Про затвердження Регламенту роботи центрального засвідчувального органу
Відповідно до Положення про Міністерство юстиції України, затвердженого Указом Президента України від 6 квітня 2011 року № 395, Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903, Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384, НАКАЗУЮ:
1. Затвердити Регламент роботи центрального засвідчувального органу (додаток 1) та форми заяв, що подаються до центрального засвідчувального органу в процедурі акредитації засвідчувальних органів і центрів сертифікації ключів та обслуговування їх посилених сертифікатів відкритих ключів (додатки 2 - 7).
2. Визнати таким, що втратив чинність, наказ Міністерства юстиції України від 22 лютого 2012 року № 295/5 «Про затвердження Регламенту роботи центрального засвідчувального органу».
3. Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України (Чижмарь К.І.) надіслати копію цього наказу, засвідчену в установленому порядку, до Адміністрації Державної служби спеціального зв’язку та захисту інформації України.
4. Адміністратору інформаційно-телекомунікаційної системи центрального засвідчувального органу (Добжанський В.Б.) розмістити цей наказ на веб-сайті центрального засвідчувального органу.
5. Контроль за виконанням цього наказу покласти на директора Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України Чижмарь К.І.
ПОГОДЖЕНО _____________________ Г.А. Резніков __________________________ 2012 р. | ЗАТВЕРДЖЕНО
______________________________ 2012 р. |
РЕГЛАМЕНТ РОБОТИ
центрального засвідчувального органу
І. Статус Регламенту роботи центрального засвідчувального органу
1.1. Цей Регламент роботи центрального засвідчувального органу (далі - Регламент) розроблений відповідно до Закону України «Про електронний цифровий підпис», Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, інших нормативно-правових актів, що регулюють відносини у сфері використання електронного цифрового підпису.
Регламент визначає організаційно-методологічні та технологічні умови діяльності центрального засвідчувального органу (далі - ЦЗО) під час обслуговування посилених сертифікатів відкритих ключів (далі - сертифікати ключів) засвідчувальних центрів органів виконавчої влади або інших державних органів (далі - ЗЦ), центрів сертифікації ключів (далі - ЦСК) акредитованих центрів сертифікації ключів (далі - АЦСК) (далі разом - Центри), реєстрації, акредитації ЗЦ та ЦСК.
Регламент є обов’язковим для суб’єктів правових відносин у сфері послуг ЕЦП під час обслуговування ЦЗО сертифікатів ключів Центрів та проведення реєстрації, акредитації ЗЦ та ЦСК.
1.2. Терміни, що вживаються у цьому Регламенті, застосовуються у значеннях, визначених нормативно-правовими актами, що регулюють відносини, які виникають у сфері ЕЦП.
ІІ. Відомості про центральний засвідчувальний орган
2.1. ЦЗО виконує функції відповідно до Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451.
Виконання функцій ЦЗО покладено на Міністерство юстиції України відповідно до постанови Кабінету Міністрів України від 5 жовтня 2011 року № 1022 «Про внесення змін до деяких постанов Кабінету Міністрів України».
Технічне та технологічне забезпечення виконання функцій ЦЗО здійснюється адміністратором інформаційно-телекомунікаційної системи (далі - ІТС) ЦЗО (далі разом - Адміністратор ІТС ЦЗО) відповідно до наказу Міністерства юстиції України від 19 вересня 2011 року № 3028/5 “Про здійснення заходів щодо забезпечення функціонування центрального засвідчувального органу”.
2.2. Повна назва державного органу, що виконує функції ЦЗО: Міністерство юстиції України. Скорочена назва: Мін’юст.
Місцезнаходження (поштова адреса): вул. Городецького, 13, м. Київ, 01001.
Телефон:(044) 486-87-24; факс: (044) 486-87-24.
Адреса електронного інформаційного ресурсу ЦЗО (далі - веб-сайт ЦЗО): www.czo.gov.ua.
Електронна пошта ЦЗО: contact@czo.gov.ua.
2.3. Повне найменування підприємства, що здійснює функції Адміністратора ІТС ЦЗО: державне підприємство «Інформаційний центр» Міністерства юстиції України. Скорочена назва: Держінформ’юст.
Місцезнаходження (поштова адреса): вул. Мельникова, 81, літ. А, м. Київ, 04050.
Телефон: (044) 206-71-90; факс: (044) 206-71-28.
Електронна пошта: czo_admin_its@informjust.ua.
2.4. Діяльність Мін’юсту та Адміністратора ІТС ЦЗО по роботі з Центрами щодо прийому заяв на реєстрацію, акредитацію ЗЦ та ЦСК, формування сертифікатів ключів Центрів, надання консультацій тощо організована в одну робочу зміну з понеділка по четвер з 9:00 до 18:00, обідня перерва - з 13:00 до 13:45; у п’ятницю - з 9:00 до 16:45, обідня перерва - з 13:00 до 13:45.
Діяльність Адміністратора ІТС ЦЗО по роботі з Центрами (заявниками) щодо блокування, скасування та поновлення сертифікатів ключів Центрів є цілодобовою. Інформування про необхідність подання до Адміністратора ІТС ЦЗО заяв на блокування, скасування та поновлення сертифікатів ключів Центрів у неробочий час здійснюється за телефоном (044) 206-71-90, а їх подання здійснюється за місцезнаходженням Адміністратора ІТС ЦЗО.
2.5. Заяви та документи на реєстрацію, акредитацію ЗЦ та ЦСК та формування сертифікатів ключів Центрам, документована інформація, що передається ЦЗО АЦСК у разі припинення їх діяльності, приймаються та розглядаються у робочі дні відповідно до режиму роботи, зазначеного в пункті 2.3 цього розділу.
2.6. Мін’юст виконує такі функції:
здійснює реєстрацію, акредитацію ЗЦ та ЦСК, переакредитацію АЦСК, видачу, переоформлення та анулювання відповідних свідоцтв;
надає Центрам консультації з питань, пов'язаних з використанням ЕЦП;
забезпечує діяльність постійно діючої комісії з акредитації ЗЦ та ЦСК;
розглядає заяви і скарги щодо неналежного функціонування Центрів та подає відповідні пропозиції контролюючому органу;
повідомляє контролюючий орган про обставини, які перешкоджають діяльності ЦЗО;
здійснює інші функції, передбачені законодавством у сфері ЕЦП.
2.7. Функції Адміністратора ІТС ЦЗО визначаються Мін’юстом.
Адміністратор ІТС ЦЗО забезпечує функціонування ІТС ЦЗО - організаційно-технологічної системи, що забезпечує обслуговування сертифікатів Центрів, та об’єднує програмно-технічний комплекс, фізичне середовище, обслуговуючий персонал, а також інформацію, що нею обробляється.
За допомогою ІТС ЦЗО Адміністратором ІТС ЦЗО забезпечуються:
генерація пари ключів (особистий та відкритий ключі) ЦЗО;
формування посилених сертифікатів власних відкритих ключів ЦЗО (далі - сертифікати ключів ЦЗО);
формування та видача сертифікатів ключів Центрів;
блокування, скасування, поновлення сертифікатів ключів Центрів;
ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів та їх розповсюдження (публікація);
зберігання сертифікатів ключів Центрів;
ведення Реєстру суб’єктів, які надають послуги, пов’язані з ЕЦП (далі - Реєстр суб’єктів);
формування та розповсюдження (публікація) списків відкликаних (скасованих, блокованих) сертифікатів ключів Центрів (далі - СВС), що формуються за допомогою відповідного електронного реєстру;
забезпечення цілодобового доступу до сертифікатів ключів ЦЗО, сертифікатів ключів Центрів, СВС та можливість перевірки статусу сертифікатів ключів Центрів у режимі реального часу через загальнодоступні телекомунікаційні мережі.
ІІІ. Інші суб’єкти відносин у сфері послуг ЕЦП
3.1. ЗЦ - засвідчувальний центр органу виконавчої влади або іншого державного органу, що забезпечує реєстрацію, засвідчення чинності відкритих ключів та акредитацію групи ЦСК, які надають послуги ЕЦП цьому органу і підпорядкованим йому підприємствам, установам та організаціям, та засвідчив чинність свого відкритого ключа у ЦЗО.
3.2. ЦСК - юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги ЕЦП та засвідчила свій відкритий ключ у ЦЗО.
3.3. АЦСК - ЦСК, акредитований в установленому порядку, що надає послуги ЕЦП, обслуговує виключно посилені сертифікати ключів та засвідчив свій відкритий ключ у ЦЗО.
3.4. Заявник - юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що звертається до ЦЗО з метою проведення реєстрації ЗЦ або ЦСК.
3.5. Контролюючий орган - спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації.
IV. Сертифікати ключів, сформовані ЦЗО, та сфера їх використання
4.1. Адміністратор ІТС ЦЗО формує сертифікати ключів ЦЗО, що містять відкриті ключі, відповідні яким особисті ключі ЦЗО призначені для формування сертифікатів ключів Центрів, даних про статус сертифікатів ключів Центрів та інших призначень, встановлених законодавством.
Сертифікати ключів ЦЗО використовуються для перевірки ЕЦП на сертифікатах ключів Центрів та на даних про статус сертифікатів ключів Центрів та інших призначень, встановлених законодавством.
4.2. Адміністратор ІТС ЦЗО формує сертифікати ключів Центрів, що містять відкриті ключі, відповідні яким особисті ключі Центрів призначені для формування сертифікатів ключів підписувачів, СВС та інших призначень, передбачених законодавством.
Сертифікати ключів Центрів використовуються для перевірки ЕЦП на сертифікатах ключів підписувачів та на СВС та інших призначень, передбачених законодавством.
V. Інформація ЦЗО та порядок її розповсюдження (публікації)
5.1. На веб-сайті ЦЗО розповсюджується (публікується) така інформація:
перелік зареєстрованих ЗЦ та ЦСК;
перелік акредитованих ЗЦ та ЦСК;
електронні реєстри чинних, блокованих та скасованих сертифікатів ключів Центрів;
перелік Центрів, що припинили діяльність;
відомості про прийняття від АЦСК на зберігання документованої інформації у разі припинення діяльності АЦСК;
нормативно-правові акти, що регулюють відносини у сфері використання ЕЦП, Регламент, фотокопії свідоцтв про акредитацію, зразок договору про надання послуг обслуговування посилених сертифікатів відкритих ключів Центру та інших документів, методичні та довідкові матеріали;
інформація щодо поточної діяльності ЦЗО.
5.2. Публікація чинних сертифікатів ключів ЦЗО та Центрів.
Публікація чинних сертифікатів ключів ЦЗО здійснюється після формування сертифікатів.
Публікація чинних сертифікатів ключів Центрів здійснюється після передачі сформованого сертифіката уповноваженій особі Центру.
Доступ до сертифікатів ЦЗО та Центрів забезпечується цілодобово.
5.3. Публікація скасованих та блокованих сертифікатів Центрів.
Інформація щодо скасованих та блокованих сертифікатів Центрів публікується на веб-сайті ЦЗО у вигляді повних та часткових СВС, формати яких встановлені Вимогами до формату посиленого сертифіката відкритого ключа, затвердженими наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису», зареєстрований в Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710.
Повні СВС публікуються не рідше одного разу на тиждень не пізніше закінчення строку дії попереднього СВС.
Часткові СВС публікуються не рідше одного разу на дві години не пізніше закінчення строку дії попереднього СВС.
Доступ до СВС забезпечується цілодобово.
5.4. Порядок внесення змін до Регламенту.
Внесення змін та доповнень до Регламенту здійснюється ЦЗО у порядку, встановленому для погодження та затвердження Регламенту.
5.5. Регламент та зміни до нього розповсюджуються шляхом надання доступу до нього на веб-сайті ЦЗО або у випадках звернення за одержанням інформації щодо нього до Мін'юсту (за поштовою адресою: Міністерство юстиції України, вул. Городецького, 13, м. Київ, 01001; за електронною адресою: contact@czo.gov.ua) у відповідний спосіб.
Копії Регламенту в електронній формі розповсюджуються у форматі PDF.
VI. Порядок ідентифікації та автентифікації Центрів, реєстрації ЗЦ та ЦСК, акредитації ЗЦ та ЦСК
6.1. Ідентифікація та автентифікація заявників здійснюються в процесі проведення процедур реєстрації та акредитації Центрів, формування, повторного формування сертифіката ключа Центру, блокування, скасування, поновлення сертифіката ключа Центру.
6.2. Перед проведенням реєстрації, акредитації, формуванням сертифіката ключа Центру або наданням послуг з обслуговування сертифікатів ключів виконується процедура встановлення заявника або його уповноваженої особи (ідентифікація та автентифікація).
Встановлення юридичної особи здійснюється за її установчими документами, відомостями з Єдиного державного реєстру юридичних осіб та фізичних осіб-підприємців. Встановлення фізичної особи здійснюється за паспортом. Встановлення повноважень особи здійснюється за документом, що підтверджує її повноваження.
6.3.1. Реєстрація відбувається шляхом внесення інформації про ЗЦ або ЦСК до Реєстру суб’єктів.
6.3.2. Реєстрація ЗЦ або ЦСК здійснюється на підставі заяви на реєстрацію ЦСК, ЗЦ, що подається до Мін’юсту за формою, визначеною у додатку 2 до наказу про затвердження Регламенту (далі - заява форми 2).
6.3.3. Заява форми 2 подається до Мін`юсту в письмовій формі заявником або його уповноваженою особою і підписується керівником заявника та скріплюється печаткою.
Опрацювання заяви форми 2 здійснюється у разі наявності всіх документів відповідно до переліку, визначеного цим Регламентом.
Не приймаються до розгляду заяви та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
6.3.4. У заяві форми 2 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності);
номер поточного рахунку та найменування банківської установи;
місцезнаходження (місце проживання);
електронна адреса інформаційного ресурсу;
назва центру сертифікації ключів, засвідчувального центру;
відомості про контактну особу (прізвище, ім'я та по батькові, посада, номери телефонів, адреса електронної пошти).
6.3.5. Разом із заявою форми 2 заявник - юридична особа подає такі документи:
копії установчих документів, засвідчені в установленому порядку;
копію довідки про внесення юридичної особи до ЄДРПОУ, засвідчену в установленому порядку;
копію документа, що підтверджує право власності заявника на окреме приміщення або оренди такого приміщення, засвідчену в установленому порядку;
список посадових осіб заявника та засвідчені в установленому порядку копії документів про рівень освіти і кваліфікації керівника ЗЦ або ЦСК та посадових осіб, обов'язки яких безпосередньо пов'язані з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів;
положення, яким визначаються посадові обов'язки, кваліфікаційні вимоги та відповідальність посадових осіб заявника.
6.3.6. До заяви форми 2 заявник - фізична особа, яка є суб'єктом підприємницької діяльності, додає такі документи:
копію свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності, засвідчену в установленому порядку;
паспорт та його копію, засвідчену в установленому порядку;
копію документа, що підтверджує право власності заявника на окреме приміщення або оренду такого приміщення, засвідчену в установленому порядку;
список посадових осіб заявника та засвідчені в установленому порядку копії документів про рівень освіти і кваліфікації керівника ЗЦ або ЦСК та посадових осіб, обов'язки яких безпосередньо пов'язані з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів;
положення, яким визначаються посадові обов'язки, кваліфікаційні вимоги та відповідальність посадових осіб заявника.
6.3.7. Заявники, які є особами - платниками податку на додану вартість, надають копію засвідченого в установленому порядку свідоцтва про реєстрацію платника податку на додану вартість - за умови реєстрації особи як платника податку на додану вартість або копію документа, що підтверджує реєстрацію особи як платника податків, зборів, інших обов'язкових платежів (зокрема податку на додану вартість) у порядку іншому, ніж загальний.
6.3.8. Розгляд заяви на реєстрацію становить не більше п’яти робочих днів від дати прийняття заяви.
6.3.9. Рішення про реєстрацію ЗЦ або ЦСК приймається у вигляді наказу Мін’юсту за умови відповідності документів, поданих разом із заявою, вимогам, встановленим Регламентом. В іншому випадку надається мотивована відмова у проведенні реєстрації.
6.3.10. У разі прийняття рішення про реєстрацію ЗЦ або ЦСК для внесення відповідної інформації про ЗЦ та ЦСК до Реєстру суб’єктів Мін’юст надсилає до Адміністратора ІТС ЦЗО такі документи:
копію заяви форми 2, поданої заявником;
копії документів, поданих разом із заявою форми 2;
6.3.11. У разі прийняття рішення про реєстрацію ЗЦ або ЦСК засвідчують свій відкритий ключ у ЦЗО відповідно до вимог Регламенту.
6.4.1. Проведення акредитації ЗЦ та ЦСК здійснюється у строк та відповідно до Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
6.4.2. Акредитація ЗЦ та ЦСК проводиться на підставі заяви за формою, визначеною у додатку 3 до наказу про затвердження Регламенту (далі - заява форми 3), що подається до Мін'юсту.
6.4.3. У заяві форми 3 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності);
номер поточного рахунку та найменування банківської установи;
місцезнаходження (місце проживання);
електронна адреса інформаційного ресурсу;
назва центру сертифікації ключів, засвідчувального центру;
відомості про контактну особу (прізвище, ім'я та по батькові, посада, номери телефонів, адреса електронної пошти).
6.4.4. Разом із заявою форми 3 ЗЦ та ЦСК подають документи згідно з переліком, визначеним у додатку 1 до Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
6.4.5. Рішення про акредитацію ЗЦ або ЦСК приймається у вигляді наказу Мін’юсту.
6.4.6. У разі прийняття рішення про акредитацію для внесення відповідної інформації про АЦСК до Реєстру суб’єктів Мін’юст надсилає до Адміністратора ІТС ЦЗО такі документи:
копію заяви форми 3, поданої заявником;
копії документів, поданих разом із заявою форми 3;
копію рішення про акредитацію.
6.4.7. У разі прийняття рішення про акредитацію ЗЦ або ЦСК засвідчує свій відкритий ключ у ЦЗО відповідно до вимог Регламенту.
VII. Обслуговування сертифікатів ключів Центрів
7.1. Формування сертифікатів ключів Центру.
7.1.1. Формування сертифіката ключа Центру здійснюється на підставі заяви на формування посиленого сертифіката відкритого ключа Центрів за формою, визначеною у додатку 4 до наказу про затвердження Регламенту (далі - заява форми 4), що подається до Адміністратора ІТС ЦЗО.
7.1.2. Заява форми 4 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним та скріплюється печаткою.
7.1.3. Під час прийому заяви форми 4 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
7.1.4. Не приймаються до розгляду заява та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
7.1.5. У заяві форми 4 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності);
місцезнаходження (місце проживання);
електронна адреса інформаційного ресурсу;
серійний (заводський) номер носія інформації, на якому надається запит на формування сертифіката в електронному вигляді;
унікальний реєстраційний номер, що входить до реквізиту «унікальний реєстраційний номер» (поле "SеriаlNumber") сертифіката ключа Центру;
призначення (сфера використання) відкритого ключа Центру відповідно до вимог, встановлених законодавством.
Формування Центром унікального реєстраційного номера, що входить до реквізиту «унікальний реєстраційний номер» сертифіката ключа Центру, здійснюється згідно з нижченаведеними правилами:
UA-[КодУстанови] {-[Додаток]},
UA - код України згідно з ISO 3166;
КодУстанови - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації - юридичної особи або ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром, за відомостями установчих документів та/або відомостями з Єдиного державного реєстру юридичних осіб та фізичних осіб-підприємців;
додаток - необов'язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання додатка він відокремлюється від реквізиту КодУстанови символом "-".
Вищезазначений реквізит шляхом його додавання до розпізнавального імені Центру забезпечує унікальність його розпізнавального імені в межах України.
7.1.6. Разом із заявою форми 4 подаються:
запит на формування сертифіката ключа Центру в електронному вигляді;
два примірники договору про надання послуг обслуговування посиленого сертифіката відкритого ключа, підписані керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою та скріплені печаткою.
Вимоги до запиту на формування сертифіката ключа Центру наведено в додатку до Регламенту.
7.1.7. Розгляд заяви форми 4 становить не більше двох робочих днів від дати прийняття заяви.
7.1.8. Під час розгляду заяви форми 4 здійснюється перевірка:
відповідності даних, внесених до заяви, документам Центру, отриманим від Мін’юсту відповідно до підпункту 6.3.10 пункту 6.3 та підпункту 6.4.6 пункту 6.4 розділу VI цього Регламенту;
унікальності розпізнавального імені Центру в межах України;
унікальності відкритого ключа Центру за відомостями реєстру чинних, блокованих та скасованих сертифікатів ключів Центрів;
належності Центру відповідного особистого ключа шляхом перевірки ЕЦП на запиті на формування сертифіката ключа Центру;
відповідності запиту на формування сертифіката вимогам, зазначеним у додатку до Регламенту.
У разі успішної перевірки Адміністратор ІТС ЦЗО формує сертифікат ключа Центру. У разі непроходження перевірки Центру надається мотивована відмова у формуванні сертифіката Центру та повертається заява форми 4 з додатками до неї.
7.1.9. Формування сертифікатів ключів Центрів здійснюється посадовими особами Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків адміністратора сертифікації (далі - адміністратор сертифікації), та під контролем посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків адміністратора безпеки (далі - адміністратор безпеки).
Адміністратор ІТС ЦЗО формує сертифікат ключа Центру в електронній формі та два примірники сертифіката ключа Центру в паперовій формі.
Усі примірники сертифіката ключа Центру у паперовій формі підписуються керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, уповноваженою особою Адміністратора ІТС ЦЗО та скріплюються печаткою Адміністратора ІТС ЦЗО.
За результатами проведеного формування сертифіката ключа Центру його уповноваженій особі надаються:
один підписаний примірник договору про надання Центру Адміністратором ІТС ЦЗО послуг обслуговування посиленого сертифіката відкритого ключа;
один примірник сертифіката ключа Центру в паперовій формі;
сертифікат ключа Центру в електронній формі;
сертифікати ключів ЦЗО в електронній формі.
Дані в електронній формі передаються уповноваженій особі Центру у вигляді файлів, записаних на оптичний диск або інший носій.
7.2. Строк чинності сертифікатів ключів Центрів.
Строк чинності сертифіката ключа Центру визначається відповідно до вимог законодавства про ЕЦП.
Початок строку чинності сертифіката ключа Центру обчислюється з дати і часу формування сертифіката у ЦЗО, що відображається у сертифікаті.
7.3. Публікація сертифіката ключа Центру.
Після формування сертифіката ключа Центру та передачі його Центру відповідно до підпункту 7.1.9 пункту 7.1 цього розділу цей сертифікат опубліковується на веб-сайті ЦЗО, доступ до якого забезпечується через телекомунікаційні мережі загального користування цілодобово.
7.4. Використання особистого ключа та сертифіката ключа Центру.
Центри використовують пари (особистих та відкритих) ключів зі ступенем розширення основного поля еліптичної кривої згідно з ДСТУ 4145-2002 не менше 257.
Центр використовує особистий ключ Центру тільки за призначенням (сферою використання) в період чинності сертифіката ключа Центру та за умови, якщо сертифікат ключа Центру не був заблокований або скасований.
Центр забезпечує використання сертифіката ключа Центру та особистого ключа Центру тільки в рамках сфери використання, зазначеної у пункті 4.2 розділу ІV цього Регламенту.
Центр забезпечує обов'язковість перевірки строку чинності та статусу сформованого ЦЗО сертифіката ключа Центру під час надання послуг ЕЦП у порядку, встановленому законодавством.
Перед використанням сертифіката ключа Центру здійснюються:
перевірка чинності сертифіката ключа Центру на момент накладення ЕЦП на документ або перевірка ЕЦП на документі;
перевірка ЕЦП сертифіката ключа Центру за допомогою сертифіката ключа ЦЗО, чинного на момент формування сертифіката ключа Центру;
перевірка статусу сертифіката ключа Центру у режимі реального часу, якщо перевірка здійснюється на момент чинності сертифіката Центру, або за СВС.
Під час перевірки статусу сертифіката ключа Центру за СВС здійснюється перевірка автентичності, цілісності та терміну дії СВС.
7.5. Порядок скасування сертифіката ключа Центру.
7.5.1. Скасування сертифіката ключа Центру здійснюється у випадках, передбачених законодавством, на підставі заяви на скасування посиленого сертифіката відкритого ключа Центрів за формою, визначеною у додатку 5 до наказу про затвердження Регламенту (далі - заява форми 5), що подається до Адміністратора ІТС ЦЗО.
7.5.2. Заява форми 5 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним та скріплюється печаткою.
7.5.3. У заяві форми 5 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності);
місцезнаходження (місце проживання);
електронна адреса електронного інформаційного ресурсу;
причина скасування сертифіката ключа Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що скасовується.
7.5.4. Під час прийому заяви форми 5 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
7.5.5. Не приймаються до розгляду заява та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
7.5.6. Опрацювання заяви форми 5 та інформування Центром Адміністратора ЦЗО про скасування сертифіката його ключа здійснюються протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
7.5.7. Скасування сертифікатів ключів Центрів здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
7.5.8. Скасування сертифіката ключа Центру набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
7.6. Порядок блокування сертифіката ключа Центру.
7.6.1. Блокування сертифіката ключа Центру здійснюється у випадках, передбачених законом, на підставі заяви на блокування посиленого сертифіката відкритого ключа Центрів за формою, визначеною у додатку 6 до наказу про затвердження Регламенту (далі - заява форми 6), що подається до Адміністратора ІТС ЦЗО.
7.6.2. Заява форми 6 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним та скріплюється печаткою.
7.6.3. У заяві форми 6 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності);
місцезнаходження (місце проживання);
електронна адреса інформаційного ресурсу;
причина блокування сертифіката ключа Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що блокується.
7.6.4. Під час прийому заяви форми 6 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
7.6.5. Не приймаються до розгляду заява та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
7.6.6. Опрацювання заяви форми 6 та інформування Центром Адміністратора ЦЗО про блокування сертифіката його ключа здійснюються протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
7.6.7. Блокування сертифіката ключа Центру здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
7.6.8. Блокування сертифіката ключа Центру набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
7.7. Порядок поновлення сертифіката ключа Центру.
7.7.1. Поновлення сертифіката ключа Центру здійснюється у випадках, передбачених законодавством, на підставі заяви на поновлення посиленого сертифіката відкритого ключа Центрів за формою, визначеною у додатку 7 до наказу про затвердження Регламенту (далі - заява форми 7), що подається до Адміністратора ІТС ЦЗО.
7.7.2. Заява форми 7 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним та скріплюється печаткою.
7.7.3. У заяві форми 7 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код згідно з ЄДРПОУ (ідентифікаційний номер за Державним реєстром фізичних осіб - платників податків - для фізичної особи, яка є суб'єктом підприємницької діяльності);
місцезнаходження (місце проживання);
електронна адреса інформаційного ресурсу;
причина поновлення сертифіката ключа;
унікальний реєстраційний номер сертифіката ключа Центру, що поновлюється.
7.7.4. Під час прийому заяви форми 7 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
7.7.5. Не приймаються до розгляду заява та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
7.7.6. Опрацювання заяви форми 7 здійснюється протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
7.7.7. Поновлення сертифіката ключа Центру здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
7.7.8. Поновлення сертифіката ключа Центру набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
7.7.9. Скасований сертифікат ключа Центру не може бути поновлений.
7.8. Розповсюдження інформації про статус сертифіката ключа Центру.
Розповсюдження інформації про статус сертифікатів ключів Центрів здійснюється за допомогою публікації повного та часткового СВС на веб-сайті ЦЗО та забезпечення можливості перевірки статусу сертифіката ключа Центру в режимі реального часу через телекомунікаційні мережі загального користування.
Адміністратор ІТС ЦЗО під час формування СВС забезпечує такі умови:
кожен із СВС містить дані щодо часу видання наступного списку;
новий СВС може бути опублікований до визначеного часу видання наступного списку;
на СВС накладається ЕЦП з використанням особистого ключа ЦЗО.
Інформація про статус сертифіката ключа Центру в режимі реального часу розповсюджується за протоколом визначення статусу сертифіката згідно з Вимогами до протоколу визначення статусу сертифіката, затвердженими наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису», зареєстрованим в Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710.
7.9. Періодичність публікації СВС.
Публікація наступного СВС здійснюється з періодичністю, зазначеною у пункті 5.3 розділу V цього Регламенту.
VIII. Управління та операційний контроль
8.1. Приміщення, де розміщено ІТС ЦЗО.
Приміщення, де розташовано ІТС ЦЗО, територіально поділене на дві частини, в яких розміщено локальні обчислювальні мережі (далі - ЛОМ) управління ІТС ЦЗО та ЛОМ серверів ІТС ЦЗО.
ЛОМ управління ІТС ЦЗО розміщується за адресою: 04050, м. Київ, вул. Мельникова, 81, літ. А.
ЛОМ серверів ІТС ЦЗО розміщується за адресою: 04073, м. Київ, вул. Ливарська, 1, літ. А.
В ЛОМ управління об'єднані робочі станції (далі - РС) посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків адміністратора реєстрації (далі - адміністратор реєстрації), посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків системного адміністратора (далі - системний адміністратор), адміністраторів сертифікації та безпеки (далі разом - адміністратори) з використанням комутаційного обладнання та розміщуються відокремлено від серверів і підключаються до ЛОМ серверів ІТС ЦЗО через зовнішню телекомунікаційну мережу. Підключення здійснюється через шлюз захисту мережевих з’єднань, який розміщується на стороні ЛОМ серверів ІТС ЦЗО так, що утворюється єдина віртуальна ЛОМ система. Шлюз захисту мережевих з’єднань призначений для автентифікації адміністраторів при підключенні до ЛОМ серверів шляхом встановлення захищеного мережевого з’єднання з РС адміністраторів.
Приміщення, де розміщено ЛОМ серверів ІТС ЦЗО, обладнано відповідно до вимог до спеціальних приміщень АЦСК, які передбачають проведення заходів щодо пасивного захисту інформації від її витоку каналами побічних електромагнітних випромінювань та наведень, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів (далі - спеціальне приміщення).
Усі приміщення ІТС ЦЗО обладнані автоматичною системою контролю доступу, яка забезпечує фізичний доступ до приміщень тільки особам, визначеним наказом керівника Адміністратора ІТС ЦЗО.
8.2. Порядок забезпечення безпеки інформаційних ресурсів.
Для виконання технічних та технологічних функцій ЦЗО Адміністратором ІТС ЦЗО створюється технічний підрозділ, до складу якого входять працівники, діяльність яких безпосередньо пов'язана із забезпеченням функціонування ІТС ЦЗО.
Захист інформації у ІТС ЦЗО забезпечується службою захисту інформації ІТС ЦЗО.
Безпека ІТС ЦЗО досягається шляхом впровадження організаційних інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації комплексної системи захисту інформації (далі - КСЗІ).
Засоби та обладнання ІТС ЦЗО, за допомогою яких здійснюються генерація та використання особистого ключа ЦЗО, обслуговування сертифікатів ключів Центрів, розміщуються у спеціальному приміщенні. Фізичний доступ до обладнання ІТС ЦЗО, що забезпечує генерацію та використання особистих ключів ЦЗО, сертифікацію, управління статусом сертифіката, обмежений і надається виключно посадовим особам Адміністратора ІТС ЦЗО, визначеним наказом керівника Адміністратора ІТС ЦЗО.
8.3. Управління доступом до інформаційних ресурсів ІТС ЦЗО.
В ІТС ЦЗО забезпечується захист інформаційних ресурсів від зовнішніх загроз, атак та несанкціонованого витоку інформації шляхом створення та підтримки безпечних інформаційних технологій, у рамках яких доступ до інформації різних категорій користувачів організовується таким чином, що тільки уповноваженим користувачам або процесам надається можливість роботи з конкретною інформацією, доступ до якої обмежується і гарантується цілісність при її обробці в електронному вигляді, набором даних, що містяться на змінних носіях інформації.
Робота ІТС ЦЗО можлива лише при функціонуючій КСЗІ.
У спеціальному приміщенні, де розташовано ЛОМ серверів ІТС ЦЗО, передбачено захист внутрішньої обчислювальної мережі від втручання з боку телекомунікаційної мережі загального користування.
Доступ до захищених ресурсів ІТС ЦЗО надається тільки після успішної авторизації адміністраторів.
Перед початком виконання процедур, пов'язаних із реєстрацією, формуванням сертифіката ключа або зміною його статусу, формуванням СВС, адміністратори повинні бути успішно авторизовані.
У складі технічного підрозділу Адміністратора ІТС ЦЗО, яким здійснюється забезпечення функціонування ІТС ЦЗО, створюється служба захисту інформації у складі:
посадової особи Адміністратора ІТС ЦЗО, на яку покладено обов’язки керівника служби захисту інформації;
До складу технічного підрозділу Адміністратора ІТС ЦЗО також входять:
8.4.1. Служба захисту інформації ІТС ЦЗО (далі - СЗІ) забезпечує захист інформації в ІТС ЦЗО шляхом вирішення питань, пов'язаних з проектуванням, розробленням, модернізацією, введенням в експлуатацію та підтримкою працездатності КСЗІ, та додержання режиму безпеки в ІТС ЦЗО.
забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
розроблення розпорядчих документів, згідно з якими Адміністратор ІТС ЦЗО повинен забезпечувати захист інформації, контроль за їх виконанням;
своєчасне реагування на спроби несанкціонованого доступу до інформаційних ресурсів ІТС ЦЗО, порушення правил експлуатації засобів захисту інформації.
Обов’язки керівника СЗІ покладаються на одного із працівників технічного підрозділу Адміністратора ІТС ЦЗО наказом керівника Адміністратора ІТС ЦЗО.
Керівник СЗІ забезпечує належне виконання СЗІ її функцій.
8.4.2. Адміністратор безпеки відповідає за належне функціонування КСЗІ.
Основними обов'язками адміністратора безпеки є:
участь у генерації пари ключів (особистий та відкритий ключі) ЦЗО та їх резервних копій;
контроль за формуванням, резервуванням та обслуговуванням сертифікатів ключів ЦЗО, Центрів та СВС;
контроль за зберіганням особистих ключів ЦЗО та їх резервних копій, особистих ключів адміністраторів;
участь у знищенні особистих ключів ЦЗО, контроль за правильним і своєчасним знищенням адміністраторами особистих ключів;
організація розмежування доступу до ресурсів ІТС ЦЗО;
забезпечення спостереження (реєстрація та аудит подій у ІТС ЦЗО, моніторинг подій тощо) за функціонуванням КСЗІ;
забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС ЦЗО;
забезпечення режиму доступу до спеціального приміщення ІТС ЦЗО;
ведення журналів обліку адміністратора безпеки, передбачених документацією КСЗІ.
8.4.3. Системний адміністратор відповідає за функціонування ІТС ЦЗО.
Основними обов'язками системного адміністратора є:
організація експлуатації та технічного обслуговування ІТС ЦЗО і адміністрування його засобів;
забезпечення функціонування веб-сайту ЦЗО;
участь у впровадженні та забезпеченні функціонування КСЗІ;
ведення журналів аудиту подій, що реєструють засоби ІТС ЦЗО;
інсталяція та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ІТС ЦЗО;
встановлення та налагодження штатної підсистеми резервного копіювання, зокрема процедури резервного копіювання бази даних ІТС ЦЗО;
забезпечення актуалізації баз даних, створюваних та оброблюваних у ІТС ЦЗО, внаслідок збоїв.
8.4.4. Адміністратор сертифікації відповідає за формування сертифікатів ключів, ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів, збереження та використання особистого ключа ЦЗО.
Основними обов'язками адміністратора сертифікації є:
участь у генерації пари ключів (особистий та відкритий ключі) та зберігання особистих ключів ЦЗО та їх резервних копій;
забезпечення використання особистих ключів ЦЗО під час формування та обслуговування сертифікатів ключів ЦЗО та Центрів;
перевірка запитів на формування сертифікатів Центру вимогам Регламенту;
участь у знищенні особистих ключів ЦЗО;
забезпечення ведення, архівування та відновлення баз даних сертифікатів ключів Центрів;
розповсюдження (публікація) переліку сертифікатів ключів Центрів і СВС на веб-сайті ЦЗО;
резервування сертифікатів ключів і СВС, інших важливих ресурсів ІТС ЦЗО.
8.4.5. Адміністратор реєстрації відповідає за перевірку документів, наданих Центрами, звернень Центрів щодо формування, блокування, поновлення та скасування сертифікатів ключів Центрів.
Основними обов'язками адміністратора реєстрації є:
ідентифікація та автентифікація заявників;
перевірка заяв на формування, скасування, блокування та поновлення сертифікатів ключів;
встановлення належності Центру особистого ключа та його відповідності відкритому ключу Центру;
ведення електронного Реєстру суб'єктів.
8.5. Ведення журналів аудиту ІТС ЦЗО.
У журналах аудиту ІТС ЦЗО реєструються дії та події таких типів:
спроби створення, знищення, встановлення паролів, зміни прав доступу в ІТС ЦЗО тощо;
заміни технічних засобів ІТС ЦЗО та ключів;
формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;
спроби несанкціонованого доступу до ІТС ЦЗО;
надання доступу персоналу до ІТС ЦЗО;
зміна системних конфігурацій та технічне обслуговування ІТС ЦЗО;
інші події, відомості про які фіксуються в журналі аудиту ІТС ЦЗО.
Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб'єкта, що її здійснив або ініціював.
Журнали аудиту підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку того, що журнал не піддавався несанкціонованим модифікаціям, вивчення всіх дій та/або подій у журналі з приділенням особливої уваги повідомленням про невідповідності і попередженням про небезпечні ситуації. Перегляд журналів аудиту ІТС ЦЗО здійснює адміністратор безпеки. Результати перегляду адміністратор безпеки фіксує в журналі аудиту адміністратора безпеки.
Система ведення електронного журналу аудиту повинна включати механізми його захисту від неавторизованого перегляду, модифікації і знищення. Записи подій у журналах аудиту в паперовій формі повинні бути завірені і підписані адміністратором безпеки.
Журнали аудиту в електронній формі резервуються з періодичністю не менше одного разу на тиждень.
Адміністратор ІТС ЦЗО зберігає журнали аудиту на місці їх створення протягом 10 років, після чого забезпечує їх передачу для архівного збереження.
8.6. Порядок архівного збереження документованої інформації.
Документи, складені у паперовій формі, зберігаються в порядку, встановленому законодавством про архіви й архівну справу.
Архівному зберіганню підлягають такі документи:
заяви форм 2, 3 та документи, подані разом з ними;
заяви форм 4–7;
Регламент та всі зміни, що вносилися до Регламенту;
службові документи ЦЗО (інструкції, положення, накази тощо);
документована інформація, що передається АЦСК, які припиняють діяльність, до ЦЗО відповідно до вимог чинного законодавства.
Документами постійного зберігання є:
сертифікати ключів підписувачів АЦСК, що припинили діяльність;
СВС АЦСК, що припинили діяльність.
Інші документи, що підлягають архівному зберіганню, є документами тимчасового зберігання. Строк тимчасового зберігання архівних документів становить 10 років. Знищення архівних документів тимчасового зберігання здійснює комісія, сформована з числа працівників Мін’юсту та Адміністратора ІТС ЦЗО.
IX. Періодичність, порядок планової заміни, використання особистих ключів ЦЗО та управління ключами в ЦЗО
9.1. В ІТС ЦЗО використовуються такі пари (особистих та відкритих) ключів:
особисті та відкриті ключі (поточний та попередній) для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відкриті ключі шлюзу захисту мережевих з'єднань зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відкриті ключі адміністраторів зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002.
9.2. Процедура генерації особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів здійснюється відповідно до положень Інструкції щодо порядку генерації ключових даних і поводження з ключовими документами (далі - Інструкція) до відповідних засобів криптографічного захисту інформації (далі - КЗІ) зі складу ІТС ЦЗО, які погоджуються з контролюючим органом.
9.3. Генерація особистих ключів здійснюється у спеціальному приміщенні ІТС ЦЗО за участю адміністратора сертифікації під контролем адміністратора безпеки.
Після генерації особистих ключів здійснюється формування відповідних їм сертифікатів ключів.
Особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС та особисті ключі ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зберігаються відповідно в апаратних та апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО.
Особисті ключі шлюзу захисту мережевих з'єднань та особисті ключі адміністраторів зберігаються на зовнішніх носіях ключової інформації (далі - НКІ).
Для забезпечення можливості відновлення особистих ключів ЦЗО у випадку виходу з ладу апаратних та апаратно-програмних засобів КЗІ виконується резервне копіювання особистого ключа із засобу КЗІ на НКІ.
Для забезпечення можливості відновлення особистих ключів шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів у випадку виходу з ладу НКІ виконується резервне копіювання особистого ключа із засобу КЗІ на окремі резервні НКІ.
Факт генерації ключів та створення їх резервних копій реєструється адміністратором безпеки у відповідному журналі обліку.
9.4. Не пізніше завершення половини строку дії поточної пари ключів (особистий та відкритий ключі) ЦЗО, що використовуються для накладення та перевірки ЕЦП на сертифікатах ключів Центрів та СВС, здійснюється генерація нової пари ключів (особистий та відкритий ключі) ЦЗО та формування відповідного сертифіката ключа ЦЗО. При цьому поточний особистий ключ ЦЗО стає попереднім, а новий - поточним.
Поточний особистий ключ ЦЗО повинен зберігатися і застосовуватися в апаратному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП на сертифікати Центрів і СВС.
Попередній особистий ключ ЦЗО повинен зберігатися і застосовуватися в апаратно-програмному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП тільки для обслуговування сертифікатів ключів Центрів, які були сформовані за допомогою цього ключа.
Перенесення попереднього особистого ключа ЦЗО з апаратного до апаратно-програмного засобу КЗІ здійснюється шляхом створення та відновлення резервної копії особистого ключа та її відновлення відповідно до вимог Інструкції.
9.5. Факти створення та відновлення резервної копії попереднього особистого ключа ЦЗО та його перенесення з апаратного засобу КЗІ до апаратно-програмного засобу КЗІ реєструються адміністратором безпеки у відповідному журналі обліку.
Передавання особистих ключів ЦЗО між адміністраторами здійснюється за журналом прийому-передачі ключів.
Забороняється виносити особисті ключі ЦЗО із спеціального приміщення ІТС ЦЗО.
Строки дії особистих ключів ЦЗО відповідають строкам чинності сертифікатів відповідних їм відкритих ключів і становлять:
не більше 10 років - для особистих ключів ЦЗО для накладення ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС;
не більше 5 років - для особистих ключів ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу;
не більше 2 років - для особистих ключів шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів.
Планова заміна особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів здійснюється відповідно до положень Інструкції та виконується не пізніше ніж за 2 робочі дні до закінчення строку дії відповідних сертифікатів ключів.
Під час планової заміни адміністратором сертифікації під контролем адміністратора безпеки здійснюється генерація нових особистих ключів, створення їх резервних копій та формування відповідних сертифікатів ключів.
Після введення в дію нових особистих ключів особисті ключі, термін дії сертифікатів відкритих ключів яких завершився, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
Факти генерації нових особистих ключів, створення їх резервних копій та знищення особистих ключів, термін дії сертифікатів відкритих ключів яких завершився, реєструються адміністратором безпеки у відповідному журналі обліку.
Позапланова заміна особистих ключів виконується у випадках компрометації або підозри на компрометацію особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів відповідно до вимог Інструкції.
Під час позапланової заміни здійснюється генерація нових особистих ключів, створення їх резервних копій та формування відповідних сертифікатів ключів за участю двох адміністраторів, у тому числі адміністратора безпеки.
У разі підтвердження факту компрометації особистих ключів ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС усі попередньо сформовані сертифікати ключів Центрів скасовуються та формується СВС, який підписується новим особистим ключем ЦЗО.
Усі особисті ключі, факт компрометації яких було підтверджено, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
Факти генерації нових особистих ключів, створення їх резервних копій та знищення особистих ключів, термін дії сертифікатів відкритих ключів яких завершився, реєструються адміністратором безпеки у відповідному журналі обліку.
Про планову та позапланову заміну особистого ключа ЦЗО невідкладно інформує Центри та контролюючий орган.
Запит на формування сертифіката ключа Центру (далі - запит) подається у форматі, визначеному у стандарті PKCS#10.
Запит повинен містити інформацію про відкритий ключ Центру, що подає такий запит. Зазначена інформація визначається атрибутом «Інформація про відкритий ключ підписувача» («subjectPublicKeyInfo»), формат якого повинен відповідати Вимогам до формату посиленого сертифіката відкритого ключа, затвердженим наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису», зареєстрованим у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (далі - Наказ).
Запит повинен містити такі обов'язкові реквізити Центру, наведені в таблиці 1.
Назва реквізиту англійською мовою | Назва реквізиту українською мовою | Значення реквізиту |
countryName | Назва країни | Країна, у якій зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності, що є Центром id-at-countryName код згідно з ISO 3166 (для України - UA) |
organizationName | Назва організації | Повне найменування організації - юридичної особи або фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром, за установчими документами або відомостями про державну реєстрацію id-at-organization Name |
serialNumber | Серійний номер | Унікальний реєстраційний номер Центру id-at-serialNumber Значення цього реквізиту задається згідно з підпунктом 7.1.5 пункту 7.1 розділу VII цього Регламенту |
stateOrProvinceName | Назва області1 | Область, у якій зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності, що є Центром id-at-stateOrProvinceName |
localityName | Назва міста | Місто, в якому зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності, що є Центром id-at-localityName |
commonName | Повне найменування організації або офіційна скорочена назва юридичної особи | Реквізити організації - юридичної особи або фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром, за установчими документами або відомостями про державну реєстрацію id-at- commonName |
organizationalUnitName | Назва підрозділу організації | Підрозділ організації, що є Центром та забезпечує надання послуг ЕЦП id-at organizationalUnitName |
__________
1 Якщо місцезнаходження юридичної особи або фізичної особи, яка є суб'єктом підприємницької діяльності, є місто Київ або Севастополь, поле "stateOrProvinceName" не заповнюється
Формат інших обов’язкових полів запиту на формування сертифіката ключа Центру повинен відповідати Наказу.
Запит може містити додаткову інформацію відносно Центру, що подає такий запит. Зазначена інформація визначається атрибутом «Розширений запит» («extensionRequest»).
Атрибут «Розширений запит» використовується для визначення розширень у сертифікаті ключа Центру, що формується, та має такий вигляд:
extensionRequest ATTRIBUTE ::= { |
Формат поля Extensions повинен відповідати Вимогам до формату посиленого сертифіката відкритого ключа, затвердженим Наказом. Під час формування сертифіката ключа Центру розширення, подані у запиті, обробляються за правилами, наведеними в таблиці 2.
Додаткові розширення, що не наведені в таблиці 2 та можуть міститись у запиті, встановлюються у сертифікаті ключа Центру за умови, що вони були визначені як некритичні, а об’єктні ідентифікатори таких розширень зареєстровані у встановленому порядку.
Назва розширення англійською мовою | Назва розширення українською мовою (у термінології Наказу) | Обов’язковість розширення у сертифікаті ключа Центру1 | Обов’язковість розширення у запиті2 | Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті3 | Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті4 | Примітки |
Стандартні розширення | ||||||
authorityKeyIdentifier | Ідентифікатор відкритого ключа Центру | + | +/- | - | + | Встановлюється значення ідентифікатора відкритого ключа ЦЗО |
subjectKeyIdentifier | Ідентифікатор відкритого ключа підписувача | + | +/- | + | + | У разі відсутності розширення у запиті встановлюється значення ідентифікатора відкритого ключа, який обчислюється ЦЗО згідно з вимогами, встановленими Наказом |
keyUsage | Призначення відкритого ключа, що міститься в сертифікаті | + | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві форми 4. |
extKeyUsage | Уточнене призначення відкритого ключа, що міститься в сертифікаті | +/- | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві форми 4. |
certificatePolicies | Політика сертифікації | + | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування. |
subjectAltName | Додаткові дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
issuerAlternativeName | Додаткові дані Центру | +/- | +/- | - | - | |
basicConstraints | Основні обмеження | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу, встановлюється значення розширення, що міститься у запиті на його формування. |
subjectDirectoryAttributes | Персональні дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
crlDistributionPoints | Точки доступу до СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до повних СВС ЦЗО |
freshestCRL | Точки доступу до часткового СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до часткових СВС ЦЗО |
Нестандартні розширення | ||||||
qcStatements | Ознаки посиленого сертифіката | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу, встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
__________
1 Обов’язковість розширення у сертифікаті ключа Центру:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
2 Обов’язковість розширення у запиті:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
3 Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру;
+/- - розширення може встановлюватися або не встановлюватися у сертифікаті ключа Центру.
4 Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру.
ЗАЯВА
на реєстрацію центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на проведення акредитації
ЗАЯВА
на формування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на скасування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на блокування посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру
ЗАЯВА
на поновлення посиленого сертифіката відкритого ключа центру сертифікації ключів, акредитованого центру сертифікації ключів, засвідчувального центру