Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



ПОРЯДОК

акредитації центру сертифікації ключів

1. Цей Порядок визначає процедуру акредитації центру сертифікації ключів (далі - центр), умови надання центром послуг електронного цифрового підпису, вимоги до його персоналу та захисту інформації.

2. Терміни, які вживаються у цьому Порядку, мають таке значення:

контролюючий орган - Адміністрація Держспецзв'язку;

програмно-технічний комплекс - апаратні, апаратно-програмні та програмні засоби акредитованого центру, що забезпечують виконання функцій, пов'язаних з наданням послуг електронного цифрового підпису;

спеціальне приміщення - приміщення, яке відповідає вимогам технічного захисту інформації;

правила посиленої сертифікації - затверджені в установленому порядку вимоги до обслуговування та використання посилених сертифікатів відкритих ключів (далі - сертифікати);

регламент роботи акредитованого центру - нормативний документ, що визначає організаційні, технічні та інші умови діяльності акредитованого центру під час надання послуг електронного цифрового підпису;

список відкликаних сертифікатів - перелік блокованих та скасованих сертифікатів, що формується та розповсюджується акредитованим центром;

статус сертифіката - стан посиленого сертифіката ключа (чинний, блокований, скасований) на конкретний момент.

Інші терміни застосовуються у значенні, наведеному у Законах України "Про електронний цифровий підпис", "Про телекомунікації", інших нормативно-правових актах з питань інформатизації та захисту інформації.

3. Акредитація центру здійснюється на добровільних засадах.

4. Інформація про акредитацію центру сертифікації ключів та припинення його діяльності оприлюднюється центральним засвідчувальним органом на власному веб-сайті та у друкованих засобах масової інформації.

5. До проведення акредитації центр вносить на спеціальний рахунок, відкритий у банківській установі, кошти у розмірі стократної мінімальної заробітної плати для забезпечення відшкодування збитків, які можуть бути завдані підписувачам, користувачам або третім особам внаслідок неналежного виконання акредитованим центром своїх зобов'язань.

Наявність спеціального рахунка не обов'язкова для акредитованого центру, який надає пов'язані з електронним цифровим підписом послуги виключно органам державної влади.

6. Для проведення акредитації центр, що засвідчив свій відкритий ключ у центральному засвідчувальному органі та вніс кошти на спеціальний рахунок, подає до нього заяву разом із документами, перелік яких наведено у додатку 1.

У заяві зазначаються:

· повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи - суб'єкта підприємницької діяльності, серія і номер паспорта, ким і коли виданий);

· організаційно-правова форма;

· код згідно з ЄДРПОУ (ідентифікаційний номер фізичної особи - платника податків та інших обов'язкових платежів);

· номер поточного рахунка та найменування банківської установи;

· місцезнаходження (місце проживання);

· номери телефонів;

· електронна адреса електронного інформаційного ресурсу;

· відомості про реєстрацію відкритого ключа в центральному засвідчувальному органі.

7. На підставі заяви та доданих до неї документів центральний засвідчувальний орган у строк не більше ніж 45 днів від дати подання заяви приймає рішення про акредитацію центру або про відмову в акредитації.

У разі необхідності центральний засвідчувальний орган здійснює перевірку центру на відповідність вимогам цього Порядку.

8. Центр вважається акредитованим від дня внесення до Реєстру суб'єктів, які надають послуги, пов'язані з електронним цифровим підписом (далі - Реєстр), що ведеться центральним засвідчувальним органом, основних даних (реквізитів) акредитованого центру, зазначених у пункті 5 цього Порядку, відомостей про дату прийняття та номер рішення про акредитацію, серію та номер свідоцтва, а також строк дії свідоцтва.

9. У разі прийняття центральним засвідчувальним органом рішення про акредитацію, центрові видається свідоцтво про акредитацію (далі - свідоцтво) за зразком, наведеним у додатку 2.

Копії рішення про акредитацію та свідоцтва надсилаються до контролюючого органу.

10. Свідоцтво видається уповноваженому представнику центру протягом п'яти робочих днів від дати внесення відповідного запису до Реєстру.

11. У разі зміни відомостей, які внесені до Реєстру, акредитований центр у триденний строк повідомляє про це центральний засвідчувальний орган.

12. У разі пошкодження або втрати свідоцтва центрові видається протягом десяти днів від дати подання відповідної заяви його дублікат.

Відомості про видачу дубліката вносяться до Реєстру.

13. Акредитований центр проходить повторну акредитацію у разі:

· зміни основних даних (реквізитів), які зазначаються у свідоцтві;

· закінчення строку дії свідоцтва;

· закінчення строку дії атестата відповідності комплексної системи захисту інформації або внесення до програмно-технічного комплексу акредитованого центру змін, які потребують модернізації комплексної системи захисту інформації;

· закінчення строку дії сертифіката відповідності або позитивного експертного висновку, за результатами державної експертизи у сфері криптографічного захисту інформації;

· повідомлення контролюючим органом щодо порушення порядку проведення акредитації.

Повторна акредитація здійснюється згідно з пунктами 5 - 10 цього Порядку.

14. Рішення про скасування акредитації центральний засвідчувальний орган приймає у разі:

· повідомлення контролюючим органом про порушення акредитованим центром законодавства;

· неукладення протягом року жодного договору про надання послуг цифрового підпису;

· непоповнення спеціального рахунка для забезпечення відшкодування збитків;

· невиконання акредитованим центром встановлених вимог;

· прийняття акредитованим центром рішення про припинення діяльності.

15. У разі прийняття рішення про скасування акредитації свідоцтво анулюється.

16. Відомості про скасування акредитації та анулювання свідоцтва центральний засвідчувальний орган вносить до Реєстру і повідомляє про це акредитований центр та контролюючий орган із зазначенням підстав скасування акредитації.

17. Центр, якому було відмовлено в акредитації у зв'язку з поданням недостовірної інформації або акредитацію якого було скасовано, не може бути акредитований протягом року від дати прийняття рішення про відмову в акредитації або про скасування акредитації.

18. Рішення про відмову в акредитації або скасування акредитації може бути оскаржено в судовому порядку.

19. За проведення акредитації справляється плата у розмірі, встановленому центральним засвідчувальним органом за погодженням з Мінекономіки.

20. Акредитований центр:

· забезпечує виконання вимог щодо надання послуг електронного цифрового підпису згідно із законом;

· інформує підписувача про обмеження використання електронного цифрового підпису та порядок відшкодування збитків;

· виконує приписи контролюючого органу;

· надає допомогу підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживає заходів щодо забезпечення безпеки інформації під час генерації;

· забезпечує розташування засобів програмно-технічного комплексу, за допомогою яких здійснюється надання послуг сертифікації та відкликання, в спеціальних приміщеннях та їх охорону;

· забезпечує збереження програмно-технічного комплексу, іншого майна та запобігання безконтрольному проникненню в приміщення акредитованого центру сторонніх осіб;

· використовує програмно-технічний комплекс, засоби криптографічного захисту інформації, в тому числі засоби електронного цифрового підпису, та формати даних, які ними використовуються, відповідно до вимог спеціально уповноваженого органу у сфері криптографічного та технічного захисту інформації.

21. Надання послуг електронного цифрового підпису здійснюється акредитованим центром згідно з правилами посиленої сертифікації та регламентом роботи цього центру.

22. Акредитований центр під час надання послуг електронного цифрового підпису фізичним та юридичним особам, фізичним особам - підприємцям зобов'язаний дотримуватися таких вимог:

· встановлювати відповідно до законодавства фізичну особу, фізичну особу - підприємця, юридичну особу та уповноваженого представника юридичної особи, які звернулися до акредитованого центру з метою формування сертифіката;

· перевіряти дані, обов'язкові для формування сертифіката, і дані, які вносяться до нього на вимогу підписувача;

· реєструвати та вести облік звернень фізичних та юридичних осіб, на підставі яких були сформовані сертифікати;

· встановлювати належність підписувачу особистого ключа та його відповідність відкритому ключу, якщо їх генерація здійснювалася не в акредитованому центрі.

23. У разі використання коштів із спеціального рахунка для відшкодування завданих збитків акредитований центр зобов'язаний протягом 30 днів від дати здійснення такого відшкодування поповнити спеціальний рахунок до встановленого розміру.

24. Керівник та інші посадові особи акредитованого центру, які безпосередньо беруть участь в обслуговуванні посилених сертифікатів ключів (далі - посадові особи), повинні мати відповідний досвід роботи не менше ніж три роки.

25. Обов'язковими в акредитованому центрі є посади адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та системного адміністратора.

Адміністратор реєстрації відповідає за встановлення фізичних та юридичних осіб, фізичних осіб - підприємців під час формування, блокування, поновлення та скасування сертифіката.

Адміністратор сертифікації відповідає за формування сертифікатів, списків відкликаних сертифікатів, збереження та використання особистого ключа акредитованого центру.

Адміністратор безпеки відповідає за належне функціонування комплексної системи захисту інформації та входить до складу служби захисту інформації акредитованого центру. Забороняється суміщення посади адміністратора безпеки з іншими посадами.

Системний адміністратор відповідає за функціонування програмно-технічного комплексу.

26. Керівник та посадові особи акредитованого центру несуть відповідальність за розголошення конфіденційної інформації, зокрема відомостей про персональні дані, згідно із законом.

27. Акредитований центр під час надання послуги сертифікації фізичним та юридичним особам зобов'язаний:

· генерувати відкритий та особистий ключі підписувача;

· формувати сертифікат згідно із законом.

Під час формування сертифіката акредитований центр:

· присвоює унікальний реєстраційний номер сертифікату;

· перевіряє унікальність відкритого ключа підписувача в реєстрі чинних, блокованих та скасованих сертифікатів;

· включає дані про обмеження використання електронного цифрового підпису;

· включає електронну адресу електронного інформаційного ресурсу, де публікується список відкликаних сертифікатів акредитованого центру;

· на вимогу підписувача включає додаткові дані.

Сертифікат підписувача, сформований акредитованим центром, чинний не більше ніж два роки.

Сертифікат акредитованого центру чинний не більше ніж п'ять років.

28. Особистий ключ акредитованого центру використовується виключно для формування сертифікатів підписувачів, даних про статус сертифіката та надання послуги фіксування часу.

Після закінчення терміну чинності особистий ключ та всі його резервні копії знищуються методом, що не допускає можливості їх відновлення.

29. Резервні копії сертифікатів та списку відкликаних сертифікатів, сформованих в акредитованому центрі, зберігаються в приміщенні, територіально відокремленому від приміщення акредитованого центру, із забезпеченням захисту від несанкціонованого доступу.

30. Акредитований центр зобов'язаний забезпечити можливість цілодобового вільного доступу користувачів з використанням телекомунікаційних мереж загального користування до:

· сертифікатів підписувачів за їх згодою;

· даних про статус сертифікатів ключів;

· сертифіката акредитованого центру;

· нормативних документів з питань надання послуг електронного цифрового підпису, зокрема до правил посиленої сертифікації та регламенту роботи акредитованого центру, а також порядку здійснення перевірки чинності сертифіката.

Надання користувачам достовірних даних про статус сертифікатів здійснюється за їх запитом у реальному часі та/або з використанням списку відкликаних сертифікатів відповідно до регламенту роботи акредитованого центру.

31. Акредитований центр зобов'язаний забезпечити:

· цілодобовий прийом звернень про скасування та блокування сертифікатів;

· прийом звернень про поновлення сертифікатів;

· перевірку законності звернень про блокування, поновлення та скасування сертифікатів.

Час між отриманням звернення підписувача або його уповноваженого представника про скасування, блокування сертифіката та внесенням змін до списку відкликаних сертифікатів, доступних користувачам, не повинен перевищувати двох годин.

Час формування, скасування, блокування та поновлення сертифікатів встановлюється за київським часом і синхронізується з Всесвітнім координованим часом (UTC) з точністю до однієї секунди.

Формування, скасування, блокування та поновлення сертифікатів здійснюється за участю або під контролем не менше ніж двох посадових осіб акредитованого центру відповідно до їх посадових обов'язків.

32. У договорі між акредитованим центром та підписувачем щодо надання послуг електронного цифрового підпису додатково зазначається про згоду або незгоду підписувача надавати вільний доступ до його сертифіката користувачам та порядок взаємодії між підписувачем і акредитованим центром.

33. Акредитований центр може надавати інші послуги, які не суперечать вимогам законодавства та цього Порядку.

34. Захист інформації, яка обробляється в акредитованому центрі, забезпечується в результаті здійснення комплексу технічних, криптографічних, організаційних та інших заходів і впровадження комплексної системи захисту інформації.

35. Комплексна система захисту інформаціїповинна матиатестат відповідності вимогам захисту інформації.

36. В акредитованому центрі створюється служба захисту інформації, яка забезпечує вирішення питань, пов'язаних із проектуванням, розробленням і модернізацією, введенням в експлуатацію, обслуговуванням і підтримкою працездатності комплексної системи захисту інформації, а також контролем за станом захищеності інформації

 

Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України № 3 від 13.01.2005 р. про введення в дію нормативного документу "Про затвердження Правил посиленої сертифікації"(у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10 травня 2006 р. № 50)


Читайте також:

  1. The peace – порядок
  2. А.1. Порядок Magnoliales - магнолієцвіті
  3. Антидоти і порядок їхнього використання. Само і взаємодопомога при ураженні ОР.
  4. Атестація аудиторів та порядок скасування атестата
  5. База оподаткування, ставки податку та порядок обчислення.
  6. Верховна Рада України: структура, функції, порядок формування та взаємодії з іншими органами влади.
  7. Види банківських рахунків та порядок їх відкриття в установах банку
  8. Види банківських розрахунків і порядок їх відкриття.
  9. Види і порядок укладання угод на валютній біржі
  10. Види інструктажів працюючих з ОП і порядок їх проведення
  11. Види цін та порядок їх встановлення.
  12. Вимоги до органів з сертифікації систем якості та порядок їх акредитації




Переглядів: 665

<== попередня сторінка | наступна сторінка ==>
Стаття 12. Контролюючий орган | ПРАВИЛА

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.014 сек.