УВАГА! ДОКУМЕНТ ВТРАЧАЄ ЧИННІСТЬ.
МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ
НАКАЗ
Зареєстровано в Міністерстві
юстиції України
30 січня 2013 р.
за № 191/22723
Про затвердження Регламенту роботи центрального засвідчувального органу
Відповідно до підпунктів 65, 66 пункту 4 Положення про Міністерство юстиції України (
395/2011)
, затвердженого Указом Президента України від 06 квітня 2011 року № 395, Порядку акредитації центру сертифікації ключів (
903-2004-п)
, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903, Положення про центральний засвідчувальний орган (
1451-2004-п)
, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, НАКАЗУЮ:
1. Затвердити Регламент роботи центрального засвідчувального органу, що додається.
2. Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України (Чижмарь К.І.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року № 493 (
493/92)
"Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".
3. Адміністратору інформаційно-телекомунікаційної системи центрального засвідчувального органу (Добжанський В.Б.) розмістити цей наказ на офіційному веб-сайті центрального засвідчувального органу.
4. Визнати таким, що втратив чинність, наказ Міністерства юстиції України від 28 вересня 2012 року № 1434/5 (
z1692-12)
"Про затвердження Регламенту роботи центрального засвідчувального органу", зареєстрований у Міністерстві юстиції України 05 жовтня 2012 року за № 1692/22004.
5. Контроль за виконанням цього наказу покласти на директора Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Чижмарь К.І.
6. Цей наказ набирає чинності з дня його офіційного опублікування.
Міністр
|
О.В. Лавринович
|
ПОГОДЖЕНО:
Голова Державної служби спеціального
зв'язку та захисту інформації України
|
Г.А. Резніков
|
ЗАТВЕРДЖЕНО
Наказ Міністерства
юстиції України
29.01.2013 № 183/5
Зареєстровано в Міністерстві
юстиції України
30 січня 2013 р.
за № 191/22723
РЕГЛАМЕНТ
роботи центрального засвідчувального органу
І. Загальні положення
1.1. Цей Регламент розроблений відповідно до Закону України "Про електронний цифровий підпис" (
852-15)
, Положення про центральний засвідчувальний орган (
1451-2004-п)
, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, Правил посиленої сертифікації (
z0104-05)
, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384, інших нормативно-правових актів, що регулюють відносини у сфері використання електронного цифрового підпису.
Цей Регламент визначає організаційно-методологічні та технологічні умови діяльності центрального засвідчувального органу (далі - ЦЗО) під час обслуговування посилених сертифікатів відкритих ключів (далі - сертифікати ключів) засвідчувальних центрів органів виконавчої влади або інших державних органів (далі - ЗЦ), центрів сертифікації ключів (далі - ЦСК) акредитованих центрів сертифікації ключів (далі - АЦСК) (далі разом - Центри), реєстрації, акредитації ЗЦ та ЦСК.
Цей Регламент є обов’язковим для суб’єктів правових відносин у сфері послуг електронного цифрового підпису (далі - ЕЦП) під час обслуговування ЦЗО сертифікатів ключів Центрів та проведення реєстрації, акредитації ЗЦ та ЦСК.
1.2. У цьому Регламенті терміни вживаються в таких значеннях:
відокремлений пункт реєстрації – представництво (філія, підрозділ) Центру, яке здійснює реєстрацію підписувачів;
заявник – юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що звертається до ЦЗО з метою проведення реєстрації, акредитації та обслуговування сертифікатів ключів Центрів;
інформаційно-телекомунікаційна система ЦЗО (далі – ІТС ЦЗО) – організаційно-технологічна система, що забезпечує обслуговування сертифікатів ключів Центрів та об'єднує програмно-технічний комплекс, фізичне середовище, обслуговувальний персонал, а також інформацію, що нею обробляється;
локальна обчислювальна мережа (далі – ЛОМ) – мережа передачі даних, що зв'язує декілька робочих станцій в одну локальну зону, обмежену приміщеннями адміністратора ІТС ЦЗО (далі – Адміністратор ІТС ЦЗО).
Інші терміни, що вживаються у цьому Регламенті, застосовуються у значеннях, визначених нормативно-правовими актами, що регулюють відносини, які виникають у сфері ЕЦП.
1.3. Мін'юст відповідно до Положення про центральний засвідчувальний орган (
1451-2004-п)
, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, та Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу (
680-2004-п)
, затвердженого постановою Кабінету Міністрів України від 26 травня 2004 року № 680, виконує такі функції ЦЗО:
здійснює реєстрацію, акредитацію ЗЦ та ЦСК, повторну акредитацію АЦСК, видачу, переоформлення та анулювання відповідних свідоцтв;
надає Центрам консультації з питань, пов'язаних з використанням ЕЦП;
забезпечує діяльність постійно діючої комісії з акредитації ЗЦ та ЦСК;
розглядає заяви і скарги щодо неналежного функціонування Центрів та подає відповідні пропозиції контролюючому органу;
повідомляє контролюючий орган про обставини, які перешкоджають діяльності ЦЗО;
забезпечує надання Центрам послуги з постачання передачі сигналів точного часу для формування та проведення перевірки позначки часу;
погоджує розроблені Центрами порядки синхронізації часу із Всесвітнім координованим часом (UTC);
встановлює вимоги до ведення реєстру суб'єктів, які надають послуги, пов'язані з електронним цифровим підписом (далі – Реєстр суб'єктів), та електронного реєстру чинних, блокованих та скасованих посилених сертифікатів ключів Центрів;
забезпечує діяльність Адміністратора ІТС ЦЗО щодо технічного та технологічного забезпечення виконання функцій ЦЗО;
здійснює інші функції, передбачені законодавством у сфері ЕЦП.
Структурним підрозділом, визначеним у Мін'юсті відповідальним за виконання функцій ЦЗО, є Департамент державної реєстрації та нотаріату.
1.4. Технічне та технологічне забезпечення виконання функцій ЦЗО здійснюється Адміністратором ІТС ЦЗО.
Функції Адміністратора ІТС ЦЗО визначаються Мін'юстом.
Адміністратор ІТС ЦЗО забезпечує функціонування ІТС ЦЗО.
На підставі наказу Мін'юсту Адміністратор ІТС ЦЗО:
здійснює генерацію пари ключів (особистий та відкритий ключі) ЦЗО;
формує посилені сертифікати власних відкритих ключів ЦЗО (далі – сертифікати ключів ЦЗО).
Відповідно до вимог цього Регламенту Адміністратор ІТС ЦЗО:
формує та видає сертифікати ключів Центрів;
блокує, скасовує, поновлює сертифікати ключів Центрів;
зберігає сертифікати ключів Центрів;
формує та розповсюджує (публікує) списки відкликаних (скасованих, блокованих) сертифікатів ключів Центрів (далі – СВС), що формуються за допомогою відповідного електронного реєстру;
забезпечує цілодобовий доступ до сертифікатів ключів ЦЗО, сертифікатів ключів Центрів, СВС та можливість перевірки статусу сертифікатів ключів Центрів у режимі реального часу через загальнодоступні телекомунікаційні мережі;
веде електронний реєстр чинних, блокованих та скасованих посилених сертифікатів ключів Центрів та публікує їх на офіційному веб-сайті ЦЗО;
веде Реєстр суб'єктів;
надає Центрам послуги з постачання передачі сигналів точного часу для формування та проведення перевірки позначки часу;
забезпечує функціонування офіційного веб-сайту ЦЗО.
1.5. Формати, структура та протоколи, що застосовуються під час формування сертифікатів ключів ЦЗО, формування сертифікатів ключів Центрів, формування СВС Центрів, повинні відповідати вимогам наказу Міністерства юстиції України, Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 (
z1398-12)
"Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису", зареєстрованого в Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (далі - Наказ).
1.6. Запит на формування сертифіката ключа Центру в електронному вигляді містить обов'язкові реквізити Центру, наведені в таблиці 1 додатка 1 до цього Регламенту.
1.7. Повне найменування державного органу, на який покладено виконання функцій ЦЗО, – Міністерство юстиції України. Скорочене найменування – Мін'юст.
Місцезнаходження (поштова адреса): вул. Городецького, 13, м. Київ, 01001.
Код за ЄДРПОУ: 00015622.
Місцезнаходження Департаменту державної реєстрації та нотаріату: вул. Євгена Сверстюка, 15, м. Київ, 02002.
Телефон: (044) 233-65-26; факс: (044) 233-65-03.
Адреса електронного інформаційного ресурсу ЦЗО, доступ до якого забезпечується через телекомунікаційні мережі загального користування цілодобово (далі - офіційний веб-сайт ЦЗО): www.czo.gov.ua.
Електронна пошта ЦЗО: acsk@minjust.gov.ua.
1.8. Повне найменування підприємства, що здійснює функції Адміністратора ІТС ЦЗО: державне підприємство "Національні інформаційні системи". Скорочене найменування: ДП "НАІС".
Місцезнаходження (поштова адреса): вул. Бульварно-Кудрявська, 4, м. Київ, 04053.
Код за ЄДРПОУ: 39787008.
Телефон: (044) 206-71-90; факс: (044) 206-71-28.
Електронна пошта: czo.its.admin@nais.gov.ua.
1.9. Робота Мін'юсту з Центрами щодо прийому заяв на реєстрацію, акредитацію ЗЦ та ЦСК, формування сертифікатів ключів Центрів, надання консультацій тощо організована в одну робочу зміну з понеділка по четвер з 9:00 до 18:00, обідня перерва – з 13:00 до 13:45; у п'ятницю – з 9:00 до 16:45, обідня перерва – з 13:00 до 13:45.
Робота Адміністратора ІТС ЦЗО з Центрами (заявниками) щодо блокування, скасування та поновлення сертифікатів ключів Центрів є цілодобовою. Інформування про необхідність подання до Адміністратора ІТС ЦЗО заяв на блокування, скасування та поновлення сертифікатів ключів Центрів у неробочий час здійснюється за телефоном (044) 206-71-90, а їх подання здійснюється за місцезнаходженням Адміністратора ІТС ЦЗО.
1.10. Заяви та документи на реєстрацію, акредитацію ЗЦ і ЦСК та формування сертифікатів ключів Центрам, документована інформація, що передається АЦСК до ЦЗО у разі припинення їх діяльності, приймаються та розглядаються Департаментом державної реєстрації та нотаріату у робочі дні відповідно до режиму роботи, зазначеного в пункті 1.9 цього розділу.
1.11. Цей Регламент та зміни до нього розміщуються на офіційному веб-сайті ЦЗО.
1.12. Внесення змін та доповнень до Регламенту здійснюється ЦЗО у порядку, встановленому для погодження та затвердження Регламенту.
IІ. Сертифікати ключів, сформовані ЦЗО, та сфера їх використання
2.1. Адміністратор ІТС ЦЗО формує сертифікати ключів ЦЗО, що містять відкриті ключі, відповідні яким особисті ключі ЦЗО призначені для формування сертифікатів ключів Центрів, даних про статус сертифікатів ключів Центрів та інших призначень, встановлених законодавством.
Сертифікати ключів ЦЗО використовуються для перевірки ЕЦП на сертифікатах ключів Центрів та на даних про статус сертифікатів ключів Центрів та інших призначень, встановлених законодавством.
2.2. Адміністратор ІТС ЦЗО формує сертифікати ключів Центрів, що містять відкриті ключі, відповідні яким особисті ключі Центрів призначені для формування сертифікатів ключів підписувачів, СВС, надання послуг фіксування часу та інших призначень, передбачених законодавством.
Сертифікати ключів Центрів використовуються для перевірки ЕЦП на сертифікатах ключів підписувачів та на СВС та для інших призначень, передбачених законодавством.
ІІІ. Інформація ЦЗО та порядок її розповсюдження (публікації)
3.1. На офіційному веб-сайті ЦЗО розповсюджується (публікується) така інформація:
Реєстр суб'єктів;
електронний реєстр чинних, блокованих та скасованих сертифікатів ключів Центрів;
сертифікати ключів ЦЗО;
відомості про прийняття від АЦСК на зберігання документованої інформації у разі припинення діяльності АЦСК;
нормативно-правові акти, що регулюють відносини у сфері використання ЕЦП, Регламент, фотокопії свідоцтв про акредитацію, зразок договору про надання послуг з обслуговування посилених сертифікатів відкритих ключів Центру та інших документів, методичні та довідкові матеріали;
інформація щодо поточної діяльності ЦЗО.
3.2. Публікація чинних сертифікатів ключів ЦЗО здійснюється після формування сертифікатів.
Публікація чинних сертифікатів ключів Центрів здійснюється Адміністратором ІТС ЦЗО після передачі сформованого сертифіката уповноваженій особі Центру, про що письмово повідомляється Мін'юст.
Доступ до сертифікатів ЦЗО та Центрів забезпечується цілодобово.
3.3. Інформація щодо скасованих та блокованих сертифікатів Центрів публікується на офіційному веб-сайті ЦЗО у вигляді повних та часткових СВС, формати яких встановлені Вимогами до формату посиленого сертифіката відкритого ключа (
z1398-12)
, затвердженими Наказом.
Повні СВС публікуються не рідше одного разу на тиждень не пізніше закінчення строку дії попереднього СВС.
Часткові СВС публікуються не рідше одного разу на дві години не пізніше закінчення строку дії попереднього СВС.
Доступ до СВС забезпечується цілодобово.
ІV. Порядок ідентифікації та автентифікації Центрів, реєстрації ЗЦ та ЦСК, акредитації ЗЦ та ЦСК
1. Загальні положення
1.1. Департамент державної реєстрації та нотаріату здійснює ідентифікацію та автентифікацію заявників у процесі проведення реєстрації та акредитації Центрів.
Адміністратор ІТС ЦЗО здійснює ідентифікацію та автентифікацію заявників під час формування блокування, скасування, поновлення сертифіката ключа Центру на підставі відповідної заяви Центру з дотриманням вимог пункту 1.4 розділу І цього Регламенту.
1.2. Департаментом державної реєстрації та нотаріату перед проведенням реєстрації, акредитації Центру виконується процедура встановлення заявника або його уповноваженої особи (ідентифікація та автентифікація) на підставі документів, передбачених пунктами 2.4, 2.5 глави 2 цього розділу, та документів відповідно до переліку документів, що подаються разом із заявою про акредитацію, визначеного в додатку 1 до Порядку акредитації центру сертифікації ключів (
903-2004-п)
, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
Встановлення юридичної особи здійснюється за її установчими документами, відомостями з Єдиного державного реєстру юридичних осіб та фізичних осіб – підприємців. Встановлення фізичної особи здійснюється за паспортом або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи.
Встановлення повноважень особи здійснюється за документом, що підтверджує її повноваження.
2. Реєстрація ЗЦ або ЦСК
2.1. Реєстрація ЗЦ або ЦСК відбувається шляхом внесення інформації про ЗЦ або ЦСК до Реєстру суб'єктів.
2.2. Реєстрація ЗЦ або ЦСК здійснюється на підставі заяви на проведення реєстрації за формою, визначеною у додатку 2 до цього Регламенту (далі - заява форми 1), що подається до Мін'юсту в письмовій формі заявником або його уповноваженою особою і підписується керівником заявника та скріплюється печаткою.
2.3. У заяві форми 1 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
організаційно-правова форма;
код за ЄДРПОУ – для юридичної особи;
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
номер поточного рахунку та найменування банку або номер рахунку, відкритий в органах, що здійснюють казначейське обслуговування бюджетних коштів;
місцезнаходження Центру та місцезнаходження юридичної особи/місце проживання фізичної особи – суб'єкта підприємницької діяльності;
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
назва ЦСК, ЗЦ;
відомості про контактну особу (прізвище, ім'я та по батькові, посада, номери телефонів, адреса електронної пошти).
2.4. Разом із заявою форми 1 заявник – юридична особа подає такі документи:
1) документ, що підтверджує повноваження уповноваженої особи заявника (оригінал);
2) згоду уповноваженої особи заявника на обробку її персональних даних (оригінал);
3) список посадових осіб заявника, обов'язки яких безпосередньо пов'язані з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів (оригінал);
4) установчі документи (засвідчені в установленому порядку копії);
5) документ, що підтверджує право власності заявника на окреме приміщення або оренди (суборенди) такого приміщення (засвідчена в установленому порядку копія);
6) документи, що підтверджують освітньо-кваліфікаційний рівень та стаж роботи за фахом найманих працівників: керівника, адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та системного адміністратора (засвідчені в установленому порядку копії);
7) документи (накази, посадові інструкції, договори тощо), якими визначено серед найманих працівників права та обов'язки керівника, адміністратора реєстрації, адміністратора сертифікації та системного адміністратора (засвідчені в установленому порядку копії);
8) копії заяви форми 1 та документів, передбачених підпунктами 1 – 7 цього пункту, в електронній формі на оптичному носії інформації.
За наявності у заявника – юридичної особи відокремленого пункту реєстрації до Мін'юсту подаються також документи, передбачені підпунктами 3, 5, 6, 7 цього пункту, стосовно кожного відокремленого пункту реєстрації, а також копії зазначених документів в електронній формі на оптичному носії інформації.
2.5. Разом із заявою форми 1 заявник – фізична особа, яка є суб'єктом підприємницької діяльності, подає такі документи:
1) документ, що підтверджує повноваження фізичної особи – суб'єкта підприємницької діяльності або її уповноваженої особи (оригінал);
2) згоду фізичної особи – суб'єкта підприємницької діяльності або її уповноваженої особи на обробку її персональних даних (оригінал);
3) список посадових осіб заявника, обов'язки яких безпосередньо пов'язані з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів (оригінал);
4) документ, що підтверджує право власності заявника на окреме приміщення або оренди (суборенди) такого приміщення (засвідчена в установленому порядку копія);
5) документи, що підтверджують освітньо-кваліфікаційний рівень та стаж роботи за фахом найманих працівників: керівника, адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та системного адміністратора (засвідчені в установленому порядку копії);
6) документи (накази, посадові інструкції, договори тощо), якими визначено серед найманих працівників права та обов'язки керівника, адміністратора реєстрації, адміністратора сертифікації та системного адміністратора (засвідчені в установленому порядку копії);
7) копії заяви форми 1 та документів, передбачених підпунктами 1 – 6 цього пункту, в електронній формі на оптичному носії інформації.
2.6. Опрацювання заяви форми 1 здійснюється у разі наявності всіх документів відповідно до переліку, визначеного пунктом 2.4 цієї глави.
Не приймаються до розгляду заяви та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
2.7. Строк розгляду заяви на реєстрацію становить не більше тридцяти календарних днів з моменту її реєстрації в Мін'юсті.
2.8. Наказ Мін'юсту про реєстрацію ЗЦ або ЦСК приймається за умови відповідності документів, поданих разом із заявою, вимогам, встановленим цим Регламентом. У разі невідповідності документів надається мотивована відмова у проведенні реєстрації та повертаються заява форми 1 та документи, що додаються до неї.
На підставі наказу Мін'юсту про реєстрацію ЗЦ або ЦСК Департамент державної реєстрації та нотаріату надсилає Адміністратору ІТС ЦЗО для внесення відповідної інформації про ЗЦ та ЦСК до Реєстру суб'єктів такі документи:
копію заяви форми 1, поданої заявником;
копію наказу про реєстрацію.
У разі прийняття наказу Мін'юсту про реєстрацію ЗЦ або ЦСК засвідчують свій відкритий ключ у ЦЗО відповідно до вимог цього Регламенту.
3. Акредитація ЗЦ та ЦСК
3.1. Проведення акредитації ЗЦ та ЦСК здійснюється у строк та відповідно до Порядку акредитації центру сертифікації ключів (
903-2004-п)
, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
3.2. Акредитація ЗЦ та ЦСК проводиться на підставі заяви на проведення акредитації за формою, визначеною у додатку 3 до цього Регламенту (далі - заява форми 2), що подається до Мін'юсту.
3.3. У заяві форми 2 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
організаційно-правова форма;
код за ЄДРПОУ – для юридичної особи;
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
номер поточного рахунку та найменування банку або номер рахунку, відкритий в органах, що здійснюють казначейське обслуговування бюджетних коштів;
місцезнаходження Центру та місцезнаходження юридичної особи/місце проживання фізичної особи – суб'єкта підприємницької діяльності;
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
назва ЦСК, ЗЦ;
відомості про контактну особу (прізвище, ім'я та по батькові, посада, номери телефонів, адреса електронної пошти).
3.4. Разом із заявою форми 2 ЗЦ та ЦСК подають документи згідно з переліком, визначеним у додатку 1 до Порядку акредитації центру сертифікації ключів (
903-2004-п)
, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
За наявності у заявника – юридичної особи відокремленого пункту реєстрації до Мін'юсту подаються також документи, передбачені підпунктами 3, 5, 6, 7 пункту 2.4 глави 2 цього розділу, та копії документів, що підтверджують наявність надійних засобів ЕЦП та відповідність комплексної системи захисту інформації відокремленого пункту реєстрації вимогам нормативних документів у сфері захисту інформації, стосовно кожного відокремленого пункту реєстрації, а також копії зазначених документів в електронній формі на оптичному носії інформації.
3.5. Не приймаються до розгляду заяви та документи, які мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
3.6. Наказ Мін'юсту про акредитацію ЗЦ або ЦСК приймається за умови подання разом із заявою форми 2 документів, передбачених пунктом 3.4 цієї глави. В іншому випадку надається мотивована відмова у проведенні акредитації та повертаються заява форми 2 і документи, що додаються до неї.
На підставі наказу Мін'юсту про акредитацію ЗЦ або ЦСК Департамент державної реєстрації та нотаріату надсилає Адміністратору ІТС ЦЗО для внесення відповідної інформації про АЦСК до Реєстру суб'єктів такі документи:
копію заяви форми 2, поданої заявником;
копію наказу про акредитацію.
У разі прийняття наказу Мін'юсту про акредитацію ЗЦ або ЦСК засвідчують свій відкритий ключ у ЦЗО відповідно до вимог цього Регламенту.
V. Обслуговування сертифікатів ключів Центрів
1. Формування сертифікатів ключів Центру
1.1. Формування сертифіката ключа Центру здійснюється на підставі заяви на формування посиленого сертифіката відкритого ключа (
z0191-13)
за формою, визначеною у додатку 4 до цього Регламенту (далі - заява форми 3), що подається до Адміністратора ІТС ЦЗО.
1.2. Заява форми 3 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним або його уповноваженою особою та скріплюється печаткою.
Під час прийому заяви форми 3 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
1.3. У заяві форми 3 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
організаційно-правова форма;
код за ЄДРПОУ – для юридичної особи;
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
місцезнаходження Центру та місцезнаходження юридичної особи/місце проживання фізичної особи – суб'єкта підприємницької діяльності;
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
назва Центру;
серійний (заводський) номер носія інформації, на якому надається запит на формування сертифіката в електронному вигляді;
унікальний реєстраційний номер, що входить до реквізиту "унікальний реєстраційний номер" (поле "SеriаlNumber") сертифіката ключа Центру;
призначення (сфера використання) відкритого ключа Центру відповідно до вимог, встановлених законодавством.
Не приймаються до розгляду заяви та документи, що мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого їхній текст не можна прочитати.
1.4. Формування Центром унікального реєстраційного номера, що входить до реквізиту "унікальний реєстраційний номер" сертифіката ключа Центру, здійснюється згідно з нижченаведеними правилами:
UA-[КодУстанови] ( -[Додаток] ),
де
UA - код України згідно з ISO 3166;
Код Установи – 8, 9 або 10 цифр, що містять код за ЄДРПОУ, – для юридичної особи/реєстраційний номер облікової картки платника податків або серію та номер паспорта – для фізичної особи – суб'єкта підприємницької діяльності (крім фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті), що є Центром, за відомостями установчих документів та/або відомостями з Єдиного державного реєстру юридичних осіб та фізичних осіб – підприємців;
додаток - необов'язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання додатка він відокремлюється від реквізиту Код Установи символом "-".
Вищезазначений реквізит шляхом його додавання до розпізнавального імені Центру забезпечує унікальність його розпізнавального імені в межах України.
1.5. Разом із заявою форми 3 подаються:
запит на формування сертифіката ключа Центру (далі - запит) в електронному вигляді;
два примірники договору про надання послуг з обслуговування посиленого сертифіката відкритого ключа, підписані керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою та скріплені печаткою.
1.6. Вимоги до запиту:
запит подається у форматі згідно зі cпецифікацією синтаксису запиту на сертифікацію (PKCS#10), що визначена RFC 2986 "PKCS #10: Certification Request Syntax Specification";
запит повинен містити інформацію про відкритий ключ Центру, що подає такий запит. Зазначена інформація визначається атрибутом "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo"), формат якого повинен відповідати Вимогам до формату посиленого сертифіката відкритого ключа (
z1398-12)
, затвердженим Наказом;
формат інших обов'язкових полів запиту повинен відповідати вимогам Наказу (
z1398-12)
;
запит, крім обов'язкових реквізитів Центру, може містити додаткову інформацію відносно Центру, що подає такий запит. Зазначена інформація визначається атрибутом "Розширений запит" ("extensionRequest");
атрибут "Розширений запит" використовується для визначення розширень у сертифікаті ключа Центру, що формується, та має такий вигляд:
extensionRequest ATTRIBUTE ::= (
WITH SYNTAX ExtensionRequest
SINGLE VALUE TRUE
ID pkcs-9-at-extensionRequest
)
ExtensionRequest ::= Extensions
формат поля Extensions повинен відповідати Вимогам до формату посиленого сертифіката відкритого ключа (
z1398-12)
, затвердженим Наказом.
1.7. Розгляд заяви форми 3 становить не більше двох робочих днів від дати прийняття заяви.
Під час розгляду заяви форми 3 здійснюється перевірка:
відповідності даних, внесених до заяви, документам Центру, отриманим від Мін'юсту відповідно до пункту 2.8 глави 2 та пункту 3.6 глави 3 розділу IV цього Регламенту;
унікальності розпізнавального імені Центру в межах України;
унікальності відкритого ключа Центру за відомостями електронного реєстру чинних, блокованих та скасованих сертифікатів ключів Центрів;
належності Центру відповідного особистого ключа шляхом перевірки ЕЦП на запиті на формування сертифіката ключа Центру;
відповідності запиту на формування сертифіката вимогам, зазначеним у пункті 1.6 цієї глави.
Протягом одного робочого дня:
Адміністратор ІТС ЦЗО для встановлення заявника або його уповноваженої особи (ідентифікація та автентифікація) засобами електронної пошти повідомляє Департамент державної реєстрації та нотаріату про результати перевірки відповідності даних, внесених до заяви, документам Центру. До повідомлення додаються електронні копії заяви та документів у форматі PDF, що підтверджують повноваження уповноваженої особи заявника. Захист доданих до повідомлення електронних копій документів забезпечується використанням електронного цифрового підпису;
Департамент державної реєстрації та нотаріату підтверджує Адміністратору ІТС ЦЗО можливість формування сертифіката ключа Центру або повідомляє про припинення дій щодо формування сертифіката та його причини.
У разі успішної перевірки та отримання підтвердження від Департаменту державної реєстрації та нотаріату Адміністратор ІТС ЦЗО формує сертифікат ключа Центру. У разі не проходження перевірки або отримання повідомлення Департаменту державної реєстрації та нотаріату про припинення дій щодо формування сертифіката Центру надається мотивована відмова у формуванні сертифіката Центру та повертається заява форми 3 разом з додатками до неї.
1.8. Формування сертифікатів ключів Центрів здійснюється посадовими особами Адміністратора ІТС ЦЗО, на яких покладено виконання обов'язків адміністратора сертифікації (далі - адміністратор сертифікації), та під контролем посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов'язків адміністратора безпеки (далі - адміністратор безпеки).
Під час формування сертифіката ключа Центру:
розширення, подані у запиті, обробляються за правилами, наведеними в таблиці 2 додатка 1 до цього Регламенту;
додаткові розширення, що не наведені в таблиці 2 додатка 1 до цього Регламенту та можуть міститись у запиті, встановлюються у сертифікаті ключа Центру за умови, що вони були визначені як некритичні, а об'єктні ідентифікатори таких розширень зареєстровані у встановленому порядку.
Адміністратор ІТС ЦЗО формує сертифікат ключа Центру в електронній формі та два примірники сертифіката ключа Центру в паперовій формі.
Усі примірники сертифіката ключа Центру у паперовій формі підписуються керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, уповноваженою особою Адміністратора ІТС ЦЗО та скріплюються печаткою Адміністратора ІТС ЦЗО.
1.9. За результатами проведеного формування сертифіката ключа Центру його уповноваженій особі надаються:
один підписаний примірник договору про надання Центру Адміністратором ІТС ЦЗО послуг з обслуговування посиленого сертифіката відкритого ключа;
один примірник сертифіката ключа Центру в паперовій формі;
сертифікат ключа Центру в електронній формі;
сертифікати ключів ЦЗО в електронній формі.
Дані в електронній формі передаються уповноваженій особі Центру у вигляді файлів, записаних на оптичний диск або інший носій.
1.10. Строк чинності сертифіката ключа Центру визначається відповідно до вимог законодавства про ЕЦП.
Початок строку чинності сертифіката ключа Центру обчислюється з дати і часу формування сертифіката у ЦЗО, що відображається у сертифікаті.
1.11. Після передачі Адміністратором ІТС ЦЗО сертифіката ключа Центру відповідно до пункту 1.9 цієї глави сертифікат ключа опубліковується на офіційному веб-сайті ЦЗО, про що письмово повідомляється Мін'юст.
1.12. Центри використовують пари (особистих та відкритих) ключів за призначенням (сферою використання) відповідно до стандартів, рекомендацій, технічних специфікацій та алгоритмів, визначених у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених Наказом.
Під час формування сертифікатів відкритих ключів підписувачів Центри повинні використовувати пари (особистих та відкритих) ключів з такими параметрами:
зі ступенем розширення основного поля еліптичної кривої згідно з ДСТУ 4145-2002 "Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002), не менше 257;
зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA згідно з ДСТУ ISO/IEC 14888-3:2014 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів";
з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до RFC 3447 "Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1".
Для обчислення значення геш-функції використовуються алгоритми, визначені Вимогами до формату посиленого сертифіката відкритого ключа, затвердженими Наказом.
Центри використовують пари (особистих та відкритих) ключів зі ступенем розширення основного поля еліптичної кривої згідно з ДСТУ 4145-2002 "Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002), не менше 257.
Центр використовує особистий ключ Центру тільки за призначенням (сферою використання) в період чинності сертифіката ключа Центру та за умови, що сертифікат ключа Центру не був заблокований або скасований.
Центр забезпечує використання сертифіката ключа Центру та особистого ключа Центру тільки в рамках сфери використання, зазначеної у пункті 2.2 розділу ІІ цього Регламенту.
Центр забезпечує обов'язковість перевірки строку чинності та статусу сформованого ЦЗО сертифіката ключа Центру під час надання послуг ЕЦП у порядку, встановленому законодавством.
Перед використанням сертифіката ключа Центру здійснюються:
перевірка чинності сертифіката ключа Центру на момент накладення ЕЦП на документ або перевірка ЕЦП на документі;
перевірка ЕЦП сертифіката ключа Центру за допомогою сертифіката ключа ЦЗО, чинного на момент формування сертифіката ключа Центру;
перевірка статусу сертифіката ключа Центру у режимі реального часу, якщо перевірка здійснюється на момент чинності сертифіката Центру, або за СВС.
Під час перевірки статусу сертифіката ключа Центру за СВС здійснюється перевірка автентичності, цілісності та терміну дії СВС.
2. Скасування сертифіката ключа Центру
2.1. Скасування сертифіката ключа Центру здійснюється у випадках, передбачених законодавством, на підставі заяви на скасування посиленого сертифіката відкритого ключа за формою, визначеною у додатку 5 до цього Регламенту (далі - заява форми 4), що подається до Адміністратора ІТС ЦЗО.
2.2. Заява форми 4 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним або його уповноваженою особою та скріплюється печаткою.
Під час прийому заяви форми 4 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
2.3. У заяві форми 4 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код за ЄДРПОУ – для юридичної особи;
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
номери телефонів;
електронна адреса електронного інформаційного ресурсу;
причина скасування сертифіката ключа Центру;
назва Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що скасовується.
Не приймається до розгляду заява, що має підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого її текст не можна прочитати.
2.4. Опрацювання заяви форми 4 та інформування Центром Адміністратора ІТС ЦЗО про скасування сертифіката його ключа здійснюються протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
Скасування сертифікатів ключів Центрів здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
Скасування сертифіката ключа Центру набирає чинності з моменту внесення його до СВС із зазначенням причини, дати та часу здійснення цієї операції.
Після завершення процедури скасування сертифіката ключа Центру Адміністратор ІТС ЦЗО негайно письмово повідомляє про таке скасування Мін'юст, який інформує контролюючий орган.
3. Блокування сертифіката ключа Центру
3.1. Блокування сертифіката ключа Центру здійснюється у випадках, передбачених законом, на підставі заяви на блокування посиленого сертифіката відкритого ключа за формою, визначеною у додатку 6 до цього Регламенту (далі - заява форми 5), що подається до Адміністратора ІТС ЦЗО.
3.2. Заява форми 5 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним або його уповноваженою особою та скріплюється печаткою.
Під час прийому заяви форми 5 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
3.3. У заяві форми 5 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код за ЄДРПОУ – для юридичної особи;
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
причина блокування сертифіката ключа Центру;
назва Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що блокується.
Не приймається до розгляду заява, що має підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого її текст не можна прочитати.
3.4. Опрацювання заяви форми 5 та інформування Центром Адміністратора ІТС ЦЗО про блокування сертифіката його ключа здійснюються протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
Блокування сертифіката ключа Центру здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
Блокування сертифіката ключа Центру набирає чинності з моменту внесення його до СВС із зазначенням причини, дати та часу здійснення цієї операції.
Після завершення процедури блокування сертифіката ключа Центру Адміністратор ІТС ЦЗО негайно письмово повідомляє про таке блокування Мін'юст, який інформує контролюючий орган.
4. Поновлення сертифіката ключа Центру
4.1. Поновлення сертифіката ключа Центру здійснюється у випадках, передбачених законодавством, на підставі заяви на поновлення посиленого сертифіката відкритого ключа за формою, визначеною у додатку 7 до цього Регламенту (далі - заява форми 6), що подається до Адміністратора ІТС ЦЗО.
4.2. Заява форми 6 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним або його уповноваженою особою та скріплюється печаткою.
Під час прийому заяви форми 6 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
4.3. У заяві форми 6 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код за ЄДРПОУ – для юридичної особи;
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
причина поновлення сертифіката ключа (підтвердження факту усунення причин для блокування сертифіката ключа Центру);
назва Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що поновлюється.
Не приймається до розгляду заява, що має підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого її текст не можна прочитати.
4.4. Опрацювання заяви форми 6 здійснюється протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
4.5. Поновлення сертифіката ключа Центру здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
Поновлення сертифіката ключа Центру набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
Після завершення процедури поновлення сертифіката ключа Центру Адміністратор ІТС ЦЗО негайно письмово повідомляє про таке поновлення Мін'юст, який інформує контролюючий орган.
4.6. Розповсюдження інформації про статус сертифікатів ключів Центрів здійснюється за допомогою публікації повного та часткового СВС на офіційному веб-сайті ЦЗО та забезпечення можливості перевірки статусу сертифіката ключа Центру в режимі реального часу через телекомунікаційні мережі загального користування.
Адміністратор ІТС ЦЗО під час формування СВС забезпечує такі умови:
кожен із СВС містить дані щодо часу видання наступного списку;
новий СВС може бути опублікований до визначеного часу видання наступного списку;
на СВС накладається ЕЦП з використанням особистого ключа ЦЗО.
Інформація про статус сертифіката ключа Центру в режимі реального часу розповсюджується за протоколом визначення статусу сертифіката згідно з Вимогами до протоколу визначення статусу сертифіката (
z1403-12)
, затвердженими Наказом (
z1398-12)
.
Публікація наступного СВС здійснюється з періодичністю, зазначеною у пункті 3.3 розділу ІІІ цього Регламенту.
VI. Управління та операційний контроль
1. Фізичне середовище
1.1. Приміщення, де розташовано ІТС ЦЗО, територіально поділене на дві частини, в яких розміщено ЛОМ управління ІТС ЦЗО та ЛОМ серверів ІТС ЦЗО.
Місцезнаходження ЛОМ управління ІТС ЦЗО: вул. Бульварно-Кудрявська, 4, м. Київ, 04053.
Місцезнаходження ЛОМ серверів ІТС ЦЗО: вул. Куренівська, 21-А, м. Київ, 04073.
1.2. У ЛОМ управління об'єднані робочі станції (далі - РС) посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків адміністратора реєстрації (далі - адміністратор реєстрації), посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків системного адміністратора (далі - системний адміністратор), адміністраторів сертифікації та безпеки (далі разом - адміністратори) з використанням комутаційного обладнання та які розміщуються відокремлено від серверів і підключаються до ЛОМ серверів ІТС ЦЗО через телекомунікаційні мережі загального користування. Підключення здійснюється через шлюз захисту мережевих з’єднань, який розміщується на стороні ЛОМ серверів ІТС ЦЗО таким чином, що утворюється єдина віртуальна ЛОМ система. Шлюз захисту мережевих з’єднань призначений для автентифікації адміністраторів при підключенні до ЛОМ серверів шляхом встановлення захищеного мережевого з’єднання з РС адміністраторів.
1.3. Приміщення, де розміщено ЛОМ серверів ІТС ЦЗО, обладнано згідно з вимогами до спеціальних приміщень АЦСК, які передбачають проведення заходів щодо пасивного захисту інформації від її витоку каналами побічних електромагнітних випромінювань та наведень, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів (далі - спеціальне приміщення).
Усі приміщення ІТС ЦЗО обладнані автоматичною системою контролю доступу, яка забезпечує фізичний доступ до приміщень тільки особам, визначеним наказом керівника Адміністратора ІТС ЦЗО.
2. Безпека ІТС ЦЗО та захист інформаційних ресурсів
2.1. Для виконання технічних та технологічних функцій ЦЗО Адміністратором ІТС ЦЗО створюється технічний підрозділ, до складу якого входять працівники, діяльність яких безпосередньо пов'язана із забезпеченням функціонування ІТС ЦЗО.
Захист інформації у ІТС ЦЗО забезпечується службою захисту інформації ІТС ЦЗО.
Безпека ІТС ЦЗО досягається шляхом впровадження організаційних інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації комплексної системи захисту інформації (далі - КСЗІ).
Засоби та обладнання ІТС ЦЗО, за допомогою яких здійснюються генерація та використання особистого ключа ЦЗО, обслуговування сертифікатів ключів Центрів, розміщуються у спеціальному приміщенні. Фізичний доступ до обладнання ІТС ЦЗО, що забезпечує генерацію та використання особистих ключів ЦЗО, сертифікацію, управління статусом сертифіката, обмежений і надається виключно посадовим особам Адміністратора ІТС ЦЗО, визначеним наказом керівника Адміністратора ІТС ЦЗО.
2.2. В ІТС ЦЗО забезпечується захист інформаційних ресурсів від зовнішніх загроз, атак та несанкціонованого витоку інформації шляхом створення та підтримки безпечних інформаційних технологій, у рамках яких доступ до інформації різних категорій користувачів організовується таким чином, що тільки уповноваженим користувачам або процесам надається можливість роботи з конкретною інформацією, доступ до якої обмежується і гарантується цілісність при її обробці в електронному вигляді набором даних, що містяться на змінних носіях інформації.
Робота ІТС ЦЗО можлива лише при функціонуючій КСЗІ.
У спеціальному приміщенні, де розташовано ЛОМ серверів ІТС ЦЗО, передбачено захист внутрішньої обчислювальної мережі від втручання з боку телекомунікаційної мережі загального користування.
Доступ до захищених ресурсів ІТС ЦЗО надається тільки після успішної авторизації адміністраторів.
Перед початком виконання процедур, пов'язаних із реєстрацією, формуванням сертифіката ключа або зміною його статусу, формуванням СВС, адміністратори повинні бути успішно авторизовані.
3. Процедурний контроль
3.1. У складі технічного підрозділу Адміністратора ІТС ЦЗО, який здійснює забезпечення функціонування ІТС ЦЗО, створюється служба захисту інформації у складі:
посадової особи Адміністратора ІТС ЦЗО, на яку покладено обов’язки керівника служби захисту інформації;
адміністратора безпеки;
системного адміністратора.
До складу технічного підрозділу Адміністратора ІТС ЦЗО також входять:
адміністратор сертифікації;
адміністратор реєстрації.
Служба захисту інформації ІТС ЦЗО (далі - СЗІ) забезпечує захист інформації в ІТС ЦЗО шляхом вирішення питань, пов'язаних з проектуванням, розробленням, модернізацією, введенням в експлуатацію та підтримкою працездатності КСЗІ, та додержання режиму безпеки в ІТС ЦЗО.
Основними функціями СЗІ є:
забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
розроблення розпорядчих документів, згідно з якими Адміністратор ІТС ЦЗО повинен забезпечувати захист інформації, контроль за їх виконанням;
своєчасне реагування на спроби несанкціонованого доступу до інформаційних ресурсів ІТС ЦЗО, порушення правил експлуатації засобів захисту інформації.
Обов’язки керівника СЗІ покладаються на одного із працівників технічного підрозділу Адміністратора ІТС ЦЗО наказом керівника Адміністратора ІТС ЦЗО.
Керівник СЗІ забезпечує належне виконання СЗІ її функцій.
3.2. Адміністратор безпеки відповідає за належне функціонування КСЗІ.
Основними обов'язками адміністратора безпеки є:
участь у генерації пари ключів (особистий та відкритий ключі) ЦЗО та їх резервних копій;
контроль за формуванням, резервуванням та обслуговуванням сертифікатів ключів ЦЗО, Центрів та СВС;
контроль за зберіганням особистих ключів ЦЗО та їх резервних копій, особистих ключів адміністраторів;
участь у знищенні особистих ключів ЦЗО, контроль за правильним і своєчасним знищенням адміністраторами особистих ключів;
організація розмежування доступу до ресурсів ІТС ЦЗО;
забезпечення спостереження (реєстрація та аудит подій у ІТС ЦЗО, моніторинг подій тощо) за функціонуванням КСЗІ;
забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС ЦЗО;
забезпечення режиму доступу до спеціального приміщення ІТС ЦЗО;
ведення журналів обліку адміністратора безпеки, передбачених документацією КСЗІ.
3.3. Системний адміністратор відповідає за функціонування ІТС ЦЗО.
Основними обов'язками системного адміністратора є:
організація експлуатації та технічного обслуговування ІТС ЦЗО і адміністрування його засобів;
забезпечення функціонування офіційного веб-сайту ЦЗО;
участь у впровадженні та забезпеченні функціонування КСЗІ;
ведення журналів аудиту подій, що реєструють засоби ІТС ЦЗО;
інсталяція та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ІТС ЦЗО;
встановлення та налагодження штатної підсистеми резервного копіювання бази даних ІТС ЦЗО;
забезпечення актуалізації баз даних, створюваних та оброблюваних у ІТС ЦЗО, внаслідок збоїв.
3.4. Адміністратор сертифікації відповідає за формування сертифікатів ключів, ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів, збереження та використання особистого ключа ЦЗО.
Основними обов'язками адміністратора сертифікації є:
участь у генерації пари ключів (особистий та відкритий ключі) та зберігання особистих ключів ЦЗО та їх резервних копій;
забезпечення використання особистих ключів ЦЗО під час формування та обслуговування сертифікатів ключів ЦЗО та Центрів;
перевірка запитів на формування сертифікатів Центру вимогам Регламенту;
участь у знищенні особистих ключів ЦЗО;
забезпечення ведення, архівування та відновлення баз даних сертифікатів ключів Центрів;
розповсюдження (публікація) переліку сертифікатів ключів Центрів і СВС на офіційному веб-сайті ЦЗО;
резервування сертифікатів ключів і СВС, інших важливих ресурсів ІТС ЦЗО.
3.5. Адміністратор реєстрації відповідає за перевірку документів, наданих Центрами, звернень Центрів щодо формування, блокування, поновлення та скасування сертифікатів ключів Центрів.
Основними обов'язками адміністратора реєстрації є:
ідентифікація та автентифікація заявників;
перевірка заяв на формування, скасування, блокування та поновлення сертифікатів ключів;
встановлення належності Центру особистого ключа та його відповідності відкритому ключу Центру;
ведення електронного Реєстру суб'єктів.
4. Журнали аудиту
4.1. У журналах аудиту ІТС ЦЗО реєструються дії та події таких типів:
спроби створення, знищення, встановлення паролів, зміни прав доступу в ІТС ЦЗО тощо;
заміни технічних засобів ІТС ЦЗО та ключів;
формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;
спроби несанкціонованого доступу до ІТС ЦЗО;
надання доступу персоналу до ІТС ЦЗО;
зміна системних конфігурацій та технічне обслуговування ІТС ЦЗО;
збої в роботі ІТС ЦЗО;
інші події, відомості про які фіксуються в журналі аудиту ІТС ЦЗО.
Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб'єкта, що її здійснив або ініціював.
4.2. Журнали аудиту підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку того, що журнал не піддавався несанкціонованим модифікаціям, вивчення всіх дій та/або подій у журналі з приділенням особливої уваги повідомленням про невідповідності і попередженням про небезпечні ситуації. Перегляд журналів аудиту ІТС ЦЗО здійснює адміністратор безпеки. Результати перегляду адміністратор безпеки фіксує в журналі аудиту адміністратора безпеки.
4.3. Система ведення електронного журналу аудиту включає механізми його захисту від неавторизованого перегляду, модифікації і знищення. Записи подій у журналах аудиту в паперовій формі повинні бути завірені і підписані адміністратором безпеки.
Журнали аудиту в електронній формі резервуються з періодичністю не менше одного разу на тиждень.
4.4. Адміністратор ІТС ЦЗО зберігає журнали аудиту на місці їх створення протягом 10 років, після чого забезпечує їх передачу для архівного збереження.
5. Ведення архівів
Документи з паперовими та електронними носіями, що створюються або надходять до ЦЗО, зберігаються та знищуються відповідно до вимог законодавства.
VII. Періодичність, порядок планової заміни, використання особистих ключів ЦЗО та управління ключами в ЦЗО
1. Загальні положення
1.1. В ІТС ЦЗО використовуються особисті та відповідні їм відкриті ключі за призначенням (сферою використання) відповідно до стандартів, рекомендацій, технічних специфікацій та алгоритмів, визначених у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених Наказом, із такими параметрами:
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі шлюзів захисту мережевих з’єднань та шифраторів мережевого потоку зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з’єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів, СВС та на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA згідно з ДСТУISO/IEC 14888-3:2014 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів";
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів, СВС та на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до RFC 3447 "Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1".
1.2. Процедури генерації особистих та відповідних їм відкритих ключів, що використовуються в ІТС ЦЗО, створення резервних копій, відновлення з резервних копій, використання та знищення особистих ключів, що використовуються в ІТС ЦЗО, здійснюються в частині, що не суперечить вимогам цього Регламенту, відповідно до положень інструкції із забезпечення безпеки експлуатації засобу криптографічного захисту інформації та інструкції щодо порядку генерації ключових даних і поводження (обліку, зберігання, знищення) з ключовими документами, передбачених Положенням про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації (
z0862-07)
, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованим у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (у редакції наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 грудня 2015 року № 767), до відповідних засобів криптографічного захисту інформації (далі - КЗІ) зі складу ІТС ЦЗО, які погоджуються з Адміністрацією Державної служби спеціального зв’язку та захисту інформації України.
2. Генерація особистих та відкритих ключів
2.1. В ІТС ЦЗО генеруються особистий та відповідний йому відкритий ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС, особистий та відповідний йому відкритий ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистий та відповідний йому відкритий ключі шлюзу захисту мережевих з'єднань, особистий та відповідний йому відкритий ключі адміністраторів (далі разом - особисті та відповідні їм відкриті ключі ЦЗО).
2.2. Генерація особистих та відповідних їм відкритих ключів ЦЗО здійснюється у спеціальному приміщенні ІТС ЦЗО за участю адміністратора безпеки під контролем адміністратора сертифікації.
Після генерації особистих та відкритих ключів ЦЗО здійснюється формування відповідних сертифікатів ключів.
Особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС та особисті ключі ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зберігаються в апаратних та/або апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО.
Особисті ключі шлюзів захисту мережевих з’єднань, шифраторів мережевого потоку та особисті ключі адміністраторів зберігаються на захищених носіях особистих ключів.
Для забезпечення можливості відновлення особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, у випадку виходу з ладу апаратних та/або апаратно-програмних засобів КЗІ виконується резервне копіювання відповідного особистого ключа із засобу КЗІ на захищеному носієві особистих ключів.
Для забезпечення можливості відновлення особистих ключів шлюзів захисту мережевих з’єднань, шифраторів мережевого потоку та особистих ключів адміністраторів у випадку виходу з ладу захищеного носія особистих ключів виконується резервне копіювання особистого ключа із засобу КЗІ на окремі резервні захищені носії особистих ключів.
Факти генерації та створення резервних копій особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистих ключів шлюзів захисту мережевих з’єднань, особистих ключів шифраторів мережевого потоку (далі - особисті ключі ЦЗО), особистих ключів адміністраторів та відповідних їм відкритих ключів реєструються адміністратором безпеки у відповідному журналі обліку.
2.3. Передавання особистих ключів ЦЗО здійснюється за журналом прийому-передачі ключів.
Забороняється:
передавання особистих ключів адміністраторів між адміністраторами.
виносити особисті ключі ЦЗО та їх резервні копії із спеціального приміщення ІТС ЦЗО.
3. Планова та позапланова заміна ключів, їх знищення
3.1. Строки дії особистих ключів ЦЗО відповідають строкам чинності сертифікатів відповідних їм відкритих ключів і становлять:
для особистих ключів ЦЗО для накладення ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС не більше 10 років;
для особистих ключів ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, не більше 5 років;
для особистих ключів шлюзу захисту мережевих з'єднань не більше 2 років.
Строк дії особистих ключів адміністраторів становить не більше 2 років.
3.2. Планова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується не пізніше ніж за 2 робочі дні до закінчення строку дії відповідного сертифіката ключа.
Під час планової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором безпеки під контролем адміністратора сертифікації відповідно до вимог пункту 2.2 глави 2 цього розділу здійснюється генерація нових особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката ключа та створення резервних копій особистого ключа.
Після введення в дію нових особистого та відповідного йому відкритого ключа ЦЗО особистий ключ, термін дії сертифіката відкритого ключа якого завершився, та всі його резервні копії знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
3.3. Позапланова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується у випадках компрометації або підозри на компрометацію особистого ключа ЦЗО та/або особистого ключа адміністратора.
Під час позапланової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором безпеки під контролем адміністратора сертифікації відповідно до вимог пункту 2.2 глави 2 цього розділу здійснюється генерація нових особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката ключа та створення резервних копій особистого ключа.
У разі підтвердження факту компрометації особистих ключів ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС усі попередньо сформовані сертифікати ключів Центрів скасовуються та формується СВС, який підписується новим особистим ключем ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС.
Усі особисті ключі ЦЗО та особисті ключі адміністраторів, факт компрометації яких було підтверджено, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
3.4. Факти знищення особистих ключів ЦЗО, особистих ключів адміністраторів та їх резервних копій реєструються адміністратором безпеки у відповідному журналі обліку.
3.5. Не пізніше завершення половини строку дії поточного особистого та відповідного йому відкритого ключів ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС здійснюються генерація нового особистого та відповідного йому відкритого ключів ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС та формування відповідного сертифіката ключа. При цьому поточний особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС стає попереднім, а новий - поточним.
Поточні особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС повинні зберігатися і застосовуватися в апаратних та/або апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП на сертифікати ключів Центрів та СВС.
Попередні особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС повинні зберігатися і застосовуватися в апаратних та/або апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП тільки для обслуговування сертифікатів ключів Центрів, які були сформовані за допомогою цих ключів.
3.6. ЦЗО невідкладно інформує Центри та контролюючий орган про здійснення планової чи позапланової заміни особистих та відкритих ключів ЦЗО.
Директор Департаменту
нотаріату, банкрутства
та функціонування
центрального
засвідчувального органу
|
К.І. Чижмарь
|
Додаток 1
до Регламенту роботи
центрального засвідчувального органу
ОБОВ'ЯЗКОВІ РЕКВІЗИТИ
Центру в запиті на формування сертифіката ключа
Таблиця 1
Назва реквізиту англійською мовою
|
Назва реквізиту українською мовою
|
Значення реквізиту
|
countryName
|
назва країни
|
країна, в якій зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності
id-at-countryName
AttributeType ::= ( id-at 6 )
Х520countryName ::= PrintableString (SIZE(2))
код згідно з міжнародним стандартом ISO 3166 (для України - UA)
|
organizationName
|
найменування організації
|
повне (або офіційне скорочене) найменування організації - юридичної особи або прізвище та ініціали фізичної особи, яка є суб'єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію
id-at-organizationName
AttributeType ::= ( id-at 10 )
Х520organizationName::=
DirectoryString (SIZE(64))
|
serialNumber
|
серійний номер
|
унікальний реєстраційний номер Центру
id-at-serialNumber
AttributeType ::= ( id-at 5 )
serialNumber::= PrintableString (SIZE(64))
Значення цього реквізиту задається згідно з пунктом 1.4 глави 1 розділу V цього Регламенту
|
stateOrProvinceName
|
назва області
|
область, у якій зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності
id-at-stateOrProvinceName
AttributeType ::= ( id-at 8 )
X520stateOrProvinceName ::= DirectoryString (SIZE(64))
|
localityName
|
назва міста
|
місто, в якому зареєстрована організація - юридична особа або фізична особа, яка є суб'єктом підприємницької діяльності
id-at-localityName
AttributeType ::= ( id-at 7 )
Х520localityName ::= DirectoryString (SIZE(64))
|
commonName
|
найменування Центру
|
найменування Центру
id-at-commonName
AttributeType ::= ( id-at 3 )
Х520commonName ::= DirectoryString (SIZE(64))
|
organizationalUnitName
|
назва підрозділу організації
|
назва підрозділу організації, що є Центром та забезпечує надання послуг ЕЦП
id-at-organizationalUnitName
AttributeType ::= ( id-at 11 )
Х520organizationalUnitName ::= DirectoryString (SIZE(64))
|
organizationIdentifier-2
|
ідентифікатор організації-2
|
унікальний ідентифікатор організації, що є Центром.
Правила заповнення цього реквізиту наведені у пункті 5.1.4 глави 5 ДСТУ ETSI EN 319 412-1:2016
id-at-organizationIdentifier OBJECT IDENTIFIER ::= ( id-at 97 )
|
signature
|
алгоритм ЕЦП
|
значення реквізиту для алгоритмів ЕЦП за ДСТУ 4145-2002 визначається згідно з вимогами, встановленими Наказом;
значення реквізиту для алгоритму ЕЦП ECDSA з алгоритмом гешування SHA256:
ecdsa-with-SHA256
OBJECT IDENTIFIER ::=( iso(1) member-body(2) us(840) ansi-x962(10045) signatures(4) ecdsa-with-SHA2(3) 2 );
значення реквізиту для алгоритму ЕЦП ECDSA з алгоритмом гешування SHA512:
ecdsa-with-SHA512
OBJECT IDENTIFIER ::=( iso(1) member-body(2) us(840) ansi-x962(10045) signatures(4) ecdsa-with-SHA2(3) 4 );
значення реквізиту для алгоритму ЕЦП RSA з алгоритмом гешування SHA256:
sha-256WithRSAEncryption OBJECT IDENTIFIER ::=( iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 11 );
значення реквізиту для алгоритму ЕЦП RSA з алгоритмом гешування SHA512: sha-512WithRSAEncryption OBJECT IDENTIFIER ::=( iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 13 )
|
subjectPublicKeyInfo
|
інформація про відкритий ключ Центру
|
у структурі цього реквізиту, крім значення відкритого ключа та параметрів криптоперетворень (для ДСТУ 4145-2002 та ECDSA), повинна міститися ознака алгоритму обчислення відкритого ключа;
значення ознаки алгоритму обчислення відкритого ключа для алгоритмів ЕЦП за ДСТУ 4145-2002 визначається згідно з вимогами, встановленими Наказом;
значення ознаки алгоритму обчислення відкритого ключа для алгоритму ЕЦП ECDSA: id-ecPublicKey OBJECT IDENTIFIER ::= ;
значення ознаки алгоритму обчислення відкритого ключа для алгоритму ЕЦП RSA: rsaEncryption OBJECT IDENTIFIER ::= ( iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 1 ) ( iso(1)member-body(2)us(840)ansi-X9 )
|
signatureAlgorithm
|
найменування криптоалгоритму, що використовується Центром
|
значення реквізиту має бути ідентичним значенню реквізиту "signature"
|
__________
-1 Якщо місцем реєстрації юридичної особи або фізичної особи - суб'єкта підприємницької діяльності є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім.
-2 Поле встановлюється у посилених сертифікатах для відкритих ключів, що визначені абзацами четвертим, п’ятим пункту 1.12 глави 1 розділу V Регламенту.
Обробка розширень, поданих у запиті під час формування сертифіката ключа Центру
Таблиця 2
Назва розширення англійською мовою
|
Назва розширення українською мовою (у термінології Наказу ( z1398-12)
)
|
Обов’язковість розширення у сертифікаті ключа Центру-1
|
Обов’язковість розширення у запиті-2
|
Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті-3
|
Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті-4
|
Примітки
|
Стандартні розширення
|
authorityKeyIdentifier
|
Ідентифікатор відкритого ключа Центру
|
+
|
+/-
|
-
|
+
|
Встановлюється значення ідентифікатора відкритого ключа ЦЗО
|
subjectKeyIdentifier
|
Ідентифікатор відкритого ключа підписувача
|
+
|
+/-
|
+
|
+
|
У разі відсутності розширення у запиті встановлюється значення ідентифікатора відкритого ключа, який обчислюється ЦЗО згідно з вимогами, встановленими Наказом ( z1398-12)
|
keyUsage
|
Призначення відкритого ключа, що міститься в сертифікаті
|
+
|
+/-
|
+/-
|
+
|
У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві на формування посиленого сертифіката відкритого ключа.
У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві на формування посиленого сертифіката відкритого ключа
|
extKeyUsage
|
Уточнене призначення відкритого ключа, що міститься в сертифікаті
|
+/-
|
+/-
|
+/-
|
+
|
У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві на формування посиленого сертифіката відкритого ключа.
У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві на формування посиленого сертифіката відкритого ключа
|
certificatePolicies
|
Політика сертифікації
|
+
|
+/-
|
+/-
|
+
|
У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування.
У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО
|
subjectAltName
|
Додаткові дані підписувача
|
+/-
|
+/-
|
+
|
-
|
Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування
|
issuerAlternativeName
|
Додаткові дані Центру
|
+/-
|
+/-
|
-
|
-
|
|
basicConstraints
|
Основні обмеження
|
+/-
|
+/-
|
+/-
|
+
|
У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу ( z1398-12)
, встановлюється значення розширення, що міститься у запиті на його формування.
У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що визначено Наказом, встановлюється значення, що відповідає ЗЦ, ЦСК або АЦСК згідно з Наказом
|
subjectDirectoryAttributes
|
Персональні дані підписувача
|
+/-
|
+/-
|
+
|
-
|
Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування
|
crlDistributionPoints
|
Точки доступу до СВС
|
+/-
|
+/-
|
-
|
+
|
Встановлюються значення, що відповідають адресам точок доступу до повних СВС ЦЗО
|
freshestCRL
|
Точки доступу до часткового СВС
|
+/-
|
+/-
|
-
|
+
|
Встановлюються значення, що відповідають адресам точок доступу до часткових СВС ЦЗО
|
Нестандартні розширення
|
ua-qcStatement-2 (1.2.804.2.1.1.1.2.2)
|
Політика посиленої сертифікації
|
+/-
|
+/-
|
+/-
|
+
|
У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу ( z1398-12)
, встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО
|
cps-5
|
Основні засади політики сертифікації-5
|
+/-
|
+/-
|
+/-
|
+
|
У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО
|
SemanticsId-Legal (0.4.0.194121.1.2)-5
|
Семантична ідентифікація Центру-5
|
+/-
|
+/-
|
+/-
|
+
|
У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування.
У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО
|
ua-qcStatement-1 (1.2.804.2.1.1.1.2.1)
|
Ознака посиленого сертифіката
|
+/-
|
+/-
|
+/-
|
+
|
У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу ( z1398-12)
, встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО
|
__________
-1 Обов’язковість розширення у сертифікаті ключа Центру:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-2 Обов’язковість розширення у запиті:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-3 Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру;
+/- - розширення може встановлюватися або не встановлюватися у сертифікаті ключа Центру.
-4 Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру.
-5 Поле встановлюється у посилених сертифікатах для відкритих ключів, що визначені абзацами четвертим, п’ятим пункту 1.12 глави 1 розділу V Регламенту.
Обов’язкові реквізити посиленого сертифіката відкритого ключа ЦЗО
Таблиця 3
Назва реквізиту англійською мовою
|
Назва реквізиту українською мовою
|
Значення реквізиту
|
countryName
|
Назва країни
|
Код згідно з міжнародним стандартом ISO 3166 для України
Значення: UA
|
organizationName
|
Найменування державного органу, на який покладено виконання функцій ЦЗО
|
Значення українською мовою: Міністерство юстиції України.
Значення англійською мовою, що застосовується для транскордонної взаємодії:
Ministry of Justice of Ukraine-1
|
serialNumber
|
Серійний номер
|
Унікальний реєстраційний номер.
Значення цього реквізиту задається згідно з пунктом 1.4 глави 1 розділу V Регламенту
|
localityName
|
Назва міста
|
Значення українською мовою:
Київ.
Значення англійською мовою, що застосовується для транскордонної взаємодії:
Kyiv-1
|
commonName
|
Загальне найменування органу
|
Значення українською мовою:
Центральний засвідчувальний орган.
Значення англійською мовою, що застосовується для транскордонної взаємодії:
Central certification authority-1
|
organizationalUnitName
|
Найменування структурного підрозділу, відповідального за технічне та технологічне забезпечення виконання функцій ЦЗО
|
Значення українською мовою:
Адміністратор ІТС ЦЗО.
Значення англійською мовою, що застосовується для транскордонної взаємодії:
Administrator ITS CCA-1
|
cps-2
|
Основні засади політики сертифікації-2
|
Встановлюється в об’єктному ідентифікаторі політики посиленої сертифікації
iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) qt(2) cps(1)
PolicyQualifierId ::= OBJECT IDENTIFIER ( id-qt-cps | id-qt-unotice ) Qualifier ::= CHOICE ( cPSuri CPSuri, userNotice UserNotice ) CPSuri ::= IA5String.
Значення:
https://czo.gov.ua/cps
|
qcs-QcCompliance-2
|
Ознака кваліфікованого сертифіката-2
|
id-etsi-qcs-QcCompliance OBJECT IDENTIFIER ::= ( itu-t(0) identified-organization(4) etsi(0)id-qc-profile(1862) id-etsi-qcs (1) 1 )
|
qcs-QcSSCD-2
|
Ознака засобів кваліфікованого електронного підпису-2
|
id-etsi-qcs-QcSSCD OBJECT IDENTIFIER ::= ( itu-t(0) identified-organization(4) etsi(0)id-qc-profile(1862) id-etsi-qcs (1) 4 )
|
qct-eseal-2
|
Ознака кваліфікованої електронної печатки-2
|
id-etsi-qcs-QcType-eseal OBJECT IDENTIFIER ::= ( itu-t(0) identified-organization(4) etsi(0)id-qc-profile(1862) id-etsi-qcs (1) id-etsi-qcs-QcType(6) 2 )
|
__________
-1 Значення встановлюється у посилених сертифікатах для відкритих ключів, що визначені абзацами шостим, сьомим пункту 1.1 глави 1 розділу VII Регламенту.
-2 Поле встановлюється у посилених сертифікатах для відкритих ключів, що визначені абзацами шостим, сьомим пункту 1.1 глави 1 розділу VII Регламенту.
Додаток 2
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на проведення реєстрації
Додаток 3
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на проведення акредитації
Додаток 4
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на формування посиленого сертифіката відкритого ключа
Додаток 5
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на скасування посиленого сертифіката відкритого ключа
Додаток 6
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на блокування посиленого сертифіката відкритого ключа
Додаток 7
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на поновлення посиленого сертифіката відкритого ключа