ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

Затверджено
Постанова Правління
Національного банку України
17.06.2010 N 2
84

Зареєстровано
в Міністерстві юстиції України
4 листопада 2010 р. за N 1036/18331

Правила
оформлення Регламенту роботи центрів
сертифікації ключів банків України

1. Загальні положення

1.1. Ці Правила розроблено відповідно до пункту 7 статті 7 Закону України "Про Національний банк України" ( 679-14 ), частини сьомої статті 5 та частини другої статті 10 Закону України "Про електронний цифровий підпис" ( 852-15 ).

1.2. У цих Правилах терміни вживаються в такому значенні:

відповідальна особа центру сертифікації ключів (далі - Центр) - працівник банку/Центру, функціональними обов'язками якого є виконання адміністративних, технічних та технологічних функцій Центру;

допоміжні послуги Центру - послуга визначення статусу сертифіката відкритого ключа (далі - сертифікат ключа) у реальному часі та послуга фіксування часу;

заявник - уповноважений представник підписувача в Центрі, який на законних підставах звертається до Центру з метою організації та проведення реєстрації та засвідчення чинності відкритого ключа підписувача в Центрі в установленому порядку, а також блокування, скасування, поновлення сертифікатів ключів підписувача, зміни реквізитів підписувача;

інформаційний ресурс Центру - загальнодоступна частина бази даних, у якій зберігають інформацію, що використовується в роботі Центру і взаємодіючих з ним підписувачів. Доступ до інформаційного ресурсу Центру є вільним і забезпечується через телекомунікаційні мережі загального користування;

ключі Центру - власні криптографічні ключі Центру (особистий і відкритий) та криптографічні ключі допоміжних послуг Центру (особистий і відкритий);

підписувач - фізична або юридична особа, яка на законних підставах володіє особистим ключем і від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис на електронний документ та користується послугами електронного цифрового підпису, що надає їй Центр;

послуги електронного цифрового підпису для підписувача від Центру - обслуговування сертифікатів ключів підписувача (формування, розповсюдження, зберігання, скасування, блокування та поновлення), надання інформації щодо статусу сертифікатів ключів, послуги фіксування часу, консультації з питань, що пов'язані з використанням електронного цифрового підпису;

регламентна процедура - реєстрація підписувача, або формування сертифікатів ключа підписувача, або зміна статусу сертифікатів ключа підписувача, або зміна реєстраційних даних підписувача;

реєстрація підписувача - процедура внесення реєстраційних даних підписувача до реєстру Центру;

список відкликаних сертифікатів ключів (далі - список відкликаних сертифікатів) - перелік блокованих і скасованих сертифікатів ключів;

статус сертифіката ключа - один із можливих станів сертифіката ключа (чинний/блокований/скасований).

Інші терміни в цих Правилах застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис" ( 852-15 ).

1.3. У цих Правилах зазначено основні вимоги до структури та змісту Регламенту роботи Центрів.

1.4. Приклад оформлення Регламенту роботи Центру - Примірний регламент роботи Центру затверджується постановою Правління Національного банку України.

1.5. Центр зобов'язаний розробити свій Регламент роботи з урахуванням Примірного регламенту роботи Центрів. Разом з цим кожен Центр зобов'язаний ураховувати специфіку своєї діяльності, зазначаючи свою архітектуру програмно-технічного комплексу та умови діяльності в процесі надання послуг електронного цифрового підпису.

1.6. Центр повинен використовувати для власних ключів криптографічні алгоритми, визначені в нормативно-правових актах Національного банку. Центр має право визначати криптографічні алгоритми для інших ключів, що використовуються в Центрі, залежно від виду його діяльності. Центр зобов'язаний описати в Регламенті перелік цих криптографічних алгоритмів та форматів запитів і сертифікатів ключів, що їм відповідають, з посиланням на відповідні стандарти. Центр повинен надати відповідну методику в разі використання нестандартних криптографічних алгоритмів як додаток до Регламенту. Центр повинен надати в разі використання нестандартних форматів запитів і сертифікатів ключів, у тому числі в разі використання нестандартизованих (не описаних у стандартах) розширень, їх деталізований опис як додаток до Регламенту.

1.7. Усі дані, які наведені в Примірному регламенті роботи центрів сертифікації ключів, щодо часу оброблення заяв, строків чинності сертифікатів ключів, частоти оновлення даних тощо є орієнтовними. Центр має право визначати тривалість відповідних термінів, якщо інше не передбачено законодавством України у сфері використання електронного цифрового підпису.

2. Вимоги до структури Регламенту роботи Центру

2.1. Регламент роботи Центру повинен містити такі глави:

загальні положення;

організаційна структура Центру;

архітектура програмно-технічного комплексу Центру;

режими доступу до інформації в Центрі;

захист інформації в програмно-технічному комплексі Центру;

журнали аудиту в програмно-технічному комплексі Центру;

особисті ключі в Центрі;

сертифікати ключів у Центрі;

порядок подання документів під час проведення регламентних процедур;

порядок опрацювання документів, що подаються до Центру під час проведення регламентних процедур;

реєстрація підписувачів;

формування унікального розпізнавального імені підписувача;

генерування криптографічних ключів і запиту на формування сертифікатів ключів у Центрі;

формування сертифікатів ключів підписувачів;

формування сертифікатів ключів відповідальних осіб Центру;

формування сертифікатів ключів допоміжних послуг Центру;

зміна статусу сертифікатів ключів підписувачів;

зміна статусу сертифікатів ключів відповідальних осіб Центру;

зміна статусу сертифікатів ключів допоміжних послуг Центру;

блокування/розблокування відповідальних осіб Центру;

інформаційний ресурс Центру;

зовнішні інтерфейси, протоколи і формати обміну даними;

розповсюдження інформації про статус сертифікатів ключів;

послуги фіксування часу;

синхронізація часу в програмно-технічному комплексі Центру;

порядок архівного зберігання документованої інформації;

порядок унесення змін до Регламенту;

додатки (форми заяв на проведення регламентних процедур).

2.2. У главі "Загальні положення" зазначаються скорочення та визначення, що вживаються в Регламенті роботи Центру, ідентифікаційні дані Центру (повні найменування банку і Центру, ідентифікаційний код юридичної особи (банку) за ЄДРПОУ, місцезнаходження банку/Центру, номери телефонів Центру, електронна адреса електронного інформаційного ресурсу та поштової скриньки Центру), загальні відомості про сферу застосування Регламенту тощо.

2.3. У главі "Організаційна структура Центру" наводяться описи організаційної структури Центру, функцій служб, що створюються в Центрі, а також перелік суб'єктів, що беруть участь в обслуговуванні сертифікатів ключів. Центр може створювати додаткові служби, крім тих, що зазначені в Положенні про центри сертифікації ключів банків України.

2.4. У главі "Архітектура програмно-технічного комплексу Центру" наводиться загальний опис програмно-технічного комплексу Центру, який включає опис інфраструктури технічних засобів (комп'ютерна техніка, телекомунікаційна мережа тощо), архітектуру програмного забезпечення, призначення складових програмно-технічного комплексу. Рекомендується включити графічне представлення архітектури та загальну технологічну схему оброблення інформації в програмно-технічному комплексі Центру.

2.5. У главі "Режими доступу до інформації в Центрі" класифікується інформація, що циркулює в програмно-технічному комплексі Центру, за режимом доступу. У цій главі необхідно зазначити порядок доступу до кожного з типів інформації.

2.6. У главі "Захист інформації в програмно-технічному комплексі Центру" наводиться опис засобів і заходів, за допомогою яких здійснюється захист інформації в програмно-технічному комплексі Центру. У цій главі слід зазначити:

властивості засобів криптографічного захисту інформації;

властивості носіїв криптографічної інформації, що використовуються в програмно-технічному комплексі Центру;

інженерно-технічні та організаційні заходи, що впроваджуються в програмно-технічному комплексі Центру для забезпечення захисту інформації.

2.7. У главі "Журнали аудиту в програмно-технічному комплексі Центру" зазначаються перелік та опис журналів аудиту в програмно-технічному комплексі Центру, зокрема:

перелік журналів аудиту та служб, на які покладено ведення цих журналів;

поля в журналах аудиту;

типи подій, що фіксуються в журналах аудиту;

носії, на яких зберігаються журнали аудиту;

захист та резервне копіювання журналів аудиту;

порядок їх зберігання та перегляду;

строки їх зберігання.

2.8. У главі "Особисті ключі в Центрі" зазначається порядок генерування, зберігання, резервування, використання та знищення особистих ключів Центру і відповідальних осіб Центру. Наводяться характеристики криптографічних ключів, що генеруються та використовуються в Центрі (зазначаються криптографічні алгоритми, довжина ключів тощо), строк чинності ключів. Слід навести опис дій під час компрометації особистих ключів Центру і відповідальних осіб Центру чи пароля доступу до них.

2.9. У главі "Сертифікати ключів у Центрі" описуються формати сертифікатів ключів, порядок формування, використання, зберігання сертифікатів ключів, що використовуються в Центрі, строк їх чинності.

2.10. У главі "Порядок подання документів під час проведення регламентних процедур" зазначаються вимоги до форми і змісту документів, які подаються до Центру для проведення регламентних процедур, перелік осіб, уповноважених подавати відповідні документи, а також дії служби реєстрації Центру під час отримання документів.

2.11. У главі "Порядок опрацювання документів, що подаються до Центру під час проведення регламентних процедур" описується порядок дій служби реєстрації Центру під час опрацювання документів, поданих до Центру для проведення регламентних процедур.

2.12. У главі "Реєстрація підписувачів" слід надати опис процедури проведення реєстрації підписувачів і відповідальних осіб Центру. Потрібно навести перелік умов, які зазначені особи мають виконати для того, щоб Центр розпочав процедуру проведення реєстрації, перелік документів, які потрібно подати для проведення реєстрації, описати порядок дій Центру під час проведення реєстрації зазначених осіб.

2.13. У главі "Формування унікального розпізнавального імені підписувача" описується правило формування унікального розпізнавального імені юридичних та фізичних осіб, для яких у Центрі формуються сертифікати ключів. Для фізичної особи обов'язковими реквізитами розпізнавального імені є прізвище, ім'я та по батькові, а для юридичної особи - повне найменування юридичної особи відповідно до статуту (положення) та ідентифікаційний код за ЄДРПОУ.

2.14. У главі "Генерування криптографічних ключів і запиту на формування сертифікатів ключів у Центрі" мають зазначатися умови та порядок генерування і зберігання криптографічних ключів підписувачів і запитів на формування сертифікатів ключів, а також вимоги до форматів запитів.

2.15. У главі "Формування сертифікатів ключів підписувачів" слід навести умови та порядок формування сертифікатів ключів підписувачів. У цій главі потрібно зазначити:

перелік умов, за яких здійснюється формування сертифіката ключа підписувача;

перелік документів, які потрібно подати для проведення процедури формування сертифіката ключа;

порядок дій Центру під час формування сертифіката ключа підписувача в Центрі.

2.16. У главі "Формування сертифікатів ключів відповідальних осіб Центру" описуються умови та порядок формування сертифікатів ключів відповідальних осіб Центру.

2.17. У главі "Формування сертифікатів ключів допоміжних послуг Центру" зазначаються умови та порядок формування сертифікатів ключів допоміжних послуг Центру.

2.18. Глава "Зміна статусу сертифікатів ключів підписувачів" має містити:

загальні відомості про порядок зміни статусу сертифікатів ключів підписувачів Центру;

причини, унаслідок яких може змінюватися статус сертифікатів ключів підписувачів;

типи та зміст заяв, які потрібно подати для проведення регламентних процедур, пов'язаних зі зміною статусу сертифікатів ключів підписувачів;

порядок дій Центру під час проведення регламентних процедур, пов'язаних зі зміною статусу сертифіката ключа підписувача.

2.19. Глава "Зміна статусу сертифікатів ключів відповідальних осіб Центру" повинна містити:

загальні відомості про порядок зміни статусу сертифікатів ключів відповідальних осіб Центру;

причини, унаслідок яких може змінюватися статус сертифіката ключа відповідальної особи Центру;

типи та зміст заяв, які потрібно подати для проведення регламентних процедур, пов'язаних зі зміною статусу сертифіката ключа відповідальної особи Центру;

порядок дій Центру під час проведення регламентних процедур, пов'язаних зі зміною статусу сертифіката ключа відповідальної особи Центру.

2.20. У главі "Зміна статусу сертифікатів ключів допоміжних послуг Центру" мають зазначатися:

загальні відомості про порядок зміни статусу сертифікатів ключів допоміжних послуг Центру;

причини, унаслідок яких може змінюватися статус сертифіката ключа допоміжної послуги Центру;

порядок дій Центру під час проведення регламентних процедур, пов'язаних зі зміною статусу сертифіката ключа допоміжної послуги Центру.

2.21. У главі "Блокування/розблокування відповідальних осіб Центру" мають зазначатись умови та порядок блокування/розблокування облікових записів відповідальних осіб Центру.

2.22. У главі "Інформаційний ресурс Центру" повинні наводитися перелік і правила розміщення інформації на інформаційному ресурсі Центру та зазначатися реквізити доступу до нього.

2.23. У главі "Зовнішні інтерфейси, протоколи і формати обміну даними" мають зазначатися зовнішні інтерфейси, протоколи і формати обміну даними для взаємодії Центру з підписувачами, Засвідчувальним центром Національного банку України та користувачами послуг електронного цифрового підпису.

2.24. У главі "Розповсюдження інформації про статус сертифікатів ключів" повинні викладатися порядок і способи розповсюдження інформації про статус сертифікатів ключів підписувачів. Слід зазначити:

частоту формування списку відкликаних сертифікатів і строки його дії;

можливість та умови надання інформації про статус сертифіката ключа в режимі реального часу.

2.25. У главі "Послуги фіксування часу" мають зазначатися порядок та умови надання послуг фіксування часу.

2.26. У главі "Синхронізація часу в програмно-технічному комплексі Центру" повинен зазначатися порядок синхронізації часу в програмно-технічному комплексі Центру із всесвітнім координованим часом (протокол, алгоритм коригування часу тощо).

2.27. У главі "Порядок архівного зберігання документованої інформації" має наводитися порядок ведення архівного зберігання документованої інформації в Центрі (типи документів і даних, що підлягають архівуванню, строки зберігання архівів, механізми та порядок зберігання і захисту архівів).

2.28. У главі "Порядок унесення змін до Регламенту" повинні зазначатися порядок унесення змін до Регламенту роботи Центру, інформування про це підписувачів і відповідальних осіб Центру. Слід навести правові наслідки, що виникнуть у зв'язку з унесенням змін до Регламенту роботи Центру.

2.29. У додатках (форми заяв на виконання регламентних процедур) наводяться форми заяв на виконання таких регламентних процедур:

заява про реєстрацію підписувача;

заява про формування сертифіката ключа підписувача;

заява про внесення змін до реєстраційних даних підписувача, зареєстрованого в Центрі;

заява про зміну статусу сертифіката ключа підписувача;

заява про скасування реєстрації підписувача;

довіреність заявника.

За потреби створюються інші заяви, що використовуються в роботі Центру.

Директор Департаменту інформатизації А.С.Савченко