воскресенье, 7 августа 2022 г.

ИСО и МЭК: Опубликован стандарт ISO/IEC 27099:2022 «Инфраструктура открытых ключей – Практика и рамочная структура политики»

В июле 2022 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27099:2022 «Информационные технологии – Инфраструктура открытых ключей – Практика и рамочная структура политики» (Information technology - Public key infrastructure - Practices and policy framework) объёмом 102 страницы, см. https://www.iso.org/standard/56590.html и https://www.iso.org/obp/ui/#!iso:std:56590:en .

Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

При разработке за основу был взят стандарт ISO 21188:2018 «Инфраструктура открытых ключей для финансовых услуг – Практика и рамочная структура политики» (Public key infrastructure for financial services - Practices and policy framework), см. https://www.iso.org/standard/63134.html и https://www.iso.org/obp/ui/#!iso:std:63134:en .

Во вводной части документа, в частности, отмечается:

«В настоящем документе сформулированы предназначенные для поставщиков услуг доверия в рамках инфраструктуры открытых ключей (public key infrastructure, PKI) рамочные требования к управлению информационной безопасностью с помощью политик управления сертификатами (certificate policies), заявлений о практике управления сертификатами (certificate practice statements) и, где это применимо, их внутренняя поддержка с помощью системы менеджмента информационной безопасности (СМИБ). Структура требований включает оценку и обработку рисков информационной безопасности, адаптированную для удовлетворения согласованных требований к обслуживанию пользователей PKI, сформулированных в политике управления сертификатами. Данный стандарт также предназначен для того, чтобы помочь поставщикам услуг доверия поддерживать несколько политик управления сертификатами.

В данном документе рассматривается жизненный цикл сертификатов открытых ключей, используемых для создания усиленных электронных подписей, аутентификации или создания ключей для шифрования данных. В нём не рассматриваются методы аутентификации, требования к неотказуемости и протоколы управления ключами, основанные на использовании сертификатов открытого ключа. Для целей настоящего документа термин «сертификат» относится к сертификатам открытого ключа. Настоящий документ не применим к сертификатам атрибутов (attribute certificates).

В данном документе используются концепции и требования системы менеджмента информационной безопасности (СМИБ), определенные в семействе стандартов ISO/IEC 27000. В данном документе используется свод практики применения мер и средств обеспечения информационной безопасности, сформулированный в стандарте ISO/IEC 27002. Специфические требования PKI-инфраструктуры (например, содержание сертификата, подтверждение личности, обработка отзыва сертификата) непосредственно в СМИБ, как она описана в стандарте ISO/IEC 27001, не рассматриваются.

Использование СМИБ или её эквивалента адаптировано к применению требований к обслуживанию PKI, указанных в политике управления сертификатами, как это описано в настоящем документе.

Поставщик услуг доверия PKI - это специальный класс сервиса доверия для поддержки использования сертификатов открытого ключа.

В данном документе проводится различие между PKI-системами, используемыми в закрытых, открытых и контрактных средах. Данный документ предназначен для облегчения внедрения оперативных, базовых практик и мер и средств контроля и управления в контрактной среде. Хотя основное внимание в этом документе уделяется контрактной среде, не исключается применение этого документа в условиях открытой или закрытой сред.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Общие понятия инфраструктуры открытых ключей (public key infrastructure, PKI)
6. Политика управления сертификатами (certificate policy, CP), заявление о практике управления сертификатами (certification practice statement, CPS) и их взаимосвязь с системой менеджмента информационной безопасности (СМИБ)
7. Цели и меры и средства контроля и управления удостоверяющего центра
Приложение A; Управление на основе политики управления сертификатами
Приложение B: Церемония генерации ключа УЦ
Приложение C: Содержание и использование журнала аудита удостоверяющего центра
Приложение D: Роли сертификатов и роли в рамках PKI-инфраструктуры
Приложение E: Изменения, внесённые в стандарт ISO 21188:2018 при подготовке стандарта ISO/IEC 27099
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/56590.html
https://www.iso.org/obp/ui/#!iso:std:56590:en

Комментариев нет:

Отправить комментарий