Про затвердження Регламенту роботи центрального засвідчувального органу
Відповідно до Положення про Міністерство юстиції України, затвердженого Указом Президента України від 06.04.2011 № 395, Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13.07.2004 № 903, Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 № 3, зареєстрованих у Міністерстві юстиції України 27.01.2005 за № 104/10384, НАКАЗУЮ:
1. Затвердити Регламент роботи центрального засвідчувального органу (додаток 1) та форми заяв, що подаються до центрального засвідчувального органу в процедурі акредитації засвідчувальних органів і центрів сертифікації ключів та обслуговування їх посилених сертифікатів відкритих ключів (додатки 2 - 7).
2. Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України (Чижмарь К.І.) надіслати копію цього наказу, засвідчену в установленому порядку, до Адміністрації Державної служби спеціального зв'язку та захисту інформації України.
3. Адміністратору інформаційно-телекомунікаційної системи центрального засвідчувального органу (Добжанський В.Б.) розмістити цей наказ на веб-сайті центрального засвідчувального органу.
4. Контроль за виконанням цього наказу покласти на директора Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України Чижмарь К.І.
ПОГОДЖЕНО Голова Державної служби 13.02.2012 | ЗАТВЕРДЖЕНО Міністр юстиції України
22.02.2012 |
РЕГЛАМЕНТ РОБОТИ
центрального засвідчувального органу
1.1. Цей Регламент роботи (далі - Регламент) розроблений відповідно до Закону України "Про електронний цифровий підпис", постанови Кабінету Міністрів України від 28.10.2004 № 1451 "Про затвердження Положення про центральний засвідчувальний орган", інших нормативно-правових актів, що регулюють відносини у сфері використання електронного цифрового підпису.
Регламент визначає організаційно-методологічні та технологічні умови діяльності центрального засвідчувального органу під час обслуговування посилених сертифікатів відкритих ключів, реєстрації, акредитації засвідчувальних центрів органів виконавчої влади або інших державних органів (далі - ЗЦ) та центрів сертифікації ключів (далі - ЦСК).
Регламент встановлює загальний порядок діяльності центрального засвідчувального органу під час забезпечення створення умов для функціонування ЗЦ та ЦСК у процесі надання послуг електронного цифрового підпису (далі - ЕЦП).
Виконання Регламенту є обов'язковим для всіх суб'єктів відносин, що виникають при використанні електронного цифрового підпису, та на яких поширюються положення цього Регламенту (далі - суб'єкти відносин у сфері ЕЦП).
1.2. Терміни, що вживаються у цьому Регламенті, застосовуються у значеннях, визначених нормативно-правовими актами, що регулюють відносини, які виникають при використанні ЕЦП.
II. Відомості про центральний засвідчувальний орган
2.1. Центральний засвідчувальний орган (далі - ЦЗО) забезпечує створення умов для функціонування ЗЦ та ЦСК, здійснює їх реєстрацію, акредитацію та обслуговування їх посилених сертифікатів відкритих ключів.
Технічне та технологічне забезпечення виконання функцій ЦЗО здійснюється адміністратором інформаційно-телекомунікаційної системи центрального засвідчувального органу (далі - Адміністратор ІТС ЦЗО) відповідно до наказу Міністерства юстиції України від 19.09.2011 № 3028/5 "Про здійснення заходів щодо забезпечення функціонування центрального засвідчувального органу".
2.2. Повна назва державного органу, що виконує адміністративні функції ЦЗО: Міністерство юстиції України.
Місцезнаходження (поштова адреса): вул. Городецького, 13, м. Київ, 01001.
Телефон: (044) 486-87-24; факс (044) 486-87-24.
Адреса електронного інформаційного ресурсу (веб-сайт) ЦЗО: www.czo.gov.ua.
Електронна пошта ЦЗО: contact@czo.gov.ua.
2.3. Повне найменування підприємства, що здійснює функції адміністратора ІТС ЦЗО: державне підприємство "Інформаційний центр" Міністерства юстиції України.
Скорочена назва: Держінформ'юст.
Місцезнаходження (поштова адреса): вул. Мельникова, 81, літ. А, м. Київ, 04050.
Телефон (044) 206-71-90; факс (044) 206-71-28.
Електронна пошта: czo_admin_its@informjust.ua.
Діяльність ЦЗО та Адміністратора ІТС ЦЗО по роботі з ЗЦ, ЦСК та акредитованими центрами сертифікації ключів (далі - АЦСК) (далі разом - Центри) щодо прийому заяв у паперовій формі, виготовлення посилених сертифікатів відкритих ключів Центрів, надання консультацій тощо, організована в одну робочу зміну з понеділка по четвер з 9:00 до 18:00, обідня перерва з 13:00 до 13:45 та у п'ятницю з 9:00 до 16:45, обідня перерва з 13:00 до 13:45.
Діяльність Адміністратора ІТС ЦЗО по роботі із Центрами (заявниками) щодо блокування та скасування посилених сертифікатів відкритих ключів є цілодобовою.
2.4. Заяви та документи на реєстрацію, акредитацію та формування посилених сертифікатів відкритих ключів ЗЦ та ЦСК, документована інформація, що передається ЦЗО АЦСК у разі припинення їх діяльності, приймаються та розглядаються у робочі дні відповідно до режиму роботи, зазначеному в пункті 2.3 цього розділу.
2.5. Міністерство юстиції виконує такі функції:
здійснює реєстрацію, акредитацію центрів, видачу, переоформлення та анулювання відповідних свідоцтв;
надає центрам консультації з питань, пов'язаних з використанням електронного цифрового підпису;
забезпечує діяльність постійно діючої комісії з питань акредитації центрів (далі - ПДКА);
розглядає заяви і скарги щодо неналежного функціонування центрів та подає відповідні пропозиції контролюючому органу;
повідомляє контролюючий орган про обставини, які перешкоджають діяльності центрального засвідчувального органу;
здійснює інші функції, передбачені законодавством у сфері ЕЦП та цим Регламентом.
2.6. Функції адміністратора ІТС ЦЗО визначаються ЦЗО.
Адміністратор ІТС ЦЗО забезпечує функціонування інформаційно-телекомунікаційної системи ЦЗО. За допомогою програмно-технічного комплексу ІТС ЦЗО (далі - ПТК) адміністратором ІТС ЦЗО забезпечується:
формування самопідписаного сертифіката ЦЗО;
проведення реєстрації ЗЦ та ЦСК;
формування та видача посилених сертифікатів відкритих ключів ЗЦ, ЦСК та АЦСК (далі - сертифікати ключів, разом - сертифікати ключів Центрів);
блокування, скасування, поновлення сертифікатів ключів Центрів;
ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів та їх розповсюдження (публікація);
формування та розповсюдження (публікація) списків відкликаних (скасованих, блокованих) сертифікатів ключів Центрів (далі - СВС), що формуються за допомогою відповідного електронного реєстру;
ведення Реєстру суб'єктів, які надають послуги, пов'язані з електронним цифровим підписом (далі - Реєстр суб'єктів);
зберігання сертифікатів ключів Центрів;
забезпечення цілодобового доступу до сертифікатів ключів Центрів через загальнодоступні телекомунікаційні мережі;
інші операції, передбачені законодавством та технічним завданням на створення ПТК ЦЗО.
III. Інші суб'єкти відносин у сфері послуг ЕЦП та їх функції
3.1. ЗЦ - засвідчувальний центр органу виконавчої влади або іншого державного органу, що забезпечує реєстрацію, засвідчення чинності відкритих ключів та акредитацію групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям, та засвідчив чинність свого відкритого ключа у ЦЗО.
3.2. ЦСК - юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису, та засвідчила чинність свого відкритого ключа у ЦЗО.
3.3. Акредитований центр сертифікації ключів (далі - АЦСК) - центр сертифікації ключів, акредитований в установленому порядку, що надає послуги ЕЦП, обслуговує сертифікати ключів та засвідчив свій відкритий ключ у ЦЗО.
3.4. Заявник - юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що звертається до ЦЗО з метою проведення реєстрації або акредитації формування сертифіката відкритого ключа Центру, його блокування, поновлення або скасування.
3.5. Контролюючий орган - спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації.
IV. Сертифікати відкритих ключів, сформовані ЦЗО, та сфера їх використання
4.1. Адміністратор ЦЗО формує самопідписаний посилений сертифікат відкритого ключа ЦЗО, що містить відкритий ключ, відповідний якому особистий ключ ЦЗО використовується для формування сертифікатів ключів Центрів та списків відкликаних сертифікатів.
Самопідписаний посилений сертифікат відкритого ключа ЦЗС використовується для перевірки сертифікатів ключів Центрів.
4.2. Власниками сертифікатів ключів, що формуються ЦЗО, можуть бути юридичні особи або фізичні особи - суб'єкти підприємницької діяльності, що є ЦСК, АЦСК або ЗЦ.
Сертифікат ключа, сформований для Центру у ЦЗО, використовується для перевірки сертифікатів відкритих ключів, сформованих цими Центрами для своїх клієнтів - підписувачів.
Особистий ключ Центру, відповідний якому відкритий ключ, засвідчений у ЦЗО шляхом формування сертифіката ключа Центру, використовується для формування цим Центром сертифікатів відкритих ключів для фізичних та юридичних осіб, а також інформації щодо статусу цих сертифікатів.
V. Інформація ЦЗО та порядок її розповсюдження (публікації)
5.1. На веб-сайті ЦЗО публікується така інформація:
перелік зареєстрованих ЗЦ та ЦСК;
перелік акредитованих ЗЦ та ЦСК;
нормативно-правові акти, що регулюють відносини у сфері використання ЕЦП, Регламент, зразок договору щодо обслуговування посилених сертифікатів відкритих ключів Центру, зразки заяв, інші методичні та довідкові матеріали;
сертифікати відкритих ключів ЦЗО;
електронні реєстри чинних, блокованих та скасованих сертифікатів ключів Центрів, що розповсюджуються (публікуються) у вигляді переліків чинних сертифікатів ключів Центру та списків СВС.
5.2. Публікація СВС ключів Центрів.
СВС ключів Центрів публікуються на офіційному загальнодоступному веб-сайті ЦЗО (www.czo.gov.ua) не рідше одного разу на тиждень.
5.3. Публікація сертифікатів осіб, які на законних підставах володіють особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладають електронний цифровий підпис під час створення електронного документа (далі - підписувачів) у разі припинення діяльності АЦСК.
АЦСК у разі припинення своєї діяльності здійснює передачу на зберігання до ЦЗО паперових та електронних документів (документованої інформації) згідно з Порядком обов'язкової передачі документованої інформації, затвердженим постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1454.
Отримані ЦЗО списки сертифікатів підписувачів АЦСК, діяльність якого припинена, публікуються на офіційному веб-сайті ЦЗО.
5.4. Порядок внесення змін до Регламенту.
Внесення змін та доповнень до цього Регламенту здійснюється ЦЗО в порядку, встановленому для погодження та затвердження Регламенту.
Про внесення змін та доповнень до цього Регламенту ЦЗО повідомляє Центри офіційним повідомленням.
5.5. Цей Регламент та зміни до нього розповсюджуються шляхом надання доступу до нього на веб-сайті ЦЗО (www.czo.gov.ua) або у випадках звернення за одержанням інформації щодо нього до Міністерства юстиції України (за поштовою адресою: Міністерство юстиції України, вул. Городецького, 13, м. Київ, 01001; за електронною адресою: contact@czo.gov.ua) у відповідний спосіб.
Копія Регламенту в електронній формі розповсюджуються у форматі PDF.
VI. Порядок ідентифікації та автентифікації Центрів
6.1. Ідентифікація та автентифікація заявників здійснюються в процесі проведення процедур: реєстрації та акредитації Центрів, формування, повторного формування сертифіката ключа Центру, блокування, скасування, поновлення сертифіката ключа Центру.
6.2. Підтвердження володіння заявником (підписувачем) відповідним особистим ключем здійснюється шляхом перевірки ЕЦП на запиті за допомогою відкритого ключа, що міститься в запиті. Для цього відкритий ключ заявника (підписувача) подається на сертифікацію у вигляді самопідписаного запиту формату PKCS#10, на який за допомогою особистого ключа заявника (підписувача) накладається ЕЦП.
6.3. До регламентних процедур ЦЗО належать:
формування сертифіката ключа Центру;
обслуговування сертифікатів ключів Центрів;
зберігання ЦЗО документованої інформації АЦСК у разі припинення їх діяльності.
6.4. Перед проведенням реєстрації, акредитації, формування сертифіката ключа Центру або наданням послуг з обслуговування сертифікатів ключів виконується процедура встановлення заявника або його уповноваженої особи.
Встановлення юридичної особи здійснюється за її установчими документами. Встановлення фізичної особи здійснюється за паспортом. Встановлення уповноваженої особи здійснюється за документом, що підтверджує її повноваження.
6.5.1. Реєстрація відбувається шляхом внесення інформації про Центр до Реєстру суб'єктів з подальшим формуванням сертифіката ключа для ЗЦ та ЦСК.
6.5.2. Реєстрація ЗЦ та ЦСК здійснюється на підставі заяви на реєстрацію та формування сертифіката ключа, що подається до Міністерства юстиції за формою, визначеною у додатку 2 до наказу про затвердження Регламенту (далі - заява форми 2).
Разом із заявою форми 2 надається запит на сертифікат, підготовлений відповідно до формату PKCS#10. Запит на формування сертифіката подається в електронному вигляді з використанням особистого ключа Центру та повинен містити значення геш-функції (ГОСТ 34.3 11-95) запиту на сертифікат.
6.5.3. Заява форми 2 подається Міністерству юстиції в письмовій формі особисто заявником або його уповноваженою особою і завіряється підписом керівника ЗЦ або ЦСК та засвідчується печаткою.
Заява форми 2 на реєстрацію приймається тільки в разі наявності всіх документів відповідно до переліку, визначеного в цьому Регламенті.
Не приймаються до розгляду документи та заяви, що мають підчистки, дописки, закреслені слова, інші незастережні виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
6.5.4. За результатами розгляду заяви форми 2 відповідні відомості про ЗЦ або ЦСК вносяться до Реєстру суб'єктів та формується сертифікат ключа ЗЦ або ЦСК або надається мотивована відмова.
6.5.5.У заяві форми 2 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи - суб'єкта підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (реєстраційний номер облікової картки платника податку фізичної особи, яка є суб'єктом підприємницької діяльності);
номер поточного рахунку та найменування банківської установи;
місцезнаходження (місце проживання);
електронна адреса електронного інформаційного ресурсу.
6.5.6. Разом із заявою форми 2 заявник - юридична особа подає такі документи:
установчі документи, засвідчені в установленому порядку (для юридичної особи);
довідка про внесення юридичної особи до ЄДРПОУ, засвідчена в установленому порядку;
документ, що підтверджує право власності заявника на окреме приміщення або оренду такого приміщення, засвідчений в установленому порядку;
список посадових осіб заявника та засвідчені в установленому порядку копії документів про рівень освіти і кваліфікації керівника ЗЦ або ЦСК та посадових осіб, обов'язки яких безпосередньо пов'язані з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів;
положення, яким визначаються посадові обов'язки, кваліфікаційні вимоги та відповідальність посадових осіб заявника;
два примірники договору на надання послуг з обслуговування посиленого сертифіката відкритого ключа, підписані керівником юридичної особи та засвідчені печаткою юридичної особи.
6.5.7. До заяви форми 2 заявник - фізична особа, яка є суб'єктом підприємницької діяльності, додає такі документи:
копія свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності, засвідчена в установленому порядку;
паспорт та копії 1 - 4 сторінок паспорта, засвідчені його печаткою;
копія документа, що підтверджує право власності заявника на окреме приміщення або оренду такого приміщення, засвідчена в установленому порядку;
список посадових осіб заявника та засвідчені в установленому порядку копії документів про рівень освіти і кваліфікації керівника ЗЦ або ЦСК та посадових осіб, обов'язки яких безпосередньо пов'язані з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів;
положення, яким визначаються посадові обов'язки, кваліфікаційні вимоги та відповідальність посадових осіб заявника;
два примірники договору на надання послуг з обслуговування посиленого сертифіката відкритого ключа, підписані фізичною особою, яка є суб'єктом підприємницької діяльності.
6.5.8. Заявники, які є особами - платниками податку на додану вартість, надають копію засвідченого в установленому порядку свідоцтва про реєстрацію платника податку на додану вартість - за умови реєстрації особи як платника податку на додану вартість або копію документа, що підтверджує реєстрацію особи як платника податків, зборів, інших обов'язкових платежів (зокрема податку на додану вартість) в порядку іншому, ніж загальний.
6.5.9. У заяві форми 2 заявником зазначається також унікальний реєстраційний номер, що входить до реквізиту "серійний номер" (поле "Serial Number") сертифіката Центру.
Формування заявником унікального реєстраційного номера здійснюється згідно з нижченаведеними правилами:
Реквізит містить цифри "0" - "9", великі латинські літери "A" - "Z" та символ "-";
UA-[Код Установи] {-[Додаток]},
Код Установи - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації - юридичної особи або реєстраційний номер облікової картки платника податку фізичної особи, яка є суб'єктом підприємницької діяльності, що є центром, за установчими документами або відомостями про державну реєстрацію;
Додаток - необов'язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання додатка він відокремлюється від Коду Установи символом "-".
Вищезазначений реквізит шляхом його додавання до розпізнавального імені ЗЦ або ЦСК забезпечує унікальність його розпізнавального імені в межах України. Унікальність цього розпізнавального імені обов'язково підлягає перевірці Адміністратором ІТС ЦЗО.
6.5.10. Розгляд заяви на реєстрацію становить не більше трьох робочих днів від дати прийняття заяви.
6.5.11. У день прийняття рішення про реєстрацію для внесення відповідної інформації про ЗЦ та ЦСК до Реєстру суб'єктів Міністерство юстиції надсилає до адміністратора ІТС ЦЗО такі документи:
копія заяви, поданої заявником, за формою 2;
копії документів, поданих разом із заявою форми 2;
6.6.1. Проведення акредитації ЗЦ та ЦСК здійснюється відповідно до Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
6.6.2. Акредитація ЗЦ та ЦСК проводиться на підставі заяви за формою, визначеною у додатку 3 до наказу про затвердження Регламенту (далі - заява форми 3), що подається до Міністерства юстиції.
6.6.3. Разом із заявою форми 3 заявник подає документи згідно з переліком, визначеним у Додатку 1 до Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
6.6.4. У день прийняття рішення про акредитацію для внесення відповідної інформації про АЦСК до Реєстру суб'єктів Міністерство юстиції надсилає до адміністратора ІТС ЦЗО такі документи:
копія заяви, поданої заявником, за формою 3;
копії документів, поданих разом із заявою форми 3;
копія рішення про акредитацію.
VII. Обслуговування сертифікатів ключів Центрів
7.1. Формування сертифіката ключа (сертифікація) Центру.
Формування, скасування, блокування та поновлення сертифікатів ключів здійснюються за участю або під контролем не менше ніж двох посадових осіб адміністратора ІТС ЦЗО відповідно до їх посадових обов'язків.
Формування сертифіката ключа Центру здійснюється на підставі заяви форми 2 або заяви на формування посиленого сертифіката відкритого ключа Центрів за формою, визначеною у додатку 4 до наказу про затвердження Регламенту (далі - заява форми 4), що подається до Міністерства юстиції.
Разом із заявою форми 2 або форми 4 подається запит на формування сертифіката ключа Центру. Запит подається в електронній формі у форматі PKCS#10 з використанням особистого ключа Центру.
Заяви форми 2 та форми 4 повинні містити значення геш-функції (ГОСТ 34.311-95) запиту на сертифікат. Підтвердження ЕЦП у запиті на сертифікат і відповідність обчисленому результату геш-функції, значенню геш-функції, наведеній у заяві, доводить, що Центр є власником особистого ключа, який відповідає відкритому ключу, наведеному в запиті на сертифікат.
У разі подання заяви форми 4 АЦСК додатково до заяви подає два примірники договору про надання послуг з обслуговування посиленого сертифіката відкритого ключа, підписані керівником та засвідчені печаткою.
Порядок подачі та розгляду заяви форми 4 здійснюється відповідно до вимог, визначених у пункті 6.4 та підпунктах 6.5.3, 6.5.5, 6.5.10 пункту 6.5 цього Регламенту.
Адміністратор ІТС ЦЗО формує сертифікат ключа Центру в електронній формі та дві копії сертифіката ключа Центру на паперовому носії. Усі копії сертифіката відкритого ключа на паперовому носії завіряються власноручним підписом уповноваженої особи ЗЦ, ЦСК, АЦСК та власноручним підписом керівника адміністратора ІТС ЦЗО або уповноваженою ним особою та печаткою адміністратора ІТС ЦЗО.
Обов'язкові реквізити Центру, що використовуються в процесі реєстрації для формування сертифіката відкритого ключа наведено в додатку 1 до Регламенту.
7.1.1. За результатами проведеного формування сертифіката ключа Центру його уповноваженій особі надаються:
один підписаний примірник договору на надання Центру адміністратором ІТС ЦЗО послуг з обслуговування посиленого сертифіката відкритого ключа;
одна копія сертифіката ключа Центру в паперовій формі;
сертифікат ключа Центру в електронній формі;
сертифікат ключа ЦЗО в електронній формі.
Дані в електронній формі передаються уповноваженій особі Центру у вигляді файлів, записаних на магнітний, оптичний диск або інший носій.
7.2. Строк чинності та зберігання сертифікатів ключів Центрів.
Початок періоду дії сертифіката ключа Центру обчислюється з дати і часу формування сертифіката у ЦЗО, що вказується у сертифікаті.
Строк чинності пари особистого і відкритого ключів Центру відповідає строку чинності (даті і часу) відповідного сертифіката відкритого ключа.
Строк чинності сертифіката відкритого ключа Центру визначається відповідно до вимог законодавства про електронний цифровий підпис.
7.3. Публікація сертифіката ключа Центру.
Після формування сертифіката ключа Центру він опубліковується на веб-сайті ЦЗО, доступ до якого вільно забезпечується через мережу Інтернет цілодобово.
7.4. Порядок скасування сертифіката ключа Центру.
ЦЗО скасовує сертифікат ключа Центру в разі:
компрометації особистого ключа Центру;
припинення діяльності Центру з надання послуг електронного цифрового підпису.
Скасування сертифіката ключа здійснюється за заявою Центру - власника, що подається до адміністратора ІТС ЦЗО за формою, визначеною у додатку 5 до наказу про затвердження Регламенту (далі - заява форми 5).
Заява форми 5 подається в письмовій формі та завіряється підписом уповноваженого керівника Центру і засвідчується печаткою Центру. Заява форми 5 надається заявником або його уповноваженим представником особисто.
Заява форми 5 містить такі обов'язкові дані:
серійний номер сертифіката ключа Центру, що скасовується;
причина скасування сертифіката ключа Центру;
дата та підпис уповноваженого керівника заявника.
Скасування сертифіката ключа набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
7.5. Порядок блокування сертифіката ключа Центру.
ЦЗО блокує сертифікат ключа Центру в разі:
подання заяви власника ключа або його уповноваженого представника;
за рішенням суду, що набрало законної сили; компрометації особистого ключа.
Блокування дії сертифіката ключа Центру здійснюється за заявою власника ключа або його уповноваженого представника, що подається до адміністратора ІТС ЦЗО, за формою, визначеною у додатку 6 до наказу про затвердження Регламенту (далі - заява форми 6).
Заява форми 6 подається у письмовій формі і завіряється підписом уповноваженого керівника Центру та засвідчується печаткою Центру. Заява форми 6 надається заявником або його уповноваженим представником особисто.
Для невідкладного блокування сертифіката ключа Центру заявник звертається до адміністратора ІТС ЦЗО в усній формі за телефоном: (044) 206-71-90. Для забезпечення фіксації заяв щодо невідкладного блокування сертифіката ключа Центру, зроблених в усній формі, здійснюється їх технічне фіксування.
Заявник повинен повідомити співробітнику адміністратора ІТС ЦЗО таку інформацію:
реквізити заявника - власника сертифіката ключа;
серійний номер сертифіката, що блокується;
ключову фразу, обумовлену з Центром.
Заява в усній формі приймається тільки у випадку позитивної автентифікації Центру (збігу ключової фрази, переданої в заяві, з інформацією з Реєстру суб'єктів).
Блокування дії сертифіката ключа Центру та оповіщення Центру про блокування його сертифіката ключа здійснюються протягом двох годин від часу отримання відповідної заяви.
Подання заяви на блокування вже блокованого сертифіката ключа Центру не допускається.
Блокування сертифіката ключа набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
7.6. Порядок поновлення сертифіката ключа Центру.
Блокований сертифікат ключа поновлюється у випадку:
подання заяви власником ключа або його уповноваженим представником;
за рішенням суду, що набрало законної сили;
встановлення недостовірності даних про компрометацію особистого ключа.
Поновлення сертифіката ключа Центру здійснюється за заявою власника ключа або його уповноваженого представника, що подається до адміністратора ІТС ЦЗО за формою, визначеною у додатку 7 до наказу про затвердження Регламенту (далі - заява форми 7).
У заяві форми 7 зазначається така інформація:
реквізити заявника - власника сертифіката ключа;
серійний номер сертифіката, що поновлюється;
дата, серійний номер списку відкликаних сертифікатів;
дата й підпис власника ключа або його уповноваженого представника.
Опрацювання заяви форми 7 та оповіщення Центру про поновлення дії сертифіката його ключа здійснюються протягом двох годин від моменту отримання заяви адміністратором ІТС ЦЗО.
Скасований сертифікат ключа Центру не може бути поновлений.
7.7. Розповсюдження інформації про статус сертифіката ключа Центру.
Розповсюдження інформації про статус сертифікатів ключів Центрів здійснюється за допомогою публікації СВС на веб-сайті ЦЗО (www.czo.gov.ua).
Адміністратор ІТС ЦЗО під час формування СВС забезпечує такі умови:
кожен із списків відкликаних сертифікатів містить дані щодо часу видання наступного списку;
новий список відкликаних сертифікатів може бути опублікований до визначеного часу видання наступного списку;
на список відкликаних сертифікатів накладається електронний цифровий підпис з використанням особистого ключа ЦЗО.
Інформація щодо розміщення списку відкликаних сертифікатів вноситься до сертифіката ключа Центру у поле CRLDistributionPoint.
Перед використанням сертифіката Центру необхідно:
перевірити ЕЦП сертифіката Центру;
перевірити автентичність і цілісність СВС;
перевірити статус сертифіката Центру за поточним СВС.
Якщо одержання поточного СВС тимчасово неможливо, то підписувач повинен відмовитись від використання сертифіката ключа Центру.
7.8. Періодичність публікації СВС.
Періодичність публікації наступного СВС має бути не рідше одного разу на тиждень, навіть якщо за час від останнього поновлення СВС до нього не вносилися зміни, або протягом двох годин після внесення даних про статус сертифіката ключа Центру до відповідного списку.
VIII. Управління та операційний контроль
8.1. Приміщення, де розміщено ПТК ІТС ЦЗО.
Приміщення адміністратора ІТС ЦЗО територіально поділене на дві частини: адміністративна частина, де розташовується приймальня керівника адміністратора ІТС ЦЗО, та службові приміщення, до складу яких входить зона, де розташовані робочі місця адміністраторів та обслуговуючого персоналу, а також серверне приміщення, де розміщено ПТК ІТС ЦЗО.
Спеціальне приміщення, де розміщено ПТК ІТС ЦЗО, обладнане системою контролю доступу та пожежною сигналізацією.
У спеціальному приміщенні, де розташовано ПТК ІТС ЦЗО, передбачено захист від впливу зовнішніх електромагнітних полів, який здійснюється шляхом створення умов щодо забезпечення електромагнітного екранування технічних засобів та обладнання, а також шаф.
Спеціальне приміщення ІТС ЦЗО відповідає вимогам до спеціальних приміщень, встановленим наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України.
8.2. Порядок забезпечення безпеки інформаційних ресурсів.
Для виконання технічних та технологічних функцій ЦЗО у штаті адміністратора ІТС ЦЗО передбачаються технічні підрозділи з посадами працівників, діяльність яких безпосередньо пов'язана із забезпеченням функціонування ПТК ІТС ЦЗО.
Захист інформації у ПТК ІТС ЦЗО забезпечується службою захисту інформації адміністратора ІТС ЦЗО.
Засоби та обладнання ПТК ІТС ЦЗО, за допомогою яких здійснюються генерація та використання особистого ключа ЦЗО, обслуговування сертифікатів ключів Центрів, розміщуються у спеціальному приміщенні. Безпека ІТС ЦЗО досягається шляхом впровадження організаційних інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації комплексної системи захисту інформації (далі - КСЗІ).
Фізичний доступ до обладнання ПТК ІТС ЦЗО, що забезпечує сертифікацію, управління статусом сертифіката, генерації ключів, обмежений і надається виключно посадовим особам, визначеним наказом керівника адміністратора ІТС ЦЗО.
8.3. Управління доступом до інформаційних ресурсів ПТК ІТС ЦЗО.
Основний інформаційний ресурс ПТК ІТС ЦЗО становить база даних (далі - БД), що зберігає інформацію, яка використовується в роботі ПТК ІТС ЦЗО. БД ПТК ІТС ЦЗО сформовано з двох основних частин - публічної та відокремленої БД. Відокремлена БД є еталонною. Для еталонної БД передбачено штатну процедуру резервного копіювання, а резервні копії зберігають на окремому знімному носії у відокремленому захищеному приміщенні. Процедуру резервного копіювання проводять раз на тиждень. Публічна БД не містить конфіденційну інформацію та є загальнодоступною.
У спеціальному приміщенні, де розташовано ПТК ІТС ЦЗО, передбачено захист внутрішньої обчислювальної мережі від втручання з боку зовнішньої мережі (глобальних мереж), яка є доступною для користувачів.
У ПТК ІТС ЦЗО реалізовано адміністрування з метою розмежування доступу обслуговуючого персоналу до ресурсів системи. Доступ надається тільки після позитивної авторизації уповноважених посадових осіб (можливість виконувати тільки ті функції, що доступні та асоційовані з їх ролями).
Перед початком виконання процедур, пов'язаних із реєстрацією, формуванням сертифіката ключа або зміною його статусу, формуванням СВС, уповноважені посадові особи повинні бути успішно авторизовані.
Технічні підрозділи адміністратора ІТС ЦЗО за функціональним призначенням поділяються на:
службу системного адміністратора.
8.4.1. Служба захисту інформації.
Служба захисту інформації адміністратора ІТС ЦЗО забезпечує захист інформації ПТК ІТС ЦЗО, вирішує питання, пов'язані з проектуванням, розробленням, модернізацією, введенням в експлуатацію та підтримкою працездатності КСЗІ, та додержання режиму безпеки адміністратором ІТС ЦЗО.
Основними функціями Служби захисту інформації є:
забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
розроблення розпорядчих документів, згідно з якими адміністратор ІТС ЦЗО повинен забезпечувати захист інформації, контроль за їх виконанням;
своєчасне реагування на спроби несанкціонованого доступу до інформаційних ресурсів ПТК ІТС ЦЗО, порушення правил експлуатації засобів захисту інформації;
участь у генерації особистих ключів ЦЗО;
контроль за зберіганням особистого ключа ЦЗО та його резервної копії, особистих ключів посадових осіб ІТС ЦЗО;
участь у знищенні особистого ключа ЦЗО, контроль за правильним і своєчасним знищенням посадовими особами адміністратора ІТС ЦЗО особистих ключів;
контроль за процесом резервування сертифікатів ключів та списків відкликаних сертифікатів;
організація розмежування доступу до ресурсів ПТК ІТС ЦЗО;
забезпечення спостереження (реєстрація та аудит подій у ПТК ІТС ЦЗО, моніторинг подій тощо) за функціонуванням КСЗІ;
забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ПТК ІТС ЦЗО;
ведення журналу обліку адміністратора безпеки;
контроль за веденням журналів прийому-передачі ключів;
забезпечення режиму доступу до спеціальних приміщень ПТК ІТС ЦЗО.
Служба сертифікації відповідає за формування сертифікатів ключів, ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів, переліку чинних сертифікатів ключів та СВС, збереження та використання особистого ключа ЦЗО.
Основними обов'язками служби сертифікації є:
генерація та зберігання особистих ключів ЦЗО та його резервних копій;
забезпечення використання особистих ключів ЦЗО під час формування сертифікатів ключів Центрів та списку відкликаних сертифікатів;
формування самопідписаних сертифікатів ключів ЦЗО;
забезпечення ведення, архівування та відновлення баз даних сертифікатів ключів, сформованих ЦЗО;
розповсюдження (публікація) переліку сертифікатів ключів Центрів і списків відкликаних сертифікатів на веб-сайті ЦЗО;
забезпечення знищення особистого ключа ЦЗО;
ведення журналів приймання-передачі ключів;
резервування сертифікатів ключів і списків відкликаних сертифікатів, а також інших важливих ресурсів ПТК ІТС ЦЗО.
Служба реєстрації відповідає за перевірку документів, наданих Центрами, і звернень Центрів щодо реєстрації, формування, блокування, поновлення та скасування сертифікатів ключів Центрів.
Основними обов'язками служби реєстрації є:
перевірка заяв на реєстрацію, акредитацію, формування, скасування, блокування та поновлення сертифікатів ключів;
встановлення належності Центру особистого ключа та його відповідності відкритому ключу Центру;
забезпечення перевірки законності звернень про блокування, поновлення та скасування сертифікатів ключів Центрів;
ведення електронного Реєстру суб'єктів;
надання Центрам і підписувачам консультацій щодо умов і порядку надання послуг ЕЦП.
8.4.4. Служба системного адміністратора.
Служба системного адміністратора відповідає за функціонування ПТК ЦЗО.
Основними обов'язками служби системного адміністратора є:
організація експлуатації та технічного обслуговування ПТК ІТС ЦЗО і адміністрування його засобів;
ведення електронного інформаційного ресурсу ЦЗО;
участь у впровадженні та забезпеченні функціонування КСЗІ;
ведення журналів аудиту подій, що реєструють засоби ПТК ІТС ЦЗО;
інсталяція та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ПТК ІТС ЦЗО;
встановлення та налагодження штатної підсистеми резервного копіювання, зокрема процедури резервного копіювання бази даних ПТК ІТС ЦЗО;
забезпечення актуалізації баз даних, створюваних та оброблюваних у ПТК ІТС ЦЗО, внаслідок збоїв.
8.4.5. Функціональні обов'язки посадових осіб ЦЗО.
У складі адміністратора ІТС ЦЗО обов'язковими є посади адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та системного адміністратора.
Адміністратор реєстрації відповідає за встановлення Центру та/або його уповноваженого представника під час формування, блокування, поновлення та скасування сертифіката.
Адміністратор сертифікації відповідає за формування сертифікатів, списків відкликаних сертифікатів, збереження та використання особистого ключа ЦЗО.
Адміністратор безпеки відповідає за належне функціонування комплексної системи захисту інформації та входить до складу Служби захисту інформації. Забороняється суміщення посади адміністратора безпеки з іншими посадами.
Системний адміністратор відповідає за функціонування ПТК ІТС ЦЗО.
8.4.6. Ведення журналів аудиту ІТС ЦЗО.
У журналах аудиту ІТС ЦЗО реєструється така інформація:
спроби створення, знищення, встановлення пароля, зміни прав доступу в ПТК ІТС ЦЗО тощо;
заміни технічних засобів ПТК ІТС ЦЗО та ключів;
формування, блокування, скасування та поновлення сертифікатів ключів, а також формування списків відкликаних сертифікатів;
спроби несанкціонованого доступу до ПТК ІТС ЦЗО;
надання доступу персоналу до ПТК ІТС ЦЗО;
збої в роботі, зміна системних конфігурацій та технічне обслуговування ПТК ІТС ЦЗО;
інші дані, що фіксуються в журналі аудиту ІТС ЦЗО.
Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час події, а також ідентифікувати суб'єкта, що її ініціював.
Журнали аудиту підлягають аналізу не рідше одного разу на тиждень. Аналіз передбачає перевірку того, що журнал не піддавався несанкціонованим модифікаціям, а також коротке вивчення всіх подій у журналі із приділенням особливої уваги повідомленням про невідповідності і попередженням про небезпечні ситуації. Перегляд журналів аудиту ІТС ЦЗО здійснює адміністратор безпеки. Результати перевірки адміністратор безпеки фіксує в журналі аудиту адміністратора безпеки.
Адміністратор ІТС ЦЗО зберігає свої журнали аудиту на місці експлуатації протягом 5 років та послідовно переводить їх у режим архівного зберігання.
Система ведення електронного журналу аудиту повинна включати механізми захисту файлів журналу від неавторизованого перегляду, модифікації і видалення. Записи подій у журналах аудиту в паперовій формі повинні бути завірені підписом адміністратора безпеки.
Журнали аудиту в електронній формі резервуються із періодичністю не менше одного разу на тиждень.
8.4.7. Порядок архівного зберігання документованої інформації.
Архівному зберіганню підлягають такі документи:
сертифікати Центрів, сформовані ЦЗО;
списки відкликаних сертифікатів;
заяви форм 2, 3 та документи, подані разом з ними;
заяви форм 4 - 7;
регламент роботи ЦЗО та всі зміни, що вносилися до Регламенту;
службові документи ЦЗО (інструкції, положення, накази тощо);
документована інформація, що передається відповідно до вимог чинного законодавства, АЦСК, які припиняють діяльність.
Документи складені у паперовій формі, зберігаються в порядку, встановленому законодавством про архіви й архівну справу.
Документи, що підлягають архівному зберіганню, є документами тимчасового зберігання. Строк зберігання архівних документів становить 10 років. Знищення архівних документів здійснює комісія, сформована з числа посадовців ЦЗО та адміністратора ІТС ЦЗО.
Документами постійного зберігання є:
сертифікати ключів Центрів, сформовані ЦЗО;
сертифікати ключів підписувачів АЦСК, що припинили діяльність;
9.1. Процедура генерації особистого та відповідного йому відкритого ключа ЦЗО та ключів посадових осіб ЦЗО здійснюється відповідно до положень інструкції щодо порядку генерації ключових даних і поводження з ключовими документами, яка погоджується з Адміністрацією Державної служби спеціального зв'язку та захисту інформації України (далі - Інструкція). Генерація ключів ЦЗО повинна здійснюватись у спеціальному приміщенні ІТС ЦЗО за участю адміністратора безпеки та адміністратора сертифікації під контролем щонайменше двох уповноважених осіб, визначених керівником ЦЗО.
Факт генерації ключа ЦЗО реєструється в журналі обліку адміністратора безпеки.
Передавання особистого ключа ЦЗО між уповноваженими посадовими особами адміністратора ІТС ЦЗО здійснюється за журналом прийому-передачі ключів.
Генерація ключів посадових осіб ЦЗО здійснюється особисто посадовими особами у присутності адміністратора безпеки.
9.2. Вимоги до використання та знищення особистого ключа ЦЗО та особистих ключів посадових осіб ЦЗО.
Після закінчення встановленого строку дії особистого ключа посадової особи ЦЗО, а також у разі звільнення посадової особи особистий ключ знищується посадовою особою у присутності адміністратора безпеки ІТС ЦЗО способом, що не дозволяє його відновлення.
Факти знищення особистих ключів посадових осіб ІТС ЦЗО реєструються у журналі обліку адміністратора безпеки.
Технологія функціонування ПТК ІТС ЦЗО передбачає застосування особистого ключа ЦЗО під контролем або за безпосередньою участю щонайменше двох посадових осіб адміністратора ІТС ЦЗО.
У разі якщо до закінчення терміну дії особистого ключа пошкоджується носій, що унеможливлює подальше застосування цього ключа, носій знищується за участю уповноважених посадових осіб адміністратора ІТС ЦЗО, визначених керівником ІТС ЦЗО, один з яких має бути адміністратором безпеки.
Забороняється виносити особистий ключ ЦЗО із спеціального приміщення ІТС ЦЗО.
Після закінчення строку дії особистого ключа ЦЗО особистий ключ знищується способом, що не дозволяє його відновлення.
Факти знищення особистого ключа ЦЗО реєструються в журналі обліку адміністратора безпеки ІТС ЦЗО.
Особисті та відкриті ключі Центрів генеруються винятково Центрами.
Ключі ЦЗО для криптографічного алгоритму ДСТУ 4145-2002:
особистий ключ - не менше 430 біт;
відкритий ключ - не менше 431 біт.
Ключі для АЦСК та ЗЦ для криптографічного алгоритму ДСТУ 4145-2002:
особистий ключ - не менше 256 біт;
відкритий ключ - не менше 257 біт.
Ключі для ЦСК для криптографічного алгоритму ДСТУ 4145-2002:
особистий ключ - не менше 162 біт;
відкритий ключ - не менше 163 біт.
9.4.1. Планова заміна ключів ЦЗО.
Планова заміна ключів ЦЗО (особистого та відповідного йому відкритого ключа) виконується не пізніше ніж за 7 днів до закінчення строку дії особистого ключа (сертифіката ключа) ЦЗО.
Процедура планової заміни ключа ЦЗО здійснюється відповідно до вимог, встановлених в Інструкції.
Після генерації нового ключа ЦЗО адміністратор сертифікації у присутності адміністратора безпеки знищує попередній особистий ключ ЦЗО методом, що не допускає можливості його відновлення.
9.4.2. Позапланова заміна ключа ЦЗО.
ЦЗО має право здійснювати позапланову заміну ключа за умови внесення змін у ПТК ІТС ЦЗО.
Процедура позапланової заміни ключа ЦЗО здійснюється відповідно до вимог, встановлених в Інструкції.
Про позапланову заміну особистого ключа ЦЗО невідкладно інформує Центри.
Ідентифікатор поля | Назва реквізиту українською мовою | Значення реквізиту |
countryName | Назва країни | Країна, в якій зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності, що є ЗЦ або ЦСК id-at-countryName OBJECT IDENTIFIER:: = {ad-at 6} X520countryName:: = PrintableString (SIZE(2)) код, згідно з ISO 3166 (для України - UA) |
organizationName | Назва організації | Повна назва організації - юридичної особи або фізичної особи, яка є суб'єктом підприємницької діяльності, що є ЗЦ або ЦСК, за установчими документами або відомостями про державну реєстрацію id-at-organization Name OBJECT IDENTIFIER:: = {id-at 19} X520organizationName:: = Directory String (SIZE(64)) |
serialNumber | Серійний номер | Унікальний реєстраційний номер ЗЦ або ЦСК, id-at-serialNumber OBJECT IDENTIFIER:: = {id-at 5} serialNumber::= PrintableString (SIZE(64)) Значення цього реквізиту задається згідно з підпунктом 6.5.9 пункту 6.5 розділу VI цього Регламенту |
stateOrProvinceName | Назва області1 | Область, у якій зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності, що є ЗЦ або ЦСК id-at-stateOrProvinceName OBJECT IDENTIFIER:: = {id-at 7} X520stateOrProvinceName::= DirectoryString (SIZE(64)) |
localityName | Назва міста | Місто, в якому зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності, що є ЗЦ або ЦСК id-at-localityName OBJECT IDENTIFIER:: = {id-at 7} X520localityName:: = DirectoryString (SIZE(64)) |
commonName | Повне найменування організації або офіційна скорочена назва юридичної особи | Реквізити організації - юридичної особи або фізичної особи, яка є суб'єктом підприємницької діяльності, що є ЗЦ або ЦСК, за установчими документами або відомостями про державну реєстрацію id-at- commonName OBJECT IDENTIFIER:: = {id-at 3} X520 commonName::= DirectoryString (SIZE(64)) |
organizational Unit - Name | Назва підрозділу організації | Підрозділ організації, що є ЗЦ або ЦСК та забезпечує надання послуг електронного цифрового підпису id-at organizationalUnitName OBJECT IDENTIFIER:: = {id-at 11} X520 organizationalUnitName:: = DirectoryString (SIZE(64)) |
____________ |
|
ЗАЯВА
на реєстрацію центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на проведення акредитації
ЗАЯВА
на формування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на скасування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на блокування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на поновлення посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
-
скопійовано
-
-
