СК - Gazprom Neft · 2020-06-15 · СК-15.01.06 3 1 Область применения...

СК-15.01.06

2

Содержание

1 Область применения ..................................................................................................... 3

2 Нормативные ссылки .................................................................................................... 3

3 Термины и сокращения ................................................................................................. 3

4 Удостоверяющий центр Общества ............................................................................. 3

5 Права и обязанности владельцев сертификатов УЦ ............................................... 5

6 Структура сертификатов ключей проверки ЭПГ и сроки действия ключей ЭПГ . 6

7 Обеспечение жизненного цикла ключей ЭПГ и сертификатов ключей проверки ЭПГ уполномоченного лица УЦ ................................................................................... 8

8 Регистрация в УЦ и обеспечение жизненного цикла ключей ЭПГ и сертификатов ключей проверки ЭПГ владельца сертификата УЦ .................................................. 9

9 Разбор конфликтных ситуаций, связанных с применением ЭПГ ........................ 13

10 Архивирование документов ....................................................................................... 13

11 Контроль обеспечения безопасности....................................................................... 14

12 Заключительные положения ..................................................................................... 17

СК-15.01.06

3

1 Область применения

Настоящий Регламент определяет порядок деятельности Удостоверяющего центра ОАО «Газпромнефть-ННГ» (далее УЦ).

2 Нормативные ссылки*

Стандарт СК-15.04.06-2010-1.А «Регламент работы Удостоверяющего центра»

Приказ от 21.10.2010 № 1431-П «О создании удостоверяющего центра ОАО «Газпромнефть-ННГ»»

КТ-004 Термины и сокращения

3 Термины и сокращения

владелец сертификата ключа проверки электронной подписи (владелец сертификата): лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки электронной подписи

инфраструктура открытых ключей: технологическая инфраструктура и сервисы, обеспечивающие выпуск и управление сертификатами ключей проверки электронной подписи

сеть удостоверяющих центров Группы Газпром (СУЦ): совокупность удостоверяющих центров СУЦ, объединенных на основе доверительных отношений и действующих на основании Положения о Сети удостоверяющих центров Группы Газпром

репозиторий СУЦ: информационный ресурс Сети удостоверяющих центров Группы Газпром (далее СУЦ), на котором размещается технологическая информация для функционирования СУЦ (сертификаты, списки аннулированных сертификатов и т.д.)

сертификат ключа проверки электронной подписи: электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи

удостоверяющий центр СУЦ: удостоверяющий центр, зарегистрированный в СУЦ

уполномоченное лицо удостоверяющего центра СУЦ: представитель удостоверяющего центра СУЦ, наделенный полномочиями по заверению сертификатов ключей проверки электронной подписи

электронная подпись: информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию

электронная подпись в корпоративных информационных системах Группы Газпром (ЭПГ): усиленная неквалифицированная электронная подпись, применяемая в корпоративных информационных системах Группы Газпром

4 Удостоверяющий центр Общества

УЦ зарегистрирован в СУЦ и является подчиненным Корпоративному удостоверяющему центру ОАО «Газпром».

Ответственность за обеспечение функционирования УЦ, а также обеспечение информационной безопасности УЦ возлагается на Управление по режиму и защиты информации Общества.

УЦ в СУЦ присвоен объектный идентификатор (OID) 1.2.643.3.50.1.1.6.

УЦ осуществляет регистрацию в качестве владельцев сертификатов УЦ работников Общества и обеспечивает их ключами ЭПГ, сертификатами ключа проверки ЭПГ.

СК-15.01.06

4

По решению руководства Общества УЦ осуществляет регистрацию в качестве владельцев сертификатов УЦ работников филиалов, представительств ОАО «Газпром нефть», его дочерних обществ и организаций, не имеющих собственных удостоверяющих центров, и обеспечивает их ключами ЭПГ и сертификатами ключей проверки ЭПГ.

Для обеспечения своей деятельности УЦ использует средства криптографической защиты информации (далее СКЗИ), сертифицированные в соответствии с действующим законодательством Российской Федерации.

УЦ функционирует согласно требованиям, предъявляемым к удостоверяющим центрам по классу «КС2», и аттестован по требованиям безопасности информации в соответствии с классом защищенности «1Г».

Регламент определяет механизмы и условия предоставления услуг владельцев сертификатов УЦ, обязанности УЦ и владельцев сертификатов УЦ, протоколы работы, принятые форматы данных, основные организационно-технические мероприятия, проводимые УЦ.

Регламент опубликован на Интернет-ресурсе УЦ и Интернет-ресурсе СУЦ.

Электронный адрес Интернет-ресурса УЦ: http://www.gazprom-neft.ru/nng/ca/, Интернет-ресурса СУЦ: http://caweb.gazprom.ru.

4.1 УЦ выполняет следующие функции:

4.1.1 осуществляет регистрацию владельцев сертификатов УЦ на основании их заявлений в соответствии с порядком, установленным настоящим Регламентом;

4.1.2 обеспечивает генерацию ключей ЭПГ и создание сертификатов ключей проверки ЭПГ владельцев сертификатов УЦ на основании их заявлений в соответствии с порядком, установленным настоящим Регламентом;

4.1.3 обеспечивает уникальность серийных номеров создаваемых сертификатов ключей проверки ЭПГ;

4.1.4 обеспечивает уникальность значений ключей проверки ЭПГ в созданных сертификатах ключей проверки ЭПГ владельцев сертификатов УЦ;

4.1.5 обеспечивает генерацию ключей ЭПГ владельцев сертификатов УЦ в порядке, исключающем возможность копирования ключей проверки ЭПГ. Ключи ЭПГ владельцев сертификатов УЦ являются не экспортируемыми;

4.1.6 предоставляет владельцу сертификата УЦ сертификат ключа проверки ЭПГ уполномоченного лица УЦ в электронной форме;

4.1.7 обеспечивает владельцам сертификатов УЦ доступ к репозиторию СУЦ и Интернет-ресурсу СУЦ;

4.1.8 при передаче документов владельцу сертификата УЦ через его представителя обеспечивает их передачу в порядке, исключающем возможность бесконтрольного несанкционированного доступа к передаваемым документам;

4.1.9 аннулирует, приостанавливает действие сертификата ключа проверки ЭПГ владельца сертификата УЦ на основании его заявления в соответствии с порядком, установленным настоящим Регламентом;

4.1.10 в случае неисполнения владельцем сертификата УЦ обязанностей по представлению заявления на аннулирование сертификата ключа проверки ЭПГ (приостановление его действия) аннулирует сертификат ключа проверки ЭПГ владельца сертификата УЦ (приостанавливает его действие) на основании заявления руководителя структурного подразделения филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, работником которого является владелец сертификата;

4.1.11 в одностороннем порядке приостанавливает действие сертификата ключа проверки ЭПГ владельца сертификата УЦ с обязательным уведомлением его владельца и обоснованием причин приостановления;

4.1.12 Возобновляет действие сертификата ключа проверки ЭПГ владельца сертификата

http://caweb.gazprom.ru/

СК-15.01.06

5

УЦ на основании его заявления (исключительно в случае поступления заявления в период срока, на который действие сертификата было приостановлено) в соответствии с порядком, установленным данным Регламентом;

4.1.13 отказывает в возобновлении действия сертификата ключа проверки ЭПГ владельца сертификата УЦ в случае, если истек установленный срок действия ключа ЭПГ, соответствующего этому сертификату;

4.1.14 уведомляет всех владельцев сертификатов УЦ об аннулировании, приостановлении, возобновлении действия сертификатов ключей проверки ЭПГ, в том числе сертификата уполномоченного лица УЦ;

4.1.15 публикует актуальный список аннулированных (отозванных) сертификатов в репозитории СУЦ не позднее, чем в течение рабочего дня, в который были внесены последние изменения. Период публикации списка аннулированных сертификатов – один день;

4.1.16 осуществляет смену ключевой фразы владельца сертификата УЦ после ее однократного использования при удаленной аутентификации;

4.1.17 принимает меры по исключению возможности несанкционированного доступа к хранящимся в УЦ заявлениям владельцев сертификатов УЦ на регистрацию, генерацию ключей ЭПГ и выпуск сертификатов ключей проверки ЭПГ;

4.1.18 организует свою работу и синхронизирует свои программные и технические средства обеспечения деятельности с источниками Всемирного координированного времени UTC (Coordinated Universal Time) с учетом часового пояса (г. Екатеринбург).

4.2 Вопросы регистрации УЦ в СУЦ, взаимодействия с владельцами сертификатов других удостоверяющих центров регулируются утвержденными в ОАО «Газпром» Регламентом Корпоративного удостоверяющего центра ОАО «Газпром», Положением о Сети удостоверяющих центров Группы Газпром, а также Порядком разрешения конфликтных ситуаций в Сети удостоверяющих центров Группы Газпром.

5 Права и обязанности владельцев сертификатов УЦ

5.1 Владелец сертификата УЦ имеет право:

- получать сертификат ключа проверки ЭПГ уполномоченного лица УЦ для его применения при проверке ЭПГ уполномоченного лица УЦ в сертификатах ключей проверки ЭПГ, созданных УЦ;

- получать актуальный список аннулированных сертификатов ключей проверки ЭПГ, созданных УЦ, для его применения при определении действительности либо недействительности сертификатов ключей проверки ЭПГ на определенный момент времени (статуса сертификата ключа проверки электронной подписи);

- применять сертификаты ключей проверки ЭПГ владельцев сертификатов УЦ для проверки ЭПГ электронных документов в соответствии со сведениями, указанными в сертификатах ключей проверки ЭПГ;

- обращаться в УЦ для аннулирования сертификата ключа проверки ЭПГ в течение срока действия соответствующего ключа ЭПГ;

- обращаться в УЦ для приостановления действия сертификата ключа проверки ЭПГ в течение срока действия соответствующего ключа ЭПГ;

- обращаться в УЦ для возобновления действия сертификата ключа проверки ЭПГ в течение срока действия соответствующего ключа ЭПГ и срока, на который действие сертификата было приостановлено.

5.2 Владелец сертификата УЦ обязан:

- предоставить УЦ достоверную информацию, необходимую для его регистрации и оформления сертификата ключа проверки ЭПГ, включающую необходимые учетные данные: фамилию, имя, отчество, место работы, наименование подразделения, адрес электронной почты, адрес, по которому будут применяться СКЗИ;

СК-15.01.06

6

- в течение пяти рабочих дней известить УЦ об изменениях в учетных данных, представленных в УЦ;

- не реже одного раза в месяц обращаться на Интернет-ресурсы УЦ или СУЦ за сведениями об изменениях и дополнениях, внесенных в настоящий Регламент;

- для хранения ключа ЭПГ применять сертифицированный ключевой носитель;

- перед первым использованием криптографических ключей произвести замену ПИН-кода ключевого носителя на личный ПИН-код, соблюдать требования к периодической смене ПИН-кода ключевого носителя, установленные настоящим Регламентом и иными нормативными актами Общества;

- хранить в тайне ключ ЭПГ, принимать все возможные меры для предотвращения его потери, раскрытия, искажения и несанкционированного использования;

- хранить в тайне ключевую фразу;

- применять для формирования ЭПГ только действующий ключ ЭПГ;

- применять ключ ЭПГ только в соответствии с областями использования, указанными в соответствующем данному ключу ЭПГ сертификате ключа проверки ЭПГ (поля Key Usage, Extended Key Usage);

- не применять ключ ЭПГ, если владельцу сертификата УЦ стало известно о его компрометации или есть обоснованные предположения о его компрометации;

- немедленно обратиться в УЦ с заявлением на аннулирование сертификата ключа проверки ЭПГ или приостановление его действия в случаях компрометации или обоснованного предположения о компрометации ключа ЭПГ;

- не использовать ключ ЭПГ, связанный с сертификатом ключа проверки ЭПГ, заявление, на аннулирование которого подано в УЦ, в течение времени, исчисляемого с момента подачи заявления на аннулирование сертификата до момента времени официального уведомления об аннулировании сертификата;

- не использовать ключ ЭПГ, связанный с сертификатом ключа проверки ЭПГ, заявление, на приостановление действия которого подано в УЦ, в течение времени, исчисляемого с момента времени подачи заявления на приостановление действия сертификата до момента времени официального уведомления о приостановлении действия сертификата;

- не использовать ключ ЭПГ, связанный с сертификатом ключа проверки ЭПГ, который аннулирован или действие которого приостановлено;

- самостоятельно контролировать срок действия ключей ЭПГ и не позднее 10 рабочих дней до даты окончания срока их действия (в случае необходимости использования сертификатов в дальнейшем) инициировать процедуру их замены;

- в случае увольнения предоставить в УЦ заявление на аннулирование (отзыв) сертификата ключа подписи владельца сертификата УЦ и сдать в УЦ выданный ключевой носитель.

6 Структура сертификатов ключей проверки ЭПГ и сроки действия ключей ЭПГ

6.1 Структура сертификатов ключей проверки ЭПГ и списков аннулированных сертификатов, издаваемых УЦ, определена в приложении №1 к настоящему Регламенту.

6.2 УЦ создает сертификаты ключей проверки электронной подписи владельцев сертификатов УЦ в электронной форме формата X.509 версии 3 и список аннулированных сертификатов (список отозванных сертификатов; СОС) в электронной форме формата X.509 версии 2.

6.3 Поля Key Usage, Extended Key Usage сертификатов ключа проверки электронной подписи содержат сведения об отношениях, при которых электронный документ будет иметь юридическое значение.

СК-15.01.06

7

6.4 В сертификате ключа проверки электронной подписи уполномоченного лица УЦ поле Subject (владелец сертификата) содержит псевдоним «Gazpromneft-NNG CA», который также используется лицами, наделенными полномочиями по замещению уполномоченного лица УЦ.

6.5 Структура сертификатов ключей проверки электронных подписей и списка аннулированных сертификатов, создаваемых УЦ, определена в приложении №1 к настоящему Регламенту.

6.6 Сертификаты ключей проверки электронных подписей применяются в тех случаях, когда необходимо выполнить следующее:

- установить целостность информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников информационных систем;

- провести аутентификацию участников информационных систем в процессе взаимодействия;

- обеспечить конфиденциальность информации, представленной в электронном виде и передаваемой в процессе взаимодействия участников информационных систем.

6.7 Ключи проверки электронных подписей, для которых УЦ выпускает сертификаты ключей проверки электронных подписей, могут иметь следующие области применения:

- ЭП (электронная подпись);

- шифрование ключей;

- шифрование данных;

- защищенная электронная почта;

- проверка подлинности (аутентификация) клиента;

- проверка подлинности (аутентификация) сервера;

- служебные области применения:

- пользователь Центра Регистрации;

- центр Регистрации, КриптоПро ЦР, HTTP, TLS-клиент;

- администратор Центра Регистрации;

- оператор Центра Регистрации;

- подпись ответа службы OCSP;

- подпись ответа службы TSP.

6.8 Допускается возможность добавления стандартных и создания новых (при необходимости) объектных идентификаторов (OIDs) для других областей применения сертификатов.

6.9 Заверение сертификатов ключей проверки электронных подписей производится ЭП уполномоченного лица УЦ.

6.10 Подтвердить подлинность ЭП владельца сертификата УЦ в сертификате ключа проверки электронной подписи можно, написав заявление по форме, представленной в Ш-15.01.06-11.

6.11 Срок действия ключа ЭПГ уполномоченного лица УЦ составляет 1 год и 3 месяца.

6.12 Начало периода действия ключа ЭПГ уполномоченного лица УЦ исчисляется с даты и времени начала действия соответствующего сертификата ключа проверки ЭПГ.

6.13 Срок действия сертификата ключа проверки ЭПГ уполномоченного лица УЦ составляет двенадцать лет.

6.14 Срок действия ключа ЭПГ владельца сертификата УЦ составляет один год.

СК-15.01.06

8

6.15 Начало периода действия ключа ЭПГ владельца сертификата УЦ исчисляется с даты и времени начала действия соответствующего сертификата ключа проверки ЭПГ.

6.16 Срок действия сертификата ключа проверки ЭПГ владельца сертификата УЦ составляет один год.

6.17 УЦ обеспечивает хранение сертификата ключа проверки ЭПГ владельца сертификата УЦ в форме электронного документа после аннулирования сертификата ключа проверки ЭПГ не менее пяти лет. По истечении указанного срока хранения сертификат ключа проверки ЭПГ исключается из реестра сертификатов ключей проверки ЭПГ и переводится в режим архивного хранения. Сертификат ключа проверки ЭПГ в форме документа на бумажном носителе хранится в порядке, установленном действующим законодательством и внутренними документами Общества;

6.18 Ключ ЭПГ действует на определенный момент времени (действующий ключ ЭПГ) если:

- наступил момент времени начала действия ключа ЭПГ;

- срок действия ключа ЭПГ не истек;

- сертификат ключа проверки ЭПГ, соответствующий данному ключу ЭПГ не аннулирован (отозван) и действие его не приостановлено.

7 Обеспечение жизненного цикла ключей ЭПГ и сертификатов ключей проверки ЭПГ уполномоченного лица УЦ

7.1 Уполномоченное лицо УЦ использует ключ ЭПГ исключительно для подписи издаваемых им сертификатов ключей проверки ЭПГ и списков аннулированных сертификатов, обеспечивает сохранность в тайне и защиту от несанкционированного доступа к своему ключу ЭПГ.

7.2 Плановая смена (генерация) ключей и создание сертификата ключа проверки ЭПГ уполномоченного лица УЦ выполняется в период действия ключа ЭПГ уполномоченного лица УЦ не позднее, чем через год после начала действия ключа ЭПГ уполномоченного лица УЦ

7.3 Процедура плановой смены ключей ЭПГ и создания сертификата ключа проверки ЭПГ уполномоченного лица УЦ выполняется в следующем порядке:

- уполномоченное лицо УЦ организует генерацию нового ключа ЭПГ и соответствующего ему ключа проверки ЭПГ;

- уполномоченное лицо УЦ организует формирование на основе нового ключа ЭПГ запрос на сертификат ключа проверки ЭПГ и передает его в УЦ-К;

- УЦ-К создает сертификат ключа проверки ЭПГ уполномоченного лица УЦ и передает его уполномоченному лицу УЦ в порядке, установленном Регламентом УЦ-К;

- уполномоченное лицо УЦ организует работы по инсталляции нового сертификата ключа проверки ЭПГ на программно-аппаратных средствах УЦ.

Уведомление владельцев сертификатов УЦ о проведении смены ключей уполномоченного лица УЦ осуществляется посредством размещения данной информации на информационном портале СУЦ.

Старый ключ ЭПГ уполномоченного лица УЦ используется в течение своего срока действия для формирования списков аннулированных сертификатов, созданных УЦ в период действия старого ключа ЭПГ уполномоченного лица УЦ.

7.4 Процедура внеплановой смены ключей ЭПГ и создания сертификата ключа проверки ЭПГ уполномоченного лица УЦ в случае компрометации или подозрения на компрометацию ключа ЭПГ уполномоченного лица УЦ выполняется в следующем порядке:

- уполномоченное лицо УЦ обращается в УЦ-К с заявлением об аннулировании сертификата в порядке, установленном Регламентом УЦ-К;

- УЦ информирует владельцев сертификатов УЦ о факте компрометации ключа ЭПГ

СК-15.01.06

9

уполномоченного лица УЦ посредством размещения данной информации на информационном портале СУЦ;

- УЦ выполняет процедуру смены ключей ЭПГ в порядке, аналогичном установленному для плановой смены ключей ЭПГ (пункт 7.3 настоящего Регламента).

При этом, в отличие от случая плановой смены, старый (скомпрометированный) ключ ЭПГ не может использоваться для формирования списков аннулированных сертификатов.

Подписанные с использованием скомпрометированного ключа ЭПГ уполномоченного лица УЦ и действовавшие на момент компрометации ключа ЭПГ уполномоченного лица УЦ сертификаты ключей проверки ЭПГ, а также сертификаты, действие которых было приостановлено, подлежат внеплановой смене.

7.5 Порядок внеплановой смены ключей ЭПГ и создания сертификата ключа проверки ЭПГ уполномоченного лица УЦ в случае компрометации или подозрения на компрометацию ключа ЭПГ уполномоченного лица УЦ-К установлен Регламентом УЦ-К.

8 Регистрация в УЦ и обеспечение жизненного цикла ключей ЭПГ и сертификатов ключей проверки ЭПГ владельца сертификата УЦ

8.1 Порядок регистрации владельца сертификата УЦ и создания сертификата ключа проверки ЭПГ.

8.1.1 Регистрация владельца сертификата УЦ и создание сертификата ключа проверки ЭПГ осуществляются на основании его заявления, составленного по форме согласно Ш-15.01.06-01 при личном прибытии физического лица, проходящего процедуру регистрации, в УЦ. Заявление может быть представлено в УЦ представителем заявителя на основании доверенности, составленной по форме согласно Ш-15.01.06-03. Заявление работника Общества подтверждается подписью начальника структурного подразделения. Заявление работника филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, подтверждается подписью руководителя организации (филиала, представительства) и заверяется печатью организации (филиала, представительства).

Факт присоединения работника Общества, а также филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации к Регламенту является полным принятием им условий Регламента. Владелец сертификата УЦ принимает дальнейшие изменения (дополнения), вносимые в Регламент, в соответствии с условиями Регламента.

Администратор УЦ выполняет процедуру идентификации работника Общества, а также филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, проходящего процедуру регистрации, путем установления личности по паспорту.

После положительной идентификации лица, проходящего процедуру регистрации, администратор УЦ принимает документы и осуществляет их рассмотрение.

Решение о регистрации, генерации ключей ЭПГ и проверки ЭПГ и создания сертификата ключа проверки ЭПГ принимает уполномоченное лицо УЦ (лицо, временно его замещающее).

В случае отказа в регистрации, заявление с резолюцией УЦ с указанием причины отклонения заявления возвращается физическому лицу, подавшему заявление.

8.1.2 Заявление на создание сертификата ключа проверки ЭПГ серверной аутентификации.

Для формирования ключей ЭПГ и проверки ЭПГ сервера и создания сертификата ключа проверки ЭПГ серверной аутентификации заявление подается от имени физического лица, ответственного за функционирование данного сервера (ответственное лицо). Заявление подписывается ответственным лицом.

Форма заявления на формирование ключей ЭПГ и проверки ЭПГ сервера и создание сертификата ключа проверки ЭПГ серверной аутентификации определена в Ш-15.01.06-02 к Регламенту. В заявлении помимо точного доменного имени самого сервера указываются данные ответственного лица.

Заявление работника Общества подтверждается подписью начальника структурного

СК-15.01.06

10

подразделения.

Заявление работника филиала, представительства ОАО «Газпром нефть», его дочернего общества и организации, заверяется подписью руководителя организации (филиала, представительства), а также печатью организации (филиала, представительства).

8.1.3 В случае принятия положительного решения по регистрации владельца сертификата и создания сертификата ключа проверки ЭПГ УЦ вносит соответствующую информацию в реестр владельцев сертификатов УЦ, создает ключи ЭПГ и проверки ЭПГ и сертификат ключа проверки ЭПГ владельца сертификата ключа проверки ЭПГ на предоставляемый владельцу сертификата УЦ ключевой носитель (только для работников Общества). Запись ключа ЭПГ и сертификата ключа проверки ЭПГ для работников филиалов, представительств ОАО «Газпром нефть», его дочерних обществ и организаций, осуществляется на предоставленный ими ключевой носитель.

8.1.4 В качестве ключевых носителей допускается использование только сертифицированных ФСТЭК России USB-ключей и смарт-карт eToken PRO. Операция создания сертификата ключа проверки ЭПГ совмещена с операцией создания ключей ЭПГ и проверки ЭПГ.

8.1.5 УЦ создает сертификат ключа проверки ЭПГ на бумажном носителе по форме согласно приложению №2. к настоящему Регламенту. Сертификаты ключей проверки ЭПГ на бумажном носителе заверяются собственноручной подписью заявителя или его представителя, а также собственноручной подписью уполномоченного лица УЦ и печатью УЦ.

8.1.6 После создания сертификата ключа проверки ЭПГ УЦ публикует его в течение суток в репозитории СУЦ.

8.1.7 Факт передачи сертификата ключа проверки ЭПГ и ключа ЭПГ фиксируется в заявлении на регистрацию владельца сертификата ключа проверки ЭПГ УЦ, генерацию ключей и создание сертификата ключа проверки ЭПГ и удостоверяется личной подписью владельца сертификата УЦ или его представителя.

8.1.8 По окончании процедуры регистрации владельцу сертификата УЦ передаются:

- ключевой носитель, содержащий ключ ЭПГ и сертификат ключа проверки ЭПГ владельца сертификата УЦ;

- сертификат ключа проверки ЭПГ владельца сертификата УЦ на бумажном носителе;

- копия заявления УЦ на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификата с резолюцией уполномоченного лица УЦ (лица, временно его замещающего) и отметкой о произведенной регистрации владельца сертификата УЦ, генерации ключей ЭПГ и проверки ЭПГ и сертификата ключа проверки ЭПГ и их передаче заявителю;

- распечатанный на бумажном носителе адрес в формате URL страницы Интернет-ресурса СУЦ, на которой владелец сертификата УЦ может получить электронные версии действующих сертификатов ключей проверки ЭПГ уполномоченных лиц Корпоративного удостоверяющего центра ОАО «Газпром» и УЦ, а также последние выпущенные версии списков аннулированных сертификатов указанных удостоверяющих центров.

8.1.9 Факт передачи сертификата ключа проверки ЭПГ и ключа ЭПГ фиксируется в заявлении на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификата ключа проверки ЭПГ и удостоверяется личной подписью или его доверенного лица.

8.1.10 В процессе проведения процедуры регистрации владелец сертификата УЦ сообщает УЦ ключевую фразу, которая будет использоваться для удаленной аутентификации владельца сертификата УЦ при компрометации его ключа ЭПГ. Ключевая фраза вписывается в заявление на регистрацию.

При прохождении процедуры регистрации представителем заявителя ключевая фраза выбирается и вписывается в заявление администратором УЦ лично, исключая возможность ознакомления с ней доверенного лица.

СК-15.01.06

11

8.1.11 Ключевой носитель, ключевая фраза, распечатанная администратором УЦ на бумажном носителе, при передаче их представителю владельца сертификата УЦ помещаются в запечатанный специальный пакет серии «Security», позволяющий гарантированно выявить попытку или факт его несанкционированного вскрытия. На пакете должны быть указаны в поле «Отправитель»: наименование УЦ, а также фамилия, имя, отчество и подпись представителя УЦ; в поле «Получатель»: фамилия, имя, отчество владельца сертификата УЦ, наименование филиала, представительства ОАО «Газпром», его дочернего общества и организации, работником которого он является.

При получении данного пакета владелец сертификата УЦ обязан удостовериться в целостности конверта и его содержимого. В случае подозрения на то, что пакет был вскрыт, необходимо немедленно сообщить об этом в УЦ. Использование ключей ЭПГ в случае несанкционированного вскрытия данного пакета запрещается.

8.2 Формирование ключей ЭПГ и проверки ЭПГ в дальнейшем, в случае окончания действия сертификата ключа проверки ЭПГ или компрометации ключа ЭПГ, осуществляется УЦ по обращению владельца сертификата УЦ на основании заявления на перегенерацию ключей ЭПГ и проверки ЭПГ и создание сертификата (по форме, приведенной в Ш-15.01.06-04 к Регламенту).

8.3 Внеплановая смена ключа ЭПГ и сертификата ключа проверки ЭПГ владельца сертификата УЦ осуществляется в следующих случаях:

- при компрометации ключа ЭПГ владельца сертификата УЦ;

- при компрометации ключа ЭПГ уполномоченного лица УЦ;

- если владелец сертификата УЦ по каким-либо причинам не смог осуществить плановую смену ключа ЭПГ в установленные для этой процедуры сроки.

8.4 Аннулирование сертификата ключа проверки ЭПГ владельца сертификата УЦ.

8.4.1 Аннулирование сертификата ключа проверки ЭПГ владельца сертификата УЦ осуществляется в случае компрометации ключа ЭПГ в связи с:

- утратой ключевого носителя;

- утратой ключевого носителя с последующим обнаружением;

- увольнением работников, имевших доступ к ключу ЭПГ;

- доступом посторонних лиц к ключу ЭПГ;

- несанкционированным нарушением целостности печатей на сейфах с ключевыми носителями (в случае использования процедуры опечатывания сейфов);

- иными обстоятельствами, прямо или косвенно свидетельствующими о факте несанкционированного доступа к ключу ЭПГ.

8.4.2 При наступлении любого из перечисленных в пункте 8.4.1 событий владелец сертификата УЦ должен немедленно сообщить в УЦ о факте компрометации (или предполагаемом факте компрометации).

При этом УЦ может быть принято решение о возможности дальнейшего использования сертификата ключа проверки ЭПГ в связи с не подтверждением факта компрометации.

Действие сертификатов ключей проверки ЭПГ, ключи ЭПГ которых предположительно были скомпрометированы, должно быть приостановлено на основании заявления владельца сертификата УЦ.

8.4.3 Аннулирование сертификата ключа проверки ЭПГ осуществляется на основании заявления владельца сертификата УЦ, составленного по форме согласно Ш-15.01.06-06, либо руководителя самостоятельного структурного подразделения, работником которого является владелец сертификата, по форме согласно Ш-15.01.06-07.

8.4.4 Заявление на аннулирование (отзыв) сертификата ключа проверки ЭПГ может быть направлено в УЦ по почте или передано при личном прибытии в УЦ владельца сертификата либо уполномоченного представителя владельца сертификата, действующего на основании

СК-15.01.06

12

доверенности (доверенного лица) на передачу документов в УЦ. Доверенность на передачу документов в УЦ должна быть составлена по форме, приведенной в Ш-15.01.06-10 к Регламенту. Заявление на аннулирование (отзыв) сертификата ключа проверки ЭПГ передается непосредственно представителю УЦ.

8.4.5 По истечении шести месяцев с момента аннулирования сертификата ключа проверки ЭПГ в случае отсутствия заявления от владельца сертификата УЦ на генерацию ключей ЭПГ и проверки ЭПГ и создание нового сертификата ключа проверки ЭПГ регистрационные данные владельца сертификата УЦ удаляются из реестра владельцев сертификатов ключей ЭПГ УЦ.

8.4.6 После аннулирования сертификата ключа проверки ЭПГ в заявлении на аннулирование работником УЦ делается отметка об аннулировании сертификата ключа проверки ЭПГ и внесении его в список аннулированных сертификатов.

8.4.7 Аннулирование сертификата ключа проверки ЭПГ и официальное уведомление об аннулировании сертификата ключа проверки ЭПГ должны быть осуществлены не позднее рабочего дня, следующего за рабочим днем, в течение которого было зарегистрировано заявление в УЦ.

8.4.8 Официальным уведомлением о факте аннулирования сертификата ключа проверки ЭПГ является опубликование списка аннулированных сертификатов, содержащего сведения об аннулированном сертификате ключа проверки ЭПГ. Временем аннулирования сертификата ключа проверки ЭПГ признается время издания списка аннулированных сертификатов, содержащего сведения об аннулированном сертификате ключа проверки ЭПГ.

8.4.9 Информация о месте публикации списка аннулированных сертификатов заносится в созданные УЦ сертификаты ключей проверки ЭПГ.

8.5 Приостановление действия сертификата ключа проверки ЭПГ владельца сертификата УЦ.

8.5.1 Приостановление действия сертификата ключа проверки ЭПГ, созданного УЦ, осуществляется УЦ по заявлению на приостановление действия сертификата ключа проверки ЭПГ его владельца, составленного по форме согласно Ш-15.01.06-08, или по решению руководителя структурного подразделения (для заявителей, являющихся работниками Общества), или руководителя организации (для заявителей, являющихся работниками филиалов, представительств ОАО «Газпром нефть», его дочерних обществ и организаций), заверенной печатью организации, по форме согласно Ш-15.01.06-09.

8.5.2 Срок приостановления действия сертификата ключа проверки ЭПГ исчисляется в днях. Минимальный срок приостановления действия сертификата ключа проверки ЭПГ составляет десять дней.

8.5.3 Если в течение срока приостановления действия сертификата ключа проверки ЭПГ действие этого сертификата ключа проверки ЭПГ не будет возобновлено, сертификат ключа проверки ЭПГ аннулируется УЦ.

8.5.4 После приостановления действия сертификата ключа проверки ЭПГ в заявлении на приостановление действия сертификата ключа проверки ЭПГ работником УЦ делается отметка о произведенном приостановлении действия сертификата ключа проверки ЭПГ и внесении его в список аннулированных сертификатов.

8.5.5 Приостановление действия сертификата ключа проверки ЭПГ и официальное уведомление о приостановлении действия сертификата ключа проверки ЭПГ должны быть осуществлены не позднее рабочего дня, следующего за рабочим днем, в течение которого УЦ было принято заявление.

8.5.6 Официальным уведомлением о приостановлении действия сертификата ключа проверки ЭПГ является опубликование списка аннулированных сертификатов, содержащего сведения о сертификате ключа проверки ЭПГ, действие которого было приостановлено. Временем приостановления действия сертификата ключа проверки ЭПГ признается время издания списка аннулированных сертификатов, содержащего сведения о сертификате ключа проверки ЭПГ, действие которого было приостановлено.

8.5.7 Заявление на приостановление действия сертификата ключа проверки ЭПГ в устной

СК-15.01.06

13

форме подается в УЦ посредством телефонной связи с предварительным прохождением процедуры удаленной аутентификации владельца сертификата УЦ с использованием ключевой фразы, указанной в заявлении на регистрацию.

Для успешного прохождения процедуры удаленной аутентификации владелец сертификата УЦ сообщает в УЦ следующие сведения:

- идентификационные данные владельца сертификата ключа проверки ЭПГ;

- серийный номер сертификата ключа проверки ЭПГ, действие которого приостанавливается;

- срок, на который приостанавливается действие сертификата ключа проверки ЭПГ;

- ключевую фразу владельца сертификата УЦ (ключевая фраза определяется в процессе регистрации владельца сертификата УЦ);

- причина приостановки действия сертификата ключа проверки ЭПГ.

- После подачи заявления на приостановление действия сертификата ключа проверки ЭПГ в устной форме в течение пятидневного срока в УЦ должно быть подано заявление на бумажном носителе.

- После однократно произведенной удаленной аутентификации, УЦ осуществляет смену ключевой фразы путем направления в адрес владельца сертификата УЦ новой ключевой фразы в виде зашифрованного электронного сообщения с ЭПГ работника УЦ. Новая ключевая фраза вносится работником УЦ в заявление на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификата ключа проверки ЭПГ, а также владельцем сертификата УЦ в свой экземпляр данного заявления.

8.6 Возобновление действия сертификата ключа проверки ЭПГ.

8.6.1 Возобновление действия сертификата ключа проверки ЭПГ может быть осуществлено исключительно в период приостановления действия сертификата ключа проверки ЭПГ.

8.6.2 Возобновление действия сертификата ключа проверки ЭПГ, созданного УЦ, осуществляется УЦ на основании заявления, составленного по форме согласно Ш-15.01.06-05.

8.6.3 Возобновление действия сертификата ключа проверки ЭПГ и официальное уведомление о возобновлении действия сертификата ключа проверки ЭПГ должны быть осуществлены не позднее рабочего дня, следующего за рабочим днем, в течение которого УЦ было принято заявление.

8.6.4 Официальным уведомлением о возобновлении действия сертификата ключа проверки ЭПГ является опубликование списка аннулированных сертификатов, не содержащего сведений о сертификате ключа проверки ЭПГ, действие которого было возобновлено. Временем возобновления действия сертификата ключа проверки ЭПГ признается время издания списка аннулированных сертификатов, не содержащего сведений о сертификате ключа проверки ЭПГ, действие которого было возобновлено.

8.6.5 Заявления могут направляться в УЦ в виде электронных документов, подписанных ЭПГ владельца сертификата УЦ или его руководителя (кроме заявления на первичную регистрацию в УЦ и аннулирование сертификата в случае компрометации ключа ЭПГ)

9 Разбор конфликтных ситуаций, связанных с применением ЭПГ

Методика проведения разбора конфликтных ситуаций определена в локальных–нормативных документах ОАО «Газпромнефть-ННГ».

10 Архивирование документов

10.1 Состав архивируемых документов.

Архивированию подлежит следующая документированная информация:

- реестр сертификатов ключей проверки ЭПГ владельцев сертификатов УЦ;

СК-15.01.06

14

- сертификаты ключей проверки ЭПГ уполномоченного лица УЦ;

- реестр владельцев сертификатов УЦ;

- заявления на регистрацию владельцев сертификатов УЦ, генерацию ключей ЭПГ и проверки ЭПГ и создание сертификатов ключей проверки ЭПГ;

- заявления на генерацию ключей ЭПГ и проверки ЭПГ и создание сертификатов ключей проверки ЭПГ серверной аутентификации;

- заявления на перегенерацию ключей ЭПГ и проверки ЭПГ и создание сертификатов;

- заявления на аннулирование (отзыв) сертификатов ключей проверки ЭПГ владельца сертификата УЦ;

- заявления на приостановление действия сертификатов ключей проверки ЭПГ владельца сертификата УЦ;

- заявления на возобновление действия сертификатов ключей проверки ЭПГ владельца сертификата УЦ;

- выпущенные списки аннулированных сертификатов;

- иные документы УЦ.

10.2 Порядок учета, хранения и уничтожения архивных документов:

10.2.1 Учет, хранение и уничтожение документов УЦ осуществляется в порядке, установленном в Обществе.

11 Контроль обеспечения безопасности

11.1 Меры защиты ключей ЭПГ.

11.1.1 Ключи ЭПГ владельцев сертификатов УЦ должны записываться при их генерации на отчуждаемые носители ключевой информации, сертифицированные ФСТЭК России (USB-ключи и смарт-карты eToken PRO).

11.1.2 Ключи ЭПГ на отчуждаемом носителе защищаются паролем (ПИН-кодом).

11.1.3 При первоначальной генерации ключей ЭПГ оператором УЦ владельцу сертификатов УЦ выдается отчуждаемый носитель со служебным ПИН-кодом (по умолчанию: 123456789). Владелец сертификатов УЦ перед первым использованием ключей ЭПГ должен изменить служебный ПИН-код на личный.

11.2 Рекомендации к ПИН-коду:

- ПИН-код должен состоять не менее чем из шести символов;

- в ПИН-коде могут присутствовать символы из категорий: строчные буквы английского алфавита от a до z; прописные буквы английского алфавита от A до Z; десятичные цифры от 0 до 9; символы, не принадлежащие к алфавитно-цифровому набору (@, #, $, *, &,…).

11.2.1 В ПИН-коде не рекомендуется:

- использование трех и более подряд идущих на клавиатуре символов, набранных в одном регистре;

- использование трех и более подряд идущих символов английского алфавита, набранных в одном регистре;

- использование двух и более подряд идущих одинаковых символов;

- совпадение с любым из последних трех ПИН-кодов;

- использование букв русского алфавита (не допускается).

11.2.2 Ответственность за сохранение ПИН-кода в тайне возлагается на владельца сертификата УЦ.

11.2.3 ПИН-код должен меняться владельцем сертификата УЦ самостоятельно не реже одного раза в квартал, а также немедленно в случае его компрометации, подозрения на его

СК-15.01.06

15

компрометацию.

11.2.4 Не допускается использовать одно и тоже значение ПИН-кода для защиты ключей ЭПГ на разных ключевых носителях.

11.2.5 Запрещается:

- хранить ПИН-код в местах, доступных другим лицам, на бумажных носителях или в файлах, в том числе конфигурационных файлах доступа к информационным системам, базах данных и реестре операционной системы;

- передавать ПИН-код другим лицам.

11.2.6 При пятикратном неправильном вводе ПИН-кода происходит блокировка ключевого носителя.

11.2.7 Порядок смены и разблокировки ПИН-кода приведен в Инструкции пользователя УЦ СУЦ (размещена на Интернет-ресурсе СУЦ).

11.2.8 Для его разблокировки владельцем сертификата УЦ (кроме работников Общества), назначается административный пароль для возможности самостоятельной разблокировки ключевого носителя. Пароль вносится в заявление на регистрацию владельца сертификата УЦ, генерацию ключей ЭПГ и проверки ЭПГ и выпуск сертификата ключей проверки ЭПГ.

11.2.9 Владельцам сертификатов УЦ, являющимся работниками Общества, для разблокировки ключевого носителя необходимо обратиться в УЦ.

11.3 Программные и программно-аппаратные средства защиты информации.

11.3.1 Программные и программно-аппаратные средства защиты информации УЦ включают в себя:

- средства криптографической защиты информации;

- межсетевой экран для обеспечения защиты информации при сетевом взаимодействии с Центром регистрации УЦ;

- программные средства антивирусной защиты;

- программно-аппаратные комплексы защиты от несанкционированного доступа типа «электронный замок».

11.3.2 Средства криптографической защиты информации, эксплуатируемые на всех компонентах УЦ, сертифицированы по классу «КС2» в соответствии с действующим законодательством Российской Федерации.

11.4 Инженерно-технические меры защиты информации.

11.4.1 Размещение технических средств УЦ.

Серверы Центра Сертификации, Центра Регистрации УЦ и телекоммуникационное оборудование размещены в серверном помещении Общества (далее серверное помещение).

Остальные программно-технические средства УЦ размещены в рабочих помещениях Общества.

11.4.2 Физический доступ в помещения.

Программно-технические средства УЦ размещены в помещениях, оборудованных исполнительными устройствами системы контроля управления доступом электромеханического типа и подключенных к системе контроля управления доступом Общества. Серверное помещение дополнительно оборудовано механическим замком. Ключи от помещения находятся у дежурных работников предприятия, осуществляющих охрану здания по договору. Доступ в помещения осуществляется с идентификацией по карте доступа. Оформление доступа осуществляется на основании решения заместителя генерального директора по безопасности Общества.

11.4.3 Электроснабжение и кондиционирование воздуха.

Технические средства УЦ подключены к сети электроснабжения здания Общества, находящегося по адресу: г. Ноябрьск, ул. Ленина, дом 51.

СК-15.01.06

16

Серверы Центра сертификации и Центра регистрации УЦ, телекоммуникационное оборудование подключены к источникам бесперебойного питания, обеспечивающим их работу в течение не менее 15 минут после прекращения основного электроснабжения.

Серверное помещение оборудовано средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха.

11.4.4 Защита от воздействия влаги.

Защита серверов Центра сертификации и Центра регистрации УЦ и телекоммуникационного оборудования от воздействия влаги обеспечивается их размещением в шкафу-стойке серверного помещения.

11.4.5 Предупреждение и защита от возгорания.

Для обеспечения противопожарной защиты УЦ серверное помещение оборудовано системой пожарной сигнализации и системой газового пожаротушения.

Пожарная безопасность серверного помещения обеспечивается в соответствии с нормами и требованиями, устанавливаемыми законодательством Российской Федерации.

11.5 Программно-аппаратные меры защиты информации.

11.5.1 Телекоммуникационный шкаф, в котором размещено серверное оборудование УЦ находится в закрытом состоянии. Ключи от телекоммуникационного шкафа хранятся у администратора УЦ. Все работы на оборудовании, размещенном в данном телекоммуникационном шкафу, проводятся только в присутствии представителей УЦ.

11.5.2 При обнаружении признаков, указывающих на возможное несанкционированное проникновение в телекоммуникационный шкаф с размещенным оборудованием УЦ, о случившемся немедленно информируется ответственный за организацию работы УЦ (уполномоченное лицо УЦ), после чего администратором информационной безопасности УЦ производится оценка возможности деструктивного воздействия на программно-технические средства УЦ с составлением соответствующего акта.

11.5.3 Серверы Центра Сертификации и Центра Регистрации УЦ оснащены программно-аппаратными комплексами защиты от несанкционированного доступа.

11.5.4 Организация доступа к программно-техническим средствам УЦ, размещенным на рабочих местах представителей УЦ, возлагается на представителей УЦ, ответственных за эксплуатацию данных программно-технических средств УЦ.

11.5.5 Рабочие места представителей УЦ (АРМ Администратора УЦ и АРМ Оператора УЦ), на которых эксплуатируются приложения «АРМ администратора ЦР» и «АРМ разбора конфликтных ситуаций», также оснащены программно-аппаратными комплексами защиты от несанкционированного доступа.

11.6 Контроль целостности технических средств и программного обеспечения.

11.6.1 Контроль целостности технических средств УЦ обеспечивается опечатыванием корпусов устройств, препятствующим их неконтролируемому вскрытию. Опечатывание производится с использованием голографических наклеек, исключающих возможность несанкционированного доступа к техническим средствам УЦ.

11.6.2 Опечатывание технических средств УЦ выполняется перед вводом технических средств в эксплуатацию. Проверка состояния целостности печатей осуществляется ежемесячно или сразу после проведения регламентных работ в серверном помещении.

11.6.3 Контроль целостности программного обеспечения производится при перезагрузке операционной системы, а также ежеквартально, при проведении регламентных работ.

11.7 Обеспечение резервного копирования

11.7.1 Необходимые для полного восстановления работоспособности УЦ данные ежедневно резервируются.

11.7.2 Процедура резервного копирования осуществляется автоматически в соответствии с

СК-15.01.06

17

порядком, установленным в Обществе.

11.7.3 Перечень данных УЦ, подлежащих резервному копированию, определен Регламентом «КриптоПРО УЦ» (ЖТЯИ.00035-01 90 16 – ЛУ) и включает в себя:

- сертификат ключа проверки ЭПГ уполномоченного лица УЦ в электронном виде (сертификат службы сертификации Центра Сертификации УЦ);

- базу данных службы сертификации Центра Сертификации УЦ;

- базу данных Центра Регистрации УЦ;

- журналы аудита компонент УЦ в составе, определенном эксплуатационной документацией УЦ;

- список аннулированных сертификатов.

11.7.4 Резервное копирование закрытого ключа ЭПГ уполномоченного лица УЦ не производится.

11.8 Обеспечение антивирусной защиты.

На программно-технических средствах УЦ установлено антивирусное программное обеспечение. Обновление антивирусного программного обеспечения производится автоматически в соответствии с порядком, установленным в Обществе.

11.9 Обеспечение защиты сетевого взаимодействия.

11.9.1 Обеспечение защиты сетевого взаимодействия между программно-техническими средствами, осуществляется путем шифрования информации с использованием сертифицированных средств криптографической защиты информации.

11.9.2 Защита программно–технических средств УЦ от несанкционированного доступа по внешним сетевым соединениям осуществляется путем использования межсетевого экрана УЦ.

11.10 Организационные меры защиты информации.

11.10.1 Квалификация персонала УЦ.

Уполномоченное лицо УЦ имеет высшее профессиональное образование и (или) прошли профессиональную подготовку в области информационной безопасности.

Работники УЦ Общества, обеспечивающие функционирование УЦ имеют высшее профессиональное образование и прошли переподготовку (повышение квалификации) в области информационной безопасности по специализации в области систем с открытым распределением ключей.

11.10.2 Организация работы.

Деятельность УЦ по работе с владельцами сертификатов УЦ по приему заявлений в бумажной форме и созданию сертификатов ключей подписей организована в одну рабочую смену с 9.00 до 18.00 в рабочие дни (в пятницу – с 9.00 до 16.45).

Нерабочими днями являются выходные дни, а также нерабочие праздничные дни.

11.10.3 Охрана здания и помещений.

Охрана помещений УЦ осуществляется силами охранных предприятий, осуществляющих охрану объектов Общества на договорной основе.

12 Заключительные положения

12.1 Регламент утверждается генеральным директором Общества.

12.2 Внесение изменений (дополнений) в Регламент, включая приложения к нему (в части, не противоречащей Регламенту Корпоративного удостоверяющего центра ОАО «Газпром»), осуществляется УЦ.

СК-15.01.06

18

12.3 В случае если отдельные нормы настоящего Регламента вступят в противоречие с законодательством Российской Федерации, они утрачивают силу, и применяются соответствующие нормы законодательства Российской Федерации. Недействительность отдельных норм настоящего Регламента не влечет недействительности других норм и Регламента в целом.

12.4 Уведомление о внесении изменений (дополнений) в Регламент осуществляется УЦ путем обязательного размещения информации о внесении изменений на информационных порталах УЦ и СУЦ в разделе «Информация», а также размещения очередной редакции Регламента в разделе «Документация» по ссылке с названием: «Регламент УЦ ОАО «Газпромнефть-ННГ» с изменениями и дополнениями от __. __. ____».

12.5 Любые изменения и дополнения в Регламенте с момента вступления в силу равно распространяются на всех лиц, присоединившихся к Регламенту, в том числе присоединившихся к Регламенту ранее даты вступления изменений в силу.

12.6 В целях своевременного получения информации о внесении изменений и дополнений в Регламент владелец сертификата УЦ обязан не реже одного раза в календарный месяц обращаться за получением указанной информации на Интернет-ресурс СУЦ.

СК-15.01.06

19

Приложение №1 (справочное)

Структура сертификатов ключей проверки ЭПГ и списка аннулированных сертификатов, создаваемых УЦ

Структура сертификата ключа проверки ЭПГ уполномоченного лица УЦ

Название Описание Содержание

Базовые поля сертификата

Version Версия V3

Serial Number Серийный номер Уникальный серийный номер сертификата

Signature Algorithm Алгоритм подписи ГОСТ Р 34.11/34.10-2001

Issuer Издатель сертификата

СN = RootGazpromCA – псевдоним уполномоченного лицаУдостоверяющего центра УЦ-К

О = Организация = JSC GAZPROM

L= Город= Moscow

C = Страна/Регион= RU

E = Электронная почта = [email protected]

Validity Period Срок действия сертификата

Действителен с: дд.мм.гггг чч:мм:сс GMT

Действителен по: дд.мм.гггг чч:мм:сс GMT

Subject Владелец сертификата

СN = Gazpromneft-NNG CA – псевдоним уполномоченного лица Удостоверяющего центра

О = Организация = JSC GAZPROMNEFT-NNG

L= Город= Noyabrsk



Public Key Открытый ключ Открытый ключ (алгоритм ГОСТ Р 34.10-2001)

Issuer Signature Algorithm

Алгоритм подписи издателя сертификата

ГОСТР 34.11/34.10-2001

Issuer Sign ЭЦП издателя сертификата

Подпись издателя в соответствии с

ГОСТ Р 34.11/34.10-2001

Дополнения сертификата

Key Usage (critical) Использование ключа

Все применимые политики

Subject Key Idendifier

Идентификатор ключа владельца сертификата

Идентификатор закрытого ключа уполномоченного лица Удостоверяющего центра, соответствующего данному сертификату

BasicConstraints Основные ограничения

SubjectType (тип владельца сертификата) =ЦС

PathLengthConstraint (ограничение на длину пути –ограничивает количество уровней иерархии при создании подчиненных Удостоверяющих центров)= отсутствует

SzOID_CertSrv_CA_Version

Объектный идентификатор сертификата

Версия сертификата уполномоченного лица Удостоверяющего центра

Authority Information Access

Доступ к информации о центре сертификации

URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/AIA/Root_Gazprom_CA.crt

URL=http://www.gazprom-neft.ru/AIA/Root_Gazprom_CA.crt

URL=http://ca.gazprom.ru/AIA/Root_Gazprom_CA.crt

CRL Distribution Point

Точка распространения списка отозванных сертификатов

URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/CDP/Root_Gazprom_CA.crl

URL=http://www.gazprom-neft.ru/CDP/Root_Gazprom_CA.crl URL=http://ca.gazprom.ru/CDP/Root_Gazprom_CA.crl

mailto:[email protected]

СК-15.01.06

20

Структура сертификата ключа проверки ЭПГ владельца сертификата УЦ (пользовательский сертификат ключа проверки ЭПГ)







CN = Gazpromneft-NNG CA – псевдоним уполномоченного лица Удостоверяющего центра









CN = ФИО

OrganizationUnit = Подразделение

Оrganization = Организация

Locality = Город

Country = Страна = RU

Email = Электронная почта

Public Key Открытый ключ Открытый ключ (алгоритм подписи)



ГОСТР 34.11/34.10-2001



ГОСТ Р 34.11/34.10-2001



Неотрекаемость, цифровая подпись, шифрование ключей, шифрование данных

Extended Key Usage Улучшеный ключ Проверка подлинности клиента – (1.3.6.1.5.5.7.3.2)*

Защищенная электронная почта – (1.3.6.1.5.5.7.3.4)

Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)*

Пользователь центра регистрации – (1.2.643.2.2.34.6)

Subject Key Idendifier Идентификатор ключа владельца сертификата

Идентификатор ключа ЭПГ владельца сертификата

Authority Key Identifier Идентификатор ключа издателя сертификата

Идентификатор ключа ЭПГуполномоченного лица Удостоверяющего центра, на котором подписан данный сертификат



URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/aia/Gazpromneft-NNG_CA.crt

URL=http://www.gazprom-neft.ru/aia/Gazpromneft-NNG_CA.crt URL=http://ca.gazprom.ru/aia/Gazpromneft-NNG_CA.crt URL=http://noj-uc-tsp1ocsp.yamal.gazprom-neft.ru/gpn-nng/ocsp.srf

URL=http://noj-uc-tsp2ocsp.yamal.gazprom-neft.ru/gpn-nng/ocsp.srf

CRL Distribution Point Точка распространения списка отозванных сертификатов

URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/cdp/Gazpromneft-NNG_CA.crl URL=http://www.gazprom-neft.ru/cdp/Gazpromneft-NNG_CA.crl

URL=http://ca.gazprom.ru/cdp/Gazpromneft-NNG_CA.crl

[email protected]

http://www.gazprom-neft.ru/aia/Gazpromneft-NNG_CA.crt


http://noj-uc-ra.yamal.gazprom-neft.ru/ra/cdp/Gazpromneft-NNG_CA.crl


СК-15.01.06

21

*-для сертификатов входа со смарт-картой пользователей Удостоверяющего центра

Структура служебного сертификата ключа проверки ЭПГ клиентской аутентификации
















CommonName (Общее имя)= Псевдоним









ГОСТР 34.11/34.10-2001



ГОСТ Р 34.11/34.10-2001



Цифровая подпись, неотрекаемость, шифрование ключей, шифрование данных

Extended Key Usage Улучшеный ключ Проверка подлинности клиента – (1.3.6.1.5.5.7.3.2)

Центр регистрации, КриптоПро ЦР, HTTP, TLS-клиент – (1.2.643.2.2.34.7)




Идентификатор ключа ЭПГ уполномоченного лица Удостоверяющего центра, на котором подписан данный сертификат





URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/cdp/Gazpromneft-NNG_CA.crl




СК-15.01.06

22

Структура служебного сертификата ключа проверки ЭПГ серверной аутентификации




















State = Область/Субъект Федерации






ГОСТР 34.11/34.10-2001



ГОСТ Р 34.11/34.10-2001




Extended Key Usage Улучшеный ключ Проверка подлинности сервера – (1.3.6.1.5.5.7.3.1)


Идентификатор закрытого ключа владельца сертификата


Идентификатор закрытого ключа уполномоченного лица Удостоверяющего центра, на котором подписан данный сертификат





URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/cdp/Gazpromneft-NNG_CA.crl




СК-15.01.06

23

Структура служебного сертификата ключа проверки ЭПГ администратора Центра регистрации




















State = Область/Субъект Федерации






ГОСТР 34.11/34.10-2001



ГОСТ Р 34.11/34.10-2001




Extended Key Usage Улучшеный ключ Проверка подлинности клиента – (1.3.6.1.5.5.7.3.2)

Администратор центра регистрации, (1.2.643.2.2.34.4)

или

оператор центра регистрации, (1.2.643.2.2.34.5)




Идентификатор закрытого ключа уполномоченного лица Удостоверяющего центра, на котором подписан данный сертификат



URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/aia/Gazpromneft-NNG_CA.crt URL=http://www.gazprom-neft.ru/aia/Gazpromneft-NNG_CA.crt

URL=http://ca.gazprom.ru/aia/Gazpromneft-NNG_CA.crt


URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/cdp/Gazpromneft-NNG_CA.crl URL=http://www.gazprom-neft.ru/cdp/Gazpromneft-NNG_CA.crl

URL=http://ca.gazprom.ru/cdp/Gazpromneft-NNG_CA.crl

Структура списка аннулированных сертификатов УЦ







СК-15.01.06

24


Базовые поля списка отозванных сертификатов


Issuer Издатель СОС CN = Gazpromneft-NNG CA – псевдоним уполномоченного лица Удостоверяющего центра

О = Организация = JSCGAZPROMNEFT-NNG




thisUpdate Время издания СОС

дд.мм.гггг чч:мм:сс GMT

nextUpdate Время, по которое действителен СОС

дд.мм.гггг чч:мм:сс GMT

revokedCertificates Список отозванных сертификатов

Последовательность элементов следующего вида

Серийный номер сертификата (CertificateSerialNumber)

Время обработки заявления на аннулирование (отзыв) сертификата (Time)

signatureAlgorithm Алгоритм подписи ГОСТР 34.11/34.10-2001

Issuer Sign Подпись издателя СОС


ГОСТ Р 34.11/34.10-2001

Расширения списка отозванных сертификатов

Reason Code Код причины отзыва сертификата

"0" Не указана

"1" Компрометация ключа

"2" Компрометация ЦС

"3" Изменение принадлежности

"4" Сертификат заменен

"5" Прекращение работы

"6" Приостановка действия

AuthorityKeyIdentifier Идентификатор ключа издателя

Идентификатор закрытого ключа уполномоченного лица Удостоверяющего центра, на котором подписан СОС

SzOID_CertSrv_CA_Version

Объектный идентификатор сертификата издателя

Версия сертификата уполномоченного лица Удостоверяющего центра


СК-15.01.06

25

Приложение №2 (справочное)

Форма бланка сертификата ключа проверки ЭПГ владельца сертификата Удостоверяющего центра

Сертификат ключа проверки ЭПГ владельца сертификата УЦ

Сведения о сертификате:

Кому выдан: Иванов Иван Иванович

Кем выдан: JSC Gazpromneft-NNG CA

Действителен с 7 апреля 2010 г. 11:09:00 UTC по 7 апреля 2015 г. 11:18:00 UTC

Версия: 3 (0x2)

Серийный номер: 245A 2SBE 0000 0000 0044 Издатель сертификата: CN = JSC Gazpromneft-NNG CA, O = JSC Gazpromneft-NNG, L = Noyabrsk, C = RU, E = [email protected]

neft.ru

Срок действия: Действителен с: 15 сентября 2011 г. 7:54:00 UTC

Действителен по: 15 сентября 2012 г. 8:04:00 UTC

Владелец сертификата: CN = Иванов Иван Иванович, OU = Отдел экономической безопасности, O = УРЗИ ОАО «Газпромнефть-ННГ», L = Ноябрьск, C = RU, E = [email protected]

Открытый ключ: Алгоритм открытого ключа:

Название: ГОСТ Р 34.10-2001

Идентификатор: 1.2.643.2.2.19

Параметры: 30 14 06 07 2a 95 03 02 02 25 00 06 07 2a 85 03 03 02 1e 01 Значение: 0550 D48D 22BD C4BF F57D 6588 DE6C 8653 3234 C0A8 8407 83EA 2D74 3B58 132B 7142 F6CA 1E53 20AE DFF3 A4FF

A5DC A7C3 A9BB E487 7403 8BFC 7E54 3956 1F37 ED9C A0FA B818

Расширения сертификата X.509 1. Расширение 2.5.29.15 (критическое)

Название: Использование ключа

Значение: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0) 2. Расширение 2.5.29.37

Название: Улучшенный ключ

Значение: Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6) Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная почта (1.3.6.1.5.5.7.3.4)

3. Расширение 2.5.29.14

Название: Идентификатор ключа субъекта Значение: 57 2d 0e 2a 52 c3 1f d4 02 e9 a3 e7 41 9c 3b 1a 94 55 53 d2

4. Расширение 2.5.29.35 Название: Идентификатор ключа центра сертификатов

Значение: Идентификатор ключа=f8 d8 f1 bf 2e e2 65 6c 48 2f 96 9f 71 2a 8e c7 c6 d0 17 f0

5. Расширение 2.5.29.31 Название: Точки распространения списков отзыва (CRL)

Значение: [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://noj-uc-

ra.yamal.gazprom-neft.ru/ra/cdp/Gazpromneft-NNG_CA.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://www.gazprom-neft.ru/cdp/Gazpromneft-NNG_CA.crl [3]Точка распределения списка отзыва (CRL) Имя точки

распространения: Полное имя:URL=http://ca.gazprom.ru/cdp/Gazpromneft-NNG_CA.crl

6. Расширение 1.3.6.1.5.5.7.1.1 Название: Доступ к информации о центрах сертификации

Значение: [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть

(1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://noj-uc-tsp1ocsp.yamal.gazprom-neft.ru/gpn-nng/ocsp.srf [2]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное

имя: URL=http://noj-uc-tsp2ocsp.yamal.gazprom-neft.ru/gpn-nng/ocsp.srf 3]Доступ к сведениям центра сертификации Метод

доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://noj-uc-ra.yamal.gazprom-neft.ru/ra/aia/Gazpromneft-NNG_CA.crt [4]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации

(1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://www.gazprom-neft.ru/aia/Gazpromneft-NNG_CA.crt [5]Доступ к сведениям центра

сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.gazprom.ru/aia/Gazpromneft-NNG_CA.crt

Подпись Удостоверяющего центра: Алгоритм подписи:

Название: ГОСТ Р 34.11/34.10-2001

Идентификатор: 1.2.643.2.2.3

Параметры: 05 00 Значение: 3CE4 5CA0 2674 6189 21EA 089B 8C0F A416 A83A 0CE5 5B5A 8D9B A33A E490 5A6A B791 0D71 A34E 6572 CACB 84DC

DE56 0CC7 2AD4 F073 D615 49B0 8802 69E4 FF26 00F8 4C9E

Уполномоченное лицо Удостоверяющего центра

(лицо, временно его замещающее) М.П. УЦ

ОАО «Газпромнефть-ННГ»: _____________/_____________ "___" ________ 20__ г.

Подпись владельца сертификата ключа проверки ЭПГ: ___________/_______________




СК-15.01.06

26

Библиография

[1] Федеральный закон «Об электронной цифровой подписи» от 06.04.2011 № 63-ФЗ.

СК - Gazprom Neft · 2020-06-15 · СК-15.01.06 3 1 Область применения...

Documents

Transcript of СК - Gazprom Neft · 2020-06-15 · СК-15.01.06 3 1 Область применения...