КАБIНЕТ МIНIСТРIВ УКРАЇНИ
ПОСТАНОВА
Київ
вiд 13 липня 2004 р. | N 903 |
---|
Про затвердження Порядку акредитацiї центру
сертифiкацiї ключiв
Iз змiнами i доповненнями, внесеними
постановами Кабiнету Мiнiстрiв України
вiд 8 грудня 2006 року N 1700,
вiд 9 листопада 2011 року N 1376,
вiд 17 жовтня 2012 року N 949,
вiд 8 квiтня 2013 року N 233
Вiдповiдно до статтi 9 Закону України "Про електронний цифровий пiдпис" Кабiнет Мiнiстрiв України постановляє:
1. Затвердити Порядок акредитацiї центру сертифiкацiї ключiв, що додається.
2. Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки розробити та затвердити у шестимiсячний строк вимоги до обслуговування та використання посилених сертифiкатiв вiдкритих ключiв.
Прем'єр-мiнiстр України | В.ЯНУКОВИЧ |
Iнд. 49
ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 13 липня 2004 р. N 903 |
ПОРЯДОК
акредитацiї центру сертифiкацiї ключiв
1. Цей Порядок визначає процедуру акредитацiї центру сертифiкацiї ключiв (далi - центр), умови надання центром послуг електронного цифрового пiдпису, вимоги до його персоналу та захисту iнформацiї.
2. Термiни, якi вживаються у цьому Порядку, мають таке значення:
контролюючий орган - Адмiнiстрацiя Держспецзв'язку;
(абзац другий пункту 2 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.12.2006р. N 1700) |
програмно-технiчний комплекс - апаратнi, апаратно-програмнi та програмнi засоби акредитованого центру, що забезпечують виконання функцiй, пов'язаних з наданням послуг електронного цифрового пiдпису;
спецiальне примiщення - примiщення, яке вiдповiдає вимогам технiчного захисту iнформацiї;
правила посиленої сертифiкацiї - затвердженi в установленому порядку вимоги до обслуговування та використання посилених сертифiкатiв вiдкритих ключiв (далi - сертифiкати);
регламент роботи акредитованого центру - нормативний документ, що визначає органiзацiйнi, технiчнi та iншi умови дiяльностi акредитованого центру пiд час надання послуг електронного цифрового пiдпису;
список вiдкликаних сертифiкатiв - перелiк блокованих та скасованих сертифiкатiв, що формується та розповсюджується акредитованим центром;
статус сертифiката - стан посиленого сертифiката ключа (чинний, блокований, скасований) на конкретний момент.
Iншi термiни застосовуються у значеннi, наведеному у Законах України "Про електронний цифровий пiдпис", "Про телекомунiкацiї", iнших нормативно-правових актах з питань iнформатизацiї та захисту iнформацiї.
3. Акредитацiя центру здiйснюється на добровiльних засадах.
4. Iнформацiя про акредитацiю центру сертифiкацiї ключiв та припинення його дiяльностi оприлюднюється центральним засвiдчувальним органом на власному веб-сайтi.
(пункт 4 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
5. До проведення акредитацiї центр вносить на спецiальний рахунок, вiдкритий у банкiвськiй установi, кошти у розмiрi стократної мiнiмальної заробiтної плати для забезпечення вiдшкодування збиткiв, якi можуть бути завданi пiдписувачам, користувачам або третiм особам внаслiдок неналежного виконання акредитованим центром своїх зобов'язань.
Наявнiсть спецiального рахунка не обов'язкова для акредитованого центру, який надає пов'язанi з електронним цифровим пiдписом послуги виключно органам державної влади.
6. Для проведення акредитацiї центр, що засвiдчив свiй вiдкритий ключ у центральному засвiдчувальному органi та внiс кошти на спецiальний рахунок, подає до нього заяву разом iз документами, перелiк яких наведено у додатку 1.
У заявi зазначаються:
повне найменування юридичної особи, посада, прiзвище, iм'я та по батьковi її керiвника (прiзвище, iм'я та по батьковi фiзичної особи - суб'єкта пiдприємницької дiяльностi, серiя i номер паспорта, ким i коли виданий);
органiзацiйно-правова форма;
код згiдно з ЄДРПОУ (реєстрацiйний номер облiкової картки платника податкiв (iдентифiкацiйний номер);
(абзац п'ятий пункту 6 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
номер поточного рахунка та найменування банкiвської установи;
мiсцезнаходження (мiсце проживання);
номери телефонiв;
електронна адреса електронного iнформацiйного ресурсу;
вiдомостi про реєстрацiю вiдкритого ключа в центральному засвiдчувальному органi.
7. На пiдставi заяви та доданих до неї документiв центральний засвiдчувальний орган у строк не бiльше нiж 45 днiв вiд дати подання заяви приймає рiшення про акредитацiю центру або про вiдмову в акредитацiї.
У разi необхiдностi центральний засвiдчувальний орган здiйснює перевiрку центру на вiдповiднiсть вимогам цього Порядку.
8. Центр вважається акредитованим вiд дня внесення до Реєстру суб'єктiв, якi надають послуги, пов'язанi з електронним цифровим пiдписом (далi - Реєстр), що ведеться центральним засвiдчувальним органом, основних даних (реквiзитiв) акредитованого центру, зазначених у пунктi 6 цього Порядку, вiдомостей про дату прийняття та номер рiшення про акредитацiю, серiю та номер свiдоцтва, а також строк дiї свiдоцтва.
(пункт 8 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
9. У разi прийняття центральним засвiдчувальним органом рiшення про акредитацiю, центровi видається свiдоцтво про акредитацiю (далi - свiдоцтво) за зразком, наведеним у додатку 2.
Копiї рiшення про акредитацiю та свiдоцтва надсилаються до контролюючого органу.
10. Свiдоцтво видається уповноваженому представнику центру протягом п'яти робочих днiв вiд дати внесення вiдповiдного запису до Реєстру.
11. У разi змiни вiдомостей, якi внесенi до Реєстру, акредитований центр у триденний строк повiдомляє про це центральний засвiдчувальний орган.
12. У разi пошкодження або втрати свiдоцтва центровi видається протягом десяти днiв вiд дати подання вiдповiдної заяви його дублiкат.
Вiдомостi про видачу дублiката вносяться до Реєстру.
13. Акредитований центр проходить повторну акредитацiю у разi:
змiни основних даних (реквiзитiв), якi зазначаються у свiдоцтвi;
закiнчення строку дiї свiдоцтва;
закiнчення строку дiї атестата вiдповiдностi комплексної системи захисту iнформацiї чи втрати чинностi таким атестатом або модернiзацiї програмно-технiчного комплексу акредитованого центру;
(абзац четвертий пункту 13 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
закiнчення строку дiї сертифiката вiдповiдностi або позитивного експертного висновку за результатами державної експертизи у сферi криптографiчного захисту iнформацiї;
повiдомлення контролюючим органом щодо порушення порядку проведення акредитацiї.
Повторна акредитацiя здiйснюється згiдно з пунктами 5-10 цього Порядку.
14. Рiшення про скасування акредитацiї центральний засвiдчувальний орган приймає у разi:
повiдомлення контролюючим органом про порушення акредитованим центром законодавства;
неукладення протягом року жодного договору про надання послуг електронного цифрового пiдпису;
(абзац третiй пункту 14 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
непоповнення спецiального рахунка для забезпечення вiдшкодування збиткiв;
невиконання акредитованим центром встановлених вимог щодо надання послуг електронного цифрового пiдпису згiдно iз законодавством;
(абзац п'ятий пункту 14 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
прийняття акредитованим центром рiшення про припинення дiяльностi.
Про прийняте рiшення центральний засвiдчувальний орган в одноденний строк повiдомляє акредитованому центру, а також розмiщує вiдповiдну iнформацiю на власному веб-сайтi.
(пункт 14 доповнено абзацом згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
15. У разi прийняття рiшення про скасування акредитацiї свiдоцтво анулюється.
16. Вiдомостi про скасування акредитацiї та анулювання свiдоцтва центральний засвiдчувальний орган вносить до Реєстру пiсля передачi акредитованим центром документованої iнформацiї на зберiгання центральному засвiдчувальному органу i повiдомляє про це акредитований центр та контролюючий орган iз зазначенням пiдстав скасування акредитацiї.
(пункт 16 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
17. Центр, якому було вiдмовлено в акредитацiї у зв'язку з поданням недостовiрної iнформацiї або акредитацiю якого було скасовано, не може бути акредитований протягом року вiд дати прийняття рiшення про вiдмову в акредитацiї або про скасування акредитацiї.
18. Рiшення про вiдмову в акредитацiї або скасування акредитацiї може бути оскаржено в судовому порядку.
19. За проведення акредитацiї справляється плата у розмiрi, встановленому Кабiнетом Мiнiстрiв України.
(пункт 19 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
20. Акредитований центр:
забезпечує виконання вимог щодо надання послуг електронного цифрового пiдпису згiдно iз законом;
iнформує пiдписувача про обмеження використання електронного цифрового пiдпису та порядок вiдшкодування збиткiв;
виконує приписи контролюючого органу;
надає допомогу пiдписувачам пiд час генерацiї особистих та вiдкритих ключiв у разi отримання вiд них вiдповiдного звернення та вживає заходiв щодо забезпечення безпеки iнформацiї пiд час генерацiї;
забезпечує розташування засобiв програмно-технiчного комплексу, за допомогою яких здiйснюється надання послуг сертифiкацiї та вiдкликання, в спецiальних примiщеннях та їх охорону;
забезпечує збереження програмно-технiчного комплексу, iншого майна та запобiгання безконтрольному проникненню в примiщення акредитованого центру стороннiх осiб;
використовує надiйнi засоби електронного цифрового пiдпису, програмно-технiчний комплекс, засоби криптографiчного захисту iнформацiї вiдповiдно до вимог Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї i Мiн'юсту.
(абзац восьмий пункту 20 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
21. Надання послуг електронного цифрового пiдпису здiйснюється акредитованим центром згiдно з правилами посиленої сертифiкацiї та регламентом роботи цього центру.
22. Акредитований центр пiд час надання послуг електронного цифрового пiдпису фiзичним та юридичним особам, фiзичним особам-пiдприємцям зобов'язаний дотримуватися таких вимог:
встановлювати вiдповiдно до законодавства фiзичну особу, фiзичну особу-пiдприємця, юридичну особу та уповноваженого представника юридичної особи, якi звернулися до акредитованого центру з метою формування сертифiката;
перевiряти данi, обов'язковi для формування сертифiката, i данi, якi вносяться до нього на вимогу пiдписувача;
реєструвати та вести облiк звернень фiзичних та юридичних осiб, на пiдставi яких були сформованi сертифiкати;
встановлювати належнiсть пiдписувачу особистого ключа та його вiдповiднiсть вiдкритому ключу, якщо їх генерацiя здiйснювалася не в акредитованому центрi.
23. У разi використання коштiв iз спецiального рахунка для вiдшкодування завданих збиткiв акредитований центр зобов'язаний протягом 30 днiв вiд дати здiйснення такого вiдшкодування поповнити спецiальний рахунок до встановленого розмiру.
24. Керiвник та iншi посадовi особи акредитованого центру, якi безпосередньо беруть участь в обслуговуваннi посилених сертифiкатiв ключiв (далi - посадовi особи), повиннi мати вiдповiдний досвiд роботи не менше нiж три роки.
25. Обов'язковими в акредитованому центрi є посади адмiнiстратора реєстрацiї, адмiнiстратора сертифiкацiї, адмiнiстратора безпеки та системного адмiнiстратора.
Адмiнiстратор реєстрацiї вiдповiдає за встановлення фiзичних та юридичних осiб, фiзичних осiб-пiдприємцiв пiд час формування, блокування, поновлення та скасування сертифiката.
Адмiнiстратор сертифiкацiї вiдповiдає за формування сертифiкатiв, спискiв вiдкликаних сертифiкатiв, збереження та використання особистого ключа акредитованого центру.
Адмiнiстратор безпеки вiдповiдає за належне функцiонування комплексної системи захисту iнформацiї та входить до складу служби захисту iнформацiї акредитованого центру. Забороняється сумiщення посади адмiнiстратора безпеки з iншими посадами.
Системний адмiнiстратор вiдповiдає за функцiонування програмно-технiчного комплексу.
26. Керiвник та посадовi особи акредитованого центру несуть вiдповiдальнiсть за розголошення конфiденцiйної iнформацiї, зокрема вiдомостей про персональнi данi, згiдно iз законом.
27. Акредитований центр пiд час надання послуги сертифiкацiї фiзичним та юридичним особам зобов'язаний:
генерувати вiдкритий та особистий ключi пiдписувача;
формувати сертифiкат згiдно iз законом.
Пiд час формування сертифiката акредитований центр:
присвоює унiкальний реєстрацiйний номер сертифiкату;
перевiряє унiкальнiсть вiдкритого ключа пiдписувача в реєстрi чинних, блокованих та скасованих сертифiкатiв;
включає данi про обмеження використання електронного цифрового пiдпису;
включає електронну адресу електронного iнформацiйного ресурсу, де публiкується список вiдкликаних сертифiкатiв акредитованого центру;
на вимогу пiдписувача включає додатковi данi.
Сертифiкат пiдписувача, сформований акредитованим центром, чинний не бiльше нiж два роки.
Сертифiкат акредитованого центру чинний не бiльше нiж п'ять рокiв.
28. Особистий ключ акредитованого центру використовується виключно для формування сертифiкатiв пiдписувачiв, даних про статус сертифiката та надання послуги фiксування часу.
Пiсля закiнчення термiну чинностi особистий ключ та всi його резервнi копiї знищуються методом, що не допускає можливостi їх вiдновлення.
29. Резервнi копiї сертифiкатiв та списку вiдкликаних сертифiкатiв, сформованих в акредитованому центрi, зберiгаються в примiщеннi, територiальне вiдокремленому вiд примiщення акредитованого центру, iз забезпеченням захисту вiд несанкцiонованого доступу.
30. Акредитований центр зобов'язаний забезпечити можливiсть цiлодобового вiльного доступу користувачiв з використанням телекомунiкацiйних мереж загального користування до:
сертифiкатiв пiдписувачiв за їх згодою;
даних про статус сертифiкатiв ключiв;
сертифiката акредитованого центру;
нормативних документiв з питань надання послуг електронного цифрового пiдпису, зокрема до правил посиленої сертифiкацiї та регламенту роботи акредитованого центру, а також порядку здiйснення перевiрки чинностi сертифiката.
Надання користувачам достовiрних даних про статус сертифiкатiв здiйснюється за їх запитом у реальному часi та/або з використанням списку вiдкликаних сертифiкатiв вiдповiдно до регламенту роботи акредитованого центру.
31. Акредитований центр зобов'язаний забезпечити:
цiлодобовий прийом звернень про скасування та блокування сертифiкатiв;
прийом звернень про поновлення сертифiкатiв;
перевiрку законностi звернень про блокування, поновлення та скасування сертифiкатiв.
Час мiж отриманням звернення пiдписувача або його уповноваженого представника про скасування, блокування сертифiката та внесенням змiн до списку вiдкликаних сертифiкатiв, доступних користувачам, не повинен перевищувати двох годин.
Час формування, скасування, блокування та поновлення сертифiкатiв встановлюється за київським часом i синхронiзується з Всесвiтнiм координованим часом (UTC) з точнiстю до однiєї секунди.
Формування, скасування, блокування та поновлення сертифiкатiв здiйснюється за участю або пiд контролем не менше нiж двох посадових осiб акредитованого центру вiдповiдно до їх посадових обов'язкiв.
32. У договорi мiж акредитованим центром та пiдписувачем щодо надання послуг електронного цифрового пiдпису додатково зазначається про згоду або незгоду пiдписувача надавати вiльний доступ до його сертифiката користувачам та порядок взаємодiї мiж пiдписувачем i акредитованим центром.
33. Акредитований центр може надавати iншi послуги, якi не суперечать вимогам законодавства та цього Порядку.
34. Захист iнформацiї, яка обробляється в акредитованому центрi, забезпечується в результатi здiйснення комплексу технiчних, криптографiчних, органiзацiйних та iнших заходiв i впровадження комплексної системи захисту iнформацiї.
35. Комплексна система захисту iнформацiї повинна мати атестат вiдповiдностi вимогам захисту iнформацiї.
36. В акредитованому центрi створюється служба захисту iнформацiї, яка забезпечує вирiшення питань, пов'язаних iз проектуванням, розробленням i модернiзацiєю, введенням в експлуатацiю, обслуговуванням i пiдтримкою працездатностi комплексної системи захисту iнформацiї, а також контролем за станом захищеностi iнформацiї.
Додаток 1 до Порядку |
ПЕРЕЛIК
документiв, що подаються разом iз заявою про
акредитацiю
1. Копiї установчих документiв, засвiдченi в установленому порядку (для юридичної особи).
2. Пункт 2 виключено
(пункт 2 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376, виключено згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.04.2013р. N 233) |
3. Пункт 3 виключено
(згiдно з постановою Кабiнету Мiнiстрiв України вiд 17.10.2012р. N 949) |
4. Копiї паспорта, довiреностi або iншого документа, що пiдтверджують повноваження фiзичної особи на представлення iнтересiв суб'єкта пiдприємницької дiяльностi.
(пункт 4 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
5. Копiя документа, що пiдтверджує право власностi центру сертифiкацiї ключiв на окреме примiщення або оренду такого примiщення, засвiдчена в установленому порядку.
6. Копiя документа про внесення на спецiальний рахунок коштiв для забезпечення вiдшкодування збиткiв, якi можуть бути завданi акредитованим центром пiдписувачам, користувачам або третiм особам внаслiдок неналежного виконання своїх зобов'язань.
7. Документ, що пiдтверджує внесення плати за проведення акредитацiї.
8. Копiя атестата вiдповiдностi комплексної системи захисту iнформацiї вимогам нормативних документiв у сферi захисту iнформацiї.
9. Копiї сертифiкатiв вiдповiдностi або позитивних експертних висновкiв за результатами державної експертизи у сферi криптографiчного захисту iнформацiї.
10. Список посадових осiб центру сертифiкацiї ключiв та засвiдченi в установленому порядку копiї документiв про рiвень освiти i квалiфiкацiї керiвника центру сертифiкацiї ключiв та посадових осiб, обов'язки яких безпосередньо пов'язанi з наданням послуг електронного цифрового пiдпису та обслуговуванням посилених сертифiкатiв вiдкритих ключiв.
11. Регламент роботи центру сертифiкацiї ключiв, затверджений керiвником та погоджений контролюючим органом.
12. Положення, яким визначаються посадовi обов'язки, квалiфiкацiйнi вимоги та вiдповiдальнiсть посадових осiб центру сертифiкацiї ключiв.
13. Положення про службу захисту iнформацiї центру сертифiкацiї ключiв, затверджене його керiвником.
14. План-схема примiщень центру сертифiкацiї ключiв та порядок доступу до спецiальних примiщень.
15. Порядок зберiгання окремих резервних копiй посилених сертифiкатiв ключiв та спискiв вiдкликаних сертифiкатiв, сформованих акредитованим центром.
16. Порядок синхронiзацiї з Всесвiтнiм координованим часом (UTC).
17. Вiдомостi про лiцензiї на право провадження господарської дiяльностi в галузi криптографiчного або технiчного захисту iнформацiї (у разi наявностi).
18. Довiренiсть особи для представництва iнтересiв центру перед центральним засвiдчувальним органом.
(додаток 1 доповнено пунктом 18 згiдно з постановою Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |
Додаток 2 до Порядку (у редакцiї постанови Кабiнету Мiнiстрiв України вiд 9 листопада 2011 р. N 1376) |
Центральний засвiдчувальний орган
СВIДОЦТВО
про акредитацiю центру сертифiкацiї ключiв
Серiя _____ | N ___ |
Згiдно з рiшенням центрального засвiдчувального органу вiд ___ ______________ 20__ р. N ___ |
(повне найменування юридичної особи (прiзвище, iм'я та по батьковi фiзичної особи - пiдприємця), |
код згiдно з ЄДРПОУ (реєстрацiйний номер облiкової картки платника податкiв (iдентифiкацiйний номер) |
вiдповiдає вимогам до акредитованого центру сертифiкацiї ключiв та внесений ___ ___________ 20__ р. до Реєстру суб'єктiв, якi надають послуги електронного цифрового пiдпису, за N ___ |
Мiсцезнаходження акредитованого центру сертифiкацiї ключiв |
Свiдоцтво дiйсне до ___ _____________ 20__ р. |
(посада керiвника органу) | (пiдпис) | (iнiцiали та прiзвище) |
М. П..
(додаток 2 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 09.11.2011р. N 1376) |