Після завершення процедури скасування сертифіката ключа Центру Адміністратор ІТС ЦЗО негайно письмово повідомляє про таке скасування Мін'юст, який інформує контролюючий орган.
( Пункт 2.4 глави 2 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
3. Блокування сертифіката ключа Центру
3.1. Блокування сертифіката ключа Центру здійснюється у випадках, передбачених законом, на підставі заяви на блокування посиленого сертифіката відкритого ключа за формою, визначеною у додатку 6 до цього Регламенту (далі - заява форми 5), що подається до Адміністратора ІТС ЦЗО.
3.2. Заява форми 5 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним або його уповноваженою особою та скріплюється печаткою.
Під час прийому заяви форми 5 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
3.3. У заяві форми 5 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код за ЄДРПОУ – для юридичної особи;
( Абзац третій пункту 3.3 глави 3 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
( Абзац пункту 3.3 глави 3 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
причина блокування сертифіката ключа Центру;
назва Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що блокується.
Не приймається до розгляду заява, що має підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого її текст не можна прочитати.
3.4. Опрацювання заяви форми 5 та інформування Центром Адміністратора ІТС ЦЗО про блокування сертифіката його ключа здійснюються протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
Блокування сертифіката ключа Центру здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
Блокування сертифіката ключа Центру набирає чинності з моменту внесення його до СВС із зазначенням причини, дати та часу здійснення цієї операції.
Після завершення процедури блокування сертифіката ключа Центру Адміністратор ІТС ЦЗО негайно письмово повідомляє про таке блокування Мін'юст, який інформує контролюючий орган.
( Пункт 3.4 глави 3 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
4. Поновлення сертифіката ключа Центру
4.1. Поновлення сертифіката ключа Центру здійснюється у випадках, передбачених законодавством, на підставі заяви на поновлення посиленого сертифіката відкритого ключа за формою, визначеною у додатку 7 до цього Регламенту (далі - заява форми 6), що подається до Адміністратора ІТС ЦЗО.
4.2. Заява форми 6 подається до Адміністратора ІТС ЦЗО в письмовій формі особисто керівником юридичної особи - Центру (фізичною особою, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженою особою, підписується ним або його уповноваженою особою та скріплюється печаткою.
Під час прийому заяви форми 6 здійснюється встановлення особи керівника юридичної особи - Центру (фізичної особи, яка є суб'єктом підприємницької діяльності, що є Центром) або його уповноваженої особи.
4.3. У заяві форми 6 зазначаються:
повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи, яка є суб'єктом підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
код за ЄДРПОУ – для юридичної особи;
( Абзац третій пункту 4.3 глави 4 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
реєстраційний номер облікової картки платника податків – для фізичної особи – суб'єкта підприємницької діяльності або серія та номер паспорта (для фізичних осіб – суб'єктів підприємницької діяльності, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);
( Абзац пункту 4.3 глави 4 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
номери телефонів;
електронна адреса інформаційного ресурсу;
адреса електронної пошти;
причина поновлення сертифіката ключа (підтвердження факту усунення причин для блокування сертифіката ключа Центру);
( Абзац восьмий пункту 4.3 глави 4 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
назва Центру;
унікальний реєстраційний номер сертифіката ключа Центру, що поновлюється.
Не приймається до розгляду заява, що має підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також пошкодження, внаслідок чого її текст не можна прочитати.
4.4. Опрацювання заяви форми 6 здійснюється протягом двох годин від моменту отримання заяви Адміністратором ІТС ЦЗО.
4.5. Поновлення сертифіката ключа Центру здійснюється адміністратором сертифікації під контролем адміністратора безпеки.
Поновлення сертифіката ключа Центру набирає чинності з моменту внесення відомостей про нього до електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів Центрів із зазначенням причини, дати та часу здійснення цієї операції.
Після завершення процедури поновлення сертифіката ключа Центру Адміністратор ІТС ЦЗО негайно письмово повідомляє про таке поновлення Мін'юст, який інформує контролюючий орган.
( Абзац третій пункту 4.5 глави 4 розділу V в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
4.6. Розповсюдження інформації про статус сертифікатів ключів Центрів здійснюється за допомогою публікації повного та часткового СВС на офіційному веб-сайті ЦЗО та забезпечення можливості перевірки статусу сертифіката ключа Центру в режимі реального часу через телекомунікаційні мережі загального користування.
Адміністратор ІТС ЦЗО під час формування СВС забезпечує такі умови:
кожен із СВС містить дані щодо часу видання наступного списку;
новий СВС може бути опублікований до визначеного часу видання наступного списку;
на СВС накладається ЕЦП з використанням особистого ключа ЦЗО.
Інформація про статус сертифіката ключа Центру в режимі реального часу розповсюджується за протоколом визначення статусу сертифіката згідно з Вимогами до протоколу визначення статусу сертифіката, затвердженими Наказом.
Публікація наступного СВС здійснюється з періодичністю, зазначеною у пункті 3.3 розділу ІІІ цього Регламенту.
VI. Управління та операційний контроль
1. Фізичне середовище
1.1. Приміщення, де розташовано ІТС ЦЗО, територіально поділене на дві частини, в яких розміщено ЛОМ управління ІТС ЦЗО та ЛОМ серверів ІТС ЦЗО.
Місцезнаходження ЛОМ управління ІТС ЦЗО: вул. Бульварно-Кудрявська, 4, м. Київ, 04053.
( Абзац другий пункту 1.1 глави 1 розділу VI в редакції Наказу Міністерства юстиції № 2507/5 від 16.08.2016 )
Місцезнаходження ЛОМ серверів ІТС ЦЗО: вул. Куренівська, 21-А, м. Київ, 04073.
( Абзац третій пункту 1.1 глави 1 розділу VI в редакції Наказу Міністерства юстиції № 1528/5 від 11.05.2017 )
( Пункт 1.1 глави 1 розділу VI в редакції Наказу Міністерства юстиції № 658/5 від 07.05.2015 )
1.2. У ЛОМ управління об'єднані робочі станції (далі - РС) посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків адміністратора реєстрації (далі - адміністратор реєстрації), посадових осіб Адміністратора ІТС ЦЗО, на яких покладено виконання обов’язків системного адміністратора (далі - системний адміністратор), адміністраторів сертифікації та безпеки (далі разом - адміністратори) з використанням комутаційного обладнання та які розміщуються відокремлено від серверів і підключаються до ЛОМ серверів ІТС ЦЗО через телекомунікаційні мережі загального користування. Підключення здійснюється через шлюз захисту мережевих з’єднань, який розміщується на стороні ЛОМ серверів ІТС ЦЗО таким чином, що утворюється єдина віртуальна ЛОМ система. Шлюз захисту мережевих з’єднань призначений для автентифікації адміністраторів при підключенні до ЛОМ серверів шляхом встановлення захищеного мережевого з’єднання з РС адміністраторів.
1.3. Приміщення, де розміщено ЛОМ серверів ІТС ЦЗО, обладнано згідно з вимогами до спеціальних приміщень АЦСК, які передбачають проведення заходів щодо пасивного захисту інформації від її витоку каналами побічних електромагнітних випромінювань та наведень, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів (далі - спеціальне приміщення).
Усі приміщення ІТС ЦЗО обладнані автоматичною системою контролю доступу, яка забезпечує фізичний доступ до приміщень тільки особам, визначеним наказом керівника Адміністратора ІТС ЦЗО.
2. Безпека ІТС ЦЗО та захист інформаційних ресурсів
2.1. Для виконання технічних та технологічних функцій ЦЗО Адміністратором ІТС ЦЗО створюється технічний підрозділ, до складу якого входять працівники, діяльність яких безпосередньо пов'язана із забезпеченням функціонування ІТС ЦЗО.
Захист інформації у ІТС ЦЗО забезпечується службою захисту інформації ІТС ЦЗО.
Безпека ІТС ЦЗО досягається шляхом впровадження організаційних інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації комплексної системи захисту інформації (далі - КСЗІ).
Засоби та обладнання ІТС ЦЗО, за допомогою яких здійснюються генерація та використання особистого ключа ЦЗО, обслуговування сертифікатів ключів Центрів, розміщуються у спеціальному приміщенні. Фізичний доступ до обладнання ІТС ЦЗО, що забезпечує генерацію та використання особистих ключів ЦЗО, сертифікацію, управління статусом сертифіката, обмежений і надається виключно посадовим особам Адміністратора ІТС ЦЗО, визначеним наказом керівника Адміністратора ІТС ЦЗО.
2.2. В ІТС ЦЗО забезпечується захист інформаційних ресурсів від зовнішніх загроз, атак та несанкціонованого витоку інформації шляхом створення та підтримки безпечних інформаційних технологій, у рамках яких доступ до інформації різних категорій користувачів організовується таким чином, що тільки уповноваженим користувачам або процесам надається можливість роботи з конкретною інформацією, доступ до якої обмежується і гарантується цілісність при її обробці в електронному вигляді набором даних, що містяться на змінних носіях інформації.
Робота ІТС ЦЗО можлива лише при функціонуючій КСЗІ.
У спеціальному приміщенні, де розташовано ЛОМ серверів ІТС ЦЗО, передбачено захист внутрішньої обчислювальної мережі від втручання з боку телекомунікаційної мережі загального користування.
Доступ до захищених ресурсів ІТС ЦЗО надається тільки після успішної авторизації адміністраторів.
Перед початком виконання процедур, пов'язаних із реєстрацією, формуванням сертифіката ключа або зміною його статусу, формуванням СВС, адміністратори повинні бути успішно авторизовані.
3. Процедурний контроль
3.1. У складі технічного підрозділу Адміністратора ІТС ЦЗО, який здійснює забезпечення функціонування ІТС ЦЗО, створюється служба захисту інформації у складі:
посадової особи Адміністратора ІТС ЦЗО, на яку покладено обов’язки керівника служби захисту інформації;
адміністратора безпеки;
системного адміністратора.
До складу технічного підрозділу Адміністратора ІТС ЦЗО також входять:
адміністратор сертифікації;
адміністратор реєстрації.
Служба захисту інформації ІТС ЦЗО (далі - СЗІ) забезпечує захист інформації в ІТС ЦЗО шляхом вирішення питань, пов'язаних з проектуванням, розробленням, модернізацією, введенням в експлуатацію та підтримкою працездатності КСЗІ, та додержання режиму безпеки в ІТС ЦЗО.
Основними функціями СЗІ є:
забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
розроблення розпорядчих документів, згідно з якими Адміністратор ІТС ЦЗО повинен забезпечувати захист інформації, контроль за їх виконанням;
своєчасне реагування на спроби несанкціонованого доступу до інформаційних ресурсів ІТС ЦЗО, порушення правил експлуатації засобів захисту інформації.
Обов’язки керівника СЗІ покладаються на одного із працівників технічного підрозділу Адміністратора ІТС ЦЗО наказом керівника Адміністратора ІТС ЦЗО.
Керівник СЗІ забезпечує належне виконання СЗІ її функцій.
3.2. Адміністратор безпеки відповідає за належне функціонування КСЗІ.
Основними обов'язками адміністратора безпеки є:
участь у генерації пари ключів (особистий та відкритий ключі) ЦЗО та їх резервних копій;
контроль за формуванням, резервуванням та обслуговуванням сертифікатів ключів ЦЗО, Центрів та СВС;
контроль за зберіганням особистих ключів ЦЗО та їх резервних копій, особистих ключів адміністраторів;
участь у знищенні особистих ключів ЦЗО, контроль за правильним і своєчасним знищенням адміністраторами особистих ключів;
організація розмежування доступу до ресурсів ІТС ЦЗО;
забезпечення спостереження (реєстрація та аудит подій у ІТС ЦЗО, моніторинг подій тощо) за функціонуванням КСЗІ;
забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС ЦЗО;
забезпечення режиму доступу до спеціального приміщення ІТС ЦЗО;
ведення журналів обліку адміністратора безпеки, передбачених документацією КСЗІ.
3.3. Системний адміністратор відповідає за функціонування ІТС ЦЗО.
Основними обов'язками системного адміністратора є:
організація експлуатації та технічного обслуговування ІТС ЦЗО і адміністрування його засобів;
забезпечення функціонування офіційного веб-сайту ЦЗО;
участь у впровадженні та забезпеченні функціонування КСЗІ;
ведення журналів аудиту подій, що реєструють засоби ІТС ЦЗО;
інсталяція та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ІТС ЦЗО;
встановлення та налагодження штатної підсистеми резервного копіювання бази даних ІТС ЦЗО;
забезпечення актуалізації баз даних, створюваних та оброблюваних у ІТС ЦЗО, внаслідок збоїв.
3.4. Адміністратор сертифікації відповідає за формування сертифікатів ключів, ведення електронних реєстрів чинних, блокованих та скасованих сертифікатів ключів, збереження та використання особистого ключа ЦЗО.
Основними обов'язками адміністратора сертифікації є:
участь у генерації пари ключів (особистий та відкритий ключі) та зберігання особистих ключів ЦЗО та їх резервних копій;
забезпечення використання особистих ключів ЦЗО під час формування та обслуговування сертифікатів ключів ЦЗО та Центрів;
перевірка запитів на формування сертифікатів Центру вимогам Регламенту;
участь у знищенні особистих ключів ЦЗО;
забезпечення ведення, архівування та відновлення баз даних сертифікатів ключів Центрів;
розповсюдження (публікація) переліку сертифікатів ключів Центрів і СВС на офіційному веб-сайті ЦЗО;
резервування сертифікатів ключів і СВС, інших важливих ресурсів ІТС ЦЗО.
3.5. Адміністратор реєстрації відповідає за перевірку документів, наданих Центрами, звернень Центрів щодо формування, блокування, поновлення та скасування сертифікатів ключів Центрів.
Основними обов'язками адміністратора реєстрації є:
ідентифікація та автентифікація заявників;
перевірка заяв на формування, скасування, блокування та поновлення сертифікатів ключів;
встановлення належності Центру особистого ключа та його відповідності відкритому ключу Центру;
ведення електронного Реєстру суб'єктів.
4. Журнали аудиту
4.1. У журналах аудиту ІТС ЦЗО реєструються дії та події таких типів:
спроби створення, знищення, встановлення паролів, зміни прав доступу в ІТС ЦЗО тощо;
заміни технічних засобів ІТС ЦЗО та ключів;
формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;
спроби несанкціонованого доступу до ІТС ЦЗО;
надання доступу персоналу до ІТС ЦЗО;
зміна системних конфігурацій та технічне обслуговування ІТС ЦЗО;
збої в роботі ІТС ЦЗО;
інші події, відомості про які фіксуються в журналі аудиту ІТС ЦЗО.
Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб'єкта, що її здійснив або ініціював.
4.2. Журнали аудиту підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку того, що журнал не піддавався несанкціонованим модифікаціям, вивчення всіх дій та/або подій у журналі з приділенням особливої уваги повідомленням про невідповідності і попередженням про небезпечні ситуації. Перегляд журналів аудиту ІТС ЦЗО здійснює адміністратор безпеки. Результати перегляду адміністратор безпеки фіксує в журналі аудиту адміністратора безпеки.
4.3. Система ведення електронного журналу аудиту включає механізми його захисту від неавторизованого перегляду, модифікації і знищення. Записи подій у журналах аудиту в паперовій формі повинні бути завірені і підписані адміністратором безпеки.
Журнали аудиту в електронній формі резервуються з періодичністю не менше одного разу на тиждень.
4.4. Адміністратор ІТС ЦЗО зберігає журнали аудиту на місці їх створення протягом 10 років, після чого забезпечує їх передачу для архівного збереження.
5. Ведення архівів
Документи з паперовими та електронними носіями, що створюються або надходять до ЦЗО, зберігаються та знищуються відповідно до вимог законодавства.
VII. Періодичність, порядок планової заміни, використання особистих ключів ЦЗО та управління ключами в ЦЗО
1. Загальні положення
В ІТС ЦЗО використовуються такі особисті та відповідні їм відкриті ключі:
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі шлюзу захисту мережевих з'єднань зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з'єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002.
Процедури генерації особистих та відповідних їм відкритих ключів, що використовуються в ІТС ЦЗО, створення резервних копій, відновлення із резервних копій, використання та знищення особистих ключів, що використовуються в ІТС ЦЗО, здійснюються в частині, що не суперечить вимогам цього Регламенту, відповідно до положень Інструкції із забезпечення безпеки експлуатації засобу криптографічного захисту інформації та Інструкції щодо порядку генерації ключових даних і поводження (обліку, зберігання, знищення) з ключовими документами, передбачених Положенням про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації , затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованим в Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (із змінами), до відповідних засобів криптографічного захисту інформації (далі - КЗІ) зі складу ІТС ЦЗО, які погоджуються з Адміністрацією Державної служби спеціального зв'язку та захисту інформації України.
2. Генерація особистих та відкритих ключів
2.1. В ІТС ЦЗО генеруються особистий та відповідний йому відкритий ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС, особистий та відповідний йому відкритий ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистий та відповідний йому відкритий ключі шлюзу захисту мережевих з'єднань, особистий та відповідний йому відкритий ключі адміністраторів (далі разом - особисті та відповідні їм відкриті ключі ЦЗО).
2.2. Генерація особистих та відповідних їм відкритих ключів ЦЗО здійснюється у спеціальному приміщенні ІТС ЦЗО за участю адміністратора безпеки під контролем адміністратора сертифікації.
( Абзац перший пункту 2.2 глави 2 розділу VII із змінами, внесеними згідно з Наказом Міністерства юстиції № 134/5 від 22.01.2014 )
Після генерації особистих та відкритих ключів ЦЗО здійснюється формування відповідних сертифікатів ключів.
Особисті ключі ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС та особисті ключі ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зберігаються відповідно в апаратних та апаратно-програмних засобах КЗІ, що входять до складу ІТС ЦЗО.
Особисті ключі шлюзу захисту мережевих з'єднань та особисті ключі адміністраторів зберігаються на зовнішніх носіях ключової інформації (далі - НКІ).
Для забезпечення можливості відновлення особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу у випадку виходу з ладу апаратних та апаратно-програмних засобів КЗІ, виконується резервне копіювання відповідного особистого ключа із засобу КЗІ на НКІ.
Для забезпечення можливості відновлення особистих ключів шлюзу захисту мережевих з'єднань та особистих ключів адміністраторів у випадку виходу з ладу НКІ виконується резервне копіювання особистого ключа із засобу КЗІ на окремі резервні НКІ.
Факти генерації та створення резервних копій особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС, особистого ключа ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, особистого ключа шлюзу захисту мережевих з'єднань (далі разом - особисті ключі ЦЗО), особистих ключів адміністраторів та відповідних їм відкритих ключів реєструються адміністратором безпеки у відповідному журналі обліку.
2.3. Передавання особистих ключів ЦЗО здійснюється за журналом прийому-передачі ключів.
Забороняється:
передавання особистих ключів адміністраторів між адміністраторами.
виносити особисті ключі ЦЗО та їх резервні копії із спеціального приміщення ІТС ЦЗО.
3. Планова та позапланова заміна ключів, їх знищення
3.1. Строки дії особистих ключів ЦЗО відповідають строкам чинності сертифікатів відповідних їм відкритих ключів і становлять:
для особистих ключів ЦЗО для накладення ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС не більше 10 років;
для особистих ключів ЦЗО для накладення ЕЦП на дані про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, не більше 5 років;
для особистих ключів шлюзу захисту мережевих з'єднань не більше 2 років.
Строк дії особистих ключів адміністраторів становить не більше 2 років.
3.2. Планова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується не пізніше ніж за 2 робочі дні до закінчення строку дії відповідного сертифіката ключа.
Під час планової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором безпеки під контролем адміністратора сертифікації відповідно до вимог пункту 2.2 глави 2 цього розділу здійснюється генерація нових особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката ключа та створення резервних копій особистого ключа.
( Абзац другий пункту 3.2 глави 3 розділу VII із змінами, внесеними згідно з Наказом Міністерства юстиції № 134/5 від 22.01.2014 )
Після введення в дію нових особистого та відповідного йому відкритого ключа ЦЗО особистий ключ, термін дії сертифіката відкритого ключа якого завершився, та всі його резервні копії знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
3.3. Позапланова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується у випадках компрометації або підозри на компрометацію особистого ключа ЦЗО та/або особистого ключа адміністратора.
Під час позапланової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором безпеки під контролем адміністратора сертифікації відповідно до вимог пункту 2.2 глави 2 цього розділу здійснюється генерація нових особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката ключа та створення резервних копій особистого ключа.
( Абзац другий пункту 3.3 глави 3 розділу VII із змінами, внесеними згідно з Наказом Міністерства юстиції № 134/5 від 22.01.2014 )
У разі підтвердження факту компрометації особистих ключів ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС усі попередньо сформовані сертифікати ключів Центрів скасовуються та формується СВС, який підписується новим особистим ключем ЦЗО для накладення ЕЦП на сертифікати ключів Центрів та СВС.
Усі особисті ключі ЦЗО та особисті ключі адміністраторів, факт компрометації яких було підтверджено, знищуються методом, що не допускає можливості їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки.
3.4. ЦЗО невідкладно інформує Центри та контролюючий орган про здійснення планової чи позапланової заміни особистих та відкритих ключів ЦЗО.
4. Особливості планової заміни особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС
4.1. Не пізніше завершення половини строку дії поточного особистого та відповідного йому відкритого ключа ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС здійснюється генерація нового особистого та відповідного йому відкритого ключа ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС та формування відповідного сертифіката ключа. При цьому поточний особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС стає попереднім, а новий - поточним.
Поточний особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС повинен зберігатися і застосовуватися в апаратному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП на сертифікати ключів Центрів і СВС.
Попередній особистий ключ ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС повинен зберігатися і застосовуватися в апаратно-програмному засобі КЗІ, що входить до складу ІТС ЦЗО, та використовуватися для накладення ЕЦП тільки для обслуговування сертифікатів ключів Центрів, які були сформовані за допомогою цього ключа.
4.2. Перенесення попереднього особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС з апаратного до апаратно-програмного засобу КЗІ здійснюється шляхом створення резервної копії особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС та її відновлення.
Факти створення та відновлення резервної копії попереднього особистого ключа ЦЗО для накладення ЕЦП на сертифікати ключів ЦЗО, Центрів та СВС та його перенесення з апаратного засобу КЗІ до апаратно-програмного засобу КЗІ реєструються адміністратором безпеки у відповідному журналі обліку.
| Директор Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу | К.І. Чижмарь |
Додаток 1
до Регламенту роботи
центрального засвідчувального органу
ОБОВ'ЯЗКОВІ РЕКВІЗИТИ
Центру в запиті на формування сертифіката ключа
Таблиця 1
__________
-1 Якщо місцем реєстрації юридичної особи або фізичної особи - суб'єкта підприємницької діяльності є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім.
Обробка розширень, поданих у запиті під час формування сертифіката ключа Центру
Таблиця 2
| Назва розширення англійською мовою | Назва розширення українською мовою (у термінології Наказу ) | Обов’язковість розширення у сертифікаті ключа Центру-1 | Обов’язковість розширення у запиті-2 | Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті-3 | Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті-4 | Примітки |
| Стандартні розширення | ||||||
| authorityKeyIdentifier | Ідентифікатор відкритого ключа Центру | + | +/- | - | + | Встановлюється значення ідентифікатора відкритого ключа ЦЗО |
| subjectKeyIdentifier | Ідентифікатор відкритого ключа підписувача | + | +/- | + | + | У разі відсутності розширення у запиті встановлюється значення ідентифікатора відкритого ключа, який обчислюється ЦЗО згідно з вимогами, встановленими Наказом |
| keyUsage | Призначення відкритого ключа, що міститься в сертифікаті | + | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві на формування посиленого сертифіката відкритого ключа. У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві на формування посиленого сертифіката відкритого ключа |
| extKeyUsage | Уточнене призначення відкритого ключа, що міститься в сертифікаті | +/- | +/- | +/- | + | У разі наявності розширення у запиті аналізуються усі його значення. У сертифікаті відкритого ключа Центру встановлюються тільки ті, що визначаються сферою використання відкритого ключа Центру і зазначені у заяві на формування посиленого сертифіката відкритого ключа. У разі відсутності розширення у запиті у сертифікаті відкритого ключа Центру встановлюється значення, що визначається сферою використання відкритого ключа Центру і зазначено у заяві на формування посиленого сертифіката відкритого ключа |
| certificatePolicies | Політика сертифікації | + | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті, що відповідає політиці сертифікації ЦЗО, у сертифікаті відкритого ключа Центру встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
| subjectAltName | Додаткові дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
| issuerAlternativeName | Додаткові дані Центру | +/- | +/- | - | - | |
| basicConstraints | Основні обмеження | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу , встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що визначено Наказом, встановлюється значення, що відповідає ЗЦ, ЦСК або АЦСК згідно з Наказом |
| subjectDirectoryAttributes | Персональні дані підписувача | +/- | +/- | + | - | Встановлюється значення розширення у сертифікаті відкритого ключа Центру, що міститься у запиті на його формування |
| crlDistributionPoints | Точки доступу до СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до повних СВС ЦЗО |
| freshestCRL | Точки доступу до часткового СВС | +/- | +/- | - | + | Встановлюються значення, що відповідають адресам точок доступу до часткових СВС ЦЗО |
| Нестандартні розширення | ||||||
| qcStatements | Ознаки посиленого сертифіката | +/- | +/- | +/- | + | У разі наявності та відповідності значення розширення у запиті на формування сертифіката значенню, що відповідає вимогам Наказу , встановлюється значення розширення, що міститься у запиті на його формування. У разі відсутності або відмінності значення розширення у запиті на формування сертифіката від значення, що відповідає політиці сертифікації ЦЗО, встановлюється значення, що відповідає політиці сертифікації ЦЗО |
__________
-1 Обов’язковість розширення у сертифікаті ключа Центру:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-2 Обов’язковість розширення у запиті:
+ - розширення обов’язкове;
+/- - розширення може бути присутнім або відсутнім.
-3 Встановлення розширення у сертифікаті ключа Центру у разі його наявності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру;
+/- - розширення може встановлюватися або не встановлюватися у сертифікаті ключа Центру.
-4 Додавання розширення у сертифікаті ключа Центру у разі його відсутності у запиті:
- - розширення не встановлюється у сертифікаті ключа Центру;
+ - розширення встановлюється у сертифікаті ключа Центру.
Додаток 2
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на проведення реєстрації
( Див. текст )( Додаток 2 із змінами, внесеними згідно з Наказом Міністерства юстиції № 658/5 від 07.05.2015 )
Додаток 3
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на проведення акредитації
( Див. текст )( Додаток 3 із змінами, внесеними згідно з Наказом Міністерства юстиції № 658/5 від 07.05.2015 )
Додаток 4
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на формування посиленого сертифіката відкритого ключа
( Див. текст )( Додаток 4 із змінами, внесеними згідно з Наказом Міністерства юстиції № 658/5 від 07.05.2015 )
Додаток 5
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на скасування посиленого сертифіката відкритого ключа
( Див. текст )( Додаток 5 із змінами, внесеними згідно з Наказом Міністерства юстиції № 658/5 від 07.05.2015 )
Додаток 6
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на блокування посиленого сертифіката відкритого ключа
( Див. текст )( Додаток 6 із змінами, внесеними згідно з Наказом Міністерства юстиції № 658/5 від 07.05.2015 )
Додаток 7
до Регламенту роботи
центрального засвідчувального органу
ЗАЯВА
на поновлення посиленого сертифіката відкритого ключа
( Див. текст )( Додаток 7 із змінами, внесеними згідно з Наказом Міністерства юстиції № 658/5 від 07.05.2015 )