Тип: Постанова
№ 285
Дата: 17 червня 2010 р.
Статус: Не визначено
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
17.06.2010 N 285
Про затвердження Примірного регламенту роботи центрів сертифікації ключів банків України
(назва із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
Відповідно до пункту 7 статті 7 Закону України "Про Національний банк України" ( 679-14 ), частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис" ( 852-15 ), з метою формування інфраструктури відкритих ключів банківської системи України і забезпечення умов для функціонування електронного цифрового підпису в банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Примірний регламент роботи центрів сертифікації ключів банків України, що додається.
(пункт 1 із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
2. Департаменту інформатизації (А.С.Савченко) довести до відома центрів сертифікації ключів банків України зміст Примірного регламенту роботи центрів сертифікації ключів банків України.
(пункт 2 із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України П.М.Сенища.
4. Ця постанова набирає чинності з моменту набрання чинності постановою Правління Національного банку України від 17.06.2010 N 284 ( z1034-10 ) "Про затвердження нормативно-правових актів з питань функціонування електронного цифрового підпису в банківській системі України".
Голова В.С.Стельмах
ЗАТВЕРДЖЕНО Постанова Правління Національного банку України 17.06.2010 N 285
Примірний регламент роботи центрів сертифікації ключів банків України
(назва із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
1. Загальні положення
1.1. Цей Примірний регламент (далі - Регламент) розроблено відповідно до нормативно-правових актів Національного банку України щодо центрів сертифікації ключів банків України, правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України ( z1035-10 ), правил розроблення Регламенту роботи центрів сертифікації ключів банків України ( z1036-10 ).
(пункт 1.1 із змінами, внесеними згідно з постановою Правління Національного банку від 18.03.2011 р. N 68)
1.2. У Регламенті скорочення вживаються в такому значенні:
БД - база даних;
заявник - заявник підписувача, який є клієнтом банку;
ЕЦП - електронний цифровий підпис;
НКІ - носій ключової інформації;
ЗЦ НБУ - Засвідчувальний центр Національного банку України;
ПЗ - програмне забезпечення;
ПТК - програмно-технічний комплекс;
СВС - список відкликаних сертифікатів ключів;
СЗІ - система захисту інформації;
ЦСК - центр сертифікації ключів;
DNS - доменна система іменування;
HTTP - протокол прикладного рівня, що використовується для передавання гіпертексту;
IMAP4 - протокол інтерактивного доступу до електронної пошти;
LDAP - полегшений (спрощений) протокол доступу до каталогів;
NTP - протокол мережного часу;
OCSP - протокол визначення статусу сертифіката ключа;
POP3 - поштовий протокол версії 3;
SMTP - простий протокол передавання електронної пошти;
TCP - протокол керування передаванням;
TSP - протокол фіксування часу.
Інші скорочення в цьому Регламенті застосовуються в значеннях, наведених у документах, зазначених у пункті 1.1 цього Регламенту.
1.3. У цьому Регламенті терміни вживаються в такому значенні:
БД - база даних ЦСК, у якій зберігаються реєстр ЦСК, інформаційно-довідкова, технологічна та інша службова інформація, потрібна для функціонування ПТК ЦСК;
договір, відповідно до якого підписувачу надаються послуги ЕЦП, - окремий договір про надання послуг ЕЦП або договір про обслуговування клієнта банку, що має містити договір про надання послуг ЕЦП підписувачу. Підписувачі, які є працівниками банку, не укладають з ЦСК договір про надання послуг ЕЦП;
заявник - уповноважений представник підписувача, який є клієнтом банку, у ЦСК, який на законних підставах звертається до ЦСК з метою організації та проведення реєстрації підписувача - клієнта банку формування та зміни статусу його сертифіката ключа, а також зміни його даних (реквізитів) у встановленому порядку. Якщо в основних даних (реквізитах) сертифіката ключа підписувача, який є клієнтом банку, сформованого за зверненням заявника, зазначаються реквізити заявника, то заявник і підписувач, який є клієнтом банку, є одним суб'єктом;
зміна ідентифікаційних даних підписувача - зміна даних підписувача, що внесені до сертифіката ключа підписувача, які попередньо надавалися заявником до ЦСК;
зміна статусу сертифіката ключа - виконання однієї з процедур блокування/скасування/поновлення сертифіката ключа;
інформаційний ресурс ЦСК - загальнодоступна частина БД. Доступ до інформаційного ресурсу ЦСК є вільним і забезпечується через телекомунікаційні мережі загального користування;
СЗІ ПТК ЦСК - сукупність інженерно-технічних, організаційних заходів і програмно-апаратних засобів, що забезпечують технічний та криптографічний захист інформації в ПТК ЦСК;
підписувач, який є клієнтом банку, - клієнт банку, якому ЦСК надає послуги ЕЦП. Банк укладає з підписувачем - клієнтом банку договір, відповідно до якого підписувачу надаються послуги ЕЦП;
підписувач, який є працівником банку, - працівник банку, який для виконання своїх службових обов'язків користується послугами ЕЦП власного ЦСК. Банк призначає підписувача - працівника банку наказом;
поновлення сертифіката ключа - процедура управління статусом сертифіката ключа, що поновлює чинність сертифіката ключа (якій передувала відповідна процедура блокування сертифіката ключа);
ПТК ЦСК - сукупність технічного обладнання, ПЗ та організаційних заходів, що використовується банком, у якому функціонує ЦСК, для забезпечення виконання функцій ЦСК;
процедура реєстрації підписувача, який є клієнтом банку, - установлена процедура подання заявником до ЦСК необхідного пакета документів, опрацювання цих документів і формування сертифіката ключа підписувача - клієнта банку;
процедура реєстрації підписувача, який є працівником банку, - установлена процедура подання ним до ЦСК необхідного пакета документів, опрацювання цих документів і формування сертифіката ключа підписувача - працівника банку;
сертифікат ключа відповідальної особи ЦСК - сертифікат ключа відповідальної особи ЦСК, чинність якого засвідчується особистими ключами ЦСК;
скасування сертифіката ключа - процедура управління статусом сертифіката ключа, яка зупиняє чинність сертифіката ключа;
строк чинності сертифіката ключа - проміжок часу між датою і часом початку та датою і часом закінчення чинності сертифіката ключа, що встановлюються під час формування сертифіката ключа;
строк чинності особистого ключа - строк, протягом якого використання особистого ключа є чинним.
Інші терміни в цьому Регламенті застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис" ( 852-15 ) і документах, зазначених у пункті 1.1 цього Регламенту.
1.4. Цей Регламент є внутрішнім документом банку, що визначає організаційно-методологічні та технологічні умови діяльності ЦСК під час реєстрації, зміни ідентифікаційних даних підписувачів і надання підписувачам послуг ЕЦП.
1.5. Положення цього Регламенту поширюються в електронній формі:
шляхом розміщення на інформаційному ресурсі ЦСК;
засобами електронної пошти (e-mail), що надсилаються відповідальною особою ЦСК.
1.6. Суб'єктами правових відносин у сфері ЕЦП, що обумовлюються цим Регламентом, є ЗЦ НБУ, ЦСК і підписувачі.
1.7. Вимоги цього Регламенту поширюються на всі причетні сторони, а також є засобом офіційного повідомлення та інформування всіх сторін у взаєминах, що виникають у процесі надання і використання послуг ЕЦП від ЦСК.
1.8. Ідентифікаційні дані ЦСК(1):
_______________ (1) ЦСК зазначає свої ідентифікаційні дані.
повне найменування банку;
повне найменування ЦСК;
ідентифікаційний код юридичної особи (банку);
ідентифікатор СЕП банку;
юридична адреса ЦСК;
адреса розташування ЦСК;
телефон ЦСК;
факс ЦСК;
електронна адреса інформаційного ресурсу ЦСК (веб-сайта);
електронна поштова скринька ЦСК.
2. Організаційна структура ЦСК
2.1. Організаційна структура ЦСК містить дві основні складові частини, що виконують адміністративні функції, технічні і технологічні функції.
2.2. До адміністративних функцій ЦСК належать:
реєстрація підписувачів;
надання підписувачам консультацій з питань, пов'язаних з використанням ЕЦП;
розгляд заяв і скарг підписувачів;
передавання сертифікатів ключів, їх реєстрів і документованої інформації, яка підлягає обов'язковому передаванню в разі припинення їх діяльності, до ЗЦ НБУ.
2.3. До технічних і технологічних функцій ЦСК належать:
створення і забезпечення функціонування ПТК ЦСК;
забезпечення захисту інформації впродовж експлуатації ПТК ЦСК;
генерування і зберігання ключів ЦСК та відповідальних осіб ЦСК;
надання допомоги під час генерування ключів підписувачів у разі потреби та вживання заходів щодо забезпечення безпеки інформації під час генерування;
установлення належності підписувачу особистого ключа та його відповідність відкритому ключу;
засвідчення чинності власних відкритих ключів ЦСК у ЗЦ НБУ;
формування сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
ведення реєстру ЦСК;
поширення сертифікатів ключів ЦСК і підписувачів у встановленому цим Регламентом порядку;
блокування, скасування та поновлення сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів у випадках, передбачених цим Регламентом і законодавством України у сфері ЕЦП;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифіката ключа;
публікація на інформаційному ресурсі ЦСК відкритої інформації;
інші дії, пов'язані з технічною та технологічною підтримкою діяльності ЦСК.
2.4. У ЦСК для виконання адміністративних, технічних і технологічних функцій створено такі служби(2):
_______________ (2) ЦСК наводить перелік створених служб і для кожної служби зазначає один або кілька структурних підрозділів банку чи відповідальних осіб, які виконують функції цієї служби.
служба захисту інформації;
служба сертифікації;
служба реєстрації;
служба системного адміністратора.
2.5. Основними функціями служби захисту інформації є:
проектування, розроблення, експлуатація, обслуговування та модернізація СЗІ ПТК ЦСК;
адміністрування відповідальних осіб ЦСК.
2.6. Основними функціями служби сертифікації є:
генерування ключів ЦСК;
вивантаження з ПТК ЦСК власних відкритих ключів ЦСК для засвідчення їх чинності в ЗЦ НБУ;
завантаження сертифікатів власних ключів ЦСК в ПТК ЦСК;
перехід на використання нових ключів ЦСК;
знищення особистих ключів ЦСК, строк чинності яких закінчився;
засвідчення чинності відкритих ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
звернення до ЗЦ НБУ щодо зміни статусу власних сертифікатів ключів ЦСК у випадках, передбачених цим Регламентом і законодавством України у сфері ЕЦП;
управління статусом сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифікатів ключів ЦСК і підписувачів користувачам послуг ЕЦП;
надання відповідальним особам ЦСК послуг визначення статусу сертифікатів ключів відповідальних осіб ЦСК;
вивантаження/завантаження резервної інформації із/в ПТК ЦСК.
2.7. Основними функціями служби реєстрації є:
опрацювання документів, які подаються заявником до ЦСК під час проведення процедур реєстрації, формування сертифікатів ключів, зміни статусу сертифікатів ключів, зміни ідентифікаційних даних підписувача, який є клієнтом банку, чи припинення дії/зміни договору, відповідно до якого цьому підписувачу - клієнту банку надаються послуги ЕЦП;
опрацювання документів, які подаються підписувачем - працівником банку під час проведення процедур реєстрації, формування сертифікатів ключів, зміни статусу сертифікатів ключів, зміни його ідентифікаційних даних;
надання допомоги під час генерування ключів підписувачів у разі потреби та вживання заходів щодо забезпечення безпеки інформації під час генерування;
уведення чи генерування в ПТК ЦСК запитів на формування сертифікатів ключів підписувачів для виконання засвідчення їх чинності;
генерування в ПТК ЦСК запитів на блокування, скасування чи поновлення сертифікатів ключів під час подання відповідних заяв;
розгляд скарг підписувачів;
унесення змін до реєстру ЦСК щодо статусу підписувачів(3).
_______________ (3) ЦСК самостійно вирішує доцільність уведення і використання статусу підписувача. У цьому Регламенті передбачено, що підписувачі можуть мати один із статусів: збережений, зареєстрований, анульований.
2.8. Основними функціями служби адміністрування є:
установлення та налаштування серверних і клієнтських застосувань на робочих місцях відповідальних осіб ЦСК;
виконання оновлень ПЗ ПТК ЦСК;
підтримка належного функціонування ПТК ЦСК.
2.9. У ЦСК для виконання завдань, покладених на зазначені в пункті 2.4 цього Регламенту служби, створено такі автоматизовані робочі місця(4):
_______________ (4) Список автоматизованих робочих місць повинен відповідати службам, створеним у ЦСК.
автоматизовані робочі місця адміністраторів безпеки ЦСК;
автоматизовані робочі місця адміністраторів сертифікації ЦСК;
автоматизовані робочі місця адміністраторів реєстрації ЦСК;
автоматизовані робочі місця системних адміністраторів ЦСК;
неспеціалізовані автоматизовані робочі місця.
2.10. Відповідальні особи ЦСК виконують функції зазначених у пункті 2.4 цього Регламенту служб на відповідних автоматизованих робочих місцях.
2.11. Відповідальні особи ЦСК виконують роботу з нормативно-довідковою інформацією ЦСК на своїх спеціалізованих автоматизованих робочих місцях або на неспеціалізованому автоматизованому робочому місці згідно з політикою безпеки ПТК ЦСК і наданих їм адміністратором безпеки ЦСК повноважень.
2.12. Служба реєстрації ЦСК надає доступ до неспеціалізованого автоматизованого робочого місця для генерування ключів підписувачу, який є працівником банку, чи забезпечує їх генерування на робочому місці підписувача - працівника банку згідно з політикою безпеки ПТК ЦСК.
2.13. Служба реєстрації ЦСК надає доступ до неспеціалізованого автоматизованого робочого місця заявнику для генерування ключів підписувача, який є клієнтом банку, у разі потреби згідно з політикою безпеки ПТК ЦСК.
2.14. Відповідальна особа ЦСК не може суміщати функції адміністратора безпеки ЦСК з функціями інших автоматизованих робочих місць.
2.15. Усі відповідальні особи ЦСК перед початком виконання своїх функціональних обов'язків повинні ознайомитися зі змістом цього Регламенту, інструкцій щодо автоматизованих робочих місць, інструкцій щодо забезпечення безпеки експлуатації НКІ та порядку генерування ключових даних і поводження з ключами. Відповідальні особи ЦСК підтверджують факт ознайомлення з цими документами під підпис.
2.16. ЦСК створює відокремлені пункти реєстрації у філіях банку для ефективного надання послуг ЕЦП. Відокремлені пункти реєстрації виконують функції служби реєстрації ЦСК.
3. Архітектура ПТК ЦСК(5)
_______________ (5) Має бути наведено графічне представлення архітектури та загальна технологічна схема оброблення інформації в ПТК ЦСК.
3.1. Технічні засоби комплексу об'єднані в локальну/розподілену обчислювальну мережу з використанням телекомунікаційної мережі(6), частина засобів підключена до загальнодоступних телекомунікаційних мереж.
_______________ (6) За потреби слід уточнити мережу, наприклад, мережа банку.
3.2. Апаратне комп'ютерне забезпечення ПТК ЦСК складається з двох типів комп'ютерної техніки, а саме:
серверної комп'ютерної техніки;
клієнтської комп'ютерної техніки.
3.3. ПЗ ПТК ЦСК є централізованим трирівневим(7) комплексом, що складається з таких компонентів:
_______________ (7) У цьому документі зазначена трирівнева архітектура ПЗ ПТК ЦСК.
БД;
серверних застосувань;
клієнтських застосувань.
3.4. БД, клієнтське застосування системи керування БД та серверні застосування розташовані на серверній комп'ютерній техніці.
3.5. Усі інші клієнтські застосування, що використовуються в ПТК ЦСК, розташовані на клієнтській комп'ютерній техніці (на автоматизованих робочих місцях відповідальних осіб ЦСК).
3.6. У ПТК ЦСК організовано основні та резервні автоматизовані робочі місця адміністратора безпеки ЦСК, адміністратора сертифікації ЦСК та адміністратора реєстрації ЦСК.
3.7. Серверні застосування виконують такі технічні і технологічні функції ПТК ЦСК:
завантаження/вивантаження інформації в/із БД;
формування сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
поширення сертифікатів ключів ЦСК і підписувачів;
створення запитів на блокування, скасування та поновлення сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
блокування, скасування та поновлення сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
формування СВС;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифіката ключа;
зберігання та поширення нормативно-довідкової інформації ЦСК;
ідентифікація, автентифікація та авторизація відповідальних осіб ЦСК;
забезпечення синхронізації часу ПТК ЦСК із всесвітнім координованим часом (UTC).
3.8. Клієнтські застосування ініціюють виконання:
технічних і технологічних функцій серверними застосуваннями;
генерування ключів ЦСК, відповідальних осіб ЦСК і підписувачів за допомогою засобів ЕЦП(8);
вивантаження із ПТК ЦСК власних відкритих ключів ЦСК для засвідчення їх чинності в ЗЦ НБУ.
_______________ (8) Акредитований ЦСК повинен використовувати надійні засоби ЕЦП.
3.9. Лише серверні застосування можуть виконувати завантаження/вивантаження інформації в/із БД шляхом використання клієнтського застосування системи керування БД. Клієнтські застосування, розташовані на автоматизованих робочих місцях, отримують доступ до інформації в БД за допомогою серверних застосувань.
3.10. Відповідальні особи ЦСК здійснюють генерування і використання ключів відповідно до своїх функціональних обов'язків виключно на своїх спеціалізованих автоматизованих робочих місцях.
3.11. Серверна комп'ютерна техніка ПТК ЦСК складається з трьох серверів і має кластерну архітектуру. Інформація циркулює між серверами за допомогою мережі збереження даних.
3.12. Кластерне рішення в штатному режимі роботи забезпечує функціонування БД, клієнтського застосування системи керування БД та серверних застосувань на одному із серверів. Кластерне рішення автоматично переводить роботу зазначеного ПЗ на інший сервер кластеру без виникнення простоїв у роботі та втрати інформації під час виникнення проблем у роботі.
4. Режими доступу до інформації в ЦСК
4.1. У ЦСК циркулює інформація, яка за режимом доступу поділяється на відкриту інформацію та інформацію з обмеженим доступом.
4.2. До відкритої інформації ЦСК належать:
зміст цього Регламенту;
нормативні документи та нормативно-довідкові матеріали;
зразок договору про надання послуг ЕЦП підписувачам, які є клієнтами банку;
сертифікати ключів ЦСК, відповідальних осіб ЦСК і підписувачів;
інформація про статус сертифікатів ключів ЦСК, відповідальних осіб ЦСК і підписувачів.
4.3. До інформації з обмеженим доступом ЦСК в електронній формі належать:
особисті ключі ЦСК і відповідальних осіб ЦСК;
інформація про підписувачів, що міститься в ЦСК і не підлягає безпосередньому поширенню як частина сертифіката ключа;
налаштування технічних і програмних засобів ПТК ЦСК;
зміст протоколів роботи ПТК ЦСК.
4.4. До інформації з обмеженим доступом ЦСК на паперових носіях належать документи, що подаються до ЦСК під час проведення процедур реєстрації, формування сертифікатів ключів, зміни статусу сертифікатів ключів, зміни ідентифікаційних даних підписувачів і не підлягають безпосередньому оприлюдненню.
4.5. Відкрита інформація може опубліковуватися на інформаційному ресурсі ЦСК і розсилатися засобами електронної пошти (e-mail).
4.6. Доступ до інформації з обмеженим доступом, що циркулює в ЦСК, мають відповідальні особи ЦСК згідно з політикою безпеки ПТК ЦСК.
4.7. ЦСК має право надавати доступ до інформації з обмеженим доступом іншим особам лише у випадках, передбачених законодавством України.
5. Захист інформації в ПТК ЦСК
5.1. Захист інформації в ПТК ЦСК забезпечується в результаті впровадження СЗІ.
5.2. СЗІ ПТК ЦСК відповідає вимогам нормативно-правових актів Національного банку України з питань захисту інформації.
5.3. Усі засоби криптографічного захисту інформації ПТК ЦСК мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації(9).
_______________ (9) Цей пункт стосується акредитованих ЦСК.
5.4. У ПТК ЦСК використовуються такі НКІ(10):
_______________ (10) Навести перелік видів НКІ, що використовуються в ЦСК.
смарт-карти;
дискети;
компакт-диски тощо.
5.5. Захищені НКІ, що використовуються в ПТК ЦСК, відповідають таким вимогам(11):
_______________ (11) У цьому Регламенті під захищеним НКІ мається на увазі смарт-карта. ЦСК необхідно описати властивості всіх типів НКІ, що використовуються в ЦСК.
робота з НКІ можлива лише після введення правильного пароля доступу;
неможливість дублювання кожного з екземплярів НКІ;
генерування криптографічних ключів відбувається безпосередньо в НКІ;
під час виконання криптографічних операцій ключова інформація та результати проміжних розрахунків захищені від стороннього доступу;
захист особистих ключів передбачено шляхом забезпечення неможливості доступу до них навіть у разі знання пароля доступу. Знання пароля доступу забезпечує лише дозвіл на виконання криптографічних операцій (усередині НКІ) з особистим ключем;
має засоби захисту критичної інформації, яка міститься в НКІ, від сучасних типів атак, побудованих на аналізі параметрів НКІ, які доступні для вимірювання ззовні під час роботи цієї апаратури.
5.6. На захищених НКІ з власними ключами ЦСК містяться такі дані:
поточний та майбутній (у разі наявності) власні особисті ключі ЦСК;
поточний сертифікат власного відкритого ключа ЦСК і майбутній відкритий ключ (у разі наявності);
поточний сертифікат ключа ЗЦ НБУ.
5.7. На захищених НКІ допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів містяться такі дані:
поточний та майбутній (у разі наявності) особисті ключі допоміжних послуг ЦСК чи відповідальних осіб ЦСК;
поточний сертифікат ключа та майбутній відкритий ключ (у разі наявності);
поточний сертифікат власного відкритого ключа ЦСК.
5.8. Серверна комп'ютерна техніка ПТК ЦСК розміщується в серверних приміщеннях. Усі автоматизовані робочі місця ЦСК розміщуються в приміщеннях з обмеженим доступом.
5.9. Серверні приміщення та приміщення з обмеженим доступом відповідають вимогам Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04.07.2007 N 243 ( z0955-07 ).
5.10. Лише адміністратор сертифікації ЦСК має доступ до приміщення, у якому розташоване його автоматизоване робоче місце. Адміністратор безпеки ЦСК отримує доступ у це приміщення тільки на час проведення процедури генерування ключів ЦСК.
5.11. Відповідальні особи ЦСК повинні зберігати НКІ зі своїми криптографічними ключами в сейфах і несуть особисту відповідальність за надійне зберігання НКІ та нерозголошення значення паролів доступу і розблокування. Відповідальні особи ЦСК повинні зберігати основний пристрій НКІ на своєму основному робочому місці, а резервний пристрій НКІ (у разі наявності) - на резервному робочому місці.
5.12. Адміністратор сертифікації ЦСК повинен зберігати основні та частину резервних НКІ з ключами ЦСК у сейфі на своєму основному робочому місці, а іншу частину резервних НКІ - у сейфі на резервному робочому місці. Він несе особисту відповідальність за надійне зберігання цих НКІ та нерозголошення значень паролів доступу і розблокування.
5.13. Адміністратор сертифікації ЦСК повинен забезпечити зберігання резервних копій реєстру ЦСК у сейфах на своїх основному та резервному робочих місцях.
5.14. Серверні застосування та всі автоматизовані робочі місця забезпечують можливість:
криптографічного захисту інформації, що передається каналами зв'язку (автентифікація та шифрування);
захищеного від модифікації протоколювання подій, визначених цим Регламентом;
використання засобів антивірусного захисту на комп'ютерах ПТК ЦСК.
5.15. Захист персональних даних підписувачів забезпечується шляхом ужиття:
організаційних заходів щодо обліку та зберігання справ підписувачів, зокрема, формування справ підписувачів та їх облік, призначення осіб, відповідальних за зберігання справ підписувачів, обмежений доступ до приміщень (шаф), де зберігаються справи підписувачів;
організаційно-технічних і технічних заходів, реалізованих у результаті впровадження СЗІ, у тому числі: використання надійних засобів ЕЦП, ведення журналів роботи системи в захищеному вигляді, розмежування та здійснення контролю за інформаційними потоками між внутрішньою локальною мережею ЦСК і підсистемою відкритого доступу, використання антивірусних засобів, міжмережевих екранів тощо.
6. Журнали аудиту в ПТК ЦСК
6.1. У ПТК ЦСК ведуться такі журнали аудиту:
журнали функціонування ПЗ та НКІ в ПТК ЦСК;
журнали обліку НКІ;
журнал реєстрації та надання послуг ЕЦП підписувачам;
журнал технічного обслуговування ПТК ЦСК.
6.2. Журнали функціонування ПЗ та НКІ(12) в ПТК ЦСК ведуться в електронній формі на всіх серверних і клієнтських застосуваннях. Інші журнали ведуться на паперових носіях.
_______________ (12) Журнали функціонування НКІ ведуться в електронній формі для тих типів НКІ, для яких є технічна можливість це реалізувати.
6.3. ПЗ ПТК ЦСК забезпечує захищене від модифікації протоколювання подій, пов'язаних з функціонуванням ПЗ та НКІ. Захист від модифікації забезпечується встановленням правил розмежування доступу засобами операційної системи та накладанням ЕЦП чи обчисленням контрольних сум для записів у журналі. Цей журнал подій містить дату та час події, опис події. У журналі реєструються події, пов'язані з:
генеруванням, резервуванням, використанням і знищенням особистих ключів ЦСК, відповідальних осіб ЦСК та підписувачів;
формуванням, переформуванням, зміною статусу сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК і підписувачів;
унесенням, модифікацією та видаленням даних про допоміжні послуги ЦСК, відповідальних осіб ЦСК і підписувачів.
6.4. Служба захисту інформації ЦСК веде журнал подій, пов'язаних з обліком НКІ, які використовуються відповідальними особами ЦСК. Цей журнал подій містить дату та час події, опис події, серійний номер НКІ, підпис відповідальної особи ЦСК, яка отримує НКІ від адміністратора безпеки ЦСК чи передає йому свій НКІ, підпис адміністратора безпеки ЦСК. У журналі реєструються події, пов'язані з видачею/поверненням НКІ відповідальними особами ЦСК.
6.5. Служба реєстрації ЦСК веде журнал подій, пов'язаних з видачею НКІ підписувачам. Цей журнал подій містить дату та час події, опис події, серійний номер НКІ, підпис заявника (підписувача - працівника банку), який отримує НКІ від адміністратора реєстрації ЦСК, підпис адміністратора реєстрації ЦСК. У журналі реєструються події, пов'язані з видачею НКІ підписувачам.
6.6. Служба реєстрації ЦСК веде журнал подій, пов'язаних з реєстрацією, наданням послуг ЕЦП, зміною ідентифікаційних даних підписувачів. Цей журнал подій містить дату події, опис події, реєстраційний номер поданої заяви, реєстраційний номер рішення про виконання чи відмову здійснення відповідної регламентної процедури, підпис адміністратора реєстрації ЦСК. У журналі реєструються події, пов'язані з:
прийманням заяв про формування, зміну статусу сертифіката ключа підписувача, про внесення змін до ідентифікаційних даних підписувача;
унесенням підписувачів до реєстру ЦСК.
6.7. Системний адміністратор веде журнал регламентних робіт з технічного обслуговування ПТК ЦСК. Цей журнал містить дату та час події, її опис. У журналі реєструються події, пов'язані з:
плановою заміною комп'ютерної техніки ПТК ЦСК;
виходом з ладу складових комп'ютерної техніки ПТК ЦСК та їх ремонтом/заміною;
оновленням ПЗ ЦСК.
6.8. Відповідальні особи ЦСК, які ведуть журнали аудиту, зберігають їх у сейфах.
6.9. Відповідальні особи ЦСК здійснюють на своїх автоматизованих робочих місцях резервне копіювання журналів функціонування ПЗ та НКІ в ПТК ЦСК шляхом їх запису на знімні носії. Відповідальні особи ЦСК зберігають ці копії журналів у сейфах.
6.10. Відповідальні особи ЦСК, які ведуть журнали аудиту, здійснюють резервне копіювання цих журналів переведенням їх в електронну форму шляхом сканування. Відповідальні особи ЦСК зберігають свої відскановані копії журналів аудиту на знімних носіях у сейфах.
6.11. Відповідальні особи ЦСК переглядають журнали аудиту в ПТК ЦСК у разі потреби.
6.12. Адміністратор захисту ЦСК забезпечує за зверненням відповідальних осіб ЦСК перегляд журналів аудиту, що ведуться:
серверними застосуваннями;
клієнтськими застосуваннями на інших автоматизованих робочих місцях;
іншими відповідальними особами ЦСК.
6.13. Строк зберігання журналів аудиту в ПТК ЦСК становить п'ять років.
7. Особисті ключі в ЦСК
7.1. Відповідальні особи ЦСК, які здійснюють генерування ключів, що використовуються в ЦСК, застосовують виключно захищені пристрої НКІ.
7.2. Особисті ключі, що використовуються в ЦСК, зберігаються виключно всередині захищених пристроїв НКІ.
7.3. Строк чинності особистого ключа дорівнює строку чинності відповідного сертифіката ключа. Особистий ключ тимчасово не є чинним у разі блокування відповідного сертифіката ключа.
7.4. У ЦСК генеруються та використовуються такі криптографічні ключі:
власні (особистий та відкритий) ключі ЦСК для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт);
власні (особистий та відкритий) ключі ЦСК для криптографічного алгоритму RSA (довжина 2048 біт);
особистий та відкритий ключі послуги фіксування часу ЦСК для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт);
особистий та відкритий ключі послуги фіксування часу ЦСК для криптографічного алгоритму RSA (довжина 2048 біт);
особистий та відкритий ключі ЦСК послуги визначення статусу сертифіката для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт);
особистий та відкритий ключі ЦСК послуги визначення статусу сертифіката для криптографічного алгоритму RSA (довжина 2048 біт);
особистий та відкритий ключі відповідальних осіб ЦСК для криптографічного алгоритму ДСТУ 4145-2002 (довжина 257 біт).
7.5. Служба реєстрації ЦСК забезпечує підписувача засобами ЕЦП та надає йому допомогу під час генерування ключів у разі потреби.
7.6. Власні особисті ключі ЦСК використовуються виключно для формування СВС, сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК та підписувачів.
7.7. Особисті ключі ЦСК послуги фіксування часу використовуються виключно під час формування відповіді на запит на позначку часу.
7.8. Особисті ключі ЦСК послуги визначення статусу сертифіката використовуються виключно під час формування відповіді на запит про статус сертифіката.
7.9. Особисті ключі відповідальних осіб ЦСК використовуються виключно для їх автентифікації в ПТК ЦСК та забезпечення цілісності і конфіденційності даних, які обробляються відповідальними особами ЦСК.
7.10. Особистий ключ підписувача, що відповідає відкритому ключу, сертифікат якого сформовано в ЦСК, використовується відповідно до переліку сфер використання сертифіката, основних обмежень та інших даних, включених до сертифіката ключа підписувача на його вимогу.
7.11. Адміністратор сертифікації ЦСК відповідає за виконання процедур генерування та резервування ключів ЦСК. Адміністратор сертифікації ЦСК здійснює ці процедури на своєму автоматизованому робочому місці під контролем адміністратора безпеки ЦСК. Резервування виконується тільки під час генерування ключів ЦСК на кількох носіях засобами захищених НКІ.
7.12. Відповідальні особи ЦСК самостійно виконують генерування ключів, які використовуються для виконання їх функціональних обов'язків, на своїх спеціалізованих автоматизованих робочих місцях.
7.13. Служба сертифікації ЦСК самостійно приймає рішення про факт або загрозу компрометації особистих ключів ЦСК чи пароля доступу до пристроїв НКІ, на яких вони записані.
7.14. Служба сертифікації ЦСК у разі компрометації або загрози компрометації власних особистих ключів ЦСК:
подає заяву про скасування (або блокування та подальше скасування) сертифікатів власних ключів ЦСК у ЗЦ НБУ;
знищує поточні основні та всі резервні копії власних особистих ключів ЦСК методом, що не допускає можливості їх відновлення (після скасування в ЗЦ НБУ поточних сертифікатів ключів ЦСК);
виконує генерування нових власних ключів ЦСК;
засвідчує власні відкриті ключі ЦСК у ЗЦ НБУ;
переходить на використання нових власних ключів ЦСК.
7.15. Служба сертифікації ЦСК у разі компрометації або загрози компрометації особистих ключів будь-якої з допоміжних послуг ЦСК:
скасовує (або блокує з подальшим скасуванням) сертифікати цієї допоміжної послуги ЦСК;
знищує поточні основні та всі резервні копії особистих ключів цієї допоміжної послуги ЦСК методом, що не допускає можливості їх відновлення;
виконує генерування нових ключів для цієї допоміжної послуги ЦСК;
формує сертифікати ключів цієї допоміжної послуги ЦСК;
переходить на використання нових ключів цієї допоміжної послуги ЦСК.
7.16. Відповідальна особа ЦСК самостійно приймає рішення про факт або загрозу компрометації свого особистого ключа чи пароля доступу до НКІ.
7.17. Відповідальна особа ЦСК формує новий сертифікат ключа у визначеному цим Регламентом порядку в разі компрометації чи загрози компрометації особистого ключа.
7.18. Відповідальна особа ЦСК негайно змінює пароль доступу до НКІ в разі компрометації чи загрози компрометації пароля доступу.
7.19. Служба сертифікації ЦСК знищує основні та всі резервні копії особистих ключів ЦСК після закінчення їх строку чинності методом, що не допускає можливості їх відновлення.
7.20. Відповідальні особи ЦСК знищують свої особисті ключі після закінчення їх строку чинності методом, що не допускає можливості їх відновлення.
8. Сертифікати ключів у ЦСК
8.1. Сертифікати ключів ЦСК, відповідальних осіб ЦСК та підписувачів зберігаються в реєстрі ЦСК.
8.2. СВС та сертифікати ключів ЦСК, відповідальних осіб ЦСК і підписувачів формуються ЦСК відповідно до формату X.509v3 (ISO/IEC9594-8:2002) з урахуванням установлених вимог до форматів представлення базових об'єктів національної системи ЕЦП. Для алгоритму ДСТУ 4145-2002 - технічними специфікаціями форматів представлення базових об'єктів національної системи ЕЦП (наказ ДСТСЗІ СБУ N 99/166 від 11.09.2006 "Про затвердження Технічних специфікацій форматів представлення базових об'єктів національної системи електронного цифрового підпису"); для алгоритму RSA - міжнародним стандартом ISO/IEC 9594-8: "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks".
8.3. ЗЦ НБУ формує сертифікати власних ключів ЦСК.
8.4. Служба сертифікації ЦСК формує сертифікати ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК та підписувачів.
8.5. Сертифікати власних ключів ЦСК використовуються виключно для перевірки СВС, сертифікатів ключів допоміжних послуг ЦСК, відповідальних осіб ЦСК та підписувачів.
8.6. Сертифікати ключів допоміжних послуг ЦСК використовуються виключно для перевірки ЕЦП під час надання послуг фіксування часу та визначення статусу сертифікатів ключів.
8.7. Сертифікати ключів відповідальних осіб ЦСК використовуються виключно для ідентифікації та автентифікації відповідальних осіб ЦСК під час завантаження їх автоматизованих робочих місць та перевірки ЕЦП, що накладаються ними на документи під час виконання своїх функціональних обов'язків.
8.8. Сертифікати ключів, сформовані в ЦСК для підписувачів, використовуються для підтвердження ЕЦП, який відповідає вимогам щодо підпису, застосованого до даних в електронній формі, у такий саме спосіб як власноручні підписи (печатки) відповідають вимогам стосовно документа на папері. ЦСК під час формування сертифікатів ключів підписувачів зазначає сфери використання цих сертифікатів та обмеження щодо їх використання.
8.9. Строк чинності сертифікатів ключів ЦСК становить п'ять років(13) після чого проводиться їх планова заміна згідно з вимогами цього Регламенту.
_______________ (13) Для зареєстрованих ЦСК - два роки, для акредитованих ЦСК - п'ять років.
8.10. Строк чинності сертифікатів ключів відповідальних осіб ЦСК становить два роки після чого проводиться їх планова заміна згідно з вимогами цього Регламенту.
8.11. Строк чинності сертифікатів ключів підписувачів становить один рік після чого проводиться їх планова заміна згідно з вимогами цього Регламенту.
8.12. Строк чинності сертифіката ключа закінчується в разі його скасування. Сертифікат ключа тимчасово не є чинним протягом строку його блокування.
8.13. Сертифікати відповідальних осіб ЦСК зберігаються виключно на НКІ та в БД ПТК ЦСК.
9. Порядок подання документів під час проведення регламентних процедур
9.1. Заявник особисто подає до ЦСК заяви(14) про реєстрацію, формування сертифіката ключа, зміну статусу сертифіката ключа підписувача, унесення змін до ідентифікаційних даних підписувача, договір на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП, у паперовій та/чи електронній формі.
_______________ (14) ЦСК самостійно розробляє форми заяв, скарг, довіреностей.
9.2. Підписувач, який є працівником банку, особисто подає до ЦСК заяви про реєстрацію, формування сертифіката ключа, зміну статусу сертифіката ключа, унесення змін до своїх ідентифікаційних даних у паперовій та/чи електронній формі.
9.3. Адміністратор реєстрації ЦСК засвідчує подані в електронному вигляді заяви шляхом накладання на них ЕЦП.
9.4. У заяві про формування сертифіката ключа повинні зазначатися:
ідентифікаційні дані підписувача;
ідентифікаційні дані заявника (для підписувача, який є клієнтом банку);
дані, що включаються до сертифіката ключа підписувача.
До заяви про формування сертифіката ключа додається запечатаний конверт, на якому надрукована адреса заявника (місце роботи підписувача, який є працівником банку) та телефони для зв'язку. Усередині конверта міститься фраза-пароль для блокування сертифіката ключа телефоном.
9.5. У заяві про зміну статусу сертифіката ключа повинні зазначатися:
ідентифікаційні дані підписувача;
ідентифікаційні дані заявника (для підписувача, який є клієнтом банку);
реєстраційний номер сертифіката ключа;
підстави зміни статусу сертифіката ключа;
строк блокування сертифіката ключа в разі його блокування.
9.6. У заяві про внесення змін до ідентифікаційних даних підписувача повинні зазначатися:
ідентифікаційні дані підписувача;
ідентифікаційні дані заявника (для підписувача, який є клієнтом банку).
9.7. Заява про формування сертифіката ключа підписувача приймається тільки за наявності всіх інших документів, визначених цим Регламентом для проведення процедури реєстрації.
9.8. ЦСК не приймає на розгляд документи, які мають виправлення, дописки, закреслені слова, написи олівцем, а також пошкодження, унаслідок чого їх текст не можна прочитати.
9.9. Адміністратор реєстрації ЦСК під час подання заяв про формування сертифіката ключа, зміну статусу сертифіката ключа підписувача та внесення змін до ідентифікаційних даних підписувача виконує процедуру ідентифікації (установлення особи) заявника (підписувача, який є працівником банку). Установлення особи заявника здійснюється за паспортом або іншими документами відповідно до законодавства України. Установлення особи підписувача, який є працівником банку, здійснюється за його службовими документами (перепустка тощо).
9.10. Заявник під час подання заяв, якщо заявник та підписувач, який є клієнтом банку, є різними суб'єктами, повинен подати до служби реєстрації ЦСК довіреність, яка засвідчується:
для юридичних осіб - підписом керівника та відбитком печатки юридичної особи;
для фізичних осіб-підприємців - підписом підприємця та відбитком його печатки або в разі відсутності печатки - нотаріально;
для фізичних осіб - нотаріально.
9.11. У довіреності повинні зазначатися:
ідентифікаційні дані підписувача, який є клієнтом банку;
ідентифікаційні дані заявника;
перелік регламентних процедур, які заявник може здійснювати від імені підписувача;
дата початку та закінчення чинності довіреності.
9.12. Заявник повинен додатково подати до ЦСК відомості щодо належності підписувача до юридичної особи, якщо підписувач є фізичною особою - представником юридичної особи.
10. Порядок опрацювання документів, що подаються до ЦСК під час проведення регламентних процедур
10.1. Служба реєстрації ЦСК бере на облік усі документи, що були подані заявником (підписувачем, який є працівником банку) під час проведення всіх регламентних процедур, шляхом формування справи підписувача та введення необхідних даних підписувачів у реєстр ЦСК. Справа підписувача реєструється в журналі, який ведеться в паперовому (або електронному) вигляді.
10.2. Служба реєстрації ЦСК перевіряє повноту комплекту поданих для проведення відповідної регламентної процедури документів, правильність їх оформлення і відповідність вимогам нормативних документів у сфері ЕЦП.
10.3. Служба реєстрації ЦСК за результатом розгляду поданих документів приймає рішення про відмову в проведенні відповідної регламентної процедури, якщо:
немає всіх необхідних для проведення цієї регламентної процедури документів;
подано хоча б одну неналежно засвідчену копію документа;
установлено невідповідність даних, що визначені поданими документами, фактичним;
виявлено інші невідповідності законодавству України у сфері ЕЦП.
10.4. Служба реєстрації ЦСК повертає документи в разі відмови в проведенні відповідної регламентної процедури із зазначенням підстав відмови на цій заяві.
10.5. Заявник (підписувач, який є працівником банку) подає до ЦСК такі документи:
засвідчені копії документів на паперовому носії;
оригінали документів на паперовому носії (з необхідними підписами та відбитками печаток) і електронні варіанти цих документів.
10.6. Служба реєстрації ЦСК під час подання засвідченої копії документа на паперовому носії здійснює:
переведення засвідченої копії документа на паперовому носії в електронний вигляд шляхом сканування;
підшивання копії документа на паперовому носії до справи;
накладення на електронний варіант відсканованої копії документа ЕЦП адміністратора реєстрації ЦСК засобами ПТК ЦСК;
унесення до БД електронного варіанта відсканованої копії документа, ЕЦП адміністратора реєстрації ЦСК, сертифікат ключа адміністратора реєстрації ЦСК, що є дійсним на момент накладення ЕЦП.
10.7. Служба реєстрації ЦСК під час подання оригіналу документа на паперовому (з необхідними підписами та печатками) та електронному носіях здійснює:
перевірку чи електронний варіант документа підписано поточним та майбутнім (у разі наявності) особистими ключами підписувача. Разом з документом повинні подаватися сертифікати ключів підписувача (у разі наявності) чи відкриті ключі, за допомогою яких можна перевірити ЕЦП підписувача;
накладення ЕЦП адміністратора реєстрації ЦСК на електронний варіант документа засобами ПТК ЦСК;
переведення оригіналу документа на паперовому носії в електронний вигляд шляхом сканування;
підшивання оригіналу документа на паперовому носії до справи;
накладення ЕЦП адміністратора реєстрації ЦСК на електронний варіант відсканованого оригіналу документа засобами ПТК ЦСК;
унесення до БД електронного документа, ЕЦП ЦСК на електронний документ, ЕЦП адміністратора реєстрації ЦСК на електронний документ, електронного варіанта відсканованого оригіналу, ЕЦП адміністратора реєстрації ЦСК на електронний варіант відсканованого оригіналу, сертифікат ключа адміністратора реєстрації ЦСК, сертифікат(и) ключа(ів) підписувача. Якщо на момент подання документа сертифікат ключа підписувача ще не сформовано, то він додається пізніше (відразу після формування).
10.8. Служба реєстрації ЦСК проводить порівняння ідентифікаційних даних підписувача у заяві про формування чи зміну статусу сертифіката ключа підписувача з даними, одержаними під час реєстрації підписувача.
10.9. Служба реєстрації ЦСК проводить порівняння ідентифікаційних даних підписувача, наведених у заявах про формування сертифіката ключа підписувача і про внесення змін до ідентифікаційних даних підписувача, з даними, що містяться в копіях документів, які підтверджують ці зміни, якщо формування нового сертифіката ключа відбувається у зв'язку зі зміною ідентифікаційних даних підписувача, які внесені до реєстру ЦСК.
11. Реєстрація підписувачів
11.1. Підписувач перед початком процедури реєстрації повинен ознайомитися з умовами обслуговування сертифікатів ключів, передбачених політикою сертифікації ЦСК, зокрема з питаннями щодо:
зобов'язань та підстав відповідальності ЦСК стосовно обслуговування сертифікатів ключів;
зобов'язань та підстав відповідальності підписувача стосовно використання сертифіката ключа і зберігання особистого ключа;
сфери використання підписувачем сертифіката ключа;
строків зберігання в ЦСК даних про підписувачів та заявників, що були отримані ЦСК під час реєстрації;
відомостей про засоби ЕЦП, що можуть використовуватися для формування та перевірки ЕЦП.
11.2. Заявник для проведення реєстрації підписувача в ЦСК (крім підписувача, який є працівником банку) надає адміністратору реєстрації ЦСК договір, на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП.
11.3. Підписувач, який є працівником банку, для проведення реєстрації підписує зобов'язання про дотримання умов використання ЕЦП.
11.4. Заявник юридичної особи для проведення реєстрації в ЦСК подає такі документи:
заповнену заяву про формування сертифіката ключа, підписану керівником юридичної особи, заявником та засвідчену відбитком печатки юридичної особи;
копії паспортів та довідок про присвоєння ідентифікаційного коду керівника та головного бухгалтера, засвідчені власноручними підписами власників паспортів (якщо сертифікати ключів формуються для керівника та бухгалтера).
11.5. Заявник відокремленого підрозділу (філії, представництва) юридичної особи подає для реєстрації в ЦСК такі документи:
заповнену заяву про формування сертифіката ключа підписувача, підписану керівником відокремленого підрозділу, заявником та засвідчену відбитком печатки відокремленого підрозділу;
копії паспортів та довідок про присвоєння ідентифікаційного коду керівника та головного бухгалтера відокремленого підрозділу, засвідчені власноручними підписами власників паспортів (якщо сертифікати ключів формуються для керівника та бухгалтера).
11.6. Заявник фізичної особи - суб'єкта підприємницької діяльності подає для реєстрації в ЦСК заповнену заяву про формування сертифіката ключа підписувача, підписану фізичною особою - суб'єктом підприємницької діяльності, заявником та засвідчену відбитком печатки фізичної особи - суб'єкта підприємницької діяльності (у разі наявності печатки).
11.7. Заявник фізичної особи подає для реєстрації в ЦСК заповнену заяву про формування сертифіката ключа підписувача, підписану фізичною особою та заявником.
11.8. Якщо заявником подано оригінал документа, то копія такого документа може бути засвідчена підписом та відбитком печатки адміністратора реєстрації ЦСК.
11.9. Підписувач, який є працівником банку, для реєстрації подає заповнену заяву про формування сертифіката ключа, підписану ним особисто. Відділ кадрів подає до ЦСК ідентифікаційні дані для реєстрації підписувача, який є працівником банку.
11.10. ЦСК під час подання зазначених вище документів проводить їх реєстрацію в такому порядку.
11.11. Служба реєстрації ЦСК опрацьовує подані документи протягом трьох годин з моменту їх надходження згідно з вимогами цього Регламенту.
11.12. Служба реєстрації ЦСК у разі наявності всіх необхідних правильно оформлених документів формує унікальне розпізнавальне ім'я підписувача (у разі потреби), а також уносить до реєстру ЦСК необхідні дані підписувача згідно з вимогами цього Регламенту і надає йому статус "збережений".
11.13. Заявник під час проведення реєстрації в ЦСК подає запит про формування сертифіката підписувача або генерує запит про формування сертифіката підписувача в ЦСК на робочій станції генерування ключів підписувачів. Підписувач, який є працівником банку, генерує запит про формування сертифіката підписувача в ЦСК на робочій станції генерування ключів підписувачів.
11.14. Служба реєстрації ЦСК уносить запит про формування сертифіката ключа підписувача до реєстру ЦСК.
11.15. Служба сертифікації ЦСК формує сертифікат ключа підписувача згідно з вимогами цього Регламенту та поширює його в порядку, визначеному цим Регламентом. Служба реєстрації ЦСК змінює статус підписувача на "зареєстрований" із зазначенням дати прийняття і номера відповідного рішення про реєстрацію.
11.16. Служба реєстрації ЦСК після завершення процедури реєстрації подає заявнику (підписувачу, який є працівником банку):
носій, що містить чинні сертифікати ключів(15) центрального засвідчувального органу, ЗЦ НБУ, ЦСК та підписувача (якщо сертифікат ключа підписувача вже сформовано);
запечатаний конверт з НКІ та паролем доступу до НКІ (особистого ключа), що містить особистий ключ підписувача (у разі генерування ключів у ЦСК).
_______________ (15) ЦСК самостійно визначає перелік сертифікатів на цьому носії залежно від специфіки діяльності.
11.17. ЦСК скасовує реєстрацію підписувача в разі:
подання заявником заяви про скасування реєстрації підписувача;
невиконання підписувачем, який є клієнтом банку, умов договору, на підставі якого йому надаються послуги ЕЦП;
звільнення з роботи підписувача, який є працівником юридичної особи;
звільнення з роботи підписувача, який є працівником банку;
отримання наказу про скасування реєстрації підписувача, який є працівником банку (або подання цим підписувачем заяви про скасування реєстрації);
наявності рішення суду про скасування реєстрації підписувача, що набрало законної сили.
11.18. ЦСК здійснює скасування реєстрації підписувача в такому порядку:
служба реєстрації ЦСК змінює статус зареєстрованого підписувача на "анульований";
служба сертифікації ЦСК скасовує сертифікат підписувача, формує СВС та поширює його в порядку, визначеному цим Регламентом;
ЦСК повідомляє підписувача про рішення щодо скасування його реєстрації із зазначенням підстав;
ЦСК поширює інформацію про скасування реєстрації цього підписувача шляхом унесення відповідних змін до інформації на інформаційному ресурсі ЦСК.
12. Формування унікального розпізнавального імені підписувача
12.1. Служба реєстрації ЦСК формує унікальне розпізнавальне ім'я підписувача під час унесення даних про нього до реєстру ЦСК. Забезпечення його унікальності відбувається шляхом додавання до розпізнавального імені підписувача реквізиту "серійний номер" (поле "SERIALNUMBER").
12.2. Значення реквізиту "серійний номер" для підписувача формується таким чином:
UA-[код установи/особи]{-[додаток]},
де код установи/особи - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації юридичної особи, код ДРФО фізичної особи - підприємця, яка є суб'єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію або ідентифікаційний код фізичної особи;
додаток - необов'язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання додатка він відокремлюється від коду установи/особи символом "-".
13. Генерування криптографічних ключів підписувача та запиту про формування сертифіката ключа
13.1. Відкритий та особистий ключі підписувача можуть бути згенеровані:
на робочому місці підписувача;
у ЦСК на робочій станції генерування ключів підписувачів.
13.2. ЦСК у разі необхідності надає заявнику засоби ЕЦП для генерування криптографічних ключів та запитів про формування сертифіката ключа підписувача на його робочому місці. Ці засоби ЕЦП створюють запит у форматі, визначеному цим Регламентом.
13.3. Запит про формування сертифіката ключа підписувача може бути двох видів:
у форматі PKCS#10 з накладеним ЕЦП з використанням особистого ключа підписувача;
самопідписаний сертифікат ключа підписувача.
13.4. Заявник генерує ключі підписувача на робочій станції генерування ключів, яка входить до складу ПТК ЦСК, якщо підписувач надав йому відповідні повноваження.
13.5. Підписувач, який є працівником банку, генерує свої криптографічні ключі на робочій станції генерування ключів, що входить до складу ПТК ЦСК.
13.6. Згенерований особистий ключ підписувача захищається паролем та записується на НКІ. Підписувач несе відповідальність за забезпечення конфіденційності та цілісності особистого ключа. Заявник, якщо він виконував генерацію ключів, несе відповідальність за забезпечення конфіденційності та цілісності особистого ключа до моменту його передавання підписувачу.
13.7. ПТК ЦСК забезпечує автоматичне знищення особистого ключа підписувача на робочій станції, на якій генерувалися ключі, методом, що не допускає можливості його відновлення, після генерування та запису ключів на НКІ.
13.8. Заявник, якщо генерування ключів здійснювалося в ЦСК, вкладає НКІ та фразу-пароль у непрозорий конверт, який запечатується, засвідчується відбитком печатки ЦСК, підписами заявника та адміністратора реєстрації ЦСК.
13.9. Підписувач під час отримання конверта з НКІ та фразою-паролем зобов'язаний перевірити цілісність цього конверта. Якщо цілісність не порушена, то терміново до першого використання особистого ключа підписувач зобов'язаний змінити пароль доступу до нього. Підписувач зобов'язаний терміново звернутися до ЦСК із заявою про скасування сертифіката відповідного ключа, якщо цілісність конверта порушена.
14. Формування сертифіката ключа підписувача
14.1. ЦСК формує сертифікати ключів підписувачів тільки під час проведення процедури реєстрації підписувача або для зареєстрованих підписувачів у разі подання підписувачем/заявником заяви про формування сертифіката ключа підписувача.
14.2. ЦСК формує сертифікати ключів підписувачів для відкритих ключів, що згенеровані відповідно до криптографічних алгоритмів ДСТУ 4145-2002 та RSA.
14.3. ЦСК здійснює формування сертифіката ключа підписувача на підставі даних, що містяться в запиті про формування сертифіката ключа.
14.4. Час розгляду заяви про формування сертифіката ключа підписувача, зареєстрованого в ЦСК, становить не більше двох годин після її прийняття.
14.5. ЦСК здійснює формування сертифікатів ключів підписувачів у такому порядку.
14.6. Служба реєстрації ЦСК опрацьовує поданий заявником (підписувачем, який є працівником банку) запит про формування сертифіката ключа підписувача та документи згідно з вимогами цього Регламенту і встановлює належність підписувачу особистого ключа та його відповідність відкритому ключу.
14.7. Служба реєстрації ЦСК вносить поданий заявником запит про формування сертифіката ключа підписувача до БД.
14.8. ЦСК приймає рішення про формування/відмову в формуванні сертифіката ключа підписувача.
14.9. Процедура встановлення належності підписувачу особистого ключа та його відповідність відкритому ключу здійснюється шляхом перевірки ЕЦП у запиті про формування сертифіката ключа підписувача. Сертифікат ключа підписувача формується лише в разі підтвердження ЕЦП.
14.10. Служба сертифікації ЦСК формує сертифікати ключа підписувача в разі позитивного рішення ЦСК.
14.11. Служба сертифікації ЦСК під час формування сертифіката ключа підписувача:
визначає дату і час початку та закінчення строку чинності сертифіката ключа підписувача;
уносить до сертифіката ключа підписувача обов'язкові дані, визначені Законом України "Про електронний цифровий підпис" ( 852-15 );
уносить до сертифіката ключа підписувача додаткові дані за зверненням заявника;
уносить до сертифіката ключа підписувача інформацію щодо місця розміщення СВС на інформаційному ресурсі ЦСК;
забезпечує унікальність реєстраційного номера сертифіката ключа в межах ЦСК, а також унікальність відкритих ключів у реєстрі чинних, блокованих та скасованих сертифікатів ключів.
14.12. Служба сертифікації ЦСК під час формування нового сертифіката ключа підписувача створює запит про скасування поточного сертифіката ключа підписувача, засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа підписувача.
14.13. Служба реєстрації ЦСК після формування сертифіката ключа підписувача надає його заявнику (підписувачу, який є працівником банку). Заявник (підписувач, який є працівником банку) повинен перевірити правильність відомостей, що містяться в сертифікаті ключа підписувача. У разі виявлення некоректних даних (помилки в реквізитах) він повинен повідомити про зазначене службу реєстрації ЦСК. У цьому разі сертифікат ключа скасовується та формується новий сертифікат ключа підписувача.
14.14. Служба сертифікації ЦСК здійснює поширення сертифіката ключа підписувача в установленому цим Регламентом порядку.
14.15. Заявник (підписувач, який є працівником банку) може подавати до ЦСК на сертифікацію попередньо засвідчений відкритий ключ підписувача, якщо відповідний йому особистий ключ не був скомпрометований. У цьому разі дата і час закінчення строку чинності нового сертифіката ключа підписувача, сформованого на основі попередньо засвідченого відкритого ключа підписувача, не може перевищувати дати і часу закінчення строку чинності попереднього сертифіката ключа підписувача. Строк чинності особистого ключа підписувача не може перевищувати один рік.
14.16. Заявник (підписувач, який є працівником банку) подає до ЦСК заяву про формування нового сертифіката ключа підписувача не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа підписувача. У разі неотримання заяви про формування нового сертифіката ключа підписувача у визначений термін ЦСК після закінчення строку чинності цього сертифіката скасовує його і накладає штрафні санкції на підписувача.
15. Формування сертифікатів ключів відповідальних осіб ЦСК
15.1. Відкритий та особистий ключі відповідальної особи ЦСК можуть бути згенеровані на:
її автоматизованому робочому місці;
окремо виділеній робочій станції генерування ключів.
Під час генерування ключів автоматично створюється запит про формування сертифіката ключа.
15.2. Відповідальна особа ЦСК самостійно вносить запит про формування сертифіката свого ключа до БД ПТК ЦСК.
15.3. Служба сертифікації ЦСК засвідчує запит про формування сертифіката ключа відповідальної особи ЦСК.
15.4. Служба сертифікації ЦСК (чи відповідальна особа ЦСК, якщо вона має відповідні повноваження) під час формування нового сертифіката ключа створює запит про скасування поточного сертифіката ключа, засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа відповідальної особи ЦСК.
15.5. Відповідальна особа ЦСК не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа генерує нові криптографічні ключі та ініціює процедуру формування нового сертифіката ключа.
16. Формування сертифікатів ключів допоміжних послуг ЦСК
16.1. Служба сертифікації ЦСК здійснює генерування відкритих та особистих ключів допоміжних послуг ЦСК.
16.2. Служба сертифікації ЦСК вносить запити про формування сертифікатів ключів допоміжних послуг ЦСК до БД ПТК ЦСК.
16.3. Служба сертифікації ЦСК засвідчує запити про формування сертифікатів ключів допоміжних послуг ЦСК.
16.4. Служба сертифікації ЦСК під час формування нового сертифіката ключа допоміжної послуги ЦСК створює запит про скасування поточного сертифіката ключа відповідної допоміжної послуги, потім засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа допоміжної послуги ЦСК.
16.5. Служба сертифікації ЦСК не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа генерує нові криптографічні ключі та здійснює процедуру формування нового сертифіката ключа допоміжної послуги ЦСК.
17. Зміна статусу сертифікатів ключів підписувачів
17.1. Зміна статусу сертифіката ключа підписувача набирає чинності з часу внесення відповідних змін до СВС та до реєстру чинних сертифікатів ключів підписувачів.
17.2. Підписувач зобов'язаний протягом не більше 30 календарних днів після блокування сертифіката ключа скасувати або поновити його. Поновлення сертифіката ключа підписувача можливе лише для сертифікатів, що заблоковані й термін блокування яких не закінчився. Якщо до закінчення терміну блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа підписувача.
17.3. Дозволяється на розсуд підписувача скасувати сертифікат ключа без його блокування.
17.4. ЦСК негайно блокує/поновлює сертифікат ключа підписувача в разі:
подання заявником (підписувачем, який є працівником банку) звернення щодо блокування/поновлення сертифіката ключа підписувача до служби реєстрації ЦСК;
наявності рішення суду про блокування/поновлення сертифіката ключа підписувача, що набрало законної сили.
17.5. ЦСК негайно скасовує сертифікат ключа підписувача в разі:
подання заявником (підписувачем, який є працівником банку) письмової заяви про скасування сертифіката ключа підписувача до служби реєстрації ЦСК;
наявності рішення суду про скасування сертифіката ключа підписувача, що набрало законної сили;
смерті підписувача або оголошення його померлим за рішенням суду;
визнання підписувача недієздатним за рішенням суду;
припинення діяльності суб'єкта господарювання (якщо підписувач - клієнт банку, юридична особа чи фізична особа-підприємець);
розірвання підписувачем трудового договору з юридичною особою, що є клієнтом банку (якщо сертифікат ключа виданий фізичній особі як представнику юридичної особи);
надання заявником (підписувачем, який є працівником банку) недостовірних даних;
не поновлення підписувачем заблокованого сертифіката протягом 30 календарних днів;
припинення (розірвання) договору, на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП.
17.6. Причинами, унаслідок яких заявник (підписувач, який є працівником банку) звертається до служби реєстрації ЦСК щодо блокування/скасування сертифіката ключа підписувача, є:
втрата або компрометація особистого ключа підписувача;
втрата контролю за особистим ключем підписувача через компрометацію пароля доступу;