ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
17.06.2010 N 284
Зареєстровано
в Міністерстві юстиції України
4 листопада 2010 р. за N 1034/18329
Про затвердження нормативно-правових актів
з питань функціонування електронного цифрового
підпису в банківській системі України
Відповідно до пункту 7 статті 7 Закону України "Про Національний банк України" ( 679-14 ), частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис" ( 852-15 ), з метою формування інфраструктури відкритих ключів банківської системи України і забезпечення умов для функціонування електронного цифрового підпису в банківській системі України Правління Національного банку України постановляє:
1. Затвердити:
Положення про центри сертифікації ключів банків України (додається);
Правила реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України (додаються);
Правила оформлення Регламенту роботи центрів сертифікації ключів банків України (додаються).
2. Департаменту інформатизації (А.С.Савченко):
довести до відома центрів сертифікації ключів банків України зміст Положення про центри сертифікації ключів банків України, Правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України, Правил оформлення Регламенту роботи центрів сертифікації ключів банків України;
розробити перелік послуг, які надаються Засвідчувальним центром Національного банку України, зразок договору про надання Засвідчувальним центром Національного банку України послуг електронного цифрового підпису для центрів сертифікації ключів банків України, технічні вимоги до центрів сертифікації ключів банків України, порядок обов'язкового передавання документованої інформації до Засвідчувального центру Національного банку України в разі припинення діяльності центру сертифікації ключів банку України, Примірний регламент роботи центрів сертифікації ключів банків України.
3. Фінансовому департаменту (О.М.Кандибка) розробити тарифи на послуги, які надаються Засвідчувальним центром Національного банку України.
4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України П.М.Сенища.
5. Ця постанова набирає чинності з дня її офіційного опублікування.
Голова В.С.Стельмах
Затверджено
Постанова Правління
Національного банку України
17.06.2010 N 284
Зареєстровано
в Міністерстві юстиції України
4 листопада 2010 р. за N 1034/18329
Положення
про центри сертифікації ключів банків України
1. Загальні положення
1.1. Це Положення розроблено відповідно до пункту 7 статті 7 Закону України "Про Національний банк України" ( 679-14 ), частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис" ( 852-15 ).
1.2. Це Положення визначає організаційні умови створення центру сертифікації ключів (далі - Центр), який має право надавати послуги електронного цифрового підпису банкам України та їх клієнтам.
1.3. Національний банк України та контролюючий орган здійснюють контроль за діяльністю Центру відповідно до статті 7 Закону України "Про Національний банк України" ( 679-14 ) та статті 12 Закону України "Про електронний цифровий підпис" ( 852-15 ).
1.4. У цьому Положенні терміни вживаються в такому значенні:
ведення реєстру Центру - унесення (вилучення, модифікація) інформації в реєстр Центру, її зберігання та резервування;
відповідальна особа Центру - працівник банку/Центру, функціональними обов'язками якого є виконання адміністративних/технічних/технологічних функцій Центру;
допоміжні послуги Центру - послуга визначення статусу сертифіката відкритого ключа в реальному часі та послуга фіксування часу;
ключі Центру - власні криптографічні ключі Центру (особистий і відкритий) та криптографічні ключі допоміжних послуг Центру (особистий і відкритий);
підписувач - фізична або юридична особа, яка на законних підставах володіє особистим ключем і від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис на електронний документ та користується послугами електронного цифрового підпису, що надає їй Центр;
реєстр Центру - реєстр у Центрі з унесеними до нього сертифікатами відкритих ключів Центру, відповідальних осіб Центру та підписувачів (у тому числі блокованими і скасованими) і даними про Центр, відповідальних осіб Центру та підписувачів.
Інші терміни в цьому Положенні застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис" ( 852-15 ).
1.5. Центри утворюються з метою формування інфраструктури відкритих ключів банків України. Засвідчувальний центр Національного банку України створюється для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису Національному банку України та іншим суб'єктам банківської системи України.
2. Створення та організація діяльності Центру
2.1. Банки та їх клієнти мають право отримувати послуги електронного цифрового підпису для банківських операцій та електронного документообігу в банківській системі від:
власного Центру, створеного згідно з відповідним наказом банку, зареєстрованого/акредитованого в Засвідчувальному центрі;
Центру іншого банку, зареєстрованого/акредитованого в Засвідчувальному центрі згідно з договорами, укладеними між ним та Центром;
Центру, що є окремою юридичною особою, який зареєстрований/ акредитований в Засвідчувальному центрі та надає послуги електронного цифрового підпису банкам України та їх клієнтам згідно з договорами, укладеними між ним та Центром.
2.2. Центр зобов'язаний здійснювати свою діяльність відповідно до Регламенту роботи Центру, який визначає організаційні, технічні та інші умови діяльності Центру. Регламент роботи Центру розробляється відповідно до нормативно-правових актів Національного банку України щодо розроблення регламенту роботи Центрів та вимог законодавства України в сфері електронного цифрового підпису. Центр зобов'язаний погодити свій регламент роботи із Засвідчувальним центром до початку проведення реєстрації/акредитації. Центр зобов'язаний додатково погодити свій регламент роботи із контролюючим органом до початку проведення акредитації.
2.3. Власний Центр може бути створений як окремий спеціально створений підрозділ банку, що призначений виключно для забезпечення функціонування Центру, або в наявних підрозділах банку, діяльність яких пов'язана із забезпеченням функціонування інформаційних технологій, захисту інформації тощо.
2.4. Керівником Центру є працівник банку/Центру, який здійснює керівництво Центром. Керівник банку призначає керівника власного Центру згідно з наказом.
2.5. Уповноваженим керівником Центру є працівник банку/Центру, що здійснює керівництво Центром під час проведення діяльності Центру за певним напрямом та в разі відсутності керівника Центру. Керівник банку призначає уповноваженого керівника власного Центру згідно з наказом.
2.6. У Центрі створюються служби та відповідні автоматизовані робочі місця для виконання адміністративних, технічних та технологічних функцій Центру. Відповідальні особи Центру виконують функції цих служб на відповідних автоматизованих робочих місцях. Керівник банку/керівник Центру призначає відповідальних осіб Центру згідно з відповідним наказом.
2.7. Функції служб Центру визначаються Регламентом роботи Центру. Обов'язковими в Центрі є такі служби:
захисту інформації (автоматизоване робоче місце адміністратора безпеки Центру) - призначена для розроблення та забезпечення належного функціонування системи захисту інформації в програмно-технічному комплексі Центру;
сертифікації (автоматизоване робоче місце адміністратора сертифікації Центру) - призначена для генерування та використання ключів Центру;
реєстрації (автоматизоване робоче місце адміністратора реєстрації Центру) - призначена для встановлення осіб підписувачів чи їх уповноважених представників під час проведення регламентних процедур, надання за потреби допомоги підписувачам під час генерування ключів та опрацювання відповідних документів і запитів;
системного адміністратора (автоматизоване робоче місце системного адміністратора Центру) - призначена для забезпечення належного функціонування програмно-технічного комплексу Центру.
2.8. У Центрі розробляються інструкції адміністраторів для кожного з автоматизованих робочих місць, створених у Центрі. Керівник банку або керівник Центру затверджує ці інструкції.
2.9. У Центрі створюються резервні робочі місця для служб захисту інформації, сертифікації та реєстрації. Керівник Центру приймає рішення про створення резервних автоматизованих робочих місць інших служб.
2.10. Відповідальна особа Центру, що виконує функції служби захисту інформації, не має права виконувати функції інших служб Центру.
2.11. Центр має право надавати послуги електронного цифрового підпису після проведення його реєстрації/акредитації в Засвідчувальному центрі в порядку, визначеному нормативно-правовими актами Національного банку України щодо правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків у Засвідчувальному центрі.
2.12. Сферою використання сертифікатів відкритих ключів підписувачів Центру є банківські операції та здійснення електронного документообігу в банківській системі.
2.13. Підписувачами власного Центру можуть бути працівники та клієнти цього банку, а також інших банків. Підписувачами Центру, що є окремою юридичною особою, можуть бути працівники та клієнти банку, який уклав з Центром відповідний договір.
3. Основні завдання та функції Центру
3.1. Основним завданням Центру є надання підписувачам послуг електронного цифрового підпису.
3.2. Основними функціями Центру є:
створення і забезпечення функціонування програмно-технічного комплексу Центру;
реєстрація підписувачів;
генерування і зберігання ключів Центру та відповідальних осіб Центру;
забезпечення підписувачів засобами криптографічного захисту інформації (генерування ключів) і в разі потреби надання допомоги під час генерування ключів, а також ужиття заходів щодо забезпечення безпеки інформації під час їх генерування;
засвідчення чинності власних відкритих ключів Центру у Засвідчувальному центрі;
формування сертифікатів відкритих ключів допоміжних послуг Центру, відповідальних осіб Центру та підписувачів;
ведення реєстру Центру;
розповсюдження сертифікатів відкритих ключів Центру та підписувачів;
блокування, скасування та поновлення сертифікатів відкритих ключів допоміжних послуг Центру і підписувачів у випадках, передбачених законодавством України у сфері електронного цифрового підпису;
надання підписувачам послуг фіксування часу;
надання послуг визначення статусу сертифіката відкритого ключа;
публікація на інформаційному ресурсі Центру відкритої інформації;
інші функції, визначені Законом України "Про електронний цифровий підпис" ( 852-15 ), та дії, пов'язані з технічною і технологічною підтримкою діяльності Центру.
Директор Департаменту інформатизації А.С.Савченко