|
СК-15.01..06
  УТВЕРЖДЕНО
|
|
(должность)
|
|
|
|
(подпись)
|
|
(ФИО)
|
«___»___________________3 г.
|
ОАО «Газпром нефть»
|
Стандарт на процесс
Регламент Удостоверяющего центра ОАО «Газпром нефть»
|
Сведения о стандарте
1РАЗРАБОТАН Управлением по режиму и защите информации
2ВЛАДЕЛЕЦ ПРОЦЕССА Начальник Департамента информационных технологий, автоматизации и телекоммуникаций
3ВЕРСИЯ 2.0 ВЗАМЕН СК-15.04.06 «Регламент Удостоверяющего центра ОАО «Газпром нефть» (версия 1.0), утвержденного Приказом №248-П от 25.12.2009г.
Введение
Настоящий стандарт относится к группе бизнес-процессов 15.01 «Управление ИТ-сервисами и инфраструктурой» категории 15 «Управление информационными технологиями».
Настоящий стандарт разработан в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», другими нормативно-правовыми актами Российской Федерации и нормативными актами Группы Газпром.
Ш-08.10.02-05 «Шаблон основополагающего стандарта»
Содержание
Шаблоны, инструкции и каталоги, введенные в действие настоящим стандартом
Содержание файла
|
Обозначение
|
Заявление на регистрацию владельца сертификата ключа проверки ЭПГ, создание ключа ЭПГ, ключа проверки ЭПГ и создание сертификата ключа проверки ЭПГ
|
Ш-15.01.06-01
|
Заявление на создание ключей и выпуск сертификата серверной аутентификации
|
Ш-15.01.06-02
|
Доверенность на регистрацию в Удостоверяющем центре
|
Ш-15.01.06-03
|
Заявление на пересоздание ключа ЭПГ, ключа проверки ЭПГ и перевыпуск сертификата ключа проверки ЭПГ
|
Ш-15.01.06-04
|
Заявление на возобновление действия сертификата ключа проверки ЭПГ владельца сертификата УЦ
|
Ш-15.01.06-05
|
Заявление на аннулирование (отзыв) сертификата ключа ЭПГ владельца сертификата УЦ
|
Ш-15.01.06-06
|
Заявление на аннулирование (отзыв) сертификата ключа ЭПГ владельца сертификата УЦ
|
Ш-15.01.06-07
|
Заявление на приостановление действия сертификата ключа проверки ЭПГ владельца сертификата УЦ
|
Ш-15.01.06-08
|
Заявление на приостановление действия сертификата ключа проверки ЭПГ владельца сертификата УЦ
|
Ш-15.01.06-09
|
Доверенность на аннулирование или приостановление (восстановление) действия сертификата ЭПГ
|
Ш-15.01.06-10
|
Заявление на подтверждение подлинности ЭПГ владельца сертификата Удостоверяющего центра в сертификате ключа проверки электронной подписи
|
Ш-15.01.06-11
|
Инструкция пользователя Удостоверяющего центра ОАО "Газпром нефть"
|
М-15.01.06-01
|
Инструкция по организации работы со средствами криптографической защиты информации ОАО "Газпром нефть"
|
М-15.01.06-02
|
4Область применения
Настоящий стандарт определяет порядок деятельности Удостоверяющего центра ОАО «Газпром нефть» (далее УЦ).
5Нормативные ссылки*
Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ
Нормативные документы, регламентирующие деятельность Сети удостоверяющих центров Группы Газпром
Приказ №248-П от 25.12.2009г. «О создании удостоверяющего центра ОАО «Газпром нефть»»
КТ-004 Термины и сокращения
6Термины и сокращения
владелец сертификата ключа проверки электронной подписи (владелец сертификата): лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;
инфраструктура открытых ключей: технологическая инфраструктура и сервисы, обеспечивающие выпуск и управление сертификатами ключей проверки электронной подписи;
сеть удостоверяющих центров Группы Газпром (далее СУЦ): совокупность удостоверяющих центров, объединенных на основе доверительных отношений и действующих на основании Положения о СУЦ;
репозиторий СУЦ: информационный ресурс СУЦ, на котором размещается технологическая информация для функционирования СУЦ (сертификаты, списки аннулированных сертификатов и т.д.);
сертификат ключа проверки электронной подписи: электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";
удостоверяющий центр СУЦ: удостоверяющий центр, зарегистрированный в СУЦ;
уполномоченное лицо удостоверяющего центра СУЦ: представитель удостоверяющего центра СУЦ, наделенный полномочиями по заверению сертификатов ключей проверки электронной подписи;
электронная подпись: информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
электронная подпись в корпоративных информационных системах Группы Газпром (ЭПГ): усиленная неквалифицированная электронная подпись, применяемая в корпоративных информационных системах Группы Газпром
7Удостоверяющий центр ОАО «Газпром нефть»
УЦ зарегистрирован в СУЦ и является подчиненным Корпоративному удостоверяющему центру ОАО «Газпром».
Ответственность за обеспечение функционирования УЦ, а также обеспечение информационной безопасности УЦ возлагается на Управление по режиму и защиты информации.
УЦ в СУЦ присвоен объектный идентификатор (OID) 1.2.643.3.50.1.1.4.
УЦ осуществляет регистрацию в качестве владельцев сертификатов УЦ работников ОАО «Газпром нефть» и обеспечивает их ключами ЭПГ, сертификатами ключа проверки ЭПГ.
По решению руководства ОАО «Газпром нефть» УЦ осуществляет регистрацию в качестве владельцев сертификатов УЦ работников филиалов, представительств ОАО «Газпром нефть», его дочерних обществ и организаций, не имеющих собственных удостоверяющих центров, и обеспечивает их ключами ЭПГ и сертификатами ключей проверки ЭПГ.
Для обеспечения своей деятельности УЦ использует средства криптографической защиты информации (далее СКЗИ), сертифицированные в соответствии с действующим законодательством Российской Федерации.
УЦ функционирует согласно требованиям, предъявляемым к удостоверяющим центрам по классу «КС2», и аттестован по требованиям безопасности информации в соответствии с классом защищенности «1Г».
Стандарт определяет механизмы и условия предоставления услуг владельцам сертификатов УЦ, обязанности УЦ и владельцев сертификатов УЦ, протоколы работы, принятые форматы данных, основные организационно-технические мероприятия, проводимые УЦ.
Стандарт опубликован на Интернет-ресурсе УЦ и Интернет-ресурсе СУЦ.
Электронный адрес Интернет-ресурса УЦ: http://www.gazprom-neft.ru/ca/, Интернет-ресурса СУЦ: http://caweb.gazprom.ru.
УЦ выполняет следующие функции:
7.1.1Осуществляет регистрацию владельцев сертификатов УЦ на основании их заявлений в соответствии с порядком, установленным настоящим стандартом.
7.1.2Обеспечивает создание ключей ЭПГ и создание сертификатов ключей проверки ЭПГ владельцев сертификатов УЦ на основании их заявлений в соответствии с порядком, установленным настоящим стандартом.
7.1.3Обеспечивает уникальность серийных номеров создаваемых сертификатов ключей проверки ЭПГ.
7.1.4Обеспечивает уникальность значений ключей проверки ЭПГ в созданных сертификатах ключей проверки ЭПГ владельцев сертификатов УЦ.
7.1.5Обеспечивает генерацию ключей ЭПГ владельцев сертификатов УЦ в порядке, исключающем возможность копирования ключей проверки ЭПГ. Ключи ЭПГ владельцев сертификатов УЦ являются не экспортируемыми.
7.1.6Предоставляет владельцу сертификата УЦ сертификат ключа проверки ЭПГ уполномоченного лица УЦ в электронной форме.
7.1.7Обеспечивает владельцам сертификатов УЦ доступ к репозиторию СУЦ и Интернет-ресурсу СУЦ.
7.1.8При передаче документов владельцу сертификата УЦ через его представителя обеспечивает их передачу в порядке, исключающем возможность бесконтрольного несанкционированного доступа к передаваемым документам.
7.1.9Аннулирует, приостанавливает действие сертификата ключа проверки ЭПГ владельца сертификата УЦ на основании его заявления в соответствии с порядком, установленным настоящим стандартом.
7.1.10В случае неисполнения владельцем сертификата УЦ обязанностей по представлению заявления на аннулирование сертификата ключа проверки ЭПГ (приостановление его действия) аннулирует сертификат ключа проверки ЭПГ владельца сертификата УЦ (приостанавливает его действие) на основании заявления руководителя структурного подразделения филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, работником которого является владелец сертификата.
7.1.11В одностороннем порядке приостанавливает действие сертификата ключа проверки ЭПГ владельца сертификата УЦ с обязательным уведомлением его владельца и обоснованием причин приостановления.
7.1.12Возобновляет действие сертификата ключа проверки ЭПГ владельца сертификата УЦ на основании его заявления (исключительно в случае поступления заявления в период срока, на который действие сертификата было приостановлено) в соответствии с порядком, установленным настоящим стандартом.
7.1.13Отказывает в возобновлении действия сертификата ключа проверки ЭПГ владельца сертификата УЦ в случае, если истек установленный срок действия ключа ЭПГ, соответствующего этому сертификату.
7.1.14Уведомляет всех владельцев сертификатов УЦ об аннулировании, приостановлении, возобновлении действия сертификатов ключей проверки ЭПГ, в том числе сертификата уполномоченного лица УЦ.
7.1.15Публикует актуальный список аннулированных (отозванных) сертификатов в репозитории СУЦ не позднее, чем в течение рабочего дня, в который были внесены последние изменения. Период публикации списка аннулированных сертификатов – один день.
7.1.16Осуществляет смену ключевой фразы владельца сертификата УЦ после ее однократного использования при удаленной аутентификации.
7.1.17Принимает меры по исключению возможности несанкционированного доступа к хранящимся в УЦ заявлениям владельцев сертификатов УЦ на регистрацию, генерацию ключей ЭПГ и выпуск сертификатов ключей проверки ЭПГ.
7.1.18Организует свою работу и синхронизирует свои программные и технические средства обеспечения деятельности с источниками Всемирного координированного времени UTC (Coordinated Universal Time) с учетом часового пояса (г. Санкт-Петербург).
Вопросы регистрации УЦ в СУЦ, взаимодействия с владельцами сертификатов других удостоверяющих центров регулируются утвержденными в ОАО «Газпром» Регламентом Корпоративного удостоверяющего центра ОАО «Газпром», Положением о Сети удостоверяющих центров Группы Газпром, а также Порядком разрешения конфликтных ситуаций в Сети удостоверяющих центров Группы Газпром.
8Права и обязанности владельцев сертификатов УЦ
Владелец сертификата УЦ имеет право:
8.1.1Получать сертификат ключа проверки ЭПГ уполномоченного лица УЦ для его применения при проверке ЭПГ уполномоченного лица УЦ в сертификатах ключей проверки ЭПГ, созданных УЦ.
8.1.2Получать актуальный список аннулированных сертификатов ключей проверки ЭПГ, созданных УЦ, для его применения при определении действительности либо недействительности сертификатов ключей проверки ЭПГ на определенный момент времени (статуса сертификата ключа проверки электронной подписи).
8.1.3Применять сертификаты ключей проверки ЭПГ владельцев сертификатов УЦ для проверки ЭПГ электронных документов в соответствии со сведениями, указанными в сертификатах ключей проверки ЭПГ.
8.1.4Обращаться в УЦ для аннулирования сертификата ключа проверки ЭПГ в течение срока действия соответствующего ключа ЭПГ.
8.1.5Обращаться в УЦ для приостановления действия сертификата ключа проверки ЭПГ в течение срока действия соответствующего ключа ЭПГ.
8.1.6Обращаться в УЦ для возобновления действия сертификата ключа проверки ЭПГ в течение срока действия соответствующего ключа ЭПГ и срока, на который действие сертификата было приостановлено.
Владелец сертификата УЦ обязан:
8.1.7Предоставить УЦ достоверную информацию, необходимую для его регистрации и оформления сертификата ключа проверки ЭПГ, включающую необходимые учетные данные: фамилию, имя, отчество, место работы, наименование подразделения, адрес электронной почты, адрес, по которому будут применяться СКЗИ.
8.1.8В течение пяти рабочих дней известить УЦ об изменениях в учетных данных, представленных в УЦ
8.1.9Не реже одного раза в месяц обращаться на Интернет-ресурсы УЦ или СУЦ за сведениями об изменениях и дополнениях, внесенных в настоящий стандарт.
8.1.10Для хранения ключа ЭПГ применять сертифицированный ключевой носитель.
8.1.11Перед первым использованием криптографических ключей произвести замену ПИН-кода ключевого носителя на личный ПИН-код, соблюдать требования к периодической смене ПИН-кода ключевого носителя, установленные настоящим стандартом и иными нормативными актами ОАО «Газпром нефть».
8.1.12Хранить в тайне ключ ЭПГ, принимать все возможные меры для предотвращения его потери, раскрытия, искажения и несанкционированного использования.
8.1.13Хранить в тайне ключевую фразу.
8.1.14Применять для формирования ЭПГ только действующий ключ ЭПГ.
8.1.15Применять ключ ЭПГ только в соответствии с областями использования, указанными в соответствующем данному ключу ЭПГ сертификате ключа проверки ЭПГ (поля Key Usage, Extended Key Usage).
8.1.16Не применять ключ ЭПГ, если владельцу сертификата УЦ стало известно о его компрометации или есть обоснованные предположения о его компрометации.
8.1.17Немедленно обратиться в УЦ с заявлением на аннулирование сертификата ключа проверки ЭПГ или приостановление его действия в случаях компрометации или обоснованного предположения о компрометации ключа ЭПГ.
8.1.18Не использовать ключ ЭПГ, связанный с сертификатом ключа проверки ЭПГ, заявление, на аннулирование которого подано в УЦ, в течение времени, исчисляемого с момента подачи заявления на аннулирование сертификата до момента времени официального уведомления об аннулировании сертификата.
8.1.19Не использовать ключ ЭПГ, связанный с сертификатом ключа проверки ЭПГ, заявление, на приостановление действия которого подано в УЦ, в течение времени, исчисляемого с момента времени подачи заявления на приостановление действия сертификата до момента времени официального уведомления о приостановлении действия сертификата.
8.1.20Не использовать ключ ЭПГ, связанный с сертификатом ключа проверки ЭПГ, который аннулирован или действие которого приостановлено.
8.1.21Самостоятельно контролировать срок действия ключей ЭПГ и не позднее 10 рабочих дней до даты окончания срока их действия (в случае необходимости использования сертификатов в дальнейшем) инициировать процедуру их замены.
8.1.22В случае увольнения предоставить в УЦ заявление на аннулирование (отзыв) сертификата ключа подписи владельца сертификата УЦ и сдать в УЦ выданный ключевой носитель
9Структура сертификатов ключей проверки ЭПГ и сроки действия ключей ЭПГ
Структура сертификатов ключей проверки ЭПГ и списков аннулированных сертификатов, издаваемых УЦ, определена в приложении №1 к настоящему стандарту.
УЦ создает сертификаты ключей проверки электронной подписи владельцев сертификатов УЦ в электронной форме формата X.509 версии 3 и список аннулированных сертификатов (список отозванных сертификатов; СОС) в электронной форме формата X.509 версии 2.
Поля Key Usage, Extended Key Usage сертификатов ключа проверки электронной подписи содержат сведения об отношениях, при которых электронный документ будет иметь юридическое значение.
В сертификате ключа проверки электронной подписи уполномоченного лица УЦ поле Subject (владелец сертификата) содержит псевдоним «Gazprom neft CA», который также используется лицами, наделенными полномочиями по замещению уполномоченного лица УЦ.
Структура сертификатов ключей проверки электронных подписей и списка аннулированных сертификатов, создаваемых УЦ, определена в приложении №1 к настоящему стандарту.
Сертификаты ключей проверки электронных подписей применяются в тех случаях, когда необходимо выполнить следующее:
установить целостность информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников информационных систем;
провести аутентификацию участников информационных систем в процессе взаимодействия;
обеспечить конфиденциальность информации, представленной в электронном виде и передаваемой в процессе взаимодействия участников информационных систем.
Ключи проверки электронных подписей, для которых УЦ выпускает сертификаты ключей проверки электронных подписей, могут иметь следующие области применения:
ЭП (электронная подпись);
шифрование ключей;
шифрование данных;
защищенная электронная почта;
проверка подлинности (аутентификация) клиента;
проверка подлинности (аутентификация) сервера;
служебные области применения:
пользователь Центра Регистрации;
центр Регистрации, КриптоПро ЦР, HTTP, TLS-клиент;
администратор Центра Регистрации;
оператор Центра Регистрации;
подпись ответа службы OCSP;
подпись ответа службы TSP.
Допускается возможность добавления стандартных и создания новых (при необходимости) объектных идентификаторов (OIDs) для других областей применения сертификатов.
Заверение сертификатов ключей проверки электронных подписей производится ЭП уполномоченного лица УЦ.
Подтвердить подлинность ЭП владельца сертификата УЦ в сертификате ключа проверки электронной подписи можно, написав заявление по форме, представленной в Ш- 15.01.06-11.
Срок действия ключа ЭПГ уполномоченного лица УЦ составляет 1 год и 3 месяца.
Начало периода действия ключа ЭПГ уполномоченного лица УЦ исчисляется с даты и времени начала действия соответствующего сертификата ключа проверки ЭПГ.
Срок действия сертификата ключа проверки ЭПГ уполномоченного лица УЦ составляет двенадцать лет.
Срок действия ключа ЭПГ владельца сертификата УЦ составляет один год.
Начало периода действия ключа ЭПГ владельца сертификата УЦ исчисляется с даты и времени начала действия соответствующего сертификата ключа проверки ЭПГ.
Срок действия сертификата ключа проверки ЭПГ владельца сертификата УЦ составляет один год.
УЦ обеспечивает хранение сертификата ключа проверки ЭПГ владельца сертификата УЦ в форме электронного документа после аннулирования сертификата ключа проверки ЭПГ не менее пяти лет. По истечении указанного срока хранения сертификат ключа проверки ЭПГ исключается из реестра сертификатов ключей проверки ЭПГ и переводится в режим архивного хранения. Сертификат ключа проверки ЭПГ в форме документа на бумажном носителе хранится в порядке, установленном действующим законодательством и внутренними документами ОАО «Газпром нефть».
Ключ ЭПГ действует на определенный момент времени (действующий ключ ЭПГ) если:
наступил момент времени начала действия ключа ЭПГ;
срок действия ключа ЭПГ не истек;
сертификат ключа проверки ЭПГ, соответствующий данному ключу ЭПГ не аннулирован (отозван) и действие его не приостановлено.
10Обеспечение жизненного цикла ключей ЭПГ и сертификатов ключей проверки ЭПГ уполномоченного лица УЦ
Уполномоченное лицо УЦ использует ключ ЭПГ исключительно для подписи издаваемых им сертификатов ключей проверки ЭПГ и списков аннулированных сертификатов, обеспечивает сохранность в тайне и защиту от несанкционированного доступа к своему ключу ЭПГ.
Плановая смена (генерация) ключей и создание сертификата ключа проверки ЭПГ уполномоченного лица УЦ выполняется в период действия ключа ЭПГ уполномоченного лица УЦ не позднее, чем через год после начала действия ключа ЭПГ уполномоченного лица УЦ
Процедура плановой смены ключей ЭПГ и создания сертификата ключа проверки ЭПГ уполномоченного лица УЦ выполняется в следующем порядке:
уполномоченное лицо УЦ организует генерацию нового ключа ЭПГ и соответствующего ему ключа проверки ЭПГ;
уполномоченное лицо УЦ организует формирование на основе нового ключа ЭПГ запрос на сертификат ключа проверки ЭПГ и передает его в УЦ-К;
УЦ-К создает сертификат ключа проверки ЭПГ уполномоченного лица УЦ и передает его уполномоченному лицу УЦ в порядке, установленном Регламентом УЦ-К;
уполномоченное лицо УЦ организует работы по инсталляции нового сертификата ключа проверки ЭПГ на программно-аппаратных средствах УЦ.
Уведомление владельцев сертификатов УЦ о проведении смены ключей уполномоченного лица УЦ осуществляется посредством размещения данной информации на информационном портале СУЦ.
Старый ключ ЭПГ уполномоченного лица УЦ используется в течение своего срока действия для формирования списков аннулированных сертификатов, созданных УЦ в период действия старого ключа ЭПГ уполномоченного лица УЦ.
Процедура внеплановой смены ключей ЭПГ и создания сертификата ключа проверки ЭПГ уполномоченного лица УЦ в случае компрометации или подозрения на компрометацию ключа ЭПГ уполномоченного лица УЦ выполняется в следующем порядке:
уполномоченное лицо УЦ обращается в УЦ-К с заявлением об аннулировании сертификата в порядке, установленном Регламентом УЦ-К;
УЦ информирует владельцев сертификатов УЦ о факте компрометации ключа ЭПГ уполномоченного лица УЦ посредством размещения данной информации на информационном портале СУЦ;
УЦ выполняет процедуру смены ключей ЭПГ в порядке, аналогичном установленному для плановой смены ключей ЭПГ (пункт 7.3 настоящего стандарта).
При этом, в отличие от случая плановой смены, старый (скомпрометированный) ключ ЭПГ не может использоваться для формирования списков аннулированных сертификатов.
Подписанные с использованием скомпрометированного ключа ЭПГ уполномоченного лица УЦ и действовавшие на момент компрометации ключа ЭПГ уполномоченного лица УЦ сертификаты ключей проверки ЭПГ, а также сертификаты, действие которых было приостановлено, подлежат внеплановой смене.
Порядок внеплановой смены ключей ЭПГ и создания сертификата ключа проверки ЭПГ уполномоченного лица УЦ в случае компрометации или подозрения на компрометацию ключа ЭПГ уполномоченного лица УЦ-К установлен Регламентом УЦ-К.
11Регистрация в УЦ и обеспечение жизненного цикла ключей ЭПГ и сертификатов ключей проверки ЭПГ владельца сертификата УЦ
Порядок регистрации владельца сертификата УЦ и создания сертификата ключа проверки ЭПГ.
11.1.1Регистрация владельца сертификата УЦ и создание сертификата ключа проверки ЭПГ осуществляются на основании его заявления, составленного по форме согласно Ш- 15.01.06-01 при личном прибытии физического лица, проходящего процедуру регистрации, в УЦ.
Заявление может быть представлено в УЦ представителем заявителя на основании доверенности, составленной по форме согласно Ш- 15.01.06-03.
Заявление работника ОАО «Газпром нефть» подтверждается подписью начальника структурного подразделения.
Заявление работника филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, подтверждается подписью руководителя организации (филиала, представительства) и заверяется печатью организации (филиала, представительства).
Факт присоединения работника ОАО «Газпром нефть», а также его филиала, представительства, дочернего общества и организации к стандарту является полным принятием им условий стандарта. Владелец сертификата УЦ принимает дальнейшие изменения (дополнения), вносимые в стандарт, в соответствии с условиями стандарта.
Администратор УЦ выполняет процедуру идентификации работника ОАО «Газпром нефть», а также его филиала, представительства, дочернего общества и организации, проходящего процедуру регистрации, путем установления личности по паспорту.
После положительной идентификации лица, проходящего процедуру регистрации, администратор УЦ принимает документы и осуществляет их рассмотрение.
Решение о регистрации, генерации ключей ЭПГ и проверки ЭПГ и создания сертификата ключа проверки ЭПГ принимает уполномоченное лицо УЦ (лицо, временно его замещающее).
В случае отказа в регистрации, заявление с резолюцией УЦ с указанием причины отклонения заявления возвращается физическому лицу, подавшему заявление.
11.1.2Заявление на создание сертификата ключа проверки ЭПГ серверной аутентификации:
Для формирования ключей ЭПГ и проверки ЭПГ сервера и создания сертификата ключа проверки ЭПГ серверной аутентификации заявление подается от имени физического лица, ответственного за функционирование данного сервера (ответственное лицо). Заявление подписывается ответственным лицом.
Форма заявления на формирование ключей ЭПГ и проверки ЭПГ сервера и создание сертификата ключа проверки ЭПГ серверной аутентификации определена в Ш- 15.01.06-02 к стандарту. В заявлении помимо точного доменного имени самого сервера указываются данные ответственного лица.
Заявление работника ОАО «Газпром нефть» подтверждается подписью начальника структурного подразделения.
Заявление работника филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, заверяется подписью руководителя организации (филиала, представительства), а также печатью организации (филиала, представительства).
11.1.3В случае принятия положительного решения по регистрации владельца сертификата и создания сертификата ключа проверки ЭПГ УЦ вносит соответствующую информацию в реестр владельцев сертификатов УЦ, создает ключи ЭПГ и проверки ЭПГ и сертификат ключа проверки ЭПГ владельца сертификата ключа проверки ЭПГ на предоставляемый владельцу сертификата УЦ ключевой носитель (только для работников ОАО «Газпром нефть»). Запись ключа ЭПГ и сертификата ключа проверки ЭПГ для работников филиалов, представительств ОАО «Газпром нефть», его дочерних обществ и организаций, осуществляется на предоставленный ими ключевой носитель.
11.1.4В качестве ключевых носителей допускается использование только сертифицированных ФСТЭК России USB-ключей и смарт-карт eToken PRO.
При централизованном режиме работы УЦ по обеспечению жизненного цикла ключей и сертификатов ключей проверки ЭПГ операция создания сертификата ключа проверки ЭПГ совмещена с операцией создания ключей электронной подписи и проверки электронной подписи.
При распределенном режиме работы УЦ по обеспечению жизненного цикла ключей и сертификатов ключей проверки ЭПГ операция создания сертификата ключа проверки ЭПГ не совмещена с операцией создания ключей электронной подписи и проверки электронной подписи.
11.1.5При централизованном режиме работы УЦ создает сертификат ключа проверки ЭПГ на бумажном носителе по форме согласно приложению №2 к настоящему стандарту. Сертификаты ключей проверки ЭПГ на бумажном носителе заверяются собственноручной подписью заявителя или его представителя, а также собственноручной подписью уполномоченного лица УЦ и печатью УЦ.
11.1.6После создания сертификата ключа проверки ЭПГ УЦ публикует его в течение суток в репозитории СУЦ.
11.1.7Факт передачи сертификата ключа проверки ЭПГ и ключа ЭПГ фиксируется в заявлении на регистрацию владельца сертификата ключа проверки ЭПГ УЦ, генерацию ключей и создание сертификата ключа проверки ЭПГ и удостоверяется личной подписью владельца сертификата УЦ или его представителя.
11.1.8По окончании процедуры регистрации владельцу сертификата УЦ передаются:
ключевой носитель, содержащий ключ ЭПГ и сертификат ключа проверки ЭПГ владельца сертификата УЦ;
сертификат ключа проверки ЭПГ владельца сертификата УЦ на бумажном носителе;
копия заявления УЦ на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификата с резолюцией уполномоченного лица УЦ (лица, временно его замещающего) и отметкой о произведенной регистрации владельца сертификата УЦ, генерации ключей ЭПГ и проверки ЭПГ и сертификата ключа проверки ЭПГ и их передаче заявителю;
распечатанный на бумажном носителе адрес в формате URL страницы Интернет-ресурса СУЦ, на которой владелец сертификата УЦ может получить электронные версии действующих сертификатов ключей проверки ЭПГ уполномоченных лиц Корпоративного удостоверяющего центра ОАО «Газпром» и УЦ, а также последние выпущенные версии списков аннулированных сертификатов указанных удостоверяющих центров.
11.1.9Факт передачи сертификата ключа проверки ЭПГ и ключа ЭПГ фиксируется в заявлении на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификата ключа проверки ЭПГ и удостоверяется личной подписью или его доверенного лица.
11.1.10В процессе проведения процедуры регистрации владелец сертификата УЦ сообщает УЦ ключевую фразу, которая будет использоваться для удаленной аутентификации владельца сертификата УЦ при компрометации его ключа ЭПГ. Ключевая фраза вписывается в заявление на регистрацию.
При прохождении процедуры регистрации представителем заявителя ключевая фраза выбирается и вписывается в заявление администратором УЦ лично, исключая возможность ознакомления с ней доверенного лица.
11.1.11Ключевой носитель, ключевая фраза, распечатанная администратором УЦ на бумажном носителе, при передаче их представителю владельца сертификата УЦ помещаются в запечатанный специальный пакет серии «Security», позволяющий гарантированно выявить попытку или факт его несанкционированного вскрытия. На пакете должны быть указаны в поле «Отправитель»: наименование УЦ, а также фамилия, имя, отчество и подпись представителя УЦ; в поле «Получатель»: фамилия, имя, отчество владельца сертификата УЦ, наименование филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, работником которого он является.
При получении данного пакета владелец сертификата УЦ обязан удостовериться в целостности конверта и его содержимого. В случае подозрения на то, что пакет был вскрыт, необходимо немедленно сообщить об этом в УЦ. Использование ключей ЭПГ в случае несанкционированного вскрытия данного пакета запрещается.
Формирование ключей ЭПГ и проверки ЭПГ в дальнейшем, в случае окончания действия сертификата ключа проверки ЭПГ или компрометации ключа ЭПГ, осуществляется УЦ по обращению владельца сертификата УЦ на основании заявления на перегенерацию ключей ЭПГ и проверки ЭПГ и создание сертификата (по форме, приведенной в Ш- 15.01.06-04 к стандарту).
Плановая смена ключей и сертификата ключа проверки ЭПГ владельца сертификата может осуществляться в централизованном и распределенном режимах.
11.1.12При централизованном режиме порядок плановой смены ключей и сертификата ключа проверки ЭПГ аналогичен порядку, установленному для регистрации владельца сертификата УЦ (пункт 8.1. настоящего документа) и осуществляется на основании заявления Ш- 15.01.06-02, которое владелец сертификата УЦ должен направить в УЦ не позднее, чем за 10 дней до окончания срока действия ключа ЭПГ.
11.1.13При распределенном режиме генерация ключей и формирование заявления на создание сертификата ключа проверки ЭПГ осуществляется
на автоматизированном рабочем месте владельца сертификата УЦ посредством web-интерфейса (https://cr.gazprom-neft.ru/ui/), предоставляемого УЦ. Заявление на создание сертификата ключа проверки ЭПГ в электронной форме представляет собой электронный документ в формате PKCS#10, подписанный ЭПГ владельца сертификата УЦ.
Внеплановая смена ключа ЭПГ и сертификата ключа проверки ЭПГ владельца сертификата УЦ осуществляется в следующих случаях:
при компрометации ключа ЭПГ владельца сертификата УЦ;
при компрометации ключа ЭПГ уполномоченного лица УЦ;
если владелец сертификата УЦ по каким-либо причинам не смог осуществить плановую смену ключа ЭПГ в установленные для этой процедуры сроки.
Аннулирование сертификата ключа проверки ЭПГ владельца сертификата УЦ.
11.1.14Аннулирование сертификата ключа проверки ЭПГ владельца сертификата УЦ осуществляется в случае компрометации ключа ЭПГ в связи с:
утратой ключевого носителя;
утратой ключевого носителя с последующим обнаружением;
увольнением работников, имевших доступ к ключу ЭПГ;
доступом посторонних лиц к ключу ЭПГ;
несанкционированным нарушением целостности печатей на сейфах с ключевыми носителями (в случае использования процедуры опечатывания сейфов);
иными обстоятельствами, прямо или косвенно свидетельствующими о факте несанкционированного доступа к ключу ЭПГ.
11.1.15При наступлении любого из перечисленных в пункте 7.4.1 событий владелец сертификата УЦ должен немедленно сообщить в УЦ о факте компрометации (или предполагаемом факте компрометации).
При этом УЦ может быть принято решение о возможности дальнейшего использования сертификата ключа проверки ЭПГ в связи с неподтверждением факта компрометации.
Действие сертификатов ключей проверки ЭПГ, ключи ЭПГ которых предположительно были скомпрометированы, должно быть приостановлено на основании заявления владельца сертификата УЦ.
11.1.16Аннулирование сертификата ключа проверки ЭПГ осуществляется на основании заявления владельца сертификата УЦ, составленного по форме согласно Ш- 15.01.06-06, либо руководителя самостоятельного структурного подразделения, работником которого является владелец сертификата, по форме согласно Ш- 15.01.06-07.
11.1.17Заявление на аннулирование (отзыв) сертификата ключа проверки ЭПГ может быть направлено в УЦ по почте или передано при личном прибытии в УЦ владельца сертификата либо уполномоченного представителя владельца сертификата, действующего на основании доверенности (доверенного лица) на передачу документов в УЦ. Доверенность на передачу документов в УЦ должна быть составлена по форме, приведенной в Ш- 15.01.06-10 к стандарту. Заявление на аннулирование (отзыв) сертификата ключа проверки ЭПГ передается непосредственно представителю УЦ.
11.1.18По истечении шести месяцев с момента аннулирования сертификата ключа проверки ЭПГ в случае отсутствия заявления от владельца сертификата УЦ на генерацию ключей ЭПГ и проверки ЭПГ и создание нового сертификата ключа проверки ЭПГ регистрационные данные владельца сертификата УЦ удаляются из реестра владельцев сертификатов ключей ЭПГ УЦ.
11.1.19После аннулирования сертификата ключа проверки ЭПГ в заявлении на аннулирование работником УЦ делается отметка об аннулировании сертификата ключа проверки ЭПГ и внесении его в список аннулированных сертификатов.
11.1.20Аннулирование сертификата ключа проверки ЭПГ и официальное уведомление об аннулировании сертификата ключа проверки ЭПГ должны быть осуществлены не позднее рабочего дня, следующего за рабочим днем, в течение которого было зарегистрировано заявление в УЦ.
11.1.21Официальным уведомлением о факте аннулирования сертификата ключа проверки ЭПГ является опубликование списка аннулированных сертификатов, содержащего сведения об аннулированном сертификате ключа проверки ЭПГ. Временем аннулирования сертификата ключа проверки ЭПГ признается время издания списка аннулированных сертификатов, содержащего сведения об аннулированном сертификате ключа проверки ЭПГ.
11.1.22Информация о месте публикации списка аннулированных сертификатов заносится в созданные УЦ сертификаты ключей проверки ЭПГ.
Приостановление действия сертификата ключа проверки ЭПГ владельца сертификата УЦ.
11.1.23Приостановление действия сертификата ключа проверки ЭПГ, созданного УЦ, осуществляется УЦ по заявлению на приостановление действия сертификата ключа проверки ЭПГ его владельца, составленного по форме согласно Ш- 15.01.06-08, или по решению руководителя структурного подразделения (для заявителей, являющихся работниками ОАО «Газпром нефть»), или руководителя организации (для заявителей, являющихся работниками филиалов, представительств ОАО «Газпром нефть», его дочерних обществ и организаций), заверенной печатью организации, по форме согласно Ш- 15.01.06-09.
11.1.24Срок приостановления действия сертификата ключа проверки ЭПГ исчисляется в днях. Минимальный срок приостановления действия сертификата ключа проверки ЭПГ составляет десять дней.
11.1.25Если в течение срока приостановления действия сертификата ключа проверки ЭПГ действие этого сертификата ключа проверки ЭПГ не будет возобновлено, сертификат ключа проверки ЭПГ аннулируется УЦ.
11.1.26После приостановления действия сертификата ключа проверки ЭПГ в заявлении на приостановление действия сертификата ключа проверки ЭПГ работником УЦ делается отметка о произведенном приостановлении действия сертификата ключа проверки ЭПГ и внесении его в список аннулированных сертификатов.
11.1.27Приостановление действия сертификата ключа проверки ЭПГ и официальное уведомление о приостановлении действия сертификата ключа проверки ЭПГ должны быть осуществлены не позднее рабочего дня, следующего за рабочим днем, в течение которого УЦ было принято заявление.
11.1.28Официальным уведомлением о приостановлении действия сертификата ключа проверки ЭПГ является опубликование списка аннулированных сертификатов, содержащего сведения о сертификате ключа проверки ЭПГ, действие которого было приостановлено. Временем приостановления действия сертификата ключа проверки ЭПГ признается время издания списка аннулированных сертификатов, содержащего сведения о сертификате ключа проверки ЭПГ, действие которого было приостановлено.
11.1.29Заявление на приостановление действия сертификата ключа проверки ЭПГ в устной форме подается в УЦ посредством телефонной связи с предварительным прохождением процедуры удаленной аутентификации владельца сертификата УЦ с использованием ключевой фразы, указанной в заявлении на регистрацию.
Для успешного прохождения процедуры удаленной аутентификации владелец сертификата УЦ сообщает в УЦ следующие сведения:
идентификационные данные владельца сертификата ключа проверки ЭПГ;
серийный номер сертификата ключа проверки ЭПГ, действие которого приостанавливается;
срок, на который приостанавливается действие сертификата ключа проверки ЭПГ;
ключевую фразу владельца сертификата УЦ (ключевая фраза определяется в процессе регистрации владельца сертификата УЦ);
причина приостановки действия сертификата ключа проверки ЭПГ.
После подачи заявления на приостановление действия сертификата ключа проверки ЭПГ в устной форме в течение пятидневного срока в УЦ должно быть подано заявление на бумажном носителе.
После однократно произведенной удаленной аутентификации, УЦ осуществляет смену ключевой фразы путем направления в адрес владельца сертификата УЦ новой ключевой фразы в виде зашифрованного электронного сообщения с ЭПГ работника УЦ. Новая ключевая фраза вносится работником УЦ в заявление на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификата ключа проверки ЭПГ, а также владельцем сертификата УЦ в свой экземпляр данного заявления.
Возобновление действия сертификата ключа проверки ЭПГ.
11.1.30Возобновление действия сертификата ключа проверки ЭПГ может быть осуществлено исключительно в период приостановления действия сертификата ключа проверки ЭПГ.
11.1.31Возобновление действия сертификата ключа проверки ЭПГ, созданного УЦ, осуществляется УЦ на основании заявления, составленного по форме согласно Ш- 15.01.06-05.
11.1.32Возобновление действия сертификата ключа проверки ЭПГ и официальное уведомление о возобновлении действия сертификата ключа проверки ЭПГ должны быть осуществлены не позднее рабочего дня, следующего за рабочим днем, в течение которого УЦ было принято заявление.
11.1.33Официальным уведомлением о возобновлении действия сертификата ключа проверки ЭПГ является опубликование списка аннулированных сертификатов, не содержащего сведений о сертификате ключа проверки ЭПГ, действие которого было возобновлено. Временем возобновления действия сертификата ключа проверки ЭПГ признается время издания списка аннулированных сертификатов, не содержащего сведений о сертификате ключа проверки ЭПГ, действие которого было возобновлено.
Заявления могут направляться в УЦ в виде электронных документов, подписанных ЭПГ владельца сертификата УЦ или его руководителя (кроме заявления на первичную регистрацию в УЦ и аннулирование сертификата в случае компрометации ключа ЭПГ)
12Разбор конфликтных ситуаций, связанных с применением ЭПГ
Методика проведения разбора конфликтных ситуаций определена в нормативных документах СУЦ.
13Архивирование документов
Состав архивируемых документов
Архивированию подлежит следующая документированная информация:
реестр сертификатов ключей проверки ЭПГ владельцев сертификатов УЦ;
сертификаты ключей проверки ЭПГ уполномоченного лица УЦ;
реестр владельцев сертификатов УЦ;
заявления на регистрацию владельцев сертификатов УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификатов ключей проверки ЭПГ;
заявления на генерацию ключей ЭПГ и проверки ЭПГ и создание сертификатов ключей проверки ЭПГ серверной аутентификации;
заявления на перегенерацию ключей ЭПГ и проверки ЭПГ и создание сертификатов;
заявления на аннулирование (отзыв) сертификатов ключей проверки ЭПГ владельца сертификата УЦ;
заявления на приостановление действия сертификатов ключей проверки ЭПГ владельца сертификата УЦ;
заявления на возобновление действия сертификатов ключей проверки ЭПГ владельца сертификата УЦ;
выпущенные списки аннулированных сертификатов;
иные документы УЦ.
Порядок учета, хранения и уничтожения архивных документов
Учет, хранение и уничтожение документов УЦ осуществляется в порядке, установленном в ОАО «Газпром нефть».
|
