Про затвердження Примірного регламенту роботи центрів сертифікації ключів банків України
Національний банк; Постанова, Регламент від 17.06.2010 № 285
Про затвердження Примірного регламенту роботи центрів сертифікації ключів банків України
Стан: Не визначено
Ідентифікатор: v0285500-10
Текст документа від 18.03.2011:
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
17.06.2010 N 285
Про затвердження Примірного регламенту роботи центрів сертифікації ключів банків України
(назва із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
Відповідно до пункту 7 статті 7 Закону України "Про Національний банк України" ( 679-14 ), частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис" ( 852-15 ), з метою формування інфраструктури відкритих ключів банківської системи України і забезпечення умов для функціонування електронного цифрового підпису в банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Примірний регламент роботи центрів сертифікації ключів банків України, що додається.
(пункт 1 із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
2. Департаменту інформатизації (А.С.Савченко) довести до відома центрів сертифікації ключів банків України зміст Примірного регламенту роботи центрів сертифікації ключів банків України.
(пункт 2 із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України П.М.Сенища.
4. Ця постанова набирає чинності з моменту набрання чинності постановою Правління Національного банку України від 17.06.2010 N 284 ( z1034-10 ) "Про затвердження нормативно-правових актів з питань функціонування електронного цифрового підпису в банківській системі України".
Голова В.С.Стельмах
ЗАТВЕРДЖЕНО Постанова Правління Національного банку України 17.06.2010 N 285
Примірний регламент роботи центрів сертифікації ключів банків України
(назва із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
1. Загальні положення
1.1. Цей Примірний регламент (далі - Регламент) розроблено відповідно до нормативно-правових актів Національного банку України щодо центрів сертифікації ключів банків України, правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України ( z1035-10 ), правил розроблення Регламенту роботи центрів сертифікації ключів банків України ( z1036-10 ).
(пункт 1.1 із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
1.2. У Регламенті скорочення вживаються в такому значенні:
БД - база даних;
заявник - заявник підписувача, який є клієнтом банку;
ЕЦП - електронний цифровий підпис;
НКІ - носій ключової інформації;
ЗЦ НБУ - Засвідчувальний центр Національного банку України;
ПЗ - програмне забезпечення;
ПТК - програмно-технічний комплекс;
СВС - список відкликаних сертифікатів ключів;
СЗІ - система захисту інформації;
ЦСК - центр сертифікації ключів;
DNS - доменна система іменування;
HTTP - протокол прикладного рівня, що використовується для передавання гіпертексту;
IMAP4 - протокол інтерактивного доступу до електронної пошти;
LDAP - полегшений (спрощений) протокол доступу до каталогів;
NTP - протокол мережного часу;
OCSP - протокол визначення статусу сертифіката ключа;
POP3 - поштовий протокол версії 3;
SMTP - простий протокол передавання електронної пошти;
TCP - протокол керування передаванням;
TSP - протокол фіксування часу.
Інші скорочення в цьому Регламенті застосовуються в значеннях, наведених у документах, зазначених у пункті 1.1 цього Регламенту.
1.3. У цьому Регламенті терміни вживаються в такому значенні:
БД - база даних ЦСК, у якій зберігаються реєстр ЦСК, інформаційно-довідкова, технологічна та інша службова інформація, потрібна для функціонування ПТК ЦСК;
договір, відповідно до якого підписувачу надаються послуги ЕЦП, - окремий договір про надання послуг ЕЦП або договір про обслуговування клієнта банку, що має містити договір про надання послуг ЕЦП підписувачу. Підписувачі, які є працівниками банку, не укладають з ЦСК договір про надання послуг ЕЦП;
заявник - уповноважений представник підписувача, який є клієнтом банку, у ЦСК, який на законних підставах звертається до ЦСК з метою організації та проведення реєстрації підписувача - клієнта банку формування та зміни статусу його сертифіката ключа, а також зміни його даних (реквізитів) у встановленому порядку. Якщо в основних даних (реквізитах) сертифіката ключа підписувача, який є клієнтом банку, сформованого за зверненням заявника, зазначаються реквізити заявника, то заявник і підписувач, який є клієнтом банку, є одним суб'єктом;
зміна ідентифікаційних даних підписувача - зміна даних підписувача, що внесені до сертифіката ключа підписувача, які попередньо надавалися заявником до ЦСК;
зміна статусу сертифіката ключа - виконання однієї з процедур блокування/скасування/поновлення сертифіката ключа;
інформаційний ресурс ЦСК - загальнодоступна частина БД. Доступ до інформаційного ресурсу ЦСК є вільним і забезпечується через телекомунікаційні мережі загального користування;
СЗІ ПТК ЦСК - сукупність інженерно-технічних, організаційних заходів і програмно-апаратних засобів, що забезпечують технічний та криптографічний захист інформації в ПТК ЦСК;
підписувач, який є клієнтом банку, - клієнт банку, якому ЦСК надає послуги ЕЦП. Банк укладає з підписувачем - клієнтом банку договір, відповідно до якого підписувачу надаються послуги ЕЦП;
підписувач, який є працівником банку, - працівник банку, який для виконання своїх службових обов'язків користується послугами ЕЦП власного ЦСК. Банк призначає підписувача - працівника банку наказом;
поновлення сертифіката ключа - процедура управління статусом сертифіката ключа, що поновлює чинність сертифіката ключа (якій передувала відповідна процедура блокування сертифіката ключа);
ПТК ЦСК - сукупність технічного обладнання, ПЗ та організаційних заходів, що використовується банком, у якому функціонує ЦСК, для забезпечення виконання функцій ЦСК;
процедура реєстрації підписувача, який є клієнтом банку, - установлена процедура подання заявником до ЦСК необхідного пакета документів, опрацювання цих документів і формування сертифіката ключа підписувача - клієнта банку;
процедура реєстрації підписувача, який є працівником банку, - установлена процедура подання ним до ЦСК необхідного пакета документів, опрацювання цих документів і формування сертифіката ключа підписувача - працівника банку;
сертифікат ключа відповідальної особи ЦСК - сертифікат ключа відповідальної особи ЦСК, чинність якого засвідчується особистими ключами ЦСК;
скасування сертифіката ключа - процедура управління статусом сертифіката ключа, яка зупиняє чинність сертифіката ключа;
строк чинності сертифіката ключа - проміжок часу між датою і часом початку та датою і часом закінчення чинності сертифіката ключа, що встановлюються під час формування сертифіката ключа;
строк чинності особистого ключа - строк, протягом якого використання особистого ключа є чинним.
Інші терміни в цьому Регламенті застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис" ( 852-15 ) і документах, зазначених у пункті 1.1 цього Регламенту.
1.4. Цей Регламент є внутрішнім документом банку, що визначає організаційно-методологічні та технологічні умови діяльності ЦСК під час реєстрації, зміни ідентифікаційних даних підписувачів і надання підписувачам послуг ЕЦП.
1.5. Положення цього Регламенту поширюються в електронній формі:
шляхом розміщення на інформаційному ресурсі ЦСК;
засобами електронної пошти (e-mail), що надсилаються відповідальною особою ЦСК.
1.6. Суб'єктами правових відносин у сфері ЕЦП, що обумовлюються цим Регламентом, є ЗЦ НБУ, ЦСК і підписувачі.
1.7. Вимоги цього Регламенту поширюються на всі причетні сторони, а також є засобом офіційного повідомлення та інформування всіх сторін у взаєминах, що виникають у процесі надання і використання послуг ЕЦП від ЦСК.
1.8. Ідентифікаційні дані ЦСК(1):
_______________ (1) ЦСК зазначає свої ідентифікаційні дані.
повне найменування банку;
повне найменування ЦСК;
ідентифікаційний код юридичної особи (банку);
ідентифікатор СЕП банку;
юридична адреса ЦСК;
адреса розташування ЦСК;
телефон ЦСК;
факс ЦСК;
електронна адреса інформаційного ресурсу ЦСК (веб-сайта);
електронна поштова скринька ЦСК.
2. Організаційна структура ЦСК
2.1. Організаційна структура ЦСК містить дві основні складові частини, що виконують адміністративні функції, технічні і технологічні функції.
2.2. До адміністративних функцій ЦСК належать:
реєстрація підписувачів;
надання підписувачам консультацій з питань, пов'язаних з використанням ЕЦП;
розгляд заяв і скарг підписувачів;
передавання сертифікатів ключів, їх реєстрів і документованої інформації, яка підлягає обов'язковому передаванню в разі припинення їх діяльності, до ЗЦ НБУ.
2.3. До технічних і технологічних функцій ЦСК належать:
створення і забезпечення функціонування ПТК ЦСК;
забезпечення захисту інформації впродовж експлуатації ПТК ЦСК;
генерування і зберігання ключів ЦСК та відповідальних осіб ЦСК;
надання допомоги під час генерування ключів підписувачів у разі потреби та вживання заходів щодо забезпечення безпеки інформації під час генерування;
установлення належності підписувачу особистого ключа та його відповідність відкритому ключу;
засвідчення чинності власних відкритих ключів ЦСК у ЗЦ НБУ;
формування сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
ведення реєстру ЦСК;
поширення сертифікатів ключів ЦСК і підписувачів у встановленому цим Регламентом порядку;
блокування, скасування та поновлення сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів у випадках, передбачених цим Регламентом і законодавством України у сфері ЕЦП;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифіката ключа;
публікація на інформаційному ресурсі ЦСК відкритої інформації;
інші дії, пов'язані з технічною та технологічною підтримкою діяльності ЦСК.
2.4. У ЦСК для виконання адміністративних, технічних і технологічних функцій створено такі служби(2):
_______________ (2) ЦСК наводить перелік створених служб і для кожної служби зазначає один або кілька структурних підрозділів банку чи відповідальних осіб, які виконують функції цієї служби.
служба захисту інформації;
служба сертифікації;
служба реєстрації;
служба системного адміністратора.
2.5. Основними функціями служби захисту інформації є:
проектування, розроблення, експлуатація, обслуговування та модернізація СЗІ ПТК ЦСК;
адміністрування відповідальних осіб ЦСК.
2.6. Основними функціями служби сертифікації є:
генерування ключів ЦСК;
вивантаження з ПТК ЦСК власних відкритих ключів ЦСК для засвідчення їх чинності в ЗЦ НБУ;
завантаження сертифікатів власних ключів ЦСК в ПТК ЦСК;
перехід на використання нових ключів ЦСК;
знищення особистих ключів ЦСК, строк чинності яких закінчився;
засвідчення чинності відкритих ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
звернення до ЗЦ НБУ щодо зміни статусу власних сертифікатів ключів ЦСК у випадках, передбачених цим Регламентом і законодавством України у сфері ЕЦП;
управління статусом сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифікатів ключів ЦСК і підписувачів користувачам послуг ЕЦП;
надання відповідальним особам ЦСК послуг визначення статусу сертифікатів ключів відповідальних осіб ЦСК;
вивантаження/завантаження резервної інформації із/в ПТК ЦСК.
2.7. Основними функціями служби реєстрації є:
опрацювання документів, які подаються заявником до ЦСК під час проведення процедур реєстрації, формування сертифікатів ключів, зміни статусу сертифікатів ключів, зміни ідентифікаційних даних підписувача, який є клієнтом банку, чи припинення дії/зміни договору, відповідно до якого цьому підписувачу - клієнту банку надаються послуги ЕЦП;
опрацювання документів, які подаються підписувачем - працівником банку під час проведення процедур реєстрації, формування сертифікатів ключів, зміни статусу сертифікатів ключів, зміни його ідентифікаційних даних;
надання допомоги під час генерування ключів підписувачів у разі потреби та вживання заходів щодо забезпечення безпеки інформації під час генерування;
уведення чи генерування в ПТК ЦСК запитів на формування сертифікатів ключів підписувачів для виконання засвідчення їх чинності;
генерування в ПТК ЦСК запитів на блокування, скасування чи поновлення сертифікатів ключів під час подання відповідних заяв;
розгляд скарг підписувачів;
унесення змін до реєстру ЦСК щодо статусу підписувачів(3).
_______________ (3) ЦСК самостійно вирішує доцільність уведення і використання статусу підписувача. У цьому Регламенті передбачено, що підписувачі можуть мати один із статусів: збережений, зареєстрований, анульований.
2.8. Основними функціями служби адміністрування є:
установлення та налаштування серверних і клієнтських застосувань на робочих місцях відповідальних осіб ЦСК;
виконання оновлень ПЗ ПТК ЦСК;
підтримка належного функціонування ПТК ЦСК.
2.9. У ЦСК для виконання завдань, покладених на зазначені в пункті 2.4 цього Регламенту служби, створено такі автоматизовані робочі місця(4):
_______________ (4) Список автоматизованих робочих місць повинен відповідати службам, створеним у ЦСК.
автоматизовані робочі місця адміністраторів безпеки ЦСК;
автоматизовані робочі місця адміністраторів сертифікації ЦСК;
автоматизовані робочі місця адміністраторів реєстрації ЦСК;
автоматизовані робочі місця системних адміністраторів ЦСК;
неспеціалізовані автоматизовані робочі місця.
2.10. Відповідальні особи ЦСК виконують функції зазначених у пункті 2.4 цього Регламенту служб на відповідних автоматизованих робочих місцях.
2.11. Відповідальні особи ЦСК виконують роботу з нормативно-довідковою інформацією ЦСК на своїх спеціалізованих автоматизованих робочих місцях або на неспеціалізованому автоматизованому робочому місці згідно з політикою безпеки ПТК ЦСК і наданих їм адміністратором безпеки ЦСК повноважень.
2.12. Служба реєстрації ЦСК надає доступ до неспеціалізованого автоматизованого робочого місця для генерування ключів підписувачу, який є працівником банку, чи забезпечує їх генерування на робочому місці підписувача - працівника банку згідно з політикою безпеки ПТК ЦСК.
2.13. Служба реєстрації ЦСК надає доступ до неспеціалізованого автоматизованого робочого місця заявнику для генерування ключів підписувача, який є клієнтом банку, у разі потреби згідно з політикою безпеки ПТК ЦСК.
2.14. Відповідальна особа ЦСК не може суміщати функції адміністратора безпеки ЦСК з функціями інших автоматизованих робочих місць.
2.15. Усі відповідальні особи ЦСК перед початком виконання своїх функціональних обов'язків повинні ознайомитися зі змістом цього Регламенту, інструкцій щодо автоматизованих робочих місць, інструкцій щодо забезпечення безпеки експлуатації НКІ та порядку генерування ключових даних і поводження з ключами. Відповідальні особи ЦСК підтверджують факт ознайомлення з цими документами під підпис.
2.16. ЦСК створює відокремлені пункти реєстрації у філіях банку для ефективного надання послуг ЕЦП. Відокремлені пункти реєстрації виконують функції служби реєстрації ЦСК.
3. Архітектура ПТК ЦСК(5)
_______________ (5) Має бути наведено графічне представлення архітектури та загальна технологічна схема оброблення інформації в ПТК ЦСК.
3.1. Технічні засоби комплексу об'єднані в локальну/розподілену обчислювальну мережу з використанням телекомунікаційної мережі(6), частина засобів підключена до загальнодоступних телекомунікаційних мереж.
_______________ (6) За потреби слід уточнити мережу, наприклад, мережа банку.
3.2. Апаратне комп'ютерне забезпечення ПТК ЦСК складається з двох типів комп'ютерної техніки, а саме:
серверної комп'ютерної техніки;
клієнтської комп'ютерної техніки.
3.3. ПЗ ПТК ЦСК є централізованим трирівневим(7) комплексом, що складається з таких компонентів:
_______________ (7) У цьому документі зазначена трирівнева архітектура ПЗ ПТК ЦСК.
БД;
серверних застосувань;
клієнтських застосувань.
3.4. БД, клієнтське застосування системи керування БД та серверні застосування розташовані на серверній комп'ютерній техніці.
3.5. Усі інші клієнтські застосування, що використовуються в ПТК ЦСК, розташовані на клієнтській комп'ютерній техніці (на автоматизованих робочих місцях відповідальних осіб ЦСК).
3.6. У ПТК ЦСК організовано основні та резервні автоматизовані робочі місця адміністратора безпеки ЦСК, адміністратора сертифікації ЦСК та адміністратора реєстрації ЦСК.
3.7. Серверні застосування виконують такі технічні і технологічні функції ПТК ЦСК:
завантаження/вивантаження інформації в/із БД;
формування сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
поширення сертифікатів ключів ЦСК і підписувачів;
створення запитів на блокування, скасування та поновлення сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
блокування, скасування та поновлення сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
формування СВС;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифіката ключа;
зберігання та поширення нормативно-довідкової інформації ЦСК;
ідентифікація, автентифікація та авторизація відповідальних осіб ЦСК;
забезпечення синхронізації часу ПТК ЦСК із всесвітнім координованим часом (UTC).
3.8. Клієнтські застосування ініціюють виконання:
технічних і технологічних функцій серверними застосуваннями;
генерування ключів ЦСК, відповідальних осіб ЦСК і підписувачів за допомогою засобів ЕЦП(8);
вивантаження із ПТК ЦСК власних відкритих ключів ЦСК для засвідчення їх чинності в ЗЦ НБУ.
_______________ (8) Акредитований ЦСК повинен використовувати надійні засоби ЕЦП.
3.9. Лише серверні застосування можуть виконувати завантаження/вивантаження інформації в/із БД шляхом використання клієнтського застосування системи керування БД. Клієнтські застосування, розташовані на автоматизованих робочих місцях, отримують доступ до інформації в БД за допомогою серверних застосувань.
3.10. Відповідальні особи ЦСК здійснюють генерування і використання ключів відповідно до своїх функціональних обов'язків виключно на своїх спеціалізованих автоматизованих робочих місцях.
3.11. Серверна комп'ютерна техніка ПТК ЦСК складається з трьох серверів і має кластерну архітектуру. Інформація циркулює між серверами за допомогою мережі збереження даних.
3.12. Кластерне рішення в штатному режимі роботи забезпечує функціонування БД, клієнтського застосування системи керування БД та серверних застосувань на одному із серверів. Кластерне рішення автоматично переводить роботу зазначеного ПЗ на інший сервер кластеру без виникнення простоїв у роботі та втрати інформації під час виникнення проблем у роботі.
4. Режими доступу до інформації в ЦСК
4.1. У ЦСК циркулює інформація, яка за режимом доступу поділяється на відкриту інформацію та інформацію з обмеженим доступом.
4.2. До відкритої інформації ЦСК належать:
зміст цього Регламенту;
нормативні документи та нормативно-довідкові матеріали;
зразок договору про надання послуг ЕЦП підписувачам, які є клієнтами банку;
сертифікати ключів ЦСК, відповідальних осіб ЦСК і підписувачів;
інформація про статус сертифікатів ключів ЦСК, відповідальних осіб ЦСК і підписувачів.
4.3. До інформації з обмеженим доступом ЦСК в електронній формі належать:
особисті ключі ЦСК і відповідальних осіб ЦСК;
інформація про підписувачів, що міститься в ЦСК і не підлягає безпосередньому поширенню як частина сертифіката ключа;
налаштування технічних і програмних засобів ПТК ЦСК;
зміст протоколів роботи ПТК ЦСК.
4.4. До інформації з обмеженим доступом ЦСК на паперових носіях належать документи, що подаються до ЦСК під час проведення процедур реєстрації, формування сертифікатів ключів, зміни статусу сертифікатів ключів, зміни ідентифікаційних даних підписувачів і не підлягають безпосередньому оприлюдненню.
4.5. Відкрита інформація може опубліковуватися на інформаційному ресурсі ЦСК і розсилатися засобами електронної пошти (e-mail).
4.6. Доступ до інформації з обмеженим доступом, що циркулює в ЦСК, мають відповідальні особи ЦСК згідно з політикою безпеки ПТК ЦСК.
4.7. ЦСК має право надавати доступ до інформації з обмеженим доступом іншим особам лише у випадках, передбачених законодавством України.
5. Захист інформації в ПТК ЦСК
5.1. Захист інформації в ПТК ЦСК забезпечується в результаті впровадження СЗІ.
5.2. СЗІ ПТК ЦСК відповідає вимогам нормативно-правових актів Національного банку України з питань захисту інформації.
5.3. Усі засоби криптографічного захисту інформації ПТК ЦСК мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації(9).
_______________ (9) Цей пункт стосується акредитованих ЦСК.
5.4. У ПТК ЦСК використовуються такі НКІ(10):
_______________ (10) Навести перелік видів НКІ, що використовуються в ЦСК.
смарт-карти;
дискети;
компакт-диски тощо.
5.5. Захищені НКІ, що використовуються в ПТК ЦСК, відповідають таким вимогам(11):
_______________ (11) У цьому Регламенті під захищеним НКІ мається на увазі смарт-карта. ЦСК необхідно описати властивості всіх типів НКІ, що використовуються в ЦСК.
робота з НКІ можлива лише після введення правильного пароля доступу;
неможливість дублювання кожного з екземплярів НКІ;
генерування криптографічних ключів відбувається безпосередньо в НКІ;
під час виконання криптографічних операцій ключова інформація та результати проміжних розрахунків захищені від стороннього доступу;
захист особистих ключів передбачено шляхом забезпечення неможливості доступу до них навіть у разі знання пароля доступу. Знання пароля доступу забезпечує лише дозвіл на виконання криптографічних операцій (усередині НКІ) з особистим ключем;
має засоби захисту критичної інформації, яка міститься в НКІ, від сучасних типів атак, побудованих на аналізі параметрів НКІ, які доступні для вимірювання ззовні під час роботи цієї апаратури.
5.6. На захищених НКІ з власними ключами ЦСК містяться такі дані:
поточний та майбутній (у разі наявності) власні особисті ключі ЦСК;
поточний сертифікат власного відкритого ключа ЦСК і майбутній відкритий ключ (у разі наявності);
поточний сертифікат ключа ЗЦ НБУ.
5.7. На захищених НКІ допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів містяться такі дані:
поточний та майбутній (у разі наявності) особисті ключі допоміжних послуг ЦСК чи відповідальних осіб ЦСК;
поточний сертифікат ключа та майбутній відкритий ключ (у разі наявності);
поточний сертифікат власного відкритого ключа ЦСК.
5.8. Серверна комп'ютерна техніка ПТК ЦСК розміщується в серверних приміщеннях. Усі автоматизовані робочі місця ЦСК розміщуються в приміщеннях з обмеженим доступом.
5.9. Серверні приміщення та приміщення з обмеженим доступом відповідають вимогам Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04.07.2007 N 243 ( z0955-07 ).
5.10. Лише адміністратор сертифікації ЦСК має доступ до приміщення, у якому розташоване його автоматизоване робоче місце. Адміністратор безпеки ЦСК отримує доступ у це приміщення тільки на час проведення процедури генерування ключів ЦСК.
5.11. Відповідальні особи ЦСК повинні зберігати НКІ зі своїми криптографічними ключами в сейфах і несуть особисту відповідальність за надійне зберігання НКІ та нерозголошення значення паролів доступу і розблокування. Відповідальні особи ЦСК повинні зберігати основний пристрій НКІ на своєму основному робочому місці, а резервний пристрій НКІ (у разі наявності) - на резервному робочому місці.
5.12. Адміністратор сертифікації ЦСК повинен зберігати основні та частину резервних НКІ з ключами ЦСК у сейфі на своєму основному робочому місці, а іншу частину резервних НКІ - у сейфі на резервному робочому місці. Він несе особисту відповідальність за надійне зберігання цих НКІ та нерозголошення значень паролів доступу і розблокування.
5.13. Адміністратор сертифікації ЦСК повинен забезпечити зберігання резервних копій реєстру ЦСК у сейфах на своїх основному та резервному робочих місцях.
5.14. Серверні застосування та всі автоматизовані робочі місця забезпечують можливість:
криптографічного захисту інформації, що передається каналами зв'язку (автентифікація та шифрування);
захищеного від модифікації протоколювання подій, визначених цим Регламентом;
використання засобів антивірусного захисту на комп'ютерах ПТК ЦСК.
5.15. Захист персональних даних підписувачів забезпечується шляхом ужиття:
організаційних заходів щодо обліку та зберігання справ підписувачів, зокрема, формування справ підписувачів та їх облік, призначення осіб, відповідальних за зберігання справ підписувачів, обмежений доступ до приміщень (шаф), де зберігаються справи підписувачів;
організаційно-технічних і технічних заходів, реалізованих у результаті впровадження СЗІ, у тому числі: використання надійних засобів ЕЦП, ведення журналів роботи системи в захищеному вигляді, розмежування та здійснення контролю за інформаційними потоками між внутрішньою локальною мережею ЦСК і підсистемою відкритого доступу, використання антивірусних засобів, міжмережевих екранів тощо.
6. Журнали аудиту в ПТК ЦСК
6.1. У ПТК ЦСК ведуться такі журнали аудиту:
журнали функціонування ПЗ та НКІ в ПТК ЦСК;
журнали обліку НКІ;
журнал реєстрації та надання послуг ЕЦП підписувачам;
журнал технічного обслуговування ПТК ЦСК.
6.2. Журнали функціонування ПЗ та НКІ(12) в ПТК ЦСК ведуться в електронній формі на всіх серверних і клієнтських застосуваннях. Інші журнали ведуться на паперових носіях.
_______________ (12) Журнали функціонування НКІ ведуться в електронній формі для тих типів НКІ, для яких є технічна можливість це реалізувати.
6.3. ПЗ ПТК ЦСК забезпечує захищене від модифікації протоколювання подій, пов'язаних з функціонуванням ПЗ та НКІ. Захист від модифікації забезпечується встановленням правил розмежування доступу засобами операційної системи та накладанням ЕЦП чи обчисленням контрольних сум для записів у журналі. Цей журнал подій містить дату та час події, опис події. У журналі реєструються події, пов'язані з:
генеруванням, резервуванням, використанням і знищенням особистих ключів ЦСК, відповідальних осіб ЦСК та підписувачів;
формуванням, переформуванням, зміною статусу сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
унесенням, модифікацією та видаленням даних про допоміжні послуги ЦСК, відповідальних осіб ЦСК і підписувачів.
6.4. Служба захисту інформації ЦСК веде журнал подій, пов'язаних з обліком НКІ, які використовуються відповідальними особами ЦСК. Цей журнал подій містить дату та час події, опис події, серійний номер НКІ, підпис відповідальної особи ЦСК, яка отримує НКІ від адміністратора безпеки ЦСК чи передає йому свій НКІ, підпис адміністратора безпеки ЦСК. У журналі реєструються події, пов'язані з видачею/поверненням НКІ відповідальними особами ЦСК.
6.5. Служба реєстрації ЦСК веде журнал подій, пов'язаних з видачею НКІ підписувачам. Цей журнал подій містить дату та час події, опис події, серійний номер НКІ, підпис заявника (підписувача - працівника банку), який отримує НКІ від адміністратора реєстрації ЦСК, підпис адміністратора реєстрації ЦСК. У журналі реєструються події, пов'язані з видачею НКІ підписувачам.
6.6. Служба реєстрації ЦСК веде журнал подій, пов'язаних з реєстрацією, наданням послуг ЕЦП, зміною ідентифікаційних даних підписувачів. Цей журнал подій містить дату події, опис події, реєстраційний номер поданої заяви, реєстраційний номер рішення про виконання чи відмову здійснення відповідної регламентної процедури, підпис адміністратора реєстрації ЦСК. У журналі реєструються події, пов'язані з:
прийманням заяв про формування, зміну статусу сертифіката ключа підписувача, про внесення змін до ідентифікаційних даних підписувача;
унесенням підписувачів до реєстру ЦСК.
6.7. Системний адміністратор веде журнал регламентних робіт з технічного обслуговування ПТК ЦСК. Цей журнал містить дату та час події, її опис. У журналі реєструються події, пов'язані з:
плановою заміною комп'ютерної техніки ПТК ЦСК;
виходом з ладу складових комп'ютерної техніки ПТК ЦСК та їх ремонтом/заміною;
оновленням ПЗ ЦСК.
6.8. Відповідальні особи ЦСК, які ведуть журнали аудиту, зберігають їх у сейфах.
6.9. Відповідальні особи ЦСК здійснюють на своїх автоматизованих робочих місцях резервне копіювання журналів функціонування ПЗ та НКІ в ПТК ЦСК шляхом їх запису на знімні носії. Відповідальні особи ЦСК зберігають ці копії журналів у сейфах.
6.10. Відповідальні особи ЦСК, які ведуть журнали аудиту, здійснюють резервне копіювання цих журналів переведенням їх в електронну форму шляхом сканування. Відповідальні особи ЦСК зберігають свої відскановані копії журналів аудиту на знімних носіях у сейфах.
6.11. Відповідальні особи ЦСК переглядають журнали аудиту в ПТК ЦСК у разі потреби.
6.12. Адміністратор захисту ЦСК забезпечує за зверненням відповідальних осіб ЦСК перегляд журналів аудиту, що ведуться:
серверними застосуваннями;
клієнтськими застосуваннями на інших автоматизованих робочих місцях;
іншими відповідальними особами ЦСК.
6.13. Строк зберігання журналів аудиту в ПТК ЦСК становить п'ять років.
7. Особисті ключі в ЦСК
7.1. Відповідальні особи ЦСК, які здійснюють генерування ключів, що використовуються в ЦСК, застосовують виключно захищені пристрої НКІ.
7.2. Особисті ключі, що використовуються в ЦСК, зберігаються виключно всередині захищених пристроїв НКІ.
7.3. Строк чинності особистого ключа дорівнює строку чинності відповідного сертифіката ключа. Особистий ключ тимчасово не є чинним у разі блокування відповідного сертифіката ключа.
7.4. У ЦСК генеруються та використовуються такі криптографічні ключі:
власні (особистий та відкритий) ключі ЦСК для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт);
власні (особистий та відкритий) ключі ЦСК для криптографічного алгоритму RSA (довжина 2048 біт);
особистий та відкритий ключі послуги фіксування часу ЦСК для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт);
особистий та відкритий ключі послуги фіксування часу ЦСК для криптографічного алгоритму RSA (довжина 2048 біт);
особистий та відкритий ключі ЦСК послуги визначення статусу сертифіката для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт);
особистий та відкритий ключі ЦСК послуги визначення статусу сертифіката для криптографічного алгоритму RSA (довжина 2048 біт);
особистий та відкритий ключі відповідальних осіб ЦСК для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт).
7.5. Служба реєстрації ЦСК забезпечує підписувача засобами ЕЦП та надає йому допомогу під час генерування ключів у разі потреби.
7.6. Власні особисті ключі ЦСК використовуються виключно для формування СВС, сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК та підписувачів.
7.7. Особисті ключі ЦСК послуги фіксування часу використовуються виключно під час формування відповіді на запит на позначку часу.
7.8. Особисті ключі ЦСК послуги визначення статусу сертифіката використовуються виключно під час формування відповіді на запит про статус сертифіката.
7.9. Особисті ключі відповідальних осіб ЦСК використовуються виключно для їх автентифікації в ПТК ЦСК та забезпечення цілісності і конфіденційності даних, які обробляються відповідальними особами ЦСК.
7.10. Особистий ключ підписувача, що відповідає відкритому ключу, сертифікат якого сформовано в ЦСК, використовується відповідно до переліку сфер використання сертифіката, основних обмежень та інших даних, включених до сертифіката ключа підписувача на його вимогу.
7.11. Адміністратор сертифікації ЦСК відповідає за виконання процедур генерування та резервування ключів ЦСК. Адміністратор сертифікації ЦСК здійснює ці процедури на своєму автоматизованому робочому місці під контролем адміністратора безпеки ЦСК. Резервування виконується тільки під час генерування ключів ЦСК на кількох носіях засобами захищених НКІ.
7.12. Відповідальні особи ЦСК самостійно виконують генерування ключів, які використовуються для виконання їх функціональних обов'язків, на своїх спеціалізованих автоматизованих робочих місцях.
7.13. Служба сертифікації ЦСК самостійно приймає рішення про факт або загрозу компрометації особистих ключів ЦСК чи пароля доступу до пристроїв НКІ, на яких вони записані.
7.14. Служба сертифікації ЦСК у разі компрометації або загрози компрометації власних особистих ключів ЦСК:
подає заяву про скасування (або блокування та подальше скасування) сертифікатів власних ключів ЦСК у ЗЦ НБУ;
знищує поточні основні та всі резервні копії власних особистих ключів ЦСК методом, що не допускає можливості їх відновлення (після скасування в ЗЦ НБУ поточних сертифікатів ключів ЦСК);
виконує генерування нових власних ключів ЦСК;
засвідчує власні відкриті ключі ЦСК у ЗЦ НБУ;
переходить на використання нових власних ключів ЦСК.
7.15. Служба сертифікації ЦСК у разі компрометації або загрози компрометації особистих ключів будь-якої з допоміжних послуг ЦСК:
скасовує (або блокує з подальшим скасуванням) сертифікати цієї допоміжної послуги ЦСК;
знищує поточні основні та всі резервні копії особистих ключів цієї допоміжної послуги ЦСК методом, що не допускає можливості їх відновлення;
виконує генерування нових ключів для цієї допоміжної послуги ЦСК;
формує сертифікати ключів цієї допоміжної послуги ЦСК;
переходить на використання нових ключів цієї допоміжної послуги ЦСК.
7.16. Відповідальна особа ЦСК самостійно приймає рішення про факт або загрозу компрометації свого особистого ключа чи пароля доступу до НКІ.
7.17. Відповідальна особа ЦСК формує новий сертифікат ключа у визначеному цим Регламентом порядку в разі компрометації чи загрози компрометації особистого ключа.
7.18. Відповідальна особа ЦСК негайно змінює пароль доступу до НКІ в разі компрометації чи загрози компрометації пароля доступу.
7.19. Служба сертифікації ЦСК знищує основні та всі резервні копії особистих ключів ЦСК після закінчення їх строку чинності методом, що не допускає можливості їх відновлення.
7.20. Відповідальні особи ЦСК знищують свої особисті ключі після закінчення їх строку чинності методом, що не допускає можливості їх відновлення.
8. Сертифікати ключів у ЦСК
8.1. Сертифікати ключів ЦСК, відповідальних осіб ЦСК та підписувачів зберігаються в реєстрі ЦСК.
8.2. СВС та сертифікати ключів ЦСК, відповідальних осіб ЦСК і підписувачів формуються ЦСК відповідно до формату X.509v3 (ISO/IEC9594-8:2002) з урахуванням установлених вимог до форматів представлення базових об'єктів національної системи ЕЦП. Для алгоритму ДСТУ 4145-2002 - технічними специфікаціями форматів представлення базових об'єктів національної системи ЕЦП (наказ ДСТСЗІ СБУ N 99/166 від 11.09.2006 "Про затвердження Технічних специфікацій форматів представлення базових об'єктів національної системи електронного цифрового підпису"); для алгоритму RSA - міжнародним стандартом ISO/IEC 9594-8: "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks".
8.3. ЗЦ НБУ формує сертифікати власних ключів ЦСК.
8.4. Служба сертифікації ЦСК формує сертифікати ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК та підписувачів.
8.5. Сертифікати власних ключів ЦСК використовуються виключно для перевірки СВС, сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК та підписувачів.
8.6. Сертифікати ключів допоміжних послуг ЦСК використовуються виключно для перевірки ЕЦП під час надання послуг фіксування часу та визначення статусу сертифікатів ключів.
8.7. Сертифікати ключів відповідальних осіб ЦСК використовуються виключно для ідентифікації та автентифікації відповідальних осіб ЦСК під час завантаження їх автоматизованих робочих місць та перевірки ЕЦП, що накладаються ними на документи під час виконання своїх функціональних обов'язків.
8.8. Сертифікати ключів, сформовані в ЦСК для підписувачів, використовуються для підтвердження ЕЦП, який відповідає вимогам щодо підпису, застосованого до даних в електронній формі, у такий саме спосіб як власноручні підписи (печатки) відповідають вимогам стосовно документа на папері. ЦСК під час формування сертифікатів ключів підписувачів зазначає сфери використання цих сертифікатів та обмеження щодо їх використання.
8.9. Строк чинності сертифікатів ключів ЦСК становить п'ять років(13) після чого проводиться їх планова заміна згідно з вимогами цього Регламенту.
_______________ (13) Для зареєстрованих ЦСК - два роки, для акредитованих ЦСК - п'ять років.
8.10. Строк чинності сертифікатів ключів відповідальних осіб ЦСК становить два роки після чого проводиться їх планова заміна згідно з вимогами цього Регламенту.
8.11. Строк чинності сертифікатів ключів підписувачів становить один рік після чого проводиться їх планова заміна згідно з вимогами цього Регламенту.
8.12. Строк чинності сертифіката ключа закінчується в разі його скасування. Сертифікат ключа тимчасово не є чинним протягом строку його блокування.
8.13. Сертифікати відповідальних осіб ЦСК зберігаються виключно на НКІ та в БД ПТК ЦСК.
9. Порядок подання документів під час проведення регламентних процедур
9.1. Заявник особисто подає до ЦСК заяви(14) про реєстрацію, формування сертифіката ключа, зміну статусу сертифіката ключа підписувача, унесення змін до ідентифікаційних даних підписувача, договір на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП, у паперовій та/чи електронній формі.
_______________ (14) ЦСК самостійно розробляє форми заяв, скарг, довіреностей.
9.2. Підписувач, який є працівником банку, особисто подає до ЦСК заяви про реєстрацію, формування сертифіката ключа, зміну статусу сертифіката ключа, унесення змін до своїх ідентифікаційних даних у паперовій та/чи електронній формі.
9.3. Адміністратор реєстрації ЦСК засвідчує подані в електронному вигляді заяви шляхом накладання на них ЕЦП.
9.4. У заяві про формування сертифіката ключа повинні зазначатися:
ідентифікаційні дані підписувача;
ідентифікаційні дані заявника (для підписувача, який є клієнтом банку);
дані, що включаються до сертифіката ключа підписувача.
До заяви про формування сертифіката ключа додається запечатаний конверт, на якому надрукована адреса заявника (місце роботи підписувача, який є працівником банку) та телефони для зв'язку. Усередині конверта міститься фраза-пароль для блокування сертифіката ключа телефоном.
9.5. У заяві про зміну статусу сертифіката ключа повинні зазначатися:
ідентифікаційні дані підписувача;
ідентифікаційні дані заявника (для підписувача, який є клієнтом банку);
реєстраційний номер сертифіката ключа;
підстави зміни статусу сертифіката ключа;
строк блокування сертифіката ключа в разі його блокування.
9.6. У заяві про внесення змін до ідентифікаційних даних підписувача повинні зазначатися:
ідентифікаційні дані підписувача;
ідентифікаційні дані заявника (для підписувача, який є клієнтом банку).
9.7. Заява про формування сертифіката ключа підписувача приймається тільки за наявності всіх інших документів, визначених цим Регламентом для проведення процедури реєстрації.
9.8. ЦСК не приймає на розгляд документи, які мають виправлення, дописки, закреслені слова, написи олівцем, а також пошкодження, унаслідок чого їх текст не можна прочитати.
9.9. Адміністратор реєстрації ЦСК під час подання заяв про формування сертифіката ключа, зміну статусу сертифіката ключа підписувача та внесення змін до ідентифікаційних даних підписувача виконує процедуру ідентифікації (установлення особи) заявника (підписувача, який є працівником банку). Установлення особи заявника здійснюється за паспортом або іншими документами відповідно до законодавства України. Установлення особи підписувача, який є працівником банку, здійснюється за його службовими документами (перепустка тощо).
9.10. Заявник під час подання заяв, якщо заявник та підписувач, який є клієнтом банку, є різними суб'єктами, повинен подати до служби реєстрації ЦСК довіреність, яка засвідчується:
для юридичних осіб - підписом керівника та відбитком печатки юридичної особи;
для фізичних осіб-підприємців - підписом підприємця та відбитком його печатки або в разі відсутності печатки - нотаріально;
для фізичних осіб - нотаріально.
9.11. У довіреності повинні зазначатися:
ідентифікаційні дані підписувача, який є клієнтом банку;
ідентифікаційні дані заявника;
перелік регламентних процедур, які заявник може здійснювати від імені підписувача;
дата початку та закінчення чинності довіреності.
9.12. Заявник повинен додатково подати до ЦСК відомості щодо належності підписувача до юридичної особи, якщо підписувач є фізичною особою - представником юридичної особи.
10. Порядок опрацювання документів, що подаються до ЦСК під час проведення регламентних процедур
10.1. Служба реєстрації ЦСК бере на облік усі документи, що були подані заявником (підписувачем, який є працівником банку) під час проведення всіх регламентних процедур, шляхом формування справи підписувача та введення необхідних даних підписувачів у реєстр ЦСК. Справа підписувача реєструється в журналі, який ведеться в паперовому (або електронному) вигляді.
10.2. Служба реєстрації ЦСК перевіряє повноту комплекту поданих для проведення відповідної регламентної процедури документів, правильність їх оформлення і відповідність вимогам нормативних документів у сфері ЕЦП.
10.3. Служба реєстрації ЦСК за результатом розгляду поданих документів приймає рішення про відмову в проведенні відповідної регламентної процедури, якщо:
немає всіх необхідних для проведення цієї регламентної процедури документів;
подано хоча б одну неналежно засвідчену копію документа;
установлено невідповідність даних, що визначені поданими документами, фактичним;
виявлено інші невідповідності законодавству України у сфері ЕЦП.
10.4. Служба реєстрації ЦСК повертає документи в разі відмови в проведенні відповідної регламентної процедури із зазначенням підстав відмови на цій заяві.
10.5. Заявник (підписувач, який є працівником банку) подає до ЦСК такі документи:
засвідчені копії документів на паперовому носії;
оригінали документів на паперовому носії (з необхідними підписами та відбитками печаток) і електронні варіанти цих документів.
10.6. Служба реєстрації ЦСК під час подання засвідченої копії документа на паперовому носії здійснює:
переведення засвідченої копії документа на паперовому носії в електронний вигляд шляхом сканування;
підшивання копії документа на паперовому носії до справи;
накладення на електронний варіант відсканованої копії документа ЕЦП адміністратора реєстрації ЦСК засобами ПТК ЦСК;
унесення до БД електронного варіанта відсканованої копії документа, ЕЦП адміністратора реєстрації ЦСК, сертифікат ключа адміністратора реєстрації ЦСК, що є дійсним на момент накладення ЕЦП.
10.7. Служба реєстрації ЦСК під час подання оригіналу документа на паперовому (з необхідними підписами та печатками) та електронному носіях здійснює:
перевірку чи електронний варіант документа підписано поточним та майбутнім (у разі наявності) особистими ключами підписувача. Разом з документом повинні подаватися сертифікати ключів підписувача (у разі наявності) чи відкриті ключі, за допомогою яких можна перевірити ЕЦП підписувача;
накладення ЕЦП адміністратора реєстрації ЦСК на електронний варіант документа засобами ПТК ЦСК;
переведення оригіналу документа на паперовому носії в електронний вигляд шляхом сканування;
підшивання оригіналу документа на паперовому носії до справи;
накладення ЕЦП адміністратора реєстрації ЦСК на електронний варіант відсканованого оригіналу документа засобами ПТК ЦСК;
унесення до БД електронного документа, ЕЦП ЦСК на електронний документ, ЕЦП адміністратора реєстрації ЦСК на електронний документ, електронного варіанта відсканованого оригіналу, ЕЦП адміністратора реєстрації ЦСК на електронний варіант відсканованого оригіналу, сертифікат ключа адміністратора реєстрації ЦСК, сертифікат(и) ключа(ів) підписувача. Якщо на момент подання документа сертифікат ключа підписувача ще не сформовано, то він додається пізніше (відразу після формування).
10.8. Служба реєстрації ЦСК проводить порівняння ідентифікаційних даних підписувача у заяві про формування чи зміну статусу сертифіката ключа підписувача з даними, одержаними під час реєстрації підписувача.
10.9. Служба реєстрації ЦСК проводить порівняння ідентифікаційних даних підписувача, наведених у заявах про формування сертифіката ключа підписувача і про внесення змін до ідентифікаційних даних підписувача, з даними, що містяться в копіях документів, які підтверджують ці зміни, якщо формування нового сертифіката ключа відбувається у зв'язку зі зміною ідентифікаційних даних підписувача, які внесені до реєстру ЦСК.
11. Реєстрація підписувачів
11.1. Підписувач перед початком процедури реєстрації повинен ознайомитися з умовами обслуговування сертифікатів ключів, передбачених політикою сертифікації ЦСК, зокрема з питаннями щодо:
зобов'язань та підстав відповідальності ЦСК стосовно обслуговування сертифікатів ключів;
зобов'язань та підстав відповідальності підписувача стосовно використання сертифіката ключа і зберігання особистого ключа;
сфери використання підписувачем сертифіката ключа;
строків зберігання в ЦСК даних про підписувачів та заявників, що були отримані ЦСК під час реєстрації;
відомостей про засоби ЕЦП, що можуть використовуватися для формування та перевірки ЕЦП.
11.2. Заявник для проведення реєстрації підписувача в ЦСК (крім підписувача, який є працівником банку) надає адміністратору реєстрації ЦСК договір, на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП.
11.3. Підписувач, який є працівником банку, для проведення реєстрації підписує зобов'язання про дотримання умов використання ЕЦП.
11.4. Заявник юридичної особи для проведення реєстрації в ЦСК подає такі документи:
заповнену заяву про формування сертифіката ключа, підписану керівником юридичної особи, заявником та засвідчену відбитком печатки юридичної особи;
копії паспортів та довідок про присвоєння ідентифікаційного коду керівника та головного бухгалтера, засвідчені власноручними підписами власників паспортів (якщо сертифікати ключів формуються для керівника та бухгалтера).
11.5. Заявник відокремленого підрозділу (філії, представництва) юридичної особи подає для реєстрації в ЦСК такі документи:
заповнену заяву про формування сертифіката ключа підписувача, підписану керівником відокремленого підрозділу, заявником та засвідчену відбитком печатки відокремленого підрозділу;
копії паспортів та довідок про присвоєння ідентифікаційного коду керівника та головного бухгалтера відокремленого підрозділу, засвідчені власноручними підписами власників паспортів (якщо сертифікати ключів формуються для керівника та бухгалтера).
11.6. Заявник фізичної особи - суб'єкта підприємницької діяльності подає для реєстрації в ЦСК заповнену заяву про формування сертифіката ключа підписувача, підписану фізичною особою - суб'єктом підприємницької діяльності, заявником та засвідчену відбитком печатки фізичної особи - суб'єкта підприємницької діяльності (у разі наявності печатки).
11.7. Заявник фізичної особи подає для реєстрації в ЦСК заповнену заяву про формування сертифіката ключа підписувача, підписану фізичною особою та заявником.
11.8. Якщо заявником подано оригінал документа, то копія такого документа може бути засвідчена підписом та відбитком печатки адміністратора реєстрації ЦСК.
11.9. Підписувач, який є працівником банку, для реєстрації подає заповнену заяву про формування сертифіката ключа, підписану ним особисто. Відділ кадрів подає до ЦСК ідентифікаційні дані для реєстрації підписувача, який є працівником банку.
11.10. ЦСК під час подання зазначених вище документів проводить їх реєстрацію в такому порядку.
11.11. Служба реєстрації ЦСК опрацьовує подані документи протягом трьох годин з моменту їх надходження згідно з вимогами цього Регламенту.
11.12. Служба реєстрації ЦСК у разі наявності всіх необхідних правильно оформлених документів формує унікальне розпізнавальне ім'я підписувача (у разі потреби), а також уносить до реєстру ЦСК необхідні дані підписувача згідно з вимогами цього Регламенту і надає йому статус "збережений".
11.13. Заявник під час проведення реєстрації в ЦСК подає запит про формування сертифіката підписувача або генерує запит про формування сертифіката підписувача в ЦСК на робочій станції генерування ключів підписувачів. Підписувач, який є працівником банку, генерує запит про формування сертифіката підписувача в ЦСК на робочій станції генерування ключів підписувачів.
11.14. Служба реєстрації ЦСК уносить запит про формування сертифіката ключа підписувача до реєстру ЦСК.
11.15. Служба сертифікації ЦСК формує сертифікат ключа підписувача згідно з вимогами цього Регламенту та поширює його в порядку, визначеному цим Регламентом. Служба реєстрації ЦСК змінює статус підписувача на "зареєстрований" із зазначенням дати прийняття і номера відповідного рішення про реєстрацію.
11.16. Служба реєстрації ЦСК після завершення процедури реєстрації подає заявнику (підписувачу, який є працівником банку):
носій, що містить чинні сертифікати ключів(15) центрального засвідчувального органу, ЗЦ НБУ, ЦСК та підписувача (якщо сертифікат ключа підписувача вже сформовано);
запечатаний конверт з НКІ та паролем доступу до НКІ (особистого ключа), що містить особистий ключ підписувача (у разі генерування ключів у ЦСК).
_______________ (15) ЦСК самостійно визначає перелік сертифікатів на цьому носії залежно від специфіки діяльності.
11.17. ЦСК скасовує реєстрацію підписувача в разі:
подання заявником заяви про скасування реєстрації підписувача;
невиконання підписувачем, який є клієнтом банку, умов договору, на підставі якого йому надаються послуги ЕЦП;
звільнення з роботи підписувача, який є працівником юридичної особи;
звільнення з роботи підписувача, який є працівником банку;
отримання наказу про скасування реєстрації підписувача, який є працівником банку (або подання цим підписувачем заяви про скасування реєстрації);
наявності рішення суду про скасування реєстрації підписувача, що набрало законної сили.
11.18. ЦСК здійснює скасування реєстрації підписувача в такому порядку:
служба реєстрації ЦСК змінює статус зареєстрованого підписувача на "анульований";
служба сертифікації ЦСК скасовує сертифікат підписувача, формує СВС та поширює його в порядку, визначеному цим Регламентом;
ЦСК повідомляє підписувача про рішення щодо скасування його реєстрації із зазначенням підстав;
ЦСК поширює інформацію про скасування реєстрації цього підписувача шляхом унесення відповідних змін до інформації на інформаційному ресурсі ЦСК.
12. Формування унікального розпізнавального імені підписувача
12.1. Служба реєстрації ЦСК формує унікальне розпізнавальне ім'я підписувача під час унесення даних про нього до реєстру ЦСК. Забезпечення його унікальності відбувається шляхом додавання до розпізнавального імені підписувача реквізиту "серійний номер" (поле "SERIALNUMBER").
12.2. Значення реквізиту "серійний номер" для підписувача формується таким чином:
UA-[код установи/особи]{-[додаток]},
де код установи/особи - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації юридичної особи, код ДРФО фізичної особи - підприємця, яка є суб'єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію або ідентифікаційний код фізичної особи;
додаток - необов'язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання додатка він відокремлюється від коду установи/особи символом "-".
13. Генерування криптографічних ключів підписувача та запиту про формування сертифіката ключа
13.1. Відкритий та особистий ключі підписувача можуть бути згенеровані:
на робочому місці підписувача;
у ЦСК на робочій станції генерування ключів підписувачів.
13.2. ЦСК у разі необхідності надає заявнику засоби ЕЦП для генерування криптографічних ключів та запитів про формування сертифіката ключа підписувача на його робочому місці. Ці засоби ЕЦП створюють запит у форматі, визначеному цим Регламентом.
13.3. Запит про формування сертифіката ключа підписувача може бути двох видів:
у форматі PKCS#10 з накладеним ЕЦП з використанням особистого ключа підписувача;
самопідписаний сертифікат ключа підписувача.
13.4. Заявник генерує ключі підписувача на робочій станції генерування ключів, яка входить до складу ПТК ЦСК, якщо підписувач надав йому відповідні повноваження.
13.5. Підписувач, який є працівником банку, генерує свої криптографічні ключі на робочій станції генерування ключів, що входить до складу ПТК ЦСК.
13.6. Згенерований особистий ключ підписувача захищається паролем та записується на НКІ. Підписувач несе відповідальність за забезпечення конфіденційності та цілісності особистого ключа. Заявник, якщо він виконував генерацію ключів, несе відповідальність за забезпечення конфіденційності та цілісності особистого ключа до моменту його передавання підписувачу.
13.7. ПТК ЦСК забезпечує автоматичне знищення особистого ключа підписувача на робочій станції, на якій генерувалися ключі, методом, що не допускає можливості його відновлення, після генерування та запису ключів на НКІ.
13.8. Заявник, якщо генерування ключів здійснювалося в ЦСК, вкладає НКІ та фразу-пароль у непрозорий конверт, який запечатується, засвідчується відбитком печатки ЦСК, підписами заявника та адміністратора реєстрації ЦСК.
13.9. Підписувач під час отримання конверта з НКІ та фразою-паролем зобов'язаний перевірити цілісність цього конверта. Якщо цілісність не порушена, то терміново до першого використання особистого ключа підписувач зобов'язаний змінити пароль доступу до нього. Підписувач зобов'язаний терміново звернутися до ЦСК із заявою про скасування сертифіката відповідного ключа, якщо цілісність конверта порушена.
14. Формування сертифіката ключа підписувача
14.1. ЦСК формує сертифікати ключів підписувачів тільки під час проведення процедури реєстрації підписувача або для зареєстрованих підписувачів у разі подання підписувачем/заявником заяви про формування сертифіката ключа підписувача.
14.2. ЦСК формує сертифікати ключів підписувачів для відкритих ключів, що згенеровані відповідно до криптографічних алгоритмів ДСТУ 4145-2002 та RSA.
14.3. ЦСК здійснює формування сертифіката ключа підписувача на підставі даних, що містяться в запиті про формування сертифіката ключа.
14.4. Час розгляду заяви про формування сертифіката ключа підписувача, зареєстрованого в ЦСК, становить не більше двох годин після її прийняття.
14.5. ЦСК здійснює формування сертифікатів ключів підписувачів у такому порядку.
14.6. Служба реєстрації ЦСК опрацьовує поданий заявником (підписувачем, який є працівником банку) запит про формування сертифіката ключа підписувача та документи згідно з вимогами цього Регламенту і встановлює належність підписувачу особистого ключа та його відповідність відкритому ключу.
14.7. Служба реєстрації ЦСК вносить поданий заявником запит про формування сертифіката ключа підписувача до БД.
14.8. ЦСК приймає рішення про формування/відмову в формуванні сертифіката ключа підписувача.
14.9. Процедура встановлення належності підписувачу особистого ключа та його відповідність відкритому ключу здійснюється шляхом перевірки ЕЦП у запиті про формування сертифіката ключа підписувача. Сертифікат ключа підписувача формується лише в разі підтвердження ЕЦП.
14.10. Служба сертифікації ЦСК формує сертифікати ключа підписувача в разі позитивного рішення ЦСК.
14.11. Служба сертифікації ЦСК під час формування сертифіката ключа підписувача:
визначає дату і час початку та закінчення строку чинності сертифіката ключа підписувача;
уносить до сертифіката ключа підписувача обов'язкові дані, визначені Законом України "Про електронний цифровий підпис" ( 852-15 );
уносить до сертифіката ключа підписувача додаткові дані за зверненням заявника;
уносить до сертифіката ключа підписувача інформацію щодо місця розміщення СВС на інформаційному ресурсі ЦСК;
забезпечує унікальність реєстраційного номера сертифіката ключа в межах ЦСК, а також унікальність відкритих ключів у реєстрі чинних, блокованих та скасованих сертифікатів ключів.
14.12. Служба сертифікації ЦСК під час формування нового сертифіката ключа підписувача створює запит про скасування поточного сертифіката ключа підписувача, засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа підписувача.
14.13. Служба реєстрації ЦСК після формування сертифіката ключа підписувача надає його заявнику (підписувачу, який є працівником банку). Заявник (підписувач, який є працівником банку) повинен перевірити правильність відомостей, що містяться в сертифікаті ключа підписувача. У разі виявлення некоректних даних (помилки в реквізитах) він повинен повідомити про зазначене службу реєстрації ЦСК. У цьому разі сертифікат ключа скасовується та формується новий сертифікат ключа підписувача.
14.14. Служба сертифікації ЦСК здійснює поширення сертифіката ключа підписувача в установленому цим Регламентом порядку.
14.15. Заявник (підписувач, який є працівником банку) може подавати до ЦСК на сертифікацію попередньо засвідчений відкритий ключ підписувача, якщо відповідний йому особистий ключ не був скомпрометований. У цьому разі дата і час закінчення строку чинності нового сертифіката ключа підписувача, сформованого на основі попередньо засвідченого відкритого ключа підписувача, не може перевищувати дати і часу закінчення строку чинності попереднього сертифіката ключа підписувача. Строк чинності особистого ключа підписувача не може перевищувати один рік.
14.16. Заявник (підписувач, який є працівником банку) подає до ЦСК заяву про формування нового сертифіката ключа підписувача не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа підписувача. У разі неотримання заяви про формування нового сертифіката ключа підписувача у визначений термін ЦСК після закінчення строку чинності цього сертифіката скасовує його і накладає штрафні санкції на підписувача.
15. Формування сертифікатів ключів відповідальних осіб ЦСК
15.1. Відкритий та особистий ключі відповідальної особи ЦСК можуть бути згенеровані на:
її автоматизованому робочому місці;
окремо виділеній робочій станції генерування ключів.
Під час генерування ключів автоматично створюється запит про формування сертифіката ключа.
15.2. Відповідальна особа ЦСК самостійно вносить запит про формування сертифіката свого ключа до БД ПТК ЦСК.
15.3. Служба сертифікації ЦСК засвідчує запит про формування сертифіката ключа відповідальної особи ЦСК.
15.4. Служба сертифікації ЦСК (чи відповідальна особа ЦСК, якщо вона має відповідні повноваження) під час формування нового сертифіката ключа створює запит про скасування поточного сертифіката ключа, засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа відповідальної особи ЦСК.
15.5. Відповідальна особа ЦСК не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа генерує нові криптографічні ключі та ініціює процедуру формування нового сертифіката ключа.
16. Формування сертифікатів ключів допоміжних послуг ЦСК
16.1. Служба сертифікації ЦСК здійснює генерування відкритих та особистих ключів допоміжних послуг ЦСК.
16.2. Служба сертифікації ЦСК вносить запити про формування сертифікатів ключів допоміжних послуг ЦСК до БД ПТК ЦСК.
16.3. Служба сертифікації ЦСК засвідчує запити про формування сертифікатів ключів допоміжних послуг ЦСК.
16.4. Служба сертифікації ЦСК під час формування нового сертифіката ключа допоміжної послуги ЦСК створює запит про скасування поточного сертифіката ключа відповідної допоміжної послуги, потім засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа допоміжної послуги ЦСК.
16.5. Служба сертифікації ЦСК не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа генерує нові криптографічні ключі та здійснює процедуру формування нового сертифіката ключа допоміжної послуги ЦСК.
17. Зміна статусу сертифікатів ключів підписувачів
17.1. Зміна статусу сертифіката ключа підписувача набирає чинності з часу внесення відповідних змін до СВС та до реєстру чинних сертифікатів ключів підписувачів.
17.2. Підписувач зобов'язаний протягом не більше 30 календарних днів після блокування сертифіката ключа скасувати або поновити його. Поновлення сертифіката ключа підписувача можливе лише для сертифікатів, що заблоковані й термін блокування яких не закінчився. Якщо до закінчення терміну блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа підписувача.
17.3. Дозволяється на розсуд підписувача скасувати сертифікат ключа без його блокування.
17.4. ЦСК негайно блокує/поновлює сертифікат ключа підписувача в разі:
подання заявником (підписувачем, який є працівником банку) звернення щодо блокування/поновлення сертифіката ключа підписувача до служби реєстрації ЦСК;
наявності рішення суду про блокування/поновлення сертифіката ключа підписувача, що набрало законної сили.
17.5. ЦСК негайно скасовує сертифікат ключа підписувача в разі:
подання заявником (підписувачем, який є працівником банку) письмової заяви про скасування сертифіката ключа підписувача до служби реєстрації ЦСК;
наявності рішення суду про скасування сертифіката ключа підписувача, що набрало законної сили;
смерті підписувача або оголошення його померлим за рішенням суду;
визнання підписувача недієздатним за рішенням суду;
припинення діяльності суб'єкта господарювання (якщо підписувач - клієнт банку, юридична особа чи фізична особа-підприємець);
розірвання підписувачем трудового договору з юридичною особою, що є клієнтом банку (якщо сертифікат ключа виданий фізичній особі як представнику юридичної особи);
надання заявником (підписувачем, який є працівником банку) недостовірних даних;
не поновлення підписувачем заблокованого сертифіката протягом 30 календарних днів;
припинення (розірвання) договору, на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП.
17.6. Причинами, унаслідок яких заявник (підписувач, який є працівником банку) звертається до служби реєстрації ЦСК щодо блокування/скасування сертифіката ключа підписувача, є:
втрата або компрометація особистого ключа підписувача;
втрата контролю за особистим ключем підписувача через компрометацію пароля доступу;
зміна відомостей, зазначених у сертифікаті ключа;
інші причини, визначені цим Регламентом та законодавством України у сфері ЕЦП.
17.7. Причинами, унаслідок яких заявник (підписувач, який є працівником банку) звертається до служби реєстрації ЦСК щодо поновлення сертифіката ключа підписувача, є виявлення недостовірності даних про:
втрату або компрометацію особистого ключа підписувача;
втрату контролю за особистим ключем підписувача через компрометацію пароля доступу;
зміну відомостей, зазначених у сертифікаті ключа.
17.8. Заявник (підписувач, який є працівником банку) може подати до служби реєстрації ЦСК звернення щодо блокування/поновлення сертифіката ключа підписувача у вигляді:
письмової заяви;
заяви в усній формі телефоном;
електронного запиту.
17.9. Заявник (підписувач, який є працівником банку) подає до служби реєстрації ЦСК звернення щодо скасування сертифіката ключа підписувача у вигляді письмової заяви.
17.10. Заявник (підписувач, який є працівником банку) подає заяву в усній формі засобами телефонного зв'язку за номерами ЦСК. У заяві в усній формі повідомляються:
ідентифікаційні дані підписувача - власника сертифіката ключа підписувача;
ідентифікаційні дані заявника (якщо підписувач та заявник є різними суб'єктами);
серійний номер сертифіката ключа підписувача, що блокується;
причина блокування;
термін, на який блокується сертифікат ключа підписувача;
фраза-пароль (обумовлена в процесі реєстрації підписувача).
Блокування сертифіката ключа підписувача за заявою в усній формі здійснюється тільки в разі позитивної автентифікації заявника (збіг ідентифікаційних даних підписувача, заявника, серійного номера сертифіката ключа підписувача та фрази-пароля, переданої в усній заяві, з інформацією з реєстру ЦСК).
17.11. ЦСК надає підписувачу програмні засоби, що здійснюють формування електронного запиту про блокування сертифіката підписувача. Запит може передаватися у вигляді HTTP-запиту чи засобами електронної пошти. Законність звернення встановлюється шляхом перевірки ЕЦП на запиті за допомогою чинного сертифіката підписувача.
17.12. Заява про блокування сертифіката ключа підписувача в усній формі чи у вигляді електронного запиту має бути підтверджена письмовою заявою протягом двох робочих днів з часу прийняття службою реєстрації ЦСК відповідного звернення. У разі ненадходження відповідної письмової заяви, що підтверджує блокування сертифіката ключа підписувача, протягом зазначеного терміну ЦСК блокує сертифікат ключа цього підписувача строком на один календарний місяць і накладає штрафні санкції.
17.13. Документи, що були підставою для зміни статусу сертифіката ключа підписувача, фіксуються та зберігаються в ЦСК.
17.14. Служба реєстрації ЦСК приймає письмові заяви про зміну статусу сертифіката ключа підписувача тільки протягом робочого дня ЦСК. Заяви про блокування сертифіката підписувача в усній формі та звернення у вигляді електронного запиту приймаються цілодобово.
17.15. ЦСК здійснює зміну статусу сертифіката ключа підписувача в такому порядку.
17.16. Служба реєстрації ЦСК під час подання заявником заяви про зміну статусу сертифіката ключа підписувача:
опрацьовує її згідно з вимогами цього Регламенту;
створює запит про зміну статусу поточного сертифіката ключа підписувача в разі виконання заявником (підписувачем, який є працівником банку) усіх умов, визначених цим Регламентом.
17.17. Служба сертифікації ЦСК:
засвідчує запит про зміну статусу поточного сертифіката ключа підписувача;
уносить відповідні зміни до реєстру чинних сертифікатів ключів підписувачів із зазначенням дати, часу та причин зміни статусу сертифіката ключа підписувача;
формує СВС;
поширює інформацію про зміну статусу сертифіката ключа підписувача згідно з вимогами цього Регламенту.
17.18. ЦСК здійснює зміну статусу сертифіката підписувача протягом не більше двох годин з часу подання заяви.
17.19. Заявник протягом трьох робочих днів (підписувач, який є працівником банку - протягом одного робочого дня) повідомляє ЦСК про зміну ідентифікаційних даних підписувача, які внесені до реєстру, шляхом подання відповідної заяви. Заявник (підписувач, який є працівником банку) разом із заявою про зміну ідентифікаційних даних підписувача подає заяву про формування нового сертифіката ключа підписувача в ЦСК, якщо дані, які змінюються, унесені до сертифіката ключа підписувача. Разом із заявою необхідно подати документи, що підтверджують ці зміни. ЦСК скасовує сертифікат ключа підписувача в разі неотримання від нього зазначеної заяви у визначений термін і накладає штрафні санкції.
18. Зміна статусу сертифікатів ключів відповідальних осіб ЦСК
18.1. Зміна статусу сертифіката ключа відповідальної особи ЦСК набирає чинності з часу внесення відповідних змін до реєстру чинних сертифікатів ключів.
18.2. Строк блокування сертифікатів ключів відповідальних осіб ЦСК встановлює служба безпеки ЦСК. Цей строк не може перевищувати 30 робочих днів. Служба безпеки ЦСК може ініціювати скасування або поновлення заблокованого сертифіката ключа самостійно або за зверненням відповідальної особи ЦСК. Поновлення сертифіката ключа відповідальної особи ЦСК можливе лише для сертифікатів, що заблоковані й строк блокування яких не закінчився. Якщо до закінчення строку блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа.
18.3. Дозволяється на розсуд служби безпеки ЦСК скасувати сертифікат ключа відповідальної особи ЦСК без його блокування.
18.4. Відповідальна особа ЦСК для зміни статусу свого сертифіката ключа подає відповідну заяву до служби безпеки ЦСК(16).
_______________ (16) ЦСК самостійно визначає форму заяви (усна, письмова, електронний запит тощо) та її зміст.
18.5. ЦСК негайно змінює статус сертифіката ключа відповідальної особи ЦСК у разі подання службою безпеки ЦСК до служби реєстрації ЦСК відповідної заяви.
18.6. Причинами, унаслідок яких відповідальна особа ЦСК звертається до служби безпеки ЦСК щодо блокування/скасування свого сертифіката ключа, є:
компрометація особистого ключа, записаного на НКІ відповідальної особи ЦСК;
вихід з ладу (фізичне пошкодження, збоїв під час роботи тощо) НКІ відповідальної особи ЦСК (якщо немає резервної копії цього НКІ);
втрати НКІ відповідальною особою ЦСК;
втрати або компрометація пароля доступу до НКІ відповідальної особи ЦСК;
зміна відомостей, зазначених у сертифікаті ключа;
інші причини, визначені цим Регламентом та законодавством України у сфері ЕЦП.
18.7. Причинами, унаслідок яких служба безпеки ЦСК звертається до служби сертифікації ЦСК щодо блокування/скасування сертифіката ключа відповідальної особи ЦСК, є:
подання відповідальною особою ЦСК до служби безпеки ЦСК відповідної заяви;
тривала відсутність відповідальної особи ЦСК на робочому місці (відпустка, хвороба тощо).
18.8. Причинами, унаслідок яких відповідальна особа ЦСК звертається до служби безпеки ЦСК щодо поновлення свого сертифіката ключа, є виявлення недостовірності даних про:
втрату або компрометацію особистого ключа відповідальної особи ЦСК;
втрату контролю за особистим ключем відповідальної особи ЦСК через компрометацію пароля доступу;
зміну відомостей, зазначених у сертифікаті ключа.
18.9. Причинами, унаслідок яких служба безпеки ЦСК звертається до служби сертифікації ЦСК щодо поновлення сертифіката ключа відповідальної особи ЦСК, є подання відповідальною особою ЦСК до служби безпеки ЦСК заяви про поновлення сертифіката ключа.
18.10. Документи, що були підставою для зміни статусу сертифіката ключа відповідальної особи ЦСК, зберігаються в ЦСК.
18.11. Служба реєстрації ЦСК під час подання службою безпеки ЦСК заяви про зміну статусу сертифіката ключа відповідальної особи ЦСК:
опрацьовує її згідно з вимогами цього Регламенту;
створює запит на зміну статусу поточного сертифіката ключа відповідальної особи ЦСК та засвідчує його;
уносить відповідні зміни до реєстру чинних сертифікатів ключів із зазначенням дати, часу та причин зміни статусу сертифіката ключа відповідальної особи ЦСК.
18.12. Служба реєстрації ЦСК здійснює зміну статусу сертифіката відповідальної особи ЦСК протягом не більше однієї години з часу подання заяви службою безпеки ЦСК.
18.13. Відповідальна особа ЦСК протягом одного робочого дня повідомляє службу безпеки ЦСК про зміну своїх ідентифікаційних даних, які внесено до реєстру, шляхом подання відповідної заяви. Відповідальна особа ЦСК разом із заявою про зміну своїх ідентифікаційних даних подає заяву про формування нового сертифіката ключа, якщо дані, які змінюються, унесено до сертифіката ключа відповідальної особи ЦСК. Разом із заявою необхідно подати документи, що підтверджують ці зміни. ЦСК скасовує сертифікат ключа відповідальної особи ЦСК у разі неотримання зазначеної заяви у визначений термін і накладає штрафні санкції.
19. Зміна статусу сертифікатів ключів допоміжних послуг ЦСК
19.1. Зміна статусу сертифіката ключа допоміжної послуги ЦСК набирає чинності з часу внесення відповідних змін у СВС та до реєстру чинних сертифікатів ключів.
19.2. Термін блокування сертифіката ключа допоміжної послуги ЦСК установлює служба сертифікації ЦСК. Цей термін не може перевищувати 30 робочих днів. Поновлення сертифіката ключа допоміжної послуги ЦСК можливе лише для сертифіката, що заблокований, і термін блокування якого не закінчився. Якщо до закінчення терміну блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа.
19.3. Дозволяється на розсуд служби сертифікації ЦСК скасувати сертифікат ключа допоміжної послуги ЦСК без його блокування.
19.4. Служба сертифікації ЦСК негайно блокує/скасовує сертифікат ключа допоміжної послуги ЦСК у разі:
втрати або компрометації особистого ключа допоміжної послуги ЦСК;
втрати контролю за особистим ключем допоміжної послуги ЦСК через компрометацію пароля доступу;
зміни відомостей, зазначених у сертифікаті ключа допоміжної послуги ЦСК (зокрема, у зв'язку зі зміною даних ЦСК чи зміною налаштувань під час надання відповідних послуг).
19.5. Служба сертифікації ЦСК негайно поновлює сертифікат ключа допоміжної послуги ЦСК у разі виявлення недостовірності даних про:
втрату або компрометацію особистого ключа допоміжної послуги ЦСК;
втрату контролю за особистим ключем допоміжної послуги ЦСК через компрометацію пароля доступу;
зміни відомостей, зазначених у сертифікаті ключа допоміжної послуги ЦСК.
19.6. Служба реєстрації ЦСК під час зміни статусу сертифіката ключа допоміжної послуги ЦСК:
створює запит на зміну статусу поточного сертифіката ключа допоміжної послуги ЦСК та засвідчує його;
уносить відповідні зміни до реєстру чинних сертифікатів ключів із зазначенням дати, часу та причин зміни статусу сертифіката ключа допоміжної послуги ЦСК;
формує СВС;
поширює інформацію про зміну статусу сертифіката ключа допоміжної послуги згідно з вимогами цього Регламенту.
19.7. Служба сертифікації ЦСК виконує зміну статусу сертифіката допоміжної послуги ЦСК протягом однієї години після прийняття цього рішення відповідно до причин, зазначених у цій главі.
19.8. Документи, що були підставою для зміни статусу сертифіката ключа допоміжної послуги ЦСК, зберігаються в ЦСК.
20. Блокування/розблокування відповідальних осіб ЦСК(17)
_______________ (17) Блокування/розблокування відповідальних осіб ЦСК може використовуватись як додатковий інструмент адміністрування відповідальних осіб ЦСК.
20.1. Адміністратор безпеки ЦСК може заблокувати обліковий запис відповідальної особи ЦСК. У разі блокування облікового запису відповідальної особи ЦСК вона не має змоги працювати в ПТК ЦСК.
20.2. Блокування відбувається у випадках:
подання заяви відповідальною особою ЦСК про блокування свого облікового запису;
закінчення строку чинності поточного сертифіката ключа відповідальної особи ЦСК у разі несформованого нового сертифіката ключа цієї відповідальної особи ЦСК.
20.3. Відповідальна особа ЦСК подає заяву про блокування свого облікового запису до служби захисту інформації ЦСК у разі:
компрометації особистого ключа, записаного на НКІ відповідальної особи ЦСК;
виходу з ладу (фізичного пошкодження, збоїв під час роботи тощо) НКІ відповідальної особи ЦСК (якщо немає резервної копії цього НКІ);
втрати НКІ відповідальною особою ЦСК;
втрати або компрометації пароля доступу до НКІ відповідальної особи ЦСК.
20.4. Відповідальна особа ЦСК подає заяву про розблокування свого облікового запису до служби захисту інформації ЦСК у разі виявлення недостовірності даних про:
компрометацію особистого ключа, записаного на НКІ відповідальної особи ЦСК;
вихід з ладу НКІ відповідальної особи ЦСК;
втрату НКІ відповідальною особою ЦСК;
втрату або компрометацію пароля доступу до НКІ відповідальної особи ЦСК.
20.5. Відповідальна особа ЦСК подає заяву про блокування/розблокування свого облікового запису до служби захисту інформації ЦСК в усній формі телефоном. У цій заяві зазначаються:
ідентифікаційні дані цієї відповідальної особи ЦСК;
серійний номер сертифіката ключа відповідальної особи ЦСК;
причина блокування облікового запису;
фраза-пароль (обумовлена в процесі створення облікового запису відповідальної особи ЦСК).
20.6. Служба захисту інформації ЦСК здійснює блокування/розблокування облікового запису відповідальної особи ЦСК за заявою в усній формі тільки в разі позитивної автентифікації відповідальної особи ЦСК (збігання наданих у заяві даних з інформацією з реєстру ЦСК).
21. Інформаційний ресурс ЦСК
21.1. Інформаційний ресурс ЦСК призначено для розміщення на ньому відкритої інформації, яка структурно поділяється на:
довідкову інформацію (режим роботи ЦСК, положення Регламенту роботи ЦСК, нормативні документи, зразок договору про надання підписувачам послуг ЕЦП, форми заяв тощо);
сертифікати ключів ЦСК та підписувачів;
СВС, що містить інформацію про статус сертифікатів ключів ЦСК та підписувачів;
клієнтське ПЗ.
21.2. Публікація СВС і сертифікатів ключів ЦСК та підписувачів на інформаційному ресурсі ЦСК здійснюється відразу після їх формування та перевірки власником сертифіката/заявником даних, що вносяться до сертифіката ключа.
21.3. Публікація сертифікатів ключів підписувачів на інформаційному ресурсі ЦСК здійснюється за згодою підписувачів. Інформація про потребу публікації сертифіката ключа підписувача вноситься до його даних під час реєстрації.
21.4. Після закінчення строку чинності сертифіката ключа він видаляється з інформаційного ресурсу ЦСК.
21.5. Довідкова інформація розміщується на інформаційному ресурсі ЦСК на HTTP-сервері у вигляді набору веб-сторінок.
21.6. Сертифікати ключів ЦСК та підписувачів, а також СВС розміщуються:
у складі веб-сторінок на HTTP-сервері інформаційного ресурсу ЦСК;
в інформаційному дереві LDAP-каталогу на LDAP-сервері.
21.7. Публікація сертифікатів ключів ЦСК та підписувачів в інформаційному дереві LDAP-каталогу здійснюється автоматично з інтервалом п'ять хвилин. Публікація СВС в інформаційному дереві LDAP-каталогу здійснюється автоматично з інтервалом синхронізації п'ять хвилин.
21.8. Доступ до HTTP-сервера здійснюється за DNS-ім'ям (зазначити) за протоколом HTTP (номер TCP-порту 80).
21.9. Доступ до LDAP-сервера здійснюється за DNS-ім'ям (зазначити) за протоколом LDAP (зазначити номер TCP-порту).
22. Зовнішні інтерфейси, протоколи і формати обміну даними
22.1. У ПТК ЦСК застосовано такі операційні протоколи обміну для підтримки експорту-імпорту даних у ЦСК:
HTTP використовують для надання доступу до інформаційного ресурсу ЦСК;
SMTP, POP3 та IMAP4 використовують для обміну електронними поштовими повідомленнями між ЦСК і підписувачами;
LDAP використовують для отримання доступу до всіх об'єктів і реєстрів загальнодоступної частини БД, коли потрібна більша ширина смуги каналу доступу, ніж у процесі отримання тих самих даних через HTTP, або до інформації з розподіленого набору даних у кількох сегментах інформаційного ресурсу ЦСК, а також для побудови мереж каталогів.
23. Поширення інформації про статус сертифікатів ключів
23.1. ЦСК поширює інформацію про статус сертифіката ключа:
за запитом підписувача у реальному часі (OCSP-запити) з використанням OCSP-сервера;
шляхом поширення СВС.
23.2. Взаємодія з OCSP-сервером для отримання послуг визначення статусу сертифікатів ключів забезпечується шляхом використання клієнтського програмного забезпечення. Таке ПЗ повинно відповідати технічним специфікаціям та форматам даних, визначеним ЦСК. Підписувач на свій розсуд може використовувати клієнтське ПЗ, яке вільно поширюється шляхом його розміщення на інформаційному ресурсі ЦСК, розроблене самостійно чи створене сторонніми розробниками.
23.3. ЦСК під час формування СВС забезпечує таке:
наявність у СВС даних щодо часу формування наступного СВС;
накладення ЕЦП на СВС за допомогою особистого ключа ЦСК.
23.4. ЦСК поширює СВС шляхом їх розміщення на інформаційному ресурсі ЦСК та розсилання засобами електронної пошти (e-mail) на адреси, що зазначаються в заяві про формування сертифіката ключа підписувача у ЦСК.
23.5. ЦСК формує та публікує СВС двох типів:
повний список;
частковий список.
23.6. Повний список виходить один раз на тиждень і містить інформацію про всі відкликані сертифікати ключів, які були сформовані в ЦСК за допомогою чинного власного особистого ключа ЦСК. Частковий список формується та поширюється кожні дві години та містить інформацію про всі відкликані сертифікати ключів, статус яких був змінений у межах часу випуску останнього повного списку та часу формування поточного часткового списку.
23.7. Періодичність формування та поширення СВС(18):
_______________ (18) Цей пункт є альтернативою до двох попередніх пунктів.
один раз на добу, навіть якщо за час від останнього формування СВС до нього не вносилися зміни, або
протягом двох годин після отримання заяви про зміну статусу сертифіката ключа підписувача, або
протягом однієї години після прийняття рішення про зміну статусу сертифіката ключа допоміжної послуги ЦСК.
Наступний СВС може бути сформований раніше визначеного часу його формування.
23.8. Перед використанням сертифіката ключа підписувача слід перевірити:
статус сертифіката ключа підписувача за поточним СВС або за допомогою OCSP-запиту;
автентичність і цілісність СВС та/чи отриманої OCSP-відповіді.
23.9. Якщо одержати інформацію про статус сертифіката ключа підписувача тимчасово неможливо, то потрібно відмовитися від його використання.
24. Послуги фіксування часу
24.1. У ЦСК послуги фіксування часу надаються з використанням TSP-сервера.
24.2. Взаємодія з TSP-сервером для отримання послуг фіксування часу забезпечується шляхом використання клієнтського ПЗ. Таке ПЗ повинно відповідати технічним специфікаціям та форматам даних, визначених ЦСК. Підписувач на свій розсуд може використовувати клієнтське програмне забезпечення, яке поширюється шляхом його розміщення на інформаційному ресурсі ЦСК, розроблене самостійно чи створене сторонніми розробниками.
25. Синхронізація часу в ПТК ЦСК
25.1. Час, який використовується в позначці часу, установлюється з точністю до однієї секунди на момент формування позначки за київським часом, який синхронізований із всесвітнім координованим часом (UTC).
25.2. ПТК ЦСК забезпечує синхронізацію із всесвітнім координованим часом (UTC) з точністю до однієї секунди за допомогою мережевого протоколу NTP. Алгоритм корекції часу в ПТК ЦСК з використанням NTP включає внесення затримок, корекцію частоти годинника і ряд механізмів, що дають змогу досягти необхідної точності під час синхронізації часу в ПТК ЦСК, навіть після тривалих періодів втрати зв'язку із сервером часу. ПТК ЦСК працює за київським часом з автоматичною поправкою на літній та зимовий періоди.
25.3. ЦСК синхронізує час із серверами часу територіального управління Національного банку України, у якому він зареєстрований/акредитований.
25.4. Системний адміністратор ЦСК налаштовує NTP з використанням засобів операційної системи.
25.5. Апаратно-програмний пристрій (зазначити назву), що підтримує протоколи NTP, використовується як зовнішнє джерело точного часу в ПТК ЦСК.
26. Порядок архівного зберігання документованої інформації
26.1. ЦСК здійснює архівне зберігання таких документів:
сертифікати ключів ЦСК, відповідальних осіб ЦСК та підписувачів (чинні, скасовані, блоковані);
реєстр відповідальних осіб ЦСК та підписувачів;
копії і оригінали документів на папері та документи в електронному вигляді, що подані заявниками (підписувачами, які є працівниками банку) під час реєстрації, формування, зміни статусу сертифіката ключа, зміни даних підписувачів;
СВС;
запити на формування позначок часу і самі позначки часу;
запити на визначення статусу сертифікатів ЦСК та підписувачів і квитанції-відповіді на ці запити;
журнали аудиту та документи ЦСК, у тому числі протоколи роботи ПТК ЦСК.
26.2. ЦСК зберігає документи на паперових носіях у порядку, установленому законодавством України про архіви й архівну справу. ЦСК зберігає електронні копії БД та журналів аудиту на окремих знімних носіях у приміщенні, захищеному від несанкціонованого доступу.
26.3. Сертифікати ключів ЦСК, відповідальних осіб ЦСК, підписувачів та СВС є документами постійного зберігання.
26.4. Інші документи, що підлягають архівному зберіганню, є документами тимчасового зберігання. Термін зберігання архівних документів становить п'ять років.
26.5. Виділення архівних документів до знищення та саме знищення виконуються комісією за безпосередньою участю керівника ЦСК та адміністратора безпеки ЦСК або уповноважених ними відповідальних осіб ЦСК. За фактом проведення процедури знищення архівних документів складається відповідний акт.
26.6. ЦСК надає доступ до необхідного сертифіката та пов'язаних з ним СВС з архівних записів ЦСК за запитом заявників у строки, установлені законодавством України для відповідей на звернення громадян.
27. Порядок унесення змін до Регламенту
27.1. Зміни до цього Регламенту вносяться відповідно до законодавства України.
27.2. У разі внесення змін до цього Регламенту відповідальні особи ЦСК та підписувачі інформуються про це шляхом:
розміщення оновленого Регламенту та об'яви про відповідні зміни на інформаційному ресурсі ЦСК;
розсилання зазначених змін електронною поштою.
27.3. Зміни до цього Регламенту можуть бути проведені внаслідок зміни законодавства України з питань ЕЦП, розвитку відповідних інформаційних технологій, появи нових міжнародних і національних стандартів України, виправлення помилок тощо.
Директор Департаменту інформатизації А.С.Савченко
