• Посилання скопійовано
Документ підготовлено в системі iplex

Правила реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України

Національний банк України  | Постанова, Заява, Свідоцтво, Звіт, Форма типового документа, Правила від 17.06.2010 № 284 | Документ не діє
Реквізити
  • Видавник: Національний банк України
  • Тип: Постанова, Заява, Свідоцтво, Звіт, Форма типового документа, Правила
  • Дата: 17.06.2010
  • Номер: 284
  • Статус: Документ не діє
  • Посилання скопійовано
Реквізити
  • Видавник: Національний банк України
  • Тип: Постанова, Заява, Свідоцтво, Звіт, Форма типового документа, Правила
  • Дата: 17.06.2010
  • Номер: 284
  • Статус: Документ не діє
Документ підготовлено в системі iplex
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
17.06.2010 N 284
( z1034-10 )
Зареєстровано в Міністерстві
юстиції України
4 листопада 2010 р.
за N 1035/18330
( Документ втратив чинність на підставі Постанови Національного банку N 442 від 07.07.2015 )
ПРАВИЛА
реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України
( Із змінами, внесеними згідно з Постановою Національного банку N 395 від 14.11.2011 )
1. Загальні положення
1.1. Ці Правила розроблено відповідно до пункту 7 статті 7 Закону України "Про Національний банк України", частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис".
1.2. У цих Правилах терміни вживаються в такому значенні:
адміністратор реєстрації Засвідчувального центру Національного банку України (далі - Засвідчувальний центр) - відповідальна особа Засвідчувального центру, що виконує функції служби реєстрації Засвідчувального центру;
акредитований центр сертифікації ключів (далі - акредитований Центр) - зареєстрований центр сертифікації ключів (далі - зареєстрований Центр), який пройшов процедури акредитації та формування посилених сертифікатів ключа відкритого ключа (далі - сертифікати ключа) у Засвідчувальному центрі в установленому порядку;
відповідальна особа Засвідчувального центру - працівник Національного банку України, функціональними обов'язками якого є виконання адміністративних/технічних/технологічних функцій Засвідчувального центру;
відповідальна особа Центру сертифікації ключів (далі - Центр) - працівник банку/Центру, що є окремою юридичною особою, функціональними обов'язками якого є виконання адміністративних/технічних/технологічних функцій Центру;
зареєстрований Центр - Центр, який пройшов процедури реєстрації та формування сертифікатів ключа в Засвідчувальному центрі в установленому порядку;
заявник Центру - уповноважений представник Центру в Засвідчувальному центрі, який на законних підставах звертається до Засвідчувального центру з метою організації та проведення реєстрації, акредитації та засвідчення чинності відкритого ключа Центру в Засвідчувальному центрі в установленому порядку, а також блокування, скасування, поновлення сертифікатів ключа Центру, зміни реквізитів Центру;
інформаційний ресурс Засвідчувального центру - загальнодоступна частина бази даних, у якій зберігають інформацію, що використовується в роботі Засвідчувального центру і взаємодіючих з ним Центрів. Доступ до інформаційного ресурсу Засвідчувального центру є вільним та забезпечується через телекомунікаційні мережі загального користування;
ключі Центру - власні криптографічні ключі Центру (особистий і відкритий) та криптографічні ключі допоміжних послуг Центру (особистий і відкритий);
підписувач - фізична або юридична особа, яка на законних підставах володіє особистим ключем і від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис на електронний документ та користується послугами електронного цифрового підпису, що надає їй Центр;
регламентна процедура - реєстрація Центру, або акредитація Центру, або формування сертифікатів ключа Центру, або зміна статусу сертифікатів ключа Центру, або зміна реєстраційних даних Центру;
реєстрація Центру - процедура внесення реєстраційних даних Центру в реєстр Засвідчувального центру;
послуги електронного цифрового підпису для Центру від Засвідчувального центру - обслуговування сертифікатів ключів Центру (формування, розповсюдження, зберігання, скасування, блокування та поновлення), надання інформації щодо статусу сертифікатів ключів, послуги фіксування часу, консультації з питань, пов'язаних з використанням електронного цифрового підпису;
реєстр Засвідчувального центру - реєстр у Засвідчувальному центрі із занесеними в нього сертифікатами ключів Центру, Засвідчувального центру та відповідальних осіб Засвідчувального центру (чинними/блокованими/ скасованими) і даними про Центр, Засвідчувальний центр та відповідальних осіб Засвідчувального центру;
скасування реєстрації/акредитації Центру - зміна статусу Центру на незареєстрований/неакредитований, скасування сертифікатів ключа Центру, анулювання свідоцтва про реєстрацію/акредитацію та внесення відповідних змін до реєстру Засвідчувального центру;
служба реєстрації Засвідчувального центру - служба в Засвідчувальному центрі, призначена для встановлення осіб заявників Центру та опрацювання документів і запитів, наданих ними під час проведення регламентних процедур;
список відкликаних сертифікатів ключів (далі - список відкликаних сертифікатів) - перелік блокованих та скасованих сертифікатів;
статус сертифіката ключа - один із можливих станів сертифіката ключа (чинний/блокований/скасований).
Інші терміни в цих Правилах застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис".
1.3. Ці Правила регламентують порядок проведення реєстрації, акредитації, засвідчення чинності відкритих ключів Центрів у Засвідчувальному центрі, надання послуг електронного цифрового підпису для Центрів від Засвідчувального центру, а також визначають перелік і зміст документів, які Центри подають до служби реєстрації Засвідчувального центру для проведення вказаних процедур та отримання послуг.
1.4. Функції служби реєстрації Засвідчувального центру виконує відділ/сектор захисту інформації в територіальному управлінні Національного банку України за місцем розташування Центрів (крім Головного управління Національного банку України по місту Києву і Київській області). Для Центрів, що розташовані в місті Києві та Київській області, функції служби реєстрації Засвідчувального центру виконує відділ захисту банківської інформації Центральної розрахункової палати Національного банку України.
1.5. Банк/Центр, що є окремою юридичною особою, для проведення реєстрації/акредитації Центру в Засвідчувальному центрі укладає з територіальним управлінням/Центральною розрахунковою палатою Національного банку України договір про надання послуг для Центру від Засвідчувального центру (далі - договір про надання послуг електронного цифрового підпису) (зразок договору наведено в додатку 1) у двох примірниках - по одному для кожної зі сторін.
( Пункт 1.5 в редакції Постанови Національного банку N 395 від 14.11.2011 )
1.6. Центр уважається зареєстрованим/акредитованим з дати внесення до реєстру Засвідчувального центру таких даних: реквізитів, зазначених у заяві про реєстрацію/акредитацію Центру в Засвідчувальному центрі, дати прийняття та номера рішення про реєстрацію/акредитацію Центру, серії та номера відповідного свідоцтва і в разі потреби строку його дії.
1.7. Засвідчувальний центр зобов'язаний оприлюднити інформацію про набуття Центром статусу зареєстрованого/акредитованого, скасування реєстрації/акредитації Центру та припинення діяльності Центру на інформаційному ресурсі Засвідчувального центру відразу після внесення відповідних змін у реєстр Засвідчувального центру.
1.8. Зареєстрований/акредитований Центр зобов'язаний кожні шість місяців надсилати електронною поштою до служби реєстрації Засвідчувального центру інформацію про діяльність Центру згідно з формою, встановленою додатком 2 до цих Правил, протягом одного місяця, наступного за останнім місяцем відповідного півріччя.
1.9. Засвідчувальний центр має право скасувати реєстрацію/акредитацію Центру в разі ненадходження такої інформації у встановлений термін з вини Центру.
( Пункт 1.9 із змінами, внесеними згідно з ПостановоюНаціонального банку N 395 від 14.11.2011 )
1.10. Інформаційний ресурс Засвідчувального центру призначений для розміщення на ньому відкритої інформації, яка структурно поділяється на:
довідкову інформацію (режим роботи Засвідчувального центру, положення регламенту роботи Засвідчувального центру, Правила оформлення регламенту роботи Центрів сертифікації ключів банків України, нормативно-правові акти, зразок договору про надання послуг електронного цифрового підпису, форми заяв тощо);
сертифікати ключів Засвідчувального центру;
сертифікати ключів Центру;
список відкликаних сертифікатів, що містять інформацію про статус сертифікатів ключів Засвідчувального центру та Центру;
клієнтське програмне забезпечення.
1.11. Засвідчувальний центр для формування сертифікатів ключів Центрів, списку відкликаних сертифікатів, позначок часу, надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів використовує ключі для криптографічних алгоритмів ДСТУ 4145-2002 та RSA з такими розмірами:
для ДСТУ 4145-2002 - не менше 257 біт;
для RSA - не менше 2048 біт.
2. Порядок подання та опрацювання документів для проведення регламентних процедур та отримання послуг
2.1. Заявник Центру особисто подає до служби реєстрації Засвідчувального центру заяви про реєстрацію, акредитацію, формування сертифікатів ключа, зміну статусу сертифікатів ключа Центру, унесення змін до реєстраційних даних Центру, видачу дубліката свідоцтва про реєстрацію/акредитацію Центру, договір про надання послуг електронного цифрового підпису в паперовій та електронній формах.
2.2. Адміністратор реєстрації Засвідчувального центру засвідчує заяви про реєстрацію, акредитацію, формування сертифікатів ключа, зміну статусу сертифікатів ключа Центру, унесення змін до реєстраційних даних Центру, видачу дубліката свідоцтва про реєстрацію/акредитацію Центру, договір про надання послуг електронного цифрового підпису в електронній формі шляхом накладення на них електронного цифрового підпису.
2.3. Служба реєстрації Засвідчувального центру приймає заяви про реєстрацію/акредитацію Центру за наявності всіх документів, визначених цими Правилами для здійснення зазначених процедур.
2.4. Служба реєстрації Засвідчувального центру не приймає на розгляд документи, які мають виправлення, дописки, закреслені слова, написи олівцем, а також пошкодження, унаслідок чого їх текст не можна прочитати.
2.5. Адміністратор реєстрації Засвідчувального центру виконує процедуру ідентифікації (установлення особи) заявника Центру під час отримання заяв про реєстрацію, акредитацію, формування сертифікатів ключа, зміну статусу сертифікатів ключа Центру, унесення змін до реєстраційних даних Центру, видачу дубліката свідоцтва про реєстрацію/акредитацію Центру. Установлення особи заявника Центру здійснюється за паспортом або документом, що його замінює.
2.6. Заявник Центру разом із заявою зобов'язаний подати адміністраторові реєстрації Засвідчувального центру довіреність, що підтверджує його повноваження діяти від імені Центру під час організації та проведення реєстрації, акредитації та засвідчення чинності відкритого ключа Центру в Засвідчувальному центрі в установленому порядку, а також блокування, скасування, поновлення сертифікатів ключа Центру, зміни реквізитів Центру. Довіреність засвідчується підписом керівника/уповноваженого керівника Центру і відбитком печатки банку/Центру, що є окремою юридичною особою.
2.7. Служба реєстрації Засвідчувального центру за результатом розгляду поданих документів відмовляє в проведенні відповідної регламентної процедури, якщо:
відсутні необхідні для проведення цієї регламентної процедури документи;
подано неналежним чином засвідчені копії документів;
установлено невідповідність даних, що зазначені в поданих документах, фактичним.
2.8. Служба реєстрації Засвідчувального центру повертає заявникові Центру подані ним документи в разі відмови в проведенні регламентної процедури. Адміністратор реєстрації Засвідчувального центру зазначає підстави для відмови в проведенні регламентної процедури у відповідній заяві в паперовій формі.
2.9. Служба реєстрації Засвідчувального центру зобов'язана видати свідоцтво про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 3) заявникові Центру протягом п'яти робочих днів від дати внесення відповідного запису до реєстру в разі прийняття рішення про реєстрацію/акредитацію Центру в Засвідчувальному центрі.
2.10. Центр звертається до служби реєстрації Засвідчувального центру із заявою про видачу дубліката свідоцтва про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 4) у разі пошкодження або втрати свідоцтва про реєстрацію/акредитацію Центру. Служба реєстрації Засвідчувального центру протягом 10 робочих днів від дати подання відповідної заяви зобов'язана повторно видати свідоцтво про реєстрацію/акредитацію Центру із проставлянням слова "Дублікат" у правому верхньому куті відповідного свідоцтва. Відомості про видачу дубліката вносяться до реєстру Засвідчувального центру.
2.11. Центр протягом трьох робочих днів зобов'язаний повідомити службу реєстрації Засвідчувального центру про зміну даних Центру, які внесені до реєстру Засвідчувального центру, шляхом подання відповідної заяви (додаток 5). Центр разом із заявою про внесення змін до реєстраційних даних Центру подає заяву про формування посилених сертифікатів відкритого ключа Центру в Засвідчувальному центрі (додаток 6), якщо дані, які змінюються, унесені до сертифікатів ключа Центру. Разом із заявою Центр зобов'язаний подати документи, що підтверджують ці зміни. Строк розгляду заяви про внесення змін до реєстраційних даних Центру та супровідних документів становить не більше семи робочих днів від дати їх прийняття. Засвідчувальний центр скасовує реєстрацію/акредитацію Центру в разі неотримання від Центру зазначених заяв у визначений строк.
3. Реєстрація Центру
3.1. Заявник Центру для здійснення реєстрації Центру в Засвідчувальному центрі зобов'язаний подати такі документи:
заяву про реєстрацію Центру в Засвідчувальному центрі (додаток 7);
заяву про формування посилених сертифікатів відкритого ключа Центру в Засвідчувальному центрі (додаток 6);
засвідчені в установленому порядку копії установчих документів (надаються Центром, що є окремою юридичною особою);
засвідчену в установленому порядку копію наказу про створення Центру;
засвідчену в установленому порядку копію наказу про призначення керівника Центру;
засвідчені в установленому порядку копії 1-4 сторінок паспортів заявника, керівника та уповноважених керівників Центру;
засвідчену в установленому порядку довіреність заявника Центру;
засвідчені в установленому порядку копії наказів про призначення уповноважених керівників Центру із зазначенням їх функціональних обов'язків;
засвідчені в установленому порядку копії документів, що підтверджують надані в заяві про реєстрацію відомості про ідентифікаційний код юридичної особи/банку за ЄДРПОУ, про організаційно-правову форму та класифікаційні дані (надаються Центром, що є окремою юридичною особою);
регламент роботи Центру, погоджений із Засвідчувальним центром, затверджений керівником/уповноваженим керівником Центру і засвідчений відбитком печатки банку/Центру, що є окремою юридичною особою;
положення, у якому визначаються функціональні обов'язки відповідальних осіб Центру, затверджене керівником/уповноваженим керівником Центру і засвідчене відбитком печатки банку/Центру, що є окремою юридичною особою;
відомості про ліцензії на право проведення господарської діяльності в галузі криптографічного або технічного захисту інформації (за наявності);
фразу-пароль для блокування сертифікатів ключа по телефону (у запечатаному конверті, на якому надруковано адресу Центру та телефони для зв'язку).
3.2. Строк розгляду заяви про реєстрацію Центру в Засвідчувальному центрі становить не більше семи робочих днів від дати її прийняття.
3.3. Засвідчувальний центр у разі ухвалення рішення про реєстрацію Центру в Засвідчувальному центрі:
формує унікальне розпізнавальне ім'я Центру;
формує два сертифікати ключа Центру (чинність одного з яких засвідчується особистим ключем Засвідчувального центру за криптографічним алгоритмом ДСТУ 4145-2002, іншого - особистим ключем Засвідчувального центру за криптографічним алгоритмом RSA);
уносить до реєстру Засвідчувального центру реєстраційні дані Центру;
змінює статус Центру на зареєстрований із зазначенням дати прийняття та номера відповідного рішення про реєстрацію;
видає Центру в паперовій формі свідоцтво про реєстрацію встановленого зразка (додаток 3).
3.4. Засвідчувальний центр скасовує реєстрацію Центру в разі невиконання або неналежного виконання обов'язків Центром та виявлення порушень вимог, установлених цими Правилами, нормативно-правовими актами Національного банку України та законодавством України у сфері електронного цифрового підпису.
3.5. Служба реєстрації Засвідчувального центру протягом семи робочих днів повідомляє Центру про рішення щодо скасування його реєстрації із зазначенням підстав, використовуючи контактні дані цього Центру, що занесені в реєстр Засвідчувального центру.
4. Акредитація Центру
4.1. Центр для одержання статусу акредитованого має бути зареєстрованим Центром у Засвідчувальному центрі і відповідати вимогам, установленим цими Правилами, Законом України "Про електронний цифровий підпис" та нормативно-правовими актами Національного банку України.
4.2. Вимоги до комплексної системи захисту інформації Центру встановлює Національний банк України. Нормативно-правові акти Національного банку України, в яких встановлені вимоги щодо комплексної системи захисту інформації Центру, погоджує контролюючий орган.
4.3. Заявник Центру для здійснення акредитації Центру в Засвідчувальному центрі зобов'язаний подати такі документи:
заяву про акредитацію Центру в Засвідчувальному центрі (додаток 8);
заяву про формування сертифікатів ключа Центру в Засвідчувальному центрі (додаток 6);
документи, перелік яких наведено в пункті 3.1 глави 3 цих Правил;
копії сертифікатів відповідності або позитивних експертних висновків за результатами державної експертизи у сфері криптографічного захисту інформації на засоби криптографічного захисту інформації;
копію атестата відповідності комплексної системи захисту інформації Центру;
список відповідальних осіб Центру;
план-схему приміщень Центру та порядок доступу до спеціальних приміщень;
порядок зберігання окремих резервних копій сертифікатів ключів та списку відкликаних сертифікатів, сформованих акредитованим Центром.
4.4. Засвідчувальний центр у процесі проведення акредитації Центру здійснює перевірку Центру на відповідність вимогам, визначеним нормативно-правовими актами Національного банку України, з урахуванням регламенту роботи Центру.
4.5. Строк розгляду заяви про акредитацію Центру в Засвідчувальному центрі становить не більше 45 робочих днів від дати її надходження.
4.6. Засвідчувальний центр у разі ухвалення рішення про акредитацію Центру в Засвідчувальному центрі:
формує два сертифікати ключа Центру (чинність одного з яких засвідчується особистим ключем Засвідчувального центру за криптографічним алгоритмом ДСТУ 4145-2002, іншого - особистим ключем Засвідчувального центру за криптографічним алгоритмом RSA);
уносить до реєстру Засвідчувального центру дані Центру;
змінює статус Центру на акредитований із зазначенням дати прийняття та номера відповідного рішення про акредитацію;
видає в паперовій формі Центру свідоцтво про акредитацію встановленого зразка (додаток 3) зі строком дії п'ять років з дати прийняття рішення про акредитацію.
4.7. Засвідчувальний центр аналізує інформацію, яку Центр надсилає відповідно до вимог пункту 1.8 глави 1 цих Правил, визначає потребу в перевірці виконання Центром вимог, установлених цими Правилами та законодавством України.
4.8. Акредитований Центр проходить повторну акредитацію згідно з вимогами щодо процедури акредитації Центру, визначеними цими Правилами, у таких випадках:
зміна основних даних (реквізитів), які зазначаються у свідоцтві про акредитацію;
закінчення строку дії свідоцтва про акредитацію;
закінчення строку дії сертифіката відповідності або позитивного експертного висновку за результатами державної експертизи у сфері криптографічного захисту інформації у разі відсутності нового сертифіката/ експертного висновку.
4.9. Засвідчувальний центр скасовує акредитацію Центру в разі прийняття рішення про скасування акредитації Центру.
4.10. Засвідчувальний центр приймає рішення про скасування акредитації Центру в таких випадках:
невиконання акредитованим Центром вимог, установлених цими Правилами, нормативно-правовими актами Національного банку України та законодавством у сфері електронного цифрового підпису;
прийняття акредитованим Центром рішення про припинення діяльності.
4.11. Засвідчувальний центр змінює статус Центру на зареєстрований під час скасування акредитації цього Центру.
4.12. Служба реєстрації Засвідчувального центру протягом семи робочих днів повідомляє Центру про рішення щодо скасування його акредитації із зазначенням підстав скасування, використовуючи контактні дані цього Центру, що занесені в реєстр Засвідчувального центру.
4.13. Центр, якому було відмовлено в акредитації у зв'язку з поданням недостовірної інформації або акредитацію якого було скасовано, не може бути акредитований протягом року від дати прийняття рішення про відмову в акредитації або про скасування акредитації Центру.
4.14. Центр має право оскаржити в судовому порядку рішення про відмову в акредитації або скасування акредитації Центру.
5. Формування сертифікатів ключа Центру
5.1. Центр самостійно генерує особисті та відкриті ключі Центру. Засвідчувальний центр не надає послуг з генерації ключів для Центру.
5.2. Засвідчувальний центр здійснює формування сертифікатів ключа Центру на підставі заяви про формування сертифікатів ключа Центру в Засвідчувальному центрі (додаток 6). Служба реєстрації Засвідчувального центру приймає заяву лише під час реєстрації/акредитації Центру або від зареєстрованого/акредитованого Центру.
5.3. Заявник Центру подає Засвідчувальному центру разом із заявою про формування сертифікатів ключа Центру запит на формування сертифікатів ключа Центру в електронному вигляді. Запит може бути двох видів:
у форматі PKCS#10 з накладеним електронним цифровим підписом з використанням особистого ключа Центру;
самопідписаний сертифікат ключа Центру.
5.4. Засвідчувальний центр формує сертифікати ключів Центру для відкритих ключів, що згенеровані відповідно до криптографічних алгоритмів ДСТУ 4145-2002 та RSA.
5.5. Довжина особистих ключів для зареєстрованого Центру або Центру, що проходить реєстрацію, має бути:
для алгоритму ДСТУ 4145-2002 - не менше 162 біт;
для алгоритму RSA - не менше 1536 біт.
5.6. Довжина особистих ключів для акредитованого Центру або Центру, що проходить акредитацію, має бути:
для алгоритму ДСТУ 4145-2002 - не менше 257 біт;
для алгоритму RSA - не менше 2048 біт.
5.7. Засвідчувальний центр здійснює формування сертифікатів ключа Центрів на підставі даних, отриманих від Центрів під час їх реєстрації/акредитації, і даних, що містяться в запиті на формування сертифікатів ключа.
5.8. Строк розгляду заяви про формування сертифікатів ключа зареєстрованого/акредитованого Центру в Засвідчувальному центрі становить не більше трьох робочих днів від дати її прийняття.
5.9. Засвідчувальний центр під час формування сертифікатів ключа Центру виконує такі дії:
визначає дату, час початку та закінчення строку чинності сертифікатів ключа;
уносить до сертифікатів ключа Центру обов'язкові дані, визначені Законом України "Про електронний цифровий підпис";
уносить до сертифікатів ключа Центру додаткові дані за зверненням Центру;
уносить до сертифікатів ключа Центру інформацію щодо місця розміщення списку відкликаних сертифікатів на інформаційному ресурсі Засвідчувального центру;
забезпечує унікальність реєстраційних номерів сертифікатів ключа в межах Засвідчувального центру, а також контролює унікальність відкритого ключа Центру в реєстрі Засвідчувального центру.
5.10. Строк чинності сертифікатів ключа зареєстрованого Центру становить не більше двох років з дати і часу їх формування в Засвідчувальному центрі, акредитованого Центру - не більше п'яти років.
5.11. Строк чинності особистого і відкритого ключів Центру дорівнює строку чинності відповідних сертифікатів ключа Центру.
5.12. Засвідчувальний центр формує сертифікати ключа Центру в електронній формі, розповсюджує їх у спосіб, визначений цими Правилами, і вносить зміни до реєстру Засвідчувального центру.
5.13. Центр має подати до Засвідчувального центру заяву про формування нових сертифікатів ключа Центру (додаток 6) не пізніше ніж за десять робочих днів до закінчення строку чинності його поточних сертифікатів ключа. У разі неотримання від Центру заяви про формування нових сертифікатів ключа Центру у визначений термін Засвідчувальний центр після закінчення строку чинності сертифікатів ключа Центру скасовує реєстрацію/акредитацію Центру.
5.14. Центр має право подавати до Засвідчувального центру на сертифікацію попередньо засвідчений відкритий ключ Центру протягом строку чинності сертифікатів ключа, якщо відповідний йому особистий ключ не був скомпрометований. У такому випадку дата і час закінчення строку чинності нових сертифікатів ключа Центру, сформованих на основі попередньо засвідченого відкритого ключа Центру, не може перевищувати дати і часу закінчення строку чинності попередніх сертифікатів ключа Центру.
5.15. Програмно-технічний комплекс Засвідчувального центру автоматично скасовує поточні сертифікати ключа Центру в момент закінчення строку їх чинності.
6. Обслуговування сертифікатів ключів Центру
6.1. Обслуговування сертифікатів ключів Центру це:
зміна статусу сертифікатів ключа Центру (блокування/скасування/ поновлення сертифікатів ключа Центру);
розповсюдження сертифікатів ключа Центру;
поширення інформації про статус сертифікатів ключа Центру.
6.2. Блокування тимчасово припиняє чинність сертифікатів ключа Центру. У разі блокування сертифікатів ключа Центру Центр зобов'язаний скасувати або поновити їх. Засвідчувальний центр скасовує блоковані сертифікати ключа Центру, якщо Центр не поновив їх протягом одного календарного місяця.
6.3. Скасування припиняє чинність сертифікатів ключа Центру. Скасовані сертифікати ключа поновленню не підлягають.
6.4. Поновлення сертифікатів ключа Центру поновлює його чинність та можливе лише для сертифікатів, що заблоковані й термін блокування яких не закінчився.
6.5. Центр має право ініціювати скасування сертифікатів ключа Центру без їх попереднього блокування.
6.6. Засвідчувальний центр блокує/поновлює сертифікати ключа Центру в разі:
подання заяви про блокування/поновлення сертифікатів ключа Центру (додаток 9) від заявника Центру до служби реєстрації Засвідчувального центру;
наявності рішення суду, що набрало законної сили, про блокування/поновлення сертифікатів ключа Центру.
6.7. Засвідчувальний центр скасовує сертифікати ключа Центру в разі:
подання заяви про скасування сертифікатів ключа Центру (додаток 9) від заявника Центру до служби реєстрації Засвідчувального центру;
наявності рішення суду, що набрало законної сили, про скасування сертифікатів ключа Центру;
надання заявником Центру недостовірних даних;
скасування реєстрації/акредитації Центру;
припинення діяльності Центру.
6.8. Центр зобов'язаний звернутися до служби реєстрації Засвідчувального центру щодо блокування/скасування сертифікатів ключа внаслідок виявлення даних про:
утрату або компрометацію особистого ключа Центру;
утрату контролю за особистим ключем Центру через компрометацію пароля (коду, персонального ідентифікаційного номера), доступу до нього;
зміну відомостей, зазначених у сертифікатах ключа Центру.
6.9. Центр має право звернутися до служби реєстрації Засвідчувального центру щодо поновлення сертифікатів ключа внаслідок виявлення недостовірності даних про:
утрату або компрометацію особистого ключа Центру;
утрату контролю за особистим ключем Центру через компрометацію пароля (коду, персонального ідентифікаційного номера), доступу до нього;
зміну відомостей, зазначених у сертифікатах ключа Центру.
6.10. Заявник Центру має право подати адміністраторові реєстрації Засвідчувального центру заяву про блокування сертифікатів ключа Центру в усній формі по телефону. У цій заяві мають зазначатися:
ідентифікаційні дані Центру - власника сертифікатів ключа;
ідентифікаційні дані заявника Центру;
серійні номери сертифікатів ключа Центру, що блокується;
причина блокування;
строк, на який блокуються сертифікати ключа Центру;
фраза-пароль (обумовлена в процесі реєстрації/акредитації Центру).
Засвідчувальний центр здійснює блокування сертифікатів ключа Центру за заявою в усній формі тільки в разі позитивної автентифікації Центру (відповідність ідентифікаційних даних Центру, заявника Центру, серійних номерів сертифікатів ключа Центру та фрази-пароля, переданої в усній заяві, інформації з реєстру Засвідчувального центру).
6.11. Центр зобов'язаний підтвердити заяву про блокування сертифікатів ключа Центру в усній формі письмовою заявою про зміну статусу посилених сертифікатів відкритого ключа Центру (додаток 9) протягом двох робочих днів з дати прийняття Засвідчувальним центром заяви в усній формі. У разі ненадходження відповідної письмової заяви, що підтверджує блокування сертифікатів ключа Центру, протягом зазначеного строку Засвідчувальний центр блокує сертифікати ключа цього Центру строком на один календарний місяць.
6.12. Засвідчувальний центр протягом не більше двох годин з моменту подання заяви про зміну статусу сертифікатів ключа Центру зобов'язаний її опрацювати та повідомити Центру про це шляхом поширення інформації про статус сертифікатів ключа Центру в установленому цими Правилами порядку.
6.13. Засвідчувальний центр під час зміни статусу сертифікатів ключа Центру вносить відповідні зміни до реєстру Засвідчувального центру та списку відкликаних сертифікатів із зазначенням дати, часу та причин зміни статусу сертифікатів ключа Центру.
6.14. Зміна статусу сертифікатів ключа Центру набирає чинності з моменту внесення відповідних змін до реєстру Засвідчувального центру та списку відкликаних сертифікатів.
6.15. Засвідчувальний центр поширює інформацію про статус сертифікатів ключа Центру:
за запитом у реальному часі (OCSP-запити) з використанням OCSP-сервера;
шляхом розповсюдження списку відкликаних сертифікатів.
6.16. Взаємодія з OCSP-сервером для визначення статусу сертифікатів ключів Центру забезпечується шляхом використання клієнтського програмного забезпечення. Таке програмне забезпечення повинно відповідати технічним специфікаціям та форматам даних, визначеним законодавством України. Центр на свій розсуд може використовувати клієнтське програмне забезпечення для визначення статусу сертифікатів ключів, яке вільно розповсюджується шляхом його розміщення на інформаційному ресурсі Засвідчувального центру, розроблене самостійно чи створене іншими розробниками.
6.17. Засвідчувальний центр під час формування списку відкликаних сертифікатів зобов'язаний забезпечити:
наявність у списку відкликаних сертифікатів даних щодо часу формування наступного списку відкликаних сертифікатів;
накладення електронного цифрового підпису на список відкликаних сертифікатів за допомогою особистих ключів Засвідчувального центру.
6.18. Засвідчувальний центр зобов'язаний розповсюджувати сертифікати ключа Центру та список відкликаних сертифікатів шляхом їх розміщення на інформаційному ресурсі Засвідчувального центру й розсилання засобами електронної пошти Національного банку України та e-mail на адреси, що зазначаються в заяві про формування сертифікатів ключа Центру в Засвідчувальному центрі.
6.19. Засвідчувальний центр зобов'язаний формувати та розповсюджувати список відкликаних сертифікатів з такою періодичністю:
один раз на добу, навіть якщо протягом останньої доби до списку відкликаних сертифікатів не вносилися зміни,
або після опрацювання заяви про зміну статусу сертифікатів ключа Центру в установленому цими Правилами порядку.
Наступний список відкликаних сертифікатів може бути сформований раніше визначеного часу його формування.
7. Послуги фіксування часу
7.1. Засвідчувальний центр надає послуги фіксування часу з використанням TSP-сервера.
7.2. Час, який використовується в позначці часу, установлюється з точністю до однієї секунди на момент формування позначки за київським часом, який синхронізований із всесвітнім координованим часом (UTC).
7.3. Взаємодія з TSP-сервером для отримання послуг фіксування часу забезпечується шляхом використання клієнтського програмного забезпечення. Таке програмне забезпечення повинно відповідати технічним специфікаціям та форматам даних, визначеним законодавством України. Центр на свій розсуд може використовувати клієнтське програмне забезпечення для отримання послуг фіксування часу, яке вільно розповсюджується шляхом його розміщення на інформаційному ресурсі Засвідчувального центру, розроблене самостійно чи створене іншими розробниками.
7.4. Зареєстровані/акредитовані Центри у Засвідчувальному центрі повинні синхронізувати час із серверами надання точного часу територіального управління/Центральної розрахункової палати Національного банку України, у яких вони зареєстровані/акредитовані, або за допомогою власних сертифікованих засобів синхронізації із всесвітнім координованим часом (UTC) з точністю до 1 секунди та за методикою, погодженою із Засвідчувальним центром.
Директор Департаменту
інформатизації

А.С.Савченко
Додаток 1
до Правил реєстрації,
засвідчення чинності
відкритого ключа
та акредитації центрів
сертифікації ключів банків
України в Засвідчувальному
центрі Національного банку
України
ЗРАЗОК ДОГОВОРУ
про надання засвідчувальним центром Національного банку України послуг для центрів сертифікації ключів банків України
Договір N ______
про надання Засвідчувальним центром Національного банку України послуг для центру сертифікації ключів банку України
м. ______________ _________________
(дата)
Засвідчувальний центр Національного банку України (далі -
Засвідчувальний центр) в особі _________________________________,
(прізвище, ім'я, по батькові)
що діє на підставі ___________________ від __.__. 20__ N _______,
(найменування
документа)
та Центр сертифікації ключів _____________________ (далі - Центр)
(найменування
організації)
в особі ________________________________________________________,
(прізвище, ім'я, по батькові)
що діє на підставі ____________________ від __.__. 20__ N ______,
(найменування
документа)
(далі - Сторони) уклали цей договір (далі - Договір) про таке.
1. Предмет договору
1.1. Предметом Договору є надання Засвідчувальним центром для
Центру таких послуг:
реєстрація Центру у Засвідчувальному центрі та формування
посилених сертифікатів відкритого ключа (далі - сертифікат ключа)
Центру;
акредитація Центру у Засвідчувальному центрі та формування
сертифікатів ключа Центру;
обслуговування сертифікатів ключа Центру, надання інформації
щодо статусу сертифікатів ключів, послуги фіксування часу,
консультації з питань, пов'язаних з використанням електронного
цифрового підпису, унесення змін до реєстраційних даних Центру;
аналіз та погодження регламенту роботи Центру;
повторний аналіз та опрацювання документів, поданих Центром,
у Засвідчувальному центрі для здійснення реєстрації/акредитації
Центру у Засвідчувальному центрі;
повторне проведення перевірок Центру на відповідність
вимогам, визначеним нормативно-правовими актами Національного
банку України з урахуванням регламенту роботи Центру, необхідних
для акредитації Центру.
2. Вартість послуг, порядок проведення розрахунків
2.1. Вартість послуг за Договором визначається Переліком і
тарифами послуг, які надаються Засвідчувальним центром
Національного банку України, затвердженим постановою Правління
Національного банку України від 12.08.2003 N 333 "Про
затвердження переліків і тарифів операцій (послуг), що
здійснюються Національним банком України, його територіальними
управліннями та структурними одиницями за операціями (послугами),
пов'язаними з діяльністю клієнтів і банків - кореспондентів
Національного банку України", зареєстрованим у Міністерстві
юстиції України 10.09.2003 за N 784/8105 (зі змінами) (далі -
Перелік).
2.2. Оплата послуг здійснюється Центром протягом 10 (десяти)
робочих днів з дати підписання уповноваженими особами обох Сторін
акта про приймання-передавання послуг щодо фактично наданих
послуг (далі - акт) у повному обсязі.
2.3. Оплата здійснюється за умови зазначення в актах вартості
наданих послуг, наявності посилання на номер і дату укладення
Договору (останнього додаткового договору до Договору).
2.4. Оплата послуг обслуговування сертифікатів ключа Центру,
надання інформації щодо статусу сертифікатів ключів, послуги
фіксування часу, консультації з питань, пов'язаних із
використанням електронного цифрового підпису, унесення змін до
реєстраційних даних Центру здійснюється щомісяця, починаючи з
дати формування сертифікатів ключа Центру. Розрахунок за надані
послуги за неповний робочий місяць (укладення, розірвання
Договору) здійснюється за фактично відпрацьовані дні місяця.
2.5. У разі внесення Національним банком України змін до
Переліку розмір оплати змінюється від часу набрання чинності цими
змінами (без укладення додаткового договору).
2.6. Засвідчувальний центр надає Центру послуги з наступного
робочого дня після отримання підтвердження щодо здійснення
оплати.
3. Права та обов'язки сторін
3.1. Засвідчувальний центр зобов'язується:
надавати Центру послуги, визначені Договором, якісно та
своєчасно;
використовувати надійні засоби електронного цифрового
підпису;
установлювати під час формування сертифікатів ключа Центру
належність відкритого ключа та відповідного особистого ключа
Центру;
приймати заяви про скасування, блокування та поновлення
сертифікатів ключа Центру;
перевіряти законність звернень про скасування, блокування та
поновлення сертифікатів ключа Центру та зберігати документи, на
підставі яких було скасовано, блоковано та поновлено сертифікати
ключа Центру;
своєчасно скасовувати, блокувати та поновлювати сертифікати
ключа Центру у випадках, передбачених нормативно-правовими актами
Національного банку України та законодавством України у сфері
використання електронного цифрового підпису;
оприлюднювати на інформаційному ресурсі Засвідчувального
центру відкриту інформацію, перелік якої наведено в Регламенті
роботи Засвідчувального центру;
цілодобово забезпечувати можливість вільного доступу Центрів
та користувачів послуг електронного цифрового підпису з
використанням телекомунікаційних мереж загального користування до
інформаційного ресурсу Засвідчувального центру;
надавати Центру консультації з питань, пов'язаних із
використанням електронного цифрового підпису;
забезпечувати відповідно до законодавства захист даних,
отриманих від Центру, а також відомостей щодо предмета Договору,
його виконання тощо;
приймати оплату послуг на умовах, установлених Договором.
3.2. Засвідчувальний центр має право:
вимагати від Центру дотримуватися вимог, установлених
Договором, нормативно-правовими актами Національного банку
України та законодавством України у сфері використання
електронного цифрового підпису, а також усунення виявлених
порушень;
не приймати запит на формування сертифікатів ключа Центру,
якщо формат запиту не відповідає технічним специфікаціям,
визначеним законодавством України;
отримувати та перевіряти інформацію, необхідну для проведення
регламентних процедур, безпосередньо у заявника Центру;
надавати за згодою Центру вільний доступ до сертифікатів
ключа Центру користувачам послуг електронного цифрового підпису;
вести аудіозапис розмов відповідальних осіб Засвідчувального
центру з відповідальними особами Центру (зокрема для
підтвердження факту використання ними голосової автентифікації);
вимагати від Центру відшкодування в повному обсязі майнової
та моральної шкоди в разі, якщо така шкода була завдана
Засвідчувальному центру з вини Центру;
скасувати сертифікат ключа Центру в разі виникнення обставин,
передбачених нормативно-правовими актами Національного банку
України та законодавством України у сфері використання
електронного цифрового підпису.
3.3. Центр зобов'язується:
своєчасно надавати Засвідчувальному центру всі необхідні дані
для проведення регламентних процедур;
використовувати надійні засоби електронного цифрового
підпису;
генерувати запит на формування сертифікатів ключа Центру та
використовувати формати даних і об'єктні ідентифікатори
криптографічних алгоритмів відповідно до технічних специфікацій,
визначених законодавством України, з урахуванням вимог,
установлених нормативно-правовими актами Національного банку
України;
використовувати сертифікати ключа Центру виключно за
призначенням, визначеним у сертифікатах ключа, та додержуватися
інших обмежень щодо використання цих сертифікатів ключа;
використовувати та зберігати особистий ключ та фразу-пароль
для голосової автентифікації у спосіб, що унеможливлює
ознайомлення з ними сторонніх осіб;
використовувати особистий ключ Центру для формування списку
відкликаних сертифікатів ключів Центру та сертифікатів ключів
підписувачів, які є клієнтами цього Центру;
негайно інформувати Засвідчувальний центр про факти
компрометації особистого ключа Центру, втрати особистого ключа
Центру чи контролю за особистим ключем Центру;
негайно інформувати Засвідчувальний центр про виявлену
неточність чи зміну відомостей, зазначених у сертифікатах ключа
Центру;
негайно припинити використання особистого ключа Центру після
подання заяви про блокування/скасування відповідного йому
сертифіката ключа Центру;
не використовувати особистий ключ Центру в разі його
компрометації чи втрати чинності відповідного йому сертифіката
ключа Центру;
своєчасно здійснювати оплату за надані послуги на умовах
Договору;
3.4. Центр має право:
своєчасно отримувати якісні послуги, визначені в Договорі;
знайомитися з відкритою інформацією щодо діяльності та
надання послуг Засвідчувальним центром;
використовувати особистий ключ Центру для формування
сертифікатів ключів допоміжних послуг Центру та відповідальних
осіб Центру;
вимагати скасування, блокування або поновлення своїх
сертифікатів ключа;