ISO 21188-2018 PDF

Полное наименование и описание

ISO 21188:2018 — Public key infrastructure for financial services — Practices and policy framework. Международный стандарт, задающий требования и рамки практик управления инфраструктурой открытых ключей (PKI) для сектора финансовых услуг, включая правила формирования и управления политиками сертификатов и заявлениями о практике сертификации (CPS), а также контрольные цели и процедуры управления рисками в PKI-среде финансовых организаций.

Аннотация

Стандарт устанавливает операционные и политические требования для эксплуатации PKI в финансовой отрасли, различая открытые, закрытые и договорные окружения. Документ описывает практики, которые поддерживают использование публичных сертификатов для цифровой подписи, удалённой аутентификации, установления ключей и шифрования данных, при этом исключая из области аутентификационные методы, требования по неотказуемости и протоколы управления ключами. Цель — обеспечить базовый набор контрольных практик и требований, применимых в контрактной среде финансовых услуг.

Общая информация

• Статус: Published (действующая международная норма); стадия на сайте ISO — к пересмотру (stage 90.92).
• Дата публикации: 2018-04 (апрель 2018).
• Организация-издатель: International Organization for Standardization (ISO).
• ICS / категории: 35.240.40 (IT-приложения в банковском деле).
• Редакция / версия: Edition 2 (ISO 21188:2018), замена предыдущей версии ISO 21188:2006.
• Количество страниц: 108 страниц (официальное издание ISO).

Область применения

Документ предназначен для организаций финансового сектора и участников экосистемы PKI, которые разрабатывают, внедряют или проверяют практики управления сертификатами и PKI-инфраструктурой в договорных и операционных сценариях. Стандарт применим в контрактных окружениях финансовых услуг, но может быть использован и в других типах IT‑окружений при необходимости. Он не охватывает атрибутные сертификаты.

Ключевые темы и требования

• Рамки управления PKI: требования к политике сертификатов и заявлениям о практике сертификации (CPS).
• Контрольные цели и процедуры управления рисками в PKI (операционные и организационные меры).
• Классификация PKI по типам окружений: открытые, закрытые и договорные модели.
• Поддерживаемые применения сертификатов: цифровая подпись, удалённая аутентификация, установление ключей и шифрование данных.
• Ограничения: не рассматриваются методы аутентификации, требования по неотказуемости и протоколы управления ключами; атрибутные сертификаты — вне области применения.
• Практические указания для составления CP/CPS и валидации соответствия операционных процессов требованиям финансовой отрасли.
• Рекомендации для взаимодействия между участниками финансовых экосистем (контракты, доверительные отношения, распределение ответственности).

Применение и пользователи

Основные целевые аудитории: бизнес‑менеджеры и аналитики в финансовых организациях (понимание применения PKI в бизнес‑процессах), технические проектировщики и разработчики PKI (формирование CP/CPS и архитектуры), операционные менеджеры и аудиторы (управление, мониторинг и проверка соответствия практик стандарту). Стандарт полезен банкам, платёжным системам, провайдерам аутентификации и поставщикам PKI‑услуг.

Связанные стандарты

ISO 21188:2018 заменяет ISO 21188:2006 и объединяет/замещает ранее связанные документы ISO 15782-1 и ISO 15782-2. Стандарт находится в предметной области технического комитета ISO/TC 68/SC 2 (финансовые услуги — IT). Для реализации PKI также часто используются вспомогательные международные и отраслевые стандарты и рекомендации по шифрованию, формату сертификатов и управлению ключами, которые необходимо учитывать совместно с ISO 21188 при разработке комплексных решений.

Ключевые слова

PKI, инфраструктура открытых ключей, финансовые услуги, политика сертификатов, CPS, цифровая подпись, удалённая аутентификация, управление рисками, контрольные цели, договорная среда.

FAQ

В: Что это за стандарт?

О: Международный стандарт ISO 21188:2018 задаёт практики и политический каркас для управления PKI в финансовой отрасли, включая формирование политик сертификатов и заявлений о практике сертификации.

В: Что он регулирует?

О: Рамки и требования для эксплуатации PKI: контрольные цели, процедурные и организационные практики, управление рисками, рекомендации по CP/CPS и различение моделей PKI (открытые/закрытые/договорные). Он не регламентирует конкретные методы аутентификации, протоколы управления ключами или требования по неотказуемости.

В: Кто обычно использует?

О: Банки, платёжные провайдеры, поставщики PKI‑услуг, IT‑архитекторы и администраторы PKI, коммерческие и юридические подразделения, ответственные за договорные отношения и управление рисками, а также аудиторы.

В: Он актуален или заменён?

О: ISO 21188:2018 — действующая редакция (публикована в апреле 2018). На сайте ISO статус — Published с пометкой о пересмотре (stage 90.92); предыдущая версия 2006 года отозвана. Рекомендуется проверять у официального национального органа по стандартизации наличие подтверждений или начатых работ по обновлению.

В: Это часть серии?

О: Стандарт расширяет и объединяет требования, ранее распределённые по документам ISO 15782-1/2 и прежней редакции ISO 21188; он интегрирован в область стандартов по PKI и IT‑решениям для финансовых услуг, смежных с другими стандартами и руководствами по криптографии и управлению ключами.

В: Какие ключевые слова?

О: PKI, инфраструктура открытых ключей, финансовые услуги, политика сертификатов, CPS, цифровая подпись, аутентификация, управление рисками.