Засоби та комплекси

Створення центрів сертифікації ключів

Загальні відомості

Центр сертифікації ключів (ЦСК) – це ІТС, яка призначена для обслуговування сертифікатів та надання інших послуг (ЕЦП, фіксування часу та ін.).

ЦСК забезпечує:
  • обслуговування сертифікатів відкритих ключів (далі – сертифікатів) користувачів, що включає:
    • реєстрацію користувачів;
    • сертифікацію відкритих ключів користувачів;
    • розповсюдження сертифікатів через інформаційний ресурс;
    • управління статусом сертифікатів
    • розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу;
  • надання користувачам засобів ЕЦП та шифрування даних, а також засобів генерації та управління ключами.

ЦСК створюється як ІТС класу 2 – технічні засоби комплексу об’єднані у локальну обчислювальну мережу (ЛОМ) з використанням внутрішньої комунікаційної мережі з наявністю підключення до зовнішніх комунікаційних мереж. Окремі технічні засоби комплексу ізольовані від мереж передачі даних та реалізовані у вигляді ІТС класу 1.

Структура та склад центру сертифікації ключів

Технічна основа ЦСК - його програмно-технічний комплекс.

До складу програмно-технічного комплексу (ПТК) входять такі технічні засоби (структурна схема комплексу технічних засобів наведена на рисунку):
  • робочі станції (РС) обслуговуючого персоналу (адміністратора безпеки, системного адміністратора та адміністратора реєстрації);
  • центральні сервери (сервери ЦСК);
  • внутрішнє комунікаційне обладнання локальної обчислювальної мережі (ЛОМ);
  • сервери взаємодії;
  • комунікаційне обладнання для підключення до зовнішніх комунікаційних мереж (ЗКМ).
  • РС генерації ключів користувачів (ізольована);
  • РС віддалених адміністраторів реєстрації (відокремлені).

Рисунок. Структурна схема комплексу технічних засобів.


Окремо (до складу програмно-технічного комплексу відокремленого пункту реєстрації) входить РС віддаленого адміністратора.

РС адміністратора безпеки, адміністратора сертифікації, системного адміністратора, адміністратора реєстрації, центральні сервери та сервери взаємодії мають взаємодіяти через внутрішню комунікаційну мережу на основі кабельної мережі та комутаторів і утворювати ЛОМ.

Центральні сервери, сервери взаємодії, їх ДБЖ, мережний комутатор, комутатор терміналів, МЕ, а також криптомодулі і мережні криптомодулі мають бути розміщені у екранованій шафі чи у звичайні шафі у екранованому приміщенні.

У випадку, якщо функції центральних серверів, що пов’язані з формуванням сертифікатів та списків відкликаних сертифікатів (під час яких використовується особистий ключ ЦСК) виконує РС адміністратора сертифікації, вона має бути реалізована на основі ПЕОМ у захищеному виконанні або розміщена у екранованій кабіні чи екранованому приміщенні.

Сервери можуть бути з’єднані у окрему ЛОМ з використанням власного комутатора та підключатися до комутатора РС через електричний кабель або волоконно-оптичну лінію зв’язку (ВОЛЗ). Можливе також об’єднання комутаторів серверів та РС у один спільний комутатор ЛОМ. У цьому випадку РС обслуговуючого персоналу підключають до комутатора окремими електричними кабелями чи ВОЛЗ.

Сервери взаємодії мають підключатися до зовнішньої комунікаційної мережі через зовнішній МЕ (із вбудованою IPS). Для підключення серверів взаємодії до комутатора та до МЕ мають використовуватися різні мережні адаптери.

МЕ з IPS мають підключатися до зовнішньої комунікаційної мережі через комунікаційне обладнання оператора послуг передачі даних через електричний кабель або через ВОЛЗ. У випадку використання для такого підключення ВОЛЗ, мають використовуватися або оптичні мережні порти МЕ або конвертори середовища.

Комплекс взаємодіє з ПТК центрів та ІТС інших зовнішніх користувачів через сервери взаємодії.

Функціональною основою комплексу є спеціалізовані апаратні та програмні засоби КЗІ і включає:
  • програмний комплекс ЦСК “ІІТ ЦСК-1”;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”);
  • мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”);
  • програмний комплекс віддаленого адміністратора реєстрації ЦСК “ІІТ ЦСК-1. Віддалений адміністратор реєстрації”;
  • програмний комплекс користувача ЦСК “ІІТ Користувач ЦСК-1”;
  • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”).

Криптомодуль “Гряда-61” призначений для апаратної реалізації формування ЕЦП і у складі центральних серверів чи РС адміністратора сертифікації і забезпечує використання та захист особистого ключа ЦСК. Особистий ключ ЦСК генерується, зберігається та використовується тільки у середині пристрою.

Мережний криптомодуль “Гряда-301” призначений для апаратної реалізації криптографічних перетворень у складі центральних серверів ЦСК (CMP, TSP та OCSP).

У складі програмного забезпечення користувачів ЦСК може використовуватися апаратний електронний ключ “Кристал-1”. Електронний ключ призначений для апаратної реалізації криптографічних перетворень. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратного-програмно середовища.

Порядок створення

Створення та впровадження ЦСК здійснюється згідно правил посиленої сертифікації, які визначають вимоги до ЦСК. Етапи створення та впровадження ЦСК наведені нижче.

1 Початкові та передпроектні роботи, які включають:
  • категоріювання та обстеження ЦСК (приміщень та автоматизованої системи);
  • підготовку початкової організаційно-розпорядчої документації.

2 Проектні роботи, які включають:
  • розробку технічного завдання на комплексну систему захисту інформації (КСЗІ) ЦСК;
  • погодження технічного завдання на КСЗІ ЦСК з Держспецзв'язком України (за необхідності);
  • розробку вимог до будівельно-монтажних робіт у частині захисту інформації (за необхідності);
  • розробку робочого проекту ЦСК;
  • розробку експлуатаційної документації на ЦСК (в т.ч. і інструкцій з КЗІ);
  • погодження інструкцій з КЗІ з Держспецзв'язком України (за необхідності);
  • розробку організаційно-розпорядчої документації (в т.ч. і регламенту);
  • погодження регламенту з Держспецзв'язком України чи іншим контролюючим органом.

3 Створення та впровадження, що включає:
  • участь у проведенні чи проведення будівельно-монтажних робіт (за необхідності - створення комплексу ТЗІ тощо);
  • постачання та монтаж обладнання, інсталяція програмного забезпечення (розгортання ПТК);
  • розробку програми внутрішніх випробувань;
  • навчання обслуговуючого персоналу;
  • супровід проведення внутрішніх випробувань та дослідної експлуатації.

4 Експертизи та акредитація, які включають:
  • отримання експертного висновку на ПТК ЦСК в галузі КЗІ Держспецзв'язку України (за необхідністю);
  • підготовка документів до атестації КСЗІ в Держспецзв'язку України (організація проведення, за необхідності, експертизи КСЗІ - у галузі ТЗІ).
  • підготовку документів до акредитації чи реєстрації у центральному засвідчувальному органі (ЦЗО) або засвідчувальному центрі (ЗЦ);
  • супровід проведення експертних робіт під час акредитації чи реєстрації.

Результати

Результат виконання робіт - створений ЦСК та отримані на нього дозвільні документи, а саме:
  • експертний висновок у галузі КЗІ на програмно-технічний комплекс;
  • атестат відповідності КСЗІ (за необхідності);
  • свідоцтво про акредитацію або свідоцтво чи посвідчення про реєстрацію.

Повернутись до списку