ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
П О С Т А Н О В А
| 12.09.2011 N 312 |
Про затвердження Регламенту роботи Засвідчувального центру Національного банку України
Відповідно до пункту 7 статті 7 Закону України "Про Національний банк України", частини сьомої статті 5 Закону України "Про електронний цифровий підпис", на виконання пункту 2 постанови Правління Національного банку України від 23.09.2008 N 287 "Про затвердження Положення про Засвідчувальний центр Національного банку України" Правління Національного банку України
ПОСТАНОВЛЯЄ:
1. Затвердити Регламент роботи Засвідчувального центру Національного банку України, що додається.
2. Управлінню захисту інформації (Лук'янов Д.О.) після набрання чинності цією постановою надіслати її копію до Адміністрації Державної служби спеціального зв'язку та захисту інформації України та довести її зміст до відома банків України.
3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Ричаківську В.І.
4. Ця постанова набирає чинності з дня її підписання.
| Голова | С.Г.Арбузов |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
12.09.2011 N 312
РЕГЛАМЕНТ
роботи Засвідчувального центру Національного банку України
1. Загальні положення
1.1. Цей Регламент розроблено відповідно до пункту 7 статті 7 Закону України "Про Національний банк України", частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис", постанови Кабінету Міністрів України від 13.07.2004 N 903 "Про затвердження Порядку акредитації центру сертифікації ключів", розпорядження Кабінету Міністрів України від 06.05.2009 N 483-р "Про погодження створення Засвідчувального центру Національного банку України", наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 N 3 "Про затвердження Правил посиленої сертифікації", зареєстрованого в Міністерстві юстиції України 27.01.2005 за N 104/10384 (у редакції наказу від 10.05.2006 N 50) , постанов Правління Національного банку України від 23.09.2008 N 287 "Про затвердження Положення про Засвідчувальний центр Національного банку України" та від 17.06.2010 N 284 "Про затвердження нормативно-правових актів з питань функціонування електронного цифрового підпису в банківській системі України", зареєстрованої в Міністерстві юстиції України 04.11.2010 за N 1034/18329.
1.2. У цьому Регламенті терміни вживаються в такому значенні:
адміністратор безпеки Засвідчувального центру - відповідальна особа Засвідчувального центру, що виконує функції служби захисту інформації;
адміністратор реєстрації Засвідчувального центру - відповідальна особа Засвідчувального центру, що виконує функції служби реєстрації;
адміністратор сертифікації Засвідчувального центру - відповідальна особа Засвідчувального центру, що виконує функції служби сертифікації;
база даних - база даних Засвідчувального центру Національного банку України (далі - Засвідчувальний центр), у якій зберігається реєстр Засвідчувального центру, інформаційно-довідкова, технологічна та інша службова інформація, потрібна для функціонування програмно-технічного комплексу Засвідчувального центру;
ведення реєстру Засвідчувального центру - унесення (видалення, модифікація) інформації до реєстру Засвідчувального центру, її зберігання та резервування;
допоміжні послуги Засвідчувального центру - послуга визначення статусу посиленого сертифіката відкритого ключа (далі - сертифікат ключа) в реальному часі та послуга фіксування часу;
ключі Засвідчувального центру - власні криптографічні ключі Засвідчувального центру (особистий і відкритий) та криптографічні ключі допоміжних послуг Засвідчувального центру (особистий і відкритий);
комплексна система захисту інформації Засвідчувального центру - сукупність інженерно-технічних, організаційних заходів та програмно-апаратних засобів, які забезпечують технічний та криптографічний захист інформації в програмно-технічному комплексі Засвідчувального центру;
поновлення сертифіката ключа - процедура управління статусом сертифіката ключа, що забезпечує поновлення чинності сертифіката ключа (якій передувала відповідна процедура блокування сертифіката ключа);
програмно-технічний комплекс Засвідчувального центру - сукупність технічного обладнання, програмного забезпечення та організаційних заходів, що використовується Національним банком України для забезпечення виконання функцій Засвідчувального центру;
системний адміністратор Засвідчувального центру - відповідальна особа Засвідчувального центру, що виконує функції служби адміністрування;
список відкликаних сертифікатів ключів Засвідчувального центру - перелік блокованих і скасованих сертифікатів ключів, що формується Засвідчувальним центром, захист якого забезпечується накладенням електронного цифрового підпису за допомогою власних особистих ключів Засвідчувального центру;
скасування сертифіката ключа - процедура управління статусом сертифіката ключа, яка зупиняє чинність сертифіката ключа;
строк чинності сертифіката ключа - проміжок часу між датою і часом початку та датою і часом закінчення чинності сертифіката ключа, що встановлюються під час формування сертифіката ключа;
строк чинності особистого ключа - строк, протягом якого використання особистого ключа є чинним.
Інші терміни в цьому Регламенті застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис", Положенні про центри сертифікації ключів банків України та Правилах реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України (далі - Правила), затверджених постановою Правління Національного банку України від 17.06.2010 N 284.
1.3. Суб'єктами правових відносин у сфері електронного цифрового підпису, що обумовлюються цим Регламентом, є Центральний засвідчувальний орган, Засвідчувальний центр та центри сертифікації ключів (далі - Центри).
1.4. Цей Регламент є нормативним актом, що визначає організаційно-методологічні та технологічні умови діяльності Засвідчувального центру під час проведення процедур реєстрації, засвідчення чинності відкритих ключів, акредитації Центрів у Засвідчувальному центрі, зміни ідентифікаційних даних Центрів та надання послуг електронного цифрового підпису для Центрів від Засвідчувального центру.
1.5. Центр зобов'язаний здійснювати свою діяльність відповідно до регламенту роботи, що визначає організаційно-методологічні та технологічні умови його діяльності в процесі надання послуг електронного цифрового підпису підписувачам. Регламент роботи Центру має розроблюватися відповідно до Правил оформлення Регламенту роботи центрів сертифікації ключів банків України, затверджених постановою Правління Національного банку України від 17.06.2010 N 284.
1.6. Центр зобов'язаний погодити свій регламент роботи із Засвідчувальним центром до початку проведення реєстрації/акредитації. Центр зобов'язаний додатково погодити свій регламент роботи із контролюючим органом до початку проведення акредитації.
1.7. Зареєстрований/акредитований Центр зобов'язаний кожні шість місяців надсилати електронною поштою до служби реєстрації Засвідчувального центру інформацію про діяльність Центру згідно з формою, визначеною в додатку 1 до цього Регламенту, протягом одного місяця, наступного за останнім місяцем відповідного півріччя.
1.8. Цей Регламент установлює обов'язки Засвідчувального центру щодо використання послуг електронного цифрового підпису, які надаються Центральним засвідчувальним органом, та Центрів щодо використання послуг електронного цифрового підпису, які надаються Засвідчувальним центром. Цей Регламент є засобом офіційного інформування зазначених суб'єктів у правовідносинах, що виникають у процесі надання та використання послуг електронного цифрового підпису.
1.9. Основними функціями Центру є:
створення і забезпечення функціонування програмно-технічного комплексу Центру;
реєстрація підписувачів;
генерування і зберігання ключів Центру та відповідальних осіб Центру;
забезпечення підписувачів засобами криптографічного захисту інформації (генерування ключів) і в разі потреби надання допомоги під час генерування ключів, а також ужиття заходів щодо забезпечення безпеки інформації під час їх генерування;
засвідчення чинності власних відкритих ключів Центру в Засвідчувальному центрі;
формування сертифікатів відкритих ключів допоміжних послуг Центру, відповідальних осіб Центру та підписувачів;
ведення реєстру Центру;
розповсюдження сертифікатів відкритих ключів Центру та підписувачів;
блокування, скасування та поновлення сертифікатів відкритих ключів допоміжних послуг Центру і підписувачів у випадках, передбачених законодавством України у сфері електронного цифрового підпису;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифіката відкритого ключа;
публікація на інформаційному ресурсі Центру відкритої інформації;
інші функції, визначені Законом України "Про електронний цифровий підпис", та дії, пов'язані з технічною і технологічною підтримкою діяльності Центру.
1.10. Ідентифікаційні дані Засвідчувального центру:
Повне найменування: Засвідчувальний центр Національного банку України.
Місцезнаходження: 01601, м. Київ, вул. Інститутська, 9.
Адреси розміщення Засвідчувального центру:
03028, м. Київ, просп. Науки, 7;
01601, м. Київ, вул. Інститутська, 9.
Телефон: (044) 525-37-36.
Факс: (044) 524-39-63.
Код ЄДРПОУ: 00032106.
Електронна адреса інформаційного ресурсу (веб-сайту): www.bank.gov.ua.
2. Організаційна структура Засвідчувального центру
2.1. Організаційна структура Засвідчувального центру містить дві основні складові частини, що виконують адміністративні, технічні й технологічні функції.
2.2. Адміністративні функції Засвідчувального центру:
реєстрація Центрів;
акредитація Центрів;
надання Центрам консультацій з питань, пов'язаних із використанням електронного цифрового підпису;
погодження регламентів роботи Центрів;
розгляд заяв і скарг щодо неналежного функціонування Центрів;
приймання на зберігання від Центрів їх реєстрів та документованої інформації, яка підлягає обов'язковому передаванню в разі скасування реєстрації, акредитації чи припинення їх діяльності.
2.3. Технічні й технологічні функції Засвідчувального центру:
створення і забезпечення функціонування програмно-технічного комплексу Засвідчувального центру;
забезпечення захисту інформації впродовж експлуатації програмно-технічного комплексу Засвідчувального центру;
генерування і зберігання ключів Засвідчувального центру та відповідальних осіб Засвідчувального центру;
вивантаження з програмно-технічного комплексу Засвідчувального центру власних відкритих ключів Засвідчувального центру для засвідчення їх чинності в Центральному засвідчувальному органі;
установлення належності Центру особистого ключа та його відповідності відкритому ключу під час формування сертифікатів ключа Центру;
формування сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
ведення реєстру Засвідчувального центру;
поширення сертифікатів ключів Засвідчувального центру та Центрів у встановленому цим Регламентом порядку;
блокування, скасування та поновлення сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру у випадках, передбачених цим Регламентом і законодавством України у сфері електронного цифрового підпису;
надання Центрам послуг фіксування часу;
надання послуг визначення статусу сертифіката ключа;
оприлюднення на інформаційному ресурсі Засвідчувального центру відкритої інформації;
інші дії, пов'язані з технічною й технологічною підтримкою діяльності Засвідчувального центру.
2.4. У Засвідчувальному центрі є такі служби для виконання адміністративних, технічних та технологічних функцій:
служба захисту інформації (Управління захисту інформації Національного банку України);
служба сертифікації (Управління захисту інформації Національного банку України);
служба реєстрації (відділ/сектор захисту інформації в територіальному управлінні Національного банку України за місцем розташування Центрів (крім Головного управління Національного банку України по місту Києву і Київській області). Для Центрів, що розташовані в місті Києві та Київській області, функції служби реєстрації Засвідчувального центру виконує відділ захисту банківської інформації Центральної розрахункової палати Національного банку України);
служба системного адміністратора (Управління захисту інформації Національного банку України, відділи/сектори захисту інформації центрів інформатизації територіальних управлінь Національного банку України, Центральної розрахункової палати Національного банку України).
2.5. Основними функціями служби захисту інформації є:
проектування, розроблення, експлуатація, обслуговування та модернізація комплексної системи захисту інформації Засвідчувального центру;
адміністрування відповідальних осіб Засвідчувального центру.
2.6. Основними функціями служби сертифікації є:
генерування ключів Засвідчувального центру;
вивантаження з апаратури криптографічних засобів захисту інформації (далі - АКЗЗІ) власних відкритих ключів Засвідчувального центру для засвідчення їх чинності в Центральному засвідчувальному органі;
завантаження сертифікатів власних ключів Засвідчувального центру в програмно-технічний комплекс Засвідчувального центру;
перехід на використання нових ключів Засвідчувального центру;
знищення особистих ключів Засвідчувального центру, строк чинності яких закінчився;
засвідчення чинності відкритих ключів Центрів та допоміжних послуг Засвідчувального центру;
звернення до Центрального засвідчувального органу щодо зміни статусу сертифікатів власних ключів Засвідчувального центру у випадках, передбачених цим Регламентом і законодавством України у сфері електронного цифрового підпису;
управління статусом сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
унесення змін до реєстру Засвідчувального центру щодо статусу Центру (Центр може мати один із таких статусів: збережений, зареєстрований, акредитований, анульований);
надання Центрам послуг фіксування часу;
надання послуг визначення статусу сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
вивантаження/завантаження резервної інформації із/в програмно-технічний комплекс Засвідчувального центру.
2.7. Основними функціями служби реєстрації є: установлення осіб заявників Центрів;
перевірка Центрів у процесі їх реєстрації, акредитації та подальшої роботи на відповідність вимогам, установленим цим Регламентом та іншими чинними нормативними документами у сфері електронного цифрового підпису;
опрацювання документів і запитів, які подаються заявником Центру до Засвідчувального центру під час проведення регламентних процедур;
уведення в програмно-технічний комплекс Засвідчувального центру запитів на формування сертифікатів ключів Центрів для засвідчення їх чинності;
формування в програмно-технічному комплексі Засвідчувального центру запитів на блокування, поновлення та скасування сертифікатів ключів Центрів у разі подання відповідних заяв (додаток 2);
контроль за строками подання акредитованими Центрами до Засвідчувального центру інформації про діяльність Центрів за формою, установленою в додатку 1 до Регламенту, та її опрацювання.
2.8. Основними функціями служби системного адміністратора є:
установлення та налаштування операційної системи на робочих місцях відповідальних осіб Засвідчувального центру та на серверах Засвідчувального центру;
установлення та налаштування серверних і клієнтських застосувань на робочих місцях відповідальних осіб Засвідчувального центру та на серверах Засвідчувального центру;
виконання оновлень серверного та клієнтського програмного забезпечення програмно-технічного комплексу Засвідчувального центру;
підтримка належного функціонування програмно-технічного комплексу Засвідчувального центру.
2.9. У Засвідчувальному центрі для виконання завдань, покладених на зазначені в пункті 2.4 цієї глави служби, створено такі автоматизовані робочі місця:
автоматизовані робочі місця адміністраторів безпеки Засвідчувального центру;
автоматизовані робочі місця адміністраторів сертифікації Засвідчувального центру;
автоматизовані робочі місця адміністраторів реєстрації Засвідчувального центру;
неспеціалізовані автоматизовані робочі місця.
2.10. Відповідальні особи Засвідчувального центру виконують функції служб, зазначених у пункті 2.4 цієї глави, на відповідних спеціалізованих автоматизованих робочих місцях.
2.11. Відповідальні особи Засвідчувального центру мають право виконувати роботу з нормативно-довідковою інформацією Засвідчувального центру на своїх спеціалізованих автоматизованих робочих місцях або на неспеціалізованому автоматизованому робочому місці з дотриманням вимог, визначених політикою безпеки інформації в програмно-технічному комплексі Засвідчувального центру, у межах повноважень, наданих їм адміністратором безпеки Засвідчувального центру.
2.12. Відповідальна особа Засвідчувального центру не має права суміщувати функції служби захисту інформації Засвідчувального центру з функціями інших служб у Засвідчувальному центрі.
2.13. Усі відповідальні особи Засвідчувального центру перед початком виконання своїх функціональних обов'язків зобов'язані ознайомитися зі змістом цього Регламенту, інструкцій щодо роботи на автоматизованих робочих місцях, інструкції щодо забезпечення безпеки експлуатації АКЗЗІ та порядку генерування ключових даних і поводження з ключовими документами (далі - інструкції щодо роботи з ключовими даними). Відповідальні особи Засвідчувального центру підтверджують факт ознайомлення з цими документами під підпис.
3. Архітектура програмно-технічного комплексу Засвідчувального центру
3.1. Графічна архітектура та загальна технологічна схема оброблення інформації в програмно-технічному комплексі Засвідчувального центру зображені на рис. 1.
3.2. Програмно-технічний комплекс Засвідчувального центру є автоматизованою системою класу 3. Технічні засоби комплексу об'єднані в розподілену обчислювальну мережу з використанням інформаційної мережі Національного банку України, частина з яких підключена до зовнішніх телекомунікаційних мереж.
3.3. Апаратне комп'ютерне забезпечення програмно-технічного комплексу Засвідчувального центру складається з двох типів комп'ютерної техніки, а саме:
серверної комп'ютерної техніки;
клієнтської комп'ютерної техніки.
3.4. Програмне забезпечення програмно-технічного комплексу Засвідчувального центру є централізованим трирівневим комплексом, що складається з таких компонентів:
база даних;
серверні застосування;
клієнтські застосування.
3.5. База даних, клієнтське застосування системи керування базою даних та серверні застосування функціонують у серверній комп'ютерній техніці.
3.6. Усі інші клієнтські застосування, що використовуються в програмно-технічному комплексі Засвідчувального центру, функціонують у клієнтській комп'ютерній техніці, яка входить до складу автоматизованих робочих місць відповідальних осіб Засвідчувального центру.
3.7. У програмно-технічному комплексі Засвідчувального центру організовано основні та резервні автоматизовані робочі місця адміністратора сертифікації Засвідчувального центру та адміністратора безпеки Засвідчувального центру. Забороняється одночасно експлуатувати основне та резервне автоматизовані робочі місця адміністратора сертифікації Засвідчувального центру. Забороняється одночасно експлуатувати основне та резервне автоматизовані робочі місця адміністратора безпеки Засвідчувального центру.
Клієнтські робочі місця ПТК ЗЦ НБУ
3.8. Сервер Засвідчувального центру виконує такі технічні й технологічні функції програмно-технічного комплексу Засвідчувального центру:
ініціювання завантаження/вивантаження інформації в/із бази даних шляхом використання клієнтського застосування системи керування базою даних (за запитами клієнтських застосувань, установлених на автоматизованих робочих місцях відповідальних Засвідчувального центру, та під час поширення сертифікатів ключів і списку відкликаних сертифікатів ключів);
формування сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
створення запитів на блокування, скасування та поновлення сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
блокування, скасування та поновлення сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
формування списку відкликаних сертифікатів ключів;
поширення сертифікатів ключів Засвідчувального центру та Центрів;
надання послуг визначення статусу сертифіката ключа (поширення списку відкликаних сертифікатів ключів);
зберігання нормативно-довідкової інформації Засвідчувального центру;
ідентифікація, автентифікація та авторизація відповідальних осіб Засвідчувального центру;
ведення журналів аудиту функціонування сервера Засвідчувального центру.
3.9. Сервер надання послуги визначення статусу сертифіката ключа в реальному часі (сервер OCSP) надає послуги визначення статусу сертифіката ключа в реальному часі.
3.10. Сервер послуги фіксування часу (сервер TSP) надає Центрам послуги фіксування часу.
3.11. Сервер системи керування базою даних виконує такі технічні й технологічні функції програмно-технічного комплексу Засвідчувального центру:
управління даними бази даних (завантаження/вивантаження інформації в/із бази даних, створення нових записів тощо);
ведення журналів аудиту функціонування бази даних;
резервне копіювання бази даних;
відновлення бази даних після збоїв.
3.12. За допомогою клієнтських застосувань ініціюється:
виконання технічних і технологічних функцій програмно-технічного комплексу Засвідчувального центру з використанням серверних застосувань;
генерування і зберігання криптографічних ключів Засвідчувального центру та відповідальних осіб Засвідчувального центру засобами АКЗЗІ;
вивантаження з АКЗЗІ власних відкритих ключів Засвідчувального центру для засвідчення їх чинності в Центральному засвідчувальному органі;
вивантаження з АКЗЗІ відкритих ключів допоміжних послуг Засвідчувального центру та відкритих ключів відповідальних осіб Засвідчувального центру для засвідчення їх чинності в Засвідчувальному центрі.
3.13. Лише за допомогою серверних застосувань може проводитися завантаження/вивантаження інформації в/із бази даних шляхом використання клієнтського застосування системи керування бази даних. Клієнтські застосування, що функціонують у складі автоматизованих робочих місць, отримують доступ до інформації в базі даних за допомогою серверних застосувань.
3.14. Серверна комп'ютерна техніка програмно-технічного комплексу Засвідчувального центру складається з трьох серверів і має кластерну архітектуру. Інформація передається між серверами за допомогою мережі збереження даних Національного банку України (Storage Area Network).
3.15. Кластерне рішення в штатному режимі роботи забезпечує функціонування бази даних, клієнтського застосування системи керування бази даних та серверних застосувань на одному із серверів. Кластерне рішення автоматично переводить роботу зазначеного програмного забезпечення на інший сервер кластера без простоїв у роботі та втрати інформації в разі виникнення проблем у роботі.
3.16. Моніторинг роботи серверів кластерного рішення здійснює Єдина система моніторингу та управління інформаційними ресурсами Національного банку України.
4. Режими доступу до інформації в Засвідчувальному центрі
4.1. У Засвідчувальному центрі приймається, обробляється, пересилається і зберігається інформація, яка за режимом доступу поділяється на відкриту інформацію та інформацію з обмеженим доступом, що має гриф "банківська таємниця" та "конфіденційно".
4.2. Відкрита інформація може оприлюднюватися шляхом її розміщення на інформаційному ресурсі Засвідчувального центру і розсилання засобами електронної пошти (e-mail) та електронної пошти Національного банку України.
4.3. Доступ до інформації з обмеженим доступом Засвідчувального центру мають відповідальні особи Засвідчувального центру з дотриманням вимог, визначених політикою безпеки інформації в програмно-технічному комплексі Засвідчувального центру.
4.4. Засвідчувальний центр має право надавати доступ до інформації з обмеженим доступом іншим особам лише у випадках, передбачених законодавством України.
4.5. До відкритої інформації Засвідчувального центру належать:
положення цього Регламенту;
нормативні документи та нормативно-довідкові матеріали;
зразок договору про надання послуг електронного цифрового підпису;
Примірний регламент роботи Центру;
сертифікати ключів Засвідчувального центру та Центрів;
інформація про статус сертифікатів ключів Засвідчувального центру та Центрів;
частина бази даних, у якій міститься інформація про Центри, що вноситься в сертифікати ключів Центрів та оприлюднюється шляхом розміщення на інформаційному ресурсі Засвідчувального центру.
Відкрита інформація може зберігатися на паперових носіях та в електронній формі.
4.6. До відкритої інформації, яка потребує захисту (забезпечення цілісності та доступності), належить інформація, що оприлюднюється шляхом розміщення на інформаційному ресурсі Засвідчувального центру.
4.7. До інформації з обмеженим доступом Засвідчувального центру в електронній формі належать:
особисті ключі Засвідчувального центру та відповідальних осіб Засвідчувального центру;
частина бази даних, у якій міститься інформація про Центри, що не підлягає безпосередньому оприлюдненню (персональні дані про заявника, керівника та уповноважених керівників Центрів, списки відповідальних осіб Центрів, плани-схеми приміщень Центрів, порядок доступу до спеціальних приміщень та інша інформація, яка не оприлюднюється на електронному інформаційному ресурсі Засвідчувального центру);
налаштування програмних засобів програмно-технічного комплексу Засвідчувального центру (налаштування комплексу засобів захисту, перелік мережевих адрес, протоколів і портів, що використовуються для забезпечення взаємодії між клієнтськими та серверними застосуваннями тощо);
списки відповідальних осіб Засвідчувального центру, їх ідентифікаторів, повноважень, права доступу, зміст протоколів роботи програмно-технічного комплексу Засвідчувального центру тощо.
4.8. До інформації з обмеженим доступом Засвідчувального центру на паперових носіях належать:
документи, що подаються Центрами до Засвідчувального центру під час проведення регламентних процедур і не підлягають безпосередньому оприлюдненню;
журнали аудиту (журнали обліку АКЗЗІ, обліку носіїв інформації, проведення регламентних процедур, технічного обслуговування програмно-технічного комплексу Засвідчувального центру);
інструкції відповідальних осіб Засвідчувального центру;
інструкції щодо роботи з ключовими даними.
5. Захист інформації в програмно-технічному комплексі Засвідчувального центру
5.1. Захист інформації в програмно-технічному комплексі Засвідчувального центру забезпечується в результаті впровадження комплексної системи захисту інформації. Комплексна система захисту інформації повинна мати атестат відповідності вимогам захисту інформації.
5.2. Усі складові частини програмно-технічного комплексу Засвідчувального центру перебувають у межах контрольованих зон Центрального апарату, Центральної розрахункової палати чи територіального управління Національного банку України (залежить від місця розташування конкретної частини програмно-технічного комплексу Засвідчувального центру).
5.3. Серверна комп'ютерна техніка програмно-технічного комплексу Засвідчувального центру розміщується в спеціальних серверних приміщеннях (у будівлях Національного банку України за адресою: м. Київ, вул. Інститутська, 9; м. Київ, просп. Науки, 7), що відповідають вимогам Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04.07.2007 N 243, та додатка до Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 N 3 та зареєстрованих у Міністерстві юстиції України 27.01.2005 за N 104/10384 (у редакції наказу від 10.05.2006 N 50) .
5.4. Автоматизоване робоче місце адміністратора сертифікації Засвідчувального центру розміщується в будівлі Національного банку України за адресою: м. Київ, просп. Науки, 7. Резервне автоматизоване робоче місце адміністратора сертифікації Засвідчувального центру розміщується в будівлі Національного банку України за адресою: м. Київ, вул. Інститутська, 9. Обидва автоматизовані робочі місця розташовані в спеціальних приміщеннях з обмеженим доступом і відповідають вимогам Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04.07.2007 N 243, та додатка до Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 N 3 та зареєстрованих у Міністерстві юстиції України 27.01.2005 за N 104/10384 (у редакції наказу від 10.05.2006 N 50) . Лише адміністратор сертифікації Засвідчувального центру має доступ до цього приміщення. Адміністратор безпеки Засвідчувального центру отримує доступ до цього приміщення тільки на час проведення процедури генерування криптографічних ключів Засвідчувального центру.
5.5. Клієнтська комп'ютерна техніка інших відповідальних осіб Засвідчувального центру розміщується в тих самих приміщеннях, у яких працюють ці відповідальні особи Засвідчувального центру.
5.6. Доступ сторонніх осіб до всіх приміщень, у яких розташовано обладнання програмно-технічного комплексу Засвідчувального центру, виключений. Ці приміщення перебувають під цілодобовою охороною, оснащені охоронною сигналізацією, датчиками руху та датчиками пожежної сигналізації. Ключі від приміщень видаються охороною тільки авторизованому персоналу. Такі умови розміщення обладнання програмно-технічного комплексу Засвідчувального центру забезпечують захищеність середовища його розміщення та унеможливлюють несанкціоноване проникнення до програмно-технічного комплексу Засвідчувального центру.
5.7. Усі засоби криптографічного захисту інформації програмно-технічного комплексу Засвідчувального центру мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
5.8. АКЗЗІ, що використовуються в програмно-технічному комплексі Засвідчувального центру, відповідають таким вимогам:
неможливість дублювання АКЗЗІ;
генерування криптографічних ключів відбувається безпосередньо в АКЗЗІ;
під час виконання криптографічних операцій ключова інформація та результати проміжних розрахунків захищені від стороннього доступу;
передбачено захист особистих ключів шляхом забезпечення неможливості доступу до них навіть у разі знання пароля доступу. Знання пароля доступу забезпечує лише дозвіл на виконання криптографічних операцій (усередині АКЗЗІ) з особистим ключем;
наявність засобів захисту критичної інформації, яка міститься в АКЗЗІ, від сучасних типів атак, побудованих на аналізі параметрів АКЗЗІ, які доступні для вимірювання ззовні під час роботи цієї апаратури.
5.9. В АКЗЗІ із власними ключами Засвідчувального центру містяться такі дані:
поточний та майбутній (у разі наявності) власні особисті ключі Засвідчувального центру;
поточний сертифікат власного відкритого ключа Засвідчувального центру та майбутній відкритий ключ (у разі наявності);
поточний сертифікат ключа Центрального засвідчувального органу.
5.10. В АКЗЗІ допоміжних послуг Засвідчувального центру містяться такі дані:
поточний та майбутній (у разі наявності) особисті ключі допоміжних послуг Засвідчувального центру;
поточний сертифікат ключа та майбутній відкритий ключ (у разі наявності);
поточний сертифікат власного відкритого ключа Засвідчувального центру.
5.11. В АКЗЗІ відповідальних осіб Засвідчувального центру містяться такі дані:
поточний та майбутній (у разі наявності) особисті ключі відповідальних осіб Засвідчувального центру;
поточний та майбутній (у разі наявності) відкриті ключі відповідальних осіб Засвідчувального центру;
поточний сертифікат власного відкритого ключа Засвідчувального центру.
5.12. Особисті ключі відповідальних осіб Засвідчувального центру зберігаються виключно всередині АКЗЗІ. Відкриті ключі відповідальних осіб Засвідчувального центру зберігаються виключно всередині АКЗЗІ та в базі даних програмно-технічного комплексу Засвідчувального центру. Особисті та відкриті ключі відповідальних осіб Засвідчувального центру не підлягають розповсюдженню жодним способом.
5.13. Відповідальні особи Засвідчувального центру зобов'язані здійснювати генерування і використання криптографічних ключів відповідно до своїх функціональних обов'язків виключно засобами АКЗЗІ на своїх спеціалізованих автоматизованих робочих місцях.
5.14. Відповідальні особи Засвідчувального центру зобов'язані зберігати інформацію з обмеженим доступом, що подана на паперових носіях чи в електронному вигляді на зйомних носіях (у тому числі в АКЗЗІ), у персональних сейфах.
5.15. Відповідальні особи Засвідчувального центру несуть особисту відповідальність за надійне зберігання АКЗЗІ та нерозголошення значення паролів доступу і розблокування.
5.16. Адміністратор безпеки Засвідчувального центру та адміністратор сертифікації Засвідчувального центру зобов'язані зберігати свої основні пристрої АКЗЗІ на своїх основних робочих місцях, а резервні пристрої АКЗЗІ - на резервних робочих місцях.
5.17. Адміністратор сертифікації Засвідчувального центру зобов'язаний зберігати основні та частину резервних АКЗЗІ з ключами Засвідчувального центру в персональному сейфі на основному робочому місці, а іншу частину резервних АКЗЗІ - у персональному сейфі на резервному робочому місці. Він несе особисту відповідальність за надійне зберігання цих АКЗЗІ та нерозголошення паролів доступу і розблокування.
5.18. Адміністратор сертифікації Засвідчувального центру зобов'язаний забезпечити зберігання резервних копій реєстру Засвідчувального центру на зйомних носіях у сейфах на своїх основному та резервному робочих місцях.
5.19. Серверні застосування та всі автоматизовані робочі місця забезпечують можливість:
криптографічного захисту інформації, що передається каналами зв'язку (автентифікація та шифрування);
захищеного від модифікації протоколювання подій, визначених цим Регламентом;
використання засобів антивірусного захисту на комп'ютерах програмно-технічного комплексу Засвідчувального центру.
5.20. Захист інформації, що надається заявником Центру для проведення регламентних процедур (у тому числі персональних даних керівника Центру, уповноважених керівників Центру та заявника Центру), забезпечується шляхом ужиття:
організаційних заходів щодо обліку та зберігання справ Центрів (формування справ Центрів та їх облік; призначення осіб, відповідальних за зберігання справ Центрів; обмеження доступу до приміщень (шаф), у яких зберігаються справи Центрів);
організаційно-технічних і технічних заходів, реалізованих у результаті впровадження комплексної системи захисту інформації, у тому числі використання надійних засобів електронного цифрового підпису, ведення журналів роботи програмно-технічного комплексу Засвідчувального центру в захищеному вигляді, розмежування та здійснення контролю за інформаційними потоками між внутрішньою локальною мережею Засвідчувального центру і підсистемою відкритого доступу, використання антивірусних засобів, міжмережевих екранів тощо.
6. Журнали аудиту в програмно-технічному комплексі Засвідчувального центру
6.1. У програмно-технічному комплексі Засвідчувального центру ведуться такі журнали аудиту:
функціонування програмного забезпечення та АКЗЗІ в програмно-технічному комплексі Засвідчувального центру;
обліку АКЗЗІ;
обліку носіїв інформації;
проведення регламентних процедур;
технічного обслуговування програмно-технічного комплексу Засвідчувального центру.
6.2. Журнали функціонування програмного забезпечення та АКЗЗІ в програмно-технічному комплексі Засвідчувального центру ведуться в електронній формі на всіх серверних та клієнтських застосуваннях. Інші журнали ведуться в електронній формі або на паперових носіях.
6.3. Програмне забезпечення програмно-технічного комплексу Засвідчувального центру забезпечує захищене від модифікації протоколювання подій, пов'язаних з функціонуванням програмного забезпечення та АКЗЗІ. Цей журнал подій містить дату та час події, опис події, а також ідентифікатор суб'єкта, що ініціював цю подію. У журналі реєструються події, пов'язані з:
генеруванням, резервуванням, використанням і знищенням особистих ключів Засвідчувального центру та відповідальних осіб Засвідчувального центру;
формуванням, переформуванням, блокуванням, поновленням та скасуванням сертифікатів ключів Центрів та допоміжних послуг Засвідчувального центру;
унесенням, модифікацією та вилученням даних про допоміжні послуги Засвідчувального центру, відповідальних осіб Засвідчувального центру (у тому числі інформації про їх права доступу до програмно-технічного комплексу Засвідчувального центру) та Центри;
наданням доступу до програмно-технічного комплексу Засвідчувального центру відповідальним особам Засвідчувального центру, у тому числі зі спробами несанкціонованого доступу до програмно-технічного комплексу Засвідчувального центру;
збоями в роботі програмно-технічного комплексу Засвідчувального центру;
установленням, зміною, знищенням паролів та системних привілеїв відповідальних осіб Засвідчувального центру.
6.4. Адміністратор безпеки Засвідчувального центру зобов'язаний вести журнал подій, пов'язаних з обліком АКЗЗІ, яка використовується в Засвідчувальному центрі. Цей журнал подій містить дату та час події, опис події, серійний номер АКЗЗІ, підпис адміністратора безпеки Засвідчувального центру. У журналі реєструються події, пов'язані з видачею/поверненням АКЗЗІ відповідальними особами Засвідчувального центру.
6.5. Адміністратор сертифікації Засвідчувального центру зобов'язаний вести журнал подій, пов'язаних з обліком носіїв інформації, на яких зберігається резервна копія бази даних. Цей журнал подій містить дату і час події, опис події, назву та серійний номер носія, підпис адміністратора сертифікації Засвідчувального центру.
6.6. Адміністратор реєстрації Засвідчувального центру зобов'язаний вести журнал подій, пов'язаних з проведенням регламентних процедур. Цей журнал подій містить дату події, опис події, реєстраційний номер поданої заяви, реєстраційний номер рішення про виконання чи відмову від здійснення відповідної регламентної процедури, підпис адміністратора реєстрації Засвідчувального центру. У журналі реєструються події, пов'язані з:
прийманням заяв про реєстрацію Центру в Засвідчувальному центрі (додаток 3), про акредитацію Центру в Засвідчувальному центрі (додаток 4), про формування сертифікатів ключа Центру в Засвідчувальному центрі (додаток 5), про зміну статусу сертифікатів ключа Центру (додаток 2), про внесення змін до реєстраційних даних зареєстрованого/акредитованого Центру в Засвідчувальному центрі (додаток 6), про видачу дубліката свідоцтва про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 7);
прийняттям рішення про виконання чи відмову в проведенні реєстрації/ акредитації/формуванні сертифікатів ключів;
унесенням даних Центру до реєстру Засвідчувального центру;
видачею/скасуванням свідоцтв про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 8) та дублікатів цих свідоцтв.
6.7. Системний адміністратор зобов'язаний вести журнал регламентних робіт із технічного обслуговування програмно-технічного комплексу Засвідчувального центру. Цей журнал подій містить дату та час події, опис події. У журналі реєструються події, пов'язані з:
плановою заміною комп'ютерної техніки програмно-технічного комплексу Засвідчувального центру;
виходом з ладу складових частин комп'ютерної техніки програмно-технічного комплексу Засвідчувального центру та їх ремонтом/заміною;
оновленням програмного забезпечення Засвідчувального центру.
6.8. Відповідальні особи Засвідчувального центру, які ведуть журнали аудиту, зобов'язані зберігати їх у персональних сейфах.
6.9. Відповідальні особи Засвідчувального центру зобов'язані здійснювати на своїх автоматизованих робочих місцях резервне копіювання журналів функціонування програмного забезпечення та АКЗЗІ в програмно-технічному комплексі Засвідчувального центру шляхом їх запису на зйомні носії та зберігають копії цих журналів у персональних сейфах.
6.10. Відповідальні особи Засвідчувального центру, які ведуть журнали аудиту, зобов'язані здійснювати резервне копіювання цих журналів переведенням їх в електронну форму шляхом сканування та зберігають відскановані копії журналів аудиту на зйомних носіях у персональних сейфах.
6.11. Відповідальні особи Засвідчувального центру мають право переглядати журнали аудиту в програмно-технічному комплексі Засвідчувального центру в разі потреби.
6.12. Відповідальні особи Засвідчувального центру зобов'язані отримати дозвіл від керівника Засвідчувального центру на перегляд журналів аудиту, що ведуться:
з використанням серверних застосувань (крім системних адміністраторів, які відповідають за функціонування операційної системи чи прикладного програмного забезпечення на серверній комп'ютерній техніці);
з використанням клієнтських застосувань на інших автоматизованих робочих місцях;
іншими відповідальними особами Засвідчувального центру.
6.13. Строк зберігання журналів аудиту в програмно-технічному комплексі Засвідчувального центру становить п'ять років.
7. Особисті та відкриті ключі
7.1. У Засвідчувальному центрі генеруються та використовуються такі криптографічні ключі:
власні (особистий та відкритий) ключі Засвідчувального центру для криптографічного алгоритму за ДСТУ 4145-2002 (довжина не менше 257 біт);
власні (особистий та відкритий) ключі Засвідчувального центру для криптографічного алгоритму RSA (довжина не менше 2048 біт);
особистий та відкритий ключі Засвідчувального центру послуги фіксування часу для криптографічного алгоритму за ДСТУ 4145-2002 (довжина не менше 257 біт);
особистий та відкритий ключі Засвідчувального центру послуги фіксування часу для криптографічного алгоритму RSA (довжина не менше 2048 біт);
особистий та відкритий ключі Засвідчувального центру послуги визначення статусу сертифіката ключа для криптографічного алгоритму за ДСТУ 4145-2002 (довжина не менше 257 біт);
особистий та відкритий ключі Засвідчувального центру послуги визначення статусу сертифіката ключа для криптографічного алгоритму RSA (довжина не менше 2048 біт);
особистий та відкритий ключі відповідальних осіб Засвідчувального центру для криптографічного алгоритму за ДСТУ 4145-2002 (довжина не менше 191 біт).
7.2. Власні особисті ключі Засвідчувального центру використовуються виключно для формування сертифікатів ключів Центрів та списку відкликаних сертифікатів ключів.
7.3. Особисті ключі Засвідчувального центру послуги фіксування часу використовуються виключно під час формування позначки часу.
7.4. Особисті ключі Засвідчувального центру послуги визначення статусу сертифіката ключа використовуються виключно під час формування відповіді на запит про визначення статусу сертифіката ключа.
7.5. Особисті ключі відповідальних осіб Засвідчувального центру використовуються виключно для їх автентифікації, авторизації, забезпечення цілісності інформації та спостережності в програмно-технічному комплексі Засвідчувального центру.
7.6. Центр самостійно генерує особисті та відкриті ключі Центру. Засвідчувальний центр не надає послуг з генерації ключів для Центру.
7.7. Довжина особистих ключів для зареєстрованого Центру або Центру, що проходить реєстрацію, має бути:
для алгоритму ДСТУ 4145-2002 - не менше 162 біт; для алгоритму RSA - не менше 1536 біт.
7.8. Довжина особистих ключів для акредитованого Центру або Центру, що проходить акредитацію, має бути:
для алгоритму ДСТУ 4145-2002 - не менше 257 біт; для алгоритму RSA - не менше 2048 біт.
7.9. Центр зобов'язаний:
використовувати особисті ключі Центру для формування списку відкликаних сертифікатів ключів Центру та сертифікатів ключів підписувачів, які є клієнтами цього Центру;
використовувати та зберігати особистий ключ та фразу-пароль для голосової автентифікації у спосіб, що унеможливлює ознайомлення з ними сторонніх осіб;
звернутися до служби реєстрації Засвідчувального центру щодо блокування/скасування сертифікатів ключа внаслідок виявлення даних про: утрату або компрометацію особистого ключа Центру; утрату контролю за особистим ключем Центру через компрометацію пароля (коду, персонального ідентифікаційного номера), доступу до нього; зміну відомостей, зазначених у сертифікатах ключа Центру;
негайно припинити використання особистого ключа Центру після подання заяви про блокування/скасування відповідного йому сертифіката ключа Центру;
не використовувати особистий ключ Центру в разі його компрометації чи втрати чинності відповідного йому сертифіката ключа Центру.
7.10. Центр має право використовувати особисті ключі Центру для формування сертифікатів ключів допоміжних послуг Центру та відповідальних осіб Центру.
7.11. Відкритий ключ відповідальної особи Засвідчувального центру використовується виключно для її ідентифікації, автентифікації та авторизації під час завантаження автоматизованого робочого місця та перевірки електронного цифрового підпису, що накладається нею на документи під час виконання своїх функціональних обов'язків.
7.12. Відповідальні особи Засвідчувального центру, які здійснюють генерування криптографічних ключів у Засвідчувальному центрі, зобов'язані застосовувати виключно пристрої АКЗЗІ.