Загальні відомості

Центр сертифікації ключів (ЦСК) або надавач електронних довірчих послуг (ЕДП) – це інформаційно-комунікаційна система (ІКС), яка призначена для обслуговування сертифікатів та надання інших послуг (електронного підпису (ЕП), фіксування часу та ін.).

ЦСК (надавач ЕДП) забезпечує:

• обслуговування сертифікатів відкритих ключів (далі – сертифікатів) користувачів, що включає:
• реєстрацію користувачів;
• сертифікацію відкритих ключів користувачів;
• розповсюдження сертифікатів через інформаційний ресурс;
• управління статусом сертифікатів
• розповсюдження інформації про статус сертифікатів;
• надання послуг фіксування часу;
• надання користувачам засобів ЕП та шифрування даних, а також засобів генерації та управління ключами.

ЦСК (надавач ЕДП) створюється як ІКС класу 2 – технічні засоби комплексу об’єднані у локальну обчислювальну мережу (ЛОМ) з використанням внутрішньої комунікаційної мережі з наявністю підключення до зовнішніх комунікаційних мереж. Окремі технічні засоби комплексу ізольовані від мереж передачі даних та реалізовані у вигляді ІКС класу 1.

Структура та склад центру сертифікації ключів (надавача ЕДП)

Технічна основа ЦСК (надавача ЕДП) - його програмно-технічний комплекс.

До складу програмно-технічного комплексу (ПТК) входять такі технічні засоби (структурна схема комплексу технічних засобів наведена на рисунку):

• робочі станції (РС) обслуговуючого персоналу (адміністратора безпеки, системного адміністратора та адміністратора реєстрації);
• центральні сервери (сервери ЦСК);
• внутрішнє комунікаційне обладнання локальної обчислювальної мережі (ЛОМ);
• сервери взаємодії;
• комунікаційне обладнання для підключення до зовнішніх комунікаційних мереж (ЗКМ).
• РС генерації ключів користувачів (ізольована);
• РС віддалених адміністраторів реєстрації (відокремлені).

Рисунок. Структурна схема комплексу технічних засобів.


Окремо (до складу програмно-технічного комплексу відокремленого пункту реєстрації) входить РС віддаленого адміністратора.

РС адміністратора безпеки, адміністратора сертифікації, системного адміністратора, адміністратора реєстрації, центральні сервери та сервери взаємодії мають взаємодіяти через внутрішню комунікаційну мережу на основі кабельної мережі та комутаторів і утворювати ЛОМ.

Центральні сервери, сервери взаємодії, їх ДБЖ, мережний комутатор, комутатор терміналів, МЕ, а також криптомодулі і мережні криптомодулі мають бути розміщені у екранованій шафі чи у звичайні шафі у екранованому приміщенні.

У випадку, якщо функції центральних серверів, що пов’язані з формуванням сертифікатів та списків відкликаних сертифікатів (під час яких використовується особистий ключ ЦСК) виконує РС адміністратора сертифікації, вона має бути реалізована на основі ПЕОМ у захищеному виконанні або розміщена у екранованій кабіні чи екранованому приміщенні.

Сервери можуть бути з’єднані у окрему ЛОМ з використанням власного комутатора та підключатися до комутатора РС через електричний кабель або волоконно-оптичну лінію зв’язку (ВОЛЗ). Можливе також об’єднання комутаторів серверів та РС у один спільний комутатор ЛОМ. У цьому випадку РС обслуговуючого персоналу підключають до комутатора окремими електричними кабелями чи ВОЛЗ.

Сервери взаємодії мають підключатися до зовнішньої комунікаційної мережі через зовнішній МЕ (із вбудованою IPS). Для підключення серверів взаємодії до комутатора та до МЕ мають використовуватися різні мережні адаптери.

МЕ з IPS мають підключатися до зовнішньої комунікаційної мережі через комунікаційне обладнання оператора послуг передачі даних через електричний кабель або через ВОЛЗ. У випадку використання для такого підключення ВОЛЗ, мають використовуватися або оптичні мережні порти МЕ або конвертори середовища.

Комплекс взаємодіє з ПТК центрів та ІКС інших зовнішніх користувачів через сервери взаємодії.

Функціональною основою комплексу є спеціалізовані апаратні та програмні засоби КЗІ і включає:

• програмний комплекс ЦСК “ІІТ ЦСК-1”;
• мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”);
• програмний комплекс віддаленого адміністратора реєстрації ЦСК “ІІТ ЦСК-1. Віддалений адміністратор реєстрації”;
• програмний комплекс користувача ЦСК “ІІТ Користувач ЦСК-1”;
• електронний ключ “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”).

Мережний криптомодуль “Гряда-301” призначений для апаратної реалізації формування ЕП і у складі центральних серверів ЦСК і забезпечує використання та захист особистого ключа ЦСК і серверів ЦСК (CMP, TSP та OCSP). Особисті ключі ЦСК та серверів ЦСК генеруються, зберігаються та використовуються тільки у середині пристрою.

У складі програмного забезпечення користувачів ЦСК може використовуватися апаратний електронний ключ “Алмаз-1К”. Електронний ключ призначений для апаратної реалізації криптографічних перетворень. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратного-програмно середовища.

Порядок створення

Створення та впровадження ЦСК (надавача ЕДП) здійснюється згідно вимог у сфері ЕДП та вимог до технічних засобів, процесів їх створення, використання та функціонування у складі ІКС під час надання ЕДП, які визначають вимоги до ЦСК. Етапи створення та впровадження ЦСК наведені нижче. 1 Початкові та передпроектні роботи, які включають:

• категоріювання та обстеження ЦСК (приміщень та автоматизованої системи);
• підготовку початкової організаційно-розпорядчої документації.

2 Проектні роботи, які включають:

• розробку технічного завдання на комплексну систему захисту інформації (КСЗІ) ЦСК;
• погодження технічного завдання на КСЗІ ЦСК з Держспецзв'язком (за необхідності);
• розробку вимог до будівельно-монтажних робіт у частині захисту інформації (за необхідності);
• розробку робочого проекту ЦСК;
• розробку експлуатаційної документації на ЦСК (в т.ч. і інструкцій з КЗІ);
• погодження інструкцій з КЗІ з Держспецзв'язком (за необхідності);
• розробку організаційно-розпорядчої документації (в т.ч. і регламенту);
• погодження регламенту з Держспецзв'язком чи іншим контролюючим органом.

3 Створення та впровадження, що включає:

• участь у проведенні чи проведення будівельно-монтажних робіт (за необхідності - створення комплексу ТЗІ тощо);
• постачання та монтаж обладнання, інсталяція програмного забезпечення (розгортання ПТК);
• розробку програми внутрішніх випробувань;
• навчання обслуговуючого персоналу;
• супровід проведення внутрішніх випробувань та дослідної експлуатації.

4 Експертизи та включення надавача ЕДП (ЦСК) до довірчого списку, які включають:

• отримання експертного висновку на ПТК ЦСК в галузі КЗІ Держспецзв'язку (за необхідністю);
• підготовка документів до атестації КСЗІ в Держспецзв'язку (організація проведення, за необхідності, експертизи КСЗІ - у галузі ТЗІ).
• підготовку документів для включення надавача ЕДП (ЦСК) до довірчого списку через центральний засвідчувальний орган (ЦЗО) або засвідчувальний центр (ЗЦ).

Результати

Результат виконання робіт - створений ЦСК та отримані на нього дозвільні документи, а саме:

• експертний висновок у галузі КЗІ на програмно-технічний комплекс;
• атестат відповідності КСЗІ (за необхідності);
• включення ЦСК (надавача ЕДП) до довірчого списку.