ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА
07.07.2015 N 441

Про внесення Змін
до Регламенту роботи Засвідчувального центру
Національного банку України

Відповідно до пункту 26 статті 7, статті 56 Закону України "Про Національний банк України", статей 5, 10 Закону України "Про електронний цифровий підпис", з метою вдосконалення правових засад діяльності Засвідчувального центру Національного банку України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Зміни до Регламенту роботи Засвідчувального центру Національного банку України, затвердженого постановою Правління Національного банку України від 8 вересня 2014 року N 553, що додаються.

2. Департаменту інформаційної безпеки (Лук'янов Д.О.) після набрання чинності цією постановою довести її зміст до відома банків України для використання в роботі.

3. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я.В.

Голова В.О. Гонтарева

Погоджено:

Державна служба спеціального зв'язку та захисту інформації України

Затверджено
Постанова Правління Національного
банку України
07.07.2015 N 441

Зміни
до Регламенту роботи Засвідчувального центру
Національного банку України

1. У розділі I:

1) у пункті 1 слова та цифри "Правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України, затверджених постановою Правління Національного банку України від 17 червня 2010 року N 284, зареєстрованих у Міністерстві юстиції України 04 листопада 2010 року за N 1035/18330 (зі змінами)" виключити;

2) після пункту 1 доповнити розділ новим пунктом 2 такого змісту:

"2. Суб'єктами правових відносин у сфері електронного цифрового підпису, що обумовлюються цим Регламентом, є центри сертифікації ключів, які здійснюють дії, пов'язані з проведенням процедур реєстрації/акредитації в Засвідчувальному центрі Національного банку України (далі - Засвідчувальний центр), чи зареєстровані/акредитовані в Засвідчувальному центрі (далі - Центри), Засвідчувальний центр та центральний засвідчувальний орган".

У зв'язку з цим пункти 2 - 12 уважати відповідно пунктами 3 - 13;

3) пункт 3 викласти в такій редакції:

"3. У цьому Регламенті терміни вживаються в такому значенні:

адміністратор безпеки Засвідчувального центру - відповідальна особа Засвідчувального центру, яка виконує функції служби захисту інформації;

адміністратор реєстрації Засвідчувального центру - відповідальна особа Засвідчувального центру, яка виконує функції служби реєстрації;

адміністратор сертифікації Засвідчувального центру - відповідальна особа Засвідчувального центру, яка виконує функції служби сертифікації;

база даних - база даних Засвідчувального центру, у якій зберігається реєстр Засвідчувального центру, інформаційно-довідкова, технологічна та інша службова інформація, потрібна для функціонування програмно-технічного комплексу Засвідчувального центру;

блокування посиленого сертифіката відкритого ключа (далі - сертифікат ключа) - процедура управління статусом сертифіката ключа, яка тимчасово зупиняє чинність сертифіката ключа;

ведення реєстру Засвідчувального центру - унесення (видалення, модифікація) інформації до реєстру Засвідчувального центру, її зберігання та резервування;

відповідальна особа Засвідчувального центру - працівник Національного банку України, функціональними обов'язками якого є виконання адміністративних/технічних/технологічних функцій Засвідчувального центру;

заявник Центру - уповноважений представник Центру в Засвідчувальному центрі, який на законних підставах звертається до Засвідчувального центру з метою організації та проведення реєстрації, акредитації, засвідчення чинності відкритого ключа Центру в Засвідчувальному центрі в установленому порядку, а також блокування, скасування, поновлення сертифікатів ключа Центру, зміни даних Центру, передавання документованої інформації в разі припинення діяльності Центру;

ключі Засвідчувального центру - власні криптографічні ключі Засвідчувального центру (особистий і відкритий) та криптографічні ключі (особистий і відкритий) послуги інтерактивного визначення статусу сертифіката ключа;

комплексна система захисту інформації Засвідчувального центру - сукупність інженерно-технічних, організаційних заходів та програмно-апаратних засобів, які забезпечують технічний та криптографічний захист інформації в програмно-технічному комплексі Засвідчувального центру;

поновлення сертифіката ключа - процедура управління статусом сертифіката ключа, що забезпечує поновлення чинності сертифіката ключа (якій передувала відповідна процедура блокування сертифіката ключа);

послуги електронного цифрового підпису для Центру від Засвідчувального центру - обслуговування сертифікатів ключів Центру (формування, розповсюдження, зберігання, скасування, блокування та поновлення), надання інформації щодо статусу сертифікатів ключів, консультації з питань, пов'язаних із використанням електронного цифрового підпису;

програмно-технічний комплекс Засвідчувального центру - сукупність технічного обладнання, програмного забезпечення та організаційних заходів, що використовується Національним банком України для забезпечення виконання функцій Засвідчувального центру;

регламентна процедура - реєстрація Центру або акредитація Центру, або формування сертифікатів ключа Центру, або зміна статусу сертифікатів ключа Центру, або зміна даних Центру, або процедура передавання документованої інформації в разі припинення діяльності Центру;

реєстр Засвідчувального центру - реєстр у Засвідчувальному центрі з унесеними до нього даними про Центри, Засвідчувальний центр, відповідальних осіб Засвідчувального центру (зокрема, сертифікатами ключів, інформацією про статус сертифікатів ключів);

системний адміністратор Засвідчувального центру - відповідальна особа Засвідчувального центру, що виконує функції служби системного адміністратора;

список відкликаних сертифікатів ключів Засвідчувального центру - перелік блокованих і скасованих сертифікатів ключів, що формується Засвідчувальним центром, захист якого забезпечується накладенням електронного цифрового підпису за допомогою власних особистих ключів Засвідчувального центру;

скасування сертифіката ключа - процедура управління статусом сертифіката ключа, яка зупиняє чинність сертифіката ключа;

строк чинності сертифіката ключа - проміжок часу між датою і часом початку та датою і часом закінчення чинності сертифіката ключа, що встановлюються під час формування сертифіката ключа;

строк чинності особистого ключа - строк, протягом якого використання особистого ключа є чинним.

Інші терміни в цьому Регламенті застосовуються в значеннях, наведених у Законі України "Про електронний цифровий підпис", інших нормативно-правових актах з питань застосування електронного цифрового підпису";

4) пункт 4 виключити.

У зв'язку з цим пункти 5 - 13 уважати відповідно пунктами 4 - 12;

5) після пункту 4 доповнити розділ двома новими пунктами 5, 6 такого змісту:

"5. Банки, їх працівники та клієнти мають право отримувати послуги електронного цифрового підпису від:

Центру, створеного в банку згідно з внутрішніми документами банку (далі - Центр банку);

Центру, що є окремою юридичною особою.

6. Банк / окрема юридична особа для проведення реєстрації/акредитації Центру в Засвідчувальному центрі укладає з Національним банком України договір про надання Засвідчувальним центром послуг Центру (далі - договір про надання послуг) у двох примірниках - по одному для кожної зі сторін. Зразок договору для Центру банку наведено в додатку 1 до цього Регламенту, зразок договору для Центру, що є окремою юридичною особою, наведено в додатку 2 до цього Регламенту".

У зв'язку з цим пункти 5 - 12 уважати відповідно пунктами 7 - 14.

2. Абзац четвертий пункту 6 розділу II виключити.

3. Абзац четвертий пункту 5 розділу IV викласти в такій редакції: "зразок договору про надання послуг".

4. Пункт 2 розділу V викласти в такій редакції:

"2. Усі складові частини програмно-технічного комплексу Засвідчувального центру перебувають у межах контрольованих зон об'єктів Національного банку України, на яких вони розташовані".

5. Пункт 6 розділу VI доповнити новим абзацом такого змісту: "прийманням від Центру документованої інформації".

6. У розділі IX:

1) у пункті 17 слово "ідентифікаційних" виключити;

2) пункт 18 замінити трьома новими пунктами такого змісту:

"18. Центр протягом трьох робочих днів зобов'язаний подати заяву про внесення змін до даних Центру в разі зміни даних Центру, які внесені до реєстру Засвідчувального центру. Центр разом із заявою про внесення змін до даних Центру подає заяву про формування сертифіката ключа Центру в Засвідчувальному центрі, якщо дані, які змінюються, унесені до сертифіката ключа Центру. Разом із заявою Центр зобов'язаний подати документи, що підтверджують ці зміни. Строк розгляду заяви про внесення змін до даних Центру та супровідних документів становить не більше семи робочих днів від дати їх прийняття. Адміністратор реєстрації Засвідчувального центру зобов'язаний здійснити порівняння даних Центру, наведених у заяві про внесення змін до даних Центру, з даними, що містяться в копіях документів, які підтверджують ці зміни.

Засвідчувальний центр має право скасувати реєстрацію/акредитацію Центру в разі неотримання від Центру зазначеної заяви та супровідних документів у визначений строк.

19. Адміністратор реєстрації Засвідчувального центру зобов'язаний здійснити порівняння даних Центру, наведених у заяві про формування сертифіката ключа Центру в Засвідчувальному центрі, з даними, що містяться в копіях документів, які підтверджують ці зміни, якщо формування нового сертифіката ключа відбувається у зв'язку зі зміною даних Центру, які внесені до реєстру Засвідчувального центру.

20. Центр звертається до служби реєстрації Засвідчувального центру із заявою про видачу дубліката свідоцтва про реєстрацію/акредитацію Центру в Засвідчувальному центрі в разі пошкодження або втрати свідоцтва про реєстрацію/акредитацію Центру. Служба реєстрації Засвідчувального центру протягом 10 робочих днів від дати подання відповідної заяви зобов'язана повторно видати свідоцтво про реєстрацію/акредитацію Центру з проставлянням слова "Дублікат" у правому верхньому куті відповідного свідоцтва. Відомості про видачу дубліката вносяться до реєстру Засвідчувального центру".

7. Доповнити розділ X новим пунктом такого змісту:

"5. Центр уважається зареєстрованим із дати внесення до реєстру Засвідчувального центру таких даних: реквізитів, зазначених у заяві про реєстрацію Центру в Засвідчувальному центрі, дати прийняття та номера рішення про реєстрацію Центру, серії та номера свідоцтва про реєстрацію Центру. Зазначені дані вносяться до реєстру Засвідчувального центру не пізніше ніж наступного робочого дня після прийняття рішення про реєстрацію Центру".

8. У розділі XI:

1) після пункту 6 доповнити розділ новим пунктом 7 такого змісту:

"7. Центр уважається акредитованим із дати внесення до реєстру Засвідчувального центру таких даних: реквізитів, зазначених у заяві про акредитацію Центру в Засвідчувальному центрі, дати прийняття та номера рішення про акредитацію Центру, серії та номера свідоцтва про акредитацію Центру, строку його дії. Зазначені дані вносяться до реєстру Засвідчувального центру не пізніше ніж наступного робочого дня після прийняття рішення про акредитацію Центру".

У зв'язку з цим пункт 7 уважати пунктом 8;

2) доповнити розділ новим пунктом 9 такого змісту:

"9. Центр, якому було відмовлено в акредитації у зв'язку з поданням недостовірної інформації або акредитацію якого було скасовано, не може бути акредитований протягом року від дати прийняття рішення про відмову в акредитації або про скасування акредитації Центру".

9. Розділ XII викласти в такій редакції:

"XII. Скасування реєстрації/акредитації та
припинення діяльності Центру

1. Засвідчувальний центр у разі виявлення порушень вимог, за які цим Регламентом, іншими нормативно-правовими актами Національного банку України та законодавством у сфері електронного цифрового підпису передбачено скасування реєстрації/акредитації Центру, зобов'язаний прийняти рішення про скасування реєстрації/акредитації Центру.

2. Центр припиняє діяльність за таких підстав: скасування реєстрації Центру, прийняття Центром рішення про припинення своєї діяльності, ліквідація юридичної особи, що створила Центр, наявність відповідного рішення суду, яке набрало законної сили.

3. Центр зобов'язаний повідомити підписувачів та Засвідчувальний центр про рішення щодо припинення своєї діяльності протягом п'яти робочих днів після прийняття такого рішення.

Ліквідатор зобов'язаний повідомити підписувачів та Засвідчувальний центр про початок процедури ліквідації юридичної особи, що створила Центр, протягом п'яти робочих днів після свого призначення.

Центр зобов'язаний повідомити підписувачів та Засвідчувальний центр про наявність рішення суду про припинення діяльності Центру, не пізніше ніж наступного робочого дня після набрання законної сили цим рішенням суду.

Центр/ліквідатор зобов'язаний повідомити підписувачів про підстави припинення своєї діяльності шляхом оприлюднення відповідної інформації на інформаційному ресурсі Центру. Центр/ліквідатор зобов'язаний надіслати повідомлення Засвідчувальному центру про підстави припинення своєї діяльності в письмовому вигляді та/або засобами електронної пошти на адресу, зазначену на інформаційному ресурсі Засвідчувального центру.

4. Засвідчувальний центр зобов'язаний оприлюднити інформацію про припинення діяльності Центру після прийняття рішення про скасування реєстрації Центру, одержання від Центру повідомлення про рішення щодо припинення своєї діяльності або одержання від ліквідатора повідомлення про початок процедури ліквідації юридичної особи, що створила Центр, або одержання відповідного повідомлення про рішення суду, що набрало законної сили. Оприлюднення здійснюється шляхом розміщення відповідної інформації на інформаційному ресурсі Засвідчувального центру протягом трьох робочих днів після прийняття рішення про скасування реєстрації Центру чи одержання відповідного повідомлення.

Засвідчувальний центр зобов'язаний оприлюднити інформацію про рішення щодо скасування акредитації Центру протягом трьох робочих днів після прийняття такого рішення шляхом:

розміщення інформації про це рішення на інформаційному ресурсі Засвідчувального центру;

направлення Центру повідомлення про це рішення із зазначенням підстав скасування.

5. Зареєстрований Центр не має права формувати нові сертифікати відкритих ключів після оприлюднення на інформаційному ресурсі Засвідчувального центру інформації про наявність підстав для припинення його діяльності.

Акредитований Центр не має права формувати нові сертифікати ключів після оприлюднення на інформаційному ресурсі Засвідчувального центру інформації про рішення щодо скасування його акредитації чи наявності підстав для припинення його діяльності.

6. Датою скасування акредитації Центру є дата, що наступає через три місяці після оприлюднення на інформаційному ресурсі Засвідчувального центру інформації про наявність підстав для скасування акредитації. Підставою для скасування акредитації Центру є рішення Засвідчувального центру щодо скасування акредитації Центру.

7. Датою припинення діяльності Центру є дата, що наступає через три місяці після оприлюднення на інформаційному ресурсі Засвідчувального центру інформації про підстави для припинення діяльності Центру.

У разі припинення діяльності Центру на підставі рішення суду датою припинення діяльності Центру є дата набрання законної сили цим рішенням, якщо інша дата не визначена в самому рішенні суду.

8. Адміністратор сертифікації Засвідчувального центру в день, визначений як дата скасування реєстрації Центру, зобов'язаний змінити статус зареєстрованого Центру на "анульований". Засвідчувальний центр після скасування реєстрації Центру вносить його до списку Центрів, що припинили діяльність.

Адміністратор сертифікації Засвідчувального центру в день, визначений як дата скасування акредитації Центру, зобов'язаний змінити статус акредитованого Центру на "зареєстрований".

Засвідчувальний центр у день, визначений як дата припинення діяльності Центру, вносить його до списку Центрів, що припинили діяльність.

9. Засвідчувальний центр у день, визначений як дата скасування реєстрації/акредитації чи припинення діяльності Центру, зобов'язаний скасувати сертифікати ключів Центру, анулювати свідоцтво про реєстрацію/акредитацію Центру, внести відповідні зміни до реєстру Засвідчувального центру та поширити інформацію про зміну статусу сертифікатів ключів Центру і зміну статусу Центру в порядку, установленому цим Регламентом.

10. Центр після скасування його акредитації має право подати до Засвідчувального центру відкритий ключ Центру для засвідчення його чинності в установленому порядку. Центру після засвідчення чинності його відкритого ключа у Засвідчувальному центрі функціонує як зареєстрований Центр.

Засвідчувальний центр у разі неподання Центром свого відкритого ключа для засвідчення його чинності протягом трьох місяців із дати скасування акредитації Центру вносить Центр до списку Центрів, що припинили діяльність.

11. Центр/ліквідатор у разі припинення діяльності зобов'язаний передати документовану інформацію на зберігання Засвідчувальному центру відповідно до вимог нормативно-правових актів Національного банку України та законодавства у сфері електронного цифрового підпису".

10. У пункті 5 розділу XVIII:

в абзаці другому слова "ідентифікаційні дані" замінити словами "повна назва";

в абзаці третьому слово "ідентифікаційні" виключити;

в абзаці восьмому слова "відповідність ідентифікаційних даних Центру, заявника Центру" замінити словами "відповідність назви Центру, даних заявника Центру, що посвідчують його особу".

11. В абзаці другому пункту 5 розділу XXI слово "ідентифікаційні" виключити.

12. Пункт 2 розділу XXIV викласти в такій редакції:

"2. Засвідчувальний центр надає послугу з постачання передачі сигналів точного часу Центрам. Центри повинні синхронізувати час із серверами надання точного часу Національного банку України".

13. У тексті Регламенту роботи Засвідчувального центру Національного банку України:

слова "реєстраційні дані Центру" та слова "реєстраційні дані зареєстрованого/акредитованого Центру" у всіх відмінках замінити словами "дані Центру" у відповідних відмінках.

14. У додатках до Регламенту роботи Засвідчувального центру Національного банку України:

слова "реєстраційні дані" та слова "ідентифікаційні дані" у всіх відмінках замінити словом "дані" у відповідних відмінках;

слова "Начальникові Управління Національного банку України в/у __________________________ області (Центральної розрахункової палати Національного банку України)" замінити словами "Керівникові Засвідчувального центру Національного банку України".

15. Доповнити Регламент роботи Засвідчувального центру Національного банку України новими додатками 1, 2, що додаються.

У зв'язку з цим додатки 1 - 9 уважати відповідно додатками 3 - 11.

У тексті Регламенту посилання на додатки 1 - 9 замінити відповідно посиланнями на додатки 3 - 11.

Директор Департаменту інформаційної безпеки Д.О. Лук'янов

Погоджено:

Заступник Голови Національного банку України Я.В. Смолій

Додаток 1
до Регламенту роботи Засвідчувального
центру Національного банку України
(пункт 6 розділу I)

Договір
(зразок)

Договір (зразок) (Додаток 1) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Директор Департаменту інформаційної безпеки Д.О. Лук'янов

Погоджено:

Заступник Голови Національного банку України Я.В. Смолій

Додаток 2
до Регламенту роботи Засвідчувального
центру Національного банку України
(пункт 6 розділу I)

Договір
(зразок)

Договір (зразок) (Додаток 2) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Директор Департаменту інформаційної безпеки Д.О. Лук'янов

Погоджено:

Заступник Голови Національного банку України Я.В. Смолій