность отказа от авторства, вырабатывается путем применения в отношении данной информации криптографического преобразования с использованием закрытого (личного) ключа (ключа ЭЦП) и проверяется с использованием открытого ключа (ключа проверки ЭЦП).

      Иные понятия, используемые в настоящем Положении, применяются в значениях, определенных Протоколом об информационно-коммуникационных технологиях и информационном взаимодействии в рамках Евразийского экономического союза (приложение № 3 к Договору о Евразийском экономическом союзе от 29 мая 2014 года), Концепцией использования при межгосударственном информационном взаимодействии сервисов и имеющих юридическую силу электронных документов, утвержденной Решением Совета Евразийской экономической комиссии от 18 сентября 2014 г. № 73, и требованиями к созданию, развитию и функционированию трансграничного пространства доверия.

      4. Оформление электронных документов осуществляется в соответствии с требованиями к созданию, развитию и функционированию трансграничного пространства доверия и Положением об обмене электронными документами при трансграничном взаимодействии органов государственной власти государств – членов Евразийского экономического союза между собой и с Евразийской экономической комиссией, утвержденным Решением Коллегии Евразийской экономической комиссии от 28 сентября 2015 г. № 125.

      5. Функции удостоверяющего центра службы ДТС осуществляет Департамент информационных технологий Комиссии.

II. Основные задачи удостоверяющего центра службы ДТС

      6. Основными задачами удостоверяющего центра службы ДТС являются:

      а) удостоверение соответствия открытого ключа проверки ЭЦП закрытому (личному) ключу, а также подтверждение подлинности сертификатов ключей проверки ЭЦП доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов;

      б) обеспечение гарантий доверия к сертификатам ключей проверки ЭЦП доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов при международном (трансграничном) обмене электронными документами в рамках службы ДТС;

      в) издание, распространение и хранение сертификатов ключей проверки ЭЦП по запросам доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов, а также проверка действительности этих сертификатов;

      г) подтверждение достоверности сведений, указанных в сертификатах ключей проверки ЭЦП, по запросам доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов.

      7. Функционирование удостоверяющего центра службы ДТС осуществляется в соответствии с Регламентом удостоверяющего центра службы ДТС согласно приложению (далее – Регламент).

III. Права, обязанности и ответственность удостоверяющего центра службы ДТС

      8. В целях осуществления своих функций удостоверяющий центр службы ДТС имеет право:

      а) проводить проверку сведений, предоставляемых пользователями (представителями доверенных третьих сторон Комиссии и государств-членов) с целью получения сертификатов ключей проверки ЭЦП;

      б) отказывать пользователям в получении сертификатов ключей проверки ЭЦП в случае предоставления ими недостоверных сведений или сведений не в полном объеме для получения сертификатов ключей проверки ЭЦП;

      в) прекращать или аннулировать действие выданных сертификатов ключей проверки ЭЦП в следующих случаях:

      получение достоверных сведений о нарушении конфиденциальности ключа проверки ЭЦП и (или) иных сведений, которые могут существенным образом сказаться на возможности дальнейшего использования сертификатов ключей проверки ЭЦП;

      утрата юридической силы ключей проверки ЭЦП;

      утрата соответствующих средств ЭЦП;

      изменение сведений о владельце сертификата;

      иные случаи, установленные Регламентом или актами органов Союза;

      г) обеспечивать и контролировать выполнение пользователями требований к информационной безопасности при эксплуатации средств удостоверяющего центра службы ДТС;

      д) принимать участие в разработке и согласовании документов, регламентирующих вопросы деятельности удостоверяющего центра службы ДТС;

      е) устанавливать срок действия корневого сертификата ключа проверки ЭЦП удостоверяющего центра службы ДТС и сертификатов ключей проверки ЭЦП пользователей.

      9. При осуществлении своих функций удостоверяющий центр службы ДТС обязан:

      а) обеспечить регистрацию в установленном порядке пользователей в удостоверяющем центре службы ДТС на основании представленных ими документов (с обязательной проверкой указанных в них сведений);

      б) информировать в письменной форме доверенные третьи стороны Комиссии и государств-членов об условиях и порядке использования ЭЦП и средств ЭЦП, о рисках, связанных с использованием ЭЦП, и мерах, необходимых для обеспечения безопасности ЭЦП и ее проверки;

      в) ознакомить доверенные третьи стороны Комиссии и государств-членов с порядком работы удостоверяющего центра службы ДТС;

      г) актуализировать информацию, содержащуюся в реестре сертификатов ключей проверки ЭЦП доверенных третьих сторон Комиссии и государств-членов, и обеспечивать ее защиту от неправомерного доступа, уничтожения, модификации, блокирования и иных неправомерных действий;

      д) предоставлять любому лицу по его обращению информацию, содержащуюся в реестре сертификатов ключей проверки ЭЦП доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов, в том числе информацию об аннулировании сертификатов ключей проверки ЭЦП;

      е) обеспечивать конфиденциальность созданных удостоверяющим центром службы ДТС сертификатов ключей проверки ЭЦП;

      ж) обеспечивать выполнение в полном объеме технических процедур выпуска, проверки статуса, прекращения, возобновления действия и аннулирования сертификатов ключей проверки ЭЦП, а также опубликование информации об аннулированных сертификатах ключей проверки ЭЦП;

      з) участвовать по запросам пользователей в разрешении конфликтных ситуаций, связанных с применением сертификатов ключей проверки ЭЦП доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов;

      и) обеспечивать хранение в течение не менее 15 лет созданных удостоверяющим центром Комиссии сертификатов ключей проверки ЭЦП, документов на бумажном носителе, на основании которых выпущены сертификаты ключей проверки ЭЦП, и иных документов удостоверяющего центра службы ДТС (с соблюдением установленного в Комиссии порядка уничтожения документов с истекшим сроком архивного хранения);

      к) хранить в течение не менее 15 лет реквизиты основного документа, удостоверяющего личность пользователя;

      л) аннулировать сертификат ключа проверки ЭЦП удостоверяющего центра службы ДТС в случае компрометации ключа ЭЦП, соответствующего данному сертификату.

      10. Удостоверяющий центр службы ДТС несет ответственность в соответствии с актами органов Союза в случае причинения третьим лицам вреда в результате:

      а) неисполнения или ненадлежащего исполнения обязанностей, предусмотренных настоящим Положением и актами органов Союза в области регулирования применения ЭЦП;

      б) ненадлежащих организации работ и контроля безопасности информации при использовании средств ЭЦП и средств удостоверяющего центра службы ДТС;

      в) несоблюдения удостоверяющим центром службы ДТС правил пользования аппаратными и программно-техническими средствами удостоверяющего центра службы ДТС.

IV. Взаимодействие удостоверяющего центра службы ДТС с иными лицами

      11. Удостоверяющий центр службы ДТС взаимодействует со структурными подразделениями Комиссии по вопросам, отнесенным к компетенции удостоверяющего центра службы ДТС.

      12. В целях осуществления своих функций в соответствии с Регламентом удостоверяющий центр службы ДТС взаимодействует с иными участниками инфраструктуры открытых ключей (доверенными третьими сторонами государств-членов) от своего имени.

V. Прекращение деятельности удостоверяющего центра службы ДТС

      13. Деятельность удостоверяющего центра службы ДТС прекращается по решению Коллегии Комиссии.

      14. Удостоверяющий центр службы ДТС в случае принятия решения о прекращении его деятельности информирует об этом доверенную третью сторону Комиссии и доверенные третьи стороны государств-членов не позднее чем за 1 месяц до даты прекращения его деятельности.

      15. В случае передачи функций удостоверяющего центра службы ДТС другому удостоверяющему центру передается также реестр сертификатов ключей проверки ЭЦП доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов, выпущенных на дату прекращения деятельности удостоверяющего центра службы ДТС.

      16. В случае ликвидации информационных систем удостоверяющего центра службы ДТС реестр сертификатов ключей проверки ЭЦП доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов, а также другие электронные документы и документы на бумажном носителе удостоверяющего центра службы ДТС передаются на архивное хранение в установленном в Комиссии порядке.

  ПРИЛОЖЕНИЕ
к Положению об
удостоверяющем центре
службы доверенной третьей
стороны интегрированной
информационной системы
Евразийского экономического
союза

РЕГЛАМЕНТ
удостоверяющего центра службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза

I. Общие положения

      1. Настоящий Регламент устанавливает порядок взаимодействия участников инфраструктуры открытых ключей, использующих сертификаты, выданные удостоверяющим центром службы доверенной третьей стороны (ДТС) интегрированной информационной системы Евразийского экономического союза (далее соответственно – УЦ службы ДТС, интегрированная система), описание основных процедур и организационно-технических мероприятий, используемых УЦ службы ДТС при выпуске сертификатов ключей проверки электронной цифровой подписи (электронной подписи) (далее – ЭЦП), сопровождения указанных сертификатов, форматы данных и протоколы работы.

      Настоящий Регламент подготовлен в соответствии с рекомендациями RFC 3647. "Certificate Policy and Certification Practices Framework" (Рекомендации по политике выдачи сертификатов и сертификационным практикам).

      1.1. Наименование документа и идентификация

      Наименование документа: Регламент удостоверяющего центра службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза.

      Сокращенное наименование: Регламент УЦ службы ДТС.

      1.2. Участники инфраструктуры открытых ключей интегрированной системы

      В соответствии с Рекомендацией МСЭ-Т X.509 "Информационные технологии – Взаимосвязь открытых систем – Справочник: Структуры сертификатов открытых ключей и атрибутов" под инфраструктурой открытых ключей интегрированной системы (далее – ИОК) понимается инфраструктура, способная поддерживать управление открытыми ключами для поддержки услуг аутентификации, шифрования, целостности или фиксации авторства в рамках единого пространства доверия Союза.

      1.2.1. Удостоверяющий центр

      УЦ службы ДТС – отдел в составе Департамента информационных технологий Евразийской экономической комиссии (далее – Комиссия), осуществляющий функции по обеспечению сертификатами ключей проверки ЭЦП для взаимодействия уполномоченных ДТС интеграционного сегмента Комиссии и национальных сегментов государств – членов Союза (далее – государства-члены).

      К основным функциям УЦ службы ДТС относятся:

      регистрация доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов;

      создание и выдача сертификатов ключей проверки ЭЦП по запросам доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов;

      определение полномочий лиц, выступающих от имени доверенной третьей стороны Комиссии или доверенных третьих сторон государств-членов при обращении за получением сертификата ключа проверки ЭЦП, и хранение информации об указанных полномочиях в соответствии с утверждаемыми Комиссией документами, регламентирующими функционирование удостоверяющего центра службы доверенной третьей стороны;

      подтверждение владения ключом ЭЦП, который соответствует ключу проверки ЭЦП, указанному соответствующей доверенной третьей стороной в запросе на создание и получение сертификата ключа проверки ЭЦП, и отказ в создании указанного сертификата в случае отрицательного результата при подтверждении владения данным ключом;

      установление сроков действия сертификатов ключей проверки ЭЦП. Сертификат ключа проверки ЭЦП действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате, при этом информация о сертификате ключа проверки ЭЦП должна быть внесена удостоверяющим центром службы доверенной третьей стороны в реестр выданных, прекративших действие и аннулированных сертификатов ключей проверки ЭЦП (далее – реестр сертификатов) не позднее указанной в нем даты начала действия такого сертификата;

      прекращение действия и аннулирование сертификатов ключей проверки ЭЦП;

      ведение реестра сертификатов с включением в него информации, содержащейся в выданных удостоверяющим центром службы доверенной третьей стороны сертификатах ключей проверки ЭЦП, а также информации о дате прекращения действия или аннулирования таких сертификатов и об основаниях прекращения действия или аннулирования;

      ведение списка прекративших действие и аннулированных сертификатов ключей проверки ЭЦП (далее – список отозванных сертификатов);

      уведомление владельца сертификата ключа проверки ЭЦП об аннулировании его сертификата до внесения соответствующих изменений в реестр сертификатов и список отозванных сертификатов;

      проверка уникальности ключей проверки ЭЦП в реестре сертификатов и отказ в создании сертификата ключа проверки ЭЦП случае отрицательного результата проверки уникальности ключа проверки ЭЦП, указанного в запросе доверенной третьей стороны Комиссии или доверенной третьей стороны государства-члена;

      актуализация информации, содержащейся в реестре сертификатов и списке отозванных сертификатов, а также ее защита от неправомерного доступа, уничтожения, модификации, блокирования и иных неправомерных действий;

      хранение информации, внесенной в реестр сертификатов, в течение всего срока деятельности удостоверяющего центра службы доверенной третьей стороны;

      доступ на безвозмездной основе доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов к реестру сертификатов с использованием средств интегрированной системы в любое время;

      осуществление проверок ЭЦП по обращениям доверенной третьей стороны Комиссии или доверенных третьих сторон государств-членов;

      создание штампов времени на квитанциях доверенной третьей стороны Комиссии и квитанциях доверенных третьих сторон государств-членов при обращении таких доверенных третьих сторон с целью подтверждения времени создания электронных документов и их подписания соответствующей ЭЦП;

      осуществление иной деятельности, связанной с управлением выданными сертификатами ключей проверки ЭЦП.

      1.2.2. Пользователи инфраструктуры открытых ключей

      Пользователи инфраструктуры открытых ключей (ИОК) делятся на две категории: владельцы сертификатов и доверяющие стороны.

      Владельцами сертификатов ключей проверки ЭЦП, выдаваемых УЦ службы ДТС, являются следующие субъекты (осуществляющие генерацию ключевых пар, формирование запроса на получение сертификата, установку на своем рабочем месте сертификата УЦ службы ДТС и другие операции в соответствии с правами и обязанностями владельцев сертификатов ключей проверки ЭЦП):

      доверенная третья сторона Комиссии;

      доверенные третьи стороны государств-членов (уполномоченные организации – операторы соответствующих сервисов);

      УЦ службы ДТС.

      Операции, связанные с формированием криптографических ключей, формированием запросов на изготовление сертификатов ключей проверки электронных цифровых подписей (электронных подписей), получением сертификатов ключей проверки электронных цифровых подписей (электронных подписей), получением запросов на прекращение действия и аннулирование сертификатов ключей проверки электронных цифровых подписей (электронных подписей) от имени указанных владельцев сертификатов ключей проверки электронных цифровых подписей (электронных подписей) выполняют уполномоченные лица, полномочия которых подтверждаются в порядке, описанном в пункте 23.2 настоящего Регламента.

      Владельцы сертификатов ключей проверки ЭЦП при проведении процедур проверки ЭЦП других пользователей ИОК являются доверяющими сторонами, запрашивающими в УЦ службы ДТС информацию о статусе сертификатов и открытых ключей (полагаясь на нее при проверке ЭЦП и принятии решения о подлинности электронного документа).

      Других доверяющих сторон в ИОК интеграционного сегмента интегрированной системы нет.

      1.2.2.1. Доверенная третья сторона Комиссии и доверенные третьи стороны государств-членов

      Совокупность сервисов ДТС, функционирующих в составе интеграционного сегмента Комиссии и национальных сегментов государств-членов, обеспечивающих единое трансграничное пространство доверия ЭЦП при электронной форме взаимодействия субъектов средствами интегрированной информационной системы Союза, представляет собой единую службу ДТС интегрированной информационной системы (далее – служба ДТС).

      В рамках службы ДТС сервисы ДТС предоставляются государствами-членами в лице ДТС государств-членов и Комиссией в лице ДТС Комиссии.

      Операторами сервисов ДТС государств-членов являются уполномоченные органы или определенные (аккредитованные) ими организации.

      Оператором сервисов ДТС Комиссии является Комиссия.

      Основными задачами службы ДТС в рамках интегрированной системы являются:

      подтверждение подлинности и актуальности электронных документов и ЭЦП субъектов информационного взаимодействия – владельцев сертификатов, выпущенных удостоверяющими центрами рамках интегрированной системы, в фиксированный момент времени;

      обеспечение гарантий доверия в международном (трансграничном) обмене электронными документами;

      обеспечение правомерности применения ЭЦП в исходящих и (или) входящих электронных документах в соответствии с законодательством государств-членов и актами Комиссии.

      Сертификат сервера сервиса ДТС (сертификат сервера СДТС) включается в состав квитанций и запросов и используется для проверки ЭЦП в данных квитанциях и запросах, а также идентификации сервера сервиса ДТС.

      1.2.2.2. Сервис штампов времени

      В инфраструктуре открытых ключей интегрированной системы реализованы сервисы штампов времени. Сервисы штампов времени генерируют штампы времени в соответствии с рекомендациями RFC 3161 (Time-Stamp Protocol) – протоколом штампов времени. Каждый штамп времени удостоверяется исключительно при помощи ключей ЭЦП, созданных специально для сервисов штампов времени.

      1.2.2.3. Сервис проверки статуса сертификата

      В инфраструктуре открытых ключей интегрированной системы, кроме метода проверки статуса сертификата по списку отозванных сертификатов, предоставляется сервис по проверке статуса сертификата в онлайн-режиме (OCSP). Все ответы сервиса проверки статуса сертификата подписываются при помощи ключей ЭЦП, созданных специально для сервиса проверки статуса сертификата.

      1.2.3. Использование сертификатов

      Сертификаты, выпускаемые УЦ службы ДТС, используются операторами ДТС в целях обеспечения функционирования службы ДТС.

      Области использования сертификатов зависят от политик, в соответствии с которыми выданы сертификаты, утверждаемых руководителем УЦ службы ДТС.

      УЦ службы ДТС выдает сертификаты в соответствии со следующими политиками сертификатов ключей проверки ЭЦП:

      сертификаты ключей проверки ЭЦП сервиса сертификации УЦ службы ДТС (далее – сертификаты уполномоченных лиц УЦ, корневые сертификаты УЦ);

      сертификаты ключей проверки ЭЦП сервера сервиса ДТС (СДТС);

      сертификаты ключей проверки ЭЦП сервиса проверки статуса сертификата (СПСС);

      сертификаты ключей проверки ЭЦП сервиса штампов времени (СШВ).

      Сертификаты ключей проверки ЭЦП уполномоченных лиц УЦ службы ДТС предназначены для проверки электронных цифровых подписей сертификатах и списках отозванных сертификатов (далее – СОС).

      Сертификаты ключей проверки ЭЦП сервера СДТС предназначены для проверки ЭЦП в квитанциях и идентификации сервера сервиса ДТС. Сертификаты ключей проверки ЭЦП сервера СДТС также используются для проверки подписи запросов на выпуск и отзыв сертификатов, поступающих в УЦ службы ДТС от операторов ДТС.

      Сертификаты ключей проверки ЭЦП СПСС предназначены для проверки электронных цифровых подписей в ответах, выдаваемых сервисом проверки статусов сертификатов.

      Сертификаты ключей проверки ЭЦП СШВ предназначены для проверки электронных цифровых подписей в штампах времени, выдаваемых сервисом штампов времени, интеграционного и национальных сегментов интегрированной системы.

      Не допускается использование сертификатов, выданных УЦ службы ДТС, не предусмотренное политиками, утверждаемыми руководителем УЦ службы ДТС, в соответствии с которыми выпущен сертификат, предусмотренный согласно приложению № 1.

      1.3. Управление документом

      Организация, управляющая Регламентом УЦ службы ДТС: Департамент информационных технологий Евразийской экономической комиссии.

      Адрес удостоверяющего центра службы ДТС:

      115114, г. Москва, ул. Летниковская, д. 2, стр. 1, стр. 2.

      Телефон: +7 (495) 669-24-00, доб. ______

      Факс: 8 (495) 669-24-15

      e-mail: info@eecommission.org

      Почтовый и юридический адрес удостоверяющего центра службы ДТС: 119121, г. Москва, Смоленский бульвар, д.3/5, стр. 1

      Контактное лицо: ____________________________________

      Процедура утверждения Регламента УЦ службы ДТС: утверждение, а также внесение изменений в настоящий Регламент УЦ службы ДТС и политик сертификатов осуществляются Комиссией в установленном порядке. Изменения публикуются в репозитории в виде новой версии документа.

      1.4. Обозначения, термины и определения

      В настоящем Регламенте используются понятия, приведенные в Протоколе об информационно-коммуникационных технологиях и информационном взаимодействии в рамках Евразийского экономического союза (приложение № 3 к Договору о Евразийском экономическом союзе от 29 мая 2014 года) и следующие термины и определения:

      "доверяющая сторона" – участник информационного взаимодействия с использованием инфраструктуры открытых ключей, проверяющий ЭЦП;

      "владелец сертификата ключа проверки электронной цифровой подписи" – лицо, которому выдан сертификат ключа проверки ЭЦП;

      "заявитель" – физическое лицо, подающее заявление на выпуск сертификата в УЦ службы ДТС;

      "ключ проверки электронной цифровой подписи (открытый ключ, ключ проверки ЭЦП)" – уникальная последовательность символов, однозначно связанная с ключом электронной цифровой подписи и предназначенная для проверки подлинности электронной цифровой подписи;

      "ключ электронной цифровой подписи (ключ ЭЦП)" – уникальная последовательность символов, предназначенная для создания ЭЦП;

      "ключевая пара" – ключ проверки ЭЦП и ключ ЭЦП;

      "компрометация ключа ЭЦП" – факт, дающий основание полагать, что тайна ключа ЭЦП может быть раскрыта;

      "пользователь УЦ" – владелец сертификата или заявитель;

      "сертификат ключа проверки электронной цифровой подписи (сертификат)" – электронный документ, сформированный в соответствии со стандартом X.509 версии 3, содержащий открытый ключ и идентификационные данные его владельца и подписанный ЭЦП уполномоченного лица УЦ;

      "список отозванных сертификатов, СОС" – список прекративших действие и аннулированных сертификатов ключей проверки ЭЦП;

      "средства ЭЦП" – криптографические средства, используемые для реализации хотя бы одной из следующих функций: создание ЭЦП, проверка ЭЦП, создание ключа ЭЦП и ключа проверки ЭЦП;

      "штамп времени" – это доказательства того, что данные существовали до определенного времени (согласно RFC 3161 " Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)");

      "электронная цифровая подпись (электронная подпись) (ЭЦП)" – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения подписавшего лица.

II. Перечень услуг УЦ службы ДТС

      2. Для обеспечения услуг УЦ службы ДТС, предоставляемых в соответствии с перечнем основных функций, предусмотренных пунктом 1.2.1 настоящего Регламента, в УЦ службы ДТС реализованы следующие функциональные компоненты (сервисы):

      сервис сертификатов;

      сервис штампов времени;

      сервис проверки статуса сертификата;

      сервис регистрации;

      сервис сертификации;

      система защиты информации;

      средства ЭЦП.

      Сервис сертификатов обеспечивает доступ к реестру сертификатов ключей проверки ЭЦП и спискам отозванных сертификатов со стороны ДТС национальных сегментов государств-членов и ДТС Комиссии.

      Сервис штампов времени предоставляет для ДТС национальных сегментов государств-членов и ДТС Комиссии интерфейс для получения штампов времени при выполнении операций формирования ЭЦП.

      Сервис проверки статуса сертификата предоставляет для ДТС национальных сегментов государств-членов и ДТС Комиссии возможность проверки статуса сертификата без запроса списков аннулированных сертификатов в режиме реального времени с использованием протокола OCSP.

      Сервис регистрации предоставляет возможность регистрации запросов на выдачу и изменение статуса сертификатов. Сервис обеспечивает хранение регистрационных данных ДТС национальных сегментов государств-членов и ДТС Комиссии, запросов на создание сертификатов ключей проверки ЭЦП.

      Сервис сертификации обеспечивает хранение эталонной базы сертификатов ключей проверки ЭЦП и списков аннулированных сертификатов. Сервис используется для формирования ключей ЭЦП, записи ключевой информации на ключевые носители, создания и обработки запросов на изготовление и изменение статуса сертификатов ключей проверки ЭЦП, создания сертификатов ключей проверки ЭЦП и списков аннулированных сертификатов.

      Система защиты информации обеспечивает защиту, в том числе криптографическую защиту конфиденциальной информации, обрабатываемой и сохраняемой на технических средствах УЦ, в том числе при резервном копировании.

      Средства ЭЦП обеспечивают функции генерации пар ключей ЭЦП, хранения ключевой информации, проверки ЭЦП, генерации ЭЦП, отображения подписываемой и проверяемой информации.

      Для обеспечения указанных услуг в УЦ службы ДТС в УЦ службы ДТС выделены следующие доверенные роли, которые может выполнить одно или несколько лиц:

      руководитель УЦ службы ДТС – осуществляет общую координацию деятельности УЦ службы ДТС, организует работы по разработке и совершенствованию нормативных актов в области функционирования УЦ службы ДТС, использованию средств ЭЦП;

      уполномоченное лицо УЦ службы ДТС (администратор сертификации) – обеспечивает хранение и использование ключа ЭЦП УЦ службы ДТС, принимает участие в разработке нормативной базы УЦ службы ДТС и использованием средств ЭЦП, разрабатывает планы по обеспечению СДТС Комиссии сертификатами в соответствии с их потребностями, организует работы по разбору конфликтных ситуаций, проводит процедуры подтверждения подлинности ЭЦП в электронных документах по обращениям владельцев сертификатов, подтверждения подлинности ЭЦП уполномоченного лица УЦ службы ДТС в созданных сертификатах ключей проверки ЭЦП;

      администратор информационной безопасности УЦ службы ДТС, должностные обязанности которого включают организацию работ по использованию СКЗИ, участие в выработке инструкций для пользователей, обеспечение доведения инструкций и необходимой документации на СКЗИ (в том числе организация периодического контроля целостности установленного ПО СКЗИ), контроль за исполнением их требований.

      Средствами удостоверяющего центра реализуются следующие обязательные роли:

      системный администратор, в полномочия которого входит администрирование специального ПО на сервере удостоверяющего центра и автоматизированном рабочем месте администратора;

      администратор безопасности, обеспечивающий защиту информации и настройку средств защиты;

      администратор сертификации, в полномочия которого входит создание сертификатов ключей проверки ЭЦП и списков отозванных сертификатов ключей проверки ЭЦП;

      администратор аудита, в полномочия которого входят контроль системных событий и событий средств защиты информации по журналам аудита, а также разбор конфликтных ситуаций.

      Одна функциональная роль может быть закреплена за одним или несколькими сотрудниками. Возможно закрепление нескольких функциональных ролей за одним сотрудником при соблюдении условия, что общее количество персонала УЦ службы ДТС не менее 2 человек.

      По решению руководства Комиссии численность работников, выполняющих обязанности по эксплуатации УЦ службы ДТС, может быть увеличена пропорционально количеству и сложности решаемых задач.

Ш. Права и обязанности участников инфраструктуры открытых ключей

3. Права и обязанности УЦ службы ДТС

      УЦ службы ДТС имеет право:

      отказать в принятии заявления и выпуске сертификата, если заявитель представил не все документы в соответствии с настоящим Регламентом, документы содержат неполную и (или) некорректную информацию, представленные документы имеют явные признаки фальсификации;

      отказать в принятии запроса на сертификат, если средства ЭЦП, при помощи которых сгенерированы ключи и запрос, не совместимы со средствами ЭЦП УЦ службы ДТС;

      отказать в отзыве сертификата ключа проверки ЭЦП, если владелец не прошел аутентификацию при запросе на отзыв;

      отказать в отзыве сертификата ключа проверки ЭЦП, если истек установленный срок действия соответствующего ключа ЭЦП.

      УЦ службы ДТС обязан:

      использовать ключ ЭЦП администратора сертификации только для формирования ЭЦП в выпускаемых сертификатах и СОС;

      обеспечить конфиденциальность ключа ЭЦП уполномоченного лица УЦ службы ДТС;

      предоставить пользователям УЦ сертификат ключа ЭЦП уполномоченного лица в форме электронного документа;

      поддерживать СОС в актуальном состоянии в соответствии с настоящим Регламентом;

      обеспечить уникальность серийных номеров и ключей проверки ЭЦП в выдаваемых сертификатах;

      отозвать сертификат пользователя в кратчайшие сроки по запросу его владельца в соответствии с настоящим Регламентом;

      публиковать настоящий Регламент в действующей редакции в репозитории УЦ.

      4. Пользователь УЦ службы ДТС имеет право:

      обратиться в УЦ службы ДТС с заявлением на выпуск сертификата;

      обратиться в УЦ службы ДТС с заявлением на отзыв сертификата;

      получить сертификат ключа проверки ЭЦП уполномоченного лица УЦ службы ДТС в форме электронного документа;

      получить сертификат из реестра УЦ службы ДТС в форме электронного документа;

      получить сертификат из реестра УЦ службы ДТС на бумажном носителе;

      обратиться в УЦ службы ДТС для проверки ЭЦП в сертификате, выданном УЦ;

      обратиться в УЦ службы ДТС для проверки ЭЦП в документе, подписанном с использованием ключа, соответствующего сертификату, выданному удостоверяющим центром;

      использовать СОС и СПСС для проверки статусов сертификатов;

      использовать СШВ УЦ для простановки штампов времени.

      Пользователь УЦ службы ДТС обязан:

      ознакомиться с настоящим Регламентом;

      обеспечить конфиденциальность собственного ключа ЭЦП;

      использовать ключ ЭЦП только в течение срока его действия;

      использовать ключ ЭЦП только в соответствии с политиками, указанными в соответствующем сертификате;

      использовать СОС и СПСС для получения информации о статусах сертификатов;

      не использовать ключ ЭЦП при наличии оснований полагать, что конфиденциальность ключа ЭЦП нарушена;

      незамедлительно уведомить УЦ и запросить отзыв сертификата при компрометации ключа ЭЦП;

      использовать для генерации ключевой пары и запросов на сертификаты средства ЭЦП, совместимые со средствами ЭЦП УЦ службы ДТС;

      в случае оповещения о проведении внеплановой смены ключей ЭЦП УЦ службы ДТС получить новый корневой сертификат УЦ службы ДТС, созданный кросс-сертификат, выполнить их установку и осуществить обновление локальных списков отзыва на соответствующих серверах ДТС.

IV. Порядок и сроки выполнения процедур (действий), необходимых для предоставления услуг УЦ службы ДТС

5. Стоимость услуг

      УЦ службы ДТС осуществляет выпуск сертификатов для обеспечения функционирования службы ДТС на безвозмездной основе.

6. Перечень ключевых носителей

      УЦ службы ДТС в качестве ключевых носителей использует:

      доверенное вычислительное устройство (ДВУ) ЭЦП (информация хранится на SSD-диске из состава ДВУ) согласно модели угроз, утвержденной Решением Коллегии ЕЭК от 29.08.17 №101ДСП;

      индивидуальные ключевые носители – специально подготовленные USB-flash носители.

      Часть ключевой информации, необходимой для инициализации ключа ЭЦП сохраняется в ДВУ, а часть на USB-flash носителе. В ДВУ и на USB-flash носителях информация храниться в защищенном виде.

      Инициализация ключей и работа с ключами ЭЦП выполняются исключительно в ДВУ ЭЦП и только при предъявлении соответствующего USB-flash носителя и успешной аутентификации владельца ключа ЭЦП.

7. Порядок плановой смены ключей ЭЦП УЦ службы ДТС

      Плановая смена ключей ЭЦП УЦ службы ДТС выполняется не ранее чем по истечении 1 года и не позднее чем по истечении 1 года и 3 месяцев с даты начала действия ключей ЭЦП УЦ в соответствии с требованиями используемого средства ЭЦП.

      Процедура плановой смены ключа ЭЦП осуществляется в следующем порядке:

      администратор сертификации УЦ службы ДТС совместно с администратором информационной безопасности УЦ службы ДТС формируют новый ключ ЭЦП и соответствующий ему ключ проверки ЭЦП;

      формируется и сохраняется в реестре сертификатов самоподписанный сертификат УЦ службы ДТС;

      сертификат сохраняется на съемный носитель и устанавливается на сервер УЦ службы ДТС.

      Неактуальный ключ ЭЦП УЦ службы ДТС используется только для формирования списков отозванных сертификатов в электронной форме, изданных УЦ службы ДТС в период его действия.

      Уведомление пользователей о плановой смене ключей ЭЦП УЦ службы ДТС осуществляется путем публикации нового сертификата УЦ службы ДТС в репозитории УЦ службы ДТС.

8. Порядок внеплановой смены ключей электронной подписи УЦ службы ДТС

      Внеплановая смена ключей ЭЦП УЦ службы ДТС выполняется в случае компрометации ключа ЭЦП УЦ службы ДТС или в случае возникновения физической неисправности аппаратной части средств ЭЦП (ДВУ и (или) USB-flash носителя) либо при сбое программного обеспечения, приводящего к невозможности использования средств ЭЦП.

      При отсутствии подозрения на компрометацию ключа ЭЦП УЦ службы ДТС смена ключа выполняется в соответствии с порядком плановой смены ключей, указанном в пункте 7 настоящего Регламента.

      Процедура смены ключа ЭЦП при его компрометации (или подозрения на компрометацию) осуществляется в следующем порядке:

      администратором сертификации УЦ службы ДТС совместно с администратором информационной безопасности УЦ службы ДТС генерируется новая ключевая пара и изготавливается новый сертификат в соответствии с порядком плановой смены ключей, указанном в пункте 7 настоящего Регламента.

      выполняется односторонняя кросс-сертификация соответствующего скомпрометированному ключу корневого сертификата УЦ службы ДТС (кросс-сертификат подписывается на новом ключе ЭЦП УЦ службы ДТС);

      выполняется процедура аннулирования (отзыва) скомпрометированного корневого сертификата УЦ службы ДТС. Формируемый список отозванных сертификатов подписывается на новом ключе ЭЦП УЦ службы ДТС.

      Информирование владельцев сертификатов о внеплановой смене ключей производится путем оповещения с использованием телефонной связи.

      При внеплановой смене ключей ЭЦП УЦ службы ДТС администратор ДТС должен получить новый корневой сертификат УЦ службы ДТС, созданный кросс-сертификат, выполнить их установку и осуществить обновление локальных списков отзыва на соответствующих серверах ДТС.

9. Действия УЦ службы ДТС по сопровождению сертификатов

      9.1. Подача заявления на выпуск сертификата

      Заявление на выпуск сертификата подается в УЦ службы ДТС в форме документа на бумажном носителе, подлинность реквизитов которого проверяется согласно приложению № 2 к настоящему Регламенту. Заявление должно быть заверено подписью заявителя, а также печатью организации – оператора соответствующего ДТС, для которого запрашивается сертификат, либо заверено нотариально в соответствии с законодательством государства – члена по форме согласно приложению № 3 к настоящему Регламенту.

      Перечень организаций-операторов сервисов службы ДТС определяется решением Комиссии.

      Заявления на выпуск сертификата сервиса подтверждения подлинности ДТС и сертификата службы штампов времени ДТС могут подаваться только уполномоченными сотрудниками организации-оператора ДТС.

      При подаче заявлений на выпуск сертификата сервиса подтверждения подлинности (СПП) ДТС и сертификата службы штампов времени ДТС уполномоченным сотрудником организации-оператора ДТС учитывается наличие в ДТС основного и резервного серверов сервисов ДТС. Для обеспечения сертификатами сервисов одной ДТС в УЦ службы ДТС подаются 4 заявления:

      для СПП основного сервера ДТС;

      для СПП резервного сервера ДТС;

      для СШВ основного сервера ДТС;

      для СШВ резервного сервера ДТС.

      С заявлениями на выпуск сертификатов ключей проверки ЭЦП сервисов ДТС заявитель предоставляет в УЦ службы ДТС файлы запросов на сертификат ключа проверки ЭЦП в формате PKCS#10 на отчуждаемом носителе (CD или DVD диске), сгенерированные заявителем непосредственно на сервере соответствующего ДТС.

      При смене ключей ЭЦП, в случае, если персона заявителя не меняется, допускается упрощенная подача заявления без прибытия в Комиссию (кроме случаев компрометации ключа ЭЦП) путем пересылки в УЦ службы ДТС носителя с файлом запроса на выпуск сертификата. Запросы на выпуск сертификата, передаваемые в УЦ службы ДТС без личного прибытия в Комиссию, должны быть подписаны на действующем ключе ЭЦП сервиса подтверждения подлинности соответствующей подсистемы ДТС.

      9.2. Обработка заявления на выпуск сертификата

      После успешной аутентификации заявителя администратор сертификации совместно с администратором информационной безопасности УЦ службы ДТС проверяют соответствие идентификационной информации данным, содержащимся в заявлении на выпуск сертификата. Запрос на выпуск сертификата сохраняется в базе данных. При первоначальной регистрации идентификационная информация также заносится в базу данных и заявителю выдается парольная фраза для оперативной аутентификации при запросе отзыва сертификата по телефону.

      Заявление на выпуск сертификата передается на обработку в случае, если выполнены следующие требования:

      заявитель прошел процедуру аутентификации в соответствии с пунктом 23.2 настоящего Регламента;

      файл запроса на сертификат соответствует установленному формату (формат запроса указан в приложении № 1 к настоящему Регламенту), идентификационные данные в запросе совпадают с данными, указанными в заявлении на бумажном носителе;

      уникальное имя DN в запросе соответствует требованиям пункта 23.1.1 настоящего Регламента;

      алгоритм генерации ключей и подписи запроса является совместимым с используемым в УЦ службы ДТС.

      Если хотя бы одно из приведенных требований не выполнено, то заявление на выпуск сертификата отклоняется с обязательным уведомлением заявителя.

      9.3. Срок обработки заявления на выпуск сертификата

      Обработка заявления на выпуск сертификата производится в течение 1 рабочего дня. В случае если УЦ службы ДТС требуются дополнительные данные для аутентификации заявителя, срок обработки может быть увеличен.

10. Выпуск сертификата

      10.1. Выпуск сертификата сервера СДТС

      При выпуске сертификата сервера СДТС заявитель предоставляет в УЦ службы ДТС файл запроса в установленном формате, сгенерированный заявителем непосредственно на сервере СДТС. Администратор сертификации УЦ службы ДТС проверяет наличие идентификационной информации из заявления в базе данных УЦ службы ДТС и осуществляет выпуск сертификата на основе файла запроса по шаблону "Сервер СДТС".

      Шаблоны сертификатов приведены в приложении № 1 к настоящему Регламенту.

      10.2. Выпуск сертификата сервера СПСС

      При выпуске сертификата сервера СПСС заявитель предоставляет в УЦ ДТС файл запроса в установленном формате, сгенерированный заявителем непосредственно на сервере СПСС. Администратор сертификации УЦ службы ДТС проверяет наличие идентификационной информации из заявления в базе данных службы ДТС и осуществляет выпуск сертификата на основе файла запроса по шаблону "Сервер СПСС".

      Шаблоны сертификатов приведены в приложении № 1 к настоящему Регламенту.

      10.3. Выпуск сертификата сервера СШВ

      При выпуске сертификата сервера СШВ заявитель предоставляет в УЦ службы ДТС файл запроса в установленном формате, сгенерированный заявителем непосредственно на сервере функционирования СШВ. Администратор сертификации УЦ службы ДТС проверяет наличие идентификационной информации из заявления в базе данных УЦ и осуществляет выпуск сертификата на основе файла запроса по шаблону "Сервер СШВ".

      Шаблоны сертификатов приведены в приложении № 1 к настоящему Регламенту.

      10.4. Уведомление владельца о выпуске сертификата

      После выпуска сертификатов по запросу от оператора ДТС, переданного при личном прибытии уполномоченного представителя в УЦ, администратор УЦ службы ДТС уведомляет владельца о выпуске сертификата путем передачи представителю оператора сертификата на бумажном носителе и сертификата в электронном виде на съемном носителе.

      После выпуска сертификата по запросу от оператора ДТС, переданному без личного прибытия уполномоченного представителя в УЦ, администратор УЦ службы ДТС уведомляет владельца о выпуске сертификата посредством телефонной связи либо отправкой почтового сообщения с приложением выпущенного сертификата в электронном виде. Дополнительно в адрес владельца сертификата высылается сертификат на бумажном носителе.

11. Приемка сертификата владельцем

      11.1. Подтверждение принятия сертификата

      Владельцу сертификата вместе с сертификатом в электронной форме выдается сертификат в форме бумажного документа. Владелец при приеме сертификата обязан ознакомиться с идентификационной информацией, включенной в состав сертификата. В случае если идентификационная информация корректна, владелец заверяет сертификат на бумажном носителе собственноручной подписью. Один экземпляр сертификата на бумажном носителе выдается владельцу, второй экземпляр передается на архивное хранение в УЦ службы ДТС.

      Факт подписания сертификата в форме документа на бумажном носителе является подтверждением принятия сертификата.

      11.2. Публикация сертификата

      Выданный сертификат публикуется на сервере УЦ службы ДТС.

      11.3. Срок создания и выдачи сертификата

      Срок создания и выдачи сертификата не превышает одного рабочего дня с момента подачи заявления и подтверждающих документов.

12. Использование ключей и сертификатов

      Цели использования ключей и сертификатов зависят от политики, в соответствии с которой выдан сертификат.

      12.1. Ключ и сертификат сервера СДТС

      Ключ ЭЦП сервера СДТС используется исключительно для формирования ЭЦП в квитанциях проверки ЭЦП и запросах на проверку к СДТС национальных сегментов в автоматическом режиме.

      Сертификат сервера СДТС включается в состав квитанций и запросов и используется для проверки ЭЦП в данных квитанциях и запросах, а также идентификации сервера СДТС.

      12.2. Ключ и сертификат сервера СПСС

      Ключ ЭЦП сервера СПСС используется только для формирования ЭЦП в OCSP-ответах службы в режиме доверенного ответчика в автоматическом режиме.

      Сертификат СПСС включается в структуру OCSP-ответов сервиса и используется для проверки ЭЦП в OCSP-ответе и идентификации СПСС.

      12.3. Ключ и сертификат сервера СШВ

      Ключ ЭЦП сервера СШВ используется только для формирования ЭЦП в штампах времени, выдаваемых службой по запросам СДТС.

      Сертификат СШВ включается сервером сервиса в структуру выдаваемых штампов времени и используется для проверки ЭЦП в штампах времени и идентификации службы.

13. Обновление сертификата

      Обновление сертификата для существующей ключевой пары не производится. Каждый сертификат выпускается с новой ключевой парой.

14. Обновление ключей

      Обновление ключей подразумевает выдачу нового сертификата для новой ключевой пары зарегистрированного владельца сертификата. Процедуры идентификации и выпуска сертификата с новыми ключами аналогичны процедурам первоначальной регистрации и выполняются в соответствии с пунктом 23.2 настоящего Регламента.

15. Изменение данных, включаемых в сертификат

      УЦ службы ДТС не производит модификацию сертификатов. При изменении идентификационных данных, включаемых в сертификат, производится выпуск нового сертификата с новой ключевой парой в соответствии с пунктом 20.2 настоящего Регламента.

16. Отзыв и приостановление действия сертификата

      16.1. Основания для отзыва сертификата

      Сертификат ключа проверки ЭЦП, выданный УЦ службы ДТС, подлежит отзыву в случае компрометации ключа ЭЦП согласно пункту 30.3 настоящего Регламента, а также в случае, когда информация, включаемая в сертификат, является неточной или неполной.

      Приостановление действия сертификата не поддерживается.

      16.2. Запрос на отзыв сертификата

      Отзыв сертификата, выданного УЦ службы ДТС, может запросить владелец сертификата или руководитель УЦ службы ДТС в письменной форме.

      16.3. Передача запроса на отзыв сертификата

      Запрос на отзыв сертификата может быть передан в УЦ службы ДТС с использованием оптического съемного носителя CD/DVD. При этом запрос подписывается с использованием ключа отзываемого сертификата, выданного УЦ службы ДТС. Запрос на отзыв может быть передан в УЦ службы ДТС также по телефонной связи с аутентификацией владельца сертификата по парольной фразе, назначаемой при первоначальной регистрации.

      После передачи запроса на отзыв в УЦ службы ДТС владелец сертификата должен предоставить заявление на отзыв сертификата на бумажном носителе, заверенное личной подписью владельца сертификата, подписью уполномоченного лица и печатью органа (организации) оператора ДТС либо заверенное нотариально в соответствии с национальным законодательством. Форма заявления приведена в приложении № 4 к настоящему Регламенту.

      16.4. Допустимые сроки задержки обработки запроса на отзыв сертификата

      Запрос на отзыв сертификата обрабатывается в течение 1 рабочего дня.

17. Требования к проверке статуса сертификата доверяющей стороной

      Доверяющая сторона, получив электронный документ с ЭЦП, обязана проверить сертификат ключа проверки ЭЦП по протоколу проверки статусов сертификатов в оперативном режиме либо по списку отозванных сертификатов, если СПСС недоступен. Если сертификат, при помощи которого проверяется ЭЦП документа, содержится в списке отозванных сертификатов, то такой документ отклоняется доверяющей стороной.

      17.1. Частота выпуска СОС

      Список отозванных сертификатов выпускается УЦ службы ДТС сразу же после обработки запроса на отзыв сертификата, но не реже 1 раза в 3 месяца (даже при отсутствии изменений в списке), и публикуется в репозитории по адресам:

      http:// <XXX>00.DTS.EEC;

      http:// <XXX>01.DTS.EEC.

      17.2. Максимальное время задержки публикации СОС

      Список отозванных сертификатов публикуется на сервере УЦ службы ДТС непосредственно после выпуска. Максимальное время задержки публикации составляет 1 час.

      17.3. Сервис проверки сертификатов в режиме реального времени

      УЦ службы ДТС оказывает услуги проверки сертификатов в режиме реального времени. Услуга данного типа предоставляется по протоколу OCSP, описанному в RFC 6960.

      Протокол OCSP позволяет получать информацию о статусе сертификата без необходимости получения и проверки полного списка CRL.

      Протокол OCSP действует на основе модели запрос – ответ. В ответ на каждый запрос сервер СПСС, входящий в структуру УЦ службы ДТС, пересылает следующую стандартную информацию о статусе сертификата:

      правильный (англ. good) – означает положительный ответ на запрос, который следует однозначно интерпретировать как удостоверение того, что сертификат является действительным;

      отозванный (англ. revoked) – означает, что сертификат отозван;

      неизвестный (англ. unknown) – означает, что проверяемый сертификат не был выдан УЦ службы ДТС.

      Сервис OCSP генерирует ответ, основываясь на СОС УЦ службы ДТС.

18. Особые требования при замене скомпрометированной пары ключей

      При компрометации ключей соответствующий сертификат немедленно заносится в СОС и выдача нового сертификата производится в порядке, предусмотренном для первоначальной регистрации.

19. Основания приостановки действия сертификатов

      УЦ ДТС не приостанавливает действие выданных сертификатов.

20. Службы статусов сертификатов

      20.1. Способы информирования о статусе сертификатов, выданных УЦ службы ДТС

      Информацию о статусе сертификатов, выданных УЦ службы ДТС, можно получить на основе СОС, публикуемых в репозитории УЦ службы ДТС, а также по протоколу OCSP. Информация о доступе к серверу службы OCSP содержится в каждом выданном сертификате.

      20.2. Доступность сервиса

      Услуги по проверке статуса сертификата доступны 24 часа в сутки, 7 дней в неделю.

      21. Депонирование и восстановление ключей

      УЦ службы ДТС не осуществляет депонирование и восстановление ключей.

22. Репозиторий

      Репозиторий является совокупностью файлов и каталогов, размещенных на сервере УЦ службы ДТС. Репозиторий содержит сертификаты, списки отозванных сертификатов и настоящий Регламент.

      Вся информация, опубликованная УЦ службы ДТС в его репозитории, доступна по следующим адресам:

      http://<XXX>00.DTS.EEC,

      http:// <XXX>01.DTS.EEC

      Репозиторий содержит следующую информацию:

      все выданные УЦ службы ДТС сертификаты;

      актуальные списки отозванных сертификатов;

      политики управления сертификатами, утвержденные руководителем УЦ службы ДТС;

      актуальную версию настоящего Регламента.

      Информация в репозитории публикуется со следующей периодичностью:

      сертификаты, выданные УЦ службы ДТС, – непосредственно сразу после выпуска нового сертификата;

      списки отозванных сертификатов – не реже 1 раза в 3 месяца и немедленно в случае отзыва ранее выданных сертификатов;

      новая версия настоящего Регламента – по факту ее утверждения.

      УЦ службы ДТС использует механизмы защиты, предотвращающие несанкционированное добавление, удаление или изменение записей в репозитории.

      Доступ к репозиторию обеспечивается 24 часа в сутки, 7 дней в неделю.

      УЦ не ограничивает доступ к размещенным сертификатам и СОС по протоколу http.

23. Порядок идентификации и аутентификации

      23.1. Требования к идентификационной информации, включаемой в состав сертификата

      23.1.1. Типы имен

      Идентификационные данные владельцев сертификатов, а также идентификационные данные УЦ службы ДТС, указываемые в сертификатах, должны представлять собой отличительное имя (DN), закодированное в соответствии с Рекомендациями Х.500. Отличительное имя должно быть уникальным в рамках УЦ службы ДТС.

      Состав и формат компонентов отличительного имени должны соответствовать рекомендациям Х.501

      Требования к компонентам имени (к идентификационной информации владельца сертификата) приведены в таблице 1.

  Таблица 1

Атрибут

Требования

Distinguished name (DN)

отличительное имя должно быть уникальным в рамках PKI службы ДТС

Country (C)

двухсимвольный код страны согласно ГОСТ 7.67-2003 (ИСО 3166-1:1997)

Organization (O)

сокращенное наименование организации в соответствии с уставными документами

Description

общее наименование организации

StateOrProvinceName(S)

область нахождения организации, в которой зарегистрирована организация-оператор ДТС

LocalityName (L)

наименование населенного пункта, в котором зарегистрирована организация-оператор ДТС

StreetAddress

адрес нахождения организации-оператора ДТС

Идентификатор информационной системы


E-Mail Address (E)

адрес электронной почты представителя организации – оператора ДТС, службы или сервиса или адрес электронной почты администратора сертификации

CommonName (CN)

значение поля зависит от политики, в соответствии с которой выдан сертификат:
<псевдоним ДТС> – сертификат сервера СДТС (например, СДТС интеграционного сегмента )
<СПСС ИС > – сертификат проверки статуса сертификата
<псевдоним СШВ> – сертификат службы штампов времени
<фамилия, имя, отчество> – сертификат администратора или оператора

      Имя DN предлагается лицом, представляющим заявление в УЦ службы ДТС. Если данное имя соответствует общим требованиям и является уникальным, т.е. не совпадает с DN другого владельца сертификата, уже зарегистрированного в УЦ службы ДТС, то оно принимается в качестве идентификационных данных и заносится в УЦ службы ДТС при регистрации владельца сертификата.

      Для обеспечения уникальности имени DN операторы УЦ службы ДТС могут добавлять различительные символы в компонент CN отличительного имени.

      23.1.2. Анонимные сертификаты

      УЦ службы ДТС не выпускает анонимные сертификаты. В качестве псевдонимов используются наименования служб и сервисов.

      23.2. Процедуры идентификации и аутентификации пользователей УЦ службы ДТС и первоначальной регистрации

      Регистрация пользователей УЦ службы ДТС осуществляется, когда физическое лицо, подающее заявление на выпуск сертификата, не имеет ни одного действительного сертификата, выданного УЦ службы ДТС.

      После успешной проверки предоставленных данных заявитель вносится в список уполномоченных пользователей УЦ службы ДТС и получает парольную фразу для оперативной идентификации при запросе на отзыв. Заявление на выпуск сертификата обрабатывается и осуществляется выпуск сертификата.

      Процедура идентификации определяется утвержденными руководителем УЦ службы ДТС политиками сертификатов.

      23.2.1. Порядок идентификации и аутентификации при запросе сертификата сервера сервиса подтверждения подлинности ДТС

      При подаче заявления на выпуск сертификата идентификация заявителя осуществляется только при личном обращении в УЦ службы ДТС. Заявитель обязан предоставить следующие документы:

      заявление на выпуск сертификата на бумажном носителе;

      паспорт физического лица, предоставляющего заявку на сертификат;

      доверенность на право получения сертификата, выданную организацией – оператором ДТС на имя заявителя;

      копию приказа или выписку из приказа по организации о назначении ответственного за эксплуатацию программно-аппаратного комплекса (далее – ПАК) ДТС, заверенную руководителем организации.

      Если паспорт, удостоверяющий личность заявителя, является подлинным и фотография в документе является фотографией предъявителя, а заявитель входит в список уполномоченных лиц ДТС (представленный ранее оператором ДТС по электронной почте), то заявитель считается аутентифицированным.

      Полномочия заявителя считаются подтвержденными, если подписи и печати организации на доверенности и копии приказа (выписке) являются подлинными (либо доверенность заверена нотариально в соответствии с национальным законодательством), а организация, выдавшая доверенность, входит в перечень организаций – операторов ДТС.

      Проверка подлинности документов производится в соответствии с приложением № 2 к настоящему Регламенту.

      23.2.2. Порядок идентификации и аутентификации при запросе сертификата сервиса проверки статуса сертификата

      При подаче заявления на выпуск сертификата идентификация заявителя осуществляется только при личном обращении в УЦ службы ДТС. Заявитель обязан предоставить следующие документы:

      заявление на выпуск сертификата на бумажном носителе;

      паспорт физического лица, предоставляющего заявку на сертификат;

      доверенность на право получения сертификата СПСС, выданную организацией – оператором УЦ службы ДТС на имя заявителя;

      копию приказа или выписку из приказа по организации о назначении ответственного за эксплуатацию СПСС, заверенную руководителем организации.

      Если паспорт, удостоверяющий личность заявителя, является подлинным и фотография в документе является фотографией предъявителя, то заявитель считается аутентифицированным.

      Полномочия заявителя считаются подтвержденными, если подписи и печати организации на копии приказа (выписке) являются подлинными (либо доверенность заверена нотариально в соответствии с национальным законодательством), а организация, выдавшая доверенность, входит в перечень организаций – операторов ДТС.

      Проверка подлинности документов производится в соответствии с приложением № 2 к настоящему Регламенту.

      23.2.3. Порядок идентификации и аутентификации при запросе сертификата сервиса штампов времени

      При подаче заявления на сертификат СШВ идентификация заявителя осуществляется только при личном обращении в УЦ службы ДТС. Заявитель обязан представить следующие документы:

      заявление на выпуск сертификата на бумажном носителе;

      паспорт физического лица, предоставляющего заявку на сертификат;

      доверенность на право получения сертификата СШВ, выданную оператором ДТС на имя заявителя;

      копию приказа или выписку из приказа по организации о назначении ответственного за эксплуатацию СШВ (или ПАК ДТС), заверенную руководителем организации.

      Если паспорт, удостоверяющий личность заявителя, является подлинным и фотография в документе является фотографией предъявителя, то заявитель считается аутентифицированным.

      Полномочия заявителя считаются подтвержденными, если подписи и печати организации на доверенности копии (выписке) приказа являются подлинными (либо доверенность заверена нотариально в соответствии с национальным законодательством), заявитель назначен ответственным за эксплуатацию СШВ (ПАК ДТС), а организация является оператором СШВ (ПАК ДТС).

      Проверка подлинности документов производится в соответствии с приложением № 2 к настоящему Регламенту.

      23.2.4. Идентификация и аутентификация при обновлении ключей

      Идентификация и аутентификация при подаче заявления на выпуск сертификата при плановой смене ключей производится в порядке, аналогичном порядку первоначальной идентификации, описанному в данном пункте настоящего Регламента, в зависимости от политики сертификата.

      23.2.5. Идентификация и аутентификация при подаче запроса после отзыва сертификата

      Идентификация и аутентификация при подаче запроса после отзыва сертификата производится в порядке, аналогичном порядку первоначальной идентификации, описанном в данном пункте настоящего Регламента, в зависимости от политики сертификата.

      23.2.6. Идентификация и аутентификация при отзыве сертификата

      Аутентификация при подаче запроса на отзыв осуществляется по парольной фразе, выдаваемой в процессе первоначальной регистрации. Для оперативной обработки запроса на отзыв владелец сертификата при обращении в УЦ службы ДТС должен назвать свои имя, фамилию, должность и парольную фразу.

      Если идентификационные данные владельца сертификата, содержащиеся в базе данных УЦ службы ДТС, и выданная парольная фраза совпадают с указанными при обращении, то владелец сертификата считается аутентифицированным и запрос на отзыв передается на обработку.

      При подаче запроса на отзыв с использованием съемного носителя аутентификация пользователя осуществляется путем проверки ЭЦП запроса.

      Если идентификационные данные владельца сертификата содержатся в базе данных УЦ службы ДТС и ЭЦП в сообщении верна, то пользователь считается аутентифицированным и запрос обрабатывается.

24. Физические, организационные и эксплуатационные меры обеспечения безопасности

      В данном разделе описаны основные мероприятия в области контроля средств физической, организационной защиты и действий персонала, проводимые в УЦ службы ДТС.

      24.1. Физические меры обеспечения безопасности

      УЦ службы ДТС размещается в контролируемой зоне – пространстве, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств.

      Физической границей контролируемой зоны УЦ службы ДТС являются ограждающие конструкции, периметры помещений, в которых размещены технические средства, используемые для получения сертификатов пользователей УЦ службы ДТС, расположенные в Комиссии по адресу размещения УЦ службы ДТС.

      24.2. Физический доступ

      Помещения УЦ службы ДТС расположены в Комиссии и оборудованы системой контроля и управления доступом. Доступ в помещения УЦ службы ДТС разрешен только авторизованному персоналу и иным лицам в сопровождении ответственного сотрудника УЦ службы ДТС.

      24.3. Электроснабжение и кондиционирование воздуха

      В случае пропадания основного питания система автоматически переходит на резервное питание от источников бесперебойного питания.

      Серверное помещение УЦ службы ДТС оснащено системой кондиционирования воздуха и вентиляции, поддерживающей следующие параметры микроклимата:

      температура воздуха в пределах от 18 до 24 °С (предельная скорость ее изменения – 3 °С в час);

      влажность воздуха от 30 до 75 процентов без конденсации влаги (предельная скорость ее изменения – 6 процентов в час);

      предельное содержание пыли – не более 10-6 г/м3.

      24.4. Подверженность воздействию влаги

      Местоположение УЦ службы ДТС не подвержено природным рискам наводнения.

      24.5. Противопожарные меры безопасности и защита

      Серверное помещение УЦ службы ДТС оборудовано системой автоматического пожаротушения в соответствии с ГОСТ Р 53246-2008 и Правилами противопожарного режима в РФ, утвержденными Постановлением Правительства Российской Федерации от 2 апреля 2012 года № 390.

      24.6. Хранение носителей информации

      Для резервного копирования в УЦ службы ДТС используются USB носители. Носители, на которых хранятся архивы, а также текущие копии данных хранятся в огнестойких сейфах, расположенных в административных помещениях.

      24.7. Утилизация носителей информации

      Ключевые носители форматируются в соответствии с эксплуатационной документацией и вновь используются для хранения ключей.

      Аппаратные криптографические модули (HSM) по окончании использования обнуляются в соответствии с эксплуатационной документацией производителя. Обнуление HSM производится также при передаче в сервисный центр в случае их выхода из строя.

25. Управление персоналом

      25.1. Квалификация персонала

      Обслуживающий персонал должен уметь выполнять все необходимые процедуры, определяемые эксплуатационной документацией, разрабатываемой на стадии ввода в действие, и знать:

      базовые понятия технологии открытых ключей;

      нормативно-правовые основы деятельности удостоверяющих центров и юридически значимого электронного документооборота;

      назначение, основные характеристики и реализуемые алгоритмы программного комплекса УЦ службы ДТС;

      порядок организации работы с документами при обеспечении деятельности сервисов УЦ службы ДТС;

      порядок обработки персональных данных.

      25.2. Документация, предоставляемая персоналу

      Руководство УЦ службы ДТС предоставляет персоналу УЦ доступ к документам, необходимым для выполнения должностных обязанностей.

26. Ведение журналов аудита

      26.1. Типы регистрируемых событий

      ПАК УЦ службы ДТС регистрирует следующие виды событий:

      системные события общесистемного программного обеспечения;

      помещение запроса на сертификат проверки ЭЦП;

      принятие запроса на сертификат проверки ЭЦП;

      выпуск сертификата ключа проверки ЭЦП;

      отклонение запроса на сертификат проверки ЭЦП;

      выпуск списка отозванных сертификатов проверки ЭЦП;

      невыполнение внутренней операции программной компоненты.

      Структуры записей событий соответствуют эксплуатационной документации программного обеспечения реализации целевых функций удостоверяющего центра и общесистемного программного обеспечения.

      26.2. Частота обработки записей регистрируемых событий

      Анализ записей регистрируемых событий ежедневно проводится администратором аудита. В случае возникновения инцидентов безопасности анализ записей регистрируемых событий проводится в рамках расследования данных инцидентов.

      26.3. Срок хранения записей регистрируемых событий

      Записи регистрируемых событий хранятся в файлах на системном диске до момента превышения заданных для них максимальных значений объема. В этот период времени они доступны в оперативном режиме по запросу уполномоченного лица или уполномоченного процесса. По истечении данного срока создается резервная копия журналов событий на отчуждаемых носителях.

      Резервные копии журналов событий хранятся в течение установленного срока, не менее 7 лет.

      26.4. Защита записей регистрируемых событий

      Журналы событий защищены от просмотра, модификации и удаления средствами прикладного и общесистемного программного обеспечения.

      26.5. Условия сбора записей аудита

      Регистрируемые события автоматически записываются в журналы средствами прикладного и общесистемного программного обеспечения.

      26.6. Уведомление субъекта события, вносимого в журнал регистрации

      При записи события в журнал регистрации уведомление субъекта этого события не производится.

27. Анализ уязвимостей

      Администратор аудита при периодическом просмотре журналов событий в соответствии с эксплуатационной документацией анализирует содержимое журналов на предмет отсутствия записей о попытках несанкционированного доступа (далее – НСД) к программно-техническим средствам УЦ. При наличии записей о попытках НСД о данном факте сообщается администратору информационной безопасности.

28. Ведение архива

      28.1. Типы архивных записей

      В УЦ службы ДТС архивации подлежат следующие типы данных:

      получаемые заявки, выдаваемые сертификаты и СОС, имеющие электронную форму, которые поступили от конечного пользователя или были ему переданы в форме файла или электронного сообщения;

      регистрационные данные пользователей;

      реестр выданных сертификатов;

      журналы аудита;

      внутренняя и внешняя корреспонденция (в бумажной и электронной форме) УЦ службы ДТС с пользователями, а также доверяющими сторонами;

      документы и данные, использованные в процессе удостоверения личности.

      28.2. Срок хранения архива

      УЦ службы ДТС хранит архив на протяжении всего срока эксплуатации УЦ, от момента запуска УЦ службы ДТС в промышленную эксплуатацию до момента прекращения его деятельности.

      28.3. Защита архива

      Архив УЦ службы ДТС размещается на контролируемой территории. Доступ к архиву имеют только уполномоченные лица, выполняющие доверенные роли в УЦ службы ДТС.

      28.4. Резервное копирование архива

      Вся архивируемая информация в электронном виде копируется на внешние автономные носители.

      28.5. Восстановление данных из резервной копии архива

      Восстановление данных из резервной копии выполняется оператором в соответствии с эксплуатационной документацией. Проверка целостности данных резервной копии выполняется автоматически штатными средствами программного обеспечения УЦ службы ДТС непосредственно перед восстановлением данных. При нарушении целостности восстановление данных из резервной копии не выполняется.

29. Замена ключей и сертификата уполномоченного лица УЦ службы ДТС

      Ключ ЭЦП уполномоченного лица УЦ службы ДТС заменяется не реже 1 раза в 3 года. Замена ключа сопровождается заменой сертификата ключа проверки ЭЦП уполномоченного лица.

      Все владельцы сертификатов ключей проверки ЭЦП обязаны получить новый сертификат уполномоченного лица УЦ службы ДТС из репозитория УЦ службы ДТС и установить его на СДТС без удаления предыдущего сертификата.

30. Восстановление при компрометации и сбоях

      30.1. Процедура восстановления в случае компрометации

      При компрометации ключа ЭЦП уполномоченного лица УЦ службы ДТС УЦ службы ДТС изготавливает внеочередной список отзыва сертификатов, после чего производится смена ключей и сертификата уполномоченного лица УЦ службы ДТС.

      УЦ службы ДТС обязан принять все возможные меры по информированию владельцев сертификатов и доверяющих сторон о факте компрометации и в кратчайшие сроки произвести замену всех выданных сертификатов, используя новый сертификат уполномоченного лица.

      30.2. Случаи повреждения оборудования, программных и(или) аппаратных сбоев

      В случае повреждения оборудования, программных и (или) аппаратных сбоев, сведения о происшествии сообщаются обнаружившим данный факт сотрудником Комиссии руководителю и администратору информационной безопасности УЦ службы ДТС, которая доводит эти сведения до руководства, расследует происшествие и принимает необходимые меры по устранению последствий с использованием резервных копий и запасного оборудования.

      30.3. Компрометация ключа ЭЦП УЦ службы ДТС

      К событиям, связанным с компрометацией, относятся следующие события:

      потеря ключевых носителей, в том числе с их последующим обнаружением;

      увольнение по любой причине сотрудников, имеющих доступ к ключевым носителям или к ключевой информации на данных носителях (возможность такого доступа определяется в зависимости от конкретной реализации системы со средствами ЭЦП и от технологии обработки информации данной системой);

      возникновение подозрений об утечке информации или ее искажении в системе;

      нарушение целостности печати на сейфе с ключевыми носителями или утрата контроля за ключом от такого сейфа;

      утрата пользователем контроля за ограничением доступа к ключевому носителю в процессе эксплуатации им системы;

      случаи, когда невозможно достоверно установить, что произошло с ключевым носителем (например, его разрушение и невозможность опровергнуть подозрение на то, что разрушение носителя произошло не в результате попытки доступа к нему злоумышленника);

      другие виды разглашения ключевой информации, в результате которых ключи ЭЦП могут стать доступными несанкционированным лицам и (или) процессам.

      При наступлении перечисленных событий владелец ключа ЭЦП, исполняющий доверенную роль в УЦ службы ДТС, в кратчайший срок уведомляет администратора УЦ службы ДТС и запрашивает отзыв сертификата. Получение нового сертификата осуществляется в порядке, описанном в настоящем Регламенте.

31. Восстановление работоспособности после аварии

      Персонал УЦ службы ДТС принимает все возможные меры по восстановлению работоспособности УЦ после аварии в течение не более чем 8 часов с использованием резервных копий данных и запасного оборудования.

32. Технические средства безопасности

      32.1. Генерация и установка ключевой пары

      32.1.1. Генерация ключевой пары

      Ключевая пара УЦ службы ДТС генерируются на автоматизированном рабочем месте (АРМ) администратора в соответствии с эксплуатационной документацией. Генерация ключей УЦ осуществляется администратором сертификации совместно с администратором информационной безопасности УЦ службы ДТС.

      Ключевые пары СПСС и СШВ УЦ службы ДТС генерируются на сервере УЦ в соответствии с эксплуатационной документацией. Генерация ключей УЦ осуществляется администратором сертификации УЦ службы ДТС.

      Ключевые пары СПП и СШВ ДТС национальных сегментов и интеграционного сегмента интегрированной системы генерируются непосредственно на сервере ДТС уполномоченным сотрудником оператора ДТС в соответствии с эксплуатационной документацией на подсистему ДТС.

      Для генерации ключей в УЦ и ДТС Комиссии используется доверенное вычислительное устройство средств ЭЦП (ДВУ ЭЦП). Для защиты сохраняемой ключевой информации дополнительно используются специально подготовленные USB-flash носители.

      Для инициализации ключа ЭЦП в ДВУ кроме наличия информации, хранимой в ДВУ, дополнительно требуется ввод пароля доступа и данных, хранимых на USB-flash носителе.

      32.1.1.1. Предоставление личного ключа ЭЦП пользователю

      УЦ службы ДТС не имеет доступ к ключам ЭЦП пользователей, так как в соответствии с настоящим Регламентом каждый пользователь самостоятельно осуществляет генерацию ключевой пары.

      32.1.1.2. Передача ключа проверки ЭЦП в УЦ службы ДТС

      Пользователь осуществляет самостоятельную генерацию ключей и передает в УЦ службы ДТС ключ проверки ЭЦП в составе файла запроса на сертификат в электронном виде с использованием электронных носителей.

      32.1.1.3. Предоставление ключа проверки ЭЦП доверяющим сторонам

      Предоставление ключа проверки ЭЦП УЦ службы ДТС доверяющим сторонам осуществляется путем публикации сертификата ключа проверки ЭЦП, содержащего ключ проверки ЭЦП, в репозитории УЦ службы ДТС.

      Все сертификаты, выданные УЦ службы ДТС включают расширение AuthorityInformationAccess, содержащее ссылку на файл корневого сертификата УЦ службы ДТС, опубликованного в репозитории УЦ службы ДТС.

      32.1.2. Размеры ключей

      В соответствии с эксплуатационной документацией на используемые средства ЭЦП размеры ключей составляют:

      длины ключей электронной цифровой подписи:

      ключ электронной цифровой подписи – 512 бит;

      ключ проверки электронной цифровой подписи – 1024 бит.

      длины ключей, используемых при шифровании:

      симметричный ключ – 256 бит.

      32.1.3. Параметры генерации ключа проверки ЭЦП и проверка качества ключей

      Для генерации ключей пользователи УЦ службы ДТС используют ДВУ. Ключевым носителем при этом является SSD-диск из состава ДВУ. В качестве ключевых носителей также используются индивидуальные ключевые USB-носители.

      Параметры генерации ключа проверки ЭЦП задаются используемым средством ЭЦП автоматически.

      Алгоритм генерации ключей соответствует ГОСТ Р 34.10-2012 согласно Решению Коллегии ЕЭК от 2.06.16 №49ДСП.

      При получении запроса на сертификат УЦ службы ДТС проверяет полученный в запросе ключ на совместимость с используемым средством ЭЦП, его разрядность, а также его уникальность. При совпадении полученного ключа с уже имеющимся в базе данных УЦ службы ДТС отклоняет запрос и уведомляет пользователя, подавшего запрос с повторным ключом, о необходимости генерации новой ключевой пары и запроса на сертификат.

      32.1.4. Цели использования ключей

      Способ применения ключа определен в поле KeyUsage стандартных расширений сертификата, соответствующего X.509 v3.

      Ключ ЭЦП уполномоченного лица УЦ службы ДТС может использоваться только для формирования ЭЦП в выпускаемых сертификатах (бит 5 keyCertSign) и СОС (бит 6 cRLSign).

      Ключи конечных пользователей используются для формирования ЭЦП. Использование каждого бита в поле KeyUsage соответствует правилам, изложенным в RFC 5280.

      32.1.5. Защита ключа ЭЦП уполномоченного лица УЦ службы ДТС

      Ключ ЭЦП уполномоченного лица (администратора сертификации) УЦ службы ДТС хранится в защищҰнном (зашифрованном) виде в ДВУ ЭЦП АРМ администратора УЦ службы ДТС.

      Для инициализации в ДВУ ЭЦП ключа уполномоченного лица требуется последовательный ввод ключевых носителей администраторов УЦ (с вводом паролей доступа) и наличие служебных данных, хранимых на SSD-диске из состава ДВУ.

      Ключ ЭЦП уполномоченного лица в период эксплуатации (от момента его создания до момента уничтожения) находится в ДВУ ЭЦП и не может быть отчужден на какие-либо внешние носители (функция депонирования ключей ДВУ ЭЦП не поддерживается).

      32.1.6. Стандарты криптографического модуля

      Форматы ключей и криптографические операции, выполняемые аппаратным криптографическим модулем, соответствуют стандартам ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

      32.1.7. Депонирование ключей ЭЦП

      УЦ службы ДТС не осуществляет депонирование ключей ЭЦП.

      32.1.8. Резервная копия ключа ЭЦП

      УЦ службы ДТС не осуществляет резервирование ключей ЭЦП.

      32.1.9. Хранение ключа ЭЦП по окончании срока действия

      Ключ ЭЦП по окончании срока действия подлежит удалению с использованием штатных функций средств ЭЦП и средств УЦ службы ДТС.

      32.1.10. Создание и уничтожение ключа ЭЦП УЦ службы ДТС

      Ключ ЭЦП уполномоченного лица УЦ службы ДТС постоянно находится в ДВУ с момента его создания и до его удаления при выводе из эксплуатации.

      32.1.11. Хранение ключа ЭЦП в криптографическом модуле

      Ключ ЭЦП уполномоченного лица УЦ службы ДТС хранится в аппаратном криптографическом модуле в зашифрованном виде.

      32.1.12. Способ активации ключа ЭЦП

      Ключ ЭЦП уполномоченного лица УЦ службы ДТС инициализируется при последовательном предъявлении съемных ключевых носителей администраторов УЦ (с вводом паролей доступа) и наличии служебных данных, хранимых на SSD-диске из состава ДВУ.

      32.1.13. Резервное копирование репозитория

      Репозиторий УЦ службы ДТС подвергается периодическому резервному копированию в соответствии с порядком резервного копирования, установленным в УЦ службы ДТС.

      32.1.14. Сроки действия сертификатов и ключей

      Сроки действия ключей ЭЦП и сертификатов ключей проверки ЭЦП определяются эксплуатационной документацией используемого средства ЭЦП.

      Сроки действия ключей и сертификатов УЦ службы ДТС:

      максимальный срок действия ключей ЭЦП – до 3 лет;

      максимальный срок действия ключей проверки ЭЦП – до 7 лет.

      Сроки действия ключей и сертификатов пользователей:

      максимальный срок действия ключа ЭЦП – до 3 лет;

      максимальный срок действия ключа проверки ЭЦП – до 7 лет.

      32.1.15. Данные активации

      Для ключей ЭЦП УЦ службы ДТС в качестве данных активации выступают:

      данные, считываемые ДВУ с USB-flash носителя;

      пароли доступа к USB-flash носителю;

      служебные данные, хранимые на SSD-диске ДВУ.

33. Безопасность программно-аппаратного обеспечения

      Мероприятия по обеспечению безопасности программно-аппаратного комплекса УЦ службы ДТС осуществляются администратором информационной безопасности УЦ службы ДТС.

      Первоначальная установка и настройка программного обеспечения на АРМ и серверах УЦ осуществляется системным администратором УЦ службы ДТС с эталонного диска.

      Корпуса серверов, АРМ администратора и ДВУ опечатываются личной печатью администратора информационной безопасности УЦ службы ДТС в соответствии с эксплуатационной документацией. Перед началом работы производится визуальный контроль целостности корпуса и печатей (пломб). При обнаружении вскрытия корпуса и/или повреждении печатей (пломб) дальнейшая работа запрещается, о данном факте докладывается руководителю УЦ.

      В процессе эксплуатации технических средств УЦ запрещается вносить изменения в состав, конструкцию, электрическую и монтажную схемы УЦ службы ДТС.

      Ремонт технических средств осуществляется на предприятии-изготовителе указанных средств. После проведения ремонта проводится процедура специальной проверки и специальных исследований технических средств.

      Ввод в состав УЦ дополнительных аппаратных средств без проведения тематических исследований, специальных проверок и специальных исследований данных средств не допускается.

34. Средства контроля целостности среды функционирования

      Средства динамического контроля целостности программного обеспечения средств УЦ и среды функционирования входят в состав базовой операционной системы QP ОС.

      Стартовый и периодический контроль целостности выполняется средствами АПМДЗ из состава ТС УЦ службы ДТС.

35. Сетевая безопасность

      Сетевая безопасность обеспечивается при помощи межсетевых экранов с фильтрацией трафика, а также сегментированием сети. На межсетевых экранах разрешены подключения по портам и протоколам, необходимым для бесперебойного функционирования системы. Все остальные порты и протоколы недоступны. Отдельный сегмент сети выделен для публикации общедоступных данных.

      На внешнем сегменте используется средство обнаружения вторжений.


  ПРИЛОЖЕНИЕ № 1
к Регламенту
удостоверяющего центра
службы доверенной третьей
стороны интегрированной
информационной системы
Евразийского экономического
союза

ШАБЛОНЫ запросов на сертификаты, сертификатов и список отозванных сертификатов

      Шаблон запроса на сертификат

      Запрос на сертификат представляет собой структуру в формате PKCS#10 и является последовательностью трех полей, из которых первое содержит основное тело запроса (certificationRequestInfo), второе – информацию о типе алгоритма, использованного для подписания запроса на сертификат (signatureAlgorithm), а третье – электронную цифровую подпись, которой подписан запрос (signatureValue).

      Запросы на сертификаты ЭЦП УЦ службы ДТС содержат как минимум следующие основные поля:

      Version: первая версия (v1(0)) формата запроса на сертификат;

      Subject: уникальное имя (DN) конечного пользователя, получающего сертификат;

      SubjectPublicKeyInfo: значение открытого ключа вместе с идентификатором алгоритма;

      Attributes: коллекция аттрибутов, которые могут содержать информацию о расширениях, сохраняемых в сертификат.

      Значения основных полей и расширений определяются в зависимости от политики, в соответствии с которой выдается сертификат ключа проверки ЭЦП.

      Запрос на сертификат сервера СДТС

Название поля

Значение или ограничения значения

Version (версия)

Version 1

Subject (субъект, имя DN)

имя DN соответствует требованиям X.501.

Common Name (CN) = <Наименование сервиса ДТС>,

Organization (O) = <Сокращенное наименование организации>,

Organization Unit (OU) = <Наименование подразделения>,

mailAddress (E) = <адрес электронной почты администратора ПАК ДТС>

Subject Public Key Info

(открытый ключ субъекта)

кодируемое поле соответствует требованиям, описанным в RFC 2986, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть с идентификатором ключа, длиной ключа в битах и значения открытого ключа)

KeyUsage

(OID расширения 2.5.29.15)

(использование ключа) – содержится в Attributes

digitalSignature, nonRepudiation

ExtendedKeyUsage

(OID расширения 2.5.29.37)

(расширенное использование ключа) – содержится в Attributes

Dvcs (OID 1.3.6.1.5.5.7.3.10)

SubjectKeyIdentifier

(OID расширения 2.5.29.14) – содержится в Attributes

уникальный идентификатор открытого ключа субъекта

CertificatePolicy

(OID расширения 2.5.29.32)

(политика сертификата) – содержится в Attributes

идентификатор политики:

iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Signature (подпись)

подпись запроса на сертификат генерируется и кодируется в соответствии с требованиями, определенными в RFC 2986.

      Запрос на сертификат сервера СПСС

Название поля

значение или ограничения значения

Version (версия)

Version 1

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Subject (субъект, имя DN)

имя DN соответствует требованиям X.501.

Common Name (CN) = <Псевдоним СПСС>,

Organization (O) = <Сокращенное наименование организации>,

Organization Unit (OU) = <Наименование подразделения>,

mailAddress (E) = <адрес электронной почты администратора OCSP сервера>

Subject Public Key Info

(открытый ключ субъекта)

кодируемое поле соответствует требованиям, описанным в RFC 2986, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть с идентификатором ключа, длиной ключа в битах и значения открытого ключа).

KeyUsage

(OID расширения 2.5.29.15)

(использование ключа) – содержится в Attributes

digitalSignature, nonRepudiation,

ExtendedKeyUsage

(OID расширения 2.5.29.37)

(расширенное использование ключа) – содержится в Attributes

OCSPSigning (OID 1.3.6.1.5.5.7.3.9)

SubjectKeyIdentifier

(OID расширения 2.5.29.14) – содержится в Attributes

уникальный идентификатор открытого ключа субъекта

CertificatePolicy

(OID расширения 2.5.29.32)

(политика сертификата) – содержится в Attributes

идентификатор политики:

iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Signature (подпись)

подпись сертификата генерируется и кодируется в соответствии с требованиями, определенными в RFC 2986.

      Запрос на сертификат сервера СШВ

Название поля

значение или ограничения значения

Version (версия)

Version 1

Subject (субъект, имя DN)

имя DN соответствует требованиям X.501.

Common Name (CN) = <Псевдоним СШВ>,

Organization (O) = <Сокращенное наименование организации>,

Organization Unit (OU) = <Наименование подразделения>,

mailAddress (E) = <адрес электронной почты администратора TSP сервера>

Subject Public Key Info

(открытый ключ субъекта)

кодируемое поле соответствует требованиям, описанным в RFC 2986, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть с идентификатором ключа, длиной ключа в битах и значения открытого ключа).

KeyUsage

(OID расширения 2.5.29.15)

(использование ключа) – содержится в Attributes

digitalSignature, nonRepudiation,

ExtendedKeyUsage

(OID расширения 2.5.29.37)

(расширенное использование ключа) – содержится в Attributes

timestamping (OID 1.3.6.1.5.5.7.3.8)

SubjectKeyIdentifier

(OID расширения 2.5.29.14) – содержится в Attributes

уникальный идентификатор открытого ключа субъекта

CertificatePolicy

(OID расширения 2.5.29.32)

(политика сертификата) – содержится в Attributes

идентификатор политики:

iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Signature (подпись)

подпись сертификата генерируется и кодируется
в соответствии с требованиями, определенными в RFC 5280

      Шаблон сертификата ключа проверки ЭЦП

      Сертификат ключа проверки ЭЦП в соответствии со стандартом X.509 v.3 является последовательностью трех полей, из которых первое содержит содержимое сертификата (tbsCertificate), второе – информацию о типе алгоритма, использованного для подписания сертификата (signatureAlgorithm), а третье – электронную цифровую подпись, которой подписан сертификат (signatureValue).

      Сертификаты ключей проверки ЭЦП УЦ службы ДТС содержат как минимум следующие основные поля:

      Version: третья версия (X.509 v.3) формата сертификата;

      SerialNumber: серийный номер сертификата, уникальный в рамках удостоверяющего центра;

      Signature Algorithm: идентификатор алгоритма, применяемого удостоверяющим центром, выдающим сертификаты для подписания сертификата;

      Issuer: уникальное имя (DN) Удостоверяющего центра;

      Validity: срок действия сертификата, определенный началом (notBefore) и окончанием (notAfter) действия сертификата;

      Subject: уникальное имя (DN) конечного пользователя, получающего сертификат;

      SubjectPublicKeyInfo: значение открытого ключа вместе с идентификатором алгоритма;

      Signature: подпись генерируется и кодируется в соответствии с RFC 5280.

      Значения основных полей и расширений определяются в зависимости от политики, в соответствии с которой выдается сертификат ключа проверки ЭЦП.

      Сертификат сервера СДТС

Название поля

значение или ограничения значения

Version (версия)

Version 3

Serial Number (серийный

номер)

уникальное значение во всех сертификатах, выдаваемых УЦ службы ДТС

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (издатель, имя DN)

Common Name (CN) = УЦ службы ДТС,

Organization (O) = ЕЭК,

Organization Unit (OU) = ИТ,

Country (C) = RU

Not before (начало срока

действия)

основное время согласно UTC (Universal Coordinate Time)

Not after (окончание срока

действия)

основное время согласно UTC (Universal Coordinate Time)

Subject (субъект, имя DN)

имя DN соответствует требованиям X.501.

Common Name (CN) = <Наименование сервиса ДТС>,

Organization (O) = <Сокращенное наименование организации>,

Organization Unit (OU) = <Наименование подразделения>,

mailAddress (E) = <адрес электронной почты администратора ПАК ДТС>

Subject Public Key Info

(открытый ключ субъекта)

кодируемое поле соответствует требованиям, описанным в RFC 5280, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть
с идентификатором ключа, длиной ключа в битах и значения открытого ключа)

KeyUsage

(OID расширения 2.5.29.15)

(использование ключа)

digitalSignature, nonRepudiation

ExtendedKeyUsage

(OID расширения 2.5.29.37)

(расширенное использование ключа)

Dvcs (OID 1.3.6.1.5.5.7.3.10)

CertificatePolicy

(OID расширения 2.5.29.32)

(политика сертификата)

идентификатор политики:

iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

AuthorityInformationAccess

(OID расширения 1.3.6.1.5.5.7.1.1)

(Доступ к сертификату УЛ УЦ службы ДТС)

URL файла сертификата УЛ УЦ службы ДТС следующего вида:

http:// <XXX>00.DTS.EEC/RootTTPCA.crt,

http:// <XXX>01.DTS.EEC/RootTTPCA.crt

URL сервера СПСС следующего вида:

http:// <XXX>00.DTS.EEC/<псевдоним_СПСС>/ocsp.srf, http:// <XXX>01.DTS.EEC/<псевдоним_СПСС>/ocsp.srf

CRLDistributionPoint

(OID расширения 2.5.29.31)

(точка распространения СОС)

URL файла СОС УЦ службы ДТС:

http:// <XXX>00.DTS.EEC/RootTTPCA.crl,

http:// <XXX>01.DTS.EEC/RootTTPCA.crl

BasicConstraints

(OID расширения 2.5.29.19)

конечный субъект

SubjectKeyIdentifier

(OID расширения 2.5.29.14)

уникальный идентификатор открытого ключа субъекта

Signature (подпись)

подпись сертификата генерируется и кодируется
в соответствии с требованиями, определенными в RFC 5280

      Сертификат сервера СПСС

Название поля

значение или ограничения значения

Version (версия)

Version 3

Serial Number (серийный номер)

уникальное значение во всех сертификатах, выдаваемых УЦ службы ДТС

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (издатель, имя DN)

Common Name (CN) = УЦ службы ДТС,

Organization (O) = ЕЭК,

Organization Unit (OU) = ИТ,

Country (C) = RU

Not before (начало срока действия)

основное время согласно UTC (Universal Coordinate Time)

Not after (окончание срока действия)

основное время согласно UTC (Universal Coordinate Time)

Subject (субъект, имя DN)

имя DN соответствует требованиям X.501.

Common Name (CN) = <Псевдоним СПСС>,

Organization (O) = <Сокращенное наименование организации>,

Organization Unit (OU) = <Наименование подразделения>,

mailAddress (E) = <адрес электронной почты администратора OCSP сервера>

Subject Public Key Info

(открытый ключ субъекта)

кодируемое поле соответствует требованиям, описанным в RFC 5280, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть с идентификатором ключа, длиной ключа в битах и значения открытого ключа)

KeyUsage

(OID расширения 2.5.29.15)

(использование ключа)

digitalSignature, nonRepudiation,

ExtendedKeyUsage

(OID расширения 2.5.29.37)

(расширенное использование ключа)

OCSPSigning (OID 1.3.6.1.5.5.7.3.9)

CertificatePolicy

(OID расширения 2.5.29.32)

(политика сертификата)

идентификатор политики:

iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

AuthorityInformationAccess

(OID расширения 1.3.6.1.5.5.7.1.1)

(Доступ к сертификату УЛ службы УЦ ДТС)

URL файла сертификата УЛ УЦ службы ДТС следующего вида:

http:// <XXX>00.DTS.EEC/RootTTPCA.crt,

http:// <XXX>01.DTS.EEC/RootTTPCA.crt

URL сервера СПСС следующего вида:

http:// <XXX>00.DTS.EEC/<псевдоним_СПСС>/ocsp.srf, http:// <XXX> 01.DTS.EEC/<псевдоним_СПСС>/ocsp.srf

SubjectKeyIdentifier

(OID 2.5.29.14)

уникальный идентификатор открытого ключа субъекта

CRLDistributionPoint

(OID расширения 2.5.29.31)

(точка распространения СОС)

URL файла СОС УЦ службы ДТС:

http:// <XXX>00.DTS.EEC/RootTTPCA.crl,

http:// <XXX>01.DTS.EEC/RootTTPCA.crl

Signature (подпись)

подпись сертификата генерируется и кодируется
в соответствии с требованиями, определенными в RFC 5280

      Сертификат сервера СШВ

Название поля

значение или ограничения значения

Version (версия)

Version 3

Serial Number (серийный номер)

уникальное значение во всех сертификатах, выдаваемых УЦ службы ДТС

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (издатель, имя DN)

Common Name (CN) = УЦ службы ДТС,

Organization (O) = ЕЭК,

Organization Unit (OU) = ИТ,

Country (C) = RU

Not before (начало срока действия)

основное время согласно UTC (Universal Coordinate Time)

Not after (окончание срока действия)

основное время согласно UTC (Universal Coordinate Time)

Subject (субъект, имя DN)

имя DN соответствует требованиям X.501.

Common Name (CN) = <Псевдоним СШВ>,

Organization (O) = <Сокращенное наименование организации>,

Organization Unit (OU) = <Наименование подразделения>,

mailAddress (E) = <адрес электронной почты администратора TSP сервера>

Subject Public Key Info

(открытый ключ субъекта)

кодируемое поле соответствует требованиям, описанным в RFC 5280, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть с идентификатором ключа, длиной ключа в битах и значения открытого ключа)

KeyUsage

(OID расширения 2.5.29.15)

(использование ключа)

digitalSignature, nonRepudiation

ExtendedKeyUsage

(OID расширения 2.5.29.37)

(расширенное использование ключа)

timestamping (OID 1.3.6.1.5.5.7.3.8)

CertificatePolicy

(OID расширения 2.5.29.32)

(политика сертификата)

идентификатор политики:

iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) …

SubjectKeyIdentifier

(OID расширения 2.5.29.14)

уникальный идентификатор открытого ключа субъекта

AuthorityInformationAccess

(OID расширения 1.3.6.1.5.5.7.1.1)

(Доступ к сертификату УЛ УЦ службы ДТС)

URL файла сертификата УЛ УЦ службы ДТС следующего вида:

http:/ <XXX>00.DTS.EEC/RootTTPCA.crt,

http:// <XXX>01.DTS.EEC/RootTTPCA.crt

URL сервера СПСС следующего вида:

http://<XXX>00.DTS.EEC/<псевдоним_СПСС>/ocsp.srf, http://<XXX>01.DTS.EEC/<псевдоним_СПСС>/ocsp.srf

CRLDistributionPoint

(OID расширения 2.5.29.31)

(точка распространения СОС)

URL файла COC УЦ службы ДТС:

http:// <XXX>00.DTS.EEC/RootTTPCA.crl,

http:// <XXX>01.DTS.EEC/RootTTPCA.crl

Signature (подпись)

подпись сертификата генерируется и кодируется
в соответствии с требованиями, определенными в RFC 5280

      Номер версии

      Все сертификаты ключей проверки ЭЦП выдаются УЦ службы ДТС в соответствии с версией X.509 v.3.

      Расширения сертификата ключа проверки ЭЦП

      Функция каждого расширения определена стандартным значением связанного с ним идентификатора объекта (OBJECT IDENTIFIER). Расширение в зависимости от опции, выбранной УЦ службы ДТС, выдающее сертификат ключа проверки ЭЦП может быть критическим или некритическим. Если расширение обозначено как критическое, тогда приложение, использующее сертификаты ключей проверки ЭЦП, должно отклонять каждый сертификат ключа проверки ЭЦП, в котором после обнаружения критического расширения оно не сможет его распознать. Каждое некритическое расширение может игнорироваться.

      Использование ключа (Key Usage)

      Разрешение использование ключа - может быть критическим или некритическим. Данное расширение определяет способ применения ключа (например ключ для шифрования данных, ключ для ЭЦП и т.д.). Значение данного расширения зависит от политики, в соответствии
с которой выдан сертификат ключа проверки ЭЦП.

      Сертификат сервера СДТС

      В сертификате сервера ДТС расширение "Использование ключа" помечается как критическое и имеет следующие значения:

      digitalSignature (0) – ключ для реализации цифровой подписи (идентификации субъекта или данных);

      nonRepudiation (1) – ключ, связанный с реализацией неотрекаемости.

      Сертификат сервиса проверки статуса сертификата ключа проверки ЭЦП

      В сертификате СПСС расширение "Использование ключа" помечается как критическое и имеет следующие значения:

      digitalSignature (0) – ключ для реализации цифровой подписи (идентификации субъекта или данных);

      nonRepudiation (1) – ключ, связанный с реализацией неотрекаемости.

      Сертификат сервиса штампов времени

      В сертификате СШВ расширение "Использование ключа" помечается как критическое и имеет следующие значения:

      digitalSignature (0) – ключ для реализации цифровой подписи (идентификации субъекта или данных);

      nonRepudiation (1) – ключ, связанный с реализацией неотрекаемости.

      Улучшенный ключ (ExtendedKeyUsage)

      Уточнение (ограничение) использования ключа – расширение может быть критическим. Данное поле определяет одну или более областей в дополнение к основному применению, установленному в поле keyUsage, в пределах которых может быть использован сертификат. Данное поле следует интерпретировать как ограничение допустимой области применения ключа, определенного в поле keyUsage. Конкретные значения расширения зависят от политики, в соответствии с которой выдан сертификат ключа проверки ЭЦП.

      Сертификат сервиса проверки статуса сертификата

      В сертификате СПСС расширение помечается как некритическое и содержит объектный идентификатор OCSPSigning: 1.3.6.1.5.5.7.3.9.

      Сертификат сервиса штампов времени

      В сертификате СШВ расширение помечается как некритическое и содержит объектный идентификатор Timestaping: 1.3.6.1.5.5.7.3.8.

      Политики сертификата (Certificate Policy)

      Расширение политики применения сертификатов (CertificatePolicies) содержит идентификаторы политик и ее квалификаторы, вносимые в сертификат ключа проверки ЭЦП в соответствии с правилами, описанными в Регламенте УЦ службы ДТС. Данное расширение не является критическим расширением.

      Основные ограничения (Basic Constraints)

      Расширение является критическим в сертификатах ключей проверки ЭЦП удостоверяющих центров и может быть критическим или некритическим в сертификатах конечных пользователей. Расширение позволяет определить, является ли субъект сертификата удостоверяющим центром (поле CA), а также сколько максимально (принимая иерархическую систематизацию удостоверяющих центров) может быть удостоверяющих центров на пути, ведущем от рассматриваемого удостоверяющего центра до конечного пользователя (поле pathLength).

      Значение поля pathLength, равное 0, означает, что сертификат принадлежит удостоверяющему центру, который может выдавать сертификаты только конечным пользователям.

      В сертификатах в расширение BasicContraints вносится пустая последовательность без указания в ней поля CА и поля pathLength.

      Точки доступа к спискам отозванных сертификатов (CRL Distribution Points)

      Расширение не является критическим. Расширение определяет протоколы и сетевые адреса, по которым можно получить актуальный список отозванных сертификатов, выданный издателем сертификата, в котором находится данное расширение.

      Доступ к информации о центрах сертификации (AuthorityInformationAccess)

      Расширение не является критическим. Поле указывает, каким образом передаются данные и услуги издателем сертификата, в сертификате которого данное расширение имеется. Данное расширение, если имеет место, то обычно содержит URL адрес файла сертификата удостоверяющего центра и URL адрес услуги OCSP проверки статуса сертификата, в котором указан этот адрес.

      Идентификатор алгоритма

      Поле signatureAlgorithm содержит идентификатор криптографического алгоритма, описывающего алгоритм, применяемый для реализации ЭЦП, которую ставит Удостоверяющий центр на сертификате.

      Для сертификатов, выдаваемых УЦ службы ДТС, значение поля:

      id-tc26-gost3410-2012-512 OBJECT IDENTIFIER ::= id-tc26-signwithdigest-gost3410-2012-512 OBJECT IDENTIFIER ::= { iso(1) member-body(2) ru(643) rosstandart(7) tc26(1) algorithms(1) signwithdigest(3) gost3410-2012-512(3) }

      Формы имен

      УЦ службы ДТС выдает сертификаты, содержащие имя издателя и субъекта, создаваемые в соответствии с правилами, описанными в Регламенте УЦ службы ДТС.

      Идентификаторы политик сертификатов

      Политика сертификата содержит информацию типа PolicyInformation (идентификатор, электронный адрес) о политике сертификата, которая реализуется УЦ службы ДТС, выдающим сертификаты – расширение не является критическим. В сертификатах, выдаваемых УЦ службы ДТС возможны следующие идентификаторы политик:

      iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) … – политика сертификата службы статусов сертификата;

      iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) … – политика сертификата службы штампов времени;

      iso(1) member-body(2) ru(643) _______(X) id ЕЭК (ХХХ) id-____(Х) id-_______(Х) id-___________(Х) … – политика сертификата администратора сертификации. Список отозванных сертификатов (CRL) состоит из последовательности трех полей. Первое поле (tbsCertList) содержит информацию об отозванных сертификатах, второе и третье поля (signatureAlgorithm и signatureValue) – соответственно информацию о типе алгоритма, примененного для подписания списка и ЭЦП, которая ставится на сертификате удостоверяющим центром. Значение двух последних полей полностью совпадает, как в случае сертификата. Информационное поле tbsCertList является последовательностью обязательных и опциональных полей. Обязательные поля идентифицируют издателя списка отозванных сертификатов, а необязательные содержат отозванные сертификаты и расширения списка отозванных сертификатов.

      Значения основных полей и расширений списка отозванных сертификатов приведены в таблице 2.

  Таблица 2

Название поля

Значение или ограничения значения

Version (версия)

Version 2

Signature Algorithm (алгоритм подписи)

ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3)

Issuer (издатель, имя DN)

Common Name (CN) = УЦ службы ДТС, Organization (O) = ЕЭК, Organization Unit (OU) = ИТ, Country (C) = RU

thisUpdate

дата и время выпуска списка отозванных сертификатов

nextUpdate

дата и время выпуска очередного списка отозванных сертификатов

revokedCertificates (Отозванные сертификаты)

информация о сертификатах, которые были отозваны, каждая запись, касающаяся сертификата, содержит следующие поля:
userCertificate - серийный номер отозванного сертификата,
revocationDate - дата отзыва сертификата,
crlEntryExtensions - расширенный доступ к списку отозванных сертификатов (содержит дополнительную информацию об отозванных сертификатах - опционально),
CRLReason (содержит информацию о причине отзыва сертификата – основные поля и расширения СОС – опционально) информация о вышеперечисленных полях записана в следующих трех строках этой таблицы

User Certificate (сертификат)

серийный номер сертификата, который был отозван

Revocation Date
(Дата отзыва)

дата и время отзыва сертификата

CRL Reason
(Причина отзыва)

причина отзыва сертификата. Допустимые значения:
key Compromise; cessation Of Operation.

Extensions

набор расширений, определяющих дополнительную информацию, связанную с использованием сертификата (обязательные расширения:
authority Key Identifier;
crlNumber)

Signature
(подпись)

подпись СОС генерируется и кодируется в соответствии с требованиями, определенными в RFC 5280

      Номер версии

      СОС, выпускаемые УЦ службы ДТС, соответствуют Х.509 v2.

      Расширения СОС

      Среди многих расширений CRL самыми важными являются два, из которых первое (поле AuthorityKeyIdentifier) позволяет идентифицировать ключ проверки ЭЦП, соответствующий ключу ЭЦП, примененному для подписания списка отозванных сертификатов, а второе (поле cRLNumber) содержит постепенно увеличиваемый номер списка CRL, издаваемого удостоверяющим центром (благодаря этому расширению пользователь списка может определить, когда один CRL заменил другой CRL).

      Шаблон OCSP

      Протокол проверки статуса сертификата в оперативном режиме (OCSP) применяется удостоверяющими центрами и позволяет определить состояние сертификата. Структура запросов и ответов СПСС соответствует RFC 6960. В связи с этим единственным разрешенным номером версии является 0 (это соответствует версии v1). СПСС УЦ службы ДТС работает в режиме авторизованного ответчика.

      Сертификат сервера СПСС должен содержать в себе расширение под названием extKeyUsage, определенное в RFC 5280. Данное расширение должно быть обозначено как критическое и означает, что удостоверяющий центр, выдавая сертификат серверу OCSP, подтверждает своей подписью факт передачи ему права выдачи от его имени удостоверений о статусе сертификатов клиентов данного центра.

      Сертификат может содержать также информацию о способе контакта с сервером центра проверки статуса сертификата. Данная информация содержится в поле расширения AuthorityInfoAccess.

      Информация о статусе сертификата вносится в поле certStatus структуры SingleResponse. Она может принимать одно из трех разрешенных значений, определенных в Регламенте УЦ службы ДТС.

      Шаблон запроса OCSP

      OCSP-запрос принимает ASN.1-структуру в соответствии с RFC 6960 и имеет следующие ограничения.

      Поле requestExtensions структуры tbsRequest содержит список расширений. Данный список должен содержать только расширение ocspNonce (OID 1.3.6.1.5.5.7.48.1.2).

      Необязательное поле singleRequestExtensions структуры tbsRequest, содержащее список расширений для единичного запроса, должно отсутствовать.

      В случае, если поле optionalSignature структуры OCSPRequest задано, то на него накладываются следующие ограничения:

      поле signatureAlgorithm должно принимать значение "ГОСТ Р 34.11/34.10-2012" (OID 1.2.643.7.1.1.3.3);

      поле certs должно включать сертификат для проверки ЭЦП запроса OCSP. Кроме того, поле requestorName из структуры tbsRequest должно присутствовать в обязательном порядке и представлять собой структуру directoryName, содержащую элемент CommonName (объектный идентификатор - 2.5.4.3).

      Шаблон ответа OCSP

      OCSP-ответ принимает ASN.1-структуру в соответствии с RFC 6960 и имеет следующие ограничения.

      Поле responseType содержит объектный идентификатор типа ответа, который имеет значение 1.3.6.1.5.5.7.48.1.1. Поле response содержит структуру BasicOCSPResponse.

      В случае, если в соответствующем OCSP-запросе присутствовало расширение ocspNonce, то в OCSP-ответе необязательное поле responseExtensions структуры ResponseData будет содержать расширение ocspNonce с аналогичным значением.

      Поле signatureAlgorithm принимает значение "ГОСТ Р 34.11/34.10-2012" (OID 1.2.643.7.1.1.3.3).

      В списке сертификатов certs содержится сертификат СПСС, необходимый для проверки ЭЦП.

      Необязательное поле singleExtensions структуры SingleResponse, которое может содержать расширения OCSP-ответа, отсутствует.

      Шаблон штампов времени

      СШВ УЦ службы ДТС подписывает ЭЦП выдаваемые им же штампы времени при помощи ключа ЭЦП, специально зарезервированного для этой цели. В соответствии с рекомендацией RFC 5280, совместимые с ними сертификаты ключей проверки ЭЦП СШВ содержат поле, уточняющее узкое допустимое применение ключа (ExtKeyUsage), обозначенное как критическое. Это означает, что сертификат может быть использован СШВ и только для формирования ЭЦП в выдаваемых им штампах времени.

      Штамп времени, выданный СШВ УЦ службы ДТС содержит в себе информацию о штампе времени (структура TSTInfo), внесенную в структуру SignedData (в соответствии с RFC 2630), подписанную СШВ и закрепленную в структуре ContentInfo. Штампы времени, выдаваемые СШВ УЦ службы ДТС, соответствуют RFC 3161.

      Шаблон запроса TSP

      TSP-запрос представляет собой ASN.1-структуру в соответствии с RFC 2630 и имеет следующие ограничения:

      необязательное поле reqPolicy структуры TimeStampReq должно отсутствовать либо содержать объектный идентификатор базовой политики (OID = 0.4.0.2023.1.1);

      необязательное поле nonce должно отсутствовать либо содержать случайно сгенерированное 64-битное значение.

      Шаблон ответа TSP

      TSP-ответ представляет собой ASN.1-структуру в соответствии с RFC 2630 и имеет следующие ограничения:

      поле digestAlgorithms структуры SignedData принимает значение "ГОСТ Р 34.11-2012 с длиной 512" (OID 1.2.643.7.1.1.2.3);

      необязательное поле certificates структуры SignedData будет содержать сертификат службы TSP, если в TSP-запросе необязательное поле certReq структуры TimeStampReq содержало значение true;

      необязательное поле crls структуры SignedData должно отсутствовать;

      поле policy структуры TSTInfo должно содержать объектный идентификатор базовой политики (OID = 0.4.0.2023.1.1);

      в случае, если в соответствующем TSP-запросе присутствовало необязательное поле nonce, то в TSP-ответе необязательное поле nonce структуры TSTInfo также будет содержать аналогичное значение;

      необязательное поле tsa структуры TSTInfo отсутствует;

      необязательное поле extensions структуры TSTInfo отсутствует;

      поле digestAlgorithm структуры SignerInfo принимает значение "ГОСТ Р 34.11-2012 с длиной 512" (OID 1.2.643.7.1.1.2.3);

      поле signedAttrs структуры SignerInfo будет содержать следующие объекты: тип подписываемого содержимого (OID 1.2.840.113549.1.9.16.1.4 (штамп времени)), значение хеш-функции штампа времени, информация о сертификате службы штампов времени;

      поле signatureAlgorithm структуры SignerInfo принимает значение "ГОСТ Р 34.10-2-12 с длиной 512".

  ПРИЛОЖЕНИЕ № 2
к Регламенту
удостоверяющего центра
службы доверенной третьей
стороны интегрированной
информационной системы
Евразийского экономического
союза

ПЕРЕЧЕНЬ
основных признаков подлинности документов

      Паспорт:

      бланк паспорта соответствует утвержденной и действующей форме;

      присутствуют все обязательные реквизиты, печати и штампы;

      срок действия паспорта не истек;

      имеются подписи должностных лиц;

      даты рождения и выдачи паспорта соответствуют;

      соответствуют записи о регионе, в котором производилась выдача паспорта, штампу о регистрации гражданина по месту жительства, на тот момент) и фотография в документе соответствует предъявителю (в т.ч. примерный возраст изображенного на фотокарточке лица соответствует указанному в документе).

      Доверенность и копии приказов:

      отсутствуют грамматические ошибки в оттиске печати, несимметрично расположенный текст, изломы, извилистость штрихов, общая бледность изображения печати, деформация бумаги, упрощенный рисунок букв и цифр, буквы и цифры без засечек, овалы и полуовалы с угловатым строением.

  ПРИЛОЖЕНИЕ № 3
к Регламенту
удостоверяющего центра службы доверенной третьей стороны интегрированной
информационной системы Евразийского экономического союза

ФОРМА
заявления на создание и выдачу сертификата


Руководителю УЦ службы ДТС


115114, г. Москва, ул. Летниковская, д. 2, стр. 1




(наименование должности руководителя)




(полное наименование организации)




(Ф. И.О. руководителя) //



ЗАЯВЛЕНИЕ

      на изготовление сертификата ключа проверки ЭЦП
      Прошу создать ключ ЭЦП и ключ проверки ЭЦП и изготовить сертификат ключа проверки ЭЦП в соответствии с указанными в настоящем заявлении данными:

Наименование организации (сокращ.)


Ф. И. О. (полностью):


Дата рождения


Место рождения (полностью)


Пол


мужской


женский

Паспортные данные (серия, номер):


(код подразделения)


(дата выдачи)


Должность:


Подразделение:


e-mail/телефон:


Юридический адрес (полностью):


Рабочее место по адресу:








     

Назначение сертификата:

 

 

Сертификат сервера СДТС

 

 

Сертификат сервера СШВ

 

 

Сертификат сервера СПСС

      Ознакомлен с требованиями Регламента удостоверяющего центра службы ДТС и приложениями к нему и обязуюсь соблюдать все его положения.

Владелец сертификата ключа проверки ЭЦП








[личная подпись]


Ф.И.О.

      Сведения представлены на основании подлинных документов и являются достоверными.






(Должность руководителя организации)



(подпись)


. И. О.)

"" г.





М.П.



  ПРИЛОЖЕНИЕ № 4
к Регламенту
удостоверяющего центра службы доверенной третьей стороны интегрированной
информационной системы Евразийского экономического союза

ФОРМА
заявление на аннулирование сертификата


Руководителю УЦ службы ДТС


115114, г. Москва, ул. Летниковская, д. 2,стр. 1




(наименование должности руководителя)




(полное наименование организации)




(Ф.И.О. руководителя)

//



Заявление на отзыв сертификата ключа подписи

      Прошу Вас аннулировать сертификат, Назначение сертификата:

 

 

Сертификат сервера СДТС

 

 

Сертификат сервера СШВ

 

 

Сертификат сервера СПСС

      и внести аннулированный сертификат в список отозванных сертификатов:


(Должность, Ф.И.О. полностью)


(Причина аннулирования)

Сертификат №



(Серийный номер)






(Должность руководителя организации)


(подпись)


(Ф.И.О.)

"___" _______________ 20__ г.





М.П.



 
  ПРИЛОЖЕНИЕ № 5
к Регламенту
удостоверяющего центра
службы доверенной третьей
стороны интегрированной
информационной системы
Евразийского экономического
союза

ФОРМА
доверенности на получение сертификата


Руководителю УЦ службы ДТС


115114, г. Москва, ул. Летниковская, д.2,стр.1




(Наименование должности руководителя)




(Наименование организации, полное)




(Ф. И. О. руководителя)

/ /



ДОВЕРЕННОСТЬ на получение сертификата ключа проверки ЭЦП

      Прошу __________________________________________________________________

      __________________________________________________________________________

      __________________________________________________________________________

      __________________________________________________________________________

      Сведения о лице, на имя которого выдана доверенность:



Ф. И. О. (полностью):


Дата рождения


Место рождения (полностью)


Пол


мужской


женский

Паспортные данные
(серия, номер):


(код подразделения)


(дата выдачи)


Должность:


Подразделение:


e-mail/телефон:


Юридический адрес (полностью):


Рабочее место по адресу:










Лицо, на имя которого выдана доверенность







[личная
подпись]


Ф.И.О.

      Сведения представлены на основании подлинных документов и являются достоверными.






(Должность руководителя организации)


(подпись)


(Ф. И. О.)

" ____ " ______________________ 20___ г.





М.П.