Практики центров сертификации

Рекомендации Форума CA/B по требованиям безопасности для сетей и систем сертификации

3 августа 2012 года Форум CA/B утвердил пакет рекомендаций по требованиям безопасности для сетей и систем сертификации, которые призваны способствовать применению современных методик всеми общественными доверенными центрами сертификации и третьими сторонами с делегированными полномочиями.

Форум CA/B — это добровольный союз ведущих центров сертификации (CA) и производителей интернет-браузеров и других приложений для интернета, который с 2005 года занимается определением стандартов в отрасли сертификации.

Новые рекомендации, вступившие в силу с 1 января 2013 года, призваны решить проблему многочисленных атак на доверенных поставщиков, которые имели место в 2011 году, за счет введения новых требований, гарантирующих более высокий уровень защиты сетей и систем центров сертификации и предотвращение новых инцидентов.

Эти рекомендации коснулись таких аспектов, как общая защита сетей и вспомогательных систем; доверенные роли, третьи стороны с делегированными полномочиями и системные учетные записи; ведение журналов, мониторинг и оповещение; выявление уязвимостей и управление обновлениями.

Все участвующие в Форуме центры сертификации, включая GlobalSign, согласились применить рекомендации к указанной дате, что должно способствовать повышению уровня безопасности в целом по отрасли.

Общая защита сетей и вспомогательных систем

Рекомендации вводят такие понятия, как зоны безопасности и зоны высокого уровня безопасности, для защиты жизненно важных систем центров сертификации, в том числе корневых сертификатов, систем выдачи, систем управления сертификатами и систем обеспечения безопасности.

Центры сертификации должны усилить контроль доступа к системам сертификации и разрешать доступ только лицам, наделенным доверенными ролями, с обязательным использованием многофакторной аутентификации, если она поддерживается.

Доверенные роли, третьи стороны с делегированными полномочиями и системные учетные записи

Доверенные роли назначаются на основе оценки рисков безопасности в связи с выполняемыми функциями. Для каждого сотрудника, наделенного доверенной ролью, должны быть созданы уникальные учетные данные для аутентификации в системах сертификации, чтобы использовать полномочия этой роли мог только один человек. Эта политика дополнительно подкрепляется правилами по использованию паролей, периодам неактивности и блокировке учетных записей.

Ведение журналов, мониторинг и оповещение

Новые рекомендации Форума требуют, чтобы все центры сертификации и третьи стороны с делегированными полномочиями внедрили вспомогательные системы защиты, которые будут протоколировать, отслеживать и и выявлять любые изменения конфигурации, влияющие на защиту, а также оповещать о них.

Сотрудники, наделенные доверенными ролями, обязаны реагировать на такие предупреждения, а журналы должны храниться с соблюдением всех применимых законодательных требований и рекомендаций, в том числе с защитой от неавторизованного воздействия.

Выявление уязвимостей и управление обновлениями

Центры сертификации и третьи стороны с делегированными полномочиями должны принимать меры по выявлению и предотвращению уязвимостей, чтобы защитить системы сертификации от вирусов и вредоносного ПО.

В этом разделе указывается, что полная проверка на наличие уязвимостей должна проводиться по меньшей мере ежеквартально, а проверка проникновения — ежегодно. Также определены стандарты по своевременному устранению критических уязвимостей.

Полное описание рекомендаций можно найти на сайте: https://www.cabforum.org/Network_Security_Controls_V1.pdf