Закрытое акционерное общество «АНК» 193029, Россия, г. Санкт-Петербург, ул. Бабушкина д.3 офисы 515, 516, 525, 526 тел./факс +7 (812) 567-49-34, тел. +7 (812) 567-89-95, +7 (812) 567-19-68 internet: http://www.ank-pki.ru , e-mail: ank@ank-pki.ru Предложения по технологической поддержке взаимодействия организаций, входящих в объединение удостоверяющих центров Санкт-Петербург 2004 г. Аннотация Настоящий документ подготовлен в соответствии с решением Координационного совета по вопросам удостоверяющих центров (протокол совещания Координационного совета от 25 июня 2004 года п.5) и представляет собою перечень предложений по организации централизованной технологической поддержки создаваемой системы удостоверяющих центров. Предложения сформулированы на основе обобщения совместного опыта эксплуатации объединения УЦ, анализа и обобщения современных материалов по данной проблематике. Содержание: 1 Расширение областей применения инфраструктуры открытых ключей в информационных системах субъектов хозяйственно-экономической деятельности в различных регионах РФ ................................................................................................................3 2 Создание единой системы удостоверяющих центров, объединяющей существующие и вновь создаваемые УЦ ....................................................................................3 2.1 Организационные вопросы создания системы УЦ ........................................4 2.2 Экономические вопросы создания системы УЦ ............................................4 2.3 Технические вопросы создания системы УЦ .................................................4 2.4 Правовые вопросы создания системы УЦ ......................................................6 Перечень сокращений: ИОК – инфраструктура открытых ключей; РФ – Российская Федерация; УЦ – удостоверяющий центр; ЦТК – центр технологической компетенции; ЭЦП – электронная цифровая подпись. 2 Основные вопросы технологической поддержки удостоверяющих центров следуют из целей создания системы УЦ. Рассмотрим предложения по технологической поддержке применительно к сформулированным в «Декларации о сотрудничестве» целям создания добровольного объединения удостоверяющих центров. 1 Расширение областей применения инфраструктуры открытых ключей в информационных системах субъектов хозяйственно-экономической деятельности в различных регионах РФ Масштабы применения информационных систем, совместимых с технологиями ИОК в разных регионах РФ на современном этапе существенно отличаются. Это зависит от множества факторов объективного и субъективного характера. Участники объединения удостоверяющих центров заинтересованы в расширении масштабов применения таких систем. Наиболее эффективно это может быть достигнуто посредством постоянного мониторинга состояния ИОК-совместимых систем в регионах, анализа и обобщения опыта внедрения и эксплуатации данных систем различными организациями, у различных категорий пользователей (государственных учреждений и организаций, коммерческих предприятий и т.д.), и предоставления участникам Объединения доступа к данному консолидированному информационному ресурсу, отражающему результаты анализа и обобщения. Кроме доступа к консолидированному информационному ресурсу системы УЦ, каждый участник системы получает преимущество использования всего практического опыта, наработанного за время эксплуатации УЦ, принимает участие в формировании нового опыта совместного продвижения технологий ИОК, масштабирования систем, развития сервисов. Ведение такого информационного ресурса и обеспечение доступа к нему участников Объединения может быть поручено ЦТК. Внедрения ИОК-совместимых систем требует привлечения к процессу проектирования, внедрения и сопровождения квалифицированных ресурсов. Как правило, удостоверяющие центры заинтересованы в расширении собственной клиентской базы посредством внедрения новых ИОК-совместимых систем, но не располагают резервом кадровых ресурсов, который возможно отвлечь от текущей работы УЦ и задействовать в процессе разворачивания новых систем. Создание группы таких специалистов требует значительных временных и финансовых ресурсов и в рамках отдельного УЦ экономически неоправданно. Создание группы специалистов, готовых к выполнению работ по проектированию, внедрению и сопровождению ИОК-совместимых систем, а так же проектированию и внедрению удостоверяющих центров «под ключ», центров регистрации и т.д. экономически может быть обосновано в рамках Объединения, и такая функция может быть возложена на специалистов ЦТК. 2 Создание единой системы удостоверяющих центров, объединяющей существующие и вновь создаваемые УЦ Для решения задачи создания единой системы удостоверяющих центров необходима проработка и решение ряда организационных, экономических, технических и правовых вопросов, более подробно рассмотренных далее. 3 2.1 Организационные вопросы создания системы УЦ К организационным вопросам, прежде всего, относятся выработка структуры, назначение организационных единиц создаваемой системы. Часть данных вопросов уже решена, а именно, по результатам работы координационного совещания по вопросам создания и развития системы удостоверяющих центров, состоявшегося 25 июня 2004 года, в рамках Объединения создан Координационный совет, избрана головная организация Объединения, признано необходимым создание единого центра технологической компетенции Объединения, разработан проект «Соглашения о сотрудничестве». Однако, решены только первые организационные вопросы. 2.2 Экономические вопросы создания системы УЦ К экономическим вопросам, прежде всего, относятся вопросы адекватного и взаимовыгодного учета экономических возможностей объединения в бизнес-моделях организаций-участников единой системы УЦ. Решение этих вопросов связано с созданием системы договорных отношений между Партнерами, позволяющей организовать функционирование общих для системы структур. В частности, для обеспечения координирующих функций головной организации системы и центра технологической компетенции возможно введение абонентской платы для участников системы. Для решения данных вопросов необходима проработка возможных вариантов учета экономической составляющей деятельности Объединения, проработка экономических вопросов Договоров между участниками Объединения, и между пользователями и удостоверяющими центрами, входящими в Объединение. Для проведения данной работы необходимо привлечение специалистов в области экономики и права. Для эффективного решения вышеперечисленных и других экономических вопросов, связанных с эксплуатацией системы удостоверяющих центров, на базе центра технологической компетенции создание функционирует юридический отдел, привлекаются эксперты по экономическим вопросам. 2.3 Технические вопросы создания системы УЦ Удостоверяющие центры – в первую очередь сложные технические системы. Поэтому на сегодняшний день существует большое количество проблемных технических вопросов создания и эксплуатации удостоверяющих центров вообще и создания и эксплуатации системы удостоверяющих центров в частности. Большинство специалистов в данной области выделяют следующий перечень проблемных технических вопросов создания и эксплуатации системы УЦ: Создание распределенной подсистемы меток времени, как элемента системы УЦ; Проработка и обоснование модели базовой архитектуры системы УЦ; Проработка и применение технологии объединения УЦ в систему посредством использования механизмов кросс-сертификации и организации иерархии УЦ; Проработка и применение «прозрачной» для клиентов УЦ технологии регистрации сертификатов уполномоченных лиц удостоверяющих центров, входящих систему, в федеральном уполномоченном органе исполнительной власти; Проработка вопросов стандартизации средств ЭЦП; 4 Разработка и регистрация семейства профилей защиты и заданий по безопасности для УЦ, отдельных центров регистрации, других элементов ИОК; Участие в разработке следующих документов в строгом соответствии с положениями и аналогиями международных рекомендаций и стандартов с последующим выпуском дополнений в соответствующих разделах международных рекомендаций: o «Состав сертификата открытого ключа ЭЦП». Данный документ должен регламентировать для системы УЦ и прикладных систем размещение информации в сертификате в соответствии с требованиями ст.6 ФЗ «Об ЭЦП» и рекомендациями X.509. o Участие в сопровождении проекта стандарта (Internet draft) «Addition of GOST Ciphersuites to Transport Layer Security (TLS)» (Описание CIPHER SUITES с использованием отечественных криптографических алгоритмов для TLS), дополнение к RFC 2246. o Описание представлений отечественных алгоритмов используемых в криптографических сообщениях (CMS) (дополнение к RFC 3370). Регистрация в Российском дереве идентификаторов объектов объектных идентификаторов, определенных в результате разработки отечественных дополнений к международным рекомендациям. Определение и регистрация в Российском дереве идентификаторов объектов перечня необходимой информации связанной с характеристиками владельцев сертификатов, такой как индивидуальный номер налогоплательщика (ИНН) и т.п., которая в последствии, могла бы быть использована в прикладных автоматизированных системах различных организаций и ведомств. Выработка и представление предложений в сертифицирующий орган ФСБ по проведению сертификаций образцов СКЗИ планируемых к использованию в ИОК. Рекомендации могут включать, например, предложения по испытаниям на совместимость на уровне криптографических вычислений и представления данных, и на уровне поддерживаемых средств ЭЦП. Выработка и представление предложений в сертифицирующий орган ФСБ по проведению сертификации платформ УЦ с целью определения соответствия сертифицируемого образца рекомендуемым Объединением характеристикам. Проведение комплексных испытаний платформ УЦ, ИОК-совместимых систем, систем защиты информации. Для эффективного решения вышеперечисленных и других технических вопросов уже сделан ряд практических шагов. На базе центра технологической компетенции создание функционирует отдел тестирования и технической поддержки, отдел проектирования и внедрения. Силами этих подразделений в настоящее время реализуются комплексные испытания платформ УЦ, ИОКсовместимых прикладных систем, систем защиты информации, налажено взаимодействие с регистрирующей организацией РФ (Центральным телеграфом), отрабатываются технологии кросс-сертификации различных ГОСТ-совместимых PKI-платформ. 5 Проведено обоснование мостовой базовой архитектуры системы УЦ. В качестве Bridge CA предлагается использовать удостоверяющий центр на базе RSA Keon CA v.6.5, эксплуатируемый ЗАО «АНК». Процедура включения новых участников в систему УЦ должна предполагать установление отношений кросс-сертификации с Bridge CA. Планируется создание help-desk сервиса по вопросам PKI для участников системы УЦ (постоянно действующая горячая линия, internet-форум по актуальным вопросам PKI). 2.4 Правовые вопросы создания системы УЦ К правовым вопросам создания системы УЦ, прежде всего, относится необходимость разработки системы нормативных и договорных документов, которые станут правовой основой системы УЦ, и, как следствие, правовой основой установления отношений доверия между пользователями УЦ. Очевидно, что правовая основа (база) объединения УЦ сама будет представлять собою динамичную, постоянно совершенствующуюся систему, которая, несомненно, потребует тщательного юридического сопровождения. Существенным преимуществом объединения удостоверяющих центров в систему в современной обстановке несовершенства правового поля в области оказания услуг удостоверяющих центров является возможность выработки и представления единого мнения по тем или иным правовым вопросам в уполномоченный федеральный орган, например, предложений по перечню изменений и дополнений к ФЗ «Об ЭЦП». Для представления данных предложений необходимо провести сбор, анализ и обобщение предложений участников системы УЦ, изменений в законодательной базе, что так же потребует привлечения специалистов в области права, владеющих профильной проблематикой. Вышеперечисленные задачи, относящиеся к организационным, экономическим, техническим и правовым аспектам создания системы УЦ являются производными от процесса объединения УЦ, поэтому их решение целесообразно возложить на производные от процесса объединения структуры, например на ЦТК, уже имеющий необходимые мощности, опыт, партнерские отношения с участниками системы. 6