Рекомендации Форума CA/B по требованиям безопасности для сетей и систем сертификации
3 августа 2012 года Форум CA/B утвердил пакет рекомендаций по требованиям безопасности для сетей и систем сертификации, которые призваны способствовать применению современных методик всеми общественными доверенными центрами сертификации и третьими сторонами с делегированными полномочиями.
Форум CA/B — это добровольный союз ведущих центров сертификации (CA) и производителей интернет-браузеров и других приложений для интернета, который с 2005 года занимается определением стандартов в отрасли сертификации.
Новые рекомендации, вступившие в силу с 1 января 2013 года, призваны решить проблему многочисленных атак на доверенных поставщиков, которые имели место в 2011 году, за счет введения новых требований, гарантирующих более высокий уровень защиты сетей и систем центров сертификации и предотвращение новых инцидентов.
Эти рекомендации коснулись таких аспектов, как общая защита сетей и вспомогательных систем; доверенные роли, третьи стороны с делегированными полномочиями и системные учетные записи; ведение журналов, мониторинг и оповещение; выявление уязвимостей и управление обновлениями.
Все участвующие в Форуме центры сертификации, включая GlobalSign, согласились применить рекомендации к указанной дате, что должно способствовать повышению уровня безопасности в целом по отрасли.
Общая защита сетей и вспомогательных систем
Рекомендации вводят такие понятия, как зоны безопасности и зоны высокого уровня безопасности, для защиты жизненно важных систем центров сертификации, в том числе корневых сертификатов, систем выдачи, систем управления сертификатами и систем обеспечения безопасности.
Центры сертификации должны усилить контроль доступа к системам сертификации и разрешать доступ только лицам, наделенным доверенными ролями, с обязательным использованием многофакторной аутентификации, если она поддерживается.
Доверенные роли, третьи стороны с делегированными полномочиями и системные учетные записи
Доверенные роли назначаются на основе оценки рисков безопасности в связи с выполняемыми функциями. Для каждого сотрудника, наделенного доверенной ролью, должны быть созданы уникальные учетные данные для аутентификации в системах сертификации, чтобы использовать полномочия этой роли мог только один человек. Эта политика дополнительно подкрепляется правилами по использованию паролей, периодам неактивности и блокировке учетных записей.
Ведение журналов, мониторинг и оповещение
Новые рекомендации Форума требуют, чтобы все центры сертификации и третьи стороны с делегированными полномочиями внедрили вспомогательные системы защиты, которые будут протоколировать, отслеживать и и выявлять любые изменения конфигурации, влияющие на защиту, а также оповещать о них.
Сотрудники, наделенные доверенными ролями, обязаны реагировать на такие предупреждения, а журналы должны храниться с соблюдением всех применимых законодательных требований и рекомендаций, в том числе с защитой от неавторизованного воздействия.
Выявление уязвимостей и управление обновлениями
Центры сертификации и третьи стороны с делегированными полномочиями должны принимать меры по выявлению и предотвращению уязвимостей, чтобы защитить системы сертификации от вирусов и вредоносного ПО.
В этом разделе указывается, что полная проверка на наличие уязвимостей должна проводиться по меньшей мере ежеквартально, а проверка проникновения — ежегодно. Также определены стандарты по своевременному устранению критических уязвимостей.
Полное описание рекомендаций можно найти на сайте: https://www.cabforum.org/Network_Security_Controls_V1.pdf