1. Введение ................................................................................................................................. 8 1.1. Краткий обзор ................................................................................................................. 8 1.2. Идентификация ............................................................................................................... 8 1.3. Участники ИОК............................................................................................................... 8

1.3.1. Центр сертификации ............................................................................................... 9

1.3.2. Центр регистрации .................................................................................................. 9

1.3.3. WEB-портал ........................................................................................................... 11 1.3.4. Служба проверки статусов сертификатов в режиме реального времени......... 11 1.3.5. Служба простановки штампов времени .............................................................. 11 1.3.6. АРМ регистрации пользователя Центра Регистрации ....................................... 11

1.3.7. АРМ формирования запроса на создание сертификатов ................................... 12

1.3.8. АРМ обработки запросов на отзыв сертификатов ............................................. 12

1.3.9. Владелец сертификата ........................................................................................... 13

1.3.10. Пользователи сертификатов ............................................................................. 13

1.4. Использование сертификатов ...................................................................................... 13

1.4.1. Допустимое использование .................................................................................. 13

1.4.2. Запрещенное использование ................................................................................ 13

1.5. Управление регламентом ............................................................................................. 13

1.5.1. Организация, управляющая этим документом ................................................... 13

1.5.2. Контактное лицо .................................................................................................... 14

1.5.3. Лицо, определяющее соответствие Регламента УЦ политикам применения сертификатов ........................................................................................................................ 14 1.5.4. Процедура утверждения Регламента УЦ ............................................................ 14

1.6. Определения и акронимы ............................................................................................. 14

1.6.1. Определения ........................................................................................................... 14 1.6.2. Акронимы ............................................................................................................... 16

2. Публикация и ответственность за актуальность информации в репозитории .............. 16 2.1. Репозиторий ................................................................................................................... 16 2.2. Публикация информации ............................................................................................. 16

2.3. Время и частота публикаций ....................................................................................... 17

2.4. Управление доступом к репозиториям ....................................................................... 17 3. Идентификация и аутентификация .................................................................................... 17

3.1. Присваивание имен ....................................................................................................... 17

3.1.1. Типы имен .............................................................................................................. 17 3.1.2. Требования к интерпретации имен ...................................................................... 17 3.1.3. Анонимные или владельцы с псевдонимами ...................................................... 17 3.1.4. Правила интерпретации различных форм имен ................................................. 17

3.1.5. Уникальность имен ............................................................................................... 17

3.1.6. Признание, аутентификация и роль торговых марок ........................................ 17

3.2. Первоначальное подтверждение подлинности .......................................................... 17 3.2.1. Метод доказательства обладания ключом электронной подписи .................... 17 3.2.2. Проверка идентификационной информации организации ................................ 18

3.2.3. Проверка личной идентификационной информации ......................................... 18

3.2.4. Непроверяемая клиентская информация............................................................. 18 3.2.5. Проверка полномочий ........................................................................................... 18

3.2.6. Критерии взаимодействия .................................................................................... 18

3.3. Аутентификация и идентификация для обновления ключей ................................... 18

3.3.1. Аутентификация и идентификация для плановой замены ключей .................. 18 3.3.2. Аутентификация и идентификация для обновления ключей после отзыва .... 18

3.4. Аутентификация и идентификация для запроса на отзыв ........................................ 18

4. Функциональные требования жизненного цикла сертификата ...................................... 20

4.1. Запрос на сертификат ................................................................................................... 20

2

4.1.1. Кто может подать запрос на сертификат ............................................................ 20 4.1.2. Процесс регистрации и требования ..................................................................... 20 4.1.3. Перечень документов, представленных Заявителем для проведения процедуры его регистрации ................................................................................................ 21

4.2. Обработка заявления на сертификат ........................................................................... 22 4.2.1. Выполнение функций аутентификации и идентификации ............................... 22

4.2.2. Принятие или отклонение заявления на сертификат ......................................... 22

4.2.3. Срок обработки заявления на сертификат .......................................................... 22 4.3. Выпуск сертификата ..................................................................................................... 23

4.3.1. Действия удостоверяющего центра во время выпуска сертификата ............... 23 4.3.2. Оповещение Заявителя о выпуске сертификата ................................................. 23

4.4. Признание сертификата ............................................................................................... 23

4.4.1. Действия по признанию сертификата.................................................................. 23 4.4.2. Публикация сертификата удостоверяющим центром ........................................ 24

4.4.3. Уведомление третьей стороны о выпуске сертификата удостоверяющим центром ................................................................................................................................. 24

4.5. Использование сертификата и ключевой пары .......................................................... 24 4.5.1. Использование сертификата и ключевой пары владельцем .............................. 24

4.5.2. Использование сертификата и ключа проверки электронной подписи пользователями .................................................................................................................... 24

4.6. Обновление сертификата ............................................................................................. 24

4.6.1. Обстоятельства обновления сертификата ........................................................... 24 4.6.2. Кто может подать запрос на обновление сертификата ...................................... 24

4.6.3. Обработка запросов на обновление сертификатов ............................................ 24

4.6.4. Оповещение клиента о выпуске нового сертификата ........................................ 24

4.6.5. Действия по признанию обновленного сертификата ......................................... 24

4.6.6. Публикация обновленного сертификата администратором Сервера безопасности ........................................................................................................................ 24 4.6.7. Уведомление третьей стороны о выпуске сертификата Удостоверяющим центром ................................................................................................................................. 25

4.7. Обновление ключей ...................................................................................................... 25

4.7.1. Обстоятельства обновления ключей.................................................................... 25 4.7.2. Кто может подать запрос на выдачу сертификата при обновлении ключей ... 25 4.7.3. Обработка запроса на выдачу сертификата при обновлении ключей .............. 25 4.7.4. Оповещение клиента о выпуске нового сертификата ........................................ 25

4.7.5. Действия по признанию нового сертификата при обновлении ключей .......... 25 4.7.6. Публикация удостоверяющим центром нового сертификата при обновлении ключей 25

4.7.7. Уведомление третьей стороны о выпуске удостоверяющим центром нового сертификата при обновлении ключей ............................................................................... 25

4.8. Изменение сертификата ............................................................................................... 25

4.8.1. Обстоятельства изменения сертификата ............................................................. 25 4.8.2. Кто может подать запрос на изменение сертификата ........................................ 25

4.8.3. Обработка запроса изменение сертификата ....................................................... 25 4.8.4. Оповещение клиента о выпуске нового сертификата ........................................ 26

4.8.5. Действия по признанию измененного сертификата ........................................... 26

4.8.6. Публикация измененного сертификата удостоверяющим центром ................. 26 4.8.7. Уведомление третьей стороны о выпуске измененного сертификата удостоверяющим центром .................................................................................................. 26

4.9. Отзыв и приостановление сертификата ...................................................................... 26 4.9.1. Обстоятельства отзыва сертификата ................................................................... 26 4.9.2. Кто имеет право подать запрос на отзыв ............................................................ 26

3

4.9.3. Процедура рассмотрения запроса на отзыв сертификата .................................. 26

4.9.4. Срок передачи запроса на отзыв .......................................................................... 26 4.9.5. Срок, за который удостоверяющий центр должен обработать запрос на отзыв 27

4.9.6. Требования к пользователям по проверке статуса сертификата ...................... 27 4.9.7. Частота выпуска списка аннулированных сертификатов .................................. 27

4.9.8. Максимальное время задержки публикации списка аннулированных сертификатов ........................................................................................................................ 27 4.9.9. Доступность онлайновой проверки отзыва/статуса сертификата .................... 27 4.9.10. Требования к онлайновой проверке отзыва .................................................... 27

4.9.11. Другие доступные формы извещения об отзыве ............................................ 27

4.9.12. Специальные требования, относящиеся к компрометации ключей ............. 27 4.9.13. Обстоятельства приостановления действия сертификата ............................. 28

4.9.14. Кто может подать запрос на приостановление сертификата ......................... 28 4.9.15. Процедура рассмотрения запроса на приостановление сертификата ........... 28 4.9.16. Ограничение на срок приостановки ................................................................. 28 4.9.17. Обстоятельства возобновления сертификата .................................................. 28

4.9.18. Кто может подать запрос на возобновление сертификата ............................. 28

4.9.19. Процедура рассмотрения запроса на возобновление сертификата ............... 29 4.10. Сервис статуса сертификата ..................................................................................... 29

4.10.1. Эксплуатационные характеристики ................................................................. 29 4.10.2. Доступность сервиса ......................................................................................... 29

4.10.3. Дополнительные возможности ......................................................................... 29 4.11. Прекращение использования услуг ......................................................................... 29 4.12. Депонирование и возврат ключей ........................................................................... 29

4.12.1. Методы и политика депонирования и возврат ключей .................................. 30

4.12.2. Методы и политика инкапсуляции и восстановления сессионного ключа .. 30

5. Организационные, эксплуатационные и физические меры обеспечения безопасности 30

5.1. Физические меры обеспечения безопасности ............................................................ 30 5.1.1. Размещение и организация рабочей площадки .................................................. 30

5.1.2. Физический доступ ................................................................................................ 30

5.1.3. Электропитание ..................................................................................................... 30

5.1.4. Кондиционирование и влажность ........................................................................ 30 5.1.5. Пожарная безопасность ........................................................................................ 30

5.1.6. Хранение носителей информации ....................................................................... 30 5.1.7. Уничтожение информации ................................................................................... 31

5.1.8. Внешнее архивное хранение ................................................................................ 31

5.2. Процессуальные меры обеспечения безопасности .................................................... 31

5.2.1. Доверенные роли ....................................................................................................... 31

5.2.2. Количество сотрудников, требуемое для выполнения операций ..................... 31 5.2.3. Идентификация и аутентификация для каждой роли ........................................ 31

5.2.4. Роли, требующие разделения обязанностей ....................................................... 31 5.3. Управление персоналом ............................................................................................... 31

5.3.1. Требования к квалификации, опыту и допуску к секретным материалам ....... 31 5.3.2. Процедуры проверки на соответствие общим требованиям ............................. 31

5.3.3. Требования к профессиональной подготовке ..................................................... 31

5.3.4. Требования и частота переподготовки ................................................................ 32 5.3.5. Частота и последовательность кадровых перемещений .................................... 32

5.3.6. Санкции за неправомочные действия .................................................................. 32 5.3.7. Требования для независимых подрядчиков ........................................................ 32 5.3.8. Обеспечение персонала документацией ............................................................. 32

4

5.4. Процедуры регистрации событий ............................................................................... 32

5.4.1. Типы регистрируемых событий ........................................................................... 32 5.4.2. Частота обработки журналов регистрации событий .......................................... 33

5.4.3. Срок хранения журналов регистрации событий ................................................ 33

5.4.4. Защита журналов регистрации событий ............................................................. 33 5.4.5. Процедуры резервного копирования журналов регистрации событий ........... 33 5.4.6. Система регистрации событий ............................................................................. 33

5.4.7. Оповещение субъекта, явившегося причиной события ..................................... 33

5.4.8. Оценка уязвимости ................................................................................................ 33

5.5. Архивные записи .......................................................................................................... 33 5.5.1. Состав архивируемой информации ..................................................................... 33 5.5.2. Срок хранения архивной информации ................................................................ 33 5.5.3. Защита архива ........................................................................................................ 34

5.5.4. Процедура резервного копирования архива ....................................................... 34 5.5.5. Требования к штампу времени архивных записей ............................................. 34

5.5.6. Система архивного хранения ............................................................................... 34

5.5.7. Процедура получения и верификации архивной информации ......................... 34 5.6. Замена ключей ............................................................................................................... 34 5.7. Восстановление при компрометации и аварии .......................................................... 34

5.7.1. Действия при происшествии и компрометации ................................................. 34

5.7.2. Повреждение компьютерных ресурсов, программного обеспечения и/или данных 34

5.7.3. Процедура восстановления в случае компрометации ключа электронной подписи субъекта ................................................................................................................. 35 5.7.4. Возможность непрерывности функционирования после бедствий .................. 35

5.8. Прекращение деятельности УЦ ................................................................................... 35

6. Технические меры обеспечения безопасности ................................................................. 35 6.1. Генерация и инсталляция ключевых пар .................................................................... 35

6.1.1. Генерация ключевых пар ...................................................................................... 35

6.1.2. Передача ключа электронной подписи клиенту ................................................. 35

6.1.3. Передача ключа проверки электронной подписи издателю сертификата ....... 35 6.1.4. Передача ключа проверки электронной подписи центра сертификации пользователям ...................................................................................................................... 36 6.1.5. Генерация параметров ключа проверки электронной подписи и проверка качества ................................................................................................................................ 36

6.1.6. Цели использования ключей ................................................................................ 36

6.2. Защита ключа электронной подписи и технический контроль криптографических модулей ..................................................................................................................................... 36

6.2.1. Стандарты и контроль криптографических модулей......................................... 36

6.2.2. Контроль ключа электронной подписи несколькими лицами .......................... 37

6.2.3. Депонирование ключа электронной подписи ..................................................... 37

6.2.4. Резервная копия ключа электронной подписи ................................................... 37

6.2.5. Архивация ключа электронной подписи ............................................................. 37 6.2.6. Перенос ключа электронной подписи из/в криптографический модуль ......... 37 6.2.7. Хранение ключа электронной подписи в криптографическом модуле ........... 37 6.2.8. Метод активации ключа электронной подписи .................................................. 37

6.2.9. Метод деактивации ключа электронной подписи .............................................. 37

6.2.10. Метод уничтожения ключа электронной подписи ......................................... 37

6.2.11. Оценка криптографических модулей ............................................................... 37 6.3. Другие аспекты управления ключевой парой ............................................................ 38

6.3.1. Архивация ключа проверки электронной подписи ............................................ 38

6.3.2. Сроки действия сертификата и использования ключевой пары ....................... 38

5

6.4. Данные активации......................................................................................................... 38

6.4.1. Генерация и инсталляция данных активации ..................................................... 38

6.4.2. Защита данных активации .................................................................................... 38

6.4.3. Другие аспекты, относящиеся к данным активации .......................................... 38

6.5. Средства управления безопасностью вычислительной техники ............................. 38

6.5.1. Особые технические требования по безопасности вычислительной техники 38

6.5.2. Оценка безопасности вычислительной техники ................................................ 38

6.6. Технические средства управления жизненным циклом ........................................... 39

6.6.1. Средства управления разработкой системы ....................................................... 39 6.6.2. Средства управления организацией безопасности ............................................. 39

6.6.3. Средства управления безопасностью жизненного цикла .................................. 39

6.7. Средства управления сетевой безопасностью ........................................................... 39 6.8. Метки времени .............................................................................................................. 39

7. Структура сертификатов, СОС, OCSP-ответов и TSP-ответов ....................................... 39

7.1. Структура сертификата ................................................................................................ 39

7.1.1. Номер версии ......................................................................................................... 39 7.1.2. Расширения сертификата ...................................................................................... 39

7.1.2.1. Authority Key Identifier ................................................................................... 40 7.1.2.2. Subject Key Identifier ...................................................................................... 40 7.1.2.3. KeyUsage ......................................................................................................... 40 7.1.2.4. Certificate Policies ........................................................................................... 40 7.1.2.5. Policy Mappings ............................................................................................... 40 7.1.2.6. Basic Constraints .............................................................................................. 40 7.1.2.7. Name Constraints ............................................................................................. 40 7.1.2.8. Policy Constraints ............................................................................................ 41 7.1.2.9. CRL Distribution Points ................................................................................... 41 7.1.2.10. Inhibit Any-Policy ........................................................................................... 41 7.1.2.11. Authority Information Access ......................................................................... 41

7.1.2.12. Extended Key Usage ........................................................................................ 41 7.1.3. Объектные идентификаторы криптографических алгоритмов ......................... 41 7.1.4. Формы имен ........................................................................................................... 41 7.1.5. Ограничения имен ................................................................................................. 41

7.1.6. Объектные идентификаторы применяемых ППС .............................................. 42

7.1.7. Использование расширения Policy Constraints ................................................... 42 7.1.8. Семантика и синтаксис квалификаторов политики ........................................... 42

7.1.9. Обработка семантики критического расширения Certificate Policies ............... 42

7.2. Структура списков аннулированных сертификатов .................................................. 42

7.2.1. Номер версии ......................................................................................................... 43 7.2.2. Расширения CRL и элементов CRL ..................................................................... 43

7.2.2.1. Authority Key Identifier ................................................................................... 43 7.2.2.2. CRL Number .................................................................................................... 43 7.2.2.3. Reason Code ..................................................................................................... 43 7.2.2.4. Invalidity Date .................................................................................................. 43

7.3. Структура OCSP-ответа ............................................................................................... 43

7.3.1. Номер версии ......................................................................................................... 44 7.3.2. Тип OCSP-ответа ................................................................................................... 44

7.3.3. Сертификат OCSP-службы ................................................................................... 44

7.4. Структура штампа времени ......................................................................................... 44

7.4.1. Номер версии ......................................................................................................... 45 7.4.2. Сертификат TSP-службы ...................................................................................... 45

8. Аудит соответствия и другие оценки ................................................................................ 45

8.1. Частота и условия оценки ............................................................................................ 45

6

8.2. Идентификация и квалификация эксперта ................................................................. 45 8.3. Отношение эксперта к оцениваемому ........................................................................ 45 8.4. Темы, охватываемые оценкой ..................................................................................... 45

8.5. Действия, предпринимаемые в результате недостатков ........................................... 45

8.6. Сообщение результатов................................................................................................ 45

9. Другие коммерческие и юридические вопросы ............................................................... 46 9.1. Оплата ............................................................................................................................ 46

9.1.1. Оплата выпуска или обновления сертификата ................................................... 46

9.1.2. Оплата доступа к сертификатам .......................................................................... 46 9.1.3. Оплата информации об отзыве или статусе сертификата ................................. 46

9.1.4. Оплата других услуг .............................................................................................. 46

9.1.5. Политика возврата платежей ................................................................................ 46

9.2. Финансовая ответственность ....................................................................................... 46

9.2.1. Страховое обеспечение ......................................................................................... 46

9.2.2. Иные активы .......................................................................................................... 46 9.2.3. Сфера действия страхования или гарантии для клиентов ................................. 46

9.3. Конфиденциальность коммерческой информации .................................................... 46

9.3.1. Информация, являющаяся конфиденциальной .................................................. 46

9.3.2. Информация, не являющаяся конфиденциальной ............................................. 47

9.3.3. Обязательства по защите конфиденциальной информации .............................. 47

9.4. Конфиденциальность персональной информации .................................................... 47

9.4.1. Обеспечение конфиденциальности персональной информации ...................... 47 9.4.2. Информация, рассматриваемая как персональная ............................................. 47

9.4.3. Информация не рассматриваемая как персональная ......................................... 47

9.4.4. Обязательство по защите персональных данных ............................................... 47

9.4.5. Предупреждение и согласие на использование персональных данных ........... 47 9.4.6. Раскрытие в соответствии с судебным или административным процессом ... 47 9.4.7. Иные условия раскрытия информации ............................................................... 47

9.5. Права на интеллектуальную собственность ............................................................... 47 9.6. Заявления и гарантии .................................................................................................... 48

9.6.1. Заявления и гарантии УЦ ...................................................................................... 48

9.6.2. Заявления и гарантии Центра сертификации ...................................................... 48 9.6.3. Заявления и гарантии клиента .............................................................................. 48

9.6.4. Заявления и гарантии пользователя ..................................................................... 48 9.6.5. Заявления и гарантии других участников ........................................................... 49

9.7. Отказ от гарантий ......................................................................................................... 49 9.8. Ограничение ответственности ..................................................................................... 49

9.9. Возмещение ущерба ..................................................................................................... 49

9.10. Период и прекращение ............................................................................................. 49

9.10.1. Период ................................................................................................................. 49 9.10.2. Прекращение ...................................................................................................... 49

9.10.3. Результат прекращения действия и долговечность ........................................ 49

9.11. Индивидуальные уведомления и связь с участниками ......................................... 50

9.12. Изменения .................................................................................................................. 50 9.12.1. Процедура изменения ........................................................................................ 50

9.12.2. Период и механизм оповещения ...................................................................... 50 9.12.3. Обстоятельства, при которых OID должен быть изменен ............................. 50

9.13. Условия разрешения споров .................................................................................... 50

9.14. Применяемое законодательство .............................................................................. 50

9.15. Соответствие применяемому законодательству .................................................... 51

9.16. Разнообразные положения ....................................................................................... 51

9.16.1. Полнота соглашения .......................................................................................... 51

7

9.16.2. Передача прав и обязанностей.......................................................................... 51 9.16.3. Делимость ........................................................................................................... 51 9.16.4. Правоприменение .............................................................................................. 51

9.16.5. Форс-мажор ........................................................................................................ 51

9.17. Другие положения ..................................................................................................... 51

Приложение №1 к Регламенту. Перечень руководящих документов .................................... 52

Приложение №2 к Регламенту. Политики применения сертификатов .................................. 53

Приложение №3 к Регламенту. Порядок проведения работ по подтверждению действительности электронной подписи и штампов времени ................................................ 56

Приложение №4 к Регламенту. Порядок предоставления сервисов Службы статусов сертификатов и Службы штампов времени .............................................................................. 60

Приложение №5 к Регламенту. Формы заявительных документов ....................................... 62

Приложение № 6 к Регламенту. Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16) ................................................................................................................... 70

Приложение № 1 .......................................................................................................................... 74 к Политике применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР (1.2.643.3.203.1.2.16) ..................................... 74 Приложение № 2 .......................................................................................................................... 75 к Политике применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16) .................................... 75 Приложение № 3 .......................................................................................................................... 77 к Политике применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16) .................................... 77 Приложение № 4 .......................................................................................................................... 79 к Политике применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16) .................................... 79 Приложение № 5 .......................................................................................................................... 80 к Политике применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16) .................................... 80

8

1. Введение

1.1. Краткий обзор Настоящий документ определяет: − регламент применения сертификатов ключей проверки электронной подписи

(далее сертификатов), созданных удостоверяющим центром ЗАО «Национальный удостоверяющий центр», включая обязанности владельцев СКП;

− регламент работы сервисов удостоверяющего центра ЗАО «Национальный удостоверяющий центр»;

− принятые форматы данных и протоколы взаимодействия; − основные организационно-технические мероприятия, необходимые для

безопасной работы автоматизированной системы ЗАО «Национальный удостоверяющий центр».

Данный документ составлен с учетом нормативных документов Российской Федерации (см. Приложение 1) и в соответствии с рекомендациями RFC 3647 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework”. Структура Регламента соответствует рекомендациям RFC 3647, поэтому некоторые разделы могут состоять только из фразы «Нет условий», означающей, что ЗАО «Национальный удостоверяющий центр» не вводит условия для данного раздела. Такая структура документа позволяет упростить понимание Регламента УЦ и сравнение его положений с положениями регламентов иных удостоверяющих центров.

1.2. Идентификация Полное наименование документа: «Регламент применения сертификатов ключей

проверки электронной подписи удостоверяющего центра ЗАО «Национальный удостоверяющий центр».

Сокращенное наименование документа: Регламент УЦ. Текущая версия: 2.0 Дата издания: 09 июля 2013 года.

1.3. Участники ИОК Инфраструктура открытых ключей ЗАО «Национальный удостоверяющий центр»

включает в себя Удостоверяющий центр (далее УЦ), собственников сертификатов, владельцев сертификатов и пользователей сертификатов.

В состав Удостоверяющего центра входят: − Центр Сертификации (далее ЦС); − Центр Регистрации (далее ЦР); − WEB-сервисы:

o Точки распространения СОС (далее CDP); o Служба проверки статусов сертификатов в режиме реального времени (далее

OCSP-служба); o Служба простановки штампов времени (далее TSP-служба).

− АРМ регистрации владельца сертификата ЦР; − АРМ формирования запроса на выпуск сертификата; − АРМ обработки запросов на отзыв сертификата.

9

1.3.1. Центр сертификации ЦС предназначен для создания сертификатов клиентам и сотрудникам УЦ, списков

аннулированных (отозванных) сертификатов (далее СОС), хранения эталонной базы сертификатов и СОС.

ЦС взаимодействует только с ЦР или несколькими ЦР по отдельному сегменту локальной сети с использованием защищенного сетевого протокола.

ЦС самостоятельно не инициирует никаких соединений с ЦР, оставаясь пассивным слушателем. Инициирование соединения осуществляется ЦР по протоколу TLS с двухсторонней аутентификацией.

По протоколу HTTP допускается взаимодействие ЦР с ЦС только в рамках выполнения регламентных заданий по переносу СОС с ЦС на ЦР.

На ЦС находится эталонная база всех созданных сертификатов. К функциям ЦС относятся: − генерация ключей и сертификатов уполномоченного лица УЦ; − смена ключей и сертификатов уполномоченного лица УЦ; − формирование сертификатов по запросам ЦР; − формирование запроса на кросс-сертификат уполномоченного лица УЦ; − ведение базы данных сертификатов с предоставлением доступа к ней

ограниченному кругу компонентов системы; − изменение базы данных сертификатов по запросам от ЦР. Включает в себя

выполнение следующих операций: o аннулирование (отзыв) сертификатов; o приостановление действия сертификатов; o возобновление действия сертификатов;

− формирование СОС по запросам ЦР; − формирование СОС в автоматическом режиме с периодичностью, заданной в

расписании; − ведение архива всех выпущенных СОС в автоматическом режиме; − обеспечение уникальности следующей информации в сертификатах:

o ключ проверки электронной подписи; o серийный номер сертификата;

− взаимодействие с ЦР: o аутентификация ЦР и определение прав доступа с использованием ключей и

сертификатов ЦР; o прием от ЦР запросов; o проверка наличия подписи данной информации на ключе ЦР; o обработка полученных от ЦР запросов; o передача на ЦР результатов обработки запросов; o шифрование информации, передаваемой между ЦС и ЦР в ходе сетевого

взаимодействия по протоколу TLS (КриптоПро TLS); − протоколирование работы ЦС.

1.3.2. Центр регистрации ЦР предназначен для хранения регистрационных данных владельцев сертификатов,

запросов на сертификаты и сертификатов. ЦР взаимодействует с ЦС по отдельному сегменту локальной сети с использованием

защищенного сетевого протокола. По протоколу HTTP допускается взаимодействие ЦР с ЦС только в рамках выполнения регламентных заданий по переносу СОС с ЦС на ЦР.

ЦР является единственной точкой входа (регистрации) владельцев сертификатов в системе. Только зарегистрированные в ЦР субъекты (юридические или физические лица) могут получить сертификат на свой ключ проверки электронной подписи в УЦ.

10

База данных ЦР (Реестр) содержит полную информацию и историю обо всех созданных сертификатах для зарегистрированных на ЦР субъектов.

К функциям ЦР относятся: − обеспечение аутентификации приложений и сотрудников УЦ при обращении к

ЦР; − ведение Базы Данных (Реестра), содержащей информацию о субъектах и их

сертификатах. База Данных содержит следующую информацию: o данные о владельце сертификата, включаемые в сертификаты; o данные о владельце сертификата, не включаемые в сертификаты; o ключевая фраза владельца сертификата, необходимая для его идентификации

администратором; o ключи проверки электронной подписи владельцев сертификатов,

зарегистрированные в системе; o сертификаты, зарегистрированные в системе:

� действующие; � отозванные (аннулированные, приостановленные); � с истекшим сроком действия сертификата; � с истекшим сроком действия ключа электронной подписи;

o запросы на регистрацию субъекта: � поступившие; � отвергнутые; � обработанные;

o запросы на выпуск сертификатов: � поступившие; � отвергнутые; � обработанные;

o запросы на отзыв сертификатов: � поступившие; � отвергнутые; � обработанные;

− управление политиками: o политики уведомлений сотрудников УЦ и владельцев сертификатов; o политиками имен; o политиками обработки запросов:

� на отзыв; � на изготовление сертификатов; � подписанными; � неподписанными;

o политиками ролевой модели и системы разграничения доступа; − обеспечение уникальности следующей информации в сертификатах:

o доменное имя владельца сертификата; − взаимодействие с ЦС и внешними приложениями;

o прием от приложения и передача на ЦС запросов, подпись данных запросов на ключе ЦР;

o прием от ЦС и передача приложению результатов обработки запросов; o проверка подписи ЦС на принимаемой от него информации; o аутентификация и шифрование информации с использованием протокола TLS

(КриптоПро TLS); − управление режимами работы УЦ по регистрации и управлению ключами и

сертификатами; − обеспечение доступа к Базе Данных внешним приложениям через SOAP-

интерфейс на базе HTTP(S);

11

− обеспечение выполнения ЦР в автоматическом режиме различных задач: o оповещение владельцев сертификатов и сотрудников УЦ по электронной

почте о событиях, связанных с жизненным циклом сертификатов (о регистрации субъекта, о создании сертификата, о отзыве сертификата, об истечении срока действия сертификатов, о необходимости замены ключей, и т.д.);

o получение СОС от соответствующего ЦС; o получение СОС от ЦР вышестоящих по иерархии УЦ; o удаление данных о зарегистрированных субъектах, не имеющих ни одного

действующего сертификата; − протоколирование работы ЦР.

1.3.3. WEB-портал WEB-портал предназначен для обеспечения доступа к репозиторию УЦ с помощью

сети общего пользования (подробнее про репозиторий УЦ см. Раздел 2). URL-адрес WEB-портала в сети общего пользования Internet: http://www.nucrf.ru/ Комплексом организационно-технических мер обеспечивается требуемые показатели

доступности WEB-портала.

1.3.4. Служба проверки статусов сертификатов в режиме реального времени OCSP-служба предназначена для выполнения функций установления статуса

сертификатов на основе протокола OCSP (Online Certificate Status Protocol). OCSP-служба обеспечивает использование международных рекомендаций в части

построения ИОК, с учетом применения ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2012:

− RFC 2560 - "Internet X.509 Public Key Infrastructure. Online Certificate Status Protocol – OCSP";

− RFC 5280 – "Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile".

Порядок работы OCSP-службы изложен в "Регламенте службы проверки статусов сертификатов в режиме реального времени".

1.3.5. Служба простановки штампов времени TSP-служба обладает точным и надежным источником времени и выполняет

функции по созданию штампов времени. Штамп времени - подписанный ЭП документ, которым TSP-служба удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от другого документа. При этом значение хэш-функции так же указывается в штампе времени.

TSP-служба обеспечивает использование международных рекомендаций в части построения ИОК, с учетом применения ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2012:

− RFC 3161 - "Internet X.509 Public Key Infrastructure. Time-Stamp Protocol (TSP)". Порядок работы TSP-службы изложен в "Регламенте службы простановки штампов

времени".

1.3.6. АРМ регистрации пользователя Центра Регистрации АРМ регистрации пользователя ЦР предназначен для выполнения организационно-

технических мероприятий, связанных с выполнением процедуры регистрации субъекта в УЦ.

12

АРМ регистрации пользователя взаимодействует с ЦР по протоколу HTTP(S) с односторонней аутентификацией.

АРМ регистрации пользователя взаимодействует с АРМ формирования запроса на создание сертификата по открытым каналам связи с применением СКЗИ для обеспечения целостности, конфиденциальности и аутентичности передаваемой информации.

К основным функциям АРМ регистрации пользователя ЦР относятся: − обеспечение взаимодействия с ЦР; − обеспечение взаимодействия с АРМ формирования запроса на создание

сертификата; − обеспечение возможности проверки запроса на регистрацию субъекта в ЦР и

передачи запроса на ЦР; − обеспечение возможности проверки запроса на создание сертификата и передача

запроса на ЦР; − регистрация субъектов в ЦР; − организация просмотра информации из Базы Данных ЦР, относящейся к

субъекту, зарегистрированному в системе; − обеспечение возможности получения субъектом нескольких сертификатов; − проверка состояния и обработка запросов на создание сертификатов,

поступающих от субъектов; − шифрование информации, передаваемой между сотрудниками УЦ и ЦР, с

использованием протокола TLS с односторонней аутентификацией.

1.3.7. АРМ формирования запроса на создание сертификатов АРМ формирования запроса на создание сертификатов предназначен для

выполнения организационно-технических мероприятий, связанных с выполнением процедуры проверки документов, предоставляемых клиентом для создания сертификата и последующим формированием запроса на создание сертификата.

АРМ формирования запроса на создание сертификатов взаимодействует с АРМ регистрации пользователя ЦР по открытым каналам связи с применением СКЗИ для обеспечения целостности, конфиденциальности и аутентичности передаваемой информации.

К основным функциям АРМ формирования запроса на создание сертификатов относятся:

− генерация ключей; − формирование запросов на создание сертификатов; − вывод сертификата ключа проверки электронной подписи на бумажный

носитель; − формирование запросов на отзыв сертификатов; − формирование запросов на приостановление действия сертификатов; − формирование запросов на возобновление действия сертификатов; − вывод сертификата ЦС (уполномоченного лица УЦ) на бумажный носитель; − сохранение СОС на отчуждаемом носителе в виде файла; − сохранение сертификата (цепочки сертификатов) ЦС на отчуждаемом носителе в

виде файла.

1.3.8. АРМ обработки запросов на отзыв сертификатов АРМ формирования запроса на отзыв сертификатов предназначен для выполнения

организационно-технических мероприятий, связанных с выполнением процедуры

13

проверки документов, предоставляемых клиентами для отзыва сертификата и последующим формирование запроса на отзыв сертификата.

АРМ формирования запроса на отзыв сертификата взаимодействует с АРМ регистрации пользователя ЦР по открытым каналам связи с применением СКЗИ для обеспечения целостности, конфиденциальности и аутентичности передаваемой информации.

К основным функциям АРМ формирования запроса на отзыв сертификатов относятся:

− удаление информации о зарегистрированных субъектах из ЦР, не имеющих ни одного действующего сертификата;

− проверка состояния и обработка запросов на отзыв, приостановление и возобновление действия сертификатов, поступающих от клиентов;

− просмотр протокола работы ЦР; − публикация СОС.

1.3.9. Владелец сертификата Владелец сертификата – лицо, которому в установленном Федеральным законом от

6 апреля 2011 года № 63-ФЗ «Об электронной подписи» порядке выдан сертификат ключа проверки электронной подписи.

1.3.10. Пользователи сертификатов Пользователями сертификатов являются субъекты, применяющие выпущенные

согласно настоящему Регламенту УЦ сертификаты, и которые действуют, доверяя сертификату уполномоченного лица ЦС и/или любой ЭП уполномоченного лица ЦС.

1.4. Использование сертификатов

1.4.1. Допустимое использование Сертификаты могут быть использованы только в соответствии, с политиками

применения сертификатов, идентификаторы которых указаны в сертификатах. При этом в сертификатах допускается указывать идентификаторы только тех политик применения сертификатов, которые соответствуют настоящему Регламенту УЦ. Если сертификат не содержит идентификаторов ни одной из политик применения сертификатов, то ограничения на его использование не накладываются.

Политики применения сертификатов, соответствующие настоящему Регламенту УЦ приведены в Приложении 1.

1.4.2. Запрещенное использование Запрещается использовать сертификаты в целях, не указанных ни в одной из политик

применения сертификатов, идентификаторы которых указаны в сертификате.

1.5. Управление регламентом

1.5.1. Организация, управляющая этим документом ЗАО «Национальный удостоверяющий центр»: 111024, Россия, Москва, ул. Авиамоторная, дом 8А, стр. 5. Телефон/факс: +7 (495) 690-92-22 / +7 (495) 957-70-45. http://www.nucrf.ru E-mail: info@nucrf.ru

14

1.5.2. Контактное лицо Менеджер Регламента УЦ и политик применения сертификатов - Сазонов Александр

Валентинович.

1.5.3. Лицо, определяющее соответствие Регламента УЦ политикам применения сертификатов

Соответствие Регламента УЦ политикам применения сертификатов определяет менеджер Регламента УЦ и политик применения сертификатов.

1.5.4. Процедура утверждения Регламента УЦ Утверждение, а также исправление и дополнение данного Регламента

осуществляются менеджером Регламента УЦ и политик применения сертификатов. Исправления и/или дополнения публикуются в репозитории в виде документа содержащего исправления и/или дополнения, либо в виде исправленной и/или дополненной новой версии документа.

1.6. Определения и акронимы

1.6.1. Определения Аутентификация — процесс, устанавливающий, что субъект является тем за кого

себя выдает. Владелец сертификата – лицо, которому в установленном Федеральным законом от

6 апреля 2011 года № 63-ФЗ «Об электронной подписи» порядке выдан сертификат ключа проверки электронной подписи. Владелец сертификата является владельцем ключа электронной подписи, соответствующим ключу проверки электронной подписи, включенному в состав сертификата, выданного на его имя.

Данные активации — закрытые данные, отличные от ключей, требуемые для управления ключевым носителем.

Домен доверия — несколько доменов ИОК, между которыми установлены отношения доверия. В частном случае один домен ИОК так же является доменом доверия.

Домен ИОК — совокупность субъектов ИОК, в вершине цепочки сертификации которых находится один и тот же Центр сертификации.

Заявитель — Клиент, подавший заявление на выпуск (создание) сертификата. Идентификация — процесс, устанавливающий однозначное соответствие субъекта

отличительным признакам. Информация – сведения о лицах, предметах, фактах, событиях, явлениях и

процессах независимо от формы их представления. Инфраструктура открытых ключей или (ИОК) — архитектура, организация,

методики, способы и процедуры, которые обеспечивают управление и применение криптографической системы, основанной на сертификатах ключей проверки электронной подписи.

Квалификатор политики — зависимая от Политики применения сертификатов (ППС) информация, которая может сопутствовать идентификатору ППС в сертификате X.509.

Клиент – юридическое или физическое лицо, акцептовавшее со своей стороны публичную оферту «ДОГОВОРА на оказание Услуг и поставку Продукта Удостоверяющего центра» (за исключением бюджетных организаций).

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.

15

Ключевая пара - ключ электронной подписи и соответствующий ему ключ проверки электронной подписи.

Компрометация ключа электронной подписи – факт доступа или подозрение на факт доступа постороннего лица к ключу электронной подписи.

Оператор списков аннулированных сертификатов (Оператор СОС) – физическое лицо, являющееся работником Удостоверяющего центра, занимающееся рассмотрением и обработкой заявлений на отзыв, приостановление/возобновление действия сертификатов.

Оператор Удостоверяющего центра (Оператор УЦ) – физическое лицо, являющееся работником Удостоверяющего центра, занимающееся рассмотрением и обработкой заявлений на выпуск (создание) сертификатов.

Политика применения сертификатов (Certificate Policy) или ППС — набор правил, определяющий использование сертификата некоторым сообществом и/или классом приложений с заданными требованиями безопасности.

Пользователь — субъект, применяющий выпущенный согласно настоящему Регламенту УЦ сертификат, и который действует доверяя этому сертификату и/или любой ЭП проверенной с использованием этого сертификата.

Путь (цепочка) сертификации — упорядоченная последовательность сертификатов, позволяющая достоверно определить издателя сертификата.

Регламент удостоверяющего центра (Certification Practice Statement) или Регламент УЦ — это документ, определяющий порядок реализации функций удостоверяющего центра.

Сертификат ключа проверки электронной подписи (Сертификат) - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Собственник сертификата – юридическое или физическое лицо, подписавшее со своей стороны Заявление о принятии (акцепте) публичной оферты «ДОГОВОРА на оказание Услуг и поставку Продукта Удостоверяющего центра» и являющееся инициатором выпуска сертификата на имя владельца сертификата и совершившее оплату услуг по выпуску данного сертификата.

Соглашение с клиентом — документ, который устанавливает права и обязанности Клиента и УЦ, дополнительные по отношению к правам и обязанностям, указанным в Регламенте УЦ.

Соглашение с пользователем — документ, который устанавливает права и обязанности Пользователя и УЦ, дополнительные по отношению к правам и обязанностям, указанным в Регламенте УЦ.

Список аннулированных (отозванных) сертификатов или СОС - электронный документ с электронной подписью Уполномоченного лица Удостоверяющего центра, содержащий список серийных номеров сертификатов, которые в определенный момент времени были отозваны, либо действие которых было приостановлено. Сертификаты, номера которых присутствуют в СОС, являются недействительными в период действия СОС.

Средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Точка доверия - субъект ИОК, решение о доверии которому пользователь ИОК принимает самостоятельно.

Уполномоченное лицо Удостоверяющего центра – физическое лицо, являющееся работником Удостоверяющего центра и наделенное Удостоверяющим центром полномочиями по заверению сертификатов и СОС.

16

Участник ИОК — субъект, выполняющий роль в ИОК, такую как клиент, пользователь, ЦР, ЦС, и пр.

Электронный документ - форма подготовки, отправления, получения или хранения информации с помощью электронных технических средств, зафиксированная на магнитном диске, магнитной ленте, лазерном диске и ином электронном материальном носителе.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

PKCS#10 (RFC 2986) – стандарт, определяющий формат и синтаксис запроса на сертификат ключа подписи.

1.6.2. Акронимы CDP CRL Distribution Point (Точка доступа к СОС); CRL Certificate Revocation List (Список аннулированных (отозванных) сертификатов); PKCS Public-Key Cryptography Standard; PKI Public Key Infrastructure (Инфраструктура ключа проверки электронной подписи); RFC Request For Comments; DN Distinguished Name (Отличительное имя); ИОК Инфраструктура открытых ключей; ПО Программное обеспечение; ППС Политика применения сертификатов; СОС Список аннулированных (отозванных) сертификатов; СКЗИ Средства криптографической защиты информации; УЦ Удостоверяющий центр; ЦР Центр регистрации; ЭП Электронная подпись.

2. Публикация и ответственность за актуальность информации в репозитории

2.1. Репозиторий УЦ поддерживает в актуальном состоянии репозиторий. В качестве репозитория

используется выделенная директория на WEB-портале.

2.2. Публикация информации Публикации подлежит: − сертификат Центра сертификации УЦ; − список аннулированных сертификатов; − политики применения сертификатов; − Регламент применения сертификатов ключей проверки электронной подписи

удостоверяющего центра ЗАО «Национальный удостоверяющий центр (Регламент УЦ);

− шаблоны заявлений на создание, приостановку, возобновление действия и отзыв сертификата;

− шаблон соглашения с клиентом; − шаблон соглашения с пользователем; − сведения об аттестации и аккредитации;

17

− сопутствующая информация, уведомления, обновления и исправления.

2.3. Время и частота публикаций Публикация информации осуществляется, как только она становится доступной, и с

частотой необходимой для поддержания ее в актуальном состоянии.

2.4. Управление доступом к репозиториям Вся публикуемая информация является общедоступной для пользователей.

Администратор репозитория использует различные механизмы для предотвращения неавторизованного изменения, дополнения и/или удаления опубликованной информации.

3. Идентификация и аутентификация

3.1. Присваивание имен

3.1.1. Типы имен В качестве имени в сертификате используется отличительное имя согласно стандарту

X.500.

3.1.2. Требования к интерпретации имен Имена, содержащиеся в сертификатах, однозначно идентифицируют субъектов.

3.1.3. Анонимные или владельцы с псевдонимами Выпуск сертификатов для анонимных владельцев недопустим. Использование

псевдонимов разрешено.

3.1.4. Правила интерпретации различных форм имен Нет условий.

3.1.5. Уникальность имен Возможно существование нескольких сертификатов с одинаковыми отличительными

именами. При этом УЦ гарантирует уникальность издаваемых сертификатов.

3.1.6. Признание, аутентификация и роль торговых марок Имена, владельцем которых не является Заявитель, не могут быть использованы в

сертификате. Удостоверяющий центр может не проверять права Заявителя на владение доменными именами, торговыми марками и/или другими объектами интеллектуальной собственности, но в случае возникновения какого-либо спора за право владения таковыми должен приостановить действие сертификата Заявителя до окончания разбирательства, и в соответствии с результатом спора, после окончания такового, определить статус сертификата Заявителя.

3.2. Первоначальное подтверждение подлинности

3.2.1. Метод доказательства обладания ключом электронной подписи Методом доказательства обладания ключом электронной подписи являться

криптографическая демонстрация эквивалентности или документальное подтверждение обладания ключом электронной подписи.

Если ключевая пара создается УЦ, то доказательство не требуется.

18

3.2.2. Проверка идентификационной информации организации Существование организации проверяется на основании государственных

документов, подтверждающих существование организации. В случае указания в заявлении на выпуск сертификата какой-либо информации об организации проверка осуществляется на основании подтверждающих документов, в том числе в электронной форме, подписанных электронной подписью. Вид электронной подписи определяется соглашением между участниками электронного взаимодействия, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.

3.2.3. Проверка личной идентификационной информации Личная идентификационная информация пользователя проверяется на основании

общегосударственных документов удостоверяющих личность.

3.2.4. Непроверяемая клиентская информация Непроверяемой информацией является любая информация, указанная в сертификате

или данном документе как не проверяемая или непроверенная.

3.2.5. Проверка полномочий Полномочия пользователя проверяются на основании заверенной копии приказа о

назначении.

3.2.6. Критерии взаимодействия УЦ может обеспечить взаимодействие с другими удостоверяющими центрами вне

домена доверия. Удостоверяющий центр присоединяется, путем односторонней кросс-сертификации, подчинения или включения в список доверенных УЦ только при выполнении присоединяющимся УЦ следующих условий: − осуществление деятельности на основании данного Регламента УЦ или эквивалентных

ему; − в течение периода взаимодействия:

− проходить ежегодный внутренний аудит и не реже одного раза в два года внешний аудит у организации-аудитора, соответствующей требованиям раздела 8.2. данного документа;

− предоставлять информацию и необходимый доступ для проведения оценки соответствия используемым политикам сотрудникам УЦ по их требованию.

3.3. Аутентификация и идентификация для обновления ключей

3.3.1. Аутентификация и идентификация для плановой замены ключей Аутентификация может осуществляться по действительному сертификату,

документу, удостоверяющему личность субъекта или с использованием систем двухфакторной аутентификации.

3.3.2. Аутентификация и идентификация для обновления ключей после отзыва Аутентификация осуществляется по документу, удостоверяющему личность

субъекта, либо с использованием систем двухфакторной аутентификации.

3.4. Аутентификация и идентификация для запроса на отзыв Аутентификация и идентификация в случае подачи запроса на отзыв может

осуществляться по действительному сертификату, одноразовому паролю, переданному

19

любыми средствами связи, документально подтвержденному запросу на отзыв, либо с использованием систем двухфакторной аутентификации.

20

4. Функциональные требования жизненного цикла сертификата В настоящем разделе описываются условия и порядок представления услуг

удостоверяющим центром пользователям (потребителям услуг), права, обязательства и ответственность удостоверяющего центра и пользователей (потребителей услуг) удостоверяющего центра.

Удостоверяющий центр предоставляет Клиентам следующие виды услуг: − внесение в реестр Удостоверяющего центра регистрационной информации о

Клиенте; − формирование ключевой пары с последующей ее записью на ключевой

носитель, по запросу Клиента; − изготовление сертификатов для владельца в электронной форме; − изготовление копии сертификатов для владельца сертификата на бумажном

носителе; − ведение реестра изготовленных Удостоверяющим центром сертификатов; − предоставление сертификатов в электронной форме из реестра изготовленных

сертификатов, по запросам пользователей информации; − аннулирование (отзыв) сертификатов по обращениям владельцев

сертификатов/собственников сертификатов; − приостановление и возобновление действия сертификатов по обращениям

владельцев сертификатов; − предоставление пользователям информации сведений об аннулированных

(отозванных) сертификатах и сертификатах с приостановленным сроком действия; − подтверждение подлинности электронных подписей в документах,

представленных в электронной форме, по обращению Клиента; − подтверждение подлинности электронной подписи уполномоченного лица

Удостоверяющего центра в изготовленных им сертификатах по запросу Клиента; − распространение средств электронной подписи.

4.1. Запрос на сертификат

4.1.1. Кто может подать запрос на сертификат Запрос на сертификат может подать клиент УЦ.

4.1.2. Процесс регистрации и требования Процесс регистрации состоит из следующих процедур: − подписание Заявителем со своей стороны Заявления о принятии (акцепте)

публичной оферты «ДОГОВОРА на оказание Услуг и поставку Продукта Удостоверяющего центра»;

− оплата услуг в соответствии с действующим Договором и Приложением к Договору;

− оформление и регистрация документов, представленных Заявителем для проведения процедуры его регистрации (см. раздел 4.1.3.);

− регистрация Заявителя в реестре Центра регистрации в качестве Клиента Удостоверяющего центра;

− для вновь зарегистрированного Клиента осуществляется выпуск сертификата и двух его дубликатов на бумажных носителях. По заявлению Клиента предварительно перед выпуском сертификата может быть сформирована ключевая пара.

21

4.1.3. Перечень документов, представленных Заявителем для проведения процедуры его регистрации

Заявитель, желающий пройти процедуру регистрации в Удостоверяющем центре, должен подписать со своей стороны Заявление о принятии (акцепте) публичной оферты «ДОГОВОРА на оказание Услуг и поставку Продукта Удостоверяющего центра». Дополнительно в Центр регистрации Удостоверяющего центра Заявитель должен предоставить следующие документы, либо их надлежащим образом заверенные копии и сведения:

1) Если Заявитель – физическое лицо, представляет личные интересы и предполагает в будущем использовать персональную ЭП, при обмене информацией с участниками информационного взаимодействия, для обозначения своих личных интересов, то он должен представить следующие сведения и документы:

− основной документ, удостоверяющий личность; − номер страхового свидетельства государственного пенсионного страхования

заявителя - физического лица; − идентификационный номер налогоплательщика заявителя - физического лица; − основной государственный регистрационный номер заявителя - юридического

лица; − основной государственный регистрационный номер записи о государственной

регистрации физического лица в качестве индивидуального предпринимателя заявителя - индивидуального предпринимателя;

− номер свидетельства о постановке на учет в налоговом органе заявителя - иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) или идентификационный номер налогоплательщика заявителя - иностранной организации;

− доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц.

− данные для удаленной идентификации владельца сертификата (ключевая фраза длиной до 64 символов).

2) Если Заявитель - физическое лицо, выступает в роли представителя интересов юридического лица и предполагает в будущем использовать персональную ЭП, при обмене информацией с участниками информационного взаимодействия, для обозначения интересов юридического лица, то он должен дополнительно представить следующие документы:

− документ, подтверждающий правомочия физического лица, выступающего от имени заявителя - юридического лица, обращаться за получением квалифицированного сертификата;

− копию документа, подтверждающего государственную регистрацию организации, чьи интересы представляет физическое лицо;

− оригинал, нотариально заверенную копию выписки из ЕГРЮЛ или выписку из ЕГРЮЛ в электронной форме, подписанную электронной подписью сотрудника уполномоченного федерального органа исполнительной власти, осуществляющего государственную регистрацию юридических лиц, физических лиц в качестве индивидуальных предпринимателей и крестьянских (фермерских) хозяйств (дата получения выписки зависит от политики применения сертификата);

− страховое свидетельство обязательного пенсионного страхования владельца сертификата (необязательно). Обязательно предоставляется при выпуске сертификатов, предназначенных для взаимодействия с информационными

22

ресурсами, для которых наличие Страхового номер индивидуального лицевого счёта (СНИЛС) владельца в сертификате является обязательным условием.

3) В случае, если от имени юридического лица действует физическое лицо, наделенное полномочиями представлять интересы как самой организации (юридического лица), так и интересы физических лиц, на имя которых организация намерена приобрести сертификаты, то дополнительно к вышеназванному перечню потребуется представить:

− доверенность на предоставление документов, необходимых для выпуска и получения сертификатов, получения сформированных ключей подписи.

Примечание. Если будущий владелец сертификата намерен использовать выпущенный на его имя сертификат в приложениях, требующих дополнительные документы в качестве основания для выпуска сертификата, то такие документы также должны быть представлены при подписании Заявление о принятии (акцепте) публичной оферты «ДОГОВОРА на оказание Услуг и поставку Продукта Удостоверяющего центра».

4.2. Обработка заявления на сертификат

4.2.1. Выполнение функций аутентификации и идентификации Аутентификация и идентификация осуществляется в соответствии с требованиями

раздела 3.2. данного регламента.

4.2.2. Принятие или отклонение заявления на сертификат УЦ может отклонить заявление на сертификат в следующих случаях:

− заявление на сертификат было передано способом не соответствующим требованиям Регламента УЦ, Политики применения сертификатов или в не соответствующем формате;

− данные, указанные в заявлении не соответствуют действительности; − данные, указанные в заявлении не подтверждены соответствующими документами; − клиент не подтвердил факт обладания ключом подписи; − клиент нарушил каким-либо образом договор с УЦ; − клиент не прошел процедуру аутентификации и идентификации; − выпуск сертификата может нанести какой-либо вред УЦ.

Заявление на сертификат принимается, если отсутствуют вышеперечисленные причины для его отклонения.

4.2.3. Срок обработки заявления на сертификат Сотрудник УЦ должен начать обработку запроса с момента его получения. Однако

данный Регламент УЦ не устанавливает ограничения времени обработки заявления, если таковое не содержится в соглашении между сторонами. Заявление считается активным до момента его принятия или отклонения.

Временем передачи запроса считается: − при вручении лично – время вручения; − при передаче по электронной почте – время передачи сообщения на почтовый сервер

УЦ; − при передаче иным способом - время получения запроса сотрудником УЦ.

После рассмотрения запроса сотрудник УЦ должен вынести решение о его принятии, либо отклонении, о чем Заявитель должен быть проинформирован.

23

4.3. Выпуск сертификата

4.3.1. Действия удостоверяющего центра во время выпуска сертификата УЦ издает сертификаты по одобренным запросам. Сертификат издается в

соответствии с политиками применения сертификатов, Регламентом УЦ и информацией указанной в заявлении.

Выпуск сертификата для Клиента осуществляется в соответствии со следующим алгоритмом действий: − центр регистрации на основании заявления Клиента и заключенного договора с

помощью специализированного программного обеспечения формирует электронный запрос в Центр сертификации.

− на основании электронного запроса предоставленного Центром регистрации, Центр сертификации выпускает сертификат в электронном виде и изготавливает его дубликат на бумажном носителе.

4.3.2. Оповещение Заявителя о выпуске сертификата УЦ может оповещать клиента о выпуске сертификата.

4.4. Признание сертификата

4.4.1. Действия по признанию сертификата Признанием факта ознакомления клиента, в том числе уполномоченного

представителя юридического или физического лица, с информацией, содержащейся в сертификате, является одно из следующих его действий:

− заверение собственноручной подписью копии сертификата на бумажном носителе при получении сертификата в удостоверяющем центре либо у доверенного лица удостоверяющего центра;

− подписание печатной формы сертификата простой электронной подписью – уникальным кодом из СМС сообщения, полученного от УЦ на мобильное устройство, номер которого указан в заказе клиента.

Настоящим Регламентом установлены следующие правила определения лица, подписывающего электронный документ, по его простой электронной подписи, а также порядок подписания печатной формы сертификата простой электронной подписью.

В случае, если клиент прошел процедуру идентификации и запрос на формирование его сертификата был одобрен доверенным лицом удостоверяющего центра, то он с применением интерфейса личного кабинета генерирует ключевую пару, получает и знакомится с печатной формой сертификата, после чего отравляет запрос на получение простой электронной подписи. Автоматизированная система УЦ вышлет СМС сообщение по номеру мобильного устройства клиента. Клиент в определенный промежуток времени обязан ввести этот код в соответствующее поле диалогового окна личного кабинета. Это действие клиента приравнивается к заверению им копии сертификата на бумажном носителе собственноручной подписью. После чего клиент получает возможность получить сформированный для него сертификат.

Клиент обязуются соблюдать конфиденциальность ключа простой электронной подписи, не передавать и не сообщать его третьим лицам.

В случае отказа клиента от подписания сертификата указанными способами УЦ оставляет за собой право приостановить действие сертификата. УЦ возобновляет действие сертификата в течение одного рабочего дня с момента подтверждения клиентом факта ознакомления с сертификатом.

Кроме того, если УЦ не получает в течение 1 рабочего дня уведомления от клиента об отклонении сертификата, сертификат так же считается признанным.

24

4.4.2. Публикация сертификата удостоверяющим центром УЦ публикует выпущенные сертификаты в репозитории.

4.4.3. Уведомление третьей стороны о выпуске сертификата удостоверяющим центром

Нет условий.

4.5. Использование сертификата и ключевой пары

4.5.1. Использование сертификата и ключевой пары владельцем Владелец сертификата может использовать собственный сертификат после его

признания и в соответствии с требованиями политик применения сертификата, Регламента УЦ и иных руководящих документов. Владелец сертификата должен защищать ключ электронной подписи от компрометации.

Разрешено использование только действительного сертификат, в соответствии с требованиями политик применения сертификатов, идентификаторы которых указанны в сертификате.

4.5.2. Использование сертификата и ключа проверки электронной подписи пользователями

Перед использованием сертификата пользователь обязан: − ознакомиться с политиками применения сертификатов и Регламентом УЦ, в

соответствии с которыми выдан сертификат; − проверить статус используемого сертификата и сертификата УЦ.

Пользователь может использовать только действительный сертификат, в соответствии с требованиями его политики.

4.6. Обновление сертификата Обновление сертификата является выпуском нового сертификата без изменения

ключа проверки электронной подписи или другой информации в сертификате.

4.6.1. Обстоятельства обновления сертификата УЦ не осуществляет обновление сертификатов.

4.6.2. Кто может подать запрос на обновление сертификата Нет условий.

4.6.3. Обработка запросов на обновление сертификатов Нет условий.

4.6.4. Оповещение клиента о выпуске нового сертификата Нет условий.

4.6.5. Действия по признанию обновленного сертификата Нет условий.

4.6.6. Публикация обновленного сертификата администратором Сервера безопасности

Нет условий.

25

4.6.7. Уведомление третьей стороны о выпуске сертификата Удостоверяющим центром

Нет условий.

4.7. Обновление ключей Данный раздел описывает выпуск нового сертификата в случае обновления ключей.

4.7.1. Обстоятельства обновления ключей Обновление ключей возможно в случае компрометации ключа электронной подписи,

а так же в случае истечения срока действия сертификата. Генерация ключей может совершаться как владельцем сертификата, так и УЦ.

4.7.2. Кто может подать запрос на выдачу сертификата при обновлении ключей Запрос на выдачу сертификата при обновлении ключей может подать собственник

сертификата.

4.7.3. Обработка запроса на выдачу сертификата при обновлении ключей Одобрение запроса на выдачу сертификата при обновлении ключей осуществляется в

соответствии с подразделом 4.2., а выпуск сертификата в соответствии с пунктом 4.3.1.

4.7.4. Оповещение клиента о выпуске нового сертификата Оповещение выполняется в соответствии с пунктом 4.3.2.

4.7.5. Действия по признанию нового сертификата при обновлении ключей Признание осуществляется в соответствии с пунктом 4.4.1.

4.7.6. Публикация удостоверяющим центром нового сертификата при обновлении ключей

Публикация осуществляется в соответствии с пунктом 4.4.2.

4.7.7. Уведомление третьей стороны о выпуске удостоверяющим центром нового сертификата при обновлении ключей

Нет условий.

4.8. Изменение сертификата Изменение сертификата является выдачей нового сертификата при необходимости

изменения информации, включенной в существующий сертификат. При этом старый сертификат отзывается.

4.8.1. Обстоятельства изменения сертификата Изменение сертификата производится в случае, если информация, содержащаяся в

сертификате, становится не актуальной или при ее внесении в сертификат была допущена ошибка.

4.8.2. Кто может подать запрос на изменение сертификата Запрос на изменение сертификата может подать собственник сертификата.

4.8.3. Обработка запроса изменение сертификата Одобрение запроса обновление сертификата при обновлении ключей осуществляется

в соответствии с подразделом 4.2., а выпуск сертификата в соответствии с разделом 4.3.1.

26

4.8.4. Оповещение клиента о выпуске нового сертификата Оповещение выполняется в соответствии с пунктом 4.3.2.

4.8.5. Действия по признанию измененного сертификата Признание осуществляется в соответствии с пунктом 4.4.1.

4.8.6. Публикация измененного сертификата удостоверяющим центром Публикация осуществляется в соответствии с пунктом 4.4.2.

4.8.7. Уведомление третьей стороны о выпуске измененного сертификата удостоверяющим центром

Нет условий.

4.9. Отзыв и приостановление сертификата По истечении срока действия сертификата сертификат автоматически считается

аннулированным. Сертификат считается отозванным, приостановленным или возобновленным с момента публикации в репозитории УЦ списка аннулированных сертификатов, содержащего информацию об изменении статуса этого сертификата.

4.9.1. Обстоятельства отзыва сертификата Сертификат может быть отозван при следующих обстоятельствах:

− при компрометации ключа электронной подписи электронной подписи; − при разрыве или несоблюдении соглашений между сторонами; − при несоблюдении клиентом требований настоящего Регламента УЦ; − при прекращении деятельности УЦ; − дальнейшее использование сертификата может нанести вред УЦ; − по запросу собственника сертификата; − по запросу владельца сертификата.

4.9.2. Кто имеет право подать запрос на отзыв Запрос на отзыв сертификата может быть подан:

− владельцем сертификата; − собственником сертификата; − сотрудником УЦ, если он располагает достоверной информацией, требующей отзыва

сертификата.

4.9.3. Процедура рассмотрения запроса на отзыв сертификата Запрос на отзыв может быть подан в бумажной или электронной форме, либо с

использованием любых средств связи, но в любом случае с аутентификацией согласно подразделу 3.4.

Запрос должен содержать следующую информацию: − серийный номер сертификата или иную информацию, позволяющую однозначно

идентифицировать сертификат; − причину отзыва сертификата; − необходимые комментарии.

После получения запроса сотрудник УЦ производит верификацию запроса, и если таковая прошла успешно, то производит отзыв сертификата. После отзыва сертификата УЦ публикует обновленный СОС, содержащий информацию об отозванном сертификате.

4.9.4. Срок передачи запроса на отзыв Запрос на отзыв должен быть передан так быстро, насколько это возможно.

27

4.9.5. Срок, за который удостоверяющий центр должен обработать запрос на отзыв Запрос на отзыв рассматривается в течение 1 рабочего дня с момента его подачи.

Временем подачи запроса считается: − при передаче по электронной почте – время передачи сообщения на почтовый сервер

УЦ; − при вручении лично или передачей иными способами – время получения.

4.9.6. Требования к пользователям по проверке статуса сертификата Пользователь сертификата обязан проверять его статус перед каждым

использованием, используя СОС, публикуемые УЦ, или службу проверки статуса сертификата в режиме реального времени.

4.9.7. Частота выпуска списка аннулированных сертификатов УЦ публикует актуальные СОС с частотой 12 часов. Если срок действия сертификата, включенного в список аннулированных

сертификатов, истекает, то он может быть удален из него после истечения срока действия.

4.9.8. Максимальное время задержки публикации списка аннулированных сертификатов

Максимальное время задержки публикации СОС составляет 5 часов.

4.9.9. Доступность онлайновой проверки отзыва/статуса сертификата Сервис онлайновой проверки статуса сертификата предоставляется OCSP-службами

УЦ по URL-адресам: http://ocsp.ncarf.ru/ocsp/ocsp.srf http://ocsp20.ncarf.ru/ocsp/ocsp.srf http://ocsp20-1.ncarf.ru/ocsp/ocsp.srf http://ocsp3.ncarf.ru/ocsp/ocsp.srf Комплексом организационно-технических мер обеспечиваются требуемые

показатели доступности OCSP-службы.

4.9.10. Требования к онлайновой проверке отзыва OCSP-служба обеспечивает использование международных рекомендаций в части

построения ИОК, с учетом применения ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012:

− RFC 2560 - "Internet X.509 Public Key Infrastructure. Online Certificate Status Protocol – OCSP";

− RFC 5280 – "Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile".

4.9.11. Другие доступные формы извещения об отзыве Не обязательны.

4.9.12. Специальные требования, относящиеся к компрометации ключей В случае компрометации ключа электронной подписи уполномоченного лица Центра

сертификации, OCSP-службы или TSP-службы участники ИОК оповещаются посредством рассылки соответствующих email-сообщений.

28

4.9.13. Обстоятельства приостановления действия сертификата Действие сертификата должно быть приостановлено при следующих

обстоятельствах: − по запросу владельца сертификата; − по запросу собственника сертификата; − возникновения какого-либо разбирательства, не позволяющего на текущий момент

принять решение о действительности сертификата.

4.9.14. Кто может подать запрос на приостановление сертификата Запрос на приостановление сертификата может быть подан:

− владельцем сертификата; − собственником сертификата; − сотрудником УЦ, если он располагает достоверной информацией, требующей

приостановления сертификата.

4.9.15. Процедура рассмотрения запроса на приостановление сертификата Запрос на приостановление может быть подан в бумажной или электронной форме,

либо с использованием любых средств связи, но в любом случае с аутентификацией согласно подразделу 3.4.

Запрос должен содержать следующую информацию: − серийный номер сертификата или иную информацию, позволяющую однозначно

идентифицировать сертификат; − причину приостановления; − необходимые комментарии.

После получения запроса сотрудник УЦ производит верификацию запроса, и если таковая прошла успешно, то производит приостановление сертификата. После приостановления сертификата владелец такового уведомляется об этом, а УЦ публикует СОС, содержащий информацию о приостановлении сертификата.

Запрос рассматривается в течение 1 рабочего дня с момента его подачи. Временем подачи запроса считается: − при передаче по электронной почте – время передачи сообщения на почтовый сервер

УЦ; − при вручении лично или передачей иными способами – время получения.

4.9.16. Ограничение на срок приостановки Не устанавливается.

4.9.17. Обстоятельства возобновления сертификата Действие сертификата может быть возобновлено:

− по запросу собственника сертификата; − по решению УЦ.

4.9.18. Кто может подать запрос на возобновление сертификата Запрос на возобновление действия сертификата может быть подан: − собственником сертификата; − сотрудником УЦ, если он располагает достоверной информацией, требующей

возобновления действия сертификата, либо информацией об отсутствии причин для дальнейшего приостановления или отзыва.

29

4.9.19. Процедура рассмотрения запроса на возобновление сертификата Запрос на восстановление может быть подан в бумажной или электронной форме,

либо с использованием любых средств связи, но в любом случае с аутентификацией согласно подразделу 3.4. В любом случае запрос должен содержать серийный номер сертификата или иную информацию, позволяющую однозначно идентифицировать сертификат.

После получения запроса сотрудник УЦ производит верификацию запроса, и если таковая прошла успешно, то производит возобновление действия сертификата. После возобновления действия сертификата владелец такового уведомляется, а СОС, не содержащий информацию о приостановлении сертификата, публикуется.

Запрос рассматривается в течение 1 рабочего дня с момента его подачи. Временем подачи запроса считается: − при передаче по электронной почте – время передачи сообщения на почтовый сервер

УЦ; − при вручении лично или передачей иными способами – время получения.

4.10. Сервис статуса сертификата

4.10.1. Эксплуатационные характеристики Проверка статуса сертификатов должна быть доступна либо путем использования

СОС, доступных в репозитории (WEB-портале) УЦ при помощи протокола HTTP, либо путем использования OCSP-службы.

4.10.2. Доступность сервиса Комплексом организационно-технических мер обеспечивается требуемые показатели

доступности WEB-портала. СОС публикуются по следующим URL-адресам: http://www.ncarf.ru/download/zaonucpak2.crl http://cdp.ncarf.ru/download/zaonucpak2.crl http://www.ncarf.ru/download/zaonucpak2-1.crl http://cdp.ncarf.ru/download/zaonucpak2-1.crl http://www.ncarf.ru/download/zaonucpak3.crl http://cdp.ncarf.ru/download/zaonucpak3.crl

4.10.3. Дополнительные возможности Не предусмотрено.

4.11. Прекращение использования услуг Клиент может отказаться от услуг УЦ следующим образом:

− отказавшись от обновления сертификата по истечению срока его действия; − подав запрос на отзыв своего сертификата до истечения срока действия без выдачи

нового.

4.12. Депонирование и возврат ключей УЦ не осуществляет депонирование и возврат ключей.

30

4.12.1. Методы и политика депонирования и возврат ключей Не предусмотрено.

4.12.2. Методы и политика инкапсуляции и восстановления сессионного ключа Не предусмотрено.

5. Организационные, эксплуатационные и физические меры обеспечения безопасности

В настоящем разделе описываются меры защиты информационных ресурсов УЦ,

порядок эксплуатации средств защиты, а также порядок действий обслуживающего персонала УЦ.

5.1. Физические меры обеспечения безопасности Физические меры обеспечения безопасности определяются договором аренды

нежилых помещений, предусматривающим наличие поста охраны при входе в здание, в котором расположены арендуемые помещения.

5.1.1. Размещение и организация рабочей площадки Все компоненты УЦ находятся в специализированных помещениях с ограниченным

доступом, оборудованных для предотвращения и определения не авторизованного доступа, использования или раскрытия конфиденциальной информации.

5.1.2. Физический доступ Физический доступ к компонентам УЦ защищен как минимум двумя уровнями

доступа. На каждом уровне доступа осуществляется проверка разрешения на доступ. Контроль доступа к программным компонентам УЦ осуществляется с

использованием двухфакторной аутентификации, включая использование аппаратных носителей ключевой информации.

5.1.3. Электропитание Аппаратное обеспечение УЦ обеспечено источниками бесперебойного

электропитания, обеспечивающими их штатное функционирование.

5.1.4. Кондиционирование и влажность Требования по кондиционированию и влажности в помещениях соответствуют

техническим условиям эксплуатации аппаратного обеспечения.

5.1.5. Пожарная безопасность Меры пожарной безопасности соответствуют требованиям руководящего документа

«Пожарная охрана предприятий. Общие требования».

5.1.6. Хранение носителей информации Вся информация, подлежащая архивному хранению хранится в специально

оборудованном архивохранилище, доступ к которому имеет ограниченный круг лиц.

31

5.1.7. Уничтожение информации Все носители информации, содержащие важную информацию, после окончания

срока хранения подлежат уничтожению путем физического уничтожения носителей информации.

5.1.8. Внешнее архивное хранение Не предусмотрено.

5.2. Процессуальные меры обеспечения безопасности

5.2.1. Доверенные роли Доверенные роли представлены как минимум следующими ролями:

− оператор УЦ; − удаленный оператор УЦ; − оператор СОС; − системный администратор; − администратор УЦ; − администратор безопасности.

5.2.2. Количество сотрудников, требуемое для выполнения операций Все операции, за исключением генерации ключей уполномоченного лица УЦ (ключи

ЦС, OCSP-службы, TSP-службы), могут выполняться в индивидуальном порядке и не требуют коллегиальности. Для генерации ключей ЦС, OCSP-службы, TSP-службы необходимо участие как минимум двух сотрудников.

5.2.3. Идентификация и аутентификация для каждой роли Первичная аутентификация и идентификация сотрудника осуществляется при

приеме на работу с использованием общепринятых документов удостоверяющих личность. Доступ к программно-аппаратному обеспечению осуществляется в соответствии с полученной ролью. Аутентификация и идентификация должностных лиц производится с использованием программно-аппаратных средств аутентификации.

5.2.4. Роли, требующие разделения обязанностей Роль администратора безопасности не может быть объединена ни с одной из ролей.

5.3. Управление персоналом

5.3.1. Требования к квалификации, опыту и допуску к секретным материалам К персоналу, выполняющему доверенные роли, как минимум предъявляются

следующие требования: − лояльность; − понимание и соблюдение политик безопасности; − необходимая подготовка для выполнения своих обязанностей.

5.3.2. Процедуры проверки на соответствие общим требованиям При назначении сотруднику доверенной роли он проходит процедуру проверки в

соответствии требованиям раздела 5.3.1.

5.3.3. Требования к профессиональной подготовке Программа подготовки сотрудников включает следующее:

− концепция PKI, в объемах необходимых для выполнения служебных обязанностей;

32

− должностные обязанности; − политики и процедуры безопасности и деятельности; − использование и эксплуатация развернутого аппаратного и программного

обеспечения.

5.3.4. Требования и частота переподготовки Переподготовка персонала осуществляется в объемах и с частотой, необходимых для

поддержания и совершенствования сотрудниками их квалификации и успешного выполнения функциональных обязанностей.

5.3.5. Частота и последовательность кадровых перемещений Нет условий.

5.3.6. Санкции за неправомочные действия Любые неправомочные действия персонала влекут за собой санкции в соответствии с

действующим законодательство Российской Федерации. Любые неправомочные действия клиента могут наказываться немедленным

прекращением договорных отношений, в том числе отзывом сертификата, а так же преследоваться в соответствии с законодательством Российской Федерации.

5.3.7. Требования для независимых подрядчиков Независимый подрядчик может обладать только ролью удаленного оператора УЦ. Ко всем лицам, выполняющим доверенные роли, но не являющимися сотрудниками

УЦ, предъявляются такие же требования, как и к сотрудникам УЦ.

5.3.8. Обеспечение персонала документацией УЦ обеспечивает своих сотрудников необходимой документацией для успешного

выполнения их должностных обязанностей.

5.4. Процедуры регистрации событий

5.4.1. Типы регистрируемых событий Регистрации подлежат следующие типы событий:

− события жизненного цикла ключей УЦ, включая генерацию, резервное копирование, восстановление, архивацию и уничтожение;

− события жизненного цикла сертификатов, включая: − заявление на сертификат, обновление сертификата, обновление ключей и отзыв; − результат обработки заявления на сертификат; − выпуск сертификатов и СОС;

− события, влияющие на безопасность: − все неудачные попытки выполнить какие-либо действия; − попытки доступа к компонентам УЦ каким-либо образом; − действия, осуществляемые персоналом; − аварии программно-аппаратного обеспечения и другие аномалии; − изменение профилей; − деятельность межсетевых экранов. Запись о регистрации события должна содержать следующую информацию:

− дата и время события; − кто создал запись; − тип события.

33

5.4.2. Частота обработки журналов регистрации событий Файлы аудита проверяются администратором безопасности не реже одного раза в

неделю. Так же журналы аудита просматриваются в случаях подозрительной или необычной активности, а так же при возникновении критических ситуаций. Обработка журналов аудита должна включать просмотр событий и верификацию того, что записи в журналах не были изменены или подделаны.

5.4.3. Срок хранения журналов регистрации событий Минимальный срок хранения журналов аудита составляет 1 месяц.

5.4.4. Защита журналов регистрации событий Доступ к журналам регистрации имеют:

− Системный администратор; − Администратор УЦ; − Администратор безопасности.

Журналы аудита защищаются системой регистрации событий от неавторизованного доступа, модификации, изменения, удаления или порчи.

5.4.5. Процедуры резервного копирования журналов регистрации событий Резервное копирование журналов регистрации событий осуществляется в

соответствии с общими процедурами резервного копирования.

5.4.6. Система регистрации событий Данные об автоматически регистрируемых событиях записываются приложениями и

операционными системами. Данные о событиях, регистрируемых вручную, записываются персоналом УЦ.

5.4.7. Оповещение субъекта, явившегося причиной события Не производится.

5.4.8. Оценка уязвимости Оценка уязвимости систем производится в ходе проведения обработки журналов

регистрации событий.

5.5. Архивные записи

5.5.1. Состав архивируемой информации Обязательному архивному хранению подлежит:

− заявления на выпуск, отзыв, приостановление и возобновление сертификата, сопутствующая информация;

− выпущенные сертификаты; − журналы регистрации событий; − реестр выпущенных СОС; − документация удостоверяющего центра; − внутренняя и внешняя корреспонденция.

5.5.2. Срок хранения архивной информации Для архивной информации минимальный срок хранения равен 5 годам. После окончания срока хранения информация уничтожается путем физического

уничтожения носителей информации. Выделение архивных документов к уничтожению и

34

уничтожение осуществляется постоянно действующей комиссией, формируемой из числа сотрудников и назначаемой приказом руководителя УЦ.

5.5.3. Защита архива Архивные документы и информация на отчуждаемых носителях хранятся в

специально оборудованном помещении – архивохранилище, обеспечивающим режим хранения архивных документов, устанавливаемый законодательством Российской Федерации. Защита от модификации, удаления и разглашения архивной информации осуществляется методами и средствами ограничения доступа.

5.5.4. Процедура резервного копирования архива Нет условий.

5.5.5. Требования к штампу времени архивных записей Не предусмотрено.

5.5.6. Система архивного хранения Применяется внутренняя система архивного хранения.

5.5.7. Процедура получения и верификации архивной информации Доступ к архиву разрешен только сотрудникам, обладающим доверенной ролью.

Доступ иным субъектам разрешается только по решению руководителя УЦ. При получении информации производится контроль ее целостности.

5.6. Замена ключей УЦ при плановом обновлении ключевых пар компонент УЦ должен осуществить

данную процедуру прозрачно для клиентов и пользователей и без нарушения работоспособности системы.

5.7. Восстановление при компрометации и аварии

5.7.1. Действия при происшествии и компрометации Все участники ИОК должны быть оповещены в случаях компрометации ключей

электронной подписи компонент УЦ (ЦС, OCSP-службы, TSP-службы) или происшествий, влияющих на штатное функционирование подсистемы.

В случае компрометации УЦ в коммерчески оправданные сроки приступает к функционированию с использованием новых ключевых пар.

В случае выхода из строя по каким-либо причинам каких-либо компонент УЦ осуществляется их восстановление из резервных копий. Обязательному резервному копированию подлежит следующая информация: − заявления и сопутствующая информация; − реестр выпущенных сертификатов; − журналы регистрации событий.

Резервное копирование ключей УЦ осуществляется согласно пункту 6.2.4.

5.7.2. Повреждение компьютерных ресурсов, программного обеспечения и/или данных

В случае повреждения (подозрения в повреждении) компьютерных ресурсов, программного обеспечения и/или данных УЦ восстанавливает работоспособность, используя резервные копии.

35

Все субъекты, на которых отражается произошедшая авария или сбой немедленно извещаются. По окончанию восстановления все субъекты, чьи интересы были затронуты аварией или сбоем оповещаются о восстановлении.

5.7.3. Процедура восстановления в случае компрометации ключа электронной подписи субъекта

В случае компрометации ключа электронной подписи уполномоченного лица Центра сертификации осуществляется отзыв его сертификата, а так же оповещение всех субъектов ИОК о компрометации доступными методами.

В случае компрометации ключей, клиент обязан немедленно оповестить УЦ о факте компрометации. УЦ осуществляет отзыв такого сертификата в соответствие с порядком, указанным в разделе 4.9.3.

5.7.4. Возможность непрерывности функционирования после бедствий Непрерывность функционирования после бедствий обеспечивается мерами,

указанными в «Регламент восстановления работоспособности компонент УЦ».

5.8. Прекращение деятельности УЦ Деятельность УЦ прекращается в соответствии с порядком прекращения

деятельности удостоверяющего центра, определенным действующим законодательством в области электронной подписи. Кроме того, УЦ оповещает всех клиентов и пользователей о прекращении своей деятельности. Все претензии со стороны клиентов принимаются в соответствии с заключенным договором.

В случае прекращения деятельности Центра регистрации его текущие работы и архивы передаются в УЦ, а клиенты этого Центра регистрации оповещаются.

6. Технические меры обеспечения безопасности

6.1. Генерация и инсталляция ключевых пар

6.1.1. Генерация ключевых пар Генерация ключевых пар может производиться клиентом самостоятельно или УЦ.

Генерация ключевых пар осуществляется на ключевые носители, требования к которым приведены в разделе 6.2.1.

6.1.2. Передача ключа электронной подписи клиенту В случае если генерация ключевой пары осуществляется УЦ, то передача ключа

электронной подписи осуществляется путем передачи ключевого носителя клиенту. Ключевой носитель передается способом гарантирующим конфиденциальность ключа электронной подписи.

6.1.3. Передача ключа проверки электронной подписи издателю сертификата Клиент может передать ключ проверки электронной подписи в УЦ следующими

способами: − в составе запроса формата PKCS#10 по защищенному каналу связи, обеспечивающему

аутентификацию клиента и целостность передаваемого запроса; − в составе подписанного запроса формата PKCS#10; при этом запрос подписывается с

применением ключа электронной подписи, соответствующего действующему сертификату клиента;

− лично сотруднику УЦ с предъявлением документов удостоверяющих личность.

36

При создании запроса на сертификат оператором УЦ дополнительных требований к передаче ключа проверки электронной подписи не предъявляется.

6.1.4. Передача ключа проверки электронной подписи центра сертификации пользователям

Ключи проверки электронной подписи ЦС содержится в сертификатах пользователей. Сертификаты ЦС опубликованы в репозитории на WEB-портале по URL-адресам:

http://www.ncarf.ru/download/zaonucpak2.cer http://www.ncarf.ru/download/zaonucpak2-1.cer http://www.ncarf.ru/download/zaonucpak3.cer Размеры ключей Длина ключей электронной подписи следующая:

− ключ электронной подписи - 256 бит; − ключ проверки электронной подписи - 256 бит (ГОСТ Р 34.10-2012).

Длина ключей электронной подписи, используемых для шифрования должна быть следующей: − сессионный ключ для шифрования по ГОСТ 28147-89 - 256 бит; − ключ электронной подписи - 256 бит; − ключ проверки электронной подписи - 256 бит (ГОСТ Р 34.10-2012).

6.1.5. Генерация параметров ключа проверки электронной подписи и проверка качества

Не применяется.

6.1.6. Цели использования ключей В соответствии с пунктом 7.1.2.3.

6.2. Защита ключа электронной подписи и технический контроль криптографических модулей

6.2.1. Стандарты и контроль криптографических модулей Формирование ключей электронной подписи производится на следующие типы

носителей: − процессорные карты MPCOS-EMV, российские интеллектуальные карты (РИК),

интеллектуальные карты "Оскар" с использованием считывателей смарт-карт, поддерживающий протокол pS/SC (GemPlus GCR-410, Towitoko, Oberthur OCR126);

− таблетки Touch-Memory DS1993 – DS1996 с использованием устройств Аккорд 4+, электронный замок "Соболь" или устройство чтения таблеток Touch-Memory DALLAS;

− электронные ключи с интерфейсом USB; − сменные носители с интерфейсом USB; − реестр ОС Windows.

Создание копий ключей электронной подписи на компьютере при использовании отчуждаемого носителя для хранения ключей недопустимо.

37

6.2.2. Контроль ключа электронной подписи несколькими лицами Использование ключа электронной подписи несколькими лицами допускается

только с письменного согласия владельца ключа, в котором при необходимости указывается ограничения его использования.

6.2.3. Депонирование ключа электронной подписи Депонирование ключа электронной подписи допус при условии использования

сертифицированных средств хранения ключевой информации.

6.2.4. Резервная копия ключа электронной подписи Резервное копирование и хранение резервных копий ключей электронной подписи

компонент УЦ осуществляется с использованием методов и средств, обеспечивающих уровень защищенности не меньше уровня защищенности ключевого носителя.

6.2.5. Архивация ключа электронной подписи УЦ обеспечивает архивное хранение ключевой пары своих компонент (ЦС, OCSP-

служба, TSP-служба) на протяжении минимум 5 лет после окончания их срока действия. Архивная копия ключевой пары хранится в архивохранилище. По окончании срока хранения архивная копия уничтожается в соответствии с пунктом 6.2.10.

6.2.6. Перенос ключа электронной подписи из/в криптографический модуль Перенос ключа электронной подписи из/в криптографического модуля

осуществляется методами, гарантирующими его нераспространение.

6.2.7. Хранение ключа электронной подписи в криптографическом модуле Ключ электронной подписи ЦС хранится в криптографическом модуле в

зашифрованном виде.

6.2.8. Метод активации ключа электронной подписи Активация ключа электронной подписи может осуществляться только его

владельцем. Для активации ключа электронной подписи должны использоваться данные

активации, удовлетворяющие требованиям подраздела 6.4. Активация ключа электронной подписи должна производиться на ограниченный период времени.

6.2.9. Метод деактивации ключа электронной подписи Деактивация ключа электронной подписи должна производиться либо

автоматически, либо путем отключения ключевого носителя.

6.2.10. Метод уничтожения ключа электронной подписи После окончания срока действия или архивного хранения, если таковое

осуществляется, ключ электронной подписи уничтожается методами, гарантирующими невозможность его восстановления.

6.2.11. Оценка криптографических модулей См. раздел 6.2.1.

38

6.3. Другие аспекты управления ключевой парой

6.3.1. Архивация ключа проверки электронной подписи Ключ проверки электронной подписи архивируется в составе сертификата в

соответствии с подразделом 5.5.

6.3.2. Сроки действия сертификата и использования ключевой пары Срок действия сертификата и ключевой пары составляет:

− для сертификатов клиентов — не более 1 года; − для сертификатов ЦС — 3 года; − для сертификатов OCSP-службы — 6 месяцев; − для сертификатов TSP-службы — 1 год.

6.4. Данные активации

6.4.1. Генерация и инсталляция данных активации Данные активации используются для защиты ключевых носителей. Данные

активации создаются перед генерацией ключевой пары. УЦ может не осуществлять создание данных активации для клиентов.

В качестве данных активации могут быть использованы: − пароль, PIN; − биометрическая информация; − системы строгой двухфакторной аутентификации.

Для всех политик применения сертификатов пароль (PIN) должен отвечать следующим требованиям: − известен только владельцу; − длина не менее 8 символов; − мощность алфавита не менее 10 символов; − не должен содержать слов, словосочетаний, имен и т.п.

6.4.2. Защита данных активации Данные активации должны защищаться от потери, порчи, неавторизованного

использования или раскрытия.

6.4.3. Другие аспекты, относящиеся к данным активации Передача или уничтожение данных активации должны осуществляться методами,

обеспечивающими невозможность потери, кражи, разглашения, порчи, модификации или неавторизованного использования.

6.5. Средства управления безопасностью вычислительной техники

6.5.1. Особые технические требования по безопасности вычислительной техники Используемая вычислительная техника обеспечивает сохранность и защиту данных

УЦ и ключей электронной подписи от уничтожения, порчи, модификации, разглашения или неавторизованного использования.

6.5.2. Оценка безопасности вычислительной техники Программное обеспечение, осуществляющее работу с ключевой информацией,

сертифицировано ФСБ РФ.

39

6.6. Технические средства управления жизненным циклом

6.6.1. Средства управления разработкой системы Нет условий.

6.6.2. Средства управления организацией безопасности УЦ использует механизмы проверки безопасной конфигурации и целостности

используемых систем.

6.6.3. Средства управления безопасностью жизненного цикла Нет условий.

6.7. Средства управления сетевой безопасностью УЦ использует средства сетевой безопасности, предотвращающие неавторизованный

доступ к информации, и защищающие от атак.

6.8. Метки времени Сертификаты и списки отзыва сертификатов содержат информацию о дате и

времени. УЦ синхронизирует все программные и технические средства по UTC с учетом часового пояса.

7. Структура сертификатов, СОС, OCSP-ответов и TSP-ответов

7.1. Структура сертификата Структура сертификата должна соответствовать требованиям Приказа ФСБ от 27

декабря 2011 г. N 795 [27.2.2.4.2]. Все издаваемые сертификаты содержат следующие базовые поля:

− Serial Number - уникальный серийный (регистрационный) номер сертификата в Реестре сертификатов УЦ;

− Signature Algorithm - объектный идентификатор алгоритма, используемого для подписи сертификата;

− Issuer - отличительное имя ЦС или идентификационные данные Уполномоченного лица УЦ;

− Valid From - дата начала действия сертификата;

− Valid To - дата окончания действия сертификата;

− Subject - идентификационные данные владельца сертификата;

− Subject Public Key - ключ проверки электронной подписи владельца сертификата;

− Version - версия структуры сертификата формата X.509;

− Signature - ЭП Уполномоченного лица УЦ.

7.1.1. Номер версии Версия издаваемых сертификатов не ниже 3.

7.1.2. Расширения сертификата В издаваемых сертификатах могут использоваться только перечисленные в данном

разделе расширения. В случае если значение какого-либо поля (флага) перечисленных

40

расширений не определено данным документом, УЦ вправе определить значение данного поля для издаваемых сертификатов в соответствии с требованиями X.509 и RFC 5280.

7.1.2.1. Authority Key Identifier Данное расширение обязательно для всех сертификатов, за исключением

самоподписанных (сертификатов ЦС), и является некритическим. Это расширение должно обязательно содержать поле keyIdentifier, в котором содержится идентификатор ключа проверки электронной подписи издателя. Остальные поля не обязательны.

7.1.2.2. Subject Key Identifier Данное расширение должно присутствовать во всех сертификатах, являться

некритическим и содержит идентификатор ключа проверки электронной подписи владельца сертификата.

7.1.2.3. KeyUsage Данное расширение должно присутствовать во всех сертификатах и быть

критическим. Значение полей расширения KeyUsage:

Поле Сертификат ЦС Сертификаты клиентов

digitalSignature 0 0/1 nonRepudiation 0 0/1 keyEncipherment 0 0/1 dataEncipherment 0 0/1 keyAgreement 0 0/1 keyCertSign 1 0 CRLSign 1 0 encipherOnly 0 0/1 decipherOnly 0 0/1

7.1.2.4. Certificate Policies Данное расширение должно присутствовать во всех сертификатах клиентов,

содержать объектные идентификаторы ППС, в соответствии с которыми он выдан. Для сертификата Центра сертификации рекомендуется использование данного расширения, но в случае отсутствия такового в сертификате ЦС считается, что такой сертификат выпущен для любой политики. Идентификаторы политик сертификата используются в соответствии с разделами 7.1.6. и 7.1.8. Расширение является некритическим.

7.1.2.5. Policy Mappings Данное расширение может использоваться только в кросс-сертификатах и быть

некритическим.

7.1.2.6. Basic Constraints Расширение должно содержится сертификате ЦС и является критическим. Значение

флага cA установлено в 1 (true). Расширение сертификата ЦС так же содержит поле pathLenConstraint, значение которого установлено в 0 (ноль).

7.1.2.7. Name Constraints Используется в соответствии с разделом 0.

41

7.1.2.8. Policy Constraints Используется в соответствии с разделом 7.1.7.

7.1.2.9. CRL Distribution Points Данное расширение должно содержаться во всех сертификатах клиентов, быть

некритическим и содержать последовательность точек доступа к списку аннулированных сертификатов ЦС; список точек доступа приведен в разделе 4.10.2.

7.1.2.10. Inhibit Any-Policy Данное расширение может содержаться только в кросс-сертификатах, и в случае

использования должно быть критическим.

7.1.2.11. Authority Information Access Расширение должно присутствовать во всех сертификатах клиентов быть

некритическим и содержать URL-адрес точки публикации сертификата Центра сертификации в соответствии с разделом 6.1.4. и URL-адреса OCSP-служб в соответствии с разделом 4.9.9.

7.1.2.12. Extended Key Usage Данное расширение присутствует в сертификатах клиентов и является

некритическим. Расширение содержит объектные идентификаторы областей использования

сертификатов, предусмотренных ППС, в соответствие с которыми выпущен сертификат.

7.1.3. Объектные идентификаторы криптографических алгоритмов Все участники ИОК должны использовать в своей работе криптографические

алгоритмы с объектными идентификаторами соответствующими RFC 3279, RFC 4491.

7.1.4. Формы имен В сертификате поля идентификационных данных Уполномоченного лица

Удостоверяющего центра и владельца сертификата содержат атрибуты имени формата X.500.

7.1.5. Ограничения имен Обязательными атрибутами поля идентификационных данных уполномоченного

лица УЦ являются: Common Name: Наименование юридического лица, являющегося владельцем

Удостоверяющего центра Organization: Наименование юридического лица, являющегося владельцем

Удостоверяющего центра Organization Unit: Наименование подразделения, сотрудником которого

является уполномоченное лицо Удостоверяющего центра Email: Адрес электронной почты

Country: буквенный код страны (например, RU) State: Субъект Российской Федерации, где зарегистрирована

организация, являющейся владельцем Удостоверяющего центра

Обязательными атрибутами поля идентификационных данных владельца

сертификата, представляющего собственные интересы, являются: Common Name: Фамилия, имя, отчество

42

Email: Адрес электронной почты Country: буквенный код страны (например, RU)

Обязательными атрибутами поля идентификационных данных владельца

сертификата, представляющего интересы юридического лица, являются: Common Name: Наименование юридического лица, которого представляет

владелец сертификата Organization: Наименование юридического лица, которого представляет

владелец сертификата Organization Unit: Наименование подразделения организации, сотрудником

которого является владелец сертификата Email: Адрес электронной почты

Country: буквенный код страны (например, RU) State: Субъект Российской Федерации, где зарегистрирована

организация, которую представляет владелец сертификата

7.1.6. Объектные идентификаторы применяемых ППС Объектные идентификаторы политик применения сертификатов перечислены в

Приложении 2 настоящего Регламента УЦ. В сертификате ЦС может использоваться OID 2.5.29.32.0, обозначающий любую политику.

7.1.7. Использование расширения Policy Constraints Нет условий.

7.1.8. Семантика и синтаксис квалификаторов политики Нет условий.

7.1.9. Обработка семантики критического расширения Certificate Policies Нет условий.

7.2. Структура списков аннулированных сертификатов Структура списков аннулированных сертификатов должна соответствовать RFC 5280

"Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile".

Списки аннулированных сертификатов содержат следующие основные поля: − Version – версия структуры СОС формата X.509;

− Signature Algorithm - объектный идентификатор алгоритма, используемого для подписи CRL;

− Signature - ЭП Уполномоченного лица УЦ.

− Issuer - отличительное имя ЦС или идентификационные данные Уполномоченного лица УЦ;

− This Update - дата и время выпуска текущего CRL;

− Next Update - дата и время планового выпуска следующего CRL;

− Next Publication - дата и время следующей плановой публикации CRL;

43

− Revoked Certificates - список аннулированных (отозванных) сертификатов, включающий серийный номер сертификата и дату отзыва. Данное поле может отсутствовать, если нет отозванных сертификатов.

7.2.1. Номер версии Все издаваемые СОС версии 2.

7.2.2. Расширения CRL и элементов CRL

7.2.2.1. Authority Key Identifier Идентификатор ключа Центра сертификации, которым подписан данный СОС.

7.2.2.2. CRL Number Некритическое рекомендуемое расширение, содержащее порядковый номер СОС.

7.2.2.3. Reason Code Некритическое рекомендуемое расширение элемента CRL, содержащее причину

отзыва сертификата.

7.2.2.4. Invalidity Date Не применяется.

7.3. Структура OCSP-ответа Все ответы OCSP-службы (OCSP-ответы) содержат следующие поля:

− Version - версия структуры OCSP-ответа;

− Status - статус OCSP-ответа;

− Signature algorithm - объектный идентификатор алгоритма, используемого для подписи OCSP-ответа;

− HasNonce - указатель на наличие идентификатора OCSP-ответа;

− id-pkix-ocsp-nonce - идентификатор OCSP-ответа;

− ProducedAt - дата и время подписания OCSP-ответа OCSP-службой;

− Extensions - не применяется;

− Certificate of signer of OCSP response - идентификационные данные владельца сертификата OCSP-службы;

− Verification of certificate of signer of OCSP response - результат проверки сертификата OCSP-службы;

− Verification of OCSP response - результат проверки ЭП OCSP-службы.

− Single responses - количество проверяемых сертификатов в запросе, для каждого из которых:

o Hash algorithm - идентификатор алгоритма хеширования;

o Serial number - серийный номер сертификата;

o Issuer key hash - хеш отличительного имени ЦС или идентификационных данных Уполномоченного лица УЦ;

o Issuer name hash - хеш ключа проверки электронной подписи ЦС;

44

o Certificate status - результат проверки статуса сертификата;

o RevTime - дата и время отзыва сертификата;

o RevReason - причина отзыва сертификата;

o ThisUpdate - дата и время, на которые была осуществлена проверка сертификата;

o NextUpdate - дата и время, не позднее которых будет доступна более новая информация о статусе сертификата (если дата и время не указаны, то информация доступна постоянно);

o Archive cutoff - не применяется;

o Extensions - не применяется;

o Verification of single response - результат проверки OCSP-ответа;

o Certificates from OCSP response - сертификат OCSP-службы.

7.3.1. Номер версии Версия структуры OCSP-ответа - 1.

7.3.2. Тип OCSP-ответа OCSP-служба УЦ формирует OCSP-ответы базового типа.

7.3.3. Сертификат OCSP-службы В OCSP-службе для подписания OCSP-ответов применяется сертификат, расширение

Extended Key Usage которого содержит идентификатор 1.3.6.1.5.5.7.3.9 (Подписание OCSP).

7.4. Структура штампа времени Все ответы TSP-службы (штампы времени) содержат следующие поля:

− Policy ID - идентификатор политики, в соответствии с которой выпущен штамп времени;

− Serial Number - серийный номер (идентификатор) штампа времени;

− Accuracy (microseconds) - точность часов TSP-службы, мкс;

− Ordering: 0

− HasNonce: 1

− TSA - идентификационные данные TSP-службы;

− Stamp time - дата и время подписания штампа времени TSP-службой;

− Hash algorithm - идентификатор алгоритма хеширования;

− Hash size - размер хеша, байт;

− Hash - значение хеша;

− Certificate of signer of time-stamp: идентификационные данные владельца сертификата TSP-службы;

− Verification of time-stamp: результат проверки штампа времени.

− Verification of certificate of signer of time-stamp: результат проверки сертификата оператора TSP-службы.

− Certificates from time-stamp (1):

45

− CN=Оператор TSP, OU=УЦ, O=ЗАО «Национальный удостоверяющий центр», L=Москва, S=77 г. Москва, C=RU, E=info@ncarf.ru

7.4.1. Номер версии Версия структуры TSP-ответа - 1.

7.4.2. Сертификат TSP-службы В TSP-службе для подписания TSP-ответов применяется сертификат, расширение

Extended Key Usage которого содержит идентификатор 1.3.6.1.5.5.7.3.8 (Установка отметки времени).

8. Аудит соответствия и другие оценки

8.1. Частота и условия оценки Аудит УЦ проводится на основании утвержденной методики аудита. Внутренний и внешний аудит УЦ проводится по решению руководства УЦ.

8.2. Идентификация и квалификация эксперта Внутренний аудит проводится администратором безопасности УЦ. Внешний аудит проводится независимой организацией, соответствующей

следующим требованиям: − имеет опыт эксплуатации информационных систем на основе технологий PKI и

информационной безопасности, а так же опыт в проведении аудита безопасности; − имеет не менее двух специалистов, имеющих высшее образование или прошедших

переподготовку по специальности «Защита информации».

8.3. Отношение эксперта к оцениваемому Для проведения внешнего аудита привлекается организация организационно или

юридически независимая от УЦ.

8.4. Темы, охватываемые оценкой Область вопросов, рассматриваемая при проведении аудита:

− физическая безопасность УЦ; − аутентификация и идентификация; − услуги УЦ; − безопасность программного обеспечения и доступа к сети; − обеспечение персональной безопасности сотрудников; − ведение журналов событий и мониторинга системы; − процедуры архивирования и резервного копирования.

8.5. Действия, предпринимаемые в результате недостатков Отчеты о проведенных внешних аудиторских проверках направляются

руководителю УЦ.

8.6. Сообщение результатов Нет условий.

46

9. Другие коммерческие и юридические вопросы

9.1. Оплата

9.1.1. Оплата выпуска или обновления сертификата Оплата выпуска и обновления сертификата осуществляется в соответствии с

тарифами, утверждаемыми Генеральным директором.

9.1.2. Оплата доступа к сертификатам Оплата доступа к сертификатам не предусмотрена.

9.1.3. Оплата информации об отзыве или статусе сертификата Оплата информации об отзыве или статусе сертификата не предусмотрена.

9.1.4. Оплата других услуг Оплата других услуг осуществляется в соответствии с тарифами, утверждаемыми

Генеральным директором.

9.1.5. Политика возврата платежей Нет условий.

9.2. Финансовая ответственность

9.2.1. Страховое обеспечение Нет условий.

9.2.2. Иные активы Нет условий.

9.2.3. Сфера действия страхования или гарантии для клиентов Нет условий.

9.3. Конфиденциальность коммерческой информации

9.3.1. Информация, являющаяся конфиденциальной Конфиденциальной информацией считается:

− ключ электронной подписи; − персональная и корпоративная информация клиентов, содержащаяся в УЦ и не

подлежащая непосредственной рассылке в качестве части сертификата ключа проверки электронной подписи или СОС;

− информация, хранящаяся в журналах аудита УЦ; − отчетные материалы по выполненным проверкам деятельности УЦ; − информация о способах и порядке защиты аппаратного и программного обеспечение,

способах администрирования и действий на случай непредвиденных ситуаций; − документы с грифом «для служебного пользования» или «конфиденциально».

47

9.3.2. Информация, не являющаяся конфиденциальной Информация, не являющейся конфиденциальной информацией является открытой

информацией. Открытая информация может публиковаться по решению УЦ. Место, способ и время публикации также определяется решением УЦ.

Информация, включаемая в сертификаты и СОС, издаваемые УЦ, не считается конфиденциальной. Подразумевается, что клиент, знает, какая информация будет содержаться в сертификате, и согласен с ее публикацией.

Вся информация, подлежащая публикации в соответствии с данным Регламентом УЦ так же не считается конфиденциальной.

9.3.3. Обязательства по защите конфиденциальной информации Все участники должны не раскрывать и всячески препятствовать раскрытию

конфиденциальной информации, каким бы то ни было третьим лицам за исключением случаев, требующих ее раскрытия в соответствии с действующим законодательством или при наличии судебного постановления.

9.4. Конфиденциальность персональной информации

9.4.1. Обеспечение конфиденциальности персональной информации УЦ осуществляет защиту персональных данных клиентов в соответствии с

законодательством Российской Федерации.

9.4.2. Информация, рассматриваемая как персональная Информация, определенная как таковая в соответствии с текущим

законодательством, за исключением информации, которая должна публиковаться в соответствии с действующим законодательством в области электронной подписи.

9.4.3. Информация не рассматриваемая как персональная Вся информация не являющаяся персональной.

9.4.4. Обязательство по защите персональных данных УЦ защищает персональные данные клиентов и всячески препятствует их

раскрытию третьим лицам.

9.4.5. Предупреждение и согласие на использование персональных данных Любое использование персональных данных возможно только с согласия их

владельца. Заявление на сертификат считается согласием на использование указанных в заявлении персональных данных в сертификате.

9.4.6. Раскрытие в соответствии с судебным или административным процессом Раскрытие персональных данных осуществляется в соответствии с текущим

законодательством Российской Федерации.

9.4.7. Иные условия раскрытия информации Нет условий.

9.5. Права на интеллектуальную собственность ЗАО «Национальный удостоверяющий центр» является собственником всех

документов, программно-технических средств и информационных ресурсов, которые созданы за счет средств ЗАО «Национальный удостоверяющий центр», приобретены на законных основаниях, получены в порядке дарения или наследования.

48

Вся продукция, в том числе и интеллектуального характера, произведенная сотрудниками ЗАО «Национальный удостоверяющий центр» при выполнении ими своих служебных обязанностей, является собственностью ЗАО «Национальный удостоверяющий центр», если отдельным договором не предусмотрен иной режим произведенной продукции.

ЗАО «Национальный удостоверяющий центр» является обладателем исключительных прав на все созданные им объекты интеллектуальной собственности, в соответствии с законодательством Российской Федерации.

Все торговые марки, лицензии, графические символы и прочее используемое ЗАО «Национальный удостоверяющий центр» являются интеллектуальной собственностью их владельцев. ЗАО «Национальный удостоверяющий центр» согласно с возможностью отображения соответствующих логотипов и торговых марок, при предоставлении своих услуг, если этого требуют их владельцы.

9.6. Заявления и гарантии

9.6.1. Заявления и гарантии УЦ УЦ гарантирует:

− что его деятельность соответствует требованиям законодательства Российской Федерации;

− отсутствие каких-либо искажений или ошибок по вине сотрудников УЦ в выпущенных сертификатах и СОС;

− соответствие сертификата требованиям Политик применения сертификатов, в соответствии с которыми он выпущен;

− использование репозитория и услуг аннулирования (отзыва) в соответствии с данным регламентом. Соглашение с клиентом может включать дополнительные заявления и гарантии.

9.6.2. Заявления и гарантии Центра сертификации См. пункт 9.6.1.

9.6.3. Заявления и гарантии клиента Клиент гарантирует, что:

− вся информация, переданная клиентом в Заявлении на сертификат, является достоверной;

− ключ электронной подписи хранится в тайне и неавторизованный доступ к нему невозможен;

− сертификат используется только по назначению и в соответствии с требованиями настоящего Регламента УЦ и ППС, в соответствии с которыми сертификат выпущен;

− немедленно оповестит УЦ при компрометации ключа электронной подписи. Соглашение с клиентом может включать дополнительные заявления и гарантии.

9.6.4. Заявления и гарантии пользователя Используя сертификаты, пользователь сертификата гарантирует, что:

− использование сертификата осуществляется в соответствии с назначением, указанным в сертификате и требованиями настоящего Регламента УЦ;

− использование сертификата осуществляется только после проведения проверки ЭП сертификата и его статуса, показавшей его действительность, и в соответствие с Политиками применения сертификатов.

49

9.6.5. Заявления и гарантии других участников Нет условий.

9.7. Отказ от гарантий Нет условий.

9.8. Ограничение ответственности УЦ не несет ответственность за неисполнение своих обязательств по независящим от

него причинам. УЦ не несет ответственности в случае нарушения пользователями и клиентами

требований настоящего Регламента УЦ, Политик применения сертификатов и соответствующих соглашений.

Ответственность и ее пределы клиентов и пользователей должны быть включены в соответствующие соглашения.

9.9. Возмещение ущерба В рамках текущего законодательства УЦ может потребовать от клиента возмещение

ущерба в следующих случаях: − преднамеренного или случайного искажения или указания ложной информации

клиентом в Заявлении на выпуск сертификата; − компрометации ключа электронной подписи клиента; − использования клиентом имен или других объектов интеллектуальной собственности

нарушающих права интеллектуальной собственности третьей стороны. Соглашение с клиентом может включать дополнительные обязательства возмещения

ущерба. В рамках текущего законодательства УЦ может потребовать от пользователя

возмещение ущерба в следующих случаях: − доверия пользователя сертификату, который не является приемлемым в данных

условиях; − пользователь не произвел проверку статуса сертификата, если сертификат был отозван

или истек срок его действия. Соглашение с пользователем может включать дополнительные обязательства

возмещения ущерба.

9.10. Период и прекращение

9.10.1. Период Данный документ и его изменения считаются действующими с момента публикации

до момента прекращения его действия.

9.10.2. Прекращение Данный документ периодически исправляется и дополняется, оставаясь

действующим до публикации новой версии, уведомления о прекращении его действия или даты прекращения действия Политик применения сертификатов в таком уведомлении.

9.10.3. Результат прекращения действия и долговечность После завершения действия данного документа его требования продолжают

действовать для всех участников, использующих сертификаты УЦ, выпущенные в период действия данного документа, в течение всего срока действия таких сертификатов.

50

9.11. Индивидуальные уведомления и связь с участниками Участники ИОК могут использовать любые способы связи между собой, если каким-

либо соглашением не определено иное.

9.12. Изменения

9.12.1. Процедура изменения Изменения в данный регламент могут быть внесены Менеджером политик.

Изменения могут быть оформлены в виде измененного документа либо в виде обновления. Изменения и обновления публикуются.

9.12.2. Период и механизм оповещения ЗАО «Национальный удостоверяющий центр» и Менеджер политик оставляют за

собой право внести несущественные изменения в Регламент УЦ и Политики применения сертификатов без оповещения, например в случае исправления опечаток, ошибок, URL или изменения контактной информации. Решение о существенности или несущественности изменений выносится Менеджером политик по его усмотрению.

В случае если Менеджер политик считает, что необходимо немедленное существенное изменение Политик применения сертификатов для предотвращения или остановки нарушения безопасности ИОК или любой его части, он может сделать его и опубликовать, после чего оповестить участников.

За исключением вышеописанных случаев, Менеджер политик публикует предполагаемые изменения в виде проектов изменений доступных для обсуждения всеми участниками ИОК. Если в проекте изменения не указано иное, период обсуждения равен 14 суткам, начиная с момента публикации. Участники ИОК могут направлять свои замечания и комментарии Менеджеру политик в течение периода обсуждения.

Менеджер политик рассматривает каждое замечание или комментарий к предполагаемому изменению и выносит по нему решение о целесообразности его включения в проект изменения. В течение периода обсуждения Менеджер политик может отклонить предполагаемое изменение или внести в него изменения с продлением срока обсуждения или без такового. По окончанию периода обсуждения изменению присваивается порядковый номер, оно публикуется и считается действующим с момента публикации.

9.12.3. Обстоятельства, при которых OID должен быть изменен Если Менеджер политик определяет, что необходима замена OID документа, новое

обновление должно содержать новый OID.

9.13. Условия разрешения споров При возникновении споров стороны предпринимают все необходимые шаги для

урегулирования спорных вопросов, которые могут возникнуть в рамках настоящего документа, путем переговоров. Споры между сторонами, связанные с действием Политик применения сертификатов и не урегулированные в процессе переговоров, должны рассматриваться в Арбитражном суде в соответствии с действующим законодательством Российской Федерации.

9.14. Применяемое законодательство Для определения законности, толкования, интерпретации и исполнения положений

данного документа любой субъект права должен использовать законодательство Российской Федерации, вне зависимости от договорных отношений установленных или нет на территории Российской Федерации.

51

9.15. Соответствие применяемому законодательству Все участники должны руководствоваться законодательством Российской

Федерации, а так же руководящими документами контролирующих организаций в области ЭП, шифрования и экспорта/импорта программно-аппаратных средств и технической информации.

9.16. Разнообразные положения

9.16.1. Полнота соглашения Нет условий.

9.16.2. Передача прав и обязанностей Нет условий.

9.16.3. Делимость В случае если по решению суда какие-либо положения данного документа будут

признаны не имеющими юридической силы, оставшиеся положения все равно остаются действительными.

9.16.4. Правоприменение Нет условий.

9.16.5. Форс-мажор В рамках используемого законодательства, соглашения с клиентом и пользователем

должны включать форс-мажорные условия для защиты УЦ.

9.17. Другие положения Нет условий.

52

Приложение №1 к Регламенту. Перечень руководящих документов

1. Федеральный закон РФ от 06.04.2011 № 63-ФЗ «Об электронной подписи»; 2. Приказ ФСБ от 27 декабря 2011 г. N 795 «Об утверждении требований к форме

квалифицированного сертификата ключа проверки электронной подписи»; 3. Федеральный Закон РФ от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов

деятельности»; 4. Гражданский Кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ

(принят Государственной Думой РФ 21.10.1994) (действующая редакция); 5. Гражданский Кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ

(принят Государственной Думой РФ 22.12.1995) (действующая редакция); 6. Конституция Российской Федерации (принята всенародным голосованием

12.12.1993г.). 7. Положение о порядке разработки, производства, реализации и использования

шифровальных (криптографических) средств защиты информации. (ПКЗ-2005) (Утверждено Приказом ФСБ РФ от 09.02.2005 № 66);

8. Протокол координационного совещания по вопросам создания и развития системы удостоверяющих центров, г. Москва, 25 июня 2004 г.;

9. Декларация о сотрудничестве в составе объединения удостоверяющих центров; 10. Требования к заявителю на право установки (инсталляции), эксплуатации

сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню "С", утверждены руководством ФАПСИ 05.01.97;

11. Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. (Утверждено приказом ФАПСИ от 13.06.2001 №152);

12. RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP;

13. RFC 3279 Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile;

14. RFC 5280 Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile;

15. RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework;

16. RFC 7091 GOST R 34.10-2012: Digital Signature Algorithm; 17. ITU-T Recommendation X.509; 18. ITU-T Recommendation X.521.

53

Приложение №2 к Регламенту. Политики применения сертификатов Идентификатор ППС Краткое наименование

ППС Полное наименование ППС

1.2.643.3.203.1.2.1 Базовая ППС Сертификаты, требования к управлению жизненным циклом которых не отличается от требований настоящего Регламента УЦ

1.2.643.3.203.1.2.2 ППС Русагротранс Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» на портале Русагротранс@ONLINE

1.2.643.3.203.1.2.3 ППС Росздравнадзор Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в Федеральной службе по надзору в сфере здравоохранения и социального развития

1.2.643.3.203.1.2.4 ППС Минпромторг Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в Министерстве промышленности и торговли РФ

1.2.643.3.203.1.2.5 ППС ФСТ Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в Федеральной службе по тарифам

1.2.643.3.203.1.2.6 ППС Минэнерго Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в Министерстве энергетики РФ

1.2.643.3.203.1.2.7 ППС УФ Липецкой области

Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в Управлении финансов Липецкой области

1.2.643.3.203.1.2.8 ППС Росприроднадзор Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в Федеральной службе по

54

надзору в сфере природопользования

1.2.643.3.203.1.2.10 ППС ГОСЗАКАЗ Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» на электронных торговых площадках, отобранных для размещения государственного (муниципального) заказа при проведении открытых аукционов в электронной форме.

1.2.643.3.203.1.2.12 ППС ФТС Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в «Информационной системе таможенных органов РФ».

1.2.643.3.203.1.2.14 ППС Apple iOS Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр» в программно-аппаратных средах Apple iOS.

1.2.643.3.203.1.2.15 ППС в СЭД Русагротранс Политика применения сертификатов ключей проверки электронных подписей удостоверяющего центра ЗАО Национальный удостоверяющий центр» в системе электронного документооборота ЗАО "Русагротранс".

1.2.643.3.203.1.2.16 ППС Аутсорсинг УЦ Корпоративный клиент

Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР.

1.2.643.3.203.1.2.17 ППС Аутсорсинг УЦ Партнер

Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых партнером с применением АРМ удаленного оператора ЦР.

1.2.643.3.203.1.2.18 ППС Реестр запрещенных сайтов

Политика применения сертификатов ключей проверки электронных подписей ЗАО «Национальный удостоверяющий

55

центр» для запроса из Реестра запрещенных сайтов

1.2.643.3.203.1.2.19 ППС Android Политика применения сертификатов ключей проверки электронных подписей ЗАО «Национальный удостоверяющий центр» в программно-аппаратных средах Android

1.2.643.3.203.1.2.20 ППС «Др. Редди’с Лабораторис»

Политика применения сертификатов ключей проверки электронных подписей ЗАО «Национальный удостоверяющий центр» в «Системе электронного документооборота» ООО «Др. Редди’с Лабораторис»

1.2.643.3.203.1.2.21 ППС Банк Открытие Политика применения сертификатов ключей проверки электронных подписей ЗАО «Национальный удостоверяющий центр» в «Системе электронного документооборота» Банк Открытие

1.2.643.3.203.1.2.22 ППС МФЦ Политика применения сертификатов ключей проверки электронных подписей Национального удостоверяющего центра, вручаемых в Многофункциональных центрах предоставления государственных и муниципальных услуг

1.2.643.3.203.1.2.23 ППС Оператор ЭДО Политика применения сертификатов ключей проверки электронной подписи ЗАО «Национальный удостоверяющий центр», применяемых для подписания электронных документов при информационном взаимодействии между абонентами, Операторами ЭДО и контролирующими органами

1.2.643.3.203.1.2.100 ППС сокращенного срока действия

Перевыпущенные сертификаты, срок действия которых менее 1 года.

Приложение №3 к Регламенту. Порядок проведения работ по подтверждению действительности электронной подписи и штампов времени

1.1. Удостоверяющий центр осуществляет проведение работ по подтверждению подлинности электронной цифровой подписи электронного документа, подтверждению действительности штампа времени или соответствия штампа времени электронному документу (далее Специальные работы), по заявлению Клиента.

1.2. Формат электронного документа ЭП или формат электронного документа штампа времени должен соответствовать стандарту криптографических сообщений Cryptographic Message Syntax (CMS)1. Решение о соответствии электронного документа стандарту CMS принимает Удостоверяющий центр.

1.3. В заявлении на подтверждение подлинности электронной подписи в электронном документе указываются:

1.3.1. Дата и время подачи заявления;

1.3.2. Идентификационные данные пользователя, подлинность ЭП которого необходимо подтвердить в электронном документе;

1.3.3. Наименование файла стандарта CMS, содержащего электронный документ с ЭП, подлинность которой необходимо проверить;

1.3.4. Дата и время формирования ЭП электронного документа;

1.3.5. Дата и время, на момент наступления которых требуется установить подлинность ЭП.

1.4. Обязательным приложением к заявлению на подтверждение подлинности ЭП в электронном документе является отчуждаемый носитель информации CD/DVD-ROM, содержащий:

1.4.1. Сертификат ключа подписи, с использованием которого необходимо осуществить подтверждение подлинности ЭП в электронном документе – в виде файла стандарта CMS;

1.4.2. Электронный документ – в виде одного файла (стандарта CMS), содержащего данные и значение ЭП этих данных, либо двух файлов: один из которых содержит данные, а другой значение ЭП этих данных (файл стандарта CMS).

1.5. В заявлении на подтверждение действительности штампа времени и соответствии штампа времени электронному документу указываются:

1.5.1. Дата и время подачи заявления;

1.5.2. Наименование файла стандарта CMS, содержащего штамп времени, действительность которого необходимо подтвердить;

1.5.3. Наименование файла, содержащего исходные данные, для которых был сформирован штамп времени;

1.5.4. Дата и время, на момент наступления которых требуется подтвердить действительность штампа времени.

1 Содержащий ЭП файл должен быть либо в DER-кодировке, либо в BASE64-кодировке без служебных заголовков.

57

1.6. Обязательным приложением к заявлению на подтверждение действительности штампа времени и соответствии штампа времени электронному документу является отчуждаемый носитель информации CD/DVD-ROM, содержащий:

1.6.1. Файл стандарта CMS, содержащий штамп времени, действительность которого необходимо подтвердить;

1.6.2. Файл, содержащий исходные данные, для которых был сформирован штамп времени.

1.7. Проведение Специальных работ осуществляет комиссия, сформированная из числа сотрудников Удостоверяющего центра. Результатом проведения Специальных работ является заключение Удостоверяющего центра. Заключение содержит:

1.7.1. Состав комиссии, осуществлявшей проверку;

1.7.2. Основание для проведения проверки;

1.7.3. Результат проверки ЭП электронного документа или результат проверки штампа времени и его соответствия исходным данным;

1.7.4. Данные, представленные комиссии для проведения проверки.

1.7.5. Отчет по выполненной проверке.

1.8. Отчет по выполненной проверке содержит:

1.8.1. Время и место проведения проверки;

1.8.2. Содержание и результаты проверки;

1.8.3. Обоснование результатов проверки.

1.9. Заключение Удостоверяющего центра по выполненной проверке составляется в произвольной форме в двух экземплярах, подписывается всеми членами комиссии и заверяется печатью Удостоверяющего центра. Один экземпляр заключения по выполненной проверке предоставляется заявителю.

1.10. Срок проведения Специальных работ по одной ЭП или одному штампу времени и предоставлению пользователю заключения по выполненной проверке составляет десять рабочих дней с момента поступления заявления в Удостоверяющий центр.

Форма заявления на подтверждение подлинности электронной подписи в электронном документе

_______________________________________________________________________________

(полное наименование организации, включая организационно-правовую форму)

в лице ______________________________________________________________________________,

(должность руководителя)

______________________________________________________________________________,

(фамилия, имя, отчество руководителя)

действующего на основании _____________________________________________________________

Просит подтвердить подлинность ЭП в электронном документе на основании следующих данных:

1. Файл формата CMS, содержащий сертификат ключа подписи, с использованием которого необходимо осуществить подтверждение подлинности ЭП в электронном документе на прилагаемом к заявлению отчуждаемом носителе информации CD/DVD-ROM – рег. №ХХХ;

2. Файл, содержащий подписанные ЭП данные и значение ЭП формата CMS, либо файл, содержащий исходные данные и файл, содержащий значение ЭП формата CMS, на прилагаемом к заявлению отчуждаемом носителе информации CD/DVD-ROM – рег. № ХХХ

3. Дата и время*, на момент наступления которых требуется подтвердить подлинность ЭП:

«______:_______» «_______/_________________/______________»;

Час минута день месяц год

Должность и Ф.И.О. руководителя организации

Подпись руководителя организации, дата подписания заявления

Печать организации

*Время и дата должны быть указаны с учетом часового пояса г. Москвы (по Московскому времени). Если время и дата не указаны, то подтверждение подлинности ЭП устанавливается на момент времени принятия заявления Удостоверяющим центром

Форма заявления на подтверждение действительности штампа времени

_______________________________________________________________________________

(полное наименование организации, включая организационно-правовую форму)

в лице ______________________________________________________________________________,

(должность руководителя)

______________________________________________________________________________,

(фамилия, имя, отчество руководителя)

действующего на основании _____________________________________________________________

просит подтвердить действительность штампа времени и соответствие штампа времени исходным данным на основании следующих данных:

1. Файл формата CMS, содержащий штамп времени, действительность которого необходимо подтвердить, на прилагаемом к заявлению отчуждаемом носителе информации CD/DVD-ROM – рег. № ХХХ

2. Файл, содержащий исходные данные, на прилагаемом к заявлению отчуждаемом носителе информации CD/DVD-ROM – рег. № ХХХ;

3. Дата и время*, на момент наступления которых требуется подтвердить действительность штампа времени:

«______:_______» «_______/_________________/______________»;

Час минута день месяц год

Должность и Ф.И.О. руководителя организации

Подпись руководителя организации, дата подписания заявления

Печать организации

*Время и дата должны быть указаны с учетом часового пояса г. Москвы (по Московскому времени). Если время и дата не указаны, то подтверждение подлинности ЭП устанавливается на момент времени принятия заявления Удостоверяющим центром.

Приложение №4 к Регламенту. Порядок предоставления сервисов Службы статусов сертификатов и Службы штампов времени

1.1. Удостоверяющий центр оказывает услуги по предоставлению актуальной информации о статусе сертификатов посредством Службы статусов сертификатов. Служба статусов сертификатов по запросам пользователей Удостоверяющего центра формирует и предоставляет этим пользователям OCSP-ответы, которые содержат информацию о статусе запрашиваемого сертификата ключа подписи. OCSP-ответы представляются в форме электронного документа, подписанного электронной подписью с использованием сертификата ключа подписи Службы статусов сертификатов (Оператора Службы статусов сертификатов). OCSP-ответ признается действительным при одновременном выполнении следующих условий:

1.1.1. Подтверждена подлинность ЭП Службы статусов сертификатов (Оператора Службы статусов сертификатов) в OCSP-ответе;

1.1.2. Сертификат ключа подписи Службы статусов сертификатов (Оператора Службы статусов сертификатов) на момент подтверждения подлинности ЭП OCSP-ответа действителен;

1.1.3. Закрытый ключ подписи Службы статусов сертификатов (Оператора Службы статусов сертификатов) на момент формирования OCSP-ответа действителен;

1.1.4. Сертификат ключа подписи Службы статусов сертификатов (Оператора Службы статусов сертификатов) содержит в расширении Extended Key Usage область использования – Подпись ответа службы OCSP (1.3.6.1.5.5.7.3.9).

1.2. Адреса обращения к Службам статусов сертификатов Удостоверяющего центра:

http://ocsp.ncarf.ru/ocsp/ocsp.srf http://ocsp20.ncarf.ru/ocsp/ocsp.srf http://ocsp20-1.ncarf.ru/ocsp/ocsp.srf http://ocsp3.ncarf.ru/ocsp/ocsp.srf

Указанные адреса заносятся в расширение Authority Information Access (AIA) издаваемых Удостоверяющим центров сертификатов ключей подписей.

1.3. Удостоверяющий центр оказывает услуги по выдаче штампов времени посредством Службы штампов времени. Штамп времени, относящийся к электронному документу, признается действительным при одновременном выполнении следующих условий:

1.3.1. Подтверждена подлинность ЭП Службы штампов времени (Оператора Службы штампов времени) в штампе времени;

1.3.2. Сертификат ключа подписи Службы штампов времени (Оператора Службы штампов времени) на момент подтверждения подлинности ЭП штампа времени действителен;

1.3.3. Закрытый ключ подписи Службы штампов времени (Оператора Службы штампов времени) на момент формирования штампа времени действителен;

1.3.4. Сертификат ключа подписи Службы штампов времени (Оператора Службы штампов времени) содержит в расширении Extended Key Usage область использования – Установка штампа времени (1.3.6.1.5.5.7.3.8);

1.4. Адреса обращения к Службам штампов времени Удостоверяющего центра:

http://tsp.ncarf.ru/tsp/tsp.srf (при использовании схемы электронной подписи по ГОСТ Р 34.10-2001)

61

http://tsp3.ncarf.ru/tsp/tsp.srf (при использовании схемы электронной подписи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012)

Приложение №5 к Регламенту. Формы заявительных документов

Закрытое акционерное общество «Национальный удостоверяющий центр»

Заявление на аннулирование (отзыв) сертификата ключа проверки электронной подписи

(ФИЗИЧЕСКОЕ ЛИЦО)

Я, _____________________________________________________________________________ (фамилия, имя, отчество)

в связи с ________________________________________________________________________ (причина отзыва сертификата)

прошу аннулировать (отозвать) сертификат ключа проверки электронной подписи, содержащий следующие данные:

Серийный номер сертификата ключа проверки электронной подписи

Фамилия, Имя, Отчество Адрес регистрации

Код региона/Наименование региона ИНН ОГРНИП (только для ИП) Адрес электронной почты СНИЛС - - -

_______________________ /Фамилия И.О./ (подпись) «____» ______________ 20____ г.

Закрытое акционерное общество «Национальный удостоверяющий центр»

Заявление на приостановление действия сертификата ключа проверки электронной подписи

(ФИЗИЧЕСКОЕ ЛИЦО) Я, _____________________________________________________________________________

(фамилия, имя, отчество) прошу приостановить действие сертификата ключа проверки электронной подписи, содержащего следующие данные:

Серийный номер сертификата ключа проверки электронной подписи

Фамилия, Имя, Отчество

Адрес регистрации

Код региона/Наименование региона ИНН ОГРНИП (только для ИП) Адрес электронной почты СНИЛС - - -

Срок приостановления действия сертификата ___________________________________ дней. (количество дней прописью) _______________________ /Фамилия И.О./ (подпись) «____» ______________ 20____ г.

Закрытое акционерное общество «Национальный удостоверяющий центр»

Заявление на возобновление действия сертификата ключа проверки электронной подписи

(ФИЗИЧЕСКОЕ ЛИЦО) Я, _____________________________________________________________________________

(фамилия, имя, отчество) прошу возобновить действие сертификата ключа проверки электронной подписи, содержащего следующие данные:

Серийный номер сертификата ключа проверки электронной подписи

Фамилия, Имя, Отчество Адрес регистрации

Код региона/Наименование региона ИНН ОГРНИП (только для ИП) Адрес электронной почты СНИЛС - - -

_______________________ /Фамилия И.О./ (подпись) «____» ______________ 20____ г.

Закрытое акционерное общество «Национальный удостоверяющий центр»

Заявление

на аннулирование (отзыв) сертификата ключа проверки электронной подписи (ЮРИДИЧЕСКОЕ ЛИЦО)

(полное наименование организации, включая организационно-правовую форму) в лице (должность) (фамилия, имя, отчество) действующего на основании

в связи с (причина отзыва сертификата)

Просит аннулировать (отозвать) сертификат ключа проверки электронной подписи своего уполномоченного представителя содержащий следующие данные:

Серийный номер сертификата ключа проверки электронной подписи

Сокращенное наименование организации в соответствии с выпиской из ЕГРЮЛ

Наименование АИС1 (при

необходимости)

Юридический адрес (в соответствии с выпиской из ЕГРЮЛ)

Код региона/Наименование региона

ИНН

КПП

ОГРН

Фамилия, Имя, Отчество владельца сертификата

Должность

Наименование подразделения (при наличии)

Адрес электронной почты

СНИЛС владельца сертификата - - -

Владелец сертификата _______________________ (подпись) (фамилия, инициалы) Руководитель организации _______________________ (подпись) . (фамилия, инициалы) «____»______________ 20____ г. М.П

1. Заполняется в случае изготовления сертификата для СМЭВ (при необходимости)

66

Закрытое акционерное общество «Национальный удостоверяющий центр»

Заявление

на приостановление действия сертификата ключа проверки электронной подписи (ЮРИДИЧЕСКОЕ ЛИЦО)

___________________________________________________________________________ (полное наименование организации, включая организационно-правовую форму) в лице _________________________________________________________________________, (должность) _______________________________________________________________________________, (фамилия, имя, отчество) действующего на основании _______________________________________________________

Просит приостановить действие сертификата ключа проверки электронной подписи своего уполномоченного представителя, содержащего следующие данные: Серийный номер сертификата ключа проверки электронной подписи

Сокращенное наименование организации в соответствии с выпиской из ЕГРЮЛ

Наименование АИС1 (при

необходимости)

Юридический адрес (в соответствии с выпиской из ЕГРЮЛ)

Код региона/Наименование региона

ИНН

КПП

ОГРН

Фамилия, Имя, Отчество владельца сертификата

Должность

Наименование подразделения (при наличии)

Адрес электронной почты

Срок приостановления действия сертификата ____________________________ дней. (количество дней прописью)

Владелец сертификата ____________________ ________________________ (подпись) (фамилия, инициалы) Руководитель организации ___________________ _______________________ (подпись) . (фамилия, инициалы) «____»______________ 20____ г. М.П

1. Заполняется в случае изготовления сертификата для СМЭВ (при необходимости)

Закрытое акционерное общество «Национальный удостоверяющий центр»

Заявление

на возобновление действия сертификата ключа проверки электронной подписи (ЮРИДИЧЕСКОЕ ЛИЦО)

________________________________________________________________________________ (полное наименование организации, включая организационно-правовую форму) в лице _________________________________________________________________________, (должность) _______________________________________________________________________________, (фамилия, имя, отчество) действующего на основании _______________________________________________________

Просит возобновить действие сертификата ключа проверки электронной подписи подписи своего уполномоченного представителя содержащего следующие данные: Серийный номер сертификата ключа проверки электронной подписи

Сокращенное наименование организации в соответствии с выпиской из ЕГРЮЛ

Наименование АИС1 (при

необходимости)

Юридический адрес (в соответствии с выпиской из ЕГРЮЛ)

Код региона/Наименование региона

ИНН

КПП

ОГРН

Фамилия, Имя, Отчество владельца сертификата

Должность

Наименование подразделения (при наличии)

Адрес электронной почты

СНИЛС владельца сертификата - - -

Владелец сертификата ____________________ ________________________ (подпись) (фамилия, инициалы) Руководитель организации __________________ ________________________ (подпись) . (фамилия, инициалы) «____»______________ 20____ г. М.П

1. Заполняется в случае изготовления сертификата для СМЭВ (при необходимости)

Закрытое акционерное общество «Национальный удостоверяющий центр»

ЗАЯВЛЕНИЕ на создание квалифицированного сертификата ключа проверки электронной подписи

юридическому лицу

(полное наименование организации, включая организационно-правовую форму) в лице

(должность, фамилия, имя, отчество) действующего на основании просит создать квалифицированный сертификат ключа проверки электронной подписи Для выпуска сертификата сообщаю следующие данные: Сокращенное наименование организации в соответствии с выпиской из ЕГРЮЛ

Юридический адрес (в соответствии с выпиской из ЕГРЮЛ)

Код региона/Наименование региона

ИНН

КПП

ОГРН

Фамилия, Имя, Отчество владельца сертификата

Должность (не более 128 символов)

Наименование подразделения (при наличии) (не более 64 символов)

Адрес электронной почты

СНИЛС владельца сертификата - - -

Класс средств ЭП КС1 Кодовое словосочетание:

Владелец сертификата _______________________ ________________________ (подпись) (фамилия, инициалы)

Подтверждаю, что указанное кодовое словосочетание является паролем для экстренной связи в случае компрометации ключа электронной подписи, и обязуюсь обеспечивать сохранение конфиденциальности данного пароля.

Подтверждаю, что имеющиеся в наличии средства электронной подписи соответствуют указанному классу. С Регламентом применения сертификатов ключей проверки электронной подписи Удостоверяющего центра ЗАО

«Национальный удостоверяющий центр» ознакомлен. В случае выявления факта компрометации ключа электронной подписи, соответствующего выпускаемому на мое имя сертификату, обязуюсь немедленно об этом событии проинформировать своего работодателя и ЗАО «Национальный удостоверяющий центр».

В случае изготовления сертификата по инициативе работодателя, я так же подтверждаю свое согласие с его намерениями воспользоваться услугой ЗАО «Национальный удостоверяющий центр» для выпуска сертификата на мое имя. Настоящим я, (фамилия, имя, отчество владельца сертификата) (серия и номер паспорта, кем и когда выдан) соглашаюсь с обработкой своих персональных данных ЗАО «Национальный удостоверяющий центр» и признаю, что персональные данные, заносимые в сертификаты ключей подписей, владельцем которых я являюсь, относятся к общедоступным персональным данным Владелец сертификата _______________________ ________________________ (подпись) (фамилия, инициалы) Руководитель организации _______________________ ________________________ (подпись) (фамилия, инициалы) «____»______________ 20____ г. М.П

69

Закрытое акционерное общество «Национальный удостоверяющий центр»

ЗАЯВЛЕНИЕ на изготовление квалифицированного сертификата ключа проверки электронной подписи

физическому лицу ________________________________________________________________________________________ (фамилия, имя, отчество)

прошу изготовить квалифицированный сертификат ключа проверки электронной подписи (отметить нужное) включает СКЗИ "КриптоПро CSP")

с областью использования: Тарифный план "НУЦ FABRIKANT для физических лиц или индивидуальных предпринимателей" Система декларирования Федеральной службы по регулированию алкогольного рынка (ФСРАР) Единый федеральный реестр сведений о фактах деятельности юридических лиц Информационная система таможенных органов РФ Взаимодействие с территориальными органами и подведомственными учреждениями Федеральной

службы государственной регистрации, кадастра и картографии (Росреестр) тип сертификата для Портала Росреестр 3

Доступ на электронные торговые площадки: отобранные для размещения государственного (муниципального) заказа при проведении открытых

аукционов в электронной форме («Госзаказ») входящие в Ассоциацию электронных торговых площадок («АЭТП») B2B-Center Портал государственных закупок Ростовской области Рефери Портал закупок отдельными юридическими лицами Рефери 223 Электронная торговая площадка Газпромбанка

Для выпуска сертификата сообщаю следующие данные: Адрес регистрации

Код региона/Наименование региона

ИНН ОГРНИП (только для ИП)

Адрес электронной почты

СНИЛС - - -

Номер аттестата кадастрового инженера (для Росреестра)

Полномочия владельца сертификата (только для Госзаказа)

Администратор организации Уполномоченный специалист Специалист с правом подписи контракта

Класс средств ЭП КС1 Кодовое словосочетание:

Подтверждаю, что указанное кодовое словосочетание является паролем для экстренной связи в случае компрометации ключа электронной подписи, и обязуюсь обеспечивать сохранение конфиденциальности данного пароля.

Подтверждаю, что имеющиеся в наличии средства электронной подписи соответствуют указанному классу. С Регламентом применения сертификатов ключей проверки электронной подписи Удостоверяющего центра

ЗАО «Национальный удостоверяющий центр» ознакомлен. В случае выявления факта компрометации ключа электронной подписи, соответствующего выпускаемому на мое имя сертификату, обязуюсь немедленно об этом событии проинформировать ЗАО «Национальный удостоверяющий центр».

Настоящим я, (фамилия, имя, отчество владельца сертификата) (серия и номер паспорта, кем и когда выдан) соглашаюсь обработкой своих персональных данных ЗАО «Национальный удостоверяющий центр» и признаю,

что персональные данные, заносимые в сертификаты ключей подписей, владельцем которых я являюсь, относятся к общедоступным персональным данным.

Владелец сертификата _______________________ ________________________ (подпись) (фамилия, инициалы) «____»______________ 20____ г.

70

Приложение № 6 к Регламенту. Политика применения сертификатов ключей проверки электронных подписей ЗАО Национальный удостоверяющий центр», управляемых

корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16)

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Корпоративный клиент – юридическое лицо или индивидуальный предприниматель, заключившее(ий) договор с удостоверяющим центром (далее - УЦ) или оплатившее(ий) выставленный УЦ счет-оферту в целях выпуска Сертификатов исключительно для лиц, состоящих в трудовых отношениях с Корпоративным клиентом (далее – Работники Корпоративного клиента); Политика - Политика применения сертификатов, выпускаемых на имя Корпоративного клиента; Удаленный Оператор Центра регистрации – Работник Корпоративного клиента, занимающийся рассмотрением и обработкой заявлений на выпуск Сертификатов. 2. ОБЩИЕ УСЛОВИЯ ВЫПУСКА СЕРТИФИКАТОВ НА ИМЯ РАБОТНИКОВ

КОРПОРАТИВНОГО КЛИЕНТА, ОБЯЗАТЕЛЬСТВА УЦ И КОРПОРАТИВНОГО КЛИЕНТА

2.1. УЦ осуществляет подключение специализированного АРМ Удаленного оператора Центра регистрации на основании «Заявки на подключение специализированного АРМ Удаленного оператора Центра регистрации» и Заявления лица, выполняющего функции Удаленного оператора Центра регистрации по форме Приложения № 1 к настоящей Политике. Требования к специализированному АРМ Удаленного оператора Центра регистрации изложены в Приложении № 3 к настоящей Политике.

2.2. УЦ назначает 1 (одного) ответственного сотрудника, отвечающего за взаимодействие с Корпоративным клиентом. Сведения об изменении состава, адресов и телефонов ответственного сотрудника, в том числе на случаи отпуска, болезни и т.п., в течение 1 (одного) рабочего дня с момента изменения направляются УЦ Корпоративному клиенту на электронный адрес Корпоративного клиента.

2.3. УЦ имеет право временно приостановить действие созданных Сертификатов Работников Корпоративного клиента и отключить специализированный АРМ Удаленного оператора Центра регистрации в случае обнаружения факта несоответствия в Сертификате реквизитов фактическим данным до устранения таких несоответствий, внесения соответствующих изменений.

2.4. УЦ имеет право проводить проверки на соответствие Корпоративного клиента требованиям настоящей Политики, в т.ч. запрашивать информацию из системных журналов специализированного АРМ Удаленного оператора Центра регистрации.

2.5. УЦ имеет право проводить регламентные работы. В случае плановых работ, предусматривающих выключение или перенастройку оборудования УЦ, УЦ обязуется уведомлять об этом Корпоративного клиента по адресу электронной почты Корпоративного клиента, указанный в Заявлении лица, выполняющего функции Удаленного оператора Центра регистрации, не менее чем за 24 (двадцать четыре) часа до начала проведения работ, а в случае внеплановых работ уведомлять об этом Корпоративного клиента немедленно.

2.6. По заявлениям Работников Корпоративных клиентов, полученных УЦ непосредственно от владельцев сертификатов, УЦ осуществляет аннулирование/приостановку действия Сертификатов Работников Корпоративного клиента.

71

2.7. Корпоративный клиент обязуется получить от Работников, на имя которых выпускается Сертификат, Заявление на выпуск Сертификата, по форме, указанной в Приложении № 2 к настоящей Политике.

2.8. Корпоративный клиент регистрирует Работника в реестре Центра регистрации УЦ в качестве пользователя услуг УЦ и обеспечивает Работника возможностью самостоятельного формирования ключевой пары на специализированном АРМ Удаленного оператора Центра регистрации.

2.9. Корпоративный клиент формирует электронный запрос на Сертификат Работника на специализированном АРМ Удаленного оператора Центра регистрации.

2.10. Корпоративный клиент проверяет соответствие сведений, указанных в электронном запросе на Сертификат, сведениям, указанным в Заявлении на изготовление Сертификата Работника, и в случае соответствия сведений подписывает электронный запрос на Сертификат квалифицированной электронной подписью и совершает технические действия по инициации создания Сертификата в форме электронного документа.

2.11. УЦ проверяет квалифицированную электронную подпись Корпоративного клиента на электронном запросе на Сертификат, и в случае успешной проверки подписи создает Сертификат.

2.12. Корпоративный клиент распечатывает Сертификат на бумажном носителе в двух экземплярах для последующего вручения Работнику, подписывает их на основании доверенности, выданной УЦ, и обеспечивает проставление в них собственноручной подписи Работника Корпоративного клиента - владельца Сертификата.

2.13. Корпоративный клиент обязан во взаимодействии с УЦ:

2.13.1. использовать технические и программные средства в соответствии с требованиями, установленными Удостоверяющим центром в Приложении № 3 к настоящей Политике;

2.13.2. привлекать персонал, обладающий достаточными знаниями и навыками для работы с ПАК «КриптоПро УЦ».

2.14. Корпоративный клиент обязан ознакомить своих Работников – владельцев Сертификатов с порядком использования электронной подписи, а также с правилами хранения в тайне ключа электронной подписи, действиями в случае наличия оснований полагать, что тайна ключа электронной подписи нарушена.

2.15. Корпоративный клиент не имеет права осуществлять действия, предусмотренные п.п.2.7.-2.10, 2.12 настоящей Политики в отношении лиц, не состоящих в трудовых отношениях с Корпоративным клиентом.

2.16. Корпоративный клиент обязан назначить 1 (одного) ответственного сотрудника, отвечающего за взаимодействие с УЦ. Сведения об изменении состава, адресов и телефонов ответственного сотрудника, в том числе на случаи их отпуска, болезни и т.п., в течение 1 (одного) рабочего дня с момента изменения направляются Корпоративным клиентом Удостоверяющему центру на электронный адрес: info@nucrf.ru.

2.17. Корпоративный клиент консолидирует и ежемесячно не позднее 10 (десятого) числа каждого месяца, следующего за отчетным, направляет в УЦ все документы в соответствии с Перечнем документов, передаваемых в УЦ, приведенным в Приложении № 4 к настоящей Политике, с описью направляемых документов. Указанные в настоящем пункте документы высылаются Корпоративным клиентом в УЦ заказным письмом с уведомлением о вручении либо курьерской службой доставки.

72

2.18. Не позднее трех рабочих дней с даты оплаты счета-оферты, предусматривающего выпуск Сертификатов на имя работников Корпоративного клиента, Корпоративный клиент обязуется предоставить УЦ следующие документы:

• Копия Свидетельства о внесении записи о Корпоративном клиенте в ЕГРЮЛ/ЕГРИП, заверенная лицом, действующим от имени Корпоративного клиента без доверенности;

• Копия Свидетельства о постановке Корпоративного клиента на учет в налоговом органе (ИНН), заверенная лицом, действующим от имени Корпоративного клиента без доверенности.

3. ОТВЕТСТВЕННОСТЬ

2.19. Корпоративный клиент несет ответственность за достоверность сведений, содержащихся в Заявлении на выпуск Сертификата, полученного от Работника Корпоративного клиента, а также за достоверность сведений, публикуемых в сертификате Работника Корпоративного клиента и имеющих отношение к нему.

2.20. УЦ не несет ответственности за убытки, понесенные Корпоративным Клиентом в результате использования Сертификата в случаях:

− несвоевременного оповещения Корпоративным клиентом о компрометации Сертификата (компрометации ключа электронной подписи), владельцем которого является Работник Корпоративного клиента;

− невыполнения Корпоративным клиентом своих обязательств, предусмотренных настоящей Политикой, Регламентом УЦ, а также невыполнение требований действующего законодательства РФ;

− подделки, подлога либо иного искажения информации третьими лицами в принадлежащих им Сертификатах, либо иных бумажных и электронных документов, с которыми Корпоративный Клиент ведет электронную переписку;

− в иных случаях, если УЦ выполнил все требования действующего законодательства РФ, Регламента УЦ и положений настоящей Политики;

2.21. УЦ не несет ответственности за содержание и достоверность информации в электронных документах, подписанных Корпоративным клиентом с помощью Сертификата, выпущенного УЦ по в соответствии с настоящей Политикой.

2.22. В случае неисполнения или ненадлежащего исполнения Корпоративным клиентом обязательств, предусмотренных настоящей Политикой и Регламентом УЦ, при нарушении сроков направления документов и/или направлении неполного комплекта документов, УЦ вправе требовать у Корпоративного клиента выплаты штрафа в размере 30 000,00 (тридцати тысяч) рублей за каждый случай неисполнения/ненадлежащего исполнения указанных обязательств, но не более 300 000 (трехсот тысяч) рублей за отчетный месяц.

2.23. В случае возбуждения иска в отношении УЦ или предъявления ему претензий, связанных с недостоверностью сведений в Сертификате или с неправомерностью выдачи Сертификата, а также связанных с иными последствиями ненадлежащего исполнения Корпоративным клиентом обязательств, предусмотренных настоящей Политикой и Регламентом, Корпоративный клиент обязуется выступить на стороне УЦ и предоставить ему всю необходимую информацию, при наличии, для урегулирования возникшего конфликта по первому требованию УЦ.

2.24. Ответственность УЦ определяется в соответствии с положениями действующего законодательства РФ.

73

Приложения: 1. Приложение № 1. Форма Заявки на подключение специализированного АРМ Удаленного

оператора Центра регистрации.

2. Приложение № 2. Форма Заявления на изготовление квалифицированного сертификата лица, выполняющего функции Удаленного оператора Центра регистрации.

3. Приложение № 3. Требования к специализированному АРМ Удаленного оператора Центра регистрации.

4. Приложение № 4. Перечень документов, передаваемых Корпоративным клиентом в Удостоверяющий центр.

5. Приложение № 5. Форма Заявления на создание квалифицированного сертификата ключа проверки электронной подписи юридическому лицу.

74

Приложение № 1 к Политике применения сертификатов ключей проверки электронных подписей ЗАО

Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР (1.2.643.3.203.1.2.16)

ФОРМА

заявки на подключение специализированного АРМ Удаленного оператора Центра регистрации

Генеральному директору

ЗАО «Национальный удостоверяющий центр»

от ________________________________

Заявка

на подключение специализированного АРМ Удаленного оператора Центра регистрации Корпоративный клиент просит подключить специализированный АРМ Удаленного оператора Центра регистрации, принадлежащий Корпоративному клиенту, расположенный по адресу: ______________________________________________________ Соответствие специализированного АРМ Удаленного оператора Центра регистрации требованиям комплектации АРМ: № п.п.

Наименование документа Номер и дата документа

Накладная на СЗИ «Соболь» Накладная на СЗИ «SecretNet» Акт передачи прав на антивирусное ПО Акт передачи прав на межсетевой экран Акт передачи прав на СКЗИ «КриптоПро CSP» Акт передачи прав на ПО «КриптоПро АРМ Администратора

ЦР»

Акт передачи прав (накладная) на программное обеспечение операционной системы

Перечень сотрудников, для которых необходимо выпустить сертификаты Удаленного оператора Центра регистрации: № п.п. Фамилия, имя, отчество Должность 1. 2.

75

Приложение № 2 к Политике применения сертификатов ключей проверки электронных подписей ЗАО

Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16)

ФОРМА

заявления на изготовление квалифицированного сертификата лица, выполняющего функции Удаленного оператора Центра регистрации

Закрытое акционерное общество «Национальный удостоверяющий центр»

ЗАЯВЛЕНИЕ

на изготовление квалифицированного сертификата лица, выполняющего функции Удаленного оператора

Центра регистрации _____________________________________________________________________________________________

(полное наименование организации, включая организационно-правовую форму) в лице __________________________________________________________________________________________

(должность, фамилия, имя, отчество) действующего на основании __________________________________________________________________ просит изготовить сертификат Оператора Удаленного Центра регистрации по счету-оферте № _____________ от __________ для выполнения на АРМ удаленного оператора ЦР следующих операций по управлению жизненным циклом квалифицированных сертификатов ключей проверки электронной подписи, содержащихся в выделенной базе данных Центра Регистрации (п.п. 2.1. Политики применения сертификатов, выпускаемых на имя Корпоративного клиента):

v формирование запросов на создание сертификатов;

v формирование запросов на приостановку действия сертификатов;

v формирование запросов на возобновление действия сертификатов;

v формирование запросов на аннулирование (отзыв) сертификатов.

сообщаю следующие данные: Сокращенное наименование организации в соответствии с выпиской из ЕГРЮЛ/ЕГРИП

Юридический адрес Код региона/Наименование региона

ИНН ОГРН

Фамилия, Имя, Отчество Владельца сертификата

Должность Наименование подразделения

Адрес электронной почты СНИЛС владельца сертификата

- - -

Наименование средства ЭП

"КриптоПро CSP" (версия 3.6)

76

Класс средств ЭП КС2

Кодовое словосочетание:

Подтверждаю, что указанное кодовое словосочетание является паролем для экстренной связи в случае компрометации ключа электронной подписи, и обязуюсь обеспечивать сохранение конфиденциальности данного пароля. Владелец сертификата (подпись) (фамилия, инициалы) Подтверждаю, что имеющиеся в наличии средства электронной подписи соответствуют указанному классу защиты. Подтверждаю, что указанный в настоящем Заявлении владелец сертификата уполномочен выполнять операции по управлению жизненным циклом квалифицированных сертификатов ключей проверки электронной подписи, содержащихся в выделенной базе данных Центра Регистрации (п.п. 2.1. Политики применения сертификатов, выпускаемых на имя Корпоративного клиента), а именно формировать запросы на: создание, приостановку действия, возобновление действие и аннулирование (отзыв) сертификатов. Руководитель организации (подпись) М.П. (фамилия, инициалы) «____» 201__ г. С Регламентом услуг Удостоверяющего центра ЗАО "Национальный удостоверяющий центр" ознакомлен. В случае выявления факта компрометации ключа электронной подписи, соответствующего выпускаемому на мое имя сертификату, обязуюсь немедленно об этом событии проинформировать своего работодателя и ЗАО "Национальный удостоверяющий центр". В случае изготовления сертификата по инициативе работодателя, я так же подтверждаю свое согласие с его намерениями воспользоваться услугой ЗАО "Национальный удостоверяющий центр" для выпуска сертификата на мое имя. Настоящим, (фамилия, имя, отчество владельца сертификата) (серия и номер паспорта, кем и когда выдан) соглашается с обработкой своих персональных данных ЗАО "Национальный удостоверяющий центр" и признает, что персональные данные, заносимые в сертификаты, владельцем которых я являюсь, относятся к общедоступным персональным данным

Владелец сертификата (подпись) (фамилия, инициалы) Руководитель Корпоративного клиента

(подпись) М.П. (фамилия, инициалы)

77

Приложение № 3 к Политике применения сертификатов ключей проверки электронных подписей ЗАО

Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16)

Требования к специализированному АРМ Удаленного оператора Центра регистрации

- Специализированный АРМ Удаленного оператора Центра регистрации

предназначен только для выполнения функций, указанных в пунктах п.п.2.7.-2.10, 2.12 Политики __________ от «______»______________ 20__ г.

- Специализированный АРМ Удаленного оператора Центра регистрации должен соответствовать следующим требованиям:

- АРМ должен быть аттестован на соответствие требованиям руководящих документов ФСТЭК по защите информации от несанкционированного доступа по классу защищенности 1Г.

- АРМ должен находиться в выделенном сегменте сети организации. Из данного сегмента сети доступ должен быть разрешен только к техническим ресурсам Удостоверяющего центра по защищенным каналам связи и к серверам обновлений установленного на АРМ средства антивирусной защиты.

- На этапе подготовки к работе должны быть проведены специальные исследования на побочные электромагнитные излучения и наводки (ПЭМИН) и специальные проверки на отсутствие электронных устройств негласного съема информации;

- Учетная запись операционной системы, под которой выполняются функции, указанные в пунктах 2.7.-2.10, 2.12 Политики, должна иметь минимально необходимый набор привилегий.

- Пароль учетной записи операционной системы должен состоять не менее чем из 12 символов, включать в себя символы верхнего и нижнего регистров, цифры и спецсимволы. Срок действия пароля не должен превышать 3 месяца.

- СЗИ от НСД должно быть настроено на двухфакторную аутентификацию при входе в операционную систему (предъявление персонального идентификатора и ввод пароля).

- Для системного диска АРМ должна быть определена файловая система NTFS. - АРМ не должен иметь сетевых дисков. - АРМ не должен содержать средств удаленного администрирования. - АРМ должен иметь только один физический сетевой интерфейс. - АРМ должен быть подключен к техническим средствам Удостоверяющего центра

по защищенному каналу с использованием технологии VPN без использования Proxy-сервера.

- Локальная политика аудита должна быть настроена в соответствии с пунктом 8.2.3 документа «ЖТЯИ.00067-02 90 11. КриптоПро УЦ. Руководство по безопасности».

- Должны вестись следующие журналы: - «Приложение»; - «Безопасность»; - «Система». - Пароли ключевых контейнеров пользователей АРМ не должны быть кэшированы. - На Специализированном АРМ Удаленного оператора Центра регистрации должны

быть установлены следующие компоненты:

Компонент Версия СЗКИ ПАК «Соболь» 3.0 (RU.40308570.501410.001) СЗИ «Secret Net» 7 (RU.88338853.501410.015) Операционная система В соответствии с разделом 1 «Требования для

работы с приложением» документа «ЖТЯИ.00067-02

78

90 06. КриптоПро УЦ. АРМ администратора ЦР. Руководство по эксплуатации.»

СКЗИ «КриптоПро CSP» 3.6 (ЖТЯИ.00050-02), вариант исполнения 2. ПО «КриптоПро АРМ Администратора ЦР» Версия, соответствующая сборке ПАК «КриптоПро

УЦ», установленной в Удостоверяющем центре Защищенный ключевой носитель Поддерживаемый СКЗИ "КриптоПро CSP"

защищенный ключевой носитель ruToken/eToken с соответствующим набором программного обеспечения.

Cisco Systems VPN Client 5.0.05.0280 Средство антивирусной защиты

Средства антивирусной защиты производства компаний ООО "Доктор Веб" или ЗАО "Лаборатория Касперского" или аналогичные сертифицированные ФСБ средства антивирусной защиты.

Межсетевой экран СЗИ "Security Studio Endpoint Protection" (RU.88338853.501490.002 30) или аналогичный сертифицированный ФСТЭК межсетевой экран не ниже 4 класса..

79

Приложение № 4 к Политике применения сертификатов ключей проверки электронных подписей ЗАО

Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16)

Перечень документов, передаваемых Корпоративным клиентом в Удостоверяющий центр 1. Оригинал или нотариально заверенная копия выписки из ЕГРЮЛ (ЕГРИП), полученная не позднее шести месяцев к моменту выпуска сертификата (предоставляется раз в пол года). 2. Оригинал заявления на выпуск сертификата (согласно форме в Приложении № 5 Политики). 3. Бумажный экземпляр сертификата с подписями Корпоративного клиента и владельца или доверенного лица.

80

Приложение № 5 к Политике применения сертификатов ключей проверки электронных подписей ЗАО

Национальный удостоверяющий центр», управляемых корпоративным клиентом с применением АРМ удаленного оператора ЦР. (1.2.643.3.203.1.2.16)

ЗАЯВЛЕНИЕ

на создание квалифицированного сертификата ключа проверки электронной подписи юридическому лицу/индивидуальному предпринимателю

_____________________________________________________________________________________________

(полное наименование организации, включая организационно-правовую форму) просит выпустить сертификат с областью использования (нужное отметить):

v Сертификата сотруднику ____________________ Область использования сертификата …. Область использования сертификата ….

Для выпуска сертификата сообщаю следующие данные:

Сокращенное наименование Корпоративного клиента в соответствии с выпиской из ЕГРЮЛ/ЕГРИП (не более 64-х символов)

Юридический адрес (в соответствии с выпиской из ЕГРЮЛ/ЕГРИП)

Код региона/ Наименование региона

ИНН КПП ОГРН

Фамилия, Имя, Отчество владельца сертификата

Должность (не более 64-х символов) Наименование подразделения (при наличии) (не более 64-х символов)

Адрес электронной почты

СНИЛС владельца сертификата - - -

Кодовое словосочетание:

Подтверждаю, что указанное кодовое словосочетание является паролем для экстренной связи в случае компрометации секретного (закрытого) ключа, и обязуюсь обеспечивать сохранение конфиденциальности данного пароля. С Регламентом применения сертификатов ключей проверки электронной подписи Удостоверяющего центра ЗАО «Национальный удостоверяющий центр» ознакомлен. В случае выявления факта компрометации личного секретного (закрытого) ключа, соответствующего выпускаемому на мое имя сертификату, обязуюсь немедленно об этом событии проинформировать своего работодателя и ЗАО «Национальный удостоверяющий центр». В случае изготовления сертификата по инициативе работодателя, я так же подтверждаю свое согласие с его намерениями воспользоваться услугой ЗАО «Национальный удостоверяющий центр» для выпуска сертификата на мое имя. Настоящим, я (фамилия, имя, отчество владельца сертификата) (серия и номер паспорта, кем и когда выдан) соглашаюсь с обработкой своих персональных данных ЗАО «Национальный удостоверяющий центр» и признаю, что персональные данные, заносимые в сертификаты ключей подписей, владельцем которых я являюсь, относятся к общедоступным персональным данным Владелец сертификата _______________________. _____________________ (подпись) (фамилия, инициалы) Руководитель Корпоративного клиента _______________________ _____________________ (подпись) (фамилия, инициалы)

81

«____»______________ 20____ г. М.П.