Про затвердження Регламенту роботи Засвідчувального центру Національного банку України

Відповідно до Закону України "Про електронний цифровий підпис" , Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903 (зі змінами), Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (зі змінами), з метою вдосконалення правових засад діяльності Засвідчувального центру Національного банку України Правління Національного банку України

1. Затвердити Регламент роботи Засвідчувального центру Національного банку України, що додається.

2. Управлінню інформаційної безпеки (Лук'янов Д.О.) після набрання чинності цією постановою надіслати її копію до Адміністрації Державної служби спеціального зв'язку та захисту інформації України, довести її зміст до відома територіальних управлінь Національного банку України та банків України для використання в роботі.

3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я.В.

4. Постанова набирає чинності з дня її офіційного опублікування.

1. Цей Регламент розроблено відповідно до пунктів 7, 26 статті 7 Закону України "Про Національний банк України" , частини сьомої статті 5 та частини сьомої статті 10 Закону України "Про електронний цифровий підпис" , розпорядження Кабінету Міністрів України від 06 травня 2009 року № 483-р "Про погодження створення Засвідчувального центру Національного банку України", Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903 (зі змінами), Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих в Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (у редакції наказу від 10 травня 2006 року № 50), Положення про Засвідчувальний центр Національного банку України, затвердженого постановою Правління Національного банку України від 23 вересня 2008 року № 287 (у редакції постанови Правління Національного банку України від 25 квітня 2014 року № 239), Правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України, затверджених постановою Правління Національного банку України від 17 червня 2010 року № 284, зареєстрованих у Міністерстві юстиції України 04 листопада 2010 року за № 1035/18330 (зі змінами).

2. У цьому Регламенті терміни вживаються в такому значенні:

адміністратор безпеки Засвідчувального центру Національного банку України (далі - Засвідчувальний центр) - відповідальна особа Засвідчувального центру, яка виконує функції служби захисту інформації;

адміністратор реєстрації Засвідчувального центру - відповідальна особа Засвідчувального центру, яка виконує функції служби реєстрації;

адміністратор сертифікації Засвідчувального центру - відповідальна особа Засвідчувального центру, яка виконує функції служби сертифікації;

база даних - база даних Засвідчувального центру, у якій зберігається реєстр Засвідчувального центру, інформаційно-довідкова, технологічна та інша службова інформація, потрібна для функціонування програмно-технічного комплексу Засвідчувального центру;

ведення реєстру Засвідчувального центру - унесення (видалення, модифікація) інформації до реєстру Засвідчувального центру, її зберігання та резервування;

ключі Засвідчувального центру - власні криптографічні ключі Засвідчувального центру (особистий і відкритий) та криптографічні ключі (особистий і відкритий) послуги інтерактивного визначення статусу посиленого сертифіката відкритого ключа (далі - сертифікат ключа);

комплексна система захисту інформації Засвідчувального центру - сукупність інженерно-технічних, організаційних заходів та програмно-апаратних засобів, які забезпечують технічний та криптографічний захист інформації в програмно-технічному комплексі Засвідчувального центру;

поновлення сертифіката ключа - процедура управління статусом сертифіката ключа, що забезпечує поновлення чинності сертифіката ключа (якій передувала відповідна процедура блокування сертифіката ключа);

програмно-технічний комплекс Засвідчувального центру - сукупність технічного обладнання, програмного забезпечення та організаційних заходів, що використовується Національним банком України для забезпечення виконання функцій Засвідчувального центру;

системний адміністратор Засвідчувального центру - відповідальна особа Засвідчувального центру, що виконує функції служби системного адміністратора;

список відкликаних сертифікатів ключів Засвідчувального центру - перелік блокованих і скасованих сертифікатів ключів, що формується Засвідчувальним центром, захист якого забезпечується накладенням електронного цифрового підпису за допомогою власних особистих ключів Засвідчувального центру;

скасування сертифіката ключа - процедура управління статусом сертифіката ключа, яка зупиняє чинність сертифіката ключа;

строк чинності сертифіката ключа - проміжок часу між датою і часом початку та датою і часом закінчення чинності сертифіката ключа, що встановлюються під час формування сертифіката ключа;

строк чинності особистого ключа - строк, протягом якого використання особистого ключа є чинним.

Інші терміни в цьому Регламенті застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис" , Положенні про центри сертифікації ключів банків України, затвердженому постановою Правління Національного банку України від 17 червня 2010 року № 284, зареєстрованому в Міністерстві юстиції України 04 листопада 2010 року за № 1034/18329, Правилах реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України, затверджених постановою Правління Національного банку України від 17 червня 2010 року № 284, зареєстрованих у Міністерстві юстиції України 04 листопада 2010 року за № 1035/18330 (зі змінами), інших нормативно-правових актах з питань застосування електронного цифрового підпису.

3. Суб'єктами правових відносин у сфері електронного цифрового підпису, що обумовлюються цим Регламентом, є центри сертифікації ключів, які здійснюють дії, пов'язані з проведенням процедур реєстрації/акредитації в Засвідчувальному центрі, чи зареєстровані/акредитовані в Засвідчувальному центрі (далі - Центри), Засвідчувальний центр та центральний засвідчувальний орган.

4. Цей Регламент є нормативно-правовим актом, що визначає організаційно-методологічні та технологічні умови діяльності Засвідчувального центру під час проведення процедур реєстрації, засвідчення чинності відкритих ключів, акредитації Центрів у Засвідчувальному центрі, зміни ідентифікаційних даних Центрів та надання послуг електронного цифрового підпису для Центрів від Засвідчувального центру.

5. Центр зобов'язаний здійснювати свою діяльність відповідно до регламенту роботи, що визначає організаційно-методологічні та технологічні умови його діяльності в процесі надання послуг електронного цифрового підпису підписувачам. Регламент роботи Центру має розроблятися відповідно до Правил оформлення Регламенту роботи центрів сертифікації ключів банків України, затверджених постановою Правління Національного банку України від 17 червня 2010 року № 284, зареєстрованих у Міністерстві юстиції України 04 листопада 2010 року за № 1036/18331.

6. Центр зобов'язаний погодити свій регламент роботи із Засвідчувальним центром до початку проведення реєстрації/акредитації. Центр зобов'язаний додатково погодити свій регламент роботи із органом контролю до початку проведення акредитації.

7. Центр зобов'язаний кожні шість місяців надсилати електронною поштою до служби реєстрації Засвідчувального центру інформацію про діяльність Центру згідно з формою, визначеною в додатку 1 до цього Регламенту, протягом одного місяця, наступного за останнім місяцем відповідного півріччя.

8. Засвідчувальний центр має право скасувати реєстрацію/акредитацію Центру в разі ненадходження такої інформації у встановлений термін з вини Центру.

9. Адміністратор реєстрації Засвідчувального центру зобов'язаний контролювати термін вчасного подання зареєстрованим/акредитованим Центром до Засвідчувального центру інформації про діяльність Центру шляхом надсилання офіційного листа з попередженням про необхідність негайно подати звіт, якщо звіт не надійшов вчасно.

Адміністратор реєстрації Засвідчувального центру зобов'язаний проводити аналіз інформації про діяльність Центру, яка надається Центром відповідно до пункту 7 розділу I цього Регламенту, визначати потребу в перевірці виконання Центром вимог, визначених цим Регламентом та нормативно-правовими актами з питань застосування електронного цифрового підпису. Перевірка Центру проводиться, якщо кількість скарг користувачів на неправомірну діяльність (або бездіяльність) Центру протягом відповідного періоду перевищує десять. Перевірка Центру здійснюється Національним банком України в межах повноважень та згідно із законодавством України.

10. Цей Регламент установлює обов'язки Засвідчувального центру щодо використання послуг електронного цифрового підпису, які надаються центральним засвідчувальним органом, та Центрів щодо використання послуг електронного цифрового підпису, які надаються Засвідчувальним центром. Цей Регламент є засобом офіційного інформування зазначених суб'єктів у правовідносинах, що виникають під час надання та використання послуг електронного цифрового підпису.

11. Основними функціями Центру є:

створення і забезпечення функціонування програмно-технічного комплексу Центру;

реєстрація підписувачів;

генерування і зберігання ключів Центру та відповідальних осіб Центру;

забезпечення підписувачів засобами криптографічного захисту інформації (генерування ключів) і в разі потреби надання допомоги під час генерування ключів, а також ужиття заходів щодо забезпечення безпеки інформації під час їх генерування;

засвідчення чинності відкритих ключів Центру в Засвідчувальному центрі відповідно до вимог цього Регламенту та інших нормативно-правових актів, що регулюють відносини у сфері електронного цифрового підпису;

формування сертифікатів відкритих ключів відповідно до вимог регламенту роботи Центру та інших нормативно-правових актів, що регулюють відносини у сфері електронного цифрового підпису;

ведення реєстру Центру;

розповсюдження сертифікатів відкритих ключів Центру та підписувачів відповідно до вимог регламенту роботи Центру та інших нормативно-правових актів, що регулюють відносини у сфері електронного цифрового підпису;

блокування, скасування та поновлення сертифікатів відкритих ключів, сформованих Центром, у випадках, передбачених регламентом роботи Центру і законодавством України у сфері електронного цифрового підпису;

надання підписувачам послуги фіксування часу;

забезпечення можливості перевірки статусу сертифікатів відкритих ключів, сформованих Центром;

публікація на інформаційному ресурсі Центру відкритої інформації;

інші функції, визначені Законом України "Про електронний цифровий підпис" , та дії, пов'язані з технічною і технологічною підтримкою діяльності Центру.

12. Ідентифікаційні дані Засвідчувального центру:

Повне найменування: Засвідчувальний центр Національного банку України.

Місцезнаходження: 01601, м. Київ, вул. Інститутська, 9.

Адреси розміщення Засвідчувального центру:

03028, м. Київ, просп. Науки, 7;

01601, м. Київ, вул. Інститутська, 9.

Телефон: (044) 525-37-36.

Факс: (044) 524-39-63.

Код за ЄДРПОУ: 00032106.

Електронна адреса інформаційного ресурсу (веб-сайта): http://zc.bank.gov.ua.

1. Організаційна структура Засвідчувального центру містить дві основні складові, що виконують адміністративні, технічні й технологічні функції.

2. Адміністративні функції Засвідчувального центру:

реєстрація Центрів;

акредитація Центрів;

видача, переоформлення та анулювання свідоцтв/дублікатів свідоцтв про реєстрацію/акредитацію Центрів;

забезпечення діяльності Комісії з питань реєстрації, акредитації, повторної акредитації, скасування реєстрації та акредитації, погодження регламентів роботи Центрів;

ведення списку Центрів, що припинили діяльність;

надання Центрам консультацій з питань, пов'язаних із використанням електронного цифрового підпису;

погодження регламентів роботи Центрів;

аналіз інформації про діяльність Центрів, розгляд заяв і скарг щодо неналежного функціонування Центрів та вживання відповідних заходів;

приймання на зберігання від Центрів документованої інформації, яка підлягає передаванню в разі скасування реєстрації, акредитації чи припинення їх діяльності.

3. Технічні й технологічні функції Засвідчувального центру:

створення і забезпечення функціонування програмно-технічного комплексу Засвідчувального центру;

забезпечення захисту інформації впродовж експлуатації програмно-технічного комплексу Засвідчувального центру;

генерування і зберігання ключів Засвідчувального центру та відповідальних осіб Засвідчувального центру;

вивантаження з програмно-технічного комплексу Засвідчувального центру власних відкритих ключів Засвідчувального центру для засвідчення їх чинності в центральному засвідчувальному органі;

установлення належності Центру особистого ключа та його відповідності відкритому ключу під час формування сертифіката ключа Центру;

формування сертифікатів ключів відповідно до вимог цього Регламенту та інших нормативно-правових актів, що регулюють відносини у сфері електронного цифрового підпису;

ведення реєстру Засвідчувального центру;

поширення сертифікатів ключів Засвідчувального центру та Центрів у встановленому цим Регламентом порядку;

блокування, скасування та поновлення сертифікатів ключів, сформованих Засвідчувальним центром, у випадках, передбачених цим Регламентом і законодавством України у сфері електронного цифрового підпису;

забезпечення можливості визначення статусу сертифікатів ключів, сформованих Засвідчувальним центром;

оприлюднення на інформаційному ресурсі Засвідчувального центру відкритої інформації;

інші дії, пов'язані з технічною й технологічною підтримкою діяльності Засвідчувального центру.

4. У Засвідчувальному центрі для виконання адміністративних, технічних і технологічних функцій створено такі служби:

служба захисту інформації;

служба сертифікації;

служба реєстрації;

служба системного адміністратора.

5. Основними функціями служби захисту інформації є:

проектування, розроблення, експлуатація, обслуговування та модернізація комплексної системи захисту інформації Засвідчувального центру;

адміністрування відповідальних осіб Засвідчувального центру.

6. Основними функціями служби сертифікації є:

генерування ключів Засвідчувального центру;

збереження та використання особистих ключів Засвідчувального центру;

збереження та використання особистих ключів Засвідчувального центру;

вивантаження з апаратури криптографічних засобів захисту інформації (далі - АКЗЗІ) власних відкритих ключів Засвідчувального центру для засвідчення їх чинності в центральному засвідчувальному органі;

завантаження сертифікатів власних ключів Засвідчувального центру в програмно-технічний комплекс Засвідчувального центру;

перехід на використання нових ключів Засвідчувального центру;

знищення особистих ключів Засвідчувального центру, строк чинності яких закінчився;

засвідчення чинності відкритих ключів Центрів та послуги інтерактивного визначення статусу сертифіката ключа;

звернення до центрального засвідчувального органу щодо зміни статусу сертифікатів власних ключів Засвідчувального центру у випадках, передбачених цим Регламентом і законодавством України у сфері електронного цифрового підпису;

управління статусом сертифікатів ключів, сформованих Засвідчувальним центром;

унесення змін до реєстру Засвідчувального центру щодо статусу Центру (Центр може мати один із таких статусів: збережений, зареєстрований, акредитований, анульований);

забезпечення можливості визначення статусу сертифікатів ключів, сформованих Засвідчувальним центром;

вивантаження/завантаження резервної інформації із/в програмно-технічний комплекс Засвідчувального центру.

7. Основними функціями служби реєстрації є:

установлення осіб заявників Центрів;

перевірка Центрів у процесі їх реєстрації, акредитації та подальшої роботи на відповідність вимогам, установленим цим Регламентом та іншими нормативно-правовими актами у сфері електронного цифрового підпису;

опрацювання документів і запитів, які подаються заявником Центру до Засвідчувального центру під час проведення регламентних процедур;

уведення в програмно-технічний комплекс Засвідчувального центру запитів на формування сертифікатів ключів Центрів для засвідчення їх чинності;

формування в програмно-технічному комплексі Засвідчувального центру запитів на блокування, поновлення та скасування сертифікатів ключів Центрів у разі подання відповідних заяв (додаток 2);

контроль за строками подання акредитованими Центрами до Засвідчувального центру інформації про діяльність Центрів за формою, установленою в додатку 1 до цього Регламенту, та її опрацювання.

8. Основними функціями служби системного адміністратора є:

установлення та налаштування операційної системи на робочих місцях відповідальних осіб Засвідчувального центру та на серверах Засвідчувального центру;

установлення та налаштування серверних і клієнтських застосувань на робочих місцях відповідальних осіб Засвідчувального центру та на серверах Засвідчувального центру;

виконання оновлень серверного та клієнтського програмного забезпечення програмно-технічного комплексу Засвідчувального центру;

під'єднання робочих місць відповідальних осіб Засвідчувального центру та серверів Засвідчувального центру до інформаційної мережі Національного банку України;

підтримка належного функціонування програмно-технічного комплексу Засвідчувального центру.

9. У Засвідчувальному центрі для виконання завдань, покладених на зазначені в пункті 4 цього розділу служби, створено такі автоматизовані робочі місця:

автоматизовані робочі місця адміністраторів безпеки Засвідчувального центру;

автоматизовані робочі місця адміністраторів сертифікації Засвідчувального центру;

автоматизовані робочі місця адміністраторів реєстрації Засвідчувального центру;

неспеціалізовані автоматизовані робочі місця.

10. Відповідальні особи Засвідчувального центру виконують функції служб, зазначених у пункті 4 цього розділу, на відповідних спеціалізованих автоматизованих робочих місцях.

11. Відповідальні особи Засвідчувального центру мають право виконувати роботу з нормативно-довідковою інформацією Засвідчувального центру на своїх спеціалізованих автоматизованих робочих місцях або на неспеціалізованому автоматизованому робочому місці з дотриманням вимог, визначених політикою безпеки інформації в програмно-технічному комплексі Засвідчувального центру, у межах повноважень, наданих їм адміністратором безпеки Засвідчувального центру.

12. Відповідальна особа Засвідчувального центру не має права суміщувати функції служби захисту інформації Засвідчувального центру з функціями інших служб у Засвідчувальному центрі.

13. Усі відповідальні особи Засвідчувального центру перед початком виконання своїх функціональних обов'язків зобов'язані ознайомитися зі змістом цього Регламенту, інструкцій щодо роботи на автоматизованих робочих місцях, інструкції щодо забезпечення безпеки експлуатації засобів криптографічного захисту інформації та порядку генерування ключових даних і поводження з ключовими документами (далі - інструкції щодо роботи з ключовими даними). Відповідальні особи Засвідчувального центру підтверджують факт ознайомлення з цими документами під підпис.

1. Графічна архітектура та загальна технологічна схема оброблення інформації в програмно-технічному комплексі Засвідчувального центру зображені на рис. 1.

2. Програмно-технічний комплекс Засвідчувального центру є автоматизованою системою класу 3. Технічні засоби комплексу об'єднані в розподілену обчислювальну мережу з використанням інформаційної мережі Національного банку України, частина з яких підключена до зовнішніх телекомунікаційних мереж.

3. Апаратне комп'ютерне забезпечення програмно-технічного комплексу Засвідчувального центру складається з двох типів комп'ютерної техніки, а саме:

серверної комп'ютерної техніки;

клієнтської комп'ютерної техніки.

4. Програмне забезпечення програмно-технічного комплексу Засвідчувального центру є централізованим трирівневим комплексом, що складається з таких компонентів:

база даних;

серверні застосування;

клієнтські застосування.

5. База даних, клієнтське застосування системи керування базою даних та серверні застосування функціонують у серверній комп'ютерній техніці.

6. Усі інші клієнтські застосування, що використовуються в програмно-технічному комплексі Засвідчувального центру, функціонують у клієнтській комп'ютерній техніці, яка входить до складу автоматизованих робочих місць відповідальних осіб Засвідчувального центру.

7. У програмно-технічному комплексі Засвідчувального центру організовано основні та резервні автоматизовані робочі місця адміністратора сертифікації Засвідчувального центру та адміністратора безпеки Засвідчувального центру. Забороняється одночасно експлуатувати основне та резервне автоматизовані робочі місця адміністратора сертифікації Засвідчувального центру. Забороняється одночасно експлуатувати основне та резервне автоматизовані робочі місця адміністратора безпеки Засвідчувального центру.

8. Сервер Засвідчувального центру виконує такі технічні й технологічні функції програмно-технічного комплексу Засвідчувального центру:

ініціювання завантаження/вивантаження інформації до/із бази даних шляхом використання клієнтського застосування системи керування базою даних (за запитами клієнтських застосувань, установлених на автоматизованих робочих місцях відповідальних Засвідчувального центру, та під час поширення сертифікатів ключів і списку відкликаних сертифікатів ключів Засвідчувального центру);

формування сертифікатів ключів;

створення запитів на блокування, скасування та поновлення сертифікатів ключів;

блокування, скасування та поновлення сертифікатів ключів;

формування списку відкликаних сертифікатів ключів Засвідчувального центру;

поширення сертифікатів ключів;

поширення списку відкликаних сертифікатів ключів Засвідчувального центру;

зберігання нормативно-довідкової інформації Засвідчувального центру;

ідентифікація, автентифікація та авторизація відповідальних осіб Засвідчувального центру;

ведення журналів аудиту функціонування сервера Засвідчувального центру.

9. Сервер надання послуги інтерактивного визначення статусу сертифіката ключа (сервер OCSP) надає послугу інтерактивного визначення статусу сертифіката ключа, сформованого Засвідчувальним центром.

10. Сервер системи керування базою даних виконує такі технічні й технологічні функції програмно-технічного комплексу Засвідчувального центру:

управління даними бази даних (завантаження/вивантаження інформації до/із бази даних, створення нових записів тощо);

ведення журналів аудиту функціонування бази даних;

резервне копіювання бази даних;

відновлення бази даних після збоїв.

11. За допомогою клієнтських застосувань ініціюється:

виконання технічних і технологічних функцій програмно-технічного комплексу Засвідчувального центру з використанням серверних застосувань;

генерування і зберігання криптографічних ключів Засвідчувального центру та відповідальних осіб Засвідчувального центру засобами АКЗЗІ;

вивантаження з АКЗЗІ відкритих ключів Засвідчувального центру для засвідчення їх чинності відповідно до вимог цього Регламенту та інших нормативно-правових актів, що регулюють відносини у сфері електронного цифрового підпису.

12. Лише за допомогою серверних застосувань може проводитися завантаження/вивантаження інформації до/із бази даних шляхом використання клієнтського застосування системи керування бази даних. Клієнтські застосування, що функціонують у складі автоматизованих робочих місць, отримують доступ до інформації в базі даних за допомогою серверних застосувань.

13. Серверні застосування програмно-технічного комплексу Засвідчувального центру функціонують на базі відмовостійкого кластера.

14. Моніторинг роботи кластера здійснює Єдина система моніторингу та управління інформаційними ресурсами Національного банку України.

1. У Засвідчувальному центрі приймається, обробляється, пересилається і зберігається інформація, яка за режимом доступу поділяється на відкриту інформацію та інформацію з обмеженим доступом, що має гриф "банківська таємниця" та "конфіденційно".

2. Відкрита інформація може оприлюднюватися шляхом її розміщення на інформаційному ресурсі Засвідчувального центру і розсилання засобами електронної пошти (e-mail) та електронної пошти Національного банку України.

3. Доступ до інформації з обмеженим доступом Засвідчувального центру мають керівник/заступник керівника та відповідальні особи Засвідчувального центру з дотриманням вимог, визначених політикою безпеки інформації в Засвідчувальному центрі.

4. Засвідчувальний центр має право надавати доступ до інформації з обмеженим доступом іншим особам лише у випадках, передбачених законодавством України.

5. До відкритої інформації Засвідчувального центру належать:

положення цього Регламенту;

нормативні документи та довідкові матеріали;

зразок договору про надання Засвідчувальним центром послуг Центру (далі - договір про надання послуг);

примірний регламент роботи Центру;

сертифікати ключів Засвідчувального центру та Центрів;

інформація про статус сертифікатів ключів Засвідчувального центру та Центрів;

частина бази даних, у якій міститься інформація про Центри, що вноситься в сертифікати ключів Центрів та оприлюднюється шляхом розміщення на інформаційному ресурсі Засвідчувального центру.

Відкрита інформація може зберігатися на паперових носіях та в електронній формі.

6. До відкритої інформації, яка потребує захисту (забезпечення цілісності та доступності), належить інформація, що оприлюднюється шляхом розміщення на інформаційному ресурсі Засвідчувального центру.

7. До інформації з обмеженим доступом Засвідчувального центру в електронній формі належать:

особисті ключі Засвідчувального центру та відповідальних осіб Засвідчувального центру;

частина бази даних, у якій міститься інформація про Центри, що не підлягає безпосередньому оприлюдненню (персональні дані про заявника, керівника та заступників керівників Центрів, списки відповідальних осіб Центрів, плани-схеми приміщень Центрів, порядок доступу до спеціальних приміщень та інша інформація, яка не оприлюднюється на електронному інформаційному ресурсі Засвідчувального центру);

налаштування програмних засобів програмно-технічного комплексу Засвідчувального центру (налаштування комплексу засобів захисту, перелік мережевих адрес, протоколів і портів, що використовуються для забезпечення взаємодії між клієнтськими та серверними застосуваннями тощо);

списки відповідальних осіб Засвідчувального центру, їх ідентифікаторів, повноважень, права доступу, зміст протоколів роботи програмно-технічного комплексу Засвідчувального центру тощо;

журнали аудиту, які ведуться в електронній формі.

8. До інформації з обмеженим доступом Засвідчувального центру на паперових носіях належать:

документи, що подаються Центрами до Засвідчувального центру під час проведення регламентних процедур і не підлягають безпосередньому оприлюдненню;

журнали аудиту, які ведуться на паперових носіях;

інструкції відповідальних осіб Засвідчувального центру;

інструкції щодо роботи з ключовими даними.

1. Захист інформації в Засвідчувальному центрі забезпечується в результаті впровадження комплексної системи захисту інформації. Комплексна система захисту інформації повинна мати атестат відповідності вимогам захисту інформації.

2. Усі складові частини програмно-технічного комплексу Засвідчувального центру перебувають у межах контрольованих зон Центрального апарату, Центральної розрахункової палати чи територіального управління Національного банку України (залежить від місця розташування конкретної частини програмно-технічного комплексу Засвідчувального центру).

3. Серверна комп'ютерна техніка програмно-технічного комплексу Засвідчувального центру розміщується в спеціальних серверних приміщеннях (у будівлях Національного банку України за адресами: м. Київ, вул. Інститутська, 9; м. Київ, просп. Науки, 7), що відповідають вимогам Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04 липня 2007 року № 243, та додатка до Правил посиленої сертифікації , затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (у редакції наказу від 10 травня 2006 року № 50).

4. Основне та резервне автоматизовані робочі місця адміністратора сертифікації Засвідчувального центру розміщуються в будівлях Національного банку України за адресами: м. Київ, просп. Науки, 7; м. Київ, вул. Інститутська, 9. Обидва автоматизовані робочі місця розміщені в екранованих шафах, які розташовані в спеціальних приміщеннях з обмеженим доступом. Ключі від екранованих шаф мають тільки адміністратори сертифікації Засвідчувального центру. Спеціальні приміщення та екрановані шафи відповідають вимогам Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04 липня 2007 року № 243, та додатка до Правил посиленої сертифікації , затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (у редакції наказу від 10 травня 2006 року № 50). Адміністратор безпеки Засвідчувального центру отримує доступ до автоматизованого робочого місця адміністратора сертифікації Засвідчувального центру тільки на час проведення процедури генерування криптографічних ключів Засвідчувального центру.

5. Клієнтська комп'ютерна техніка інших відповідальних осіб Засвідчувального центру розміщується в тих самих приміщеннях, у яких працюють ці відповідальні особи Засвідчувального центру.

6. Сторонні особи не мають доступу до приміщень, у яких розташовано обладнання програмно-технічного комплексу Засвідчувального центру. Ці приміщення перебувають під цілодобовою охороною, оснащені охоронною сигналізацією, датчиками руху та датчиками пожежної сигналізації. Ключі від приміщень видаються охороною тільки авторизованому персоналу. Такі умови розміщення обладнання програмно-технічного комплексу Засвідчувального центру забезпечують захищеність середовища його розміщення та унеможливлюють несанкціоноване проникнення до програмно-технічного комплексу Засвідчувального центру.

7. Усі засоби криптографічного захисту інформації програмно-технічного комплексу Засвідчувального центру повинні мати позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

8. Усі особисті ключі, що використовуються в Засвідчувальному центрі, зберігаються виключно всередині пристроїв АКЗЗІ. Відкриті ключі відповідальних осіб Засвідчувального центру зберігаються виключно всередині АКЗЗІ та в базі даних програмно-технічного комплексу Засвідчувального центру. Сертифікати ключів, сформовані Засвідчувальним центром, розповсюджуються в порядку, установленому цим Регламентом.

9. Відповідальні особи Засвідчувального центру зобов'язані здійснювати генерування і використання криптографічних ключів відповідно до своїх функціональних обов'язків виключно засобами АКЗЗІ на своїх спеціалізованих автоматизованих робочих місцях.

10. Відповідальні особи Засвідчувального центру зобов'язані зберігати інформацію з обмеженим доступом на паперових носіях чи в електронному вигляді на зйомних носіях (у тому числі в АКЗЗІ), у сейфах/ящиках/шафах, що надійно замикаються і до яких не мають доступу сторонні особи.

11. Відповідальні особи Засвідчувального центру несуть особисту відповідальність за надійне зберігання АКЗЗІ та нерозголошення значення паролів доступу і розблокування.

12. Адміністратор безпеки Засвідчувального центру та адміністратор сертифікації Засвідчувального центру зобов'язані зберігати свої основні пристрої АКЗЗІ на своїх основних робочих місцях, а резервні пристрої АКЗЗІ - на резервних робочих місцях.

13. Адміністратор сертифікації Засвідчувального центру зобов'язаний зберігати основні та частину резервних АКЗЗІ з ключами Засвідчувального центру в екранованій шафі на основному робочому місці, а іншу частину резервних АКЗЗІ – в екранованій шафі на резервному робочому місці. Адміністратор сертифікації Засвідчувального центру несе особисту відповідальність за надійне зберігання цих АКЗЗІ та нерозголошення паролів доступу і розблокування.

14. Адміністратор сертифікації Засвідчувального центру зобов'язаний забезпечити зберігання резервних копій бази даних Засвідчувального центру на зйомних носіях в екранованих шафах на своїх основному та резервному робочих місцях.

15. Серверні застосування та всі автоматизовані робочі місця забезпечують можливість:

криптографічного захисту інформації, що передається каналами зв'язку (автентифікація та шифрування);

захищеного від модифікації протоколювання подій, визначених цим Регламентом;

використання засобів антивірусного захисту на комп'ютерах програмно-технічного комплексу Засвідчувального центру.

16. Захист інформації, що надається заявником Центру для проведення регламентних процедур (у тому числі персональних даних керівника Центру, заступників керівників Центру та заявника Центру), забезпечується шляхом ужиття:

організаційних заходів щодо обліку та зберігання справ Центрів (формування справ Центрів та їх облік; призначення осіб, відповідальних за зберігання справ Центрів; обмеження доступу до приміщень (шаф), у яких зберігаються справи Центрів);

організаційно-технічних і технічних заходів, реалізованих у результаті впровадження комплексної системи захисту інформації, у тому числі використання надійних засобів електронного цифрового підпису, ведення журналів роботи програмно-технічного комплексу Засвідчувального центру в захищеному вигляді, розмежування та здійснення контролю за інформаційними потоками між внутрішньою локальною мережею Засвідчувального центру і підсистемою відкритого доступу, використання антивірусних засобів, міжмережевих екранів тощо.

1. У програмно-технічному комплексі Засвідчувального центру ведуться такі журнали аудиту:

функціонування програмного забезпечення та АКЗЗІ в програмно-технічному комплексі Засвідчувального центру;

обліку АКЗЗІ;

обліку носіїв інформації з резервними копіями бази даних Засвідчувального центру;

проведення регламентних процедур;

технічного обслуговування програмно-технічного комплексу Засвідчувального центру.

2. Журнали функціонування програмного забезпечення та АКЗЗІ в програмно-технічному комплексі Засвідчувального центру ведуться в електронній формі на всіх серверних та клієнтських застосуваннях. Інші журнали ведуться в електронній формі або на паперових носіях. Журнали аудиту, які ведуться в електронній формі, повинні мати захист від модифікації.

3. Програмне забезпечення програмно-технічного комплексу Засвідчувального центру забезпечує захищене від модифікації протоколювання подій, пов'язаних з функціонуванням програмного забезпечення та АКЗЗІ. Цей журнал подій містить дату та час події, опис події, а також ідентифікатор суб'єкта, що ініціював цю подію. У журналі реєструються події, пов'язані з:

генеруванням, резервуванням, використанням і знищенням особистих ключів Засвідчувального центру та відповідальних осіб Засвідчувального центру;

формуванням, переформуванням, блокуванням, поновленням та скасуванням сертифікатів ключів;

унесенням, модифікацією та вилученням даних про Засвідчувальний центр, відповідальних осіб Засвідчувального центру (у тому числі інформації про їх права доступу до програмно-технічного комплексу Засвідчувального центру) та Центри;

наданням доступу до програмно-технічного комплексу Засвідчувального центру відповідальним особам Засвідчувального центру, у тому числі зі спробами несанкціонованого доступу до програмно-технічного комплексу Засвідчувального центру;

збоями в роботі програмно-технічного комплексу Засвідчувального центру;

установленням, зміною, знищенням паролів та системних привілеїв відповідальних осіб Засвідчувального центру.

4. Адміністратор безпеки Засвідчувального центру зобов'язаний вести журнал подій, пов'язаних з обліком АКЗЗІ, яка використовується в Засвідчувальному центрі. Цей журнал подій містить дату та час події, опис події, серійний номер АКЗЗІ, підпис адміністратора безпеки Засвідчувального центру. У журналі реєструються події, пов'язані з видачею/поверненням АКЗЗІ відповідальними особами Засвідчувального центру.

5. Адміністратор сертифікації Засвідчувального центру зобов'язаний вести журнал подій, пов'язаних з обліком носіїв інформації, на яких зберігається резервна копія бази даних Засвідчувального центру. Цей журнал подій містить дату і час події, опис події, назву та серійний номер носія, підпис адміністратора сертифікації Засвідчувального центру.

6. Адміністратор реєстрації Засвідчувального центру зобов'язаний вести журнал подій, пов'язаних з проведенням регламентних процедур. Цей журнал подій містить дату події, опис події, реєстраційний номер поданої заяви, реєстраційний номер рішення про виконання чи відмову від здійснення відповідної регламентної процедури, підпис адміністратора реєстрації Засвідчувального центру. У журналі реєструються події, пов'язані з:

прийманням заяв про реєстрацію Центру в Засвідчувальному центрі (додаток 3), про акредитацію Центру в Засвідчувальному центрі (додаток 4), про формування посиленого сертифіката відкритого ключа Центру в Засвідчувальному центрі (додаток 5), про зміну статусу сертифіката ключа Центру, про внесення змін до реєстраційних даних зареєстрованого/акредитованого Центру в Засвідчувальному центрі (додаток 6), про видачу дубліката свідоцтва про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 7);

прийняттям рішення про виконання чи відмову в проведенні реєстрації/ акредитації/формуванні сертифікатів ключів; унесенням даних Центру до реєстру Засвідчувального центру;

видачею/скасуванням свідоцтв про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 8) та дублікатів цих свідоцтв.

7. Системний адміністратор зобов'язаний вести журнал регламентних робіт із технічного обслуговування програмно-технічного комплексу Засвідчувального центру. Цей журнал подій містить дату та час події, опис події. У журналі реєструються події, пов'язані з:

плановою заміною комп'ютерної техніки програмно-технічного комплексу Засвідчувального центру;

виходом з ладу складових частин комп'ютерної техніки програмно-технічного комплексу Засвідчувального центру та їх ремонтом/заміною;

оновленням програмного забезпечення Засвідчувального центру.

8. Відповідальні особи Засвідчувального центру, які ведуть журнали аудиту на паперових носіях або в електронній формі на зйомних носіях, зобов'язані зберігати їх у сейфах/ящиках/шафах, що надійно замикаються і до яких не мають доступу сторонні особи.

9. Відповідальні особи Засвідчувального центру зобов'язані здійснювати резервне копіювання журналів аудиту. Відповідальні особи Засвідчувального центру здійснюють резервне копіювання журналів аудиту в електронній формі шляхом їх запису на зйомні носії. Відповідальні особи Засвідчувального центру здійснюють резервне копіювання журналів аудиту на паперових носіях шляхом сканування та запису на зйомні носії.

10. Відповідальні особи Засвідчувального центру зобов'язані забезпечити зберігання резервних копій журналів аудиту в приміщеннях, що територіально відокремлені від приміщень Засвідчувального центру, із забезпеченням їх захисту від несанкціонованого доступу.

11. Відповідальні особи Засвідчувального центру мають право переглядати журнали аудиту в програмно-технічному комплексі Засвідчувального центру в разі потреби.

12. Відповідальні особи Засвідчувального центру (крім адміністратора безпеки Засвідчувального центру) зобов'язані отримати дозвіл від керівника/заступника керівника Засвідчувального центру на перегляд журналів аудиту, що ведуться:

з використанням серверних застосувань (крім системних адміністраторів, які відповідають за функціонування операційної системи чи прикладного програмного забезпечення на серверній комп'ютерній техніці);

з використанням клієнтських застосувань на інших автоматизованих робочих місцях;

іншими відповідальними особами Засвідчувального центру.

13. Строк зберігання резервних копій журналів аудиту в програмно-технічному комплексі Засвідчувального центру становить п'ять років з дати здійснення резервного копіювання.

1. У Засвідчувальному центрі генеруються та використовуються такі криптографічні ключі:

власні (особистий та відкритий) ключі Засвідчувального центру для криптографічного алгоритму за ДСТУ 4145 - 2002 (довжина не менше 257 біт);

власні (особистий та відкритий) ключі Засвідчувального центру для криптографічного алгоритму RSA (довжина не менше 2048 біт);

особистий та відкритий ключі послуги інтерактивного визначення статусу сертифіката ключа для криптографічного алгоритму за ДСТУ 4145 - 2002 (довжина не менше 257 біт);

особистий та відкритий ключі послуги інтерактивного визначення статусу сертифіката ключа для криптографічного алгоритму RSA (довжина не менше 2048 біт);

особисті та відкриті ключі відповідальних осіб Засвідчувального центру для криптографічного алгоритму за ДСТУ 4145 - 2002 (довжина не менше 191 біта).

2. Власні особисті ключі Засвідчувального центру використовуються для формування сертифікатів ключів Центрів, Засвідчувального центру (крім сертифікатів власних ключів Засвідчувального центру для криптографічного алгоритму за ДСТУ 4145 - 2002) та списків відкликаних сертифікатів ключів Засвідчувального центру.

3. Особисті ключі послуги інтерактивного визначення статусу сертифіката ключа використовуються під час формування відповіді на запит про визначення статусу сертифіката ключа.

4. Особисті ключі відповідальних осіб Засвідчувального центру використовуються виключно для їх автентифікації, авторизації, забезпечення цілісності інформації та спостережності в програмно-технічному комплексі Засвідчувального центру.

5. Центр самостійно генерує особисті та відкриті ключі Центру. Засвідчувальний центр не надає послуг з генерації ключів для Центру.

6. Довжина особистих ключів для зареєстрованого Центру або Центру, що проходить реєстрацію, має бути:

для алгоритму ДСТУ 4145-2002 - не менше 162 біт;

для алгоритму RSA - не менше 1 536 біт.

7. Довжина особистих ключів для акредитованого Центру або Центру, що проходить акредитацію, має бути:

для алгоритму ДСТУ 4145-2002 - не менше 257 біт;

для алгоритму RSA - не менше 2 048 біт.

8. Центр зобов'язаний:

використовувати особисті ключі Центру для формування списку відкликаних сертифікатів ключів Центру та сертифікатів ключів підписувачів, які є клієнтами цього Центру;

використовувати та зберігати особистий ключ та фразу-пароль для голосової автентифікації у спосіб, що унеможливлює ознайомлення з ними сторонніх осіб;

звернутися до служби реєстрації Засвідчувального центру щодо блокування/скасування сертифіката ключа внаслідок виявлення даних про: утрату або компрометацію особистого ключа Центру; утрату контролю за особистим ключем Центру через компрометацію пароля (коду, персонального ідентифікаційного номера), доступу до нього; зміну відомостей, зазначених у сертифікаті ключа Центру;

негайно припинити використання особистого ключа Центру після подання заяви про блокування/скасування відповідного йому сертифіката ключа Центру;

не використовувати особистий ключ Центру в разі його компрометації чи втрати чинності відповідного йому сертифіката ключа Центру.

9. Центр має право використовувати особисті ключі Центру для формування сертифікатів ключів відповідальних осіб Центру та послуги інтерактивного визначення статусу сертифіката ключа.

10. Відкритий ключ відповідальної особи Засвідчувального центру використовується виключно для її ідентифікації, автентифікації та авторизації під час завантаження автоматизованого робочого місця та перевірки електронного цифрового підпису, що накладається нею на документи під час виконання своїх функціональних обов'язків.

11. Строк чинності особистого та відкритого ключів дорівнює строку чинності відповідного сертифіката ключа. Особистий ключ тимчасово не є чинним, якщо сертифікат відповідного йому відкритого ключа заблоковано.

12. Строк чинності особистого та відкритого ключів відповідальної особи Засвідчувального центру становить не більше двох років з дати і часу їх генерування.

13. Адміністратор сертифікації Засвідчувального центру зобов'язаний здійснювати процедури генерування та резервування ключів Засвідчувального центру на своєму автоматизованому робочому місці. Процедури здійснюються під контролем адміністратора безпеки Засвідчувального центру. Резервування здійснюється на кількох пристроях АКЗЗІ. Резервування можна провести тільки під час генерування ключів Засвідчувального центру.

14. Адміністратор сертифікації Засвідчувального центру зобов'язаний використовувати резервні копії особистих ключів Засвідчувального центру в разі:

виходу з ладу основних пристроїв АКЗЗІ з ключами Засвідчувального центру;