ÎS CENTRUL DE TELECOMUNICAŢII SPECIALE

Transcription

1 ÎS CENTRUL DE TELECOMUNICAŢII SPECIALE Aprobat: Prin ordinul Directorului general al Întreprinderii de Stat Centrul de telecomunicaţii speciale nr. 44 din 01 noiembrie 2016 : C4 - PUBLIC CODUL DE PRACTICI ŞI PROCEDURI Cod de referință: RG INFORMAȚIE DOCUMENT Deținător Centrul de certificare a cheilor publice Data intrării în vigoare Versiune 2.0 Statut APROBAT

2 ISTORIA MODIFICĂRILOR FIȘA DE CONTROL A DOCUMENTULUI Nr. Versiune Data Autor Comentarii modificare Trifan Mariana Versiune inițială Trifan Mariana Adaptarea denumirii direcţiei tehnologii informaţionale şi servicii, din care face parte CCCP şi actualizarea listei persoanelor implicate Trifan Mariana Ajustarea documentului conform RFC 3647 cu introducerea de noi secțiuni și a cap. 9. DESTINATARII DOCUMENTULUI Nr. Organizație Subdiviziuni / Funcţii / roluri 1. CTS Serviciul documentare și arhivare 2. CTS CCCP, secția prestări servicii și centrul de apel, secția juridică și resurse umane Modalitate acces Original, pe suport hârtie În formă electronică pe portalul intern. Utilizare Păstrarea originalului în arhiva DNI. Este interzisă copierea, tipărirea și distribuirea în orice formă a documentului. 3. public oricare persoană În formă electronică pe siteul Atenție! Conform Politicii de securitate a informației în cadrul ÎS CTS, sunteți autorizat să accesați acest document, doar în cazul în care faceți parte din lista Destinatarilor documentului mai sus. Accesarea neautorizată a acestui document este subiect al procesului disciplinar în cadrul Organizației. PERSOANE IMPLICATE LA ELABORAREA DOCUMENTULUI Nr. Prenume, Nume Organizație Funcție Responsabilit ate Semnătură 1. Mariana Trifan CTS Administrator certificare Elaborare 2. Gheorghe Pantaz CTS Șef DTIS Coordonare 3. Andrei Brajnicov CTS Administrator sistem Coordonare RG / 116

3 CUPRINS 1. INTRODUCERE Rezumat Definirea Codului de practici şi proceduri (denumirea şi identificarea documentului) Participanţi ai infrastructurii cheilor publice (PKI) Centre de certificare (СА) Centre de înregistrări (RA) Utilizatori finali Părţi de încredere Alți participanți Aplicabilitate Aplicabilitatea certificatului cheii publice Restricţii de aplicabilitate a certificatelor cheilor publice Administrarea Codului de practici şi proceduri Instituţia administratoare a Codului de practici şi proceduri Date de contact Persoana care determină corespunderea politicii cu CPP Procedura de coordonare şi aprobare a Codului de practici şi proceduri Definiții și abrevieri Definiții Abrevieri REPOZITORIUL ŞI PUBLICAREA Repozitoriul Centrului de certificare Publicarea informaţiei despre certificatele cheilor publice Frecvenţa de publicare Controlul accesului la Repozitoriu IDENTIFICAREA ŞI AUTENTIFICAREA Nume Tipuri de nume Numele caracteristice Anonimatul sau pseudonimele abonaţilor Regulile de interpretare a diferitor forme de nume Unicitatea numelor Recunoaşterea şi rolul mărcilor comerciale Înregistrarea Dovada posesiei cheii private Autentificarea persoanelor juridice Autentificarea persoanelor fizice Autentificarea echipamentului (fizic sau logic) Informații neverificate Autentificarea autorizațiilor Criterii pentru interoperare Identificarea şi autentificarea la solicitarea certificării noii perechi de chei Autentificarea la certificarea noii perechi de chei în cazul expirării perioadei de valabilitate a certificatului Autentificarea în cazul introducerii modificărilor în certificatul valid Autentificarea în cazul certificării perechii noi de chei după revocarea certificatului Identificarea şi autentificarea la depunerea cererii pentru revocarea certificatului CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ AL CERTIFICATULUI Cererea pentru certificare RG / 116

4 4.1.1 Entităţi care pot depune cerere pentru certificare Înregistrarea cererii pentru certificare Prelucrarea cererilor pentru certificare Realizarea autentificării şi identificării Acceptarea sau refuzul cererii pentru certificare Timpul de prelucrare a cererii pentru certificare Eliberarea certificatului Acţiunile administratorului certificare în procesul de generare a certificatului cheii publice Notificarea abonatului despre emiterea certificatului Acceptarea certificatului Acţiunea ce semnifică acceptarea certificatului Publicarea certificatului de către Centrul de certificare Notificarea altor persoane despre eliberarea certificatului abonatului Cheile privată şi publică şi utilizarea certificatului Cheia privată a abonatului şi utilizarea certificatului Cheia publică a abonatului şi utilizarea certificatului de partea de încredere Reînnoirea certificatului Reînnoirea cheilor Modificarea datelor în certificat Cauze pentru modificarea datelor din certificat Entităţi ce pot solicita modificarea certificatului Procesarea cererii de modificare Notificarea abonatului despre emiterea noului certificat Acţiunea ce semnifică acceptarea certificatului modificat Publicarea certificatului modificat de către Centrul de certificare Notificarea altor persoane despre eliberarea certificatului abonatului Revocarea şi suspendarea valabilităţii certificatului Cauze pentru revocare Entităţi ce pot solicita revocarea certificatului Procedurile de revocare a certificatului Perioada de graţie a cererii de revocare Termenul de prelucrare a cererii de revocare a certificatului în Centrul de certificare Verificarea certificatelor revocate de către părţile de încredere Frecvenţa publicării listei certificatelor revocate Timpul maxim de latenţă pentru CRL Verificarea accesibilităţii service-ului OCSP Cerinţe înaintate la verificarea certificatului prin service-ul OCSP Alte forme de notificare privind statutul certificatului Cerinţe speciale faţă de încălcarea securităţii cheii private Circumstanţe ce determină suspendarea valabilităţii certificatului Entităţi ce pot solicita suspendarea certificatului Procedurile de suspendare şi restabilire a valabilităţii certificatului Restricţii pe perioada suspendării valabilităţii certificatului Restabilirea valabilităţii certificatului Serviciile de verificare a statutului certificatului Caracteristici operaţionale Disponibilitatea serviciului Caracteristici opţionale Încetarea relaţiei dintre abonat şi prestator Depozitarea cheii şi restabilirea ei RESURSE, GESTIONARE ŞI CONTROLUL OPERAŢIONAL Controlul fizic al securităţii Amplasare RG / 116

5 5.1.2 Accesul fizic Alimentarea electrică şi condiţionarea aerului Umiditatea Securitatea antiincendiară şi măsurile de prevenire Păstrarea purtătorilor de informaţie Nimicirea purtătorilor de informaţie Copierea de rezervă completă Organizarea controlului securităţii Rolurile şi atribuţiile funcţionale Numărul persoanelor cu funcţii de răspundere, necesare pentru realizarea unui proces Identificarea şi autentificarea rolurilor Rolurile ce interzic cumularea funcţiilor Securitatea personalului Cerinţe faţă de calificarea şi experienţa personalului Procedurile de verificare a personalului Cerinţe de instruire a personalului Frecvenţa desfăşurării perioadelor repetate de instruire şi cerinţe Frecvenţa şi consecutivitatea transferurilor (rotaţiilor) de funcţii Sancţiuni în cazul acţiunilor neautorizate Cerinţe de angajare temporară a personalului Documentaţie pusă la dispoziţia personalului Evenimente supuse înregistrării şi procedurile auditului Tipurile de evenimente supuse înscrierii Frecvenţa de verificare a registrelor evenimentelor Perioada de utilizare a registrelor evenimentelor Protecţia registrelor evenimentelor Proceduri aplicate în procesul de arhivare a registrelor evenimentelor Sistemul audit collection (intern vs extern) Notificarea persoanelor responsabile despre evenimente Evaluarea punctelor vulnerabile ale sistemului Arhivarea înscrierilor Tipurile de date supuse arhivării Frecvenţa de arhivare a datelor Termenele de păstrare a datelor de arhivă Protecţia arhivelor Procedurile copierii de rezervă Cerinţe de aplicare a mărcii temporale pe înscriere Sistemul archive collection Procedurile de acces şi de verificare a informaţiei de arhivă Schimbarea cheilor Încălcarea securităţii cheilor şi restabilirea după avarie Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor Centrului de certificare Deteriorarea resurselor informaţionale, a mijloacelor de program sau a datelor Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor abonaţilor Restabilirea securităţii după starea de avarie Încetarea activităţii Centrului de certificare Cerinţe ce ţin de obligaţiile de transmitere Publicarea certificatelor şi succesorii proceselor finisate CONTROLUL TEHNIC AL SECURITĂŢII Generarea şi utilizarea perechii de chei Crearea cheilor privată şi publică Transmiterea cheii private abonatului RG / 116

6 6.1.3 Transmiterea cheii publice în Centrul de certificare Răspîndirea cheilor publice de Centrul de certificare Lungimea cheilor Parametrii cheilor publice şi verificarea calităţii parametrilor Scopurile de utilizare a cheilor (în conformitate cu X.509 v3) Metodele software şi/sau hardware de creare a cheilor Protecţia cheilor private şi controlul ingineresc al modulilor criptografici Standarde pentru modulele criptografice Partajarea şi distribuirea cheii private Depozitarea cheilor private Copierea de rezervă a cheilor private Arhivarea cheii private Transferul cheii private pe modulul criptografic Stocarea cheii private pe modulul criptografic Metode de activare a cheilor private Metode de dezactivare a cheilor private Metode de distrugere (nimicire) a cheilor private Evaluarea modulului criptografic Alte aspecte de administrare a cheilor Arhivele cheilor publice Termenul de valabilitate a certificatului şi perioada de utilizare a cheilor privată şi publică Activarea datelor Crearea şi utilizarea datelor de activare Protecţia datelor de activare Alte aspecte ale procesului de activare a datelor Controlul de securitate a computerelor Cerinţe tehnice specifice a securităţii computerelor Evaluarea securităţii computerelor Controale tehnice ale ciclului de viaţă Controale specifice dezvoltării sistemului Controale pentru managementul securităţii Controale de securitate a ciclului de viață Administrarea securităţii de reţea Marca temporală PROFILURILE CERTIFICATULUI, A LISTEI CERTIFICATELOR REVOCATE ŞI OCSP Profilul certificatelor Versiunea certificatului Cîmpurile certificatului Cîmpurile de bază ale certificatului Cîmpurile auxiliare ale certificatului Extensiile certificatului şi tipuri de certificate Extensiile certificatelor centrului de certificare Certificate de autentificare a serverului Certificate pentru semnare de cod Certificatele abonaţilor Identificatorul algoritmului semnăturii electronice Cîmpul semnăturii electronice Tipuri de nume Constrîngeri de nume Identificatorul politicii de certificare Utilizarea politicii constrîngerilor Profilul CRL Versiunea RG / 116

7 7.2.2 Extensiile acceptate Profilul răspunsului OCSP Versiunea Extensiile răspunsului OCSP AUDITUL ŞI ALTE EVALUĂRI Frecvenţa efectuării auditului Identificarea şi calificarea auditorului Controale de audit şi intercorelaţia cu supervizaţii Întrebări cu specific de audit Acţiuni desfăşurate în caz de depistare a discrepanţelor Notificare despre rezultatele auditului ALTE ASPECTE FINACIARE ŞI LEGALE Tariful serviciilor Tariful serviciilor de certificare Tariful pentru acces la certificate Tariful pentru acces la informaţia despre statutul certificatului Tarifele serviciilor adiţionale Politica de restituire Responsabilităţi financiare Asigurarea financiară Alte active Asigurarea sau garanția financiară pentru entități finale Confidenţialitatea informaţiei comerciale Informaţie confidenţială Informaţie neconfidenţială Responsabilitatea de a proteja informaţia confidenţială Informaţia personală privată Politica de confidențialitate Informaţia privată Informaţia neprivată Responsabilitatea de a proteja Informaţia privată Notificarea și consimțămîntul de a utiliza informaţia privată Divulgarea informației ca urmare a proceselor judiciare sau administrative Alte circumstanţe de divulgare a iformaţiei Drepturile de proprietate intelectuală Centre şi garanţii Centrul de certificare şi garanţii Centrul de înregistrări şi garanţii Abonaţii şi garanţii Părţi de încredere şi garanţii Garanţii ale altor participanţi Negarea garanțiilor Limitări ale răspunderii Despăgubiri Valabilitate şi încheierea prevederilor Valabilitate Încheierea prevederilor Efectele încheierii prevederilor Notificarea şi comunicarea cu participanţii Amendamente Proceduri Mecanismul şi perioada de notificare Circumstanţe ce duc la schimbarea OID RG / 116

8 9.13 Soluţionarea litigiilor Legislaţia aplicabilă Concordanţa cu legislaţia aplicată Alte prevederi Acord integral Declarații Separabilitate Constrîngeri Forţa majoră Altele RG / 116

9 1. INTRODUCERE Prezentul Cod de practici şi proceduri (Regulamentul Centrului de certificare a cheilor publice) este elaborat în baza Legii nr. 91 privind semnătura electronică şi documentul electronic din 27 iunie 2014, a Hotărîrii Guvernului 945 din 5 septembrie 2005 cu privire la centrele de certificare, a Condiţiilor speciale de activitate ale prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice, aprobate prin ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova 70 din 15 iulie 2016, în corespundere cu recomandările IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework). Codul de practici şi proceduri (în continuare CPP) stabileşte condiţiile de organizare a activităţii Centrului de certificare a cheilor publice (în continuare Centru de certificare sau CCCP), creat în cadrul Î.S. Centrul de telecomunicaţii speciale, prestator de servicii de certificare, (în continuare Întreprindere sau Prestator- noţiune ce va fi folosită în cazul în care în proces sunt implicate mai multe secţii din cadrul Întreprinderii), Direcţia tehnologii informaţionale şi servicii (DTIS), şi determină: funcţiile, obligaţiile şi drepturile centrului de certificare; procedurile şi mecanismele utilizate în procesul de prestare a serviciilor de certificare; ordinea de interacţiune cu alte centre de certificare şi cu utilizatorii semnăturii electronice; măsuri tehnico-organizatorice de bază pentru asigurarea securităţii. CPP reprezintă un document reglementat al activităţii Întreprinderii în calitate de Centru de certificare şi se răsfrînge asupra: prestatorilor de servicii de certificare ce se află în relaţii comerciale cu Centrul de certificare; utilizatorilor semnăturii electronice, care-şi certifică cheile publice în Centrul de certificare. Infrastructura Centrului de certificare prevede 4 tipuri de certificate (certificatele autorităţilor de certificare (rootca, subrootca), certificatele cheilor RG / 116

10 publice ale utilizatorilor semnăturii electronice şi certificatele serviciilor), pentru care CPP determină cerinţele faţă de securitatea generală. CPP descrie infrastructura cheilor publice (Public Key Infrastructure) a Centrului de certificare atât din punct de vedere juridic, cât şi cel tehnic; determină procedurile şi mecanismele de funcţionare a Centrului de certificare în conformitate cu standardele aprobate; determină: obligaţiile utilizatorilor semnăturii electronice reieşind din infrastructura cheilor publice a Centrului de certificare; aspecte juridice ce ţin de serviciile de certificare prestate; asigurarea securităţii şi efectuarea auditului activităţii Centrului de certificare; metodele de identificare a solicitantului pentru certificarea cheii publice; procedurile operaţionale pentru prestarea serviciilor de certificare; cererile pentru certificarea cheilor publice, cererile pentru suspendarea şi restabilirea validităţii, revocarea şi confirmarea autenticităţii certificatelor; procedurile de securitate operaţională pentru înscrierea rezultatelor auditului, păstrarea datelor şi restabilirea după pana de funcţionare; regulile de asigurare a securităţii fizice, ale personalului, de administrare a cheilor şi a securităţii logice a Centrului de certificare; lista certificatelor eliberate, lista certificatelor revocate administrate în Centrul de certificare; aplicarea CPP, inclusiv metodele de îmbunătăţire şi ordinea de introducere a modificărilor. CPP presupune faptul că cititorul posedă cunoştinţe generale despre semnătura electronică şi infrastructura cheilor publice (PKI). În lipsa acestora informaţie cu privire la criptografia cheii publice şi utilizarea infrastructurii cheilor publice se poate găsi pe site-ul Centrului de certificare REZUMAT Centrul de certificare prestează servicii de certificare în cadrul infrastructurii cheilor publice (PKI) unice în Republica Moldova (a se vedea Fig. 1), fără crearea unui domen de certificare separat. RG / 116

11 Prestator de servicii de certificare de nivel superior (ROOT CA) Prestator de servicii de certificare de nivel inferior (СА) Centre de înregistrări la distanţă (RA) Utilizatori Autorităţile administraţiei publice, persoane fizice şi juridice Figura 1. Centrul de certificare a cheilor publice în infrastructura cheilor publice din Republica Moldova. NOTA: În cazul semnăturii electronice simple rolurile RootCA şi SubRootCA aparţin CCCP. Aplicarea cu succes a CPP necesită un şir de documente stabilite de către organul competent şi legislaţia în domeniul semnăturii electronice. Aceste documente au caracter general şi fac legătura între utilizatori şi prestatorii de servicii de certificare, stabilind standarde obligatorii pentru toţi. Tabelul 1 conţine lista de bază a documentelor, accesibilitatea pentru documentare publică şi locul amplasării acestora. RG / 116

12 Documente Statut Accesibilitate Documente ajutătoare cu privire la securitate şi proceduri în cadrul Întreprinderii Politica de certificare a cheilor publice Accesibil Politica de securitate a Centrului de certificare Inaccesibil pentru utilizare în interes de servici Politica de acordare şi control al accesului la resursele Centrului de certificare Inaccesibil pentru utilizare în interes de servici Planul de gestionare a riscurilor Inaccesibil pentru utilizare în interes de servici Planul de asigurare a continuităţii activităţii Centrului de certificare Inaccesibil pentru utilizare în interes de servici Procedurile de restabilire a activităţii Centrului de certificare Inaccesibil pentru utilizare în interes de servici Instrucţiunea ce reglementează securitatea şi exploatarea MPCI Inaccesibil pentru utilizare în interes de servici Ordinea de sincronizare a timpului după GMT Inaccesibil pentru utilizare în interes de servici Codul de practici şi proceduri al Centrului de certificare Accesibil Documente specifice Tabelul 1. Documente ce reglementează activitatea Centrului de certificare. RG / 116

13 Prevederile prezentului CPP corespund cerinţelor din standardele unanim recunoscute, inclusiv AICPA/CICA WebTrust Program for Certification Authorities, ANS X9.79:2001 PKI Practices and Policy Framework, şi ale altor standarde din domeniul activităţii prestatorilor de servicii de certificare. Structura CPP corespunde standardului Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework, cunoscut sub numele de RFC 3647, cu excepţia câtorva modificări în denumiri şi detalii ce corespund modelelor business ale Întreprinderii. Corespunderea cu standardul dat simplifică dezvoltarea politicii de certificare, interacţiunea cu utilizatorii semnăturii electronice şi alţi prestatori de servicii de certificare. 1.2 DEFINIREA CODULUI DE PRACTICI ŞI PROCEDURI (DENUMIREA ŞI IDENTIFICAREA DOCUMENTULUI) Prezentul CPP reprezintă un document reglementat al activităţii Întreprinderii în calitate de prestator de servicii de certificare. CPP are denumiri în limbile de stat (Codul de Practici şi Proceduri), rusă (Свод Правил и Процедур) şi engleză (Certification Practice Statement). Toate versiunile acestui document pot fi găsite pe site-ul Centrului de certificare: versiunea electronică în repozitoriu sau; versiunea pe suport de hârtie la cerere pe adresa Întreprinderii (a se vedea Secţiunea 1.5). 1.3 PARTICIPANŢI AI INFRASTRUCTURII CHEILOR PUBLICE (PKI) Codul de practici şi proceduri se răsfrînge asupra tuturor utilizatorilor semnăturii electronice care sunt abonaţi sau parteneri ai Centrului de certificare, indiferent de locul aflării acestora. Centrul de certificare prestează servicii de certificare a cheilor publice ale abonaţilor atît ca persoane fizice, cît şi ca persoane juridice, reglînd aceste corelaţii prin prezentul CPP. Scopul acestui document (inclusiv descrierea procedurilor de generare a perechii de chei publică şi privată, de asigurare a securităţii sistemului) RG / 116

14 este informarea şi convingerea abonaţilor Centrului de certificare în faptul că nivelul de încredere în certificatele publicate se datorează practicii de lucru în domeniul respectiv al Centrului de certificare CENTRE DE CERTIFICARE (СА) Centrul de certificare a cheilor publice prestează servicii de certificare în cadrul infrastructurii cheilor publice (PKI) a Republicii Moldova (a se vedea Fig. 1). Prestatorul este organizat în mod ierarhic. În vîrful ierarhiei se află prestatorul de servicii de certificare de nivel superior. În cazul semnăturii electronice avansate ne-/calificate nivelul superior este atribuit subdiviziunii structurale a Serviciului de Informaţii şi Securitate al Republicii Moldova, iar în cazul semnăturii electronice simple CCCP CENTRE DE ÎNREGISTRĂRI (RA) Centrul de certificare oferă posibilitatea de a crea Centru de înregistrări la distanţă, reprezentanţă a Centrului de certificare în interacţiunea cu abonaţii. Centrul de înregistrări activează în bază de Contract şi asistă Centrul de certificare, executînd funcţiile administratorului înregistrări în conformitate cu prezentul CPP. În acest sens, în Centrul de înregisrări au loc următoarele proceduri: identificarea şi înregistrarea solicitantului pentru certificarea cheii publice; primirea şi prelucrarea cererilor pentru certificare, suspendare, restabilire a validităţii şi revocare a certificatului cheii publice. Orice persoană juridică poate fi Centru de înregistrări cu condiţia executării tuturor cerinţelor înaintate de Centrul de certificare. Centrul de înregistrări la distanţă nu are dreptul de a deschide alte centre de înregistrări, nici de a delega funcţiile sale altei persoane juridice neacreditată de Centrul de certificare. RG / 116

15 Centrul de înregistrări la distanţă interacţionează doar cu Abonaţii solicitanţii pentru certificarea cheilor publice UTILIZATORI FINALI În condiţiile legislaţiei în vigoare Centrul de certificare prestrează servicii oricărui tip de utilizatori ai semnăturii electronice. Tipul certificatului Eliberat Serviciul pentru care se eliberează certificatul Utilizatori Certificatul cheii publice Persoanei fizice Corporativ Colaboratorii întreprinderii, administratorii centrelor de înregistrări la distanţă Persoanei fizice Vînzare Orice utilizator al semnăturii electronice (angajaţi ai autorităţilor publice, ai persoanelor juridice cu diverse forme de activitate, cetăţeni) Persoanei fizice Administrarea infrastructurii cheilor publice Persoanele împuternicite ale centrelor de certificare a cheilor publice de nivelul superior şi inferior (cazul semnăturii electronice simple) Certificate service-urilor ale Persoanei fizice service- Gestionarea ului Administratorii dispozitivelor (fizice şi logice) Persoanei fizice Administrarea service-ului Persoane juridice cu diverse forme de activitate ce prestează servicii de nonrepudiere. Tabelul 2. Utilizatorii serviciilor prestate de Centrul de certificare. Prin utilizatori finali se subînţeleg: abonaţi utilizatori finali, ale căror date personale de identificare sunt înscrise în câmpul Subject al certificatului cheii publice şi care nu eliberează certificate ale cheilor publice altor persoane; părţi de încredere utilizatori finali, care folosesc certificatele cheilor publice ale abonatilor în scop de verificare a semnăturii electronice a abonatului sau în scop de asigurare a securităţii informaţiei transmise. RG / 116

16 Orice persoană fizică sau juridică, inclusiv dispozitivul (fizic sau logic) acestora, poate deveni Abonat al Centrului de certificare. Abonatul se adresează personal pentru a beneficia de serviciile corespunzătoare. Instituţiile, ce doresc să procure certificate ale cheilor publice pentru angajaţii săi, se pot adresa prin reprezentantul împuternicit (persoana responsabilă) PĂRŢI DE ÎNCREDERE Partea de încredere, ce foloseşte serviciile Centrului de certificare, poate fi reprezentată de orice persoană, decizia căreia depinde de legătura directă între identitatea abonatului şi cheia publică a acestuia (fapt confirmat de certificatul cheii publice eliberat de Centrul de certificare). Partea de încredere este responsabilă de verificarea statutului certificatului abonatului, de verificarea semnăturii electronice în scop de identificare a sursei sau autorului mesajului, sau pentru crearea canalului de comunicaţii securizat cu titularul certificatului cheii publice. Reieşind din informaţia conţinută în câmpurile certificatului cheii publice, partea de încredere verifică corectitudinea utilizării certificatului cheii publice după destinaţie şi în conformitate cu restricţiile menţionate în certificat ALȚI PARTICIPANȚI Nu se aplică. 1.4 APLICABILITATE Prezentul CPP se aplică tuturor participanţilor la infrastructura cheilor publice a CCCP, inclusiv Centrului de certificare, Centrului de înregistrări, abonaţilor şi părţilor terţe de încredere. Prezentul CPP descrie regulile stabilite în procesul de utilizare a certificatelor cheilor publice, emise de Centrul de certificare. RG / 116

17 1.4.1 APLICABILITATEA CERTIFICATULUI CHEII PUBLICE Certificatele cheilor publice, emise de Centrul de certificare, permit părţilor terţe de încredere, participanţilor în procesul de comunicare electronică să verifice semnăturile electronice ale abonaţilor. În conformitate cu legislaţia în vigoare semnătura electronică sau orice tranzacţie, ce ţine de certificatul cheii publice emis de Centrul de certificare, va fi considerată validă, indiferent de locul unde a fost emis certificatul cheii publice sau a fost creată/utilizată semnătura electronică şi indiferent de locul unde Centrul de certificare sau utilizatorul semnăturii electronice îşi desfăşoară activitatea. Domeniul de aplicabilitate a certificatelor cheilor publice se determină de două elemente: aplicarea certificatului (e.g., pentru verificarea semnăturii electronice, pentru asigurarea confidenţialităţii, etc. în restricţiile menţionate în certificat); lista sau descrierea aplicaţiilor ce permit sau interzic utilizarea certificatului. Certificatele cheilor publice, emise de Centrul de certificare, pot fi utilizate în aplicaţii, ce corespund următoarelor cerinţe: administrează perechea de cheii publică şi privată; utilizează certificatele şi cheile publice corespunzătoare după destinaţia lor; dispun de mecanisme interne de verificare a statutului certificatului, de creare a lanţului de certificare şi verificare a valabilităţii certificatului/semnăturii electronice; propun utilizatorului informaţia corespunzătoare despre certificate şi statutele acestora RESTRICŢII DE APLICABILITATE A CERTIFICATELOR CHEILOR PUBLICE Utilizarea certificatelor cheilor publice, emise de Centrul de certificare, nu este limitată la un anumit mediu de afaceri, cum ar fi sistemul serviciilor financiare sau un mediu de piaţă virtuală. Cu toate acestea, Centrul de certificare sau alţi participanţi la infrastructura cheilor publice nu poartă răspundere pentru RG / 116

18 monitorizarea sau stabilirea cărorva restricţii de aplicabilitate a certificatului cheii publice în aceste medii. Este interzisă utilizarea certificatelor în aplicaţiile ce nu sunt incluse în lista sus-menţionată şi nu corespund cerinţelor, înaintate în p al CPP. Unele certificate ale cheilor publice, emise de Centrul de certificare, au restricţii de utilizare. De exemplu, certificatele cheilor publice ale centrului de certificare nu pot fi utilizate decât pentru semnarea certificatelor cheilor publice ale utilizatorilor semnăturii electronice, a listei certificatelor revocate. Certificatele cheilor publice ale utilizatorilor se supun aplicaţiilor clienţilor şi nu sunt utilizate drept certificate pentru servicii. De asemenea, certificatele administratorilor se utilizează doar pentru executarea atribuţiilor funcţionale de administrator. În ce priveşte certificatele cheilor publice, emise de Centrul de certificare, ce corespund recomandării X.509 v3 The Directory: Public-key and attribute certificate framework, utilizarea cheii este restricţionată de obiectivele cu caracter tehnic, pentru care se utilizează cheia privată, corespunzătoare cheii publice certificate. Certificatele cheilor publice ale utilizatorilor finali nu pot fi utilizate drept certificate ale Centrului de certificare. Alte restricţii de aplicabilitate a certificatelor cheilor publice sunt determinate de însuşi utilizatori şi se înscriu în câmpurile corespunzătoare ale certificatului. Certificatele cheilor publice se utilizează doar conform câmpurilor, stabilite la crearea lor, şi în conformitate cu legislaţia în vigoare. 1.5 ADMINISTRAREA CODULUI DE PRACTICI ŞI PROCEDURI INSTITUŢIA ADMINISTRATOARE A CODULUI DE PRACTICI ŞI PROCEDURI Întreprinderea este persoana juridică responsabilă pentru elaborarea, înregistrarea, aplicarea şi modificarea ulterioară a CPP al Centrului de certificare. RG / 116

19 1.5.2 DATE DE CONTACT Întrebări cu privire la prezentul CPP puteţi adresa la următoarea adresă: Î.S. Centrul de telecomunicaţii speciale Republica Moldova, or. Chişinău, Piaţa Marii Adunări Naţionale, 1, MD 2033, Telefon/fax: (+373) PERSOANA CARE DETERMINĂ CORESPUNDEREA POLITICII CU CPP CCCP este responsabil de a determina corespunderea politicii de certificare cu CPP PROCEDURA DE COORDONARE ŞI APROBARE A CODULUI DE PRACTICI ŞI PROCEDURI Prezentul CPP este publicat în formă electronică în Repozitoriul Centrului de certificare ( Modificarea prevederilor acestui CPP este rezultatul depistării erorilor, al actualizării sau al propunerilor parvenite de la utilizatorii semnăturii electronice. Propunerile cu privire la modificările CPP se primesc prin poşta electronică sau pe adresa întreprinderii. După fiecare modificare, introdusă în CPP, se schimbă identificatorul lui. RG / 116

20 Modificările se fac de Centrul de certificare sub formă de documente ce conţin acele modificări sau actualizări. Centrul de certificare îşi asumă dreptul de a introduce modificări în prezentul CPP fără notificarea utilizatorilor semnăturii electronice în compartimentele ce ţin de greşeli de redactare, schimbarea URL-ului şi a datelor de contact. Centrul de certificare va introduce modificări în prezentul CPP cu notificarea persoanelor interesate. Modificări esenţiale, însoţite de notificări, sunt cele ce schimbă esenţa prevederilor prezentului CPP şi sunt determinate de Centrul de certificare. Toate actualizările şi completările propuse în prezentul CPP sunt pe site-ul Centrul de certificare este deschis observaţiilor utilizatorilor semnăturii electronice asupra CPP şi, în caz că acestea sunt acceptabile, vor trece procedura de aprobare în conformitate cu secţiunea dată. În cazuri excepţionale, dacă Centrul de certificare consideră că modificările au un caracter urgent, în scop de prevenire sau de stopare a încălcării securităţii infrastructurii cheii publice, Centrul de certificare are dreptul de a formula astfel de modificări, publicându-le în Repozitoriul Centrului de certificare. Termenul pentru depunerea obiecţiilor şi comentariilor cu privire la modificările propuse ale prevederilor prezentului CPP este de cincisprezece (15) zile din momentul publicării lor pe site-ul Centrului de certificare. Vor fi luate în consideraţie toate obiecţiile şi comentariile şi: modificările propuse vor intra în vigoare fără rectificări, modificările vor fi supuse rectificărilor şi vor fi republicate ca rectificări noi, în conformitate cu prezenta secţiune, modificările propuse vor fi şterse. Modificările propuse, cu excepţia celor şterse, intră în vigoare din momentul expirării termenului pentru depunerea obiecţiilor şi comentariilor. Aprobarea CPP este o procedură internă a Întreprinderii şi are loc conform regulilor stabilite la Întreprindere. RG / 116

21 1.6 DEFINIȚII ȘI ABREVIERI DEFINIȚII Abonat (eng. End User) - titularul certificatului, identificatorul căruia se conţine în cîmpul Subject al certificatului cheii publice, Centrul de certificare a cheilor publice secție din cadrul Î.S. Centrul de telecomunicații speciale, certificat al cheii publice - document electronic ce conţine cheia publică, este semnat cu semnătura electronică a prestatorului de servicii de certificare, atestă apartenenţa cheii respective titularului de certificat al cheii publice şi permite identificarea acestui titular, prestator de servicii de certificare - întreprinzător individual sau persoană juridică care prestează servicii de certificare, prestator Î.S. Centrul de telecomunicații speciale în calitate de prestator de servicii de certificare. În proces sunt implicate mai multe secții din cadrul întreprinderii, servicii de certificare servicii de certificare a cheilor publice, de aplicare a mărcii temporale, alte servicii conexe în domeniul semnăturii electronice ABREVIERI CPP codul de practici și proceduri, CRL lista certificatelor revocate (Certificate Revocation List), OCSP - Online Certificate Status Protocol, TSA autoritate de marcare temporală (Time-Stamping Authority). RG / 116

22 2. REPOZITORIUL ŞI PUBLICAREA 2.1 REPOZITORIUL CENTRULUI DE CERTIFICARE Repozitoriul Centrului de certificare este sursa informaţională de bază a Centrului de certificare şi reprezintă totalitatea datelor, accesibile public, sub formă de documente pe suport de hârtie şi documente electronice. În Repozitoriu sunt stocate certificatele cheilor publice, emise de Centrul de certificare, şi informaţia suplimentară cu privire la funcţionarea corectă a infrastructurii (CRL, prezentul CPP, etc.). 2.2 PUBLICAREA INFORMAŢIEI DESPRE CERTIFICATELE CHEILOR PUBLICE Repozitoriul Centrului de certificare este o interfaţă publică ce conţine următoarea informaţie: versiunile actuale ale Codului de practici şi proceduri, ale Politicilor de certificare; contracte-tip şi anexe, ce urmează a fi semnate cu utilizatorii semnăturii electronice; declaraţia cu privire la confidenţialitatea informaţiei primite şi prelucrate; lista centrelor de înregistrări împuternicite; Registrul în care se conţin: o certificatele cheilor publice ale CCCP abonaţilor; o lista certificatelor revocate; altă informaţie ce se modifică în timp real. Cu conţinutul Repozitoriului a se lua cunoştinţă pe RG / 116

23 2.3 FRECVENŢA DE PUBLICARE Informaţia, publicată în Repozitoriul Centrului de certificare, se actualizează în următorul mod: Politicile de certificare şi Codul de practici şi proceduri la introducerea modificărilor în caz de depistare a erorilor, modificare a standardelor corespunzătoare sau la propunerile abonaţilor; contractele-tip şi anexele după introducerea modificărilor; certificatele cheilor publice ale Centrului de certificare după primirea noilor certificate; certificatele abonaţilor după eliberarea noului certificat în baza acordului în scris al abonatului; lista certificatelor revocate a se vedea Secţiunea 4.9.7; informaţie suplimentară la fiecare completare. 2.4 CONTROLUL ACCESULUI LA REPOZITORIU Informaţia, publicată în Repozitoriul Centrului de certificare, este informaţie publică. Întreprinderea a implementat măsuri de securitate fizică şi logică pentru a preveni adăugarea, ştergerea sau schimbarea informaţiei publicate în Repozitoriul Centrului de certificare. RG / 116

24 3. IDENTIFICAREA ŞI AUTENTIFICAREA 3.1 NUME TIPURI DE NUME Certificatele cheilor publice, emise de Centrul de certificare, corespund cerinţelor standardului ITU-T X.509, versiunea 3, standardului SMV ISO CEI :2007 Information technology. Open Systems Interconnection. The Directory: Public-key and attribute certificate frameworks sau IETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Certificatele cheilor publice, emise de Centrul de certificare, conţin nume caracteristice Recomandarea X.501 (cunoscut ca standard ISO/IEC ) în câmpurile emitentului şi subiectului. Structurile certificatelor cheilor publice ale CCCP şi ale utilizatorilor semnăturii electronice sunt prezentate în anexele 1 şi 2 la Normele tehnice în domeniul semnăturii electronice avansate calificate, aprobate prin Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 69 din (Monitorul Oficial din ) (în continuare Norme tehnice) NUMELE CARACTERISTICE Numele ce se conţin în certificatele cheilor publice, emise de Centrul de certificare abonaţilor, trebuie să fie cu sens şi să identifice persoana fizică drept subiect de certificare. Nu se acceptă utilizarea pseudonimelor. Numele distinguished name (DN) constă din câmpuri obligatorii ce corespund Normelor tehnice, recomandărilor RFC 5280 Internet X.509 Public RG / 116

25 Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile şi X.520 The Directory: Selected attribute types. Numele, utilizate pentru crearea înscrierilor DN în certificatele abonaţilor, se scriu în grafia latină cu utilizarea simbolurilor diacritice. În cazul persoanelor juridice DN constă din următoarele câmpuri obligatorii: a) SerialNumber IDNP-ul abonatului; b) câmpul CN numele, prenumele abonatului; c) câmpul L localitatea; d) câmpul S statul; e) câmpul ОU subdiviziunea persoanei juridice în care activează abonatul; f) câmpul О denumirea, IDNO-ul persoanei juridice, în care activează abonatul; g) câmpul Phone numărul de telefon al abonatului; h) câmpul Т funcţia abonatului; i) câmpul С codul internaţional al statului (pentru Republica Moldova acesta este MD); j) câmpul Е adresa de a abonatului; k) câmpul STREET adresa juridică a persoanei juridice. În cazul persoanelor fizice DN constă din următoarele câmpuri obligatorii: l) SerialNumber IDNP-ul abonatului; m) câmpul CN numele, prenumele abonatului; n) câmpul L localitatea; o) câmpul S statul; p) câmpul Phone numărul de telefon al abonatului (opţional); q) câmpul С codul internaţional al statului (pentru Republica Moldova acesta este MD); r) câmpul Е adresa de a abonatului. Datele indicate de abonat sunt verificate şi identificate de administratorul înregistrări. Centrul de certificare garantează unicitatea numelor în cadrul domeniului său. RG / 116

26 3.1.3 ANONIMATUL SAU PSEUDONIMELE ABONAŢILOR Anonimatul şi pseudonimele abonaţilor nu se aplică REGULILE DE INTERPRETARE A DIFERITOR FORME DE NUME Interpretarea diferitor forme de nume ale certificatelor cheilor publice se bazează pe profilurile certificatelor, expuse în 7 al prezentului CPP. Pentru crearea şi interpretarea DN se folosesc recomandările expuse în Secţiunea UNICITATEA NUMELOR În scopul identificării utilizatorului certificatele cheilor publice, emise de Centrul de certificare, sunt legalizate în conformitate cu DN. Centrul de certificare asigură unicitatea certificatului abonatului în cadrul domeniului Centrului de certificare prin intermediul unicităţii numărului de serie al fiecărui certificat şi a unicităţii codului numeric personal al abonatului (IDNP) RECUNOAŞTEREA ŞI ROLUL MĂRCILOR COMERCIALE Centrul de certificare posedă marca sa comercială înregistrată, ce constă din imaginea grafică şi inscripţie: Imaginea grafică şi inscripţia reprezintă mărci comerciale înregistrate ale Întreprinderii şi nu pot fi utilizate de nimeni fără permisiunea în scris a Întreprinderii. RG / 116

27 Marca comercială a Centrului de certificare este un element suplimentar al logotipului pentru fiecare Centru de înregistrări, ce intră în componenţa domeniului Centrului de certificare; dreptul de utilizare a acestui logotip este permis automat noului Centru de înregistrări. 3.2 ÎNREGISTRAREA Înregistrarea abonatului constă din proceduri ce permit Centrului de certificare primirea şi verificarea veridicităţii datelor prezentate. Înregistrarea are loc în caz când solicitantul pentru certificarea cheii publice nu a fost abonat al Centrului de certificare. Înregistrarea presupune un şir de proceduri pentru colectarea datelor veridice necesare la identificarea persoanei abonatului. Fiecare abonat este supus procedurii de înregistrare o singură dată. După verificarea datelor pentru certificare, prezentate de către solicitant, acesta este inclus în lista abonaţilor Centrului de certificare. Depunerea pachetului de documente pentru certificarea cheii publice este anticipată de consultarea şi executarea paşilor expuşi în instrucţinea de pe site-ul Centrului de certificare DOVADA POSESIEI CHEII PRIVATE Nu se aplică AUTENTIFICAREA PERSOANELOR JURIDICE Identificarea persoanei juridice are drept scop: dovada că la momentul depunerii cererii pentru certificarea cheii publice persoana juridică, menţionată în cerere, există; RG / 116

28 dovada că solicitantul pentru certificarea cheii publice este persoană împuternicită din cadrul persoanei juridice menţionate. Procedura de identificare are loc în caz că persoana juridică: are rol de abonat prin intermediul persoanei sale împuternicite; solicită eliberarea certificatului pentru echipament sau pentru mijloace de program, posesorul cărora este. Identificarea persoanei juridice are loc în prezenţa reprezentantului împuternicit al persoanei juridice în faţa administratorului înregistrări. Pachetul de documente depus are următorul conţinut: copia extrasului din Registrul de Stat al persoanelor juridice, copiile actului ce identifică identitatea reprezentantului împuternicit (emis de o autoritate de încredere şi recunoscut pe teritoriul Republicii Moldova) şi a actului ce confirmă împuternicirea acestuia. Administratorul înregistrări identifică persoana juridică conform prevederilor Instrucţiunii administratorului înregistrări. Dacă persoana juridică utilizează certificatele emise de Centrul de certificare, procedura de identificare pentru certificarea noii perechi de chei are loc în baza copiei extrasului din Registrul de Stat al persoanelor juridice AUTENTIFICAREA PERSOANELOR FIZICE Identificarea persoanelor fizice are drept scop: dovada că informaţia, prezentată în cererea pentru certificare, se referă la persoana fizică în cauză; dovada că solicitantul pentru certificarea cheii publice este o persoană fizică, identificată în cerere. Identificarea persoanelor fizice are la bază actele ce identifică persoana solicitantă. Procedura de identificare, desfăşurată de administratorul înregistrări, constă în: verificarea autenticităţii actelor prezentate de solicitant, inclusiv în bazele de date ale Centrului de certificare şi ale centrelor de înregistrări; verificarea autenticităţii cererii: o verificarea corespunderii datelor indicate în cerere cu cele din documente; RG / 116

29 o verificarea corespunderii numelui distinctiv. Administratorul înregistrări identifică persoana fizică conform prevederilor Instrucţiunii administratorului înregistrări. Acţiunile ulterioare ale administratorului înregistrări sunt similare celor din procedura de autentificare a persoanei juridice AUTENTIFICAREA ECHIPAMENTULUI (FIZIC SAU LOGIC) Autentificarea echipamentului (fizic sau logic) are loc similar procedurii de autentificare a persoanei juridice INFORMAȚII NEVERIFICATE Ținînd cont de faptul că întreprinderea furnizează produse și servicii de certificare în care verificarea informațiilor prezentate de către abonat este obligatorie pentru a desfășura activitățile conform bazei normative în domeniul semnăturii electronice, Prestatorul verifică toate informațiile necesare emiterii fiecărui tip de certificat AUTENTIFICAREA AUTORIZAȚIILOR Atît Prestatorul, cît și Centrele de Înregistrări pot autentifica autorizarea unei persoane fizice privind acționarea acesteia în numele pesoanei juridice sau a altei persoane fizice. Acest proces face parte din procedura de autentificare a persoanei juridice/fizice CRITERII PENTRU INTEROPERARE Nu se aplică. RG / 116

30 3.3 IDENTIFICAREA ŞI AUTENTIFICAREA LA SOLICITAREA CERTIFICĂRII NOII PERECHI DE CHEI Autentificarea identităţii abonatului care depune cererea pentru certificarea noii perechi de chei sau pentru modificarea cărorva date din certificatul cheii publice valid are loc conform prevederilor Instrucţiunii administratorului înregistrări AUTENTIFICAREA LA CERTIFICAREA NOII PERECHI DE CHEI ÎN CAZUL EXPIRĂRII PERIOADEI DE VALABILITATE A CERTIFICATULUI Procedura de certificare a noii perechi de chei pentru abonaţii Centrului de certificare, ale căror certificate valide expiră, are loc în momentul depunerii cererii pentru certificare cu cel puţin 30 zile pînă la expirarea perioadei de valabilitate. Certificatul, emis de Centrul de certificare pentru noua pereche de chei, conţine aceeaşi parametri ca şi cel a cărui perioadă de valabilitate expiră, cu excepţia numărului de serie, a perechii de chei şi a perioadei de valabilitate a certificatului. Abonaţii Centrului de certificare, care depun cererile pentru certificarea noii perechi de chei sub formă de document electronic, sunt identificaţi în baza semnăturii electronice şi a certificatului cheii publice valid AUTENTIFICAREA ÎN CAZUL INTRODUCERII MODIFICĂRILOR ÎN CERTIFICATUL VALID Modificări în certificatul cheii publice valid al abonatului se fac în cazul necesităţii modificării măcar a unui câmp (e.g., la schimbarea funcţiei abonatului, a informaţiei de contact, a adresei electronice, a adresei juridice, a numelui la casătorie, divorţ, etc.). La fel se modifică perechea de chei certificată şi numărul de serie al certificatului. Autentificarea abonatului are loc în baza pachetului de documente RG / 116