OSISA13/2006
ID intern unic:  316516
Версия на русском
Fişa actului juridic

Republica Moldova
SERVICIUL DE INFORMAŢII ŞI SECURITATE
ORDIN Nr. 13
din  03.04.2006
cu privire la aprobarea unor acte normative în domeniul organizării
 funcţionării centrelor de certificare a cheilor publice
Publicat : 07.07.2006 în Monitorul Oficial Nr. 102-105     art Nr : 367     Data intrarii in vigoare : 07.07.2006
    Abrogat prin OSIS70 din 15.07.16, MO215-216/19.07.16 art.1202; în vigoare 19.07.16


    Întru executarea Hotărîrii Guvernului nr. 945 din 5 septembrie 2005 cu privire la centrele de certificare a cheilor publice (Monitorul Oficial al Republicii Moldova, 2005, nr. 123-125, art. 1020), în temeiul art. 36 alin. (2) al Legii nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală (Monitorul Oficial al Republicii Moldova, 2004, nr. 132-137, art. 710),
ORDON:
    1. Se aprobă:
    Regulamentul privind procedura de înregistrare a centrelor de certificare  a cheilor publice (anexa nr. 1);
    Condiţiile speciale de activitate a centrelor de certificare a cheilor publice (anexa nr. 2);
    Regulamentul Centrului de certificare a cheilor publice de nivel superior (anexa nr. 3).
    2. Controlul executării prezentului Ordin se atribuie dlui Valentin Dediu, director-adjunct al Serviciului de Informaţii şi Securitate al Republicii Moldova.
    3. Prezentul Ordin intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.

    DIRECTORUL
    SERVICIULUI DE INFORMAȚII
    ȘI SECURITATE                                           
Ion URSU                                                 

    Chişinău 3 aprilie 2006.
    Nr. 13.

    Aprobat:                                                Înregistrat:
    Serviciul de Informaţii şi Securitate          Ministerul Justiţiei
    al Republicii Moldova                             al Republicii Moldova
    Ordinul nr. 13 din 3 aprilie 2006             nr. de înregistrare 425 din 21 iunie 2006
    ______________ Ion URSU                 ______________ Victoria IFTODI


Anexa nr. 1
la Ordinul directorului Serviciului
de Informaţii şi Securitate
al Republicii Moldova
nr. 13 din 3 aprilie 2006
REGULAMENTUL
privind procedura de înregistrarea centrelor
de certificare a cheilor publice
I. Dispoziţii generale
    1. Prezentul Regulament este elaborat în conformitate cu Legea nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală, Hotărîrea Guvernului nr. 945 din 5 septembrie 2005 "Cu privire la centrele de certificare a cheilor publice" şi stabileşte procedura de înregistrare a centrelor de certificare a cheilor publice (în continuare - centre de certificare) la organul abilitat prin lege cu elaborarea şi promovarea politicii de stat şi cu exercitarea controlului în domeniul aplicării semnăturii digitale - Serviciul de Informaţii şi Securitate al Republicii Moldova (în continuare - organ competent).
    2. Pentru prestarea serviciilor de certificare a cheilor publice şi altor servicii ce ţin de semnătura digitală, centrele de certificare urmează să treacă procedura de înregistrare la organul competent şi să certifice cheia publică a persoanei împuternicite a centrului în centrul de certificare ierarhic superior.
    3. Evidenţa centrelor de certificare se efectuează în cadrul Registrului de stat al unităţilor de drept şi Registrului centrelor de certificare a cheilor publice.
II. Depunerea cererii de înregistrare a centrului de certificare
    4. Pentru înregistrarea centrului de certificare se prezintă următoarele documente:
    a) cererea de înregistrare conform modelului prevăzut în anexa nr. 1 la prezentul Regulament, în care se indică:
    denumirea deplină a persoanei juridice, sediul şi forma juridică de organizare;
    funcţia, numele şi prenumele conducătorului persoanei juridice, numărul buletinului de identitate, numărul de identificare al persoanei fizice (IDNP);
    altă informaţie de contact (numărul de telefon, fax, adresa poştală, e-mail);
    b) copia documentelor de constituire şi a certificatului de înregistrare de stat a persoanei juridice;
    c) garanţia bancară sau poliţa de asigurare prevăzute la punctul 5 al prezentului Regulament (doar pentru centrele de certificare care prestează servicii de certificare a cheilor publice terţelor persoane);
    d) regulamentul de funcţionare a centrului de certificare, aprobat de conducătorul persoanei juridice;
    e) copia ordinului emis de conducătorul persoanei juridice cu privire la numirea angajaţilor centrului de certificare răspunzători de activitatea centrului de certificare şi a persoanelor împuternicite să semneze certificatele cheilor publice, precum şi copia actelor de identitate ale acestor persoane;
    f) copia documentelor care certifică studiile şi calificările persoanelor cu funcţii de răspundere, obligaţiile funcţionale ale cărora ţin nemijlocit de prestarea serviciilor de certificare a cheilor publice;
    g) planul schematic al încăperilor centrului de certificare şi ordinea de acces în încăperile cu regim special;
    h) modul de păstrare a copiilor de rezervă ale registrului certificatelor cheilor publice;
    i) ordinea de sincronizare cu Timpul Mondial Coordonat (UTC);
    j) copia licenţei ce atestă dreptul de a desfăşura activităţi în domeniul protecţiei criptografice a informaţiei (numai pentru centrele de certificare ce prestează servicii de certificare a cheilor publice terţelor persoane).
    5. Centrul de certificare care prestează servicii de certificare a cheilor publice terţelor persoane trebuie să dispună de resurse financiare necesare pentru repararea prejudiciului care ar putea fi cauzat titularilor certificatelor cheilor publice, utilizatorilor sau terţelor persoane în urma neîndeplinirii sau îndeplinirii neconforme de către centrul de certificare a obligaţiunilor sale.
    În acest scop, centrul de certificare trebuie să prezinte în beneficiul organului competent o garanţie bancară sau o poliţă de asigurare, egală cu echivalentul în lei moldoveneşti a sumei de 20.000 euro.
    6. Cererea de înregistrare şi documentele anexate la ea, redactate în limba moldovenească, se depun la sediul organului competent de către conducătorul persoanei juridice sau de către o altă persoană împuternicită. Documentele se depun în original sau în copii cu prezentarea originalelor spre verificare. Acestea pot fi însoţite şi de copii pe suport electronic.
    7. Cererea de înregistrare şi documentele anexate la ea se primesc conform borderoului a cărui copie se expediază (înmînează) solicitantului, cu menţiunea privind data primirii documentelor, autentificată prin semnătura persoanei responsabile.
III. Examinarea cererii de înregistrare a centrului de certificare
    8. Pe baza documentelor specificate la punctul 4 al prezentului Regulament, organul competent, în termen de pînă la 15 zile, efectuează un control privind respectarea de către centrul de certificare a cerinţelor în domeniul semnăturii digitale.
    9. În cadrul examinării cererii de înregistrare, organul competent este abilitat să verifice autenticitatea documentelor anexate la cererea de înregistrare.
    10. Interesele persoanei juridice care a depus cerere de înregistrare sînt reprezentate de către conducătorul persoanei juridice sau de către alte persoane împuternicite în modul stabilit.
    11. Pe baza rezultatelor examinării cererii de înregistrare, organul competent întocmeşte un aviz.
IV. Luarea deciziei de înregistrare a centrului de certificare
    12. În urma controlului privind respectarea cerinţelor în domeniul semnăturii digitale şi pe baza avizului întocmit, conducătorul organului competent adoptă decizia privind înregistrarea sau refuzul de a înregistra centrul de certificare.
    13. În cazul adoptării deciziei privind înregistrarea, centrului de certificare i se eliberează, în termen de 5 zile lucrătoare, certificatul de înregistrare conform modelului prevăzut în anexa nr. 2 la prezentul Regulament.
    14. Copia certificatului de înregistrare a centrului de certificare se transmite Ministerului Dezvoltării Informaţionale pentru înscrierea centrului de certificare în Registrul de stat al unităţilor de drept.
    15. Decizia privind refuzul înregistrării trebuie să conţină motive întemeiate de refuz şi referinţe obligatorii la actele legislative şi normative care au fost încălcate. Decizia se comunică solicitantului înregistrării în termen de 5 zile lucrătoare.
    16. Refuzul înregistrării nu poate împiedica depunerea repetată a documentelor în vederea înregistrării, dacă au fost înlăturate cauzele care au servit drept temei pentru refuzul înregistrării.
    17. Decizia privind refuzul înregistrării poate fi atacată în instanţa de contencios administrativ competentă.
    18. Centrul de certificare se consideră înregistrat din ziua emiterii certificatului de înregistrare.
    19. În caz de modificare a documentelor specificate la punctul 4 al prezentului Regulament, centrul de certificare, în termen de 10 zile lucrătoare, prezintă documentele respective organului competent.
V. Examinarea cererii de eliberare a duplicatului
certificatului de
înregistrare
    20. În caz de pierdere a certificatului de înregistrare, centrului de certificare i se eliberează un duplicat al certificatului în termen de 5 zile lucrătoare de la data depunerii cererii corespunzătoare.
    21. Organul competent eliberează duplicatul certificatului de înregistrare după prezentarea următoarelor documente:
    a) cererea de eliberare a duplicatului certificatului de înregistrare, semnată de către conducătorul persoanei juridice;
    b) copia anunţului privind pierderea originalului certificatului de înregistrare, publicat în Monitorul Oficial al Republicii Moldova.
    22. Cererea de eliberare a duplicatului certificatului de înregistrare se examinează în termen de 3 zile lucrătoare.
    23. În urma examinării cererii de eliberare a duplicatului certificatului de înregistrare se întocmeşte un aviz, pe baza căruia conducătorul organului competent adoptă decizia privind eliberarea sau refuzul de eliberare a duplicatului.
    24. Decizia motivată privind refuzul de eliberare a duplicatului certificatului se comunică solicitantului în scris.
    25. La întocmirea duplicatului certificatului de înregistrare se face menţiunea "duplicat".
    26. Copia duplicatului eliberat, precum şi materialele care au servit drept temei pentru eliberarea acestuia se anexează la dosarul de înregistrare.
VI. Păstrarea documentelor referitoare la înregistrarea
 centrelor de certificare
    27. Materialele referitoare la înregistrarea centrelor de certificare se păstrează în dosare separate, care vor conţine documentele specificate la punctul 4 din prezentul Regulament, însoţite de copia certificatului de înregistrare.
    28. În dosarele de înregistrare se anexează, de asemenea, toată corespondenţa ulterioară cu centrul de certificare în cauză, precum şi documente referitoare la controalele efectuate.
    29. Dosarele de înregistrare se păstrează în arhiva organului competent pe o durată prevăzută de legislaţia în vigoare.
    30. Organul competent eliberează, la solicitarea persoanelor abilitate şi în limitele prevăzute de legislaţie, informaţii şi copii de pe documentele din dosarul de înregistrare.
VII. Registrul centrelor de certificare a cheilor publice
    31. Pe baza deciziei privind înregistrarea centrului de certificare, acestuia i se atribuie un număr de înregistrare şi este înscris în Registrul centrelor de certificare a cheilor publice.
    32. Numărul de înregistrare este compus din 7 cifre, aabbccc, astfel:
    aa - nivelul de ierarhie al centrului de certificare;
    bb - anul înregistrării;
    ccc - numărul de ordine.
    33. Deţinător al Registrului centrelor de certificare a cheilor publice este organul competent, iar registrator al acestuia - Centrul de certificare a cheilor publice de nivel superior.
    34. În Registrul centrelor de certificare a cheilor publice se efectuează stocarea şi actualizarea următoarelor date:
    a) denumirea completă a persoanei juridice, numărul de identificare al unităţii de drept (IDNO), codul fiscal;
    b) numele, prenumele şi telefonul conducătorului persoanei juridice;
    c) denumirea, numărul şi data de înregistrare a centrului de certificare;
    d) sediul, telefonul, faxul centrului de certificare;
    e) numele, prenumele, telefonul, adresa poştală electronică a conducătorului şi persoanelor împuternicite ale centrului de certificare;
    f) informaţii despre modificările şi completările operate în documentele specificate la punctul 4 al prezentului Regulament;
    g) data şi cauza încetării activităţii centrului de certificare;
    h) alte date tehnice.
    35. Registrul centrelor de certificare a cheilor publice se ţine în conformitate cu cerinţele prevăzute de Legea cu privire la registre.
    36. Centrele de certificare sînt obligate să informeze organul competent, în termen de 10 zile, despre modificările sau completările datelor ce se conţin în Registrul centrelor de certificare a cheilor publice.
    37. Informaţia despre centrele de certificare înregistrate, precum şi despre cele a căror activitate a încetat se publică de către organul competent pe pagina sa oficială în reţeaua Internet.

Anexa nr. 1
la Regulamentul privind procedura
de înregistrare a centrelor
de certificare a cheilor publice
    Model
    Serviciului de Informaţii şi
    Securitate al Republicii Moldova
CERERE
de înregistrare a centrului de certificare a cheilor publice
    Prin prezenta, în conformitate cu pct. 7 al Regulamentului cu privire la modul de creare şi organizare a activităţii centrelor de certificare a cheilor publice, aprobat prin Hotărîrea Guvernului nr. 945 din 5 septembrie 2005,
    _________________________________________________________________________
    _________________________________________________________________________,
        (denumirea completă a persoanei juridice, IDNO)
    în persoana _______________________________________________________________
    _________________________________________________________________________
        (funcţia, numele, prenumele conducătorului persoanei juridice,
    _________________________________________________________________________,
        numărul buletinului de identitate, IDNP)
    solicită înregistrarea centrului de certificare a cheilor publice cu următoarele date:
    Denumirea centrului de certificare: ________________________________________
    Nivelul în structura ierarhică a centrelor de certificare: __________________________
    Sediul: _____________________________________________________________
    Informaţiile de contact ale persoanei juridice:
    telefon __________________________________________
    fax _____________________________________________
    adresa poştală ____________________________________
    e-mail __________________________________________
    "____"__________ 200_          _____________________
                                                                     (semnătura)

Anexa nr. 2
la Regulamentul privind procedura
de înregistrare a centrelor
de certificare a cheilor publice
Modelul certificatului de înregistrare
a centrului de certificare a cheilor publice
    OSIS13A2.doc
 
    Aprobat:                                           Înregistrat:
    Serviciul de Informaţii şi                    Ministerul Justiţiei
    Securitate al Republicii Moldova       al Republicii Moldova
    Ordinul nr. 13 din 3 aprilie 2006        nr. de înregistrare 452
    din  21 iunie 2006
    ______________ Ion URSU           ______________ Victoria IFTODI
Anexa nr. 2
la Ordinul directorului Serviciului
de Informaţii şi Securitate
al Republicii Moldova
nr. 13 din 3 aprilie 2006
Condiţiile speciale de activitate
a centrelor de certificare a cheilor publice
I. Noţiuni generale
    1. Condiţiile speciale de activitate a centrelor de certificare a cheilor publice (în continuare - condiţii speciale) sînt elaborate în conformitate cu Legea nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală şi Hotărîrea Guvernului nr. 945 din 5 septembrie 2005 "Cu privire la centrele de certificare a cheilor publice".
    2. Condiţiile speciale stabilesc cerinţele generale faţă de centrele de certificare şi infrastructura acestora, organizarea procedurilor de bază ale centrelor de certificare, faţă de sistemul de gestionare a securităţii informaţionale, precum şi măsuri specifice în procedura de înregistrare, organizare şi control al activităţii centrelor de certificare.
    3. Condiţiile speciale reprezintă un document de reglementare în domeniul semnăturii digitale şi este obligatoriu pentru toate persoanele juridice care prestează servicii de certificare a cheilor publice şi alte servicii ce ţin de semnătura digitală.
    4. În sensul prezentului document se definesc următoarele noţiuni:
    utilizatorul semnăturii digitale - persoana fizică sau juridică, precum şi dispozitivul sau aplicaţia care utilizează serviciile centrului de certificare;
    identificarea - atribuirea unui identificator subiecţilor şi obiectelor de acces şi/sau compararea identificatorului prezentat cu lista identificatoarelor atribuite;
    autentificarea - verificarea apartenenţei identificatorului atribuit subiectului de acces, confirmarea autenticităţii;
    integritatea - certitudinea, necontradictorialitatea şi actualitatea informaţiei, protecţia ei de distrugere şi modificare neautorizată;
    accesibilitatea - posibilitatea de a obţine informaţia solicitată sau a accesa serviciul de informare într-o perioadă satisfăcătoare de timp;
    confidenţialitatea - protejarea informaţiei contra divulgării neautorizate;
    mijloacele de protecţie criptografică a informaţiei (MPCI) - mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;
    lista certificatelor revocate - lista certificatelor cheilor publice a căror valabilitate a fost suspendată sau a încetat înainte de expirarea termenului de valabilitate, întocmită de centrul de certificare;
    protecţia tehnică şi criptografică a informaţiei - protecţia informaţiei cu aplicarea metodelor matematice (criptografice) speciale, a mijloacelor de program, tehnice, tehnico-aplicative sau de alt gen, precum şi a procedurilor tehnico-organizatorice;
    protecţia informaţiei de scurgeri - ansamblu de măsuri îndreptate spre prevenirea răspîndirii neautorizate a informaţiei protejate prin canalele tehnice sau prin canalele secundare cu ajutorul mijloacelor tehnice speciale;
    protecţia informaţiei contra accesului neautorizat - ansamblu de măsuri orientate spre prevenirea obţinerii informaţiei protejate de către subiectul interesat, cu încălcarea drepturilor sau regulilor de acces la informaţia protejată stabilite de actele juridice sau de proprietarul (deţinătorul) informaţiei;
    protecţia informaţiei contra acţiunilor neintenţionate - ansamblu de măsuri orientate spre prevenirea acţiunilor neintenţionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaţiei, dar care duc la distorsiunea, distrugerea, copierea, blocarea accesului la informaţie, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informaţiei;
    politica de securitate - totalitatea deciziilor documentate de administrare, îndreptate spre protejarea informaţiei, a mijloacelor tehnice şi de program ale sistemelor informaţionale.
II. Serviciile şi procedurile centrului de certificare
    5. Centrul de certificare prestează servicii obligatorii şi neobligatorii în domeniul semnăturii digitale.
    6. Serviciul de certificare a cheilor publice ale persoanelor fizice este un serviciu obligatoriu.
    7. Centrul de certificare poate presta următoarele servicii neobligatorii:
    a) certificarea cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al treilea (numai pentru centrele de certificare de nivelul al doilea);
    b) certificarea cheilor publice ale serviciilor prestate în sfera informaţională şservicii informaţionale e-mail, VPN (Virtual Private Network), web etc.î;
    c) fixarea timpului de iniţiere a evenimentelor, inclusiv fixarea timpului de semnare a documentului electronic;
    d) alte servicii în domeniul semnăturii digitale.
    8. În procesul prestării serviciilor de certificare a cheilor publice ale persoanelor fizice, centrul de certificare trebuie să asigure realizarea următoarelor proceduri:
    a) înregistrarea persoanei fizice;
    b) crearea (emiterea) certificatului cheii publice a persoanei fizice;
    c) suspendarea valabilităţii certificatului cheii publice a persoanei fizice;
    d) restabilirea valabilităţii certificatului cheii publice a persoanei fizice;
    e) revocarea certificatului cheii publice a persoanei fizice;
    f) publicarea certificatelor cheilor publice;
    g) distribuirea informaţiei privind certificatele suspendate şi revocate (listelor certificatelor revocate).
    9. Centrul de certificare asigură procesul de administrare (gestionare) a certificatelor cheilor publice prin realizarea complexă a procedurilor specificate.
III. Cerinţele generale referitoare la centrul de certificare
    10. Obiectele utilizate de către centrul de certificare trebuie să aparţină acestuia cu titlu de proprietate, arendă, administrare sau folosinţă.
    11. Centrul de certificare trebuie să utilizeze mijloace de semnătură digitală care posedă certificat de conformitate, eliberat conform prevederilor legislaţiei în vigoare.
    12. Organizarea regimului intern de activitate al centrului de certificare trebuie să excludă posibilitatea accesului fizic neautorizat la mijloacele semnăturii digitale, utilizarea sau modificarea neautorizată a acestora.
    13. Centrul de certificare trebuie să creeze condiţiile necesare pentru asigurarea securităţii cheilor publice şi private ale persoanelor împuternicite ale centrului de certificare şi a registrului certificatelor cheilor publice.
    14. Centrul de certificare trebuie să asigure utilizarea cheii private a persoanei împuternicite a centrului de certificare numai pentru semnarea certificatelor cheilor publice şi a listelor certificatelor revocate emise de către centrul de certificare.
    15. Centrul de certificare trebuie să excludă posibilitatea de utilizare a cheii private a persoanei împuternicite a centrului de certificare dacă are motive să presupună că a fost încălcată confidenţialitatea respectivei chei private.
    16. Centrul de certificare trebuie să elaboreze şi să aprobe politica de certificare, care să includă un set de reguli ce stabilesc utilizarea certificatului emis de centrul de certificare conform cerinţelor de securitate stabilite.
    17. Centrul de certificare trebuie să elaboreze şi aprobe Regulamentul centrului de certificare, care să stabilească condiţiile organizatorice, tehnice şi de alt nivel ale activităţii centrului de certificare în procesul de prestare a serviciilor de certificare a cheilor publice.
    18. Regulamentul centrului de certificare trebuie să conţină:
    a) lista serviciilor prestate de centrul de certificare şi modalitatea de prestare a acestora;
    b) funcţiile, obligaţiile şi drepturile centrului de certificare;
    c) drepturile şi obligaţiile utilizatorilor semnăturii digitale;
    d) obligaţiile financiare ale centrului de certificare;
    e) responsabilităţile părţilor;
    f) activităţile tehnico-organizatorice de bază de asigurare a securităţii centrului de certificare, inclusiv politica de confidenţialitate;
    g) procedurile centrului de certificare;
    h) ordinea de publicare şi distribuire a informaţiei;
    i) modalitatea de accesare a resurselor informaţionale ale centrului de certificare;
    j) modul de arhivare a informaţiei documentate;
    k) procedurile de gestionare a cheilor persoanelor împuternicite ale centrului de certificare;
    l) algoritmul acţiunilor în cazul compromiterii cheii private a persoanei împuternicite a centrului de certificare şi a utilizatorului semnăturii digitale;
    m) descrierea formatelor de date aprobate de către centrul de certificare;
    n) structura certificatului cheii publice a persoanei împuternicite a centrului de certificare;
    o) structura certificatelor cheilor publice ale utilizatorilor semnăturii digitale;
    p) structura listei certificatelor revocate;
    q) ordinea de sincronizare a timpului;
    r) modalitatea de soluţionare a situaţiilor litigioase în domeniul aplicării semnăturii digitale;
    s) ordinea de înştiinţare a utilizatorilor semnăturii digitale privind politica de certificare şi despre conţinutul Regulamentului centrului de certificare.
    19. Politica de certificare şi Regulamentul centrului de certificare trebuie să corespundă recomandărilor IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework).
    20. Centrul de certificare trebuie să excludă posibilitatea divulgării informaţiei de înregistrare a utilizatorilor semnăturii digitale cu excepţia informaţiei ce se utilizează pentru identificarea certificatelor cheilor publice ale acestora şi care este publicată prin includerea acesteia în certificatele utilizatorilor semnăturii digitale.
    21. Regimul de confidenţialitate în cazul operării cu informaţia încredinţată sau care a devenit cunoscută centrului de certificare în activitatea sa trebuie să asigure:
    a) limitarea numărului persoanelor cu funcţii de răspundere cu drept de acces la informaţia confidenţială;
    b) ordinea de admitere controlată a persoanelor cu funcţii de răspundere la realizarea activităţilor legate de informaţia confidenţială;
    c) delimitarea funcţională a responsabilităţilor persoanelor cu funcţii de răspundere;
    d) identificarea şi autentificarea utilizatorilor semnăturii digitale cu utilizarea mijloacelor moderne de autentificare şi a protocoalelor criptografice;
    e) delimitarea accesului subiecţilor la diferite obiecte şi/sau la funcţiile speciale ale centrului de certificare pe baza identificării subiecţilor şi a delimitării funcţionale a acestora;
    f) securitatea păstrării, prelucrării şi transmisiei informaţiei confidenţiale prin intermediul canalelor de comunicaţii.
    22. Centrul de certificare trebuie sa asigure administrarea accesului subiecţilor la diferite obiecte şi/sau la funcţiile speciale ale centrului de certificare pe baza identificării subiecţilor şi a delimitării funcţionale a acestora.
    23. Centrul de certificare trebuie să asigure copierea de rezervă, păstrarea şi restabilirea informaţiei critice pentru activitatea sa, precum şi instalarea în caz de necesitate a resurselor tehnice suplimentare sau de rezervă.
    24. Centrul de certificare trebuie să dispună de personal calificat suficient pentru funcţionarea şi asigurarea securităţii centrului de certificare.
    25. Centrul de certificare trebuie să-şi realizeze funcţiile pe baza principiului delimitării privilegiilor (responsabilităţilor) persoanelor cu funcţii de răspundere: administratorul înregistrări, administratorul certificare, administratorul securitate şi administratorul sistem.
    26. Administratorul înregistrări este responsabil de corectitudinea (autenticitatea) informaţiei de completare a certificatului cheii publice şi înregistrarea titularilor certificatelor cheilor publice în procesul creării, suspendării sau restabilirii valabilităţii şi revocării certificatelor cheilor publice.
    27. Administratorul certificare (persoana împuternicită a centrului de certificare) este responsabil pentru crearea, suspendarea sau restabilirea valabilităţii şi revocarea certificatelor cheilor publice, ţinerea registrului certificatelor cheilor publice, păstrarea şi utilizarea în siguranţă a cheii sale private.
    28. Administratorul securitate este responsabil de funcţionarea corespunzătoare a sistemului complex de protecţie a informaţiei, precum şi de elaborarea şi implementarea politicii de securitate a centrului de certificare.
    29. Administratorul sistem este responsabil de administrarea, funcţionarea corespunzătoare şi asigurarea securităţii complexului tehnic de program al centrului de certificare.
    30. În caz de necesitate în centrul de certificare pot fi înfiinţate funcţii suplimentare, în special de operatori.
    31. Operatorii realizează activităţi de deservire zilnică a complexului tehnic de program al centrului de certificare (copierea şi restabilirea sistemului, gestionarea arhivelor, introducerea informaţiei etc.).
    32. Centrul de certificare trebuie să excludă cumularea funcţiilor de administrator înregistrări, administrator certificare, administrator securitate, administrator sistem şi operator.
    33. Centrul de certificare trebuie să sincronizeze activitatea serviciilor sale, inclusiv a mijloacelor tehnice şi de program conform destinaţiei, cu Timpul Universal Coordonat (UTC). Se recomandă utilizarea a două surse independente UTC. Este permisă sincronizarea cu Greenwich Mean Time - GMT.
IV. Cerinţele referitoare la procedurile de bază ale
 centrului de certificare
Secţiunea 1. Cerinţele faţă de procedura de înregistrare
a persoanei fizice
    34. Persoanele fizice sînt înregistrate de către administratorul înregistrări, care administrează datele titularului certificatului cheii publice.
    35. Administratorul înregistrări efectuează identificarea persoanei fizice ce a înaintat cererea de certificare a cheii sale publice în conformitate cu procedurile aprobate de către centrul de certificare.
    36. Administratorul înregistrări trebuie să stabilească:
    a) corespunderea procesului de completare şi înaintare a cererii cu prevederile Legii cu privire la documentul electronic şi semnătura digitală, ale Regulamentului centrului de certificare şi ale altor documente normative în domeniul semnăturii digitale;
    b) autenticitatea şi valabilitatea informaţiei prezentate în cerere;
    c) corespunderea informaţiei prezentate în cererea sub formă de document electronic şi a celei din cererea sub formă de document pe suport de hîrtie;
    d) respectarea drepturilor persoanelor terţe.
    37. Administratorul înregistrări trebuie să se asigure că persoana fizică ce a prezentat cererea de certificare a cheii publice este posesorul cheii private corespunzătoare.
    38. Documentele electronice ale administratorului înregistrări trebuie să fie semnate cu semnătură digitală, să includă amprenta timpului, care stabileşte momentul creării documentului electronic, şi să fie transmise utilizînd sistemele ce asigură confidenţialitatea mesajelor.
    39. Centrul de certificare trebuie sa asigure protecţia informaţiei confidenţiale a titularilor certificatelor cheilor publice.
Secţiunea a 2-a. Cerinţele faţă de procedura de certificare
a cheii publice
    40. Centrul de certificare creează şi emite certificate ale cheilor publice în conformitate cu procedurile aprobate de centrul de certificare.
    41. Centrul de certificare trebuie să elaboreze şi să aprobe politica şi procedurile de certificare a cheilor publice în conformitate cu normele tehnice stabilite în domeniul semnăturii digitale.
    42. Certificatul cheii publice a persoanei fizice este creat de către administratorul certificare (persoana împuternicită a centrului de certificare).
    43. Administratorul certificare trebuie să verifice integritatea şi autenticitatea datelor transmise de către administratorul înregistrări, precum şi corespunderea acestora cu standardul certificatelor cheilor publice stabilit.
    44. Centrul trebuie să asigure autenticitatea informaţiei care se conţine în certificatul cheii publice, precum şi integritatea certificatului.
    45. Certificatul cheii publice trebuie să corespundă profilurilor aprobate în centrul de certificare, corespunzătoare politicii de certificare.
    46. Centrul de certificare trebuie să înscrie certificatul cheii publice în registrul certificatelor nu mai tîrziu de data şi ora începerii termenului de valabilitate a certificatului.
    47. Cheia privată a administratorului certificare trebuie să fie utilizată numai pentru semnarea certificatelor cheilor publice şi a listelor certificatelor revocate (CRL) emise de acesta.
Secţiunea a 3-a. Cerinţele faţă de procedurile de suspendare
ş
i restabilire a valabilităţii şi de revocare a certificatului cheii publice
    48. Centrul de certificare suspendă, restabileşte valabilitatea sau revocă certificatul cheii publice în cazurile stabilite de actele normative în domeniul semnăturii digitale.
    49. Centrul de certificare trebuie să elaboreze şi să aprobe procedurile de suspendare, restabilire a valabilităţii şi revocare a certificatelor cheii publice în conformitate cu normele tehnice stabilite din domeniul semnăturii digitale.
    50. Centrul de certificare trebuie să elaboreze şi să aprobe proceduri sigure de autentificare a persoanei ce a declarat intenţia de a suspenda, restabili valabilitatea sau de a revoca certificatul său al cheii publice, precum şi proceduri de confirmare a valabilităţii cererii de suspendare, restabilire a valabilităţii sau revocare a certificatului cheii publice.
    51. Centrul de certificare suspendă imediat valabilitatea certificatului cheii publice dacă are motive să presupună că a fost încălcată confidenţialitatea cheii private a titularului certificatului sau informaţia înscrisă în certificatul cheii publice nu corespunde realităţii.
    52. Centrul de certificare revocă certificatul cheii publice în cazul stabilirii încălcării confidenţialităţii cheii private a titularului certificatului sau a neveridicităţii datelor incluse în certificatul cheii publice.
    53. Suspendarea, restabilirea valabilităţii şi revocarea certificatului cheii publice se efectuează de către administratorul certificare sub supravegherea obligatorie a administratorului securitate sau a altei persoane cu funcţii de răspundere, numită de conducătorul centrului de certificare.
    54. Centrul de certificare trebuie să înscrie datele despre certificatul suspendat sau revocat în lista certificatelor revocate în decursul a 3 ore de lucru, indicînd data şi timpul includerii, cauza suspendării sau revocării acestuia.
    55. Centrul de certificare trebuie să excludă posibilitatea restabilirii valabilităţii certificatului cheii publice revocat.
    56. Certificatul cheii publice a cărui valabilitate a fost restabilită se exclude din lista certificatelor revocate în maxim 3 ore de lucru.
    57. Centrul de certificare trebuie să asigure o procedură de emitere la timp a listei reînnoite a certificatelor revocate.
    58. Centrul de certificare trebuie să elaboreze şi să aprobe procedura de informare a titularului certificatului cheii publice despre suspendarea, restabilirea valabilităţii sau revocarea certificatului.
Secţiunea a 4-a. Cerinţele faţă de procedurile de publicare a
certificatelor cheilor publice şi distribuire a informaţiei referitoare
 la certificatele cheilor publice suspendate sau revocate
    59. Distribuirea (publicarea) certificatelor cheilor publice se efectuează în conformitate cu procedurile stabilite de centrul de certificare, iar accesul persoanelor terţe poate fi limitat dacă acest fapt este solicitat de titularul certificatului.
    60. Centrul de certificare trebuie să elaboreze şi să aprobe politica de control al accesului la certificatele cheilor publice emise de centrul de certificare.
    61. Accesul la certificatele cheilor publice trebuie să fie acordat numai persoanelor ce au acest drept, conform regulilor stabilite de politica de securitate a centrului de certificare sau de către titularii certificatelor.
    62. Centrul de certificare trebuie să ofere oricărei persoane informaţia referitoare la statutul certificatelor cheilor publice.
    63. Centrul de certificare trebuie să prezinte informaţia referitoare la statutul certificatelor cheilor publice în regim de timp real (on-line), precum şi pe alte căi stabilite de centrul de certificare, inclusiv prin distribuirea listelor certificatelor revocate pentru abonaţi (off-line).
    64. Centrul de certificare trebuie să asigure integritatea şi autenticitatea mesajelor în procesul de verificare a statutului certificatelor cheilor publice. Toate răspunsurile referitoare la starea certificatelor trebuie semnate cu semnătura digitală a persoanei împuternicite a centrului de certificare.
    65. Centrul de certificare poate cere ca persoanele terţe să semneze cu semnătura digitală solicitările referitoare la statutul certificatelor cheilor publice.
    66. Centrul de certificare poate răspunde solicitărilor referitoare la statutul certificatului cheii publice utilizînd datele reînnoite în timpul ultimei înştiinţări a utilizatorilor.
    67. Centrul de certificare trebuie să facă publice certificatele cheilor publice ale persoanelor împuternicite ale centrului.
    68. Informaţia inclusă în registrul certificatelor cheilor publice trebuie să fie protejată contra accesului neautorizat, modificării sau distrugerii.
    69. Centrul de certificare trebuie să stabilească modalităţile de acces cu drept de înregistrare sau modificare a registrului certificatelor cheilor publice pentru persoanele ce au acest drept conform obligaţiilor sale de serviciu.
    70. Centrul de certificare trebuie să utilizeze mecanisme de autentificare a subiecţilor, care au acces la informaţia corespunzătoare din registrul certificatelor cheilor publice.
V. Cerinţele referitoare la infrastructura centrului de certificare
Secţiunea 1. Cerinţele referitoare la încăperi
    71. Încăperile centrului de certificare trebuie să asigure funcţionarea stabilă a complexului tehnic de program, a sistemelor de telecomunicaţii şi a altor componente tehnice, a sistemelor de energie electrică, termică şi de apeduct, de aer condiţionat, antiincendiare, să asigure protecţia personalului şi să contribuie la prevenirea sustragerii, pierderii, modificării neautorizate a datelor, precum şi a distrugerii acestora sau a mijloacelor tehnico-aplicative.
    72. Încăperile centrului de certificare trebuie să corespundă cerinţelor normelor de igienă, securitate a muncii şi protecţie a mediului înconjurător, stabilite de legislaţia în vigoare.
    73. Încăperile centrului de certificare trebuie să fie amplasate în perimetrul de securitate (perimetru unde are drept de acces numai personalul organizaţiei a cărei parte este centrul de certificare) şi să fie echipate corespunzător cu cerinţele de asigurare a securităţii.
    74. Din categoria încăperilor cu regim special (în continuare - încăperi speciale) ale centrului de certificare fac parte încăperile unde se instalează mijloacele tehnice de bază ale complexului tehnic de program (încăperi pentru servere), unde se păstrează suporturile materiale ce conţin: copiile de rezervă ale registrului certificatelor cheilor publice, copiile de rezervă ale resurselor de sistem şi de program, cheile private ale angajaţilor centrului de certificare sau cheile secrete ale altor sisteme criptografice ale centrului de certificare.
    75. Încăperile speciale ale centrului de certificare trebuie:
    a) să corespundă condiţiilor de maximă securitate, stabilite de prezentele condiţii speciale, pentru asigurarea securităţii fizice şi protecţiei tehnice a informaţiei;
    b) să fie dotate cu mijloace autonome şi sisteme automate de semnalizare antiincendiu, stingere a incendiului şi înlăturare a fumului conform normativelor NCM.E.03.03-2003 "Dotarea clădirilor şi instalaţiilor cu sisteme autonome de semnalizare şi stingere a incendiilor" şi NCM.E.03.05-2004 "Instalaţii autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare";
    c) să corespundă cerinţelor în vigoare în Republica Moldova privind proiectarea şi exploatarea reţelei electrice, conform normelor cuprinse în Regulile de instalare a dispozitivelor electrice, Regulile privind exploatarea tehnică a dispozitivelor electrice ale consumatorilor şi Regulile privind tehnici de securitate la exploatarea dispozitivelor electrice ale consumatorilor;
    d) să asigure funcţionarea mijloacelor tehnice principale pentru o perioadă de cel puţin 30 minute din momentul stopării furnizării energiei electrice de la sursa de bază;
    e) să fie echipate cu mijloace de ventilare şi condiţionare a aerului care posedă certificat de conformitate, eliberat conform prevederilor legislaţiei în vigoare.
    76. În încăperile destinate pentru păstrarea documentaţiei şi a copiilor de rezervă ale registrului certificatelor cheilor publice trebuie să fie instalate dulapuri metalice.
Secţiunea a 2-a. Cerinţele referitoare la complexul tehnic de program
    77. Complexul tehnic de program al centrului de certificare trebuie să asigure executarea de către centru a funcţiilor de certificare a cheilor publice şi să corespundă normelor tehnice în domeniul semnăturii digitale.
    78. Exploatarea complexului tehnic de program al centrului de certificare trebuie efectuată conform cerinţelor stabilite de asigurare a securităţii.
    79. Mijloacele tehnice ale complexului tehnic de program, utilizate de centrul de certificare, trebuie să fie proprietate a centrului, fie închiriate sau primite în folosinţă pe baza unui contract scris.
    80. Fiecare mijloc tehnic trebuie să fie înregistrat şi testat în privinţa posibilităţii de utilizare şi fiecare mijloc tehnic sau de program trebuie să fie însoţit de documentaţia tehnică.
    81. Capacitatea de funcţionare a mijloacelor tehnice trebuie verificată periodic pe parcursul întregului ciclu de exploatare, iar rezultatele verificării vor fi consemnate.
    82. Toate mijloacele tehnice trebuie să fie asigurate cu posibilităţi de reparare. Pentru dispozitivele ce necesită deservire tehnică periodică trebuie elaborate instrucţiuni şi grafice de deservire tehnică. Toate echipamentele şi dispozitivele de control-măsurare trebuie întreţinute în condiţii ce asigură integritatea acestora.
    83. Complexul tehnic de program al centrului de certificare trebuie să asigure posibilitatea copierii de rezervă şi păstrării informaţiei critice pentru activitatea centrului de certificare, restabilirii operative şi complete a informaţiei în caz de refuz al deservirii, de incidente sau erori în sisteme, precum şi instalării, în caz de necesitate, a resurselor tehnice suplimentare sau de rezervă.
    84. În activitatea sa centrul de certificare trebuie să utilizeze numai soft licenţiat sau liber distribuit.
    85. Centrul de certificare este obligat să asigure administrarea complexului tehnic de program sau a subsistemelor acestuia numai de către persoane împuternicite să administreze, precum şi să excludă modificările neautorizate ale configuraţiilor echipamentului, ale setărilor de sistem, ale algoritmilor de funcţionare a mijloacelor de program, modificarea fluxurilor informaţionale sau proceselor susţinute.
Secţiunea a 3-a. Cerinţele referitoare la personal
    86.  Centrul de certificare trebuie să dispună de un număr de angajaţi, cu calificare, experienţă şi pregătire profesională care să permită realizarea întregului spectru de funcţii privind prestarea serviciilor în domeniul semnăturii digitale.
    87. Încadrarea personalului centrului de certificare trebuie să fie prezentată în structura organizatorică şi nomenclatorul de funcţii, aprobate de conducătorul persoanei juridice. Nivelul de calificare a fiecărui specialist trebuie dovedit documentar.
    88. Pentru fiecare specialist al centrului de certificare trebuie definite condiţiile concrete privind nivelul de studii, de cunoştinţe tehnice şi experienţă de lucru. De asemenea vor fi stabilite obligaţiile de serviciu, funcţiile, drepturile, responsabilităţile şi cerinţele faţă de regimul de confidenţialitate.
    89. Fiecare angajat al centrului de certificare este obligat să cunoască şi să îndeplinească obligaţiile sale de serviciu, periodic să-şi sporească nivelul de calificare, să studieze profesiile complementare profilului activităţii de bază.
    90. Centrul de certificare trebuie să verifice şi să evalueze periodic nivelul de calificare a specialiştilor săi şi să asigure sporirea acestuia.
    91. În cazul lipsei specialiştilor proprii pentru realizarea activităţilor specifice, centrul de certificare poate implica angajaţi ai altor organizaţii, cu asigurarea cerinţelor de securitate stabilite.
    92. Angajaţii centrului de certificare trebuie să semneze clauze de confidenţialitate, în condiţiile articolului 53 al Codului muncii al Republicii Moldova, precum şi, după caz, angajamente de nedivulgare a secretului comercial, valabile atît pentru perioada contractului individual de muncă încheiat, cît şi pentru perioada stabilită în contract după expirarea acţiunii acestuia.
VI. Cerinţele referitoare la gestionarea resurselor informaţionale
ale centrului de certificare
Secţiunea 1. Cerinţele referitoare la resursele informaţionale
    93. Resursele informaţionale ale centrului de certificare sînt registrul certificatelor cheilor publice şi documentele de serviciu ale centrului de certificare.
    94. Resursele informaţionale ale centrului de certificare sînt ţinute sub formă de documente pe suport de hîrtie şi sub formă de documente electronice, păstrate pe suporturi materiale.
    95. Resursa informaţională principală a centrului de certificare este registrul certificatelor cheilor publice, care reprezintă un ansamblu de documente electronice şi documente pe suport de hîrtie incluzînd:
    a) cereri de certificare a cheilor publice ale utilizatorilor semnăturii digitale;
    b) certificatele cheilor publice ale utilizatorilor semnăturii digitale;
    c) decizii de suspendare, restabilire a valabilităţii sau revocare a certificatelor cheilor publice ale utilizatorilor semnăturii digitale;
    d) certificatele cheilor publice ale persoanelor împuternicite ale centrului de certificare de nivelul al treilea (numai pentru centrele de certificare de nivelul al doilea);
    e) cereri de suspendare, restabilire a valabilităţii sau revocare a certificatelor cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al treilea (numai pentru centrele de certificare de nivelul al doilea);
    f) listele certificatelor revocate.
    96. Documentaţia centrului de certificare trebuie să corespundă standardului internaţional ISO 15489 "Informaţia şi documentaţia - gestionarea documentaţiei".
Secţiunea a 2-a. Cerinţele faţă de păstrarea,
în formă arhivată, a resurselor informaţionale
    97. În formă arhivată vor fi păstrate următoarele resurse informaţionale ale centrului de certificare:
    a) registrul certificatelor cheilor publice;
    b) jurnale de audit al complexului tehnic de program;
    c) alte tipuri de documente stabilite de centrul de certificare.
    98. Termenul de păstrare în formă arhivată a registrului certificatelor cheilor publice va fi de cel puţin 10 ani din momentul revocării ultimului certificat inclus în registru.
    99. Pregătirea pentru distrugere şi efectuarea distrugerii documentelor arhivate se realizează de o comisie, formată din angajaţii centrului de certificare, în conformitate cu legislaţia în vigoare.
    100. Lucrările de pregătire pentru distrugere şi de distrugere a documentelor ce nu sînt supuse arhivării se efectuează de către angajaţii centrului de certificare ce gestionează documentele, în modul stabilit de conducătorul centrului de certificare.
Secţiunea a 3-a. Cerinţele faţă de asigurarea
accesului la resursele informaţionale
    101. Centrul de certificare asigură accesul utilizatorilor semnăturii digitale la registrul certificatelor cheilor publice prin intermediul:
    a) resurselor electronice oficiale ale centrului de certificare (portalul web);
    b) poştei electronice;
    c) rezolvării solicitărilor utilizatorilor semnăturii digitale conform procedurilor aprobate de centrul de certificare.
    102. Accesul la documentele din arhivă ale centrului de certificare se realizează în conformitate cu legislaţia în vigoare.
VII. Cerinţele referitoare la asigurarea securităţii centrului
de certificare
Secţiunea 1. Cerinţele referitoare la sistemul de securitate
    103. Obiectivele de bază privind asigurarea securităţii centrului de securitate sînt:
    a) protecţia informaţiei confidenţiale la depozitarea, prelucrarea şi transmiterea acesteia (chei criptografice, mijloace de protecţie criptografică a informaţiei, date personale protejate conform legislaţiei în vigoare, informaţie despre parole etc.);
    b) verificarea integrităţii informaţiei confidenţiale şi publice (informaţia despre titulari inclusă în certificatele cheilor publice, informaţia despre certificatele cheilor publice suspendate sau revocate, componentele aplicative distribuite liber şi documentele aferente etc.);
    c) verificarea integrităţii componentelor de program şi de aparataj ale complexului tehnic de program;
    d) asigurarea continuităţii în activitate;
    e) asigurarea securităţii fizice a centrului de certificare.
    104. Sistemul de securitate a centrului de certificare trebuie:
    a) să protejeze informaţia referitor la titularii certificatelor cheilor publice prin intermediul asigurării confidenţialităţii, integrităţii şi asigurării accesului securizat la registrul certificatelor cheilor publice;
    b) să asigure securitatea infrastructurii şi a resurselor informaţionale ale centrului de certificare;
    c) să stabilească responsabilităţi referitor la securitatea informaţională în centrul de certificare;
    d) să minimizeze riscurile referitoare la utilizarea tehnologiilor informaţionale;
    e) să asigure capacitatea centrului de certificare de a continua activitatea în cazuri excepţionale sau alte situaţii critice (asigurarea continuităţii activităţii centrului de certificare).
    105. Ansamblul măsurilor şi al mijloacelor de protecţie a informaţiei în centrul de certificare trebuie să includă următoarele subsisteme:
    a) subsistemul de protecţie criptografică a informaţiei, care include mijloacele de protecţie criptografică a informaţiei;
    b) subsistemul de protecţie a informaţiei contra accesului neautorizat;
    c) subsistemul de audit activ al securităţii informaţionale a centrului;
    d) subsistemul de detectare a intruziunilor;
    e) subsistemul de protecţie a informaţiei contra acţiunilor neintenţionate, inclusiv subsistemul de copiere de rezervă şi arhivare a datelor;
    f) subsistemul de asigurare a integrităţii informaţiei, componentelor de program şi de aparataj ale complexului tehnic de program al centrului de certificare, inclusiv prin metode criptografice;
    g) subsistemul de asigurare a accesibilităţii, inclusiv subsistemul de asigurare a continuităţii funcţionării complexului tehnic de program al centrului de certificare;
    h) subsistemul de protecţie a echipamentului complexului tehnic de program al centrului de certificare contra scurgerii de informaţii prin canalele tehnice şi cele auxiliare;
    i) subsistemul securităţii fizice.
    106. Centrul de certificare trebuie să elaboreze condiţiile de asigurare a securităţii proprii, criteriile şi indicatorii de evaluare a nivelului de securitate, în concordanţă cu care realizează activităţi şi implementează mijloace concrete de protecţie a informaţiei.
    107. Orice funcţie a centrului de certificare poate fi delegată persoanelor terţe numai în condiţiile cînd se respectă activitatea securizată a centrului de certificare.
    108. Centrul de certificare trebuie să elaboreze şi să aprobe procedurile interne de activitate, care să asigure funcţionarea securizată a centrului de certificare.
    109. Orice situaţie de forţă majoră care poate influenţa în mod negativ realizarea procedurilor obligatorii ale centrului de certificare trebuie adusă la cunoştinţa titularilor certificatelor cheilor publice.
    110. Centrul de certificare trebuie să elaboreze şi să aprobe politica de securitate a centrului de certificare, care va reflecta viziunea asupra problemei securităţii informaţionale a centrului de certificare, ansamblul de măsuri pentru asigurarea acesteia, responsabilităţile angajaţilor şi mecanismele de control al stării securităţii informaţionale.
    111. Politica de securitate trebuie să asigure respectarea regulilor, standardelor şi normelor general acceptate în domeniul securităţii informaţionale şi trebuie să includă:
    a) categoriile resurselor centrului de certificare cu indicarea nivelului necesar de securitate pentru fiecare categorie;
    b) analiza riscurilor centrului de certificare, ce pot apărea la utilizarea tehnologiilor informaţionale şi de telecomunicaţii;
    c) modelul de securitate a centrului de certificare;
    d) alegerea unui sistem complex de asigurare a securităţii centrului de certificare;
    e) principalele măsuri tehnico-organizatorice necesare pentru asigurarea securităţii centrului de certificare;
    f) condiţii impuse mijloacelor tehnice de protecţie a informaţiei;
    g) enumerarea mijloacelor tehnice de protecţie a informaţiei;
    h) planul de acţiuni privind menţinerea regimului de securitate a centrului de certificare, inclusiv planurile de continuitate în activitate;
    i) responsabilităţile personalului centrului de certificare privind asigurarea securităţii;
    j) proceduri de control al centrului de certificare privind respectarea condiţiilor de securitate;
    k) procedura de aducere la cunoştinţa utilizatorilor semnăturii digitale a Regulamentului centrului de certificare şi a politicii de securitate, de acceptare şi asumare a obligaţiilor de respectare a prevederilor Regulamentului şi a politicii de securitate de către utilizatori;
    l) înştiinţarea utilizatorilor semnăturii digitale despre nivelul de securitate a centrului de certificare.
    112. Centrul de certificare trebuie să elaboreze şi să aprobe sistemul de acordare a drepturilor de acces la resursele centrului de certificare, conform procedurilor de acces stabilite.
    113. Centrul de certificare trebuie să analizeze toate componentele infrastructurii proprii (resurse aplicative şi tehnice, mijloace de protecţie a informaţiei etc.) din punctul de vedere al riscurilor, să planifice şi să realizeze activităţi de minimizare şi evitare a riscurilor depistate.
    114. Centrul de certificare trebuie să implementeze instrumente automatizate de analiză a sistemelor informaţionale şi de telecomunicaţii, precum şi a proceselor de afaceri ale centrului de certificare, pentru depistarea vulnerabilităţilor în sistemul de securitate.
    115. Centrul de certificare trebuie să elaboreze şi să aprobe planul de acţiuni pentru asigurarea continuităţii activităţii, plan care va fi analizat şi revizuit periodic pe baza analizei activităţii curente şi rezultatelor testării în diferite situaţii excepţionale posibile.
Secţiunea a 2-a. Cerinţele de asigurare a securităţii fizice
    116. Centrul de certificare trebuie să creeze şi să menţină sistemul de securitate fizică care să asigure protecţia infrastructurii, a resurselor informaţionale şi a personalului centrului, să fie flexibil în cazul modificării cerinţelor de securitate înaintate, să permită adăugarea de noi funcţionalităţi şi să fie simplu în utilizare.
    117. Sistemul de securitate fizică a centrului de certificare trebuie să includă următoarele subsisteme:
    a) gestionarea accesului la diferite obiecte fizice;
    b) depistarea intruziunilor neautorizate la obiectele fizice;
    c) gestionarea, analiza şi înregistrarea informaţiei;
    d) protecţia tehnică şi de inginerie (protecţia pasivă);
    e) înştiinţarea şi asigurarea conexiunii în caz de situaţii excepţionale.
    118. Centrul de certificare trebuie să stabilească şi să precizeze responsabilităţile angajaţilor legate de asigurarea securităţii fizice.
    119. Informaţia privind amplasarea subsistemelor complexului tehnic de program al centrului de certificare este confidenţială.
    120. Echipamentul special şi tehnic de inginerie, protecţia şi regimul de acces în încăperile speciale ale centrului de certificare trebuie să asigure securitatea informaţiei confidenţiale şi a cheilor criptografice, accesul controlat în aceste încăperi, precum şi accesul la mijloacele tehnice şi cheile criptografice.
    121. Centrul de certificare trebuie să-şi clasifice încăperile cu regim special de acces, să stabilească reguli de acces şi să aprobe lista persoanelor cărora le este permis accesul în aceste încăperi.
    122. Accesul angajaţilor centrului de certificare în încăperile speciale se efectuează conform instrucţiunilor şi ordinelor în vigoare în centrul de certificare.
    123. Accesul fizic în încăperile speciale ale centrului de certificare trebuie să fie posibil numai în urma controlului dublu şi conform drepturilor de acces stabilite.
    124. Angajaţii centrului de certificare care au acces în încăperile speciale poartă răspundere personală pentru permiterea accesului persoanelor terţe în aceste încăperi.
    125. Încăperile speciale vor fi dotate în mod obligatoriu cu sisteme de control al accesului şi monitorizare video, care trebuie să permită supravegherea accesului persoanelor în aceste încăperi.
    126. Încăperile speciale se dotează în mod obligatoriu cu sisteme de pază pe mai multe linii şi semnalizare de alarmă, în conformitate cu normele metodologice şi tehnice de proiectare şi montare a sistemelor de alarmare împotriva efracţiei, aprobate prin Hotărîrea Guvernului nr. 667 din 8 iulie 2005 "Cu privire la măsurile de realizare a Legii nr. 283-XV din 4 iulie 2003 privind activitatea particulară de detectiv şi de pază".
    127. La amplasarea mijloacelor tehnice, centrul de certificare trebuie să asigure protecţia lor contra accesului neautorizat, furt, incendii, inundaţii, cîmpuri electromagnetice puternice şi alte riscuri posibile.
    128. Încăperile destinate pentru amplasarea personalului centrului de certificare, precum şi alte încăperi de serviciu trebuie să fie echipate cu:
    a) sisteme de pază, alarmă şi semnalizare antiincendiară;
    b) sisteme de control al accesului, care să permită supravegherea accesului personalului centrului de certificare în anumite încăperi.
    129. În cazul amplasării încăperilor de serviciu sau a altor încăperi la parter şi la ultimul etaj, precum şi în cazul existenţei balcoanelor, scărilor antiincendiare etc., la ferestrele încăperilor respective trebuie să fie instalate gratii din interior.
Secţiunea a 3-a. Cerinţele referitoare la asigurarea securităţii
sistemelor informaţionale şi de telecomunicaţii
    130. Pentru micşorarea riscurilor legate de utilizarea tehnologiilor informaţionale şi de telecomunicaţii, centrul de certificare elaborează şi implementează un set de măsuri de asigurare a securităţii sistemelor sale informaţionale şi de telecomunicaţii (mijloace de program şi tehnice, canale de telecomunicaţii, echipament de reţea, informaţii prelucrate, depozitate şi transmise), prin funcţionarea următoarelor subsisteme de securitate:
    a) subsistemul de gestiune a accesului;
    b) subsistemul de înregistrare şi evidenţă (audit);
    c) subsistemul de asigurare a integrităţii;
    d) subsistemul de asigurare a accesibilităţii;
    e) subsistemul de protecţie criptografică.
    131. Subsistemul de gestiune a accesului:
    a) asigură delimitarea accesului la obiectele informaţionale şi la funcţiile sistemelor informaţionale corespunzător cu regulile de acces, bazate pe atributele de acces;
    b) efectuează verificarea identităţii subiecţilor ce obţin acces la componentele sistemelor informaţionale;
    c) verifică accesul subiecţilor la resursele protejate corespunzător cu nivelurile de acces stabilite;
    d) gestionează fluxurile informaţionale şi aplică sigla de confidenţialitate;
    e) fixează cazurile de acces cu succes sau cu eşec.
    132. Subsistemul de înregistrare şi evidenţă:
    a) înregistrează evenimentele de accesare (părăsire) a sistemului de către subiect conform următorilor parametri:
    data şi timpul tentativei de accesare (părăsire);
    identificatorul subiectului de acces;
    rezultatul tentativei de accesare (părăsire) - succes sau eşec;
    b) înregistrează tentativele de lansare (stopare) a aplicaţiilor şi a proceselor destinate să prelucreze resursele protejate conform următorilor parametri:
    data şi timpul tentativei de lansare;
    denumirea (identificatorul) aplicaţiei sau procesului;
    identificatorul subiectului de acces;
    rezultatul tentativei de lansare - succes sau eşec;
    c) înregistrează tentativele de obţinere a drepturilor de acces (de executare a operaţiilor) pentru aplicaţii şi procese la resursele protejate conform următorilor parametri:
    data şi timpul tentativei de obţinere a accesului (executare a operaţiei);
    denumirea (identificatorul) aplicaţiei sau procesului;
    identificatorul subiectului de acces;
    specificaţiile resursei protejate (identificator, nume logic, nume fişier, număr etc.);
    tipul operaţiei solicitate (citire, înregistrare, ştergere, montare etc.);
    rezultatul tentativei de obţinere a accesului (executare a operaţiei) - succes sau eşec;
    d) înregistrează tentativele de acces neautorizat al subiecţilor în sistem, tentativele de lansare neautorizată a aplicaţiilor (proceselor) sau de executare a operaţiilor, asigurînd blocarea tuturor operaţiunilor neautorizate şi înştiinţînd despre acest fapt administratorul securitate;
    e) înregistrează modificările drepturilor de acces al subiecţilor şi statutul obiectelor de acces conform următorilor parametri:
data şi timpul modificării drepturilor;
    identificatorul administratorului care a operat modificările;
    identificatorul subiectului de acces şi noile drepturi sau specificaţiile obiectului de acces şi noul său statut;
    f) înregistrează toate ieşirile de informaţie din sistem (documente electronice, date etc.) conform următorilor parametri:
    data şi timpul ieşirilor de date;
    denumirea informaţiei şi calea spre ea;
    specificaţiile dispozitivului ce a eliberat informaţia (numele logic);
    identificatorul subiectului de acces care a solicitat informaţia;
    volumul documentului eliberat (număr de pagini, foi, copii) şi rezultatul eliberării de informaţie (succes, eşec);
    g) ţine evidenţa resurselor protejate ale centrului de certificare, înregistrează intrarea/ieşirea suporturilor materiale ce conţin informaţie confidenţială;
    h) protejează datele "protocolate" (jurnalul de înregistrări, fişiere log etc.) contra modificărilor;
    i) identifică şi arată evenimentele curente.
    133. Subsistemul de asigurare a integrităţii menţine stabilitatea mediului aplicativ, integritatea informaţiei prelucrate, a mijloacelor tehnico-aplicative şi a mijloacelor de protecţie a informaţiei.
    134. Subsistemul de asigurare a accesibilităţii:
    a) asigură funcţionarea continuă a sistemelor informaţionale şi de telecomunicaţii ale centrului de certificare;
    b) asigură păstrarea garantată a resurselor informaţionale ale centrului de certificare, precum şi posibilitatea de restabilire a lor în caz de necesitate sau în cazul situaţiilor de forţă majoră;
    c) asigură utilizatorilor sistemului acces permanent la resursele informaţionale ale centrului de certificare, corespunzător cu normele stabilite de acces la informaţie.
    135. Subsistemul de protecţie criptografică:
    a) realizează criptarea informaţiei confidenţiale în sistemul informaţional şi în canalele de telecomunicaţii;
    b) asigură controlul accesului subiecţilor la operaţiile de criptare şi la cheile criptografice, corespunzător cu regulile de acces stabilite.
    136. Arhitectura sistemelor informaţionale şi de telecomunicaţii ale centrului de certificare şi a subsistemelor acestora trebuie să fie destul de flexibilă, să permită dezvoltarea simplă, fără modificări structurale, a configuraţiilor mijloacelor utilizate şi completarea de noi funcţii şi resurse.
    137. Sistemele informaţionale şi de telecomunicaţii ale centrului de certificare trebuie să fie însoţite de documentaţie care să asigure exploatarea lor calificată.
    138. Componentele critice ale sistemelor informaţionale şi de telecomunicaţii ale centrului de certificare trebuie să includă sisteme de rezervă şi de repornire în cazul încălcării regimului de securitate sau refuzului (deficienţei) de deservire.
    139. Sistemele informaţionale şi de telecomunicaţii, componentele lor, mijloacele tehnice şi de program ale centrului de certificare trebuie să corespundă normelor stabilite de politica de securitate informaţională, iar prestatorii de servicii (producătorii, furnizorii etc.) trebuie să asigure suportul tehnic necesar.
    140. Centrul de certificare trebuie să asigure protecţia sistemelor informaţionale şi de telecomunicaţii proprii contra acţiunilor aplicaţiilor malefice (sistemul de protecţie antivirus).
    141. Centrul de certificare trebuie să-şi clasifice resursele sistemului informaţional, să stabilească procedurile de acces şi să aprobe lista persoanelor cu drept de acces la resursele specifice ale sistemului informaţional şi de telecomunicaţii.
    142. Centrul de certificare trebuie să elaboreze, să aprobe şi să implementeze mecanismele şi procedurile necesare de delimitare şi control al accesului logic şi fizic la echipamentele sistemelor informaţionale şi de telecomunicaţii.
    143. Accesul angajaţilor centrului de certificare la resursele sistemelor informaţionale şi de telecomunicaţii trebuie să fie acordat pe baza instrucţiunilor şi ordinelor aprobate în centrul de certificare corespunzător drepturilor de acces.
    144. Centrul de certificare trebuie să stabilească şi să documenteze procedurile privind administrarea şi utilizarea resurselor de program şi de sistem.
    145. Sistemele informaţionale şi de telecomunicaţii noi sau modernizate, componentele acestora, mijloacele tehnice şi de program trebuie să fie implementate numai în conformitate cu procedurile stabilite, cu respectarea cerinţelor privind asigurarea securităţii informaţionale.
    146. Centrul de certificare trebuie să elaboreze şi să aprobe instrucţiuni de implementare a sistemelor informaţionale şi de telecomunicaţii noi sau de modificare a celor existente, a componentelor acestora, a mijloacelor tehnice şi de program.
    147. Personalul responsabil al centrului de certificare trebuie să fie instruit privind funcţionalitatea şi regulile de administrare (exploatare) a sistemelor informaţionale şi de telecomunicaţii, a componentelor, a mijloacelor tehnice şi de program noi sau modernizate.
    148. Toate modificările de configurare a sistemelor informaţionale şi de telecomunicaţii în ansamblu, a componentelor acestora, a mijloacelor tehnice şi de program trebuie să fie testate pînă la implementarea acestora în mediul operaţional. Decizia despre modificare trebuie luată numai după realizarea unei evaluări a riscurilor referitoare la implementarea modificărilor respective.
    149. Centrul de certificare trebuie să elaboreze şi să aprobe proceduri formale de control al modificărilor în sistemul informaţional şi de telecomunicaţii, al modificărilor componentelor acestuia, al mijloacelor tehnice şi de program.
    150. Centrul de certificare trebuie să utilizeze conexiuni şi mecanisme securizate şi controlabile, care să asigure integritatea şi confidenţialitatea informaţiei la transmiterea prin intermediul reţelelor publice.
    151. Centrul de certificare trebuie să implementeze mecanisme de ecranare a reţelelor, pentru a proteja sistemele informaţionale şi de telecomunicaţii interne, precum şi resursele centrului de certificare în general.
    152. Personalul responsabil al centrului de certificare (administratorii sistem) este obligat să efectueze controlul zilnic al stării sistemelor informaţionale şi de telecomunicaţii, al componentelor acestora, sistemelor operaţionale şi aplicative, precum şi al instrumentelor de securitate.
Secţiunea a 4-a. Condiţiile de utilizare a mijloacelor
de protecţie criptografică a informaţiei
    153. Centrul de certificare asigură securitatea informaţiei confidenţiale la depozitare, prelucrare şi transmitere prin canalele de comunicaţii, aplicînd tehnologiile de criptare a informaţiei cu utilizarea mijloacelor de protecţie criptografică a informaţiei (MPCI).
    154. În scopul elaborării şi realizării măsurilor de asigurare a securităţii informaţiei şi utilizării MPCI, centrul de certificare trebuie să creeze o subdiviziune pentru protecţia criptografică a informaţiei (să numească un angajat), să elaboreze şi să aprobe instrucţiuni care să reglementeze procesele de pregătire, introducere, prelucrare, păstrare şi transmitere a informaţiei confidenţiale protejate cu MPCI.
    155. Subdiviziunea de protecţie criptografică:
    a) elaborează şi implementează sistemul de protecţie criptografică a informaţiei confidenţiale a centrului de certificare;
    b) elaborează instrucţiunile şi măsurile de asigurare a funcţionării şi securităţii MPCI utilizate;
    c) asigură păstrarea şi evidenţa purtătorilor materiali de informaţie confidenţială, MPCI şi documentaţiei aferente, purtătorilor materiali de informaţie-cheie, precum şi evidenţa utilizatorilor ce folosesc nemijlocit MPCI;
    d) instruieşte utilizatorii MPCI privind regulile de lucru cu MPCI;
    e) controlează modalitatea de respectare de către utilizatori a normelor de utilizare a MPCI stabilite, precum şi a documentaţiei de exploatare şi tehnice aferente MPCI;
    f) verifică integritatea resurselor de program şi de sistem ale mijloacelor tehnice unde au fost instalate MPCI, precum şi integritatea MPCI;
    g) depistează faptele de încălcare a normelor de utilizare a MPCI şi întreprinde măsurile necesare de evitare a urmărilor acestor încălcări.
    156. Angajaţii subdiviziunii de protecţie criptografică sînt obligaţi:
    a) să respecte regimul de confidenţialitate în procesul de îndeplinire a obligaţiilor de serviciu;
    b) să depisteze la timp tentativele persoanelor terţe de a obţine date privind informaţia confidenţială, MPCI utilizate şi suporturile-cheie;
    c) să ia măsuri urgente de prevenire a cazurilor de divulgare a informaţiei confidenţiale şi de scurgere a informaţiei la utilizarea MPCI.
    157. Angajaţii subdiviziunii de protecţie criptografică trebuie să posede un nivel de calificare corespunzător şi să activeze conform fişei de post.
    158. Centrul de certificare implementează şi exploatează MPCI conform documentaţiei tehnice şi de exploatare aferentă acestor mijloace, pe baza instrucţiunilor aprobate, precum şi în conformitate cu prezentele condiţii speciale.
    159. Instrucţiunile ce reglementează modul de exploatare în siguranţă a MPCI trebuie să prevadă:
    a) drepturile şi obligaţiile angajaţilor centrului de certificare ce exploatează MPCI;
    b) ordinea de amplasare, instalare, păstrare şi utilizare a MPCI şi a documentaţiei privind exploatarea acestora;
    c) ordinea de creare, evidenţă, distribuire, păstrare şi distrugere a cheilor criptografice;
    d) ordinea de cercetare a faptelor de încălcare a regulilor stabilite la utilizarea MPCI, a cheilor criptografice, precum şi măsurile de înlăturare a consecinţelor;
    e) ordinea de control al respectării cerinţelor de asigurare a protecţiei informaţiei cu ajutorul MPCI.
    160. Condiţiile de implementare şi exploatare a MPCI trebuie să excludă posibilitatea accesului neautorizat la ele, modificarea, furtul şi difuzarea necontrolată a acestora.
    161. MPCI utilizate de centrul de certificare trebuie să fie verificate periodic pe parcursul întregului ciclu de funcţionare.
    162. MPCI trebuie să fie inventariate. MPCI de tip aplicativ sînt supuse evidenţei împreună cu mijloacele tehnice pe care le rulează.
    163. În caz de necesitate, pentru asigurarea integrităţii cheilor criptografice pot fi create copii de rezervă, care se păstrează conform normelor stabilite de asigurare a protecţiei contra accesului neautorizat şi acţiunilor neintenţionate.
    164. Angajaţii centrului de certificare poartă răspundere personală pentru integritatea şi securitatea cheilor criptografice.
    165. Subdiviziunea de protecţie criptografică ţine evidenţa suporturilor materiale de chei criptografice.
    166. Suporturile materiale de chei criptografice neutilizate sau scoase din uz sînt distruse de subdiviziunea de protecţie criptografică.
    167. Distrugerea cheilor criptografice se efectuează prin distrugerea fizică a suportului material sau prin distrugerea garantată a informaţiei-cheie fără deteriorarea suportului (pentru utilizarea repetată a acestuia).
    168. Cheile criptografice ale MPCI trebuie schimbate periodic. Procedura de schimbare a cheilor criptografice se stabileşte de către centrul de certificare.
    169. Dacă există suspiciuni privitoare la compromiterea cheilor criptografice sau MPCI, acestea sînt scoase imediat din uz, iar subdiviziunea de protecţie criptografică efectuează toate acţiunile de verificare a acestui fapt şi înlăturare a urmărilor.
Secţiunea a 5-a. Condiţiile de protecţie tehnică a informaţiei
    170. Centrul de certificare asigură protecţia informaţiei confidenţiale prin utilizarea tehnologiilor şi a mijloacelor speciale de prevenire a scurgerii informaţiei prin canalele tehnice.
    171. Centrul de certificare trebuie să excludă prezenţa necontrolată a persoanelor sau a mijloacelor de transport, precum şi instalarea întîmplătoare a antenelor, într-o zonă de 15 metri de la locul amplasării mijloacelor tehnice principale ale complexului tehnic de program (în continuare - perimetru controlat).
    172. Încăperile pentru servere ale centrului de certificare trebuie să fie protejate contra scurgerii informaţiei din cauza emisiilor electromagnetice prin ecranarea încăperilor sau instalarea sistemelor de bruiaj electromagnetic.
    173. În cazul ecranării încăperilor trebuie asigurată continuitatea conexiunii electrice a materialului tuturor părţilor ecranului: pereţi, tavan, podea, ferestre şi uşi. Materialul pentru uşi trebuie să posede un contact electric sigur cu ecranul încăperii pe toată suprafaţa, construcţiile de ecranare trebuie să posede prize de pămînt care să fie amplasate în regiunea controlată.
    174. Centrul de certificare trebuie să asigure protecţia informaţiei contra scurgerii prin intermediul reţelei electrice şîncrucişarea reţelelor electrice ale obiectului cu instalarea filtrelor de protecţie care să blocheze (bruieze) semnalulî.
    175. În încăperile centrului de certificare unde sînt amplasate mijloacele tehnice ce prelucrează informaţie confidenţială trebuie exclusă sau limitată instalarea altor dispozitive electrice, radio sau de alt gen.
    176. Utilajul pe liniile care au ieşire în afara regiunii controlate trebuie instalate la o distanţă de cel puţin de 3 metri de la mijloacele tehnice principale ale complexului tehnic de program al centrului de certificare.
    177. Suficienţa măsurilor de protecţie tehnică realizate, precum şi necesitatea instalării mijloacelor tehnice speciale suplimentare se stabilesc conform rezultatului cercetărilor speciale şi de evaluare a nivelului de protejare al obiectului.
Secţiunea a 6-a. Condiţiile referitoare la asigurarea
securit
ăţii resurselor informaţionale
    178. Resursele informaţionale ale centrului de certificare trebuie să fie clasificate şi definite pe categorii în funcţie de nivelul de securitate al acestora.
    179. Toată informaţia, datele şi documentele trebuie să fie prelucrate şi păstrate conform nivelului de clasificare şi categoriei acestei informaţii.
    180. Toata informaţia, datele şi documentele, clasificate ca fiind confidenţiale, trebuie păstrate într-un mediu sigur separat.
    181. Centrul de certificare trebuie să ia măsuri de protecţie a datelor personale conform legislaţiei Republicii Moldova.
    182. Registrul certificatelor cheilor publice trebuie păstrat şi gestionat în condiţii care îi vor asigura integritatea, accesibilitatea şi confidenţialitatea.
    183. Centrul de certificare trebuie să creeze copii de rezervă ale registrului certificatelor cheilor publice, precum şi pentru altă informaţie critică.
    184. Copiile de rezervă se păstrează în încăperi speciale ale centrului de certificare.
    185. Documentele centrului de certificare trebuie să fie protejate contra pierderii, distrugerii şi falsificării.
    186. Centrul de certificare trebuie să fixeze termenele de utilizare şi păstrare a documentelor şi a informaţiei, să elaboreze nomenclatorul dosarelor, în care vor fi specificate tipurile documentelor principale şi perioada de păstrare a acestora.
    187. Utilizarea resurselor informaţionale ale centrului de certificare în scopuri personale de către angajaţii centrului este interzisă.
    188. Angajaţii centrului de certificare sînt obligaţi să cunoască riscurile legate de încălcarea securităţii informaţiei cu care lucrează.
Secţiunea a 7-a. Condiţiile referitoare la sistemul de
administrare a securit
ăţii informaţionale
    189. Centrul de certificare trebuie să creeze sistemul de administrare a securităţii informaţionale, să realizeze monitorizarea permanentă a sistemului de securitate informaţională şi să gestioneze riscurile.
    190. Pentru administrarea securităţii informaţionale se recomandă standardul internaţional ISO/IEC 17799-2005 "Tehnologii informaţionale. Cod de practici privind administrarea securităţii informaţionale".
VIII. Controlul activităţii centrului de certificare
    191. Centrul de certificare este obligat să efectueze o dată în doi ani un control complex al activităţii sale.
    192. Controlul complex al activităţii centrului de certificare se efectuează de către organul abilitat cu elaborarea şi promovarea politicii de stat şi cu exercitarea controlului în domeniul aplicării semnăturii digitale - Serviciului de Informaţii şi Securitate al Republicii Moldova (în continuare - organ competent), cu atragerea, după caz, a specialiştilor în domeniu.
    193. La iniţiativa centrului de certificare, controlul complex al activităţii acestuia poate fi realizat de către organizaţii specializate de audit şi de consultare în domeniul tehnologiilor informaţionale, cu atragerea reprezentantului organului competent, din contul centrului de certificare.
    194. Se recomandă ca organizaţia ce realizează controlul complex al activităţii centrului de certificare să corespundă următoarelor cerinţe:
    a) să posede personal cu calificare atestată prin certificate de auditori în domeniul sistemelor informaţionale (standarde internaţionale CISA sau CISM);
    b) să posede experienţă de audit în domeniul tehnologiilor informaţionale de minim 2 ani.
    195. Organizaţia ce realizează controlul complex al activităţii centrului de certificare trebuie:
    a) să asigure independenţa controlului efectuat;
    b) să efectueze controlul în conformitate cu normele şi standardele de audit în domeniul tehnologiilor informaţionale şi de securitate a sistemelor informaţionale;
    c) să utilizeze o metodologie de audit bazată pe evaluarea riscurilor şi pe procedurile corespunzătoare de evaluare a măsurilor de gestionare a riscurilor;
    d) să asigure confidenţialitatea informaţiei obţinute în urma controlului.
    196. Organizaţia ce realizează controlul complex al activităţii centrului de certificare trebuie să întocmească un act de verificare şi o încheiere.
    197. Actul de verificare se semnează de către persoana responsabilă care a efectuat controlul activităţii centrului de certificare, reprezentantul organului competent şi conducătorul persoanei juridice în cadrul căreia îşi desfăşoară activitatea centrul de certificare.
    198. Încheierea se întocmeşte pe baza actului de verificare şi reprezintă documentul care atestă (infirmă) concordanţa activităţii centrului de certificare cu normele stabilite în domeniul semnăturii digitale.
    199. Încheierea trebuie să cuprindă:
    a) evaluarea calităţii şi continuităţii serviciilor în domeniul semnăturii digitale prestate de către centrul de certificare;
    b) corespunderea activităţii centrului de certificare cu standardele, normele tehnice şi alte documente normative din domeniul semnăturii digitale;
    c) corespunderea activităţii centrului de certificare cu prevederile Regulamentului centrului de certificare, politicii de certificare şi politicii de securitate;
    d) corespunderea activităţii centrului de certificare cu funcţiile şi obligaţiile stabilite;
    e) concordanţa procedurilor principale ale centrului de certificare cu cerinţele înaintate;
    f) concordanţa activităţii centrului de certificare cu cerinţele de asigurare a securităţii centrului de certificare;
    g) concluzii privind suficienţa măsurilor de asigurare a confidenţialităţii, a integrităţii şi accesibilităţii informaţiei şi a serviciilor informaţionale;
    h) evaluarea calităţii şi complexităţii procedurilor interne ale centrului de certificare;
    i) analiza funcţiilor de gestionare a riscurilor centrului de certificare;
    j) respectarea procedurilor de asigurare a continuităţii în activitate a centrului de certificare;
    k) corespunderea complexului tehnic de program al centrului de certificare cu cerinţele înaintate;
    l) evaluarea măsurilor întreprinse pentru remedierea celor constatate în urma auditului precedent.
    200. Rezultatele controlului complex al activităţii centrului de certificare (copia actului şi încheierii), efectuat de către o organizaţie specializată de audit şi de consultare în domeniul tehnologiilor informaţionale, se prezintă organului competent.
    201. Centrul de certificare trebuie să efectueze periodic auditul intern al activităţii sale, în conformitate cu Regulamentul privind efectuarea auditului intern aprobat de către acest centru.
IX. Crearea, reorganizarea şi lichidarea centrului de certificare
Secţiunea 1. Condiţiile la crearea centrului de certificare
    202. Pentru prestarea serviciilor de certificare a cheilor publice, centrul de certificare trebuie să îndeplinească procedura de înregistrare conform normelor stabilite şi să certifice cheia publică a persoanei împuternicite a centrului de certificare la centrul de certificare ierarhic superior.
    203. Pentru înregistrarea centrului de certificare, persoana juridică care creează centrul de certificare este obligată să asigure îndeplinirea următoarelor condiţii:
    a) să creeze (numească) o subdiviziune pentru realizarea funcţiilor centrului de certificare;
    b) să formeze un stat de personal, cu calificarea necesară pentru prestarea serviciilor de certificare a cheilor publice şi a altor servicii în domeniul semnăturii digitale;
    c) să amenajeze încăperi speciale, precum şi alte încăperi de lucru ale centrului de certificare conform condiţiilor referitoare la încăperile centrului de certificare stabilite în prezentele condiţii speciale;
    d) să creeze complexul tehnic de program al centrului de certificare în conformitate cu normele tehnice din domeniul semnăturii digitale şi conform prezentelor condiţii speciale;
    e) să numească persoana împuternicită a centrului de certificare (administratorul certificare), administratorul înregistrări, administratorul securitate şi administratorul sistem;
    f) să creeze sistemul de securitate al centrului de certificare în conformitate cu prezentele condiţii speciale;
    g) să creeze o subdiviziune (să numească un angajat) responsabilă de protecţia criptografică a informaţiei în centrul de certificare;
    h) să elaboreze şi să aprobe baza normativă a centrului de certificare necesară pentru prestarea serviciilor de certificare a cheilor publice, care include următoarele documente obligatorii:
    politica de certificare a centrului de certificare;
    Regulamentul centrului de certificare;
    politica de securitate a centrului de certificare;
    politica de acordare şi control al accesului la resursele centrului de certificare;
    planul de gestionare a riscurilor;
    planul de asigurare a continuităţii activităţii centrului de certificare;
    procedurile de restabilire a activităţii centrului de certificare;
    instrucţiuni ce reglementează securitatea şi exploatarea MPCI;
    regulamentul privind efectuarea auditului intern al centrului de certificare.
    i) să obţină o garanţie bancară la o bancă înregistrată pe teritoriul Republicii Moldova sau o poliţă de asigurare la o companie de asigurări înregistrată în Republica Moldova în favoarea organului competent pentru o sumă în lei echivalentă a 20.000 euro.
    204. În procesul înregistrării, centrul de certificare trebuie să treacă procedura unui control complex în conformitate cu cerinţele de control al activităţii centrului de certificare, stabilite în prezentele condiţii speciale.
Secţiunea a 2-a. Condiţiile referitoare la reorganizarea
centrului de certificare
    205. Reorganizarea centrului de certificare se efectuează prin formele prevăzute de legislaţie, funcţiile acestuia fiind transmise unei alte persoane juridice.
    206. Transmiterea centrului de certificare se efectuează:
    a) pe baza contractului de transmitere a centrului de certificare;
    b) pe baza deciziei de reorganizare a persoanei juridice.
    207. Persoana juridică trebuie să anunţe organul competent şi centrul de certificare ierarhic superior despre decizia privind transmiterea centrului de certificare în termen de cel puţin de 30 de zile pînă la momentul transmiterii.
    208. Persoana juridică trebuie să anunţe toate centrele de certificare ierarhic inferioare şi utilizatorii semnăturii digitale despre decizia privind transmiterea centrului de certificare şi despre necesitatea reîncheierii contractelor de deservire cu noul centru de certificare în termen de cel puţin de 30 zile pînă la momentul transmiterii.
    209. Prin decizia persoanelor juridice interesate se creează comisia de transmitere a centrului de certificare.
    210. În componenţa comisiei de transmitere a centrului de certificare trebuie să intre:
    a) reprezentanţii persoanelor juridice;
    b) reprezentantul organului competent;
    c) alte persoane, stabilite de părţi.
    211. În procesul de transmitere, centrul de certificare trebuie:
    a) să distrugă cheile private ale persoanelor împuternicite ale centrului de certificare fără a le atinge confidenţialitatea, în conformitate cu cerinţele stabilite de organul competent;
    b) să transmită registrul certificatelor cheilor publice.
    212. Registrul certificatelor cheilor publice sub formă de documente electronice se transmite pe suporturi materiale, iar registrul certificatelor cheilor publice sub formă de documente pe suport de hîrtie se transmite sub formă de arhivă a documentelor pe suporturi de hîrtie.
    213. Certificatele cheilor publice eliberate de către centrul de certificare continuă să fie valabile pînă la expirarea termenului de valabilitate.
    214. La încheierea lucrărilor comisiei se întocmeşte actul de primire-predare, conform căruia persoana juridică căreia i-a fost transmis centrul de certificare devine succesorul de drepturi al centrului. Actul se semnează de membrii comisiei şi se aprobă de către conducătorii persoanelor juridice interesate.
Secţiunea a 3-a. Condiţiile referitoare la lichidarea
centrului de certificare
    215. Centrul de certificare poate fi lichidat:
    a) la iniţiativa persoanei juridice care a creat centrul de certificare;
    b) la iniţiativa organului competent în cazul încălcării normelor în domeniul semnăturii digitale;
    c) în cazul lichidării persoanei juridice care a creat centrul de certificare.
    216. Persoana juridică trebuie să anunţe organul competent şi centrul de certificare ierarhic superior despre decizia de lichidare a centrului de certificare în termen de cel puţin de 30 de zile pînă la momentul lichidării.
    217. Utilizatorii semnăturii digitale vor fi înştiinţaţi despre decizia de lichidare a centrului de certificare într-o perioadă de cel puţin 30 de zile pînă la momentul lichidării.
    218. Procedura de lichidare a centrului de certificare la iniţiativa persoanei juridice care a creat centrul de certificare se iniţiază prin ordinul conducătorului persoanei juridice.
    219. Prin ordinul conducătorului persoanei juridice care lichidează centrul de certificare se creează comisia de lichidare, în sarcina căreia intră desfăşurarea procedurii de lichidare.
    220. Lichidarea centrului de certificare la iniţiativa organului competent este efectuată pe cale judiciară în baza încheierii organului competent privind încălcarea legislaţiei în domeniul semnăturii digitale. După pronunţarea hotărîrii instanţei de judecată, prin ordinul conducătorului organului competent, se creează comisia de lichidare.
    221. În componenţa comisiei de lichidare trebuie să intre:
    a) conducătorul persoanei juridice ce a creat centrul de certificare;
    b) reprezentantul organului competent;
    c) alte persoane, numite prin ordin.
    222. În procesul de lichidare, centrul de certificare trebuie:
    a) să distrugă cheile private ale persoanelor împuternicite ale centrului de certificare fără a le atinge confidenţialitatea în conformitate cu cerinţele stabilite de către organul competent;
    b) să revoce certificatele cheilor publice ale utilizatorilor semnăturii digitale eliberate de centrul de certificare aflat în curs de lichidare;
    c) să publice statutul certificatelor cheilor publice;
    d) să transmită spre păstrare organului competent registrul certificatelor cheilor publice.
    223. Registrul certificatelor cheilor publice sub formă de documente electronice se transmite pe suporturi materiale, iar registrul certificatelor cheilor publice sub formă de documente pe suport de hîrtie se transmite sub formă de arhivă a documentelor pe suporturi de hîrtie, fapt ce se consemnează în actul de primire-predare, semnat de către conducătorul persoanei juridice şi reprezentantul organului competent, responsabil pentru păstrare. Registrul certificatelor cheilor publice se păstrează în formă arhivată în conformitate cu legislaţia în vigoare.
    224. Comisia de lichidare întocmeşte un act, în urma căruia centrul de certificare îşi încetează existenţa.

    Aprobat:                                           Înregistrat:
    Serviciul de Informaţii şi                     Ministerul Justiţiei
    Securitate al Republicii Moldova        al Republicii Moldova
    Ordinul nr. 13 din 3 aprilie 2006         nr. de înregistrare 452
                       din 21 iunie 2006
    ______________ Ion URSU            ______________ Victoria IFTODI

Anexa nr. 3
la Ordinul directorului Serviciului
de Informaţii şi Securitate
al Republicii Moldova
nr. 13 din 3 aprilie 2006
REGULAMENTUL
Centrului de certificare a cheilor publice de nivel superior
I. Dispoziţii generale
    1. Prezentul Regulament este elaborat în temeiul Legii nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală şi al Hotărîrii Guvernului nr. 945 din 5 septembrie 2005 "Cu privire la centrele de certificare a cheilor publice".
    2. Regulamentul stabileşte condiţiile generale de organizare a activităţii Centrului de certificare a cheilor publice de nivel superior (în continuare - Centrul de certificare), precizează funcţiile, obligaţiile şi drepturile acestuia, mecanismul şi procedurile aplicate de către Centrul de certificare la administrarea infrastructurii ierarhice unice a cheilor publice (Public Key Infrastructure, PKI), precum şi modul de conlucrare cu centrele de certificare şi cu utilizatorii semnăturii digitale, măsurile tehnico-organizatorice de bază pentru asigurarea securităţii.
    3. Regulamentul Centrului de certificare a cheilor publice de nivel superior este un act normativ în domeniul aplicării semnăturii digitale, obligatoriu pentru toate persoanele fizice şi juridice ce utilizează semnătura digitală sau desfăşoară activităţi în domeniul semnăturii digitale.
    4. Centrul de certificare este o subdiviziune structurală a Serviciului de Informaţii şi Securitate care îşi desfăşoară activitatea în domeniul protecţiei criptografice şi tehnice a informaţiei.
    5. Conducătorul Centrului de certificare se numeşte în funcţie prin ordinul directorului Serviciului de Informaţii şi Securitate.
II. Funcţiile, obligaţiile şi drepturile Centrului de certificare
    6. Centrul de certificare îndeplineşte următoarele funcţii:
    a) certifică cheile publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al doilea;
    b) suspendă şi restabileşte valabilitatea, revocă certificatele cheilor publice emise de către Centrul de certificare;
    c) întocmeşte şi gestionează registrul certificatelor cheilor publice ale persoanelor împuternicite ale Centrului de certificare şi ale centrelor de certificare de nivelul al doilea (în continuare - Registrul certificatelor cheilor publice);
    d) confirmă autenticitatea şi valabilitatea certificatelor cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al doilea.
    7. Pentru îndeplinirea funcţiilor sale, Centrul de certificare:
    a) asigură crearea şi eliberarea certificatelor cheilor publice pe baza cererii persoanelor împuternicite ale centrelor de certificare de nivelul al doilea, sub formă de document electronic şi sub formă de document pe suport de hîrtie, în conformitate cu procedurile stabilite de prezentul Regulament;
    b) suspendă şi restabileşte valabilitatea, revocă certificatele cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al doilea în cazurile şi în conformitate cu procedurile stabilite de prezentul Regulament;
    c) ţine evidenţa centrelor de certificare de nivelul al doilea;
    d) gestionează Registrul certificatelor cheilor publice sub formă de documente pe suport de hîrtie şi sub formă de documente electronice;
    e) asigură conlucrarea cu centrele de certificare de nivelul al doilea în cadrul infrastructurii ierarhice unice a cheilor publice;
    f) acordă consultaţii şi suport metodologic persoanelor împuternicite ale centrelor de certificare de nivelul al doilea;
    g) confirmă autenticitatea şi valabilitatea certificatelor cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al doilea;
    h) confirmă autenticitatea şi valabilitatea certificatelor cheilor publice emise de către centrele de certificare de nivelul al doilea, în cazurile prevăzute de prezentul Regulament;
    i) desfăşoară activitatea în domeniul protecţiei criptografice şi tehnice a informaţiei;
    j) creează sistemele informaţionale şi de telecomunicaţii ale Centrului de certificare, asigură funcţionarea, securitatea, deservirea şi modernizarea lor, efectuează auditul intern permanent al securităţii şi funcţionalităţii acestor sisteme.
    8. Centrul de certificare este obligat:
    să-şi desfăşoare activitatea în strictă conformitate cu legislaţia şi cerinţele stabilite de organul abilitat cu elabo-rarea şi promovarea politicii de stat şi cu exercitarea controlului în domeniul aplicării semnăturii digitale (în continuare - organul competent);
    să utilizeze mijloacele semnăturii digitale ce dispun de certificatul de conformitate eliberat în conformitate cu legislaţia în vigoare;
    să utilizeze mijloacele semnăturii digitale în conformitate cu documentaţia de exploatare;
    să organizeze regimul interior de funcţionare a Centrului de certificare astfel încît să se excludă posibilitatea accesului persoanelor terţe la mijloacele semnăturii digitale, la modificarea şi utilizarea lor neautorizată;
    să asigure securitatea cheilor private ale persoanelor împuternicite ale Centrului de certificare şi ale altor angajaţi, să creeze condiţiile necesare pentru excluderea accesului neautorizat la cheile private;
    să administreze suporturile materiale de chei private în conformitate cu cerinţele stabilite de organul competent;
    să utilizeze cheia privată a persoanei împuternicite a Centrului de certificare numai la semnarea certificatelor cheilor publice eliberate de acesta şi a listelor certificatelor revocate;
    să creeze certificatul cheii publice a persoanei împuternicite a Centrului de certificare şi lista certificatelor revocate în conformitate cu cerinţele stabilite de organul competent şi de prezentul Regulament;
    să nu utilizeze cheia privată pentru crearea semnăturii digitale dacă există dovezi (suspiciuni) că a fost încălcată confidenţialitatea cheii private;
    să suspende imediat valabilitatea certificatului cheii publice a persoanei împuternicite a Centrului de certificare dacă există dovezi (suspiciuni) că a fost încălcată confidenţialitatea cheii private, precum şi în cazul în care informaţiile cuprinse în certificatul cheii publice nu corespund realităţii;
    să revoce certificatul cheii publice a persoanei împuternicite a Centrului de certificare în cazul constatat de încălcare a confidenţialităţii cheii private sau de neconcordanţă realităţii a informaţiilor cuprinse în certificatul cheii publice;
    să primească cererile de certificare a cheilor publice de la persoanele împuternicite ale centrelor de certificare de nivelul al doilea în conformitate cu procedurile stabilite de prezentul Regulament;
    să verifice autenticitatea datelor stipulate în cererea de certificare a cheii publice pe baza documentelor ce confirmă aceste date, să asigure conformitatea informaţiilor cuprinse în certificatul cheii publice cu informaţiile prezentate de către persoana împuternicită a centrului de certificare de nivelul al doilea;
    să asigure unicitatea informaţiei de înregistrare a persoanelor împuternicite ale centrelor de certificare de nivelul al doilea în Registrul certificatelor cheilor publice;
    să nu divulge informaţiile confidenţiale şi alte informaţii protejate de lege;
    să verifice unicitatea cheilor publice certificate;
    să asigure unicitatea numerelor de înregistrare ale certificatelor cheilor publice eliberate;
    să creeze certificatul cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea, conform cerinţelor stabilite de organul competent şi de prezentul Regulament;
    să introducă certificatul cheii publice în Registrul certificatelor cheilor publice nu mai tîrziu de data şi ora la care începe termenul de valabilitate a certificatului;
    să elibereze certificatele cheilor publice către persoanele împuternicite ale centrelor de certificare de nivelul al doilea în conformitate cu procedurile stabilite de prezentul Regulament;
    să suspende şi să restabilească valabilitatea, sau să revoce certificatul cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea în cazurile şi în conformitate cu procedurile stabilite de prezentul Regulament;
    să înscrie datele privind certificatul cheii publice revocat sau suspendat în lista certificatelor revocate în termen de 3 ore de lucru, precizînd data, ora şi cauza revocării sau suspendării valabilităţii certificatului;
    să excludă din lista certificatelor revocate datele privind certificatul cheii publice suspendat în termen de 3 ore de lucru din momentul restabilirii valabilităţii acestuia;
    să înştiinţeze din timp persoana împuternicită a centrului de certificare de nivelul al doilea despre suspendarea valabilităţii sau revocarea certificatului cheii publice, în cazurile şi în conformitate cu procedurile stabilite de prezentul Regulament;
    să înştiinţeze persoana împuternicită a centrului de certificare de nivelul al doilea despre suspendarea şi restabilirea valabilităţii sau revocarea certificatului cheii publice în conformitate cu procedurile stabilite de prezentul Regulament;
    să înştiinţeze persoana împuternicită a centrului de certificare de nivelul al doilea despre faptele de care a luat cunoştinţă Centrul de certificare şi care pot influenţa esenţial asupra posibilităţii utilizării ulterioare a certificatului cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea;
    să înştiinţeze titularul certificatului cheii publice despre faptele de care a luat cunoştinţă Centrul de certificare, ce indică asupra imposibilităţii utilizării ulterioare a cheii private aparţinînd acestui titular;
    să păstreze certificatul cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea, precum şi alte informaţii despre acest certificat nu mai puţin de 10 ani din momentul revocării sau expirării termenului de valabilitate a certificatului;
    să asigure actualizarea Registrului certificatelor cheilor publice şi posibilitatea accesului liber la acesta al persoanelor împuternicite ale centrelor de certificare de nivelul al doilea şi utilizatorilor semnăturii digitale, să întreprindă măsurile necesare pentru asigurarea securităţii Registrului;
    să pună la dispoziţia persoanelor împuternicite ale centrelor de certificare de nivelul al doilea şi utilizatorilor semnăturii digitale datele din Registrul certificatelor cheilor publice privind certificatele revocate sau suspendate;
    să creeze şi să păstreze copia de rezervă a Registrului certificatelor cheilor publice în conformitate cu cerinţele stabilite de organul competent;
    să asigure posibilitatea de a se determina ora şi data eliberării, suspendării valabilităţii şi revocării certificatului cheii publice;
    la cererea utilizatorilor semnăturii digitale, să confirme autenticitatea şi valabilitatea certificatelor cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al doilea;
    la cererea instanţei de judecată, a altor persoane şi organe ce dispun de acest drept în temeiul legii sau în alte cazuri prevăzute de legislaţia în domeniul aplicării semnăturii digitale, să confirme autenticitatea şi valabilitatea certificatelor cheilor publice eliberate de centrele de certificare de nivelul al doilea şi să prezinte, pe suport de hîrtie, copiile certificatelor cheilor publice incluse în Registrul certificatelor cheilor publice;
    să sincronizeze activitatea serviciilor Centrului de certificare, inclusiv a mijloacelor tehnice şi de program conform destinaţiei, cu Timpul Mondial Coordonat (UTC). Se permite sincronizarea serviciilor conform Timpului Greenwich (Greenwich Mean Team, GMT), fără trecerea la ora de vară;
    să amplaseze mijloacele tehnice de program, destinate pentru certificarea cheilor publice, în încăperi speciale şi să asigure securitatea acestora;
    să dispună de personal care posedă calificarea necesară.
    9. Centrul de certificare are dreptul:
    a) să creeze certificatul cheii publice a persoanei împuternicite a Centrului de certificare şi să îndeplinească procedura de eliberare către sine a certificatului cheii publice;
    b) să numească mai multe persoane împuternicite cu drepturi egale pentru semnarea certificatelor cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul al doilea;
    c) să refuze eliberarea certificatului cheii publice către persoana împuternicită a centrului de certificare de nivelul al doilea, precizînd motivele refuzului, în cazurile:
    prezentării în cererea de certificare a cheilor publice a unor informaţii ce nu corespund realităţii;
    încălcării prevederilor legislaţiei în domeniul aplicării semnăturii digitale;
    încălcării drepturilor persoanelor terţe în procesul întocmirii sau depunerii cererii;
    d) să confirme autenticitatea şi valabilitatea certificatelor cheilor publice ale utilizatorilor semnăturii digitale;
    e) să suspende valabilitatea sau să revoce certificatul cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea în cazurile şi în modul prevăzute de legislaţie şi de prezentul Regulament.
III. Organizarea activităţii Centrului de certificare
Secţiunea 1. Procedurile Centrului de certificare
    10. Centrul de certificare îndeplineşte următoarele proceduri:
    a) certificarea cheii publice a persoanei împuternicite a Centrului de certificare;
    b) suspendarea valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare;
    c) revocarea certificatului cheii publice a persoanei împuternicite a Centrului de certificare;
    d) certificarea cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea;
    e) suspendarea valabilităţii certificatului cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea;
    f) revocarea certificatului cheii publice a persoanei împuternicite a centrului de certificare de nivelul al doilea;
    g) confirmarea autenticităţii şi valabilităţii certificatului cheii publice.
    1.1. Certificarea cheii publice a persoanei împuternicite a Centrului de certificare
    11. Crearea certificatului cheii publice a persoanei împuternicite a Centrului de certificare se realizează de însuşi Centrul de certificare, în temeiul împuternicirilor stabilite de legislaţia în domeniul aplicării semnăturii digitale.
    12. Persoana împuternicită a Centrului de certificare creează cheia sa privată şi cea publică conform cerinţelor stabilite de organul competent.
    13. Persoana împuternicită a Centrului de certificare creează certificatul cheii publice sub formă de document electronic pe care îl semnează cu cheia sa privată.
    14. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare sub formă de document electronic trebuie să corespundă standardului ISO/IEC 9594/8 Directory Services, standardului Uniunii Internaţionale de Telecomunicaţii ITU-T X.509, versiunea 3, şi recomandării IETF (Internet Engineering Task Force) RFC 3280 (RFC 2459).
    15. După crearea certificatului cheii publice sub formă de document electronic persoana împuternicită a Centrului de certificare creează certificatul cheii sale publice sub formă de document pe suport de hîrtie, cu următorul conţinut:
    a) numărul de înregistrare a certificatului cheii publice;
    b) datele de identificare ale Centrului de certificare, numărul de identificare al unităţii de drept (IDNO);
    c) numele şi prenumele persoanei împuternicite a Centrului de certificare - titular al certificatului cheii publice;
    d) numărul de identificare al persoanei fizice - persoanei împuternicite a Centrului de certificare (IDNP);
    e) denumirea Centrului de certificare şi funcţia deţinută de către persoana împuternicită a Centrului de certificare;
    f) cheia publică a persoanei împuternicite a Centrului de certificare - titular al certificatului cheii publice;
    g) data şi ora la care începe şi încetează termenul de valabilitate a certificatului cheii publice;
    h) datele despre algoritmul criptografic al semnăturii digitale şi alte date tehnologice stabilite de Centrul de certificare;
    i) domeniile de aplicare a semnăturii digitale şi alte restricţii impuse;
    j) alte date, în conformitate cu standardele tehnice şi cerinţele stabilite de organul competent.
    16. Structura certificatului cheii publice a persoanei împuternicite a Centrului de certificare este prezentată în anexa nr. 1 la prezentul Regulament.
    17. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare pe suport de hîrtie se semnează de persoana împuternicită a Centrului de certificare, de conducătorul Centrului de certificare, se aprobă de directorul Serviciului de Informaţii şi Securitate şi se autentifică cu ştampila Serviciului.
    18. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare sub formă de document electronic este valabil în următoarele condiţii:
    a) informaţiile cuprinse în certificat corespund informaţiilor precizate în certificatul aprobat al cheii publice pe suport de hîrtie;
    b) certificatul este semnat cu cheia privată a persoanei împuternicite a Centrului de certificare, care corespunde cheii publice precizate în certificat.
    19. În scopul recunoaşterii internaţionale a certificatelor cheilor publice eliberate în cadrul infrastructurii cheilor publice din Republica Moldova, se admite certificarea cheii publice a persoanei împuternicite a Centrului de certificare într-un centru de certificare de nivel internaţional.
    20. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare se păstrează în Registrul certificatelor cheilor publice sub formă de document pe suport de hîrtie şi sub formă de document electronic.
    1.2. Suspendarea valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare
    21. Suspendarea valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare se realizează prin decizia organului competent în cazul:
    a) încălcării legislaţiei în domeniul aplicării semnăturii digitale;
    b) existenţei motivelor de a presupune că a fost încălcată confidenţialitatea cheii private; sau
    c) existenţei motivelor de a presupune că informaţiile cuprinse în certificatul cheii publice nu corespund realităţii.
    22. Valabilitatea certificatului cheii publice a persoanei împuternicite a Centrului de certificare se suspendă prin dispoziţia directorului Serviciului de Informaţii şi Securitate, pe o durată de pînă la 30 de zile.
    23. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare a cărui valabilitate a fost suspendată, în termen de 3 ore de lucru, se înscrie în lista certificatelor revocate a Centrului de certificare, iar Centrul de certificare emite lista actualizată a certificatelor revocate.
    24. Ora suspendării valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    25. Lista certificatelor revocate a Centrului de certificare este un document electronic şi trebuie să corespundă standardului ISO/IEC 9594/8 Directory Services, standardului Uniunii Internaţionale de Telecomunicaţii ITU-T X.509, versiunea 2, şi recomandării IETF RFC 3280 (RFC 2459).
    26. Structura listei certificatelor revocate este prezentată în anexa nr. 2 la prezentul Regulament.
    27. În cazul suspendării valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare, prin dispoziţia directorului Serviciului de Informaţii şi Securitate, este creată comisia pentru efectuarea unei anchete de serviciu.
    28. Din componenţa Comisiei fac parte:
    a) reprezentanţii organului competent;
    b) conducătorul Centrului de certificare;
    c) alte persoane care posedă cunoştinţe şi experienţa necesară în domeniul aplicării semnăturii digitale şi întocmirii documentelor electronice.
    29. Persoanele care fac parte din componenţa Comisiei trebuie să dispună de dreptul de acces la materialele documentare şi la mijloacele tehnice şi de program, necesare pentru desfăşurarea activităţii comisiei.
    30. Comisia examinează, la nivel tehnico-organizatoric, împrejurările ce au dus la suspendarea valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare, stabileşte cauzele şi urmările situaţiei create, identifică măsurile necesare pentru soluţionarea acesteia.
    31. Durata de activitate a comisiei nu poate depăşi 30 de zile din ziua suspendării valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare.
    32. În termen de 5 zile pînă la expirarea termenului pe care a fost suspendată valabilitatea certificatului cheii publice a persoanei împuternicite a Centrului de certificare, comisia întocmeşte un act, indicînd împrejurările ce au dus la suspendarea valabilităţii certificatului cheii publice, cauzele şi urmările situaţiei create, măsurile necesare pentru soluţionarea acesteia şi recomandările privind restabilirea valabilităţii sau revocarea certificatului cheii publice a persoanei împuternicite a Centrului de certificare.
    33. Pe baza rezultatelor stabilite de comisie, în termen de 5 zile pînă la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice a persoanei împuternicite a Centrului de certificare, prin dispoziţia directorului Serviciului de Informaţii şi Securitate se adoptă decizia privind restabilirea valabilităţii sau revocarea cheii publice a persoanei împuternicite a Centrului de certificare.
    34. În cazul în care pînă la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice nu se adoptă decizia privind restabilirea valabilităţii acestuia, certificatul cheii publice se revocă.
    35. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare a cărui valabilitate a fost restabilită, în termen de 3 ore de lucru, va fi radiat din lista certificatelor revocate, iar Centrul de certificare va emite lista actualizată a certificatelor revocate.
    36. Ora restabilirii valabilităţii certificatului cheii publice a persoanei împuternicite a Centrului de certificare se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    1.3. Revocarea certificatului cheii publice a persoanei împuternicite a Centrului de certificare
    37. Certificatul cheii publice a persoanei împuternicite a Centrului de certificare se revocă pe baza deciziei organului competent în următoarele cazuri:
    a) în cazul faptului constatat de compromitere a cheii private;
    b) la depistarea unor informaţii neconforme realităţii în cererea de certificare a cheii publice sau în certificatul cheii publice;
    c) la introducerea unor modificări în certificatul cheii publice;
    d) la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice, dacă nu a fost adoptată decizia de restabilire a valabilităţii acestuia;
    e) la expirarea termenului de valabilitate a certificatului cheii publice.
    38. Revocarea certificatului cheii publice a persoanei împuternicite a Centrului de certificare din motivele indicate la punctul 37 literele a) şi b) din prezentul Regulament se va face numai după suspendarea prealabilă a valabilităţii certificatului.
    39. Decizia privind revocarea certificatului cheii publice a persoanei împuternicite a Centrului de certificare se perfectează prin dispoziţia directorului Serviciului de Informaţii şi Securitate.
    40. Certificatul revocat al cheii publice a persoanei împuternicite a Centrului de certificare, în termen de 3 ore de lucru, se înscrie în lista certificatelor revocate, iar Centrul de certificare emite lista actualizată a certificatelor revocate.
    41. Ora revocării certificatului cheii publice a persoanei împuternicite a Centrului de certificare se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    42. În cazul revocării certificatului cheii publice din motivul expirării termenului de valabilitate, certificatul dat nu se înscrie în lista certificatelor revocate.
    43. În cazul eliberării din funcţie a persoanei împuternicite a Centrului de certificare, cheia sa privată se distruge, fără a fi încălcată