ГОСТ Р ИСО 17090-3—2010
наличии ЦАегорамкиответственности могут бытьотнесенык вышеуказаннымлибоопределены вявной
форме.
7.9.6.2 Претензии и гарантии ЦС
(9.6.1)
Когда ЦС. выпускающий сертификаты, публикует сертификат, то тем самым он удостоверяет, что
сертификат выпущендля некоторогодержателя сертификата и информация, указанная в сертификате,
проверена в соответствии с ПС данного ЦС. Публикация сертификата в хранилище, к которому имеет
доступдержательсертификата, должна являтьсяуведомлением отакой проверке.
ЦС должен предоставить каждому держателю сертификата уведомление о его правах и обязан
ностях в соответствии с ПС. Данное уведомление может приниматьформудоговора сдержателем сер
тификата и должно содержать описание разрешенного использования сертификатов, выпущенных в
соответствии с ПС. обязанности держателя сертификата в части защиты ключей, а также процедуры
обмена информацией между держателем сертификата и ЦС или ЦР. включая обмен информацией об
изменениях в предоставлении услуг или о существующей политике. ЦС должен уведомитьдержателей
сертификатов о действиях, предпринимаемых при подозрении компрометации ключа, при продлении
действия сертификата или замене ключа, при отмене услуги ипри разрешении споров.
Ответственность ЦС. выпускающего цифровые сертификаты для применения в сфере здравоох
ранения, недолжна ограничиваться только одними перечисленными нижефакторами:
a) ЦС долженнестиответственность за компрометацию секретногоключа в процессераспростра
нения ключей:
b
) ЦСдолжен отвечатьза неправомерное установлениесвязи отдельнойличности сэлектронной
цифровой подписью и другой сертификационной информацией, если только не может быть доказано,
чтособлюдалисьвседокументированныеправилаи процедурыидентификации иаутентификации. Дан
наяответственностьраспространяется наслучаи, когдаЦС знал илиподозреваллибодолжен был знать
или подозревать, чтоданная связь может быть неправомерной;
c) ЦС должен нести ответственность за то. что сертификаты не были отозваны, хотя это требова
лось правиламиотзыва:
d) ЦС должен нести ответственность за то, что сертификат был отозван по причине, которая не
указана в правилах отзыва.
7.9.6.3 Претензии и гарантии ЦР
(9.6.2)
Ответственность ЦР. регистрирующего потенциальных держателей сертификатов в сфере здра
воохранения, недолжна ограничиваться толькоодними перечисленными нижефакторами:
a) ЦР долженотвечатьза неправомерное установлениесвязиотдельнойличностис электронной
цифровой подписью и другой сертификационной информацией, если только не может быть доказано,
чтособлюдалисьвседокументированныеправилаи процедуры идентификации иаутентификации. Дан
наяответственностьраспространяется наслучаи, когда ЦР знал или подозреваллибодолжен был знать
или подозревать, чтоданная связь можетбыть неправомерной;
b
) ЦР должен нести ответственность за то. что сертификаты небыли отозваны, хотя это требова
лось правиламиотзыва.
c) ЦРдолженнестиответственностьзато. чтосертификатбыл отозванпопричине, которая неука
зана в правилахотзыва.
7.9.6.4 Претензии и гарантии держателя сертификата
(9.6.3)
Держательсертификата в ИОКсферы здравоохранениядолжен:
- при подаче заявки на получение сертификата гарантировать точность представленной им
информации, а при получении сертификата подтвердить, что вся информация, содержащаяся в серти
фикате. является истинной:
- защищать свои секретные ключи иключевые носители (еслитаковые имеются) иприниматьвсе
возможные меры для предотвращения их утери, раскрытия, изменения или несанкционированного
использования;
- прилагатьвсеусилиядля предотвращения утери, раскрытия или несанкционированного исполь
зования своего секретного ключа:
- немедленноуведомитьЦСи/или ЦР о любойреальной или подозреваемойутере, раскрытии или
другой компрометации своего секретногоключа;
- уведомлять ЦР и/или ЦС о любом изменении информации, содержащейся в сертификате, роли
или статуса в организации здравоохранения;
21