Завантажити повний текст регламенту (377 kB)
1.1. Регламент роботи акредитованого центру сертифікації ключів Приватного акціонерного товариства "Інфраструктура відкритих ключів" (далі – Регламент) розроблений відповідно до Закону України “Про електронний цифровий підпис”, Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13.07.2004 № 903, Правил посиленої сертифікації, затверджених наказом ДСТСЗІ СБ України від 13.01.05 № 3, зареєстрованих в Міністерстві юстиції України від 27.01.05 № 104/10384, у редакції наказу ДСТСЗІ СБ України від 10.05.2006 № 50 (далі – політика сертифікації).
1.2. Регламент визначає організаційні, технічні та інші умови діяльності акредитованого центру сертифікації ключів Приватного акціонерного товариства "Інфраструктура відкритих ключів" (далі – Центр) під час надання послуг електронного цифрового підпису (далі – ЕЦП).
1.3. Дія Регламенту поширюється на:
1.4. Будь-яка зацікавлена особа може ознайомитися з положеннями Регламенту на електронному інформаційному ресурсі, в офісах Центру та його відокремлених пунктах реєстрації.
Центр має право визначати обсяг положень Регламенту або інших документів, з якими необхідно ознайомлювати користувачів.
1.5. Визначення термінів
У цьому Регламенті терміни вживаються у такому значенні:
заявник – фізична або юридична особа, яка звертається до Центру з метою отримання послуг ЕЦП на підставі відповідного договору укладеного між заявником та Центром;
підписувач – особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає ЕЦП під час створення електронного документа;
посилений сертифікат відкритого ключа (далі – сертифікат ключа) являється надійним засобом ЕЦП та використовується користувачами Центру.
користувач – особа, яка використовує надійні засоби ЕЦП, сертифікати ключів та дані про статус сертифікатів ключів для перевірки ЕЦП;
Інші терміни та визначення, що вживаються в цьому Регламенті, визначені вищенаведеними нормативними актами.
1.6. Порядок внесення змін та доповнень до Регламенту
Внесення змін та доповнень до цього Регламенту здійснюється Центром у відповідності до чинного законодавства України. У разі внесення змін до Регламенту, у ньому окремо зазначаються положення (розділи, пункти), до яких внесено зміни, текст змін, а також дата їх внесення. Зміни до Регламенту погоджуються з контролюючим органом у встановленому порядку.
Про внесення змін та доповнень до цього Регламенту Центр повідомляє заявників, підписувачів, користувачів та інших зацікавлених осіб шляхом розміщення зазначених змін та доповнень на електронному інформаційному ресурсі Центру.
Всі зміни та доповнення, внесені до Регламенту, що не пов'язані зі зміною чинного законодавства України, набувають чинності через 10 (десять) календарних днів з моменту розміщення зазначених змін і доповнень на електронному інформаційному ресурсі Центру.
Всі зміни та доповнення, внесені Центром до Регламенту у зв'язку зі зміною чинного законодавства України, набувають чинності одночасно зі вступом в силу відповідних нормативних актів.
1.7. Ідентифікаційні дані Центру
Повне найменування: Акредитований Центр сертифікації ключів Приватного акціонерного товариства "Інфраструктура відкритих ключів".
Місце знаходження: 61058, м. Харків, пр-т Леніна, 5.
Тел./факс: (057) 760-12-60.
Електронна поштова скринька (e-mail): csk@ivk.org.ua.
Електронна адреса електронного інформаційного ресурсу (web-сайту): www.іvk.org.ua
Акредитований Центр сертифікації ключів Приватного акціонерного товариства "Інфраструктура відкритих ключів" (далі – ПрАТ "ІВК") в м. Харкові є відокремленим структурним, не госпрозрахунковим підрозділом. Фінансове та матеріальне утримання Центру здійснюється ПрАТ "ІВК".
Ідентифікаційні дані ПрАТ "ІВК":
Повне найменування: Приватне акціонерне товариство "Інфраструктура відкритих ключів".
Скорочене найменування: ПрАТ "ІВК".
Юридична адреса: 04050, м. Київ, вул. Мельникова, 12.
Тел: (044)599-26-67.
Код ЄДРПОУ: 33406085.
П/р № 26009011075420 в ПАТ "Укрсоцбанк" в м. Києві, МФО 300023 .
2. Перелік суб’єктів, задіяних в обслуговуванні і використанні сертифікатів ключів
2.1. Обслуговування сертифікатів ключів
Під послугами ЕЦП розуміється надання у користування засобів ЕЦП, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені Законом України "Про електронний цифровий підпис".
Центр забезпечує надання повного переліку послуг ЕЦП, передбачених політикою сертифікації, зокрема:
1) реєстрація заявників;
2) надання у користування засобів криптографічного захисту інформації (далі – КЗІ), у тому числі надійних засобів ЕЦП;
3) допомога при генерації відкритих та особистих ключів;
4) обслуговування сертифікатів ключів заявників, що включає:
– сертифікацію відкритих ключів заявників;
– розповсюдження та зберігання сертифікатів ключів;
– управління статусом сертифікатів ключів та розповсюдження інформації про статус сертифікатів ключів;
5) надання послуги фіксування часу.
Окрім надання послуг ЕЦП, Центр надає консультаційні послуги за зверненням заявників (підписувачів, користувачів).
Надання вищезазначених послуг здійснюється Центром відповідно до цього Регламенту та на підставі укладених письмових договорів або договорів приєднання, укладених шляхом прийняття заяви-приєднання.
Для наближення послуг ЕЦП до місцезнаходження заявників та підписувачів, Центр створює відокремлені пункти реєстрації. Відокремлені пункти реєстрації є відособленими підрозділами без правового статусу юридичної особи, що реалізують функції Центру з реєстрації заявників та їх подальшого обслуговування на відповідній території (крім формування сертифікатів). Відокремлені пункти реєстрації наділяються майном юридичної особи, діють на підставі Положення про відокремлений пункт реєстрації юридичної особи та цього Регламенту.
Безпосереднє управління відокремленими пунктами реєстрації здійснюється Центром.
До складу відокремлених пунктів реєстрації входять:
– керівник;
– адміністратор реєстрації;
– оператор реєстрації (діловод).
Функції та завдання відокремлених пунктів реєстрації:
– встановлення осіб, які звернулися до Центру з метою формування сертифіката ключа;
– перевірка даних, обов’язкових для формування сертифіката ключа, а також даних, які вносяться у сертифікат ключа на вимогу заявника;
– отримання від заявників (підписувачів) заявок на формування, скасування, блокування та поновлення сертифікатів ключів;
– надання допомоги підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживання заходів щодо забезпечення безпеки інформації під час генерації;
– перевірка законності звернень про блокування, поновлення та скасування сертифікатів ключів;
– передача запитів на зміну статусу сертифіката ключа (скасування, блокування, поновлення) до ПТК АЦСК;
– передача запитів на формування сертифікатів ключів до ПТК АЦСК;
– надання заявникам, підписувачам, користувачам консультацій щодо умов та порядку надання послуг ЕЦП;
– представництво інтересів ПрАТ "ІВК" у відповідному регіоні.
2.2. Використання сертифікатів ключів
Використання сертифікатів ключів, сформованих Центром здійснюється підписувачами, а також користувачами.
Користувачі можуть не мати договірних відносин з Центром.
Підписувачами можуть бути:
– фізичні особи, у тому числі посадові особи та наймані працівники;
– фізичні особи-підприємці;
– юридичні особи, у тому числі органи державної влади, органи місцевого самоврядування у випадках, встановлених законодавством.
3. Сфера використання сертифіката ключа
3.1. Перелік сфер, у яких дозволяється використання сертифікатів ключів
Сертифікати ключів, сформовані Центром, використовуються для підтвердження ЕЦП, який задовольняє вимогам щодо підпису, застосованого до даних в електронній формі, у такий же спосіб, як власноручні підписи задовольняють вимогам стосовно документу на папері.
Центр здійснює обслуговування сертифікатів ключів, сформованих для органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій всіх форм власності, фізичних осіб, незалежно від сфери використання сертифікатів ключів.
3.2. Обмеження щодо використання сертифікатів ключів
Центр має право встановлювати обмеження сфери використання сформованих ним сертифікатів ключів. Інформація щодо обмеження сфери використання доводиться до заявника (підписувача) та зазначається у сформованому Центром сертифікаті ключа.
3.3. Центр має право:
– вимагати від заявника або його уповноваженого представника надавати повну та дійсну інформацію, необхідну для реєстрації заявника та формування сертифіката ключа підписувача, а також здійснювати перевірку наданої інформації;
– не приймати запит на формування сертифіката ключа, що виконаний в електронному вигляді, якщо використаний заявником для формування запиту на сертифікат ключа засіб криптографічного захисту інформації не підтримується Центром;
– скасовувати, блокувати, поновлювати сертифікати ключі заявника у порядку, визначеному цим Регламентом;
– вимагати від заявника дотримуватись умов цього Регламенту та умов договору про надання послуг ЕЦП;
– припинити надання заявнику послуг ЕЦП у разі несплати ним вартості послуг, порушення умов цього Регламенту або договору про надання послуг ЕЦП;
– вимагати від заявника відшкодування в повному обсязі майнової та моральної шкоди у разі, якщо така шкода була завдана Центру з вини заявника;
– вимагати від заявника укладення Акту виконаних робіт.
– забезпечити можливість цілодобового вільного доступу з використанням телекомунікаційних мереж загального користування до сертифікатів ключів інших заявників (підписувачів), даних про статус сертифікатів ключів, сертифіката ключа Центру, нормативних документів з питань надання послуг ЕЦП;
– використовувати програмно-технічний комплекс (далі ПТК), засоби криптографічного захисту інформації та надійні засоби ЕЦП відповідно до вимог Адміністрації Держспецзв'язку і Мін'юсту;
– забезпечувати розташування засобів ПТК, за допомогою яких здійснюється надання послуг в спеціальних приміщеннях, здійснювати їх охорону для запобігання безконтрольному проникненню в приміщення Центру сторонніх осіб;
– забезпечувати захист персональних даних підписувача, отриманих від заявника, згідно діючого законодавства, за виключенням персональних даних підписувача, які є загальновідомими, містяться у відкритих інформаційних джерелах або після формування сертифіката ключа стають його частиною;
– забезпечувати реєстрацію заявників та підписувачів відповідно до порядку реєстрації, визначеного цим Регламентом;
– перевіряти унікальність реєстраційної інформації заявників, що використовується для ідентифікації підписувачів;
– забезпечувати формування сертифікатів ключів зареєстрованого підписувача відповідно до порядку, визначеного даним Регламентом;
– забезпечувати унікальність реєстраційних номерів сертифікатів ключів, що формуються Центром;
– встановлювати належність відкритого ключа та відповідного особистого ключа підписувача;
– забезпечувати унікальність значень відкритих ключів у сертифікатах ключів, що формуються Центром;
– інформувати заявників (підписувачів) про необхідність здійснення перевірки чинності сертифіката ключа з використанням інформації про його статус та врахування всіх визначених у сертифікаті ключа обмежень щодо його використання;
– своєчасно попереджувати підписувача та додавати до сертифіката ключа підписувача інформацію про обмеження використання ЕЦП;
– своєчасно блокувати сертифікат ключа підписувача за заявою на блокування, що надходить від заявника (підписувача) або за іншими умовами, які визначені чинним законодавством, в усній формі чи у електронному вигляді, та протягом 2 годин занести відомості про блокований сертифікат ключа у список відкликаних сертифікатів із зазначенням дати та часу занесення;
– своєчасно поновлювати сертифікат ключа підписувача за заявою на поновлення, що надходить від заявника або за іншими умовами, які визначені чинним законодавством, не пізніше одного робочого дня, наступного за робочим днем, протягом якого була подана заява, та виключити відомості про блокований сертифікат зі списку відкликаних сертифікатів;
– своєчасно скасовувати сертифікат ключа підписувача за заявою на скасування, що надходить від заявника або за іншими умовами, які визначені чинним законодавством, та протягом 2 годин занести відомості про скасований сертифікат ключа у список відкликаних сертифікатів із зазначенням дати, часу занесення та причини скасування;
– перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
– забезпечити зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
– публікувати відомості щодо відкликаних сертифікатів на електронному інформаційному ресурсі Центру з періодичністю 1 раз у 2 години;
– надавати заявникам (підписувачам, користувачам) консультації з питань, пов’язаних з ЕЦП.
3.5. Відповідальність
У разі невиконання своїх обов’язків за даним Регламентом Центр або заявник (далі разом та окремо – Сторони), повинні в повному обсязі відшкодувати збитки, заподіяні іншій стороні, у порядку, встановленому чинним законодавством.
Сторони несуть відповідальність за дії своїх співробітників, а також інших осіб, які мають або мали доступ (незалежно від того, був цей доступ санкціонований Стороною, або виник з її провини) до апаратних засобів, програмного, інформаційного забезпечення, криптографічних ключів та інших засобів ЕЦП, як за свої особисті.
Сторони не відповідають за невиконання або неналежне виконання своїх обов’язків за даним Регламентом, а також за збитки, які виникли у зв'язку з цим, у випадках, якщо це є наслідком зустрічного невиконання (неналежного виконання) Сторонами своїх обов’язків.
Центр не несе відповідальності за майнову та моральну шкоду, що була спричинена неналежною роботою надійних засобів ЕЦП наданих Центром у разі, якщо неналежна робота надійних засобів ЕЦП була викликана "мережевими атаками", дією "вірусних програм" або іншим неякісним (не ліцензованим) програмним забезпеченням заявника, підписувача, користувача.
Центр не несе відповідальності за майнову та моральну шкоду, що може бути спричинена заявнику або третім особам, у разі невиконання або неналежного виконання заявником вимог цього Регламенту та договору про надання послуг ЕЦП.
Центр не відповідає за невиконання або неналежне виконання своїх обов’язків за даним Регламентом, а також за збитки, що виникли у зв'язку із цим, у випадках:
– якщо Центр обґрунтовано покладався на відомості, надані заявником;
– підробки, підміни або іншого перекручування заявником або його уповноваженим представником відомостей, що містяться у реєстраційних або в інших документах, наданих Центру.
Центр несе відповідальність за збитки, спричинені заявнику у випадку, якщо такі збитки виникли внаслідок:
– внесення в сертифікат невірних відомостей, відмінних від вказаних у заяві на формування сертифіката;
– невірного встановлення заявника, наприклад, унаслідок технічних помилок, недотримання процедур перевірки документів тощо;
– несвоєчасної публікації списків відкликаних сертифікатів;
– помилкового скасування або блокування сертифікатів;
– компрометації особистого ключа Центру;
– відмови та збою технічних і програмних засобів ПТК;
– помилкових або протиправних дій обслуговуючого персоналу Центру;
– несанкціонованого розголошення персональних даних підписувачів.
Відповідальність Сторін, яка не врегульована положеннями даного Регламенту, регулюється чинним законодавством України.
Сторони звільняються від відповідальності за повне або часткове невиконання своїх зобов’язань, якщо таке невиконання сталося внаслідок настання форс-мажорних обставин, таких, як пожежа, повінь, землетрус, інше стихійне лихо, військові дії, дія надзвичайного стану, блокада, громадські масові зворушення, страйків, аварій на транспорті, диверсій, розпоряджень Державних органів влади, або інших обставин, які не залежать від волі Сторін, за умови, що дані обставини безпосередньо впливають на виконання їх зобов’язань, і їх неможливо було передбачити на момент укладання договору про надання послуг ЕЦП.
Сторона, що через зазначені вище обставини не може в повному обсязі виконувати свої зобов’язання, повинна в строк не більше п’яти днів письмово сповістити про це іншу Сторону, а в строк до десяти днів надати відповідні документи, які це підтверджують.
Несвоєчасне (пізніше 5-ти днів) повідомлення про існування обставин форс-мажору позбавляє відповідну Сторону права посилатися на них для виправдання.
Достатнім доказом існування обставин форс-мажору є довідки компетентних органів влади.
У випадку, якщо вищезгадані обставини будуть діяти більше трьох місяців, кожна зі Сторін може письмово сповістити іншу про повне або часткове припинення дії договору про надання послуг ЕЦП, що звільняє Сторони від взаємних зобов’язань, за винятком проведення взаєморозрахунків у частині вже виконаних Сторонами зобов’язань.
3.6. Порядок розв’язання спорів та вирішення конфліктних ситуацій
Будь-яка конфліктна ситуація вирішується шляхом переговорів із дотриманням претензійного порядку.
У разі виникнення непорозумінь щодо виконання вимог даного Регламенту та договору про надання послуг ЕЦП, які не вирішено мирним шляхом, або інших спірних питань, Сторона, яка вважає, що її права порушуються, зобов’язана в місячний строк з моменту, коли вона дізналась або повинна була дізнатись про таке порушення, направити іншій Стороні обґрунтовану претензію.
Претензія, направлена з порушенням зазначеного строку, не розглядається.
Усі спірні ситуації, за якими не досягнуто згоди в претензійному порядку, вирішуються у господарському або загальному суді.
4. Порядок розповсюдження (публікації) інформації
4.1. Інформаційний ресурс Центру
Інформаційний ресурс Центру призначений для розміщення на ньому відкритої інформації, яка структурно поділяється на:
– довідкову інформацію (режими роботи Центру, положення Регламенту, нормативні документи, договори на надання послуг, форми заяв тощо);
– сертифікат ключа Центру;
– сертифікати ключів серверів Центру;
– сертифікати ключів підписувачів;
– списки відкликаних сертифікатів, що містять інформацію про статуси сертифікатів ключів Центру та підписувачів.
Електронна адреса (DNS-ім’я) електронного інформаційного ресурсу: www.іvk.org.ua.
Технічною основою інформаційного ресурсу Центру є сервери взаємодії, що входять до складу ПТК Центру.
Довідкова інформація розміщується на HTTP-сервері сервера взаємодії у вигляді набору web-сторінок.
Сертифікат ключа Центру, сертифікати ключів серверів Центру та підписувачів, а також списки відкликаних сертифікатів розміщуються:
– у складі web-сторінок на HTTP-сервері сервера взаємодії;
– у інформаційному дереві LDAP-каталога на LDAP-сервері сервера взаємодії.
Доступ до HTTP-сервера здійснюється за DNS-ім’ям www.іvk.org.ua за протоколом HTTP (номер TCP-порта 80).
Доступ до LDAP-сервера здійснюється за DNS-ім’ям www.іvk.org.ua за протоколом LDAP (номер TCP-порта 389).
4.2 Порядок публікації сертифіката ключа Центру та сертифікатів ключів серверів Центру
Після формування сертифіката ключа Центру виконується його публікація на інформаційному ресурсі. На інформаційному ресурсі також здійснюється публікація сертифікатів ключів серверів Центру:
– сервера обробки запитів;
– сервера позначок часу (TSP-сервера);
– сервера визначення статусу сертифікатів ключів (OCSP-сервера).
Публікація сертифікатів ключів серверів Центру виконується після формування сертифіката ключа відповідного сервера.
4.3 Порядок публікації сертифікатів ключів підписувачів
Публікація сертифікатів ключів підписувачів на інформаційному ресурсі Центру здійснюється за згодою заявника (підписувача). Інформація про необхідність публікації сертифікатів ключів кожного окремого підписувача вноситься у склад реєстраційних даних під час реєстрації.
Публікація сертифікатів ключів підписувачів у інформаційному дереві LDAP-каталога здійснюється автоматично з інтервалом синхронізації п’ятнадцять (15) хв.
4.4 Порядок публікації списків відкликаних сертифікатів
Публікація списків відкликаних сертифікатів на інформаційному ресурсі Центру (на HTTP-сервері) здійснюється одразу після його випуску.
Центр виконує випуск списків відкликаних сертифікатів (далі – список) двох типів:
– повний список;
– частковий список.
Повний список випускається один (1) раз на тиждень та містить інформацію про всі відкликані сертифікати ключів, які були сформовані Центром на діючому особистому ключеві.
Частковий список випускається кожні дві (2) години та містить інформацію про всі відкликані сертифікати ключів, статус яких був змінений в інтервалі між часом випуску останнього повного списку та часом формування поточного часткового списку.
Списки відкликаних сертифікатів (повний та частковий) чинні до випуску нових відповідних списків.
Публікація списків відкликаних сертифікатів у інформаційному дереві LDAP-каталога здійснюється автоматично з інтервалом синхронізації п’ятнадцять (15) хвилин.
5. Порядок ідентифікації та автентифікації (під час реєстрації)
5.1. Організаційні вимоги щодо встановлення заявника під час реєстрації
5.1.1. Загальні положення
Перед формуванням вперше сертифікатів ключів юридичним особам (ЕЦП використовується в якості печатки) або фізичним особам (ЕЦП використовується як аналог власноручного підпису) Центр здійснює встановлення заявника (фізичної або юридичної особи). Встановлення заявника здійснюється при його особистій присутності або його уповноваженого представника в Центрі або відокремленому пункті реєстрації.
Заявник (уповноважений представник) повинен ознайомитися із умовами обслуговування сертифікатів ключів, передбачених політикою сертифікації, а також Регламентом, зокрема:
– зобов'язання та підстави відповідальності Центру стосовно обслуговування сертифікатів ключів;
– зобов'язання та підстави відповідальності заявника (підписувача) стосовно використання сертифіката ключа і зберігання особистого ключа;
– сфери використання підписувачем сертифіката ключа;
– строки зберігання Центром даних про заявників (підписувачів), що були отримані ним під час реєстрації;
– відомості про надійні засоби ЕЦП, що можуть використовуватися для формування та перевірки ЕЦП.
5.1.2. Встановлення юридичної особи
Встановлення заявника – юридичної особи здійснюється за установчими документами юридичної особи або копіями таких документів, які нотаріально засвідчені відповідно до законодавства. Крім цього, під час реєстрації встановлюється представник юридичної особи та його повноваження.
Під час реєстрації уповноважена особа заявника надає такі документи:
Обов’язкові документи
– заповнена та підписана заява на реєстрацію для отримання посиленого сертифіката ключа встановленого зразка;
– заповнена та підписана заява приєднання до договору "Про надання послуг електронного цифрового підпису" у двох примірниках;
– оригінал статуту юридичної особи (положення про установу) або його нотаріально засвідчена копія ( виключно для ознайомлення );
– оригінал або копія свідоцтва про державну реєстрацію (витягу з Єдиного Державного реєстру юридичних осіб та фізичних осіб - підприємців), засвідчена підписом керівника та печаткою юридичної особи або підписом та печаткою посадової особи Центру;
– документи, що підтверджують повноваження керівника заявника;
– копії паспортів підписувачів (копії 1-4 сторінок), засвідчені власноручними підписами власників паспортів.
Додаткові документи
– копія довідки про присвоєння ідентифікаційного коду ДРФО керівника та головного бухгалтера (у разі, якщо формуються сертифікати для керівника та бухгалтера);
– копія свідоцтва про реєстрацію платника податку на додану вартість (у разі, якщо особа є платником ПДВ).
У разі, якщо заявником є бюджетна установа, замість заяви приєднання до договору "Про надання послуг електронного цифрового підпису" надаються два примірники договору.
Копії та витяги, крім нотаріально засвідчених, засвідчуються підписом керівника та печаткою юридичної особи. Якщо заявником подано оригінал документу, копія такого документу може бути засвідчена підписом та печаткою посадової особи Центру.
Для відокремлених підрозділів (філії, представництва) юридичних осіб:
Обов’язкові документи
– заповнена та підписана заява на реєстрацію для отримання сертифіката ключа встановленого зразку;
– заповнена та підписана заява приєднання до договору "Про надання послуг електронного цифрового підпису" у двох примірниках;
– оригінал або копія положення про відокремлений підрозділ, засвідчена підписом та печаткою керівника відокремленого підрозділу;
– довідка управління статистики по внесення відомостей про відокремлений підрозділ до ЄДРПОУ;
– документи, що підтверджують повноваження керівника заявника;
– копія довіреності керівника відокремленого підрозділу, засвідчена підписом та печаткою керівника відокремленого підрозділу.
Додаткові документи
– копія довідки про присвоєння ідентифікаційного коду ДРФО керівника та головного бухгалтера (у разі, якщо формуються сертифікати для керівника та бухгалтера);
– копія свідоцтва про реєстрацію платника податку на додану вартість (у разі, якщо особа є платником ПДВ).
Копії та витяги, крім нотаріально засвідчених, засвідчуються підписом керівника та печаткою відокремленого підрозділу. Якщо заявником подано оригінал документу, копія такого документу може бути засвідчена підписом та печаткою посадової особи Центру.
Бланки реєстраційних документів (договір та заява приєднання, заява на реєстрацію, довіреність, тощо) встановленої форми розміщуються на інформаційному ресурсі Центру.
5.1.3. Встановлення фізичної особи
Встановлення фізичної особи здійснюється за паспортом (або іншим документом, який засвідчує особу відповідно до законодавства України). Встановлення фізичної особи – підприємця здійснюється на підставі свідоцтва про державну реєстрацію або його належно засвідченої копії та документа, що посвідчує особу (паспорт).
У разі, якщо під час реєстрації встановлюється підписувач - фізична особа як представник юридичної особи, заявником виступає юридична особа. Реєстрація заявника здійснюється відповідно до п. 5.1.2 Регламенту.
Під час реєстрації заявник (фізична особа) надає такі документи:
для фізичних осіб – підприємців:
Обов’язкові документи
– заповнена та підписана заява на реєстрацію для отримання сертифіката ключа встановленого зразку;
– заповнена та підписана заява приєднання до договору "Про надання послуг електронного цифрового підпису" у двох примірниках;
– оригінал або копія свідоцтва про державну реєстрацію фізичної особи – підприємця (витягу з Єдиного Державного реєстру юридичних осіб та фізичних осіб - підприємців), засвідчена підписом підприємця з прикладенням його печатки або підписом та печаткою посадової особи Центру;
– копія паспорту підприємця (1-4, 11-12 стор.), засвідчена власноручним підписом власника паспорта;
Додаткові документи
– копія свідоцтва про реєстрацію платника податку на додану вартість (в разі, якщо особа є платником ПДВ);
Копії та витяги, крім нотаріально засвідчених, засвідчуються підписом підприємця та його печаткою. Якщо заявником подано оригінал документу, копія такого документу може бути засвідчена підписом та печаткою посадової особи Центру;
Бланки реєстраційних документів (договір та заява приєднання, заява на реєстрацію, довіреність, тощо) встановленої форми розміщуються на інформаційному ресурсі Центру.
для фізичних осіб:
Обов’язкові документи
– заповнена та підписана заява на реєстрацію для отримання сертифіката ключа встановленого зразку;
– заповнена та підписана заява приєднання до договору "Про надання послуг електронного цифрового підпису" у двох примірниках;
– копія паспорту громадянина (1-4, 11-12 стор.), засвідчена власноручним підписом власника паспорта;
Додаткові документи
– копія довідки про присвоєння ідентифікаційного коду ДРФО.
Бланки реєстраційних документів (договір та заява приєднання, заява на реєстрацію, довіреність, тощо) встановленої форми розміщуються на інформаційному ресурсі Центру.
Заявник може бути представлений довіреною особою – представником, якщо немає можливості його особистої присутності у Центрі. У цьому випадку заявник надає довіреність відповідного зразка. Встановлення представника здійснюється за паспортом або іншими документами відповідно до законодавства.
Довіреність представника засвідчується:
– для юридичних осіб – підписом керівника з прикладенням печатки юридичної особи;
– для фізичних осіб-підприємців - підписом підприємця з прикладенням його печатки або у разі відсутності печатки – нотаріально;
– для фізичних осіб – нотаріально.
Адміністратор реєстрації Центру виконує процедуру встановлення особи заявника (його довіреної особи), що проходить процедуру реєстрації.
Надані заявником (представником) документи розглядаються протягом однієї години з моменту їх надходження.
До розгляду не приймаються документи, які мають підчистки, дописки, закреслені слова, інші незастережні виправлення або написи олівцем, а також мають пошкодження, внаслідок чого їх текст неможливо прочитати.
За результатом розгляду наданих документів адміністратор реєстрації приймає рішення про відмову в реєстрації у разі:
– відсутності всіх необхідних для реєстрації документів;
– подання неналежно засвідчених копій документів;
– встановлення невідповідності даних, що визначені наданими документами, фактичним.
У випадку відмови у реєстрації, надані документи повертаються заявнику (представнику) з позначкою адміністратора реєстрації на заяві про підстави відмови.
При ухваленні позитивного рішення, після оформлення договірних документів та виконання заявником необхідних умов надання послуг ЕЦП (попередня оплата, внесення авансу, подання додаткових документів тощо) адміністратор реєстрації виконує дії по занесенню реєстраційної інформації до реєстру користувачів Центру.
Всі документи, що були надані заявникам під час реєстрації, беруться на облік шляхом формування справи підписувача, уведення необхідних ідентифікаційних даних підписувачів до бази даних Центру. Справа підписувача реєструється в журналі, який ведеться в паперовому або електронному вигляді.
Реєстрація заявника є підставою для генерації ключів заявника, створення запиту на сертифікацію та формування сертифіката ключа підписувача.
5.1.4. Захист персональних даних підписувачів забезпечується шляхом вжиття:
– організаційних заходів щодо обліку та зберігання справ підписувачів, зокрема формування справи підписувачів та їх облік, призначення відповідальної особи за зберігання справ підписувачів, обмежений доступ обслуговуючого персоналу до приміщення (шаф), де зберігаються справи підписувачів;
– організаційно-технічних та технічних заходів реалізованих комплексною системою захисту інформації автоматизованої системи Центру (далі – КСЗІ), у тому числі: використанням надійних засобів ЕЦП, веденням журналів роботи системи у захищеному вигляді, розмежування та контролю інформаційних потоків між внутрішньою локальною мережею Центру та підсистемою відкритого доступу, використанням антивірусних засобів, міжмережевих екранів тощо.
5.1.5. Підтвердження володіння заявником (підписувачем) особистим ключем, відповідний якому відкритий ключ надається заявником на сертифікацію
Запит на сертифікацію в електронному вигляді містить відкритий ключ, що надається на сертифікацію та засвідчується ЕЦП за допомогою відповідного йому особистого ключа. Підтвердження володіння заявником (підписувачем) особистим ключем, відповідний якому відкритий ключ надається на сертифікацію, здійснюється шляхом перевірки Центром (відокремленим пунктом реєстрації) ЕЦП запиту на формування сертифіката ключа.
У випадку, якщо термін дії сертифіката закінчився, для формування сертифіката використовується процедура автентифікації підписувача, що передбачена для реєстрації.
5.1.6. Автентифікація підписувача під час звернення щодо блокування, скасування та поновлення сертифіката ключа
В залежності від порядку звернення щодо блокування, скасування та поновлення сертифіката ключа передбачені різні форми автентифікації підписувача та перевірки законності такого звернення:
– у разі письмового звернення підписувача, законність звернення встановлюється за власноручним підписом та печатки юридичної особи (для юридичних осіб);
– у разі звернення шляхом направлення запиту на блокування або скасування сертифіката в електронному вигляді, законність звернення встановлюється шляхом перевірки ЕЦП на запиті за допомогою чинного сертифіката підписувача;
– у разі звернення щодо блокування сертифіката ключа по телефону, законність звернення встановлюється за парольною фразою, що вказується підписувачем під час реєстрації.
6. Процедури та механізми, пов’язані із формуванням, блокуванням, скасуванням та використанням сертифіката ключа
6.1. Порядок генерації ключів підписувача
Відкритий та особистий ключі підписувача можуть бути згенеровані:
– на робочому місці заявника;
– на робочій станції генерації ключів підписувачів у Центрі.
Під час генерації ключової пари особистий ключ підписувача захищається паролем та записується на носій ключової інформації.
Далі засоби генерації ключів формують запит на формування сертифіката у відповідному форматі, що містить відкритий ключ підписувача, і додаткову інформацію для формування сертифіката у Центрі.
Під час обробки запиту на формування сертифіката підписувача здійснюється перевірка належності особистого ключа підписувача відкритому ключу, який міститься у запиті. Перевірка здійснюється з використанням автоматизованого робочого місця адміністратора реєстрації автоматично, шляхом перевірки ЕЦП, накладеного на запит на формування сертифіката, з використанням відкритого ключа, що міститься у запиті. Тобто запит на формування сертифіката є самопідписаним. Формування сертифіката ключа підписувача можливе за умов успішної перевірки.
Строк дії особистого ключа підписувача не може перевищувати 2 (двох) років. Початком строку дії особистого ключа підписувача вважається дата та час формування сертифіката, що містить відкритий ключ відповідний до особистого.
Процедура подання запиту на сертифікацію для підписувачів, які мають чинний сертифікат ключа ідентична процедурам подання запиту на сертифікацію наведеним у п.п. 6.1.1 та 6.1.2.
6.1.1. Генерація на робочому місці заявника
Для генерації відкритого та особистого ключів на робочому місці заявника застосовуються надійні засоби ЕЦП. При цьому генерація здійснюється з використанням технічних засобів заявника.
Відповідальність за забезпечення конфіденційності та цілісності особистого ключа несе заявник.
Надійні засоби ЕЦП, що надаються заявнику, формують відкритий ключ підписувача у відповідному форматі.
Передача до Центру (відокремлених пунктів реєстрації) сформованого підписувачем запиту на сертифікацію здійснюється на носії інформації особисто підписувачем або довіреною особою заявника.
При отриманні запиту на формування сертифікату адміністратор реєстрації перевіряє формат наданого запиту. Перевірка здійснюється з використанням автоматизованого робочого місця адміністратора реєстрації автоматично. В разі невідповідності адміністратор реєстрації відмовляє у формуванні сертифікату. При цьому, надані раніше документи повертаються заявнику з позначкою адміністратора реєстрації на заяві.
6.1.2. Генерація ключів на робочій станції Центру
Ключі підписувача генеруються ним особисто або довіреною особою заявника на робочій станції генерації ключів, що входить до складу ПТК Центру.
По закінченні процедури генерації, особистий ключ підписувача автоматично записується на носій ключової інформації та залишається у підписувача, а запит на сертифікацію, що містить відкритий ключ, передається через службовий носій інформації на робочу станцію адміністратора реєстрації.
Особисті ключі підписувачів не зберігаються у Центрі. Після генерації та запису на носій ключової інформації вони автоматично знищуються надійним способом.
Генерація ключів довіреною особою здійснюється на робочій станції генерації ключів. По закінченні процедури генерації, носій ключової інформації та парольна фраза вкладається у непрозорий конверт, який запечатується, скріплюється печаткою ПрАТ "ІВК", підписами довіреної особи та адміністратора реєстрації.
Після передачі конверта з носієм ключової інформації довіреній особі заявника, відповідальність за забезпечення конфіденційності та цілісності особистого ключа несе заявник.
У разі, якщо генерація ключів здійснювалась довіреною особою, підписувач при отриманні особистого ключа зобов’язаний перевірити цілісність конверта. Якщо цілісність не порушена, то невідкладно, до першого використання особистого ключа, підписувач зобов’язаний змінити пароль доступу до нього.
У разі, якщо неможливо змінити пароль шляхом перезапису ключа на той самий носій ключової інформації (наприклад ключ записаний на CD-R), після зміни паролю на новому носії необхідно знищити надійним способом особистий ключ зі старим паролем.
Якщо цілісність конверта порушена, заявник (підписувач) невідкладно зобов’язаний звернутись до Центру із заявою про скасування сертифіката відповідного ключа.
6.2. Порядок формування сертифікатів ключів підписувачів
Формування сертифіката ключа підписувачу здійснюється на підставі даних, отриманих від заявника або його представника під час реєстрації.
Підписувач на один і той самий момент часу може мати і використовувати лише один особистий ключ, якому відповідає відкритий ключ із чинним сертифікатом ключа, отриманим заявником – юридичною особою (фізичною особою – підприємцем). Це обмеження не стосується електронної печатки.
Формат сертифіката відповідає вимогам Закону України "Про електронний цифровий підпис" та визначається вимогами до формату посиленого сертифіката відкритого ключа, затвердженими наказом Міністерства юстиції України та Адміністрації Держспецзв'язку від 20 серпня 2012 року №1236/5/453, зареєстрованими в Міністерстві юстиції України 20 серпня 2012 року за №1398/21710.
Якщо процедуру реєстрації виконано успішно, адміністратор реєстрації надсилає електронний запит на формування сертифіката та реєстраційні дані підписувача до серверу обробки запитів Центру.
У разі якщо особистий ключ та сертифікат ключа ЕЦП повинен використовуватись виключно у певній сфері господарської або управлінської діяльності суб’єктів господарювання (звітність, митне декларування, інше) або як електронна цифрова печатка, адміністратор реєстрації у запиті на формування сертифіката за допомогою автоматизованого робочого місця проставляє відповідний ідентифікатор уточненого призначення ключів. В цьому випадку підписувач зобов’язаний використовувати ключі ЕЦП тільки у визначеній обмежувальним ідентифікатором сфері застосування. Інакше, ключі ЕЦП можуть використовуватись без обмежень (різні види звітності, здійснення правочинів, листування тощо) у порядку, встановленому законодавством.
Строк обробки запита на формування сертифіката ключа підписувача не перевищує 2 (дві) години.
Адміністратор сертифікації забезпечує використання особистого ключа АЦСК під час формування сертифікатів відкритих ключів підписувачів, списків відкликаних сертифікатів та позначки фіксування часу.
Після формування сертифіката ключа Центром адміністратор реєстрації виготовляє два примірника сертифіката у вигляді документа у паперовій формі, які засвідчуються печаткою ПрАТ "ІВК", власноручним підписом заявника або підписом його представника, а також власноручним підписом адміністратора реєстрації.
Сертифікат ключа підписувача в електронній формі записується на носій інформації заявника та у реєстр сертифікатів Центра.
Строк чинності сертифіката ключа не може перевищувати двох (2) років. Початком строку чинності сертифіката ключа вважається дата та час його формування.
6.3 Повторне формування сертифіката ключа
Повторне формування сертифіката ключа полягає у формуванні нового сертифіката ключа підписувачу, у разі завчасного (протягом дії договору) скасування чинного сертифіката, з підстав компрометації особистого ключа або зміни відомостей про заявника (підписувача), зазначених у сертифікаті ключа, який скасований.
При повторному формуванні сертифіката ключа адміністратором реєстрації здійснюється перевірка дійсності даних, які надавалися заявником раніше під час реєстрації.
При виникненні необхідності зміни даних, зазначених у сертифікаті ключа, Центр може здійснити переформування сертифіката ключа підписувачу із використанням попередньо засвідченого відкритого ключа підписувача у разі, якщо відповідний йому особистий ключ не був скомпрометований. При цьому строк чинності нового сертифіката не повинен перевищувати термін дії сертифіката, що переформовується.
6.4. Надання сформованого сертифіката ключа підписувачу та визнання сертифіката ключа його власником
Після отримання сертифіката ключа підписувач повинен перевірити правильність відомостей, що в ньому містяться. При виявленні некоректних даних (помилки в реквізитах), підписувач повинен повідомити про зазначене Центр (відокремлений пункт реєстрації) у порядку, встановленому для скасування сертифіката ключа. В такому випадку сертифікат ключа скасовується та формується новий сертифікат ключа. При відсутності некоректних даних в сертифікаті, підписувач (або довірена особа) визнає свій сертифікат шляхом підписання копій сертифіката на паперовому носії.
6.5. Використання сертифіката та особистого ключа
6.5.1 Права та обов’язки заявника
Заявник зобов’язаний:
– ознайомитись з умовами надання послуг ЕЦП, визначених цим Регламентом та відповідними нормативними документами, та дотримуватись них;
– надавати повну та дійсну інформацію під час реєстрації, необхідну для формування сертифіката ключа підписувача;
– зберігати у таємниці особистий ключ ЕЦП та вживати усіх можливих заходів для запобігання його втрати, розкриття, перекручування чи несанкціонованого використання;
– не розголошувати та не повідомляти іншим особам пароль доступу до особистого ключа та ключову фразу голосової автентифікації;
– не розголошувати та не повідомляти іншим особам пароль доступу до захищеного носія ключової інформації, на якому знаходиться особистий ключ ЕЦП;
– використовувати особистий ключ виключно для мети, визначеної у сертифікаті, та додержуватися інших обмежень щодо сфери використання сертифіката ключа;
– використовувати надійні засоби ЕЦП для генерації особистих та відкритих ключів, формування та перевірки ЕЦП;
– негайно інформувати Центр про наступні події, що трапилися до закінчення строку чинності сертифіката ключа: компрометацію особистого ключа; компрометацію паролю захисту особистого ключа; виявлені неточності або зміни даних, зазначених у сертифікаті;
– не використовувати особистий ключ у разі його компрометації;
– не використовувати особистий ключ, відповідний до сертифіката ключа, заява на скасування чи блокування якого подана до Центру, протягом часу з моменту подання заяви і до моменту офіційного повідомлення про скасування сертифіката ключа;
– не використовувати для накладання ЕЦП особистий ключ, відповідний до сертифіката ключа, що скасований або блокований.
Якщо заявник та підписувач є різними суб'єктами, заявник повинен зобов'язати підписувача виконувати вимоги цього Регламенту.
Заявник має право:
– своєчасно отримувати якісні послуги ЕЦП;
– цілодобового вільного доступу з використанням телекомунікаційних мереж загального користування до сертифікатів ключів інших підписувачів, даних про статус сертифікатів ключів, сертифіката ключа Центру, нормативних документів з питань надання послуг ЕЦП;
– одержувати сертифікати ключів Центру;
– одержувати список відкликаних сертифікатів, сформований Центром;
– застосовувати сертифікати ключів Центру для перевірки справжності ЕЦП сертифікатів ключів, сформованих Центром;
– застосовувати список відкликаних сертифікатів, сформований Центром, для перевірки статусу власного сертифіката ключа та сертифікатів ключів інших підписувачів;
– ознайомлюватись з інформацією щодо діяльності Центру та надання послуг ЕЦП;
– подавати заяви, скарги, претензії, позови;
– вимагати скасування, блокування або поновлення свого сертифіката ключа.
– вимагати від Центру усунення порушень умов даного Регламенту та договору про надання послуг ЕЦП;
– вимагати від Центру виконання вимог захисту персональних даних підписувача;
– оскаржити дії чи бездіяльність Центру у судовому порядку.
6.5.2. Обов’язки користувача
Користувач зобов’язаний:
– використовувати надійні засоби ЕЦП;
– підтверджувати ЕЦП з використанням чинних посилених сертифікатів ключів Центру;
– під час перевірки ЕЦП використовувати сертифікат ключа, чинний на момент накладення ЕЦП.
6.6. Порядок скасування сертифікатів ключів
Скасування припиняє чинність сертифіката ключа. Скасовані сертифікати ключів поновленню не підлягають.
Для скасування сертифіката ключа заявник зобов’язаний подати до Центру або відокремленого пункту реєстрації письмову заяву встановленого зразка, засвідчену його особистим підписом. Якщо заявником є юридична особа, заява засвідчується підписом уповноваженого представника та печаткою юридичної особи.
Подача заяви на скасування сертифіката ключа здійснюється тільки протягом робочого дня Центру.
Обробка заяви на скасування сертифіката ключа та інформування заявника (підписувача) про скасування здійснюється протягом одного робочого дня, що йде за робочим днем, протягом якого була подана заява.
Часом скасування сертифіката ключа вважається час зміни його статусу в реєстрі користувачів Центру.
Підписувач не має права використовувати особистий ключ для накладення ЕЦП, сертифікат ключа якого скасовано.
У випадку, якщо необхідне термінове скасування сертифікату ключа через об’єктивні підстави (наприклад, компрометація особистого ключа), з метою недопущення спричинення моральної та/або матеріальної шкоди, заявник (підписувач) має право заблокувати сертифікат за заявою в усній формі, за наведеним далі порядком, та протягом строку блокування скасувати сертифікат відкритого ключа.
6.6.1. Підстави для скасування сертифікатів ключів підписувачів
Центр негайно скасовує сформований сертифікат ключа підписувача у разі:
– набрання законної сили рішенням суду про скасування посиленого сертифіката ключа;
– смерті підписувача або оголошення його померлим за рішенням суду;
– визнання підписувача недієздатним за рішенням суду;
– припинення діяльності суб’єкта господарювання – заявника;
– розірвання підписувачем трудового договору з юридичною особою – заявником;
– надання заявником недостовірних даних;
– не поновлення заявником заблокованого сертифіката протягом 30 календарних днів;
– припинення (розірвання) договору приєднання "Про надання послуг електронного цифрового підпису";
– за заявою заявника або його уповноваженого представника
– закінчення строку чинності сертифіката;
– компрометація особистого ключа.
6.6.2. Обставини, за яких сертифікат повинен бути скасований заявником
Підписувач (заявник – юридична особа) зобов’язаний звернутися до Центру щодо скасування сертифіката ключа у разі:
– компрометації особистого ключа підписувача (факт або обґрунтована підозра того, що особистий ключ став відомий іншим особам, втрата можливості подальшого використання особистого ключа із будь-яких обставин, зокрема, втрата або пошкодження носія ключової інформації тощо);
– зміни відомостей, зазначених у сертифікаті ключа: переведення на іншу посаду або звільнення з роботи підписувача (для сертифікатів, в яких зазначена посада його власника); зміна прізвища; виявлення помилок у реквізитах сертифіката ключа тощо.
Документи, що були підставою для скасування, блокування або поновлення сертифіката ключа, фіксуються та зберігаються у Центрі.
6.7. Порядок блокування сертифікатів ключів
Під блокуванням сертифіката ключа розуміється тимчасове припинення чинності сертифіката ключа.
Після блокування сертифіката ключа, заявник зобов’язаний протягом 30 календарних днів поновити строк чинності сертифіката ключа або подати заяву про його скасування. У випадку, якщо протягом зазначеного строку заявник не поновить чинність блокованого сертифіката ключа та не подасть заяви про його скасування, по закінченню вищезазначеного строку такий сертифікат ключа автоматично скасовується Центром.
Блокування сертифіката ключа здійснюється на підставі заяви заявника: в усній, письмовій формі, чи у вигляді електронного документа.
Часом блокування сертифіката ключа вважається час зміни його статусу у реєстрі користувачів Центру.
6.7.1. Підстави для блокування сертифікатів ключів підписувачів
Акредитований центр сертифікації ключів негайно блокує сертифікат ключа:
– у разі подання заяви власника ключа або його уповноваженого представника;
– за рішенням суду, що набрало законної сили;
– у разі отримання відомостей щодо компрометації особистого ключа підписувача.
Центр має право заблокувати сертифікат ключа замовника у разі несплати вартості послуг ЕЦП.
6.7.2. Блокування сертифіката за заявою в усній формі
Заява в усній формі подається заявником (підписувачем) до Центру засобами телефонного зв'язку за номером, який опублікований Центром на власному інформаційному ресурсі, при цьому заявник повинен повідомити адміністратору реєстрації наступну інформацію:
– ідентифікаційні дані власника сертифіката;
– ключову фразу голосової автентифікації;
– реєстраційний номер сертифіката ключа.
Заява в усній формі приймається тільки у випадку позитивної автентифікації (збігу голосової фрази та ідентифікаційних даних підписувача з інформацією в реєстрі користувачів).
Усна заява може бути подана протягом робочого дня. Обробка усної заяви на блокування сертифіката та інформування власника сертифіката здійснюється протягом тридцяти хвилин з моменту подачі заяви. Усна заява повинна бути підтверджена письмовою заявою на протязі 7 (семи) робочих днів з часу прийняття усної заяви.
6.7.3. Блокування сертифіката за заявою у письмовій формі
Письмова заява подається до Центру або до відокремленого пункту реєстрації, де було сформовано сертифікат відкритого ключа, за встановленою формою та засвідчується власноручним підписом заявника.
У разі якщо власником сертифіката є юридична особа, підпис уповноваженого представника юридичної особи засвідчується печаткою.
Подача письмової заяви на блокування сертифіката до Центру та її розгляд здійснюється протягом робочого дня.
Обробка такої заяви та інформування заявника про блокування повинні бути здійснені протягом одного робочого дня, що йде за робочим днем, протягом якого була подана заява.
6.7.4. Блокування сертифіката ключа за електронним запитом
Електронний запит на блокування сертифіката ключа передається до ПТК Центру у вигляді HTTP-запиту.
Електронний запит формується підписувачем за допомогою програмних засобів, які надаються Центром.
Електронний запит на блокування сертифіката ключа засвідчується ЕЦП відповідного сертифіката ключа підписувача.
Блокування сертифіката ключа за електронним запитом не може застосовуватись у разі, якщо особистий ключ, сертифікат якого необхідно заблокувати, було скомпрометовано.
У разі передачі запиту на блокування сертифіката ключа у вигляді HTTP-запиту, обробка запиту та інформування підписувача про блокування здійснюються в режимі реального часу.
У разі передачі запиту на блокування сертифіката ключа засобами електронної пошти, обробка запиту та інформування підписувача про блокування повинні бути здійснені протягом 2 (двох) годин після отримання запиту Центром.
Заява у вигляді електронного запиту повинна бути підтверджена письмовою заявою на протязі 7 (семи) робочих днів з часу прийняття Центром електронного запиту.
6.8. Порядок поновлення чинності сертифікатів ключів
Поновлення чинності сертифіката ключа можливе лише для заблокованих сертифікатів ключів, термін блокування яких не скінчився.
Для здійснення поновлення чинності сертифіката ключа, заявник подає до Центру або відокремленого пункту реєстрації, письмову заяву встановленого зразка.
Подача письмової заяви на поновлення чинності сертифіката ключа до Центру та її розгляд здійснюється тільки протягом робочого дня.
Обробка письмової заяви на поновлення чинності сертифіката ключа та інформування заявника про поновлення повинні бути здійснені протягом одного робочого дня, що йде за робочим днем, протягом якого була подана заява.
Часом поновлення чинності сертифіката ключа вважається час зміни його статусу у реєстрі користувачів Центру.
6.8.1. Підстави для поновлення чинності сертифікатів ключів
Блокований сертифікат ключа поновлюється Центром:
- у разі подання заяви власника ключа або його уповноваженого представника;
- за рішенням суду, що набрало законної сили;
- у разі встановлення недостовірності даних про компрометацію особистого ключа.
6.9. Розповсюдження інформації про статус сертифікатів ключів
Для розповсюдження інформації про статус сертифіката ключа Центру використовується механізм списку відкликаних сертифікатів.
Повний список випускається один (1) раз на тиждень та місить інформацію про всі відкликані сертифікати, які були сформовані Центром.
Частковий список випускається кожні дві (2) години та місить інформацію про всі відкликані сертифікати, статус яких був змінений в інтервалі між часом випуску останнього повного списку та часом формування поточного часткового списку.
У разі скасування (блокування, поновлення) сертифіката, оновлений частковий список відкликаних сертифікатів випускається та публікується не пізніше двох годин після отримання запиту на відкликання сертифіката.
6.10. Закінчення строку чинності сертифіката ключа підписувача
Дата і час початку та закінчення дії особистого ключа дорівнює даті і часу початку та закінчення дії відповідного сертифіката ключа. Термін дії відкритого ключа встановлено рівним терміну дії відповідного сертифіката ключа.
Після закінчення строку чинності сертифіката ключа, він вилучається з інформаційного ресурсу Центру та поміщається в архів. Центр зберігає сертифікат та пов’язані з ним списки відкликаних сертифікатів безстроково. За запитом користувачів, Центр надає доступ до необхідного сертифіката та пов’язаних з ним списків відкликаних сертифікатів з архівних записів Центру у строки, встановлені законодавством України для відповідей на звернення громадян.
7. Управління та операційний контроль
7.1 Фізичне середовище
Приміщення Центру розташовується у орендованій частині цокольного поверху адміністративного (нежилого) будинку за адресою: м. Харків, пр. Леніна, 5.
Приміщення Центру розділене комбінованими перегородками, які не є несучими, на 2 частини:
– приймальню, яка включає два окремих приміщення - кабінет директора та спеціальне приміщення, де розміщене робоче місце (робоча станція) генерації ключів підписувачів;
– робочу зону, яка включає також окреме спеціальне приміщення серверів Центру.
Вікна приміщень обладнані зовнішніми та внутрішніми металевими гратами.
Всі вхідні і міжкімнатні двері між приміщеннями робочої зони та приймальні, а також зовнішній фасад будинку знаходяться під постійним контролем служби охорони.
Приміщення Центру обладнані системою охоронної та пожежної сигналізації, а також системою відеоспостереження.
Електроживлення Центру виконане від двох незалежних вводів: основного та резервного. Резервний ввід електроживлення – від пересувної електроустановки.
Ввідні кабелі прокладені в заземленій металевій трубі. Проводи електроосвітлювальної та розподільної мереж окремої групи приміщень екрановані від робочого контуру заземлення.
Усі розетки та електроарматура світильників заземлені. Чергове (аварійне) освітлення встановлене на виходах з приміщень.
Для забезпечення необхідного рівня захисту інформації, яка циркулює у спеціальних приміщеннях, виконані роботи щодо екранування приміщення від електромагнітного випромінювання засобів обчислювальної техніки.
Для заземлення металоконструкцій спеціальних приміщень влаштований окремий захисно-сигнальний контур заземлення. Електроживлення та сигналізація вводиться в екрановане приміщення через перешкодо-подавляючи фільтри. Екрани кабелів заземлені в місцях встановлення фільтрів.
Підключення серверів Центру, що розміщені у спеціальному приміщені, виконане через волоконно-оптичні лінії зв’язку.
Захист від витоку інформації по кабелях електроживлення здійснений встановленням загального мережевого 3-х фазного фільтру у вводно-розподільчий шафі і однофазних фільтрів на вводі в спеціальні приміщення.
Пропускний і внутрішній режим передбачає порядок допуску співробітників і представників інших організацій на територію Центру, порядок внесення і винесення матеріальних цінностей, а також виконання особами, що перебувають на території Центру, встановлених вимог режиму й розпорядку робочого дня.
Загальне керівництво й контроль перепускного й внутрішнього режиму здійснює керівник служби захисту інформації (далі - СЗІ) АЦСК ПрАТ „ІВК”.
В робочий час забезпечення режиму допуску співробітників Центру здійснює начальник СЗІ або адміністратор безпеки.
Особи, що порушують перепускний і внутрішній режим, притягуються до дисциплінарної відповідальності.
7.2. Процедурний контроль
До складу Центру входять:
– підрозділ реєстрації та обслуговування заявників, підписувачів;
– підрозділ сертифікації ключів;
– служба захисту інформації;
– підрозділ технічного обслуговування ПТК Центру;
– відокремлені пункти реєстрації.
До складу Центру можуть входити і інші підрозділи, що забезпечують його роботу.
7.2.1 Підрозділ реєстрації та обслуговування заявників, підписувачів
До складу підрозділу реєстрації та обслуговування заявників, підписувачів входять:
– адміністратори реєстрації.
Функції та завдання підрозділу реєстрації та обслуговування заявників, підписувачів:
– встановлення осіб, які звернулися до Центру з метою формування сертифіката;
– перевірка даних, обов’язкових для формування сертифіката, а також даних, які вносяться у сертифікат на вимогу заявників;
– забезпечення обробки запитів на формування, скасування, блокування та поновлення сертифікатів ключів підписувачів;
– ведення реєстру користувачів Центру;
– організація встановлення належності підписувачу особистого ключа та його відповідність відкритому ключу, якщо їх генерація здійснювалася не в Центрі;
– підготовка та перевірка договірних документів про надання послуг ЕЦП;
– отримання від заявників заявок на формування, скасування, блокування та поновлення сертифікатів ключів;
– надання допомоги під час генерації особистих та відкритих ключів у разі отримання відповідного звернення та вживання заходів щодо забезпечення безпеки інформації під час генерації;
– перевірка законності звернень про блокування, поновлення та скасування сертифікатів ключів;
– надання заявникам, підписувачам, користувачам консультацій щодо умов та порядку надання послуг ЕЦП.
7.2.2 Підрозділ сертифікації ключів
До складу підрозділу сертифікації ключів входить адміністратор сертифікації.
Функції та завдання підрозділу сертифікації ключів:
– формування за допомогою особистого ключа Центру сертифікатів ключів підписувачів, списків відкликаних сертифікатів та позначок часу;
– контроль процесу публікації сертифікатів ключів та списків відкликаних сертифікатів;
– ведення, архівація та відновлення реєстру сформованих сертифікатів ключів;
– подання до центрального засвідчувального органу даних, які необхідні для формування сертифіката ключа та засвідчення відкритого ключа Центру;
– контроль за веденням журналів прийому-передачі ключів;
– участь у генерації та знищенні особистого ключа та ключів допоміжних служб (OCSP, TSP) Центру;
– несе відповідальність за збереження та використання особистого ключа Центру.
7.2.3 Служба захисту інформації
До складу служби захисту інформації (СЗІ) входять:
– начальник СЗІ;
– адміністратор безпеки;
– системний адміністратор; .
– інженер з ТЗІ;
– позаштатні адміністратори безпеки.
Функції та завдання служби захисту інформації:
– забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
– розроблення розпорядчих документів, згідно з якими у Центрі повинен забезпечуватися захист інформації, контроль за їх виконанням;
– своєчасне реагування на спроби несанкціонованого доступу до ресурсів ПТК Центру, порушення правил експлуатації засобів захисту інформації;
– контроль за зберіганням особистого ключа Центру та його резервної копії, особистих ключів посадових осіб Центру;
– участь у знищенні особистого ключа Центру, контроль за правильним і своєчасним знищенням посадовими особами особистих ключів;
– ведення контролю за процесом резервування сертифікатів ключів та списків відкликаних сертифікатів ключів, а також інших важливих ресурсів;
– організація розмежування доступу до ресурсів ПТК, зокрема розподілення між посадовими особами паролів, ключів, сертифікатів ключів тощо;
– забезпечення спостереження (реєстрація та аудит подій в ПТК, моніторинг подій тощо) за функціонуванням КСЗІ;
– забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ПТК;
– ведення журналу обліку адміністратора безпеки.
7.2.4 Функції та завдання підрозділу технічного обслуговування ПТК Центру
До складу підрозділу технічного обслуговування ПТК входить системний адміністратор.
Функції та завдання підрозділу технічного обслуговування ПТК Центру:
– організація експлуатації та технічного обслуговування ПТК;
– підтримка електронного інформаційного ресурсу Центру;
– адміністрування засобів ПТК;
– участь у впровадженні та забезпеченні функціонування КСЗІ;
– ведення журналів аудиту подій, що реєструються засобами ПТК;
– встановлення та налагодження програмного забезпечення системи резервного копіювання;
– формування та ведення резервних копій загальносистемного та спеціального програмного забезпечення ПТК;
– забезпечення актуальності еталонних, архівних і резервних копій реєстрів сертифікатів ключів, що створюються у Центрі, їх зберігання.
7.2.5. Функціональні обов’язки наступних посадових осіб безпосередньо пов’язані з обслуговуванням сертифікатів ключів:
– Директор Центру;
– Адміністратор сертифікації;
– Адміністратор реєстрації;
– Системний адміністратор;
– Адміністратор безпеки.
В залежності від навантаження на Центр обов’язки зазначених посад можуть суміщуватися. Разом з тим, забороняється суміщення посади адміністратора безпеки з іншими посадами.
Директор та посадові особи зобов’язані:
– відповідально ставитися до виконання своїх службових обов’язків та сумлінно їх виконувати;
– приймати рішення в межах наданих повноважень;
– не розголошувати та не використовувати з вигодою для себе чи для третіх осіб конфіденційну інформацію, яка стала відома їм при виконанні своїх службових обов’язків, зокрема відомості про персональні дані.
Директор Центру несе персональну відповідальність за діяльність Центру, за невиконання або неналежне виконання покладених на нього посадових обов’язків відповідно до законодавства України.
Адміністратор безпеки
Адміністратор безпеки відповідає за належне функціонування комплексної системи захисту інформації та контроль за використанням криптографічних засобів Центру.
Посадові обов’язки Адміністратора безпеки:
– генерація та резервне копіювання особистого ключа Центру та ключів допоміжних служб (OCSP, TSP), реєстрація цих фактів в журналі генерації, резервного копіювання, відновлення та знищення ключових даних;
– реєстрування факту генерації особистих ключів співробітників Центру у відповідному журналі обліку;
– контроль за процесом резервування сертифікатів ключів та списків відкликаних сертифікатів, а також інших важливих інформаційних ресурсів системи;
– організація та контроль розмежування доступу до ресурсів ПТК;
– моніторинг подій, перегляд журналу аудиту подій в ПТК, контроль за функціонуванням КСЗІ;
– розроблення розпорядчих документів, згідно з якими в Центрі повинен забезпечуватися захист інформації, контроль за їх виконанням;
– своєчасне реагування на спроби несанкціонованого доступу до ресурсів Центру, порушення правил експлуатації засобів захисту інформації;
– контроль за зберіганням особистого ключа Центру та його резервної копії, особистих ключів посадових осіб Центру;
– знищення особистого ключа Центру, контроль за правильним і своєчасним знищенням посадовими особами особистих ключів.
Системний адміністратор
Системний адміністратор відповідає за функціонування ПТК Центру та конфігурування загального програмного забезпечення ПТК.
Посадові обов’язки системного адміністратора:
– організація експлуатації та технічного обслуговування ПТК;
– забезпечення підтримки електронного інформаційного ресурсу, публікації сертифікатів та списку відкликаних сертифікатів;
– адміністрування засобів ПТК;
– участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації;
– забезпечення ведення журналів аудиту подій, що реєструються засобами ПТК;
– встановлення, інсталяція та налагодження, конфігурування програмного забезпечення та системи резервного копіювання;
– забезпечення актуальності еталонних і архівних копій загальносистемного та спеціального програмного забезпечення ПТК, баз сертифікатів, списків відкликаних сертифікатів та їх зберігання.
– формування та ведення резервних копій (дублювання) загальносистемного та спеціального програмного забезпечення ПТК;
– забезпечення актуальності резервних копій баз сертифікатів ключів, списків відкликаних сертифікатів та їх зберігання.
– організація розмежування доступу до ресурсів Центру, зокрема розподілення між посадовими особами паролів, ключів, сертифікатів тощо;
– забезпечення спостереження (реєстрація та аудит подій в Центрі, моніторинг подій тощо) за функціонуванням КСЗІ;
– забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ПТК.
Адміністратор сертифікації
Адміністратор сертифікації відповідає за формування сертифікатів, списків відкликаних сертифікатів, збереження та використання особистого ключа Центру.
Посадові обов’язки Адміністратора сертифікації:
– підготовка та подання до центрального засвідчувального органу, необхідних для формування сертифіката та засвідчення відкритого ключа Центру;
– участь у генерації особистого ключа Центру та ключів допоміжних служб (OCSP, TSP);
– забезпечення використання особистого ключа Центру та особистого ключа служби TSP під час формування сертифікатів ключів, списків відкликаних сертифікатів, позначки фіксування часу;
– забезпечення ведення, архівації та відновлення еталонної бази даних сформованих сертифікатів;
– участь у генерації та знищенні особистого ключа Центру.
Адміністратор реєстрації
Адміністратор реєстрації – відповідає за ідентифікацію фізичних та юридичних осіб під час формування, блокування, поновлення та скасування сертифіката.
Посадові обов’язки адміністратора реєстрації:
– встановлення осіб, які звернулися до Центру з метою формування сертифіката ключа;
– перевірка даних, обов'язкових для формування сертифіката ключа, а також даних, які вносяться у сертифікат ключа на вимогу підписувача;
– укладення договорів про надання послуг ЕЦП;
– ведення реєстрації підписувачів (заявників);
– отримання від підписувачів заявок на формування, скасування, блокування та поновлення сертифікатів ключів;
– забезпечення обробки запитів на формування, скасування, блокування та поновлення сертифікатів ключів підписувачів;
– надання допомоги підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживання заходів щодо забезпечення безпеки інформації під час генерації;
– перевірка законності звернень про блокування, поновлення та скасування сертифікатів;
– надання підписувачам консультацій щодо умов та порядку надання послуг ЕЦП;
– використання та зберігання особистого ключа адміністратора реєстрації;
Посадові обов’язки, кваліфікаційні вимоги та відповідальність посадових осіб, діяльність яких безпосередньо пов’язана з наданням послуг ЕЦП та обслуговуванням сертифікатів ключів, визначається положенням, яке затверджується керівником ПрАТ “ІВК”.
7.3. Ведення журналів аудиту автоматизованої системи
ПТК забезпечує реєстрацію у журналах аудиту автоматизованої системи акредитованого центру таких подій:
– спроби створення, знищення, встановлення пароля, зміни прав доступу, системних привілеїв тощо у ПТК;
– генерації та використання ключової інформації;
– формування, блокування, скасування та поновлення посилених сертифікатів ключів, а також формування списків скасованих сертифікатів;
– спроби несанкціонованого доступу до ПТК;
– надання доступу до ПТК персоналу акредитованого центру;
– збої у роботі ПТК;
– заміна ключів.
Захист журналів аудиту автоматизованої системи акредитованого центру забезпечується засобами ПТК, налагодження та контроль за якими здійснюється адміністратором безпеки Центру.
Журнали аудиту автоматизованої системи Центру переглядаються не рідше ніж раз на добу.
Перегляд журналів аудиту автоматизованої системи може здійснювати адміністратор безпеки Центру.
Строк зберігання протокольних записів аудиту не обмежений.
7.4. Ведення архівів
Архівному зберіганню підлягають наступні документи Центру:
– укладені з заявниками договори та інші документи (завірені в установленому порядку копії документів), що використовуються під час реєстрації;
– сертифікати ключів Центру;
– сертифікати ключів серверів Центру;
– сертифікати ключів посадових осіб Центру;
– сертифікати ключів підписувачів;
– заяви на реєстрацію заявників;
– заяви на формування сертифікатів ключів підписувачів;
– заяви на скасування сертифікатів ключів підписувачів;
– заяви на блокування сертифікатів ключів підписувачів;
– заяви на поновлення сертифікатів ключів підписувачів;
– службові документи Центру, у тому числі журнали аудиту ПТК тощо.
Документи Центру на паперових носіях, у тому числі й сертифікати ключів підписувачів, зберігаються у порядку, встановленому законодавством України про архіви та архівні справи.
Документи, що підлягають архівному зберіганню, є документами тимчасового зберігання. Термін зберігання архівних документів – десять (10) років.
Термін зберігання сертифікатів підписувачів у Центрі здійснюється протягом усього терміну його чинності та на протязі десяти (10) років після його скасування. Після закінчення зазначеного строку зберігання сертифікати ключів переводяться у режим архівного зберігання.
Сертифікати ключів Центру, сертифікати ключів серверів Центру та списки відкликаних сертифікатів зберігаються постійно.
Для перевірки електронних документів, підписаних особистими ключами підписувачів, відповідні сертифікати ключів яких не є чинними, Центр надає можливість доступу до таких сертифікатів ключів через власний інформаційний ресурс. Додатково забезпечується можливість перевірки статусу сертифіката ключа на момент накладання ЕЦП.
Знищення архівних документів здійснюється комісією, сформованою із посадових осіб Центру при безпосередній участі директора Центру та адміністратора безпеки.
Засоби СУБД MSSQL, що входять до складу серверу АЦСК, виконують автоматичне резервне копіювання БД АС. Автоматичне резервне копіювання виконується на накопичувач на жорстких магнітних дисках. Автоматичне створення резервної копії засобами СУБД MSSQL виконується раз на добу, під час найменшого завантаження серверу АЦСК, зазвичай це проміжок між 1 та 4 годинами ночі. Основний та резервний сервери АЦСК працюють у відмовостійкому кластері, для забезпечення захисту від апаратних та програмних збоїв.
Додатково виконується резервне копіювання БД АС та журналів аудиту ПТК в ручному режимі на оптичні носії. Копіювання виконується засобами операційної системи або програмного забезпечення, що надається із пристроями запису на з'ємні носії.
Під час копіювання створюються дві резервні копії, одна залишається на збереженні у АЦСК, інша, передається на збереження до ТОВ «АБ «Стелс». Після створення нової резервної копії, попередня стає архівною.
Для зберігання носіїв з резервними та архівними копіями виділяється окреме сховище з двома екземплярами ключів і пристроями для опечатування замкових щілин. Один екземпляр ключа від сховища знаходиться в уповноваженої посадової особи акредитованого центру - адміністратора безпеки, а другій - в опечатаному вигляді в сховищі директора АЦСК або посадової особи, яка його заміщує. Незахищений з'ємний носій зберігається в упаковці, що опечатується печаткою ПрАТ "ІВК" та особистим підписом системного адміністратора.
При прийомі носіїв інформації на зберігання та їх поверненні здійснюється огляд і визначається їх зовнішній стан.
Факти приймання та повернення носіїв інформації реєструються в журналі.
8. Управління ключами Центру
8.1. Порядок генерації та резервного копіювання особистого ключа Центру
Генерація особистого ключа Центру виконується на сервері Центру (основному) у спеціальному приміщенні серверів Центру трьома особами – директором Центру та адміністратором безпеки в присутності адміністратора сертифікації.
Перед процесом генерації здійснюється одночасна автентифікація адміністратора безпеки та директора Центру у апаратному модулі сертифікації для ініціалізації механізмів генерації. Автентифікація здійснюється з використанням даних автентифікації (паролів).
В процесі генерації особистий ключ Центру зберігається у апаратному модулі сертифікації, а службова інформація особистого ключа – на носії ключової інформації. Запит на формування сертифіката Центру, що містить відкритий ключ, записується на НЖМД сервера Центру.
Адміністратор безпеки та директор Центру відповідно забезпечують зберігання власних паролів (окремо) у такий спосіб: кожен записує пароль на папері (без можливості ознайомлення сторонніх осіб), вкладає у непрозорий конверт або пенал який опечатує та зберігає у сейфі (чарунці) у спеціальному приміщенні. Резервні ключі від сейфу зберігаються у директора Центру.
При необхідності ознайомлення з паролем (за відсутності відповідної особи) наказом директора Центру визначається відповідна особа за ознайомлення з паролем та створюється комісія. За результатами відкриття конверта з паролем складається акт. Після чого для відповідальної особи за зберігання паролю генерується новий пароль.
Для забезпечення можливості відновлення особистого ключа Центру у випадку виходу з ладу криптографічного модуля, після генерації особистого ключа створюється не менше трьох резервних копій ключа з апаратного модуля сертифікації. Копіювання виконується двома особами – директором Центру та адміністратором безпеки. Носії з копіями особистого ключа Центру поміщуються у конверти, які опечатуються печаткою керівника Центру та адміністратора безпеки. Резервні копії особистого ключа Центру зберігаються у сейфі адміністратора сертифікації у спеціальному приміщенні.
Факти генерації та резервного копіювання особистого ключа Центру заносяться адміністратором безпеки в журнал генерації, резервного копіювання, відновлення та знищення ключових даних.
Строк дії особистого ключа Центру не перевищує 5 (п’ять) років. Початком строку дії особистого ключа Центру вважається дата та час його генерації. Строки дії особистого ключа Центру можуть корегуватися центральним засвідчувальним органом під час формування сертифіката Центру.
Після генерації особистого ключа Центру адміністратором сертифікації здійснюється формування самопідписаного сертифіката Центру, який є запитом на формування сертифіката у центральному засвідчувальному органі.
Формування сертифіката виконується на сервері Центру (основному) у спеціальному приміщенні серверів Центру трьома особами – адміністратором сертифікації в присутності директора Центру та адміністратора безпеки.
Перед процесом формування здійснюється автентифікація адміністратора безпеки у апаратному модулі сертифікації для ініціалізації механізмів ЕЦП та введення службової інформації особистого ключа у сервер Центру. Автентифікація у апаратному модулі сертифікації здійснюється з використанням даних автентифікації.
В процесі формування сертифіката запит на формування сертифіката Центру, що містить відкритий ключ, зчитується з НЖМД сервера. Сформований сертифікат записується на НЖМД сервера та передається адміністратором сертифікації у Центральний засвідчувальний орган.
8.2. Порядок використання (введення) особистого ключа Центру
Введення особистого ключа Центру виконується на сервері Центру (основному чи резервному) у спеціальному приміщенні серверів адміністратором сертифікації. Особистий ключ Центру зберігається та застосовується тільки у апаратному засобі КЗІ, що входить до складу ПТК Центру.
Перед процесом введення здійснюється автентифікація адміністратора сертифікації у апаратному модулі сертифікації для ініціалізації механізмів ЕЦП та введення службової інформації особистого ключа у сервер. Автентифікація у апаратному модулі сертифікації здійснюється з використанням даних автентифікації.
В процесі введення сертифікат Центру, що містить відкритий ключ, зчитується з НЖМД сервера.
8.3. Порядок планової зміни ключів Центру
Планова зміна ключів Центру виконується не раніше, ніж через три роки та не пізніше, ніж через п’ять років після початку їх дії.
Процедура планової зміни ключів Центру здійснюється в наступному порядку:
– адміністратор безпеки разом з директором Центру виконують генерацію нового особистого ключа Центру;
– адміністратор сертифікації ініціює процес засвідчення чинності відкритого ключа Центру в Центральному засвідчувальному органі шляхом передачі запиту на формування сертифіката;
– після отримання сертифіката ключа від Центрального засвідчувального органу новий сертифікат ключа Центру публікується на інформаційному ресурсі Центру.
Після публікації нового сертифіката ключа Центру у загальнодоступних каталогах (LDAP-каталоги) та на інформаційному ресурсі Центру (web-сторінці) старий особистий ключ знищується надійним способом.
Перевірка ЕЦП на документах, підписаних за допомогою старого особистого ключа, здійснюється шляхом застосування відповідного йому скасованого сертифіката ключа, який зберігається в інформаційному ресурсі Центру або в архіві Центрального засвідчувального органу.
8.4. Порядок позапланової зміни ключів Центру
У випадку компрометації або загрози компрометації особистого ключа Центру виконується позапланова зміна ключів.
Процедура позапланової зміни ключів Центру виконується в порядку, визначеному процедурою планової зміни ключів.
Після публікації нового сертифіката Центру у загальнодоступних каталогах (LDAP-каталоги) та на інформаційному ресурсі Центру (web-сторінці), старий особистий ключ знищується надійним способом.
Сертифікати ключів всіх підписувачів та сертифікат ключа Центру скасовуються шляхом занесення в список відкликаних сертифікатів.
Список відкликаних сертифікатів підписується новим особистим ключем Центру.
Центр офіційно оповіщає заявників про факт позапланової зміни ключів Центру.
Після одержання офіційного повідомлення про факт позапланової зміни ключів Центру заявникам необхідно виконати процедуру одержання нових ключів і сертифікатів відповідно до положень цього Регламенту.
8.5. Порядок генерації особистих ключів серверів ( OCSP , TSP ) Центру.
Генерація особистих ключів серверів (OCSP, TSP) АЦСК виконується на центральному сервері комплексу АЦСК у службовому (серверному) приміщенні двома особами — адміністратором безпеки разом з адміністратором сертифікації.
В процесі генерації особисті ключі серверів АЦСК зберігаються на НКІ. Запити на формування сертифікатів серверів АЦСК, що містять відкриті ключі записуються на постійний диск центрального сервера.
Після генерації особистих ключів серверів АЦСК створюються резервні копії кожного особистого ключа. Кожна резервна копія особистого ключа записується на окремий резервний НКІ. Резервна копія особистого ключа зберігається у сейфі адміністратора сертифікації у спеціальному приміщені.
Факт генерації та резервного копіювання особистих ключів серверів АЦСК адміністратор безпеки заносить до журналу генерації, резервного копіювання, відновлення та знищення ключових даних.
8.6. Порядок формування сертифікатів серверів ( OCSP , TSP ) Центру.
Після генерації особистих ключів серверів (OCSP, TSP) здійснюється формування їх сертифікатів.
Формування сертифікату OCSP-серверу виконується на центральному сервері АЦСК у службовому (серверному) приміщенні АЦСК з використанням особистого ключа АЦСК двома особами — адміністратором сертифікації у присутності адміністратора безпеки.
Для формування сертифікату TSP –серверу адміністратор сертифікації ініціює процес засвідчення чинності відкритого ключа в Центральному засвідчувальному органі шляхом передачі запиту на формування сертифіката. Формування сертифікату TSP-серверу виконується Центральним засвідчувальним органом.
Сформовані сертифікати серверів (OCSP, TSP) записуються на постійний диск та у базу даних центрального сервера АЦСК.
Після формування сертифікати серверів АЦСК публікуються на інформаційному ресурсі АЦСК (у LDAP-каталозі та на web-сторінці сервера взаємодії).
9. Порядок синхронізації часу у ПТК
Синхронізація часу в засобах програмно-технічного комплексу центра сертифікації ключів ПрАТ «Інфраструктура відкритих ключів» здійснюється за допомогою зовнішнього NTP-сервера Центрального засвідчувального органу.
Власний комплекс синхронізації часу АЦСК ПрАТ «ІВК» використовується як один з резервних. Резервний комплекс забезпечує отримання часу з 4-12 супутників за допомогою GPS-приймача.
Підсистему синхронізації часу АЦСК ПрАТ «ІВК» розгорнуто на діючому кластері серверів взаємодії. Дана підсистема є NTP-сервером рівня 2, та синхронізується з системами рівня 1.
Внутрішній NTP-сервер рівня 1 розгорнуто на РС системного адміністратора та отримує значення часу за допомогою GPS-приймача.
В спеціальному програмному забезпеченні, що використовується для налаштування GPS -приймача встановлюються наступні параметри:
- СОМ-порт, до якого підключено GPS-приймач;
- швидкість порту (9600 бод);
- інтервал для отримання значення часу з GPS-приймача у секундах;
- признак отримання значення часу при відсутності видимих супутників.
Признак отримання значення часу при відсутності видимих супутників вказує на необхідність використання власного таймеру GPS-приймача в разі відсутності видимих супутників.
Всі клієнти (РС та сервери), що входять до складу ПТК АЦСК для синхронізації часу використовують вбудовані в операційну систему засоби. У якості адреси сервера синхронізації часу задано внутрішню IP-адресу сервера взаємодії.
Інтервал синхронізації серверів АЦСК становить 2 години. Інтервал синхронізації РС персоналу АЦСК становить 2 години.
Операційний контроль та моніторинг підсистеми синхронізації часу здійснює системний адміністратор, шляхом перегляду системних журналів один раз на день.