1. Правова система ipLex360
  2. Законодавство
  3. Наказ


ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ
Н А К А З
13.01.2005 N 3
Зареєстровано в Міністерстві
юстиції України
27 січня 2005 р.
за N 104/10384
( Наказ втратив чинність на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації N 129 від 04.03.2020 )
Про затвердження Правил посиленої сертифікації
( Із змінами, внесеними згідно з Наказом Служби безпеки N 50 від 10.05.2006 )
На виконання пункту 2 постанови Кабінету Міністрів України від 13 липня 2004 року N 903 "Про затвердження Порядку акредитації центру сертифікації ключів"
НАКАЗУЮ:
1. Затвердити Правила посиленої сертифікації (додаються).
2. Заступнику начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Гулаку Г.М. забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.
Начальник Департаменту К.Бойко
ЗАТВЕРДЖЕНО
Наказ Департаменту
спеціальних
телекомунікаційних систем
та захисту інформації
Служби безпеки України
13.01.2005 N 3
(у редакції наказу
Департаменту спеціальних
телекомунікаційних систем
та захисту інформації
Служби безпеки України
від 10.05.2006 N 50
( z0568-06 )
Зареєстровано в Міністерстві
юстиції України
27 січня 2005 р.
за N 104/10384
ПРАВИЛА
посиленої сертифікації
1. Загальні положення
1.1. Правила посиленої сертифікації (далі - Правила) розроблені на виконання постанови Кабінету Міністрів України від 13 липня 2004 року N 903 "Про затвердження Порядку акредитації центру сертифікації ключів" та визначають організаційні, технічні і технологічні вимоги до акредитованих центрів сертифікації ключів (далі - акредитовані центри) під час обслуговування ними посилених сертифікатів відкритих ключів (далі - сертифікат) та забезпечення їх використання.
1.2. У цих Правилах організаційні, технічні і технологічні умови діяльності акредитованих центрів під час обслуговування ними сертифікатів мають назву політика сертифікації.
1.3. Сертифікати, сформовані відповідно до вимог політики сертифікації, використовуються для підтримки електронного цифрового підпису, який задовольняє вимогам щодо підпису, застосованого до даних в електронній формі, у такий же спосіб, як власноручні підписи задовольняють вимогам стосовно документа на папері.
1.4. Дія цих Правил поширюється на акредитовані центри. Особливості застосування цих Правил у сфері банківської діяльності визначає Національний банк України за погодженням з контролюючим органом.
1.5. Використані у цих Правилах терміни мають такі значення:
автоматизована система акредитованого центру - організаційно-технічна система акредитованого центру, що забезпечує обслуговування сертифікатів та об'єднує програмно-технічний комплекс, фізичне середовище, обслуговуючий персонал, а також інформацію, що обробляється в акредитованому центрі;
відокремлений пункт реєстрації - представництво (філія, підрозділ) акредитованого центру, яке здійснює реєстрацію підписувачів;
захищений носій - носій (smart card, touch-memory тощо), що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу;
розпізнавальне ім'я - сукупність реквізитів підписувача, що забезпечують можливість однозначного визначення належності сертифіката цьому підписувачу серед інших сертифікатів, сформованих у акредитованому центрі;
заявник - фізична або юридична особа, яка звертається до акредитованого центру з метою формування сертифіката (сертифікатів);
реєстрація - встановлення підписувача та перевірка наданих даних, що включаються у сертифікат;
сертифікація - формування сертифіката, заснованого на перевірених при реєстрації даних, накладання на сертифікат електронного цифрового підпису за допомогою особистого ключа акредитованого центру;
розповсюдження - надання сертифіката підписувачу - власнику особистого ключа або, у разі його згоди, іншим користувачам, якщо для державних органів інше не передбачене правилами їх систем електронного документообігу. Зазначеною послугою також забезпечується розповсюдження інформації щодо умов та порядку обслуговування і використання сертифіката;
управління статусом сертифіката - зміна статусу сертифіката на підставі відповідних запитів та за умовами, визначеними Законом України "Про електронний цифровий підпис";
розповсюдження інформації про статус сертифіката - надання вільного доступу до інформації про статус сертифіката. Зазначена послуга може бути забезпечена у реальному часі або заснована на інформації про статус сертифіката, що оновлюється за визначеним періодом часу або у разі необхідності;
повторне формування сертифіката - формування нового сертифіката акредитованим центром для підписувача, який є власником чинного сертифіката, сформованого даним акредитованим центром.
Інші терміни застосовуються у значеннях, наведених у Законі України "Про електронний цифровий підпис", Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13 липня 2004 року N 903, інших нормативно-правових актах з питань криптографічного та технічного захисту інформації.
1.6. Заявник та підписувач
1.6.1. У разі, якщо в основних даних (реквізитах) підписувача, сформованого за зверненням заявника сертифіката зазначаються реквізити заявника, заявник та підписувач є одним суб'єктом.
1.6.2. В іншому випадку, якщо заявник - уповноважений представник юридичної особи звертається до акредитованого центру з метою формування сертифікатів для інших представників цієї юридичної особи, заявник та підписувач є різними суб'єктами.
1.6.3. Заявник, який укладає договір із акредитованим центром на надання послуг електронного цифрового підпису (далі - ЕЦП), несе перед ним відповідальність, передбачену договором, за використання особистих ключів, які відповідають сертифікатам, сформованим акредитованим центром за зверненням заявника.
Підписувач здійснює використання особистого ключа відповідно до умов договору.
1.7. Ідентифікатор політики сертифікації
Ідентифікатором для політики сертифікації, що визначена у цих Правилах, є iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) pik(1) pik-cp(2) правила посиленої сертифікації(2).
Центр сертифікації ключів, що успішно пройшов процедуру акредитації, у процесі якої підтверджено відповідність діяльності центру вимогам, зазначеним у цих Правилах, повинен включати зазначений ідентифікатор у всі посилені сертифікати, що ним формуються для підписувачів.
2. Обов'язки акредитованого центру
2.1. Акредитований центр повинен зобов'язати заявника виконувати такі основні вимоги:
а) надавати повну та дійсну інформацію під час реєстрації, необхідну для формування сертифіката;
б) використовувати особистий ключ виключно для ЕЦП, а також додержуватися інших вимог щодо його використання, визначених акредитованим центром;
в) зберігати особистий ключ у таємниці, не допускати використання особистого ключа іншими особами;
г) використовувати надійні засоби ЕЦП для генерації особистих та відкритих ключів, формування та перевірки ЕЦП;
ґ) негайно інформувати акредитований центр про події, що трапилися до закінчення строку чинності сертифіката, а саме:
втрату або компрометацію особистого ключа;
втрату контролю щодо особистого ключа через компрометацію пароля, коду доступу до нього тощо;
виявлену неточність або зміну даних, зазначених у сертифікаті;
д) не використовувати особистий ключ у разі його компрометації.
2.2. У разі, якщо заявник та підписувач є різними суб'єктами, заявник повинен зобов'язати підписувача виконувати вимоги, визначені у пункті 2.1 цих Правил.
2.3. Акредитований центр зобов'язаний надати користувачам, які використовують сертифікати, інформацію про необхідність:
здійснення перевірки чинності сертифіката з використанням інформації про статус сертифіката;
врахування усіх визначених у сертифікаті вимог щодо його використання.
3. Вимоги до діяльності акредитованого центру під час обслуговування сертифікатів
3.1. Акредитований центр повинен мати Регламент роботи, що визначає порядок та процедури обслуговування сертифікатів підписувачів відповідно до вимог, визначених у цих Правилах.
3.2. У Регламенті роботи повинно бути визначено:
а) загальні положення (ідентифікаційні дані акредитованого центру - повне найменування, код за ЄДРПОУ, місцезнаходження, номери телефонів, електронна адреса електронного інформаційного ресурсу);
б) перелік суб'єктів, задіяних в обслуговуванні і використанні сертифікатів та їх функції;
в) сфера використання сертифіката:
перелік сфер, у яких дозволяється використання сертифікатів, сформованих акредитованим центром;
обмеження щодо використання сертифікатів, сформованих акредитованим центром;
г) порядок розповсюдження (публікації) інформації акредитованим центром:
перелік інформації, що публікується акредитованим центром на електронному інформаційному ресурсі;
час і порядок публікації сертифікатів та списків відкликаних сертифікатів;
ґ) порядок ідентифікації та автентифікації:
механізми підтвердження володіння підписувачем особистим ключем, відповідний якому відкритий ключ надається для сертифікації;
умови встановлення юридичної особи (представника юридичної особи) або фізичної особи - підписувачів (інформація, що надається заявником під час реєстрації, види документів, на підставі яких встановлюється підписувач, необхідність особистої присутності підписувача в акредитованому центрі тощо);
механізми автентифікації для підписувачів, які мають чинний сертифікат, сформований в акредитованому центрі;
механізми автентифікації під час звернення до акредитованого центру щодо відкликання (блокування і скасування) та поновлення сертифіката;
д) умови, процедури та механізми, пов'язані із формуванням, блокуванням, скасуванням та використанням сертифіката:
процес подання запиту на сертифікацію (перелік суб'єктів, уповноважених здійснювати запит на сертифікацію, порядок подачі та оброблення запиту на сертифікацію, строки оброблення запиту на сертифікат тощо);
надання сформованого сертифіката підписувачу та визнання сертифіката його власником;
публікація сформованого сертифіката акредитованим центром;
використання сертифіката та особистого ключа (відповідальність підписувача - власника сертифіката під час використання особистого ключа та сертифіката, відповідальність користувачів під час використання сертифіката);
процедура подачі запиту на сертифікацію для підписувачів, які мають чинний сертифікат ключа, сформований акредитованим центром;
скасування (блокування, поновлення) сертифіката (обставини скасування (блокування, поновлення) сертифіката; перелік суб'єктів, уповноважених здійснювати запит на скасування (блокування та поновлення) сертифіката; процедура подання запиту на скасування (блокування, поновлення) сертифіката; час оброблення запиту на скасування (блокування, поновлення) сертифіката; частота формування списку відкликаних сертифікатів та строки його дії; можливість та умови надання інформації про статус сертифіката у режимі реального часу);
закінчення строку чинності сертифіката підписувача;
е) управління та операційний контроль:
фізичне середовище (опис спеціального приміщення, механізми контролю доступу до нього);
процедурний контроль (перелік посад безпосередньо задіяних в обслуговуванні сертифікатів, їх функції та відповідальність з урахуванням режиму роботи акредитованого центру);
ведення журналів аудиту автоматизованої системи акредитованого центру (типи подій, що фіксуються у журналі аудиту, частота перегляду, строки зберігання журналів аудиту, захист та резервне копіювання журналів аудиту, перелік посад, що можуть здійснювати перегляд журналів аудиту);
ведення архівів (типи документів та даних, що підлягають архівуванню, строки зберігання архівів, механізми та порядок зберігання і захисту архівів);
є) управління ключами:
генерація ключів (процес, порядок та умови генерації ключів акредитованого центру та підписувачів);
процедури надання особистого ключа після генерації акредитованим центром його власнику;
механізм надання відкритого ключа акредитованому центру для сертифікації;
ж) забезпечення захисту особистого ключа:
порядок захисту та доступу до особистого ключа акредитованого центру;
резервне копіювання особистого ключа акредитованого центру, порядок та умови збереження, доступу та використання резервної копії.
3.3. Регламент роботи розробляється до початку проведення процедури акредитації центру сертифікації ключів та затверджується керівником центру після його погодження з контролюючим органом.
Після затвердження Регламенту роботи один його примірник надсилається до контролюючого органу.
3.4. У разі внесення змін до Регламенту роботи у ньому окремо зазначаються положення (розділи, пункти), до яких внесено зміни, текст змін, а також дата їх внесення.
Погодження та затвердження змін до Регламенту роботи здійснюються у порядку, встановленому для погодження та затвердження Регламенту роботи.
3.5. Акредитований центр через електронний інформаційний ресурс або в інший спосіб забезпечує ознайомлення користувачів з положеннями Регламенту роботи або з іншими документами, що підтверджують відповідність його діяльності політиці сертифікації, що визначена у цих Правилах. Акредитований центр визначає обсяг положень Регламенту роботи або інших документів, з якими необхідно ознайомлювати користувачів.
4. Управління ключами в акредитованому центрі
4.1. Генерація ключів акредитованого центру
4.1.1. Генерація особистого ключа акредитованого центру повинна здійснюватись у спеціальному приміщенні за участю або під контролем не менше двох визначених осіб із обслуговуючого персоналу. Вимоги до спеціальних приміщень акредитованого центру наведені у додатку до цих Правил.
4.1.2. Генерація ключів акредитованого центру здійснюється за допомогою надійних засобів ЕЦП.
4.1.3. Всі події, пов'язані із генерацією, використанням та знищенням особистого ключа акредитованого центру, повинні протоколюватися.
4.2. Зберігання, резервування та відновлення ключа акредитованого центру
4.2.1. Особистий ключ акредитованого центру повинен розміщуватися:
на захищеному носії у складі програмно-апаратного або апаратного засобу криптографічного захисту інформації (далі - КЗІ), яким здійснювалася генерація ключів згідно з пунктом 4.1.2 цих Правил;
на незйомному носії (пристрої) зі складу програмно-технічного комплексу або зйомному носії (пристрої). Порядок зберігання та доступу до особистого ключа у такому випадку погоджується з Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.
4.2.2. У разі здійснення резервування особистого ключа акредитованого центру особистий ключ повинен бути перенесений на зовнішній носій (пристрій) у захищеному вигляді, що забезпечує його цілісність та конфіденційність.
4.2.3. Резервування, зберігання та відновлення особистого ключа повинно здійснюватися у спеціальному приміщенні. Резервування та відновлення здійснюється за участю або під контролем не менше двох визначених осіб із числа обслуговуючого персоналу.
4.2.4. Умови забезпечення захисту резервної копії особистого ключа акредитованого центру під час його зберігання повинні бути не нижче, ніж умови забезпечення захисту особистого ключа, що знаходиться у використанні.
4.2.5. У разі, якщо ключ зберігається у призначеному для цього програмно-апаратному або апаратному засобі КЗІ, технологія зберігання повинна забезпечити неможливість доступу до нього іззовні у відношенні до такого засобу.
4.3. Використання особистого ключа акредитованого центру
4.3.1. Особистий ключ акредитованого центру може використовуватися тільки для формування сертифікатів (накладання ЕЦП на сертифікат) та інформації про статус сертифіката.
4.3.2. Особистий ключ акредитованого центру може використовуватися тільки у засобах КЗІ, які повинні бути розташовані у спеціальному приміщенні.
4.4. Строк чинності особистого ключа акредитованого центру
4.4.1. Особистий ключ акредитованого центру може бути чинним не більше ніж п'ять років.
4.4.2. Після закінчення терміну дії особистого ключа акредитованого центру особистий ключ та всі його резервні копії знищуються способом, що не дозволяє їх відновлення.
4.5. Надання допомоги із генерації ключів підписувачам
4.5.1. У разі генерації ключів підписувачам акредитований центр повинен вжити заходи конфіденційності під час генерації.
4.5.2. У разі передачі акредитованим центром особистого ключа підписувачу через заявника повинна бути забезпечена конфіденційність та цілісність ключа.
4.5.3. Зберігання особистих ключів підписувачів та ознайомлення з ними в акредитованому центрі забороняються.
4.5.4. Генерація ключів акредитованим центром підписувачам повинна здійснюватися за допомогою надійних засобів ЕЦП.
5. Обслуговування сертифікатів
5.1. Обслуговування акредитованим центром сертифікатів передбачає:
реєстрацію;
сертифікацію;
розповсюдження;
управління статусом сертифіката;
розповсюдження інформації про статус сертифіката.
Додатково акредитований центр може надавати засоби ЕЦП.
5.2. Реєстрація підписувача
5.2.1. Встановлення юридичної особи здійснюється за її установчими документами (положення, статут юридичної особи тощо) або копіями таких документів, які нотаріально посвідчені відповідно до законодавства. Крім цього, акредитований центр встановлює представника юридичної особи та його повноваження.
5.2.2. Встановлення фізичної особи здійснюється за паспортом або іншими документами відповідно до законодавства.
У разі, якщо під час реєстрації встановлюється підписувач - фізична особа як представник юридичної особи, заявник повинен додатково надати до акредитованого центру відомості щодо належності підписувача до цієї юридичної особи.
5.2.3. Заявник повинен надати свою адресу, телефон або іншу інформацію, що дозволяє зв'язатися з ним.
5.2.4. Реєстрація підписувачів може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції згідно з Регламентом роботи.

................
Перейти до повного тексту