UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET

Transkript

1 UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET KUNDCERTIFIKAT VERSION

2 UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET KUNDCERTIFIKAT VERSION 1 Copyright Sjöfartsverket, 2005, doc ver 1.0 The information contained in this documentation is subject to change without notice. Sjöfartsverket (Swedish Maritime Administration) or affiliates, shall not be liable for errors contained herein or for incidental or consequential damages in connection with use of this material. Datum: Norrköping Tel: Fax:

3 Innehållsförteckning Dokumentstruktur och tolkningar INTRODUKTION ALLMÄNT IDENTIFIERING MÅLGRUPP OCH TILLÄMPLIGHET Utfärdare Registration Authorities (ra) Kundcertifikat Tillämplighet KONTAKTUPPGIFTER Administrationsansvarig Kontaktperson Överensstämmelse mellan denna policy och CPS ALLMÄNNA BESTÄMMELSER ÅTAGANDEN Utfärdarens åtaganden RA:S åtaganden Kundcertifikatsinnehaverens åtaganden Förlitande parts åtaganden ANSVAR Utfärdarens ansvar Ansvar för RA FINANSIELLT ANSVAR Fullmaktsförhållanden TOLKNING OCH GENOMFÖRANDE Tillämplig lag Tvistelösning AVGIFTER PUBLICERING OCH ÅTKOMST AV INFORMATION Publicering av information Periodicitet för publicering Behörighetskontroll REVISION Utföranden Information om resultatet av revision KONFIDENTIALITET Typ av information som skall hållas konfidentiell Typ av information som inte anses vara konfidentiell Tillhandahållande av information om anledning till spärrning av kundcertifikat Tillhandahållande av konfidentiell information till polis, åklagare eller annan IMMATERIELLA RÄTTIGHETER AVTALSVILLKOR FÖR KUNDCERTIFIKATSINNEHAVARE TILLGÄNGLIGHET OCH SVARSTID IDENTIFIERING OCH AUTENTISERING INITIAL REGISTRERING Typer av namn Namnsättning Fastställande av sökandens identitet FÖRNYELSE AV NYCKLAR OCH CERTIFIKAT Förnyelse av nycklar och certifikat... 8

4 3.3 BEGÄRAN OM SPÄRRNING OPERATIONELLA KRAV ANSÖKAN OM KUNDCERTIFIKAT UTFÄRDANDE AV KUNDCERTIFIKAT UTLÄMNADE AV KUNDCERTIFIKAT SPÄRRNING AV KUNDCERTIFIKAT Anledning till spärrning Behörig att begära spärrning Rutin för begäran om spärrning Behandlingstid vid begäran om spärrning Öppettid för spärrtjänsten Periodicitet för utgivning av spärrlista Krav på spärrkontroll LOGGNING Händelser som loggas Kontroll av loggar Skydd av loggar ARKIVERING Information som arkiveras Lagringstid Skydd av arkiv Rutiner för åtkomst och verifiering av arkivmaterial BYTE AV UTFÄRDARNYCKEL KATASTROFPLAN VID MISSTANKE OM RÖJDA UTFÄRDARNYCKLAR UPPHÖRANDE AV UTFÄRDARENS VERKSAMHET SÄKERHETSKONTROLLER FYSISK SÄKERHET PROCEDURORIENTERAD SÄKERHET Betrodda roller inom ca-funktionen Krav på antal personer per uppgift Identifiering och autentisering av personer i betrodda roller PERSONORIENTERAD SÄKERHET Bakgrund och kvalifikationer Krav på utbildning Personorienterad säkerhet för RA TEKNISK SÄKERHET GENERERING OCH INSTALLATION AV NYCKELPAR Generering av nyckelpar Leverans av kundcertifikat Nyckelstorlek Generering av publik nyckel SKYDD AV PRIVATA NYCKLAR Säkerhetsmodul och kundcertifikat Flerpersonskontroll av privata nycklar Säkerhetskopiering av privata nycklar Arkivering av privata nycklar Lagring av kundcertifikatens privata nyckel Aktivering av privata nycklar i kundcertifikaten Förstörelse av utfärdarens privata nycklar ANDRA ASPEKTER PÅ NYCKELHANTERING Arkivering av publika nycklar Privata nycklars livslängd Certifikatens giltighetstid AKTIVERINGSDATA... 15

5 6.4.1 Generering och installation av aktiveringsdata Skydd av aktiveringsdata SÄKERHET I DATORSYSTEM Tekniska krav KONTROLL AV SÄKERHET HOS SYSTEMET UNDER LIVSCYKELN Kontroller av systemutveckling Kontroller av säkerhetsadministration KONTROLL AV NÄTVERKSSÄKERHET PROFILER FÖR CERTIFIKAT OCH SPÄRRLISTOR CERTIFIKATENS PROFIL OCH VERSION PROFIL FÖR SPÄRRLISTA FÖRVALTNING AV POLICYN FÖRÄNDRING AV POLICYN Förändringar som kan ske utan underrättelse Förändringar som kan ske med underrättelse PUBLICERING OCH DISTRIBUTION AV POLICY OCH CPS Publicering och distribution av utfärdardeklaration(cps) REFERENSER... 17

6 Dokumentstruktur och tolkningar Nedan anges vilken grundstruktur som används för detta dokument samt riktlinjer för hur dokumentet skall tolkas: Rubriker och underrubriker i detta dokument är utformade för att till stor del överensstämma med internationell praxis. Vid tolkning av detta dokument skall texten under rubriken ges företräde före texten i rubriken Strukturen i denna Utfärdardeklaration faller i sin helhet tillbaka på Certifikatpolicyn Certifikatpolicy Sjöfartsverket- Kundcertifikat Sid 1

7 1 INTRODUKTION 1.1 ALLMÄNT Detta dokument utgör en utfärdardeklaration (CPS) för certifikatpolicyn [Certifikatpolicy Sjöfartsverket Kundcertifikat ]. CPS beskriver hur Sjöfartsverket (nedan kallad Utfärdaren) i praktiken som utfärdande CA uppfyller och efterlever de krav som ställts i [Certifikatpolicy Sjöfartsverket Kundcertifikat]. Dokumentet ägs och förvaltas av Sjöfartsverket. Utfärdande av kundcertifikat i enlighet med denna Utfärdardeklaration (CPS) innebär att: Kundcertifikatet ställs endast ut till fysiska personer i enlighet med [Certifikatpolicy Sjöfartsverket Kundcertifikat], CPS beskriver de rutiner och säkerhetsåtgärder som gäller hos Utfärdaren och som säkerställer att kraven i [Certifikatpolicy Sjöfartsverket Kundcertifikat] uppfylls, Kundcertifikat ställs ut enligt PKCS#12-standarden, CPS förutsätter att Registration Authority (RA) uppfyller de krav som anges för RA-rollen i [Certifikatpolicy Sjöfartsverket Kundcertifikat ]. 1.2 IDENTIFIERING Denna utfärdardeklaration (CPS) har en dokumentversion angiven på första sidan (sida 1). Namn på detta dokument: Utfärdardeklaration (CPS) Sjöfartsverket Kundcertifikat Objektidentifierare för detta dokument: Denna utfärdardeklaration (CPS) refererar till följande certifikatpolicy och objektidentifierare: Namn på policy: Certifikatpolicy Sjöfartsverket - kundcertifikat v1 Objektidentifierare: OID (för policyn) införs i skapade kundcertifikat som "Certificate Policy Extension" enligt X.509 version MÅLGRUPP OCH TILLÄMPLIGHET Detta kapitel anger vilka som berörs av Utfärdardeklarationen samt dess tillämpningsområde. Sid 2

8 1.3.1 Utfärdare Ansvarig utfärdare för denna Utfärdardeklaration är Sjöfartsverket, nedan kallad Utfärdaren Registration Authorities (ra) Redovisningsenheten på Sjöfartsverket agerar som RA Kundcertifikat Utöver de i [Certifikatpolicy Sjöfartsverket - Kundcertifikat] beskrivna kundcertifikaten används även speciella CA-certifikat internt med egna RSAnyckelpar. Kundcertifikat utfärdas endast till fysiska personer med en anställning hos kunder till Sjöfartsverket Tillämplighet Denna Utfärdardeklaration är relevant för Utfärdaren, RA, Kundcertifikatsinnehavare, samt för Förlitande Part. Det är Förlitande Part eller dennes organisation som avgör för vilka ändamål de utställda kundcertifikaten kan godtas. Bedömningen görs utifrån denna utfärdardeklaration (CPS) och [Certifikatpolicy Sjöfartsverket Kundcertifikat] Lämpliga användningsområden 1.4 KONTAKTUPPGIFTER Administrationsansvarig Utfärdardeklarationen är upprättad av Sjöfartsverket (Utfärdaren). Utfärdaren är fullt ansvarig för att administrera och uppdatera denna utfärdardeklaration Kontaktperson Frågor angående utfärdardeklaration adresseras till: Sjöfartsverket Torbjörn Mellblom SE Norrköping Sid 3

9 Sweden Telefon: E-post: Överensstämmelse mellan denna policy och CPS Utfärdaren är ansvarig för granskning av överensstämmelse med policy enligt 2.7 [Certifikatpolicy Sjöfartsverket - Kundcertifikat]. 2 ALLMÄNNA BESTÄMMELSER Detta kapitel redogör bestämmelserna för Utfärdaren, RA kundcertifikatsinnehavare, och Förlitande Parts åtaganden. 2.1 ÅTAGANDEN Utfärdarens åtaganden Allmänna bestämmelser Beställning av kundcertifikat Distribution Skydd av CA-systemets privata nyckel Begränsningar av användandet av Utfärdarens privata nyckel Sid 4

10 2.1.2 RA:S åtaganden Allmänna bestämmelser Kundcertifikatsinnehaverens åtaganden Ansökan om kundcertifikat Skydd av kundcertifikatsinnehavarens privata nyckel Förlitande parts åtaganden Användande av kundcertifikat för lämpliga ändamål Skyldighet att verifiera och kontrollera 2.2 ANSVAR Utfärdarens ansvar Garantier och ansvarsbegränsningar Utfärdaren ansvarar inte för skada som uppkommit på grund av uppgifterna i ett kundcertifikat eller spärrlista är felaktiga så vida Utfärdaren inte gjort sig skyldig till grov vårdslöshet Ansvar för RA Sid 5

11 2.3 FINANSIELLT ANSVAR Fullmaktsförhållanden 2.4 TOLKNING OCH GENOMFÖRANDE Tillämplig lag Tvistelösning 2.5 AVGIFTER 2.6 PUBLICERING OCH ÅTKOMST AV INFORMATION Publicering av information Utfärdardeklaration publiceras på följande adress Periodicitet för publicering Behörighetskontroll Det förekommer inte någon behörighetskontroll för att läsa denna utfärdardeklaration. Behörighetskontroll tillämpas däremot vid förändring av denna utfärdardeklaration. Sid 6

12 2.7 REVISION Utföranden Information om resultatet av revision 2.8 KONFIDENTIALITET Typ av information som skall hållas konfidentiell Typ av information som inte anses vara konfidentiell Tillhandahållande av information om anledning till spärrning av kundcertifikat Tillhandahållande av konfidentiell information till polis, åklagare eller annan 2.9 IMMATERIELLA RÄTTIGHETER Utfärdardeklarationen får endast reproduceras och spridas i sin helhet, under förutsättningarna att detta sker utan avgift. Ingen information får förändras, tas bort, eller läggas till AVTALSVILLKOR FÖR KUNDCERTIFIKATSINNEHAVARE Följande villkor gäller för kundcertifikatsinnehavare Sid 7

13 Allmänna villkor för kundcertifikatsinnehavare De allmänna villkoren kan ingå som en del i andra avtal som Sjöfartsverkets kunder ingår TILLGÄNGLIGHET OCH SVARSTID Spärrlistor publiceras inte under annonserade servicefönster. 3 IDENTIFIERING OCH AUTENTISERING Detta kapitel beskriver regler och rutiner som gäller vid identifiering och autentisering av fysiska personer och organisationer involverade i certifieringsprocessen. 3.1 INITIAL REGISTRERING Typer av namn Namnsättning Fastställande av sökandens identitet Metod för att styrka sökandens identitet Kontroll av identitetsuppgifter 3.2 FÖRNYELSE AV NYCKLAR OCH CERTIFIKAT Förnyelse av nycklar och certifikat Sid 8

14 3.3 BEGÄRAN OM SPÄRRNING 4 OPERATIONELLA KRAV Detta kapitel beskriver de operationella krav som gäller för Utfärdaren, RA, sökanden och kundcertifikatsinnehavaren. Kraven omfattar ansökan, utfärdande, spärrning, arkivering och loggning. 4.1 ANSÖKAN OM KUNDCERTIFIKAT Det är endast kunder till Sjöfartsverket som har möjlighet att lämna in en ansökan om kundcertifikat. 4.2 UTFÄRDANDE AV KUNDCERTIFIKAT Utfärdarprocessen för kundcertifikaten består av följande steg. Kunden kontakter ansvarig på Sjöfartsverket, om kunden ska tilldelas ett certifikat upprättas ett avtal om detta. Avtalet kan ingå som en del i annat avtal, t ex tillgång till Sjöfartsverkets e-tjänster. Avtalet signeras av båda parter. 4.3 UTLÄMNADE AV KUNDCERTIFIKAT Vid utfärdandet genereras följande information: Kundcertifikat med privat nyckel enligt PKCS#12 standarden Lösenord av god kvalitet som skyddar PKCS#12 filen. Kundcertifikatet skickas till av kunden angiven E-postadress. Lösenordet skickat till av kunden angiven mobilnummer med SMS. Har kunden ej angivit mobilnr kan fax alternativt telefon användas. Leveransen av PKCS#12 filen och lösenordet sker med minst 5 minuters mellanrum. Sid 9

15 4.4 SPÄRRNING AV KUNDCERTIFIKAT Utfärdarens spärrtjänst nås på följande tider och adresser: september april Helgfria vardagar 08:00 16:30 maj augusti Helgfria vardagar 08:00 16:00 hela året Vardag före röd dag 08:00 12:00 Telefon: +46 (0) E-post: Anledning till spärrning Behörig att begära spärrning Rutin för begäran om spärrning Behandlingstid vid begäran om spärrning Utfärdaren ansvarar inte för förseningar av spärr av kundcertifikat som ligger utan för dennes kontroll Öppettid för spärrtjänsten Spärrtjänsten är inte tillgänglig under annonserade servicefönster Periodicitet för utgivning av spärrlista Krav på spärrkontroll Sid 10

16 4.5 LOGGNING Här specificeras rutiner för loggning av händelser samt därtill relaterad revision av säkerheten i CA-systemet på systemnivå och operativsystemnivå. Regler och krav för säkerhetsmoduler som används i CA-systemet specificeras i kapitel Händelser som loggas Kontroll av loggar Loggar från CA-systemet granskas av ISSO en gång per vecka. Larmrutiner finns implementerade för följande typer av loggar Skydd av loggar 4.6 ARKIVERING Information som arkiveras Lagringstid Skydd av arkiv Rutiner för åtkomst och verifiering av arkivmaterial 4.7 BYTE AV UTFÄRDARNYCKEL 4.8 KATASTROFPLAN VID MISSTANKE OM RÖJDA UTFÄRDARNYCKLAR Sid 11

17 4.9 UPPHÖRANDE AV UTFÄRDARENS VERKSAMHET 5 SÄKERHETSKONTROLLER Detta kapitel beskriver fysiska, procedurorienterade och personella kontroller som utförs av Utfärdaren, och RA. 5.1 FYSISK SÄKERHET 5.2 PROCEDURORIENTERAD SÄKERHET Betrodda roller inom ca-funktionen Angivna roller i [Certifikatpolicy Sjöfartsverket - Kundcertifikat] är implementerade i Utfärdarens verksamhet Krav på antal personer per uppgift Identifiering och autentisering av personer i betrodda roller SA-rollen identifieras endast av operativsystemet för CA-systemet CAA identifieras i de applikationer (webgränssnitt) som ansluter till CA: ns gränssnitt för certifikatsbegäran. Applikationen har ett certifikat för att identifiera sig mot CA: ns gränssnitt. Applikationen identifierar operatören via Trusted Autentication. CAAs anslutningar till CA-tjänsten loggas i anslutande applikation. 5.3 PERSONORIENTERAD SÄKERHET Bakgrund och kvalifikationer Personal som innehar roller som ur säkerhetssynpunkt betraktas som kritiska skall vara särskilt utvalda och pålitliga personer som uppvisat lämplighet för sådana befattningar. Personal får inte ha några andra uppgifter som kan vara i konflikt med de åligganden och ansvar som följer av de roller som de har i CA-systemet. Sid 12

18 De initiala kontrollerna som genomförs vid anställning hos Sjöfartsverket tillsammans med relevanta kunskaper är tillräckliga kvalifikationer Krav på utbildning Utfärdaren genomför regelbundet utbildningar om säkerhet och CA-systemet för personalen. Säkerhetsrutiner kring CA-systemet testas årligen i verklighetsrelaterade simuleringar Personorienterad säkerhet för RA Inga avtal finns tecknade med externa underleverantörer. 6 TEKNISK SÄKERHET Detta kapitel innehåller regler för generering och installation av nyckelpar, skydd av nycklar samt andra tekniska säkerhetskontroller. 6.1 GENERERING OCH INSTALLATION AV NYCKELPAR Generering av nyckelpar Utfärdarnycklar för signering av certifikat och spärrlistor Nyckelpar för kundcertifikatsinnehavare Leverans av kundcertifikat Kundcertifikatsinnehavaren instrueras i de allmänna villkoren att byta initialt lösenord till ett personligt. Sid 13

19 Leverans av kundcertifikaten sker till kontaktpersonens angivna e-postadress i certifikatsansökan Nyckelstorlek Generering av publik nyckel 6.2 SKYDD AV PRIVATA NYCKLAR Säkerhetsmodul och kundcertifikat Flerpersonskontroll av privata nycklar Säkerhetskopiering av privata nycklar Arkivering av privata nycklar Lagring av kundcertifikatens privata nyckel Aktivering av privata nycklar i kundcertifikaten Förstörelse av utfärdarens privata nycklar 6.3 ANDRA ASPEKTER PÅ NYCKELHANTERING Sid 14

20 6.3.1 Arkivering av publika nycklar Privata nycklars livslängd Certifikatens giltighetstid 6.4 AKTIVERINGSDATA Generering och installation av aktiveringsdata Skydd av aktiveringsdata 6.5 SÄKERHET I DATORSYSTEM Tekniska krav 6.6 KONTROLL AV SÄKERHET HOS SYSTEMET UNDER LIVSCYKELN Kontroller av systemutveckling Kontroller av säkerhetsadministration Sid 15

21 6.7 KONTROLL AV NÄTVERKSSÄKERHET 7 PROFILER FÖR CERTIFIKAT OCH SPÄRRLISTOR 7.1 CERTIFIKATENS PROFIL OCH VERSION 7.2 PROFIL FÖR SPÄRRLISTA 8 FÖRVALTNING AV POLICYN Detta kapitel innehåller bestämmelser avseende förändringar och publiceringar av policyn. 8.1 FÖRÄNDRING AV POLICYN Förändringar som kan ske utan underrättelse Samtliga förändringar av denna utfärdardeklaration (CPS) för att uppfylla krav i [Certifikatpolicy Sjöfartsverket - Kundcertifikat] Förändringar som kan ske med underrättelse Samtliga förändringar av denna utfärdardeklaration (CPS) för att uppfylla krav i [Certifikatpolicy Sjöfartsverket - Kundcertifikat] Underrättelse Sid 16

22 8.2 PUBLICERING OCH DISTRIBUTION AV POLICY OCH CPS Publicering och distribution av utfärdardeklaration(cps) Publicering av aktuell utfärdardeklaration (CPS) och eventuella föreslagna förändringar hålls tillgänglig på Denna Utfärdardeklaration (CPS) kan även erhållas från adminstrationsansvarig kontaktperson se REFERENSER [Certifikatpolicy Sjöfartsverket - Kundcertifikat] Certifikatpolicy för vilken denna utfärdardeklaration (CPS) är upprättad. Aktuell version finns publicerad på Sid 17