Утратил силу согласно ПСИБ70 от 15.07.16, МО215-216/19.07.16; в силу с 19.07.16

Во исполнение Постановления Правительства № 945 от 5 сентября 2005 года о центрах сертификации открытых ключей (Официальный монитор Республики Молдова, 2005 г., № 123-125, ст. 1020), на основании ч. (2) ст. 36 Закона № 264-XV от 15 июля 2004 года об электронном документе и цифровой подписи (Официальный монитор Республики Молдова, 2004 г., № 132-137, ст. 710) ПРИКАЗЫВАЮ:

2. Контроль за исполнением настоящего Приказа возложить на заместителя директора Службы информации и безопасности Республики Молдова, господина Валентина Дедю.

1. Настоящее Положение разработано в соответствии с Законом об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 г., Постановлением Правительства № 945 от 5 сентября 2005 г. "О центрах сертификации открытых ключей" и устанавливает процедуру регистрации центров сертификации открытых ключей (далее - центры сертификации) в органе, уполномоченном законом осуществлять разработку и реализацию государственной политики, а также осуществлять контроль в сфере применения цифровой подписи - Службе информации и безопасности Республики Молдова (далее - уполномоченный орган).

2. Для предоставления услуг по сертификации открытых ключей и иных видов услуг, связанных с цифровой подписью, центры сертификации должны пройти процедуру регистрации в уполномоченном органе и сертифицировать открытый ключ уполномоченного лица центра в вышестоящем центре сертификации.

3. Учет центров сертификации осуществляется в рамках Государственного регистра правовых единиц и Регистра центров сертификации открытых ключей.

a) заявление о регистрации согласно образцу, предусмотренному в приложении № 1 к настоящему Положению, в котором указываются:

должность, фамилия и имя руководителя юридического лица, номер документа, удостоверяющего личность, идентификационный номер физического лица (IDNP);

c) банковская гарантия или страховой полис, предусмотренные пунктом 5 настоящего Положения (только для центров сертификации, предоставляющих услуги по сертификации открытых ключей третьим лицам);

e) копия приказа руководителя юридического лица о назначении работников центра сертификации, ответственных за деятельность центра сертификации, и лиц, уполномоченных подписывать сертификаты открытых ключей, а также копия документов, удостоверяющих личность данных лиц;

f) копия документов об уровне образования и квалификации ответственных должностных лиц, функциональные обязанности которых непосредственно связаны с предоставлением услуг по сертификации открытых ключей;

j) копия лицензии на право осуществления деятельности в сфере криптографической защиты информации (только для центров сертификации, предоставляющих услуги по сертификации открытых ключей третьим лицам).

5. Центр сертификации, предоставляющий услуги по сертификации открытых ключей третьим лицам, обязан обладать финансовыми ресурсами, необходимыми для возмещения убытков, которые могут быть причинены владельцам сертификатов открытых ключей, пользователям или третьим лицам вследствие невыполнения или ненадлежащего выполнения центром сертификации своих обязательств.

В этих целях центр сертификации предоставляет банковскую гарантию или страховой полис в пользу уполномоченного органа на сумму, размер которой в молдавских леях эквивалентен 20.000 евро.

6. Заявление о регистрации и документы, прилагаемые к нему, составленные на молдавском языке, подаются в уполномоченный орган руководителем юридического лица или другим уполномоченным лицом. Документы представляются в оригинале или в копиях с предъявлением оригиналов для сверки. Документы могут сопровождаться копиями на электронном носителе.

7. Заявление о регистрации и документы, прилагаемые к нему, принимаются по описи, копия которой направляется (вручается) заявителю с отметкой о дате приема документов, заверенной подписью ответственного лица.

8. На основании документов, указанных в пункте 4 настоящего Положения, уполномоченный орган в срок до 15 дней проверяет соблюдение центром сертификации требований в сфере цифровой подписи.

9. В процессе проверки заявления о регистрации, уполномоченный орган имеет право проверять подлинность документов, приложенных к заявлению о регистрации.

10. Интересы юридического лица, подавшего заявление о регистрации, представляются руководителем юридического лица или другими лицами, уполномоченными в установленном порядке.

12. По результатам проверки соблюдения требований в сфере цифровой подписи и на основании составленного заключения руководитель уполномоченного органа принимает решение о регистрации центра сертификации или об отказе в регистрации.

13. В случае принятия решения о регистрации, центру сертификации в течение 5 рабочих дней выдается свидетельство о регистрации согласно образцу, предусмотренному в приложении № 2 к настоящему Положению.

14. Копия свидетельства о регистрации центра сертификации направляется Министерству информационного развития для учета центра в Государственном регистре правовых единиц.

15. Решение об отказе в регистрации должно содержать убедительное обоснование и обязательные ссылки на законодательные и нормативные акты, которые были нарушены. Решение доводится до сведения заявителя в течение 5 рабочих дней.

16. Отказ в регистрации не может служить препятствием для повторной подачи документов на регистрацию, если были устранены причины, послужившие основанием для отказа.

19. В случае внесения изменений в документы, указанные в пункте 4 настоящего Положения, центр сертификации в течение 10 рабочих дней представляет соответствующие документы уполномоченному органу.

20. В случае утраты свидетельства о регистрации в течение 5 рабочих дней с момента подачи соответствующего заявления центру сертификации выдается дубликат свидетельства.

b) копия объявления об утрате оригинала свидетельства о регистрации, опубликованного в Официальном мониторе Республики Молдова.

23. По результатам рассмотрения заявления о выдаче дубликата свидетельства о регистрации составляется заключение, на основании которого руководитель уполномоченного органа принимает решение о выдаче или об отказе в выдаче дубликата.

26. Копия выданного дубликата и все материалы, послужившие основанием для его выдачи, прилагаются к регистрационному досье.

27. Материалы, относящиеся к регистрации центров сертификации, хранятся в отдельных регистрационных досье, в которые вносятся документы, указанные в пункте 4 настоящего Положения, а также копия свидетельства о регистрации.

28. В регистрационные досье вносится и вся последующая корреспонденция с соответствующим центром сертификации, а также данные проверок.

30. Уполномоченный орган выдает по заявке уполномоченных лиц и в рамках, предусмотренных законодательством, данные и копии документов из регистрационных досье.

31. На основании решения о регистрации центр сертификации получает регистрационный номер и вносится в Регистр центров сертификации открытых ключей.

33. Держателем Регистра центров сертификации открытых ключей является уполномоченный орган, регистратором - Центр сертификации открытых ключей высшего уровня.

35. Регистр центров сертификации открытых ключей ведется в соответствии с требованиями, предусмотренными Законом о регистрах.

36. Центры сертификации обязаны в течение 10 дней проинформировать уполномоченный орган об изменениях и дополнениях данных, содержащихся в Регистре центров сертификации открытых ключей.

37. Информация о зарегистрированных центрах сертификации и о центрах, деятельность которых прекращена, публикуется уполномоченным органом на своей официальной странице в сети Интернет.

Настоящим, в соответствии с пунктом 7 Положения о порядке создания и организации
деятельности центров сертификации открытых ключей, утвержденного
Постановлением Правительства № 945 от 5 сентября 2005 года, ______________________,

1. Специальные условия деятельности центров сертификации открытых ключей (далее - специальные условия) разработаны в соответствии с Законом об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 г. и Постановлением Правительства № 945 от 5 сентября 2005 г. "О центрах сертификации открытых ключей".

2. Специальные условия устанавливают общие требования, предъявляемые к центрам сертификации, их инфраструктуре и организации основных процедур, к системе управления информационной безопасностью, а также требования по регистрации, организации и проверке деятельности центров сертификации.

3. Специальные условия являются регламентирующим документом в сфере цифровой подписи и обязательны для всех юридических лиц, оказывающих услуги по сертификации открытых ключей и иные виды услуг, связанных с цифровой подписью.

пользователь цифровой подписи - юридическое или физическое лицо, а также устройство или приложение, пользующееся услугами центра сертификации;

идентификация - присвоение субъектам и объектам доступа идентификатора и/или сравнение предъявляемого идентификатора с перечнем присвое-нных идентификаторов;

целостность - достоверность, непротиворечивость и актуальность информации, ее защищенность от разрушения и несанкционированного изменения;

доступность - возможность получить требуемую информацию или информационную услугу в течение удовлетворяющего стороны периода времени;

средства криптографической защиты информации (СКЗИ) - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам связи;

список отозванных сертификатов - созданный центром сертификации список сертификатов открытых ключей, действие которых приостановлено или прекращено до окончания срока их действия;

криптографическая и техническая защита информации - защита информации с применением специальных математических (криптографических) методов, программных, технических, программно-технических и иных средств, а также организационно-технических процедур;

защита информации от утечки - комплекс мер, направленных на предотвращение неконтролируемого распространения защищаемой информации по техническим и побочным каналам с помощью специальных технических средств;

защита информации от несанкционированного доступа - комплекс мер, направленных на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением прав или правил доступа к защищаемой информации, установленных правовыми документами или собственником (владельцем) информации;

защита информации от непреднамеренного воздействия - комплекс мер, направленных на предотвращение непреднамеренного воздействия на защищаемую информацию вследствие ошибок пользователя, сбоев программно-технических средств, природных явлений или иных причин, не целенаправленных на изменение информации, но приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее утрате, уничтожению или сбою функционирования материального носителя информации;

политика безопасности - совокупность докумен-тированных управленческих решений, направленных на защиту информации, технических и программных средств информационных систем.

a) сертификация открытых ключей уполномоченных лиц центров сертификации третьего уровня (только для центров сертификации второго уровня);

8. В процессе предоставления услуг по сертификации открытых ключей физических лиц центр сертификации должен обеспечить выполнение следующих процедур:

9. Центр сертификации обеспечивает процесс администрирования (управления) сертификатами открытых ключей путем комплексного выполнения указанных процедур.

10. Объекты, используемые центром сертификации, должны принадлежать ему на правах собственности, находиться в аренде, хозяйственном управлении или пользовании.

11. Центр сертификации должен использовать средства цифровой подписи, имеющие сертификат соответствия, выданный в соответствии с действующим законодательством.

12. Организация внутреннего режима работы центра сертификации должна исключать возможность несанкционированного физического доступа к средствам цифровой подписи, их несанкционированное использование или модификацию.

13. Центр сертификации должен создать необходимые условия для обеспечения безопасности открытого и закрытого ключей уполномоченных лиц центра сертификации и реестра сертификатов открытых ключей.

14. Центр сертификации должен обеспечить использование закрытого ключа уполномоченного лица центра сертификации только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов.

15. Центр сертификации должен исключить возможность использования закрытого ключа уполномоченного лица центра сертификации при наличии оснований полагать, что нарушена конфиденциальность соответствующего закрытого ключа.

16. Центр сертификации должен разработать и утвердить политику сертификации, содержащую набор правил, определяющих использование сертификата, выданного центром сертификации в соответствии с установленными требованиями по безопасности.

17. Центр сертификации должен разработать и утвердить Регламент центра сертификации, устанавливающий организационные, технические и другие условия деятельности центра сертификации при предоставлении услуг по сертификации открытых ключей.

f) основные организационно-технические мероприятия по обеспечению безопасности центра сертификации, включая политику конфиденциальности;

l) порядок действий в случае компрометации закрытого ключа уполномоченного лица центра сертификации и пользователя цифровой подписи;

s) порядок доведения до пользователей цифровой подписи политики сертификации и содержания Регламента центра сертификации.

19. Политика сертификации и Регламент центра сертификации должны соответствовать рекомендациям IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework).

20. Центр сертификации должен исключить возможность разглашения регистрационной информации пользователей цифровой подписи, за исключением информации, которая используется для идентификации их сертификатов открытых ключей и публикуется путем включения в сертификаты пользователей цифровой подписи.

21. Режим конфиденциальности при обращении со сведениями, которые доверены или стали известны центру сертификации при осуществлении его деятельности, должен обеспечивать:

d) идентификацию и аутентификацию пользователей цифровой подписи с использованием современных средств аутентификации и криптографических протоколов;

e) разграничение доступа субъектов к различным объектам и/или целевым функциям центра сертификации на основе идентификации субъектов и их функционального разграничения;

22. Центр сертификации должен обеспечить управление доступом субъектов к различным объектам и/или целевым функциям центра сертификации на основе идентификации субъектов и их функционального разграничения.

23. Центр сертификации должен обеспечить резервное копирование, сохранение и восстановление критически важной для своей деятельности информации, а также установление, в случае необходимости, дополнительных или резервных технических ресурсов.

24. Центр сертификации должен располагать достаточным персоналом, обладающим необходимой квалификацией, для функционирования и обеспечения безопасности центра сертификации.

25. Центр сертификации должен выполнять свои функции на основе принципа разделения привилегий (обязанностей) должностных лиц: администратора регистрации, администратора сертификации, администратора безопасности и системного администратора.

26. Администратор регистрации отвечает за правильность (достоверность) информационного наполнения сертификата открытого ключа и регистрацию владельцев сертификатов открытых ключей в процессе создания, приостановления или возобновления действия, а также отзыва сертификатов открытых ключей.

27. Администратор сертификации (уполномоченное лицо центра сертификации) отвечает за создание, приостановление или возобновление действия и отзыв сертификатов открытых ключей, ведение реестра сертификатов открытых ключей, безопасное хранение и использование своего закрытого ключа.

28. Администратор безопасности отвечает за надлежащее функционирование комплексной системы защиты информации, а также разработку и реализацию политики безопасности центра сертификации.

29. Системный администратор отвечает за администрирование, надлежащее функционирование и обеспечение безопасности программно-технического комплекса центра сертификации.

31. Операторы выполняют работу по ежедневному обслуживанию программно-технического комплекса центра сертификации (копирование и восстановление системы, ведение архивов, ввод информации и пр.).

32. Центр сертификации должен исключить совмещение функций администратора регистрации, администратора сертификации, администратора безопасности, системного администратора и оператора.

33. Центр сертификации должен синхронизировать работу своих служб, в том числе программных и технических средств по предназначению, с Всемирным координированным временем (UTC). Рекомендуется использовать два независимых источника UTC. Допускается синхронизация по Гринвичскому среднему времени (Greenwich Mean Time - GMT).

34. Регистрацию физических лиц выполняет администратор регистрации, управляющий данными о владельце сертификата открытого ключа.

35. Администратор регистрации проводит идентификацию физического лица, подавшего заявление на сертификацию своего открытого ключа в соответствии с утвержденными центром сертификации процедурами.

a) соответствие процесса составления и подачи заявления положениям Закона об электронном документе и цифровой подписи, Регламента центра сертификации и других нормативных документов в сфере применения цифровой подписи;

c) соответствие информации, представленной в заявлении в форме электронного документа, информации, представленной в заявлении в виде документа на бумажном носителе;

37. Администратор регистрации должен удостовериться, что физическое лицо, подавшее заявление на сертификацию открытого ключа, является владельцем соответствующего закрытого ключа.

38. Электронные документы администратора регистрации должны быть подписаны цифровой подписью, содержать метки времени, определяющие момент создания электронных документов, и передаваться с использованием систем, обеспечивающих конфиденциальность сообщений.

40. Центр сертификации создает и выдает сертификаты открытых ключей в соответствии с утвержденными центром сертификации процедурами.

41. Центр сертификации должен разработать и утвердить политику и процедуры сертификации открытых ключей в соответствии с установленными техническими нормами в сфере цифровой подписи.

42. Создание сертификата открытого ключа физического лица осуществляется администратором сертификации (уполномоченным лицом центра сертификации).

43. Администратор сертификации должен проверить целостность и достоверность данных, поступивших от администратора регистрации, а также их соответствие установленному стандарту сертификатов открытых ключей.

44. Центр сертификации должен обеспечить достоверность информации, содержащуюся в сертификате открытого ключа, а также целостность сертификата.

45. Сертификат открытого ключа должен соответствовать утвержденным в центре сертификации профилям, соответствующим политике сертификации.

46. Центр сертификации должен внести сертификат открытого ключа в реестр сертификатов не позднее даты и времени начала действия сертификата.

47. Закрытый ключ администратора сертификации должен использоваться только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов (CRL).

48. Центр сертификации приостанавливает, возобновляет действие или отзывает сертификат открытого ключа в случаях, установленных нормативными документами в сфере цифровой подписи.

49. Центр сертификации должен разработать и утвердить процедуры приостановления, возобновления действия и отзыва сертификатов открытых ключей в соответствии с техническими нормами, установленными в сфере цифровой подписи.

50. Центр сертификации должен разработать и утвердить безопасные процедуры аутентификации лица, заявившего о намерении приостановить, возобновить действие или отозвать свой сертификат открытого ключа, а также процедуры подтверждения действительности заявления о приостановлении, возобновлении действия или отзыве сертификата открытого ключа.

51. Центр сертификации незамедлительно приостанавливает действие сертификата открытого ключа при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа владельца сертификата или содержащаяся в сертификате открытого ключа информация не соответствует действительности.

52. Центр сертификации отзывает сертификат открытого ключа в случае установления факта нарушения конфиденциальности закрытого ключа владельца сертификата или несоответствия действительности информации, содержащейся в сертификате открытого ключа.

53. Приостановление, возобновление действия и отзыв сертификата открытого ключа осуществляется администратором сертификации под обязательным контролем со стороны администратора безопасности или другого должностного лица, назначенного руководителем центра сертификации.

54. Центр сертификации должен занести сведения об отозванном или приостановленном сертификате в список отозванных сертификатов в течение 3 рабочих часов с указанием даты и времени занесения и причины отзыва или приостановления действия сертификата.

56. Сертификат открытого ключа, действие которого было возобновлено, в течение 3 рабочих часов удаляется из списка отозванных сертификатов.

58. Центр сертификации должен разработать и утвердить процедуру уведомления владельца сертификата открытого ключа о приостановлении, возобновлении действия или отзыве сертификата.

Раздел 4. Требования к процедурам публикации сертификатов
открытых ключей и распространения информации о приостановленных
и отозванныхсертификатах открытых ключей

59. Распространение (публикация) сертификатов открытых ключей осуществляется в соответствии с установленными центром сертификации процедурами, а доступ третьих лиц может ограничиваться, если того требует владелец сертификата.

60. Центр сертификации должен разработать и утвердить политику контроля доступа к сертификатам открытых ключей, выданных центром сертификации.

61. Доступ к сертификатам открытых ключей должен предоставляться только лицам, имеющим на это право в соответствии с правилами, установленными политикой безопасности центра сертификации или владельцами сертификатов.

63. Центр сертификации должен предоставлять информацию о состоянии сертификатов открытых ключей в режиме реального времени (on-line), а также в других режимах, установленных центром сертификации, включая абонентскую рассылку списков отозванных сертификатов (off-line).

64. Центр сертификации должен обеспечить целостность и подлинность отправляемых сообщений в процессе проверки состояния сертификатов открытых ключей. Все ответы, касающиеся состояния сертификатов, должны быть подписаны цифровой подписью уполномоченного лица центра сертификации.

65. Центр сертификации может требовать, чтобы третьи лица подписывали цифровой подписью свои запросы относительно состояния сертификатов открытых ключей.

66. Центр сертификации может предоставлять ответ на запросы о состоянии сертификата открытого ключа, используя данные, которые были обновлены во время последнего периодического оповещения пользователей.

68. Информация, содержащаяся в реестре сертификатов открытых ключей, должна быть защищена от несанкционированного доступа, изменения или уничтожения.

69. Центр сертификации должен установить порядок доступа с правом внесения записи или изменения в реестр сертификатов открытых ключей для лиц, имеющих такое право в соответствии с их функциональными обязанностями.

70. Центр сертификации должен использовать механизмы аутентификации субъектов, имеющих доступ к соответствующей информации в реестре сертификатов открытых ключей.

71. Помещения центра сертификации должны обеспечивать стабильную работу программно-технического комплекса, систем связи и других технических компонентов, систем энерго-, водо- и теплоснабжения, кондиционирования воздуха, противопожарных систем, обеспечивать защищенность персонала и способствовать предотвращению хищений, утери и несанкционированной модификации, уничтожения данных и программно-технических средств.

72. Помещения центра сертификации должны соответствовать требованиям санитарных норм, по безопасности труда и охраны окружающей среды, установленным действующим законодательством.

73. Помещения центра сертификации должны находиться в зоне безопасности (зона, в которой имеют право находиться только сотрудники организации, в составе которой действует центр сертификации) и быть оборудованы в соответствии с требованиями по обеспечению безопасности.

74. К помещениям специального режима (далее - специальные помещения) центра сертификации относятся помещения, в которых установлены основные технические средства программно-технического комплекса (серверные помещения), хранятся материальные носители, содержащие: резервные копии реестра сертификатов открытых ключей, резервные копии системного и прикладного программного обеспечения, закрытые ключи сотрудников центра сертификации или секретные ключи других криптографических систем центра сертификации.

a) соответствовать условиям максимальной безопасности, установленным настоящими специальными условиями, для обеспечения физической безопасности и технической защиты информации;

b) быть оборудованными автономными средствами и системами пожарной сигнализации, автоматического пожаротушения и удаления дыма согласно нормативам NCM.E.03.03-2003 г. "Dotarea clădirilor şi instalaţiilor cu sisteme autonome de semnalizare şi stingere a incendiilor" и NCM.E.03.05-2004 г. "Instalaţii autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare";

c) отвечать требованиям, действующим в Республике Молдова, по проектированию и эксплуатации электрической сети, согласно нормам, предусмотренным в Правилах устройства электроустановок, Правилах технической эксплуатации электроустановок потребителей и Правилах техники безопасности при эксплуатации электроустановок потребителей;

d) обеспечивать работу основных технических средств в течение не менее 30 минут после прекращения основного электроснабжения;

e) оборудоваться средствами вентиляции и кондиционирования воздуха, имеющими сертификат соответствия, выданный в соответствии с действующим законодательством.

76. В помещениях, предназначенных для хранения документации и резервных копий реестра сертификатов открытых ключей, должны устанавливаться металлические хранилища.

77. Программно-технический комплекс центра сертификации должен обеспечивать выполнение центром функций по сертификации открытых ключей и соответствовать техническим нормам в сфере цифровой подписи.

78. Эксплуатация программно-технического комплекса центра сертификации должна осуществляться в соответствии с установленными требованиями по обеспечению безопасности.

79. Технические средства программно-технического комплекса, используемые центром сертификации, должны быть собственностью центра, либо быть арендованными или полученными в пользование на основании письменного договора.

80. Каждое техническое средство должно быть зарегистрировано и проверено на возможность его эксплуатации, каждое техническое и программное средство должно быть снабжено технической документацией.

81. Работоспособность технических средств должна периодически проверяться на протяжении всего цикла функционирования, а результаты проверок должны документироваться.

82. Все технические средства должны быть обеспечены возможностью ремонта. Для аппаратуры, требующей периодического технического обслуживания, должны быть разработаны соответствующие инструкции и графики технического обслуживания. Все оборудование и контрольно-измерительная аппаратура должны содержаться в условиях, обеспечивающих их сохранность.

83. Программно-технический комплекс центра сертификации должен обеспечивать возможность резервного копирования и сохранения критически важной для деятельности центра сертификации информации, ее быстрого и целостного восстановления в случае отказов, сбоев и ошибок в системе, а также установки, при необходимости, дополнительных или резервных технических ресурсов.

84. В своей деятельности центр сертификации должен использовать только свободно распространяемое или лицензионное программное обеспечение.

85. Центр сертификации обязан обеспечить управление программно-техническим комплексом или его отдельными подсистемами только лицами, наделенными полномочиями администрирования, а также исключить несанкционированное изменение конфигурации оборудования, системных настроек, алгоритмов работы программных средств, изменение поддерживаемых информационных потоков или процессов.

86. Центр сертификации должен располагать штатом сотрудников, количественный состав, профессиональная подготовка, опыт работы и квалификация которых должны быть на уровне, позволяющем решать весь комплекс задач по предоставлению услуг в области цифровой подписи.

87. Расстановка кадров центра сертификации должна быть отражена в соответствующей организационной структуре и номенклатуре должностей, утвержденных руководителем юридического лица. Уровень квалификации каждого специалиста должен быть подтвержден документально.

88. Для каждого специалиста центра сертификации должны быть установлены конкретные требования по образованию, техническим знаниям и опыту работы. Должны быть также определены должностные обязанности, функции, права, ответственность и требования по режиму конфиденциальности.

89. Каждый сотрудник центра сертификации обязан знать и выполнять свои должностные обязанности, периодически повышать свою квалификацию, осваивать смежные профессии по профилю своей деятельности.

90. Центр сертификации должен периодически проводить проверку и оценку уровня квалификации специалистов и обеспечивать повышение этого уровня.

91. При отсутствии специалистов для выполнения специальных работ центр сертификации может привлекать сотрудников других организаций с обеспечением установленных требований по безопасности.

92. Сотрудники центра сертификации должны подписывать обязательства о конфиденциальности в соответствии со статьей 53 Трудового кодекса Республики Молдова, а также, при необходимости, обязательства о неразглашении коммерческой тайны, распространяющиеся как на период действия заключенного индивидуального трудового договора, так и на период после его истечения, установленный договором.

93. Информационными ресурсами центра сертификации являются реестр сертификатов открытых ключей и служебные документы центра сертификации.

94. Информационные ресурсы центра сертификации ведутся в виде документов на бумажном носителе и в форме электронных документов, которые хранятся на материальных носителях.

95. Основным информационным ресурсом центра сертификации является реестр сертификатов открытых ключей, представляющий собой набор электронных документов и документов на бумажном носителе, включающий:

c) решения о приостановлении, возобновлении действия или отзыве сертификатов открытых ключей пользователей цифровой подписи;

d) сертификаты открытых ключей уполномоченных лиц центров сертификации третьего уровня (только для центров сертификации второго уровня);

e) заявления на приостановление, возобновление действия или отзыв сертификатов открытых ключей уполномоченных лиц центров сертификации третьего уровня (только для центров сертификации второго уровня);

96. Документация центра сертификации должна соответствовать международному стандарту ISO 15489 "Информация и документация - управление документацией".

98. Срок архивного хранения реестра сертификатов открытых ключей составляет не менее 10 лет с момента отзыва последнего занесенного в реестр сертификата.

99. Подготовка к уничтожению и уничтожение архивных документов осуществляется комиссией, формируемой из числа сотрудников центра сертификации в соответствии с действующим законодательством.

100. Работы по подготовке к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляются сотрудниками центра сертификации, обеспечивающими документирование, в порядке, установленном руководителем центра сертификации.

101. Центр сертификации обеспечивает доступ пользователей цифровой подписи к реестру сертификатов открытых ключей посредством:

a) защита конфиденциальной информации при ее хранении, обработке и передаче (криптографические ключи, средства криптографической защиты информации, персональные сведения, охраняемые в соответствии с действующим законодательством, парольная информация и т.п.);

b) контроль целостности конфиденциальной и открытой информации (информация о владельцах, входящая в состав сертификатов открытых ключей, информация о приостановленных и отозванных сертификатах открытых ключей, свободно распрост-раняемые программные компоненты и доку-ментация к ним и т.п.);

a) защищать информацию о владельцах сертификатов открытых ключей посредством обеспечения конфиденциальности, целостности и безопасного доступа к реестру сертификатов открытых ключей;

e) обеспечить способность центра сертификации продолжать деятельность в чрезвычайных и других критических ситуациях (обеспечение непрерывности деятельности центра сертификации).

e) подсистема защиты информации от непреднамеренного воздействия, включая подсистему резервного копирования и архивирования данных;

f) подсистема обеспечения целостности информации, программных и аппаратных компонентов программно-технического комплекса центра сертификации, в том числе криптографическими методами;

g) подсистема обеспечения доступности, включая подсистему безотказной работы программно-технического комплекса центра сертификации;

h) подсистема защиты оборудования программно-технического комплекса центра сертификации от утечки информации по техническим и побочным каналам;

106. Центр сертификации должен разработать требования по обеспечению своей безопасности, критерии и показатели оценки уровня безопасности, в соответствии с которыми осуществлять те или иные мероприятия и внедрять конкретные средства защиты информации.

107. Любая функция центра сертификации может быть делегирована третьим лицам только с учетом требований по безопасности центра сертификации.

108. Центр сертификации должен разработать и утвердить внутренние бизнес-процессы, обеспечивающие безопасную деятельность центра сертификации.

109. Любая форс-мажорная ситуация, которая может негативно повлиять на выполнение обязательных процедур центра сертификации, должна быть доведена до сведения владельцев сертификатов открытых ключей.

110. Центр сертификации должен разработать и утвердить политику безопасности центра сертификации, которая должна отражать видение проблемы информационной безопасности центра сертификации, систему мер по ее обеспечению, ответственность сотрудников и механизмы контроля состояния информационной безопасности.

111. Политика безопасности должна обеспечивать соблюдение общепринятых правил, норм и стандартов в сфере информационной безопасности и должна содержать:

b) анализ рисков центра сертификации, возникающих в связи с применением информационных и телекоммуникационных технологий;

k) процедуры ознакомления пользователей цифровой подписи с Регламентом и политикой безопасности центра сертификации и получение от них обязательств по соблюдению положений Регламента и политики безопасности;

112. Центр сертификации должен разработать и утвердить систему предоставления прав доступа к ресурсам центра сертификации согласно установленным процедурам доступа.

113. Центр сертификации должен анализировать все компоненты своей инфраструктуры (аппаратное и программное обеспечение, средства защиты информации и т.д.) с точки зрения рисков, планировать и осуществлять мероприятия по минимизации и устранению выявленных рисков.

114. Центр сертификации должен внедрять автоматизированные инструменты анализа информационных и телекоммуникационных систем, бизнес-процессов центра сертификации для выявления, определения уязвимых мест в системе безопасности.

115. Центр сертификации должен разработать и утвердить план мероприятий по обеспечению непрерывности своей деятельности, который периодически корректируется на основании анализа текущей деятельности и тестирования различных возможных чрезвычайных ситуаций.

116. Центр сертификации должен создать и поддерживать систему физической безопасности, обеспечивающую защиту инфраструктуры, информационных ресурсов и персонала центра, обладающую гибкостью при изменении предъявляемых к ней требований, возможностью наращивания функций, и быть простой в эксплуатации.

120. Инженерно-техническое и специальное оборудование, охрана и режим доступа в специальные помещения центра сертификации должны обеспечивать безопасность конфиденциальной информации и криптографических ключей, контролируемый доступ в эти помещения, а также доступ к техническим средствам и криптографическим ключам.

121. Центр сертификации должен категорировать специальные помещения, определить порядок доступа и утвердить перечень лиц, которым разрешен доступ в эти помещения.

122. Доступ сотрудников центра сертификации в специальные помещения осуществляется на основании действующих в центре сертификации инструкций и приказов.

123. Физический доступ в специальные помещения центра сертификации должен быть возможен только после двойного контроля и в соответствии с установленными правами доступа.

124. Сотрудники центра сертификации, имеющие доступ в специальные помещения, несут персональную ответственность за несанкционированный допуск в эти помещения посторонних лиц.

125. Специальные помещения в обязательном порядке оборудуются системами контроля доступа и видеонаблюдения, позволяющими отслеживать доступ лиц в данные помещения.

126. Специальные помещения в обязательном порядке оборудуются многорубежными системами охранной и тревожной сигнализации в соответствии с методологическими и техническими нормами проектирования и монтажа систем охранной сигнализации, утвержденными Постановлением Правительства № 667 от 8 июля 2005 г. "О мерах по реализации Закона № 283-XV от 4 июля 2003 г. о частной детективной и охранной деятельности".

127. При размещении технических средств центр сертификации должен обеспечить их защиту от несанкционированного доступа, кражи, пожаров, наводнений, сильных электромагнитных полей и других возможных рисков.

128. Помещения, предназначенные для размещения персонала центра сертификации, а также иные служебные помещения должны оборудоваться:

129. При расположении служебных и иных помещений центра сертификации на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются внутренними решетками.

130. Для минимизации рисков, связанных с применением информационных и телекоммуникационных технологий, центр сертификации разрабатывает и внедряет комплекс мер по обеспечению безопасности своих информационных и телекоммуникационных систем (программных и технических средств, каналов связи, сетевого оборудования, обрабатываемой, хранимой и передаваемой информации) функционированием следующих подсистем безопасности:

a) разделяет доступ к информационным объектам и функциям информационных систем в соответствии с правилами доступа, основанными на атрибутах доступа;

b) регистрирует попытки запуска (завершения работы) приложений и процессов, предназначенных для обработки защищаемых ресурсов по следующим параметрам:

c) регистрирует попытки получения доступа (выполнения операций) приложений и процессов к защищаемым ресурсам по следующим параметрам:

d) регистрирует попытки несанкционированного входа субъектов доступа в систему, попытки несанкционированного запуска приложений (процессов) или выполнения операций, а также блокирует все несанкционированные операции и оповещает об этом администратора безопасности;

g) ведет учет защищаемых ресурсов центра сертификации, проводит регистрацию выдачи/приема материальных носителей с конфиденциальной информацией;

133. Подсистема обеспечения целостности обеспечивает неизменность программной среды, целостность обрабатываемой информации, программно-технических средств и средств защиты информации.

b) обеспечивает гарантированное сохранение информационных ресурсов центра сертификации, а также возможность их восстановления в случае необходимости или в форс-мажорных обстоятельствах;

c) обеспечивает постоянный доступ пользователей системы к информационным ресурсам центра сертификации в соответствии с установленными правилами доступа к информации.

b) обеспечивает контроль доступа субъектов к операциям шифрования и криптографическим ключам в соответствии с установленными правилами доступа.

136. Архитектура информационных и телекоммуникационных систем центра сертификации и их подсистем безопасности должна быть достаточно гибкой, допускать простое, без структурных изменений, развитие конфигурации используемых средств, наращивание функций и ресурсов.

137. Информационные и телекоммуникационные системы центра сертификации должны сопровождаться документацией, обеспечивающей квалифицированную их эксплуатацию.

138. Отдельные критические компоненты информационных и телекоммуникационных систем центра сертификации должны иметь системы резервирования и восстановления после нарушения режима безопасности или отказов (сбоев).

139. Информационные и телекоммуникационные системы, их компоненты, программные и технические средства центра сертификации должны соответствовать установленным нормам политики информационной безопасности, а со стороны их разработчиков (производителей, поставщиков и т.д.) должна осуществляться необходимая техническая поддержка.

140. Центр сертификации должен обеспечить защиту своих информационных и телекоммуникационных систем от воздействия вредоносного программного обеспечения (систему антивирусной защиты).

141. Центр сертификации должен категорировать ресурсы информационных систем, определить порядок доступа и утвердить перечень лиц, которым разрешен доступ к отдельным ресурсам информационных и телекоммуникационных систем.

142. Центр сертификации должен разработать, утвердить и внедрить необходимые механизмы и процедуры разграничения и контроля логического и физического доступа к оборудованию информационных систем и телекоммуникационным ресурсам.

143. Доступ сотрудников центра сертификации к ресурсам информационных и телекоммуникационных систем должен осуществляться на основании действующих в центре сертификации инструкций и приказов в соответствии с утвержденными правами доступа.

144. Центр сертификации должен установить и документировать процедуры администрирования и использования системного и прикладного программного обеспечения.

145. Внедрение новых или усовершенствованных информационных и телекоммуникационных систем, их компонентов, программных и технических средств должно производиться только в установленном порядке, с соблюдением требований по обеспечению информационной безопасности.

146. Центр сертификации должен разработать и утвердить соответствующие инструкции по применению новых или модификации существующих информационных и телекоммуникационных систем, их компонентов, программных и технических средств.

147. Ответственный персонал центра сертификации должен быть инструктирован о функциональности и правилах администрирования (эксплуатации) новых или усовершенствованных информационных телекоммуникационных систем, их компонентов, программных и технических средств.

148. Все возможные изменения в конфигурации информационных и телекоммуникационных систем, их компонентов, программных и технических средств должны быть протестированы до их внедрения в операционную среду. Решение о модификации принимается только после оценки рисков, связанных с внедрением данных изменений.

149. Центр сертификации должен разработать и утвердить формальные процедуры контроля модификаций информационных и телекоммуникационных систем, их компонентов, программных и технических средств.

150. Центр сертификации должен использовать безопасные, контролируемые сетевые подключения и механизмы, обеспечивающие целостность и конфиденциальность информации при ее передаче через публичные сети.

151. Центр сертификации должен внедрять системы межсетевого экранирования, обеспечивающие защиту внутренних информационных и телекоммуникационных систем и ресурсов центра сертификации.

152. Ответственный персонал центра сертификации (системные администраторы) обязаны осуществлять ежедневный контроль состояния информационных и телекоммуникационных систем, их компонентов, операционных и прикладных систем, а также инструментов безопасности.

153. Центр сертификации обеспечивает безопасность конфиденциальной информации при ее хранении, обработке и передаче по каналам связи, применяя технологии шифрования информации с использованием средств криптографической защиты информации (СКЗИ).

154. Для разработки и осуществления мероприятий по обеспечению безопасности информации и использованию СКЗИ в центре сертификации должно быть создано подразделение криптографической защиты информации (выделен сотрудник), разработаны и утверждены инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи конфиденциальной информации, защищаемой с использованием СКЗИ.

c) обеспечивает хранение и учет материальных носителей конфиденциальной информации, СКЗИ и документации к ним, материальных носителей ключевой информации, а также учет пользователей, непосредственно эксплуатирующих СКЗИ;

e) осуществляет контроль соблюдения пользователями установленных норм использования СКЗИ, эксплуатационной и технической документации к ним;

f) осуществляет контроль целостности системного и прикладного программного обеспечения технических средств, на которых установлены СКЗИ, а также контроль целостности СКЗИ;

g) выявляет факты нарушения установленных норм использования СКЗИ и принимает необходимые меры по предотвращению возможных последствий подобных нарушений.

b) своевременно выявлять попытки посторонних лиц получить сведения о конфиденциальной информации, об используемых СКЗИ и ключевых носителях;

c) незамедлительно принимать меры по предупреждению разглашения конфиденциальной информации, возможной утечки такой информации при использовании СКЗИ.

157. Сотрудники подразделения криптографической защиты должны иметь соответствующий уровень квалификации и осуществлять свою деятельность согласно должностным обязанностям.

158. Центр сертификации осуществляет внедрение и эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией к этим средствам, утвержденными инструкциями, а также настоящими специальными условиями.

d) порядок расследования фактов нарушения установленных правил использования СКЗИ, криптографических ключей, а также меры по устранению последствий выявленных нарушений;

160. Условия внедрения и эксплуатации СКЗИ должны исключать возможность несанкционированного доступа к ним, внесения изменений, хищения и бесконтрольного распространения.

161. Эксплуатирующиеся центром сертификации СКЗИ должны периодически подвергаться контрольным проверкам на протяжении всего цикла функционирования.

162. СКЗИ подлежат учету. Программные СКЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их функционирование.

163. При необходимости, для обеспечения целостности криптографических ключей могут создаваться резервные копии, которые хранятся в соответствии с установленными нормами по обеспечению их защиты от несанкционированного доступа и непреднамеренного воздействия.

164. Сотрудники центра сертификации несут персональную ответственность за сохранность и безопасность криптографических ключей.

166. Неиспользованные или выведенные из обра-щения материальные носители с крипто-графи-ческими ключами уничтожаются подразде-лением крипто-графической защиты.

167. Уничтожение криптографических ключей производится путем физического уничтожения материального носителя или гарантированного уничтожения ключевой информации без повреждения носителя (для его повторного использования).

168. Криптографические ключи СКЗИ должны периодически меняться. Процедура смены ключей устанавливается центром сертификации.

169. Криптографические ключи или СКЗИ, в отношении которых имеются основания полагать, что они скомпрометированы, немедленно выводятся из обращения, а подразделение криптографической защиты осуществляет комплекс необходимых мер для проверки факта и устранения последствий.

170. Центр сертификации обеспечивает защиту конфиденциальной информации, применяя технологии и специальные средства защиты информации от утечки по техническим каналам.

171. Центр сертификации должен исключить неконтролируемое пребывание посторонних лиц или автотранспортных средств, а также размещение случайных антенн в зоне радиусом не менее 15 метров от места размещения основных технических средств программно-технического комплекса (далее - контролируемая зона).

172. Серверные помещения центра сертификации должны быть защищены от утечки информации за счет побочных электромагнитных излучений и наводок путем экранирования помещений или установки систем электромагнитного зашумления.

173. В случае экранирования помещений должна обеспечиваться непрерывность электрического соединения материала всех частей экрана: стен, потолка, пола, оконных и дверных проемов. Дверное полотно должно иметь надежный электрический контакт с экраном помещения по всей поверхности, экранирующие конструкции должны быть заземлены через контур заземления, расположенный в контролируемой зоне.

174. Центр сертификации должен обеспечить защиту информации от утечки по цепям электропитания [развязка цепей электропитания объекта с применением защитных фильтров, блокирующих (подавляющих) сигнал].

175. В помещениях центра сертификации, в которых размещены технические средства, обрабатывающие конфиденциальную информацию, размещение посторонней электро-, радио- и другой аппаратуры должно быть исключено или ограничено.

176. Оборудование на линиях, которые имеют выход за пределы контролируемой зоны, должно уста-навли-ваться на расстоянии не менее 3 метров от основных технических средств программно-технического комплекса центра сертификации.

177. Достаточность применяемых технических мер защиты, а также необходимость установки допол-нительных специальных технических средств определяются по результатам специальных исследований и оценки защищенности объекта.

178. Информационные ресурсы центра сертификации должны быть классифицированы и категорированы в соответствии с уровнем их безопасности.

179. Вся информация, данные и документы должны обрабатываться и храниться согласно уровню классификации и категории данной информации.

180. Вся информация, данные и документы, классифицированные как конфиденциальные, должны храниться в отдельной безопасной среде.

181. Центр сертификации должен осуществлять меры по защите персональных данных в соответствии с законодательством Республики Молдова.

182. Реестр сертификатов открытых ключей должен храниться и обрабатываться в условиях, обеспечивающих его целостность, доступность и конфиденциальность.

183. Центр сертификации должен создавать резервные копии реестра сертификатов открытых ключей, другой критически важной информации.

186. Центр сертификации должен установить сроки использования и хранения документов и информации, разработать номенклатуру дел, в которую вносятся основные типы документов и установленные для них сроки хранения.

188. Персонал центра сертификации обязан знать риски, связанные с нарушением безопасности информации, с которой они работают.

189. Центр сертификации должен создать систему управления информационной безопасностью, проводить постоянный мониторинг системы информационной безопасности, выявлять угрозы информационной безопасности и управлять рисками.

190. Для управления информационной безопасностью рекомендуется руководствоваться международным стандартом ISO/IEC 17799-2005 "Информационные технологии. Свод правил по управлению безопасностью информации".

192. Комплексная проверка деятельности центра сертификации осуществляется уполномоченным органом по разработке и реализации государственной политики и контролю в сфере применения цифровой подписи - Службой информации и безопасности Республики Молдова (далее - уполномоченный орган), с привлечением в случае необходимости специалистов в данной сфере.

193. По инициативе центра сертификации комплексная проверка его деятельности может осуществляться организациями, специализирующимися в аудиторской и консультационной деятельности в сфере информационных технологий, с привлечением представителя уполномоченного органа за счет центра сертификации.

194. Рекомендуется, чтобы организация, осуществляющая комплексную проверку деятельности центра сертификации, соответствовала следующим требованиям:

a) обладать персоналом, квалификация которого подтверждена сертификатами аудиторов в сфере информационных систем (международные сертификаты CISA или CISM);

b) осуществлять проверку в соответствии с нормами и стандартами аудита в сфере информационных технологий и безопасности информационных систем;

c) использовать методологию проверки, основанную на оценке рисков и соответствующих процедурах оценки адекватности мероприятий по управлению рисками;

196. Организация, осуществляющая комплексную проверку деятельности центра сертификации, составляет акт проверки и заключение.

197. Акт проверки подписывается ответственным лицом, осуществившим проверку деятельности центра сертификации, представителем уполномоченного органа и руководителем юридического лица, в составе которого осуществляет свою деятельность центр сертификации.

198. Заключение составляется на основании акта проверки и является документом, подтверждающим (не подтверждающим) соответствие деятельности центра сертификации установленным нормам в сфере цифровой подписи.

b) соответствие деятельности центра сертификации стандартам, техническим нормам и другим нормативным документам в сфере цифровой подписи;

c) соответствие деятельности центра сертификации положениям Регламента центра сертификации, политике сертификации и политике безопасности;

g) выводы о достаточности мер по обеспечению конфиденциальности, целостности и доступности информации и информационных услуг;

200. Результаты комплексной проверки деятельности центра сертификации (копия акта и заключения), проведенной организацией, специализирующейся в аудиторской и консультационной деятельности в сфере информационных технологий, предоставляются уполномоченному органу.

201. Центр сертификации периодически должен проводить внутренний аудит своей деятельности в соответствии с Регламентом проведения внутреннего аудита, утвержденного данным центром.

202. Для предоставления услуг по сертификации открытых ключей центр сертификации должен пройти процедуру регистрации в соответствии с установленными нормами и сертифицировать открытый ключ уполномоченного лица центра сертификации в вышестоящем центре сертификации.

203. Для регистрации центра сертификации юридическое лицо, создающее центр сертификации, обязано обеспечить выполнение следующих условий:

b) создать штат сотрудников, обладающих квалификацией, необходимой для предоставления услуг по сертификации открытых ключей и других услуг в сфере цифровой подписи;

c) обустроить специальные помещения, а также другие рабочие помещения центра сертификации в соответствии с требованиями к помещениям центра сертификации, установленными настоящими специальными условиями;

d) создать программно-технический комплекс центра сертификации, соответствующий техническим нормам в сфере цифровой подписи и требованиям настоящих специальных условий;

e) назначить уполномоченное лицо центра сертификации (администратора сертификации), администратора регистрации, администратора безопасности и системного администратора;

g) создать подразделение (назначить сотрудника), ответственное за криптографическую защиту информации в центре сертификации;

h) разработать и утвердить нормативную базу центра сертификации, необходимую для предоставления услуг по сертификации открытых ключей, включающую следующие обязательные документы:

i) получить банковскую гарантию в банке, зарегистрированном на территории Республики Молдова, или страховой полис в страховой компании, зарегистрированной на территории Республики Молдова, в пользу уполномоченного органа на сумму в молдавских леях, эквивалентную 20 000 евро.

204. При регистрации центр сертификации должен пройти процедуру комплексной проверки в соответствии с установленными настоящими специальными условиями требованиями по проверке деятельности центра сертификации.

205. Реорганизация центра сертификации осуществляется в установленных законодательством формах путем передачи его функций другому юридическому лицу.

207. Юридическое лицо в срок не менее чем за 30 дней до момента передачи должно уведомить уполномоченный орган и вышестоящий центр сертификации о решении о передаче центра сертификации.

208. Юридическое лицо в срок не менее чем за 30 дней до момента передачи должно уведомить все нижестоящие центры сертификации и пользователей цифровой подписи о решении о передаче центра сертификации и о необходимости перезаключения контрактов на обслуживание с новым центром сертификации.

a) уничтожить закрытые ключи уполномоченных лиц центра сертификации без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом;

212. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях.

214. По окончании работы комиссии составляется акт приема-передачи, в соответствии с которым юридическое лицо, которому был передан центр сертификации, становится правопреемником центра. Акт подписывается членами комиссии и утверждается руководителями заинтересованных юридических лиц.

216. Юридическое лицо в срок не менее чем за 30 дней до момента ликвидации должно уведомить уполномоченный орган и вышестоящий центр сертификации о решении о ликвидации центра сертификации.

217. Пользователи цифровой подписи в срок не менее чем за 30 дней до момента ликвидации должны быть оповещены о ликвидации центра сертификации.

218. Процедура ликвидации центра сертификации по инициативе юридического лица, создавшего центр сертификации, инициируется приказом руководителя юридического лица.

219. Приказом руководителя юридического лица, ликвидирующего центр сертификации, создается ликвидационная комиссия, в задачи которой входит проведение процедуры ликвидации.

220. Ликвидация центра сертификации по инициативе уполномоченного органа осуществляется в судебном порядке на основании заключения уполномоченного органа о нарушении законодательства в сфере цифровой подписи. После вынесения судебного решения приказом руководителя уполномоченного органа создается ликвидационная комиссия.

223. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях, о чем составляется акт приема-передачи, который подписывается руководителем юридического лица, создавшего центр сертификации, и представителем уполномоченного органа, ответственным за хранение. Реестр сертификатов открытых ключей подлежит архивному хранению в соответствии с действующим законодательством.

224. Ликвидационной комиссией составляется акт, в соответствии с которым центр сертификации прекращает свое существование.

1. Настоящий Регламент разработан на основании Закона об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 г. и Постановления Правительства № 945 от 5 сентября 2005 г. "О центрах сертификации открытых ключей".

2. Регламент устанавливает общие условия организации деятельности Центра сертификации открытых ключей высшего уровня (далее - Центр сертификации), определяет его функции, обязанности и права, процедуры и механизмы, применяемые Центром сертификации для управления единой иерархической инфраструктурой открытых ключей (Public Key Infrastructure, PKI), а также общий порядок взаимодействия с центрами сертификации и пользователями цифровой подписи, основные организационно-технические мероприятия по обеспечению безопасности.

3. Регламент Центра сертификации открытых ключей высшего уровня является нормативным актом в сфере применения цифровой подписи, обязательным для всех физических и юридических лиц, применяющих цифровую подпись или осуществляющих деятельность в сфере цифровой подписи.

4. Центр сертификации является подразделением Службы информации и безопасности, осуществляющим деятельность в сфере криптографической и технической защиты информации.

c) создает и ведет реестр сертификатов открытых ключей уполномоченных лиц Центра сертификации и центров сертификации второго уровня (далее - Реестр сертификатов открытых ключей);

d) подтверждает подлинность и действительность сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня.

a) обеспечивает создание и выдачу сертификатов открытых ключей уполномоченным лицам центров сертификации второго уровня в форме электронного документа и в виде документа на бумажном носителе по их заявке в соответствии с процедурами, уста-новленными настоящим Регламентом;

b) приостанавливает, возобновляет действие и отзывает сертификаты открытых ключей уполномоченных лиц центров сертификации второго уровня в случаях и в соответствии с процедурами, установленными настоящим Регламентом;

e) обеспечивает взаимодействие с центрами сертификации второго уровня в рамках единой иерархической инфраструктуры открытых ключей;

g) подтверждает подлинность и действительность сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня;

h) подтверждает подлинность и действительность сертификатов открытых ключей, выданных центрами сертификации второго уровня, в случаях, предусмотренных настоящим Регламентом;

j) создает информационные и телекоммуникационные системы Центра сертификации, обеспечивает их функционирование, безопасность, обслуживание и совершенствование, осуществляет постоянный внутренний аудит безопасности и функциональности этих систем.

осуществлять свою деятельность в строгом соответствии с законодательством и требованиями, установленными уполномоченным органом по разработке и реализации государственной политики и контролю в сфере применения цифровой подписи (далее - уполномоченный орган);

использовать средства цифровой подписи, имеющие сертификат соответствия, выданный в соответствии с действующим законодательством;

организовать внутренний режим работы Центра сертификации таким образом, чтобы исключить возможность доступа посторонних лиц к средствам цифровой подписи, их несанкционированного использования и модификации;

обеспечивать безопасность закрытых ключей уполномоченных лиц Центра сертификации и других сотрудников, создавать необходимые условия для исключения несанкционированного доступа к закрытым ключам;

управлять материальными носителями закрытых ключей в соответствии с требованиями, установленными уполномоченным органом;

использовать закрытый ключ уполномоченного лица Центра сертификации только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов;

создавать сертификат открытого ключа уполномоченного лица Центра сертификации и список отозванных сер-тификатов в соответствии с требованиями, установлен-ными уполномоченным органом и настоящим Регламентом;

не использовать для создания цифровой подписи закрытый ключ при наличии оснований (подозрений) полагать, что нарушена конфиденциальность закрытого ключа;

незамедлительно приостановить действие сертификата открытого ключа уполномоченного лица Центра сертификации при наличии оснований (подозрений) полагать, что нарушена конфи-ден-циальность закрытого ключа, а также в случае, если содержащаяся в сертификате открытого ключа информация не соответствует действительности;

отозвать сертификат открытого ключа уполномоченного лица Центра сертификации в случае установленного факта нарушения конфиденциальности закрытого ключа или несоответствия действительности информации, содержащейся в сертификате открытого ключа;

принимать заявки на сертификацию открытых ключей от уполномоченных лиц центров сертификации второго уровня в соответствии с процедурами, установленными настоящим Регламентом;

проверять достоверность данных, указанных в заявке на сертификацию открытого ключа, на основании документов, подтверждающих указанные данные, обеспечивать соответствие информации, содержащейся в сертификате открытого ключа, информации, представленной уполномоченным лицом центра сертификации второго уровня;

обеспечивать уникальность регистрационной информации уполномоченных лиц центров серти-фикации второго уровня в Реестре сертификатов открытых ключей;

создавать сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в соответствии с требованиями, установленными уполномоченным органом и настоящим Регламентом;

вносить сертификат открытого ключа в Реестр сертификатов открытых ключей не позднее даты и времени начала действия сертификата;

выдавать сертификаты открытых ключей уполномоченным лицам центров сертификации второго уровня в соответствии с процедурами, установленными настоящим Регламентом;

приостанавливать, возобновлять действие или отзывать сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в случаях и в соответствии с процедурами, установленными настоящим Регламентом;

вносить сведения об отозванном или приостановленном сертификате открытого ключа в список отозванных сертификатов в течение 3 рабочих часов с указанием даты и времени внесения и причины отзыва или приостановления действия сертификата;

исключать сведения о приостановленном сертификате открытого ключа из списка отозванных сертификатов в течение 3 рабочих часов с момента возобновления его действия;

заранее уведомлять уполномоченное лицо центра сертификации второго уровня о приостановлении действия или об отзыве сертификата открытого ключа в случаях и в соответствии с процедурами, установленными настоящим Регламентом;

уведомлять уполномоченное лицо центра сертификации второго уровня о приостановлении, возобновлении действия или отзыве его сертификата открытого ключа в соответствии с процедурами, установленными настоящим Регламентом;

уведомлять уполномоченное лицо центра сертификации второго уровня о фактах, ставших известными Центру сертификации, которые существенным образом могут повлиять на возможность дальнейшего использования сертификата открытого ключа уполномоченного лица центра сертификации второго уровня;

уведомлять владельца сертификата открытого ключа о ставших известными Центру сертификации фактах, указывающих на невозможность дальнейшего использования закрытого ключа, принадлежащего данному владельцу;

хранить сертификат открытого ключа уполномоченного лица центра сертификации второго уровня, а также иную информацию о данном сертификате не менее 10 лет с момента отзыва или окончания срока действия сертификата;

обеспечивать актуальность Реестра сертификатов открытых ключей и возможность свободного доступа к нему уполномоченных лиц центров сертификации второго уровня и пользователей цифровой подписи, принимать необходимые меры по обеспечению безопасности реестра;

предоставлять уполномоченным лицам центров сертификации второго уровня и пользователям цифровой подписи сведения из Реестра сертификатов открытых ключей об отозванных или приостановленных сертификатах;

создавать и хранить резервную копию Реестра сертификатов открытых ключей в соответствии с требованиями, установленными уполномоченным органом;

обеспечивать возможность определения даты и времени выдачи, приостановления действия и отзыва сертификата открытого ключа;

подтверждать подлинность и действительность сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня по обращениям пользователей цифровой подписи;

по запросу судебной инстанции, а также лиц и органов, имеющих такое право в силу закона, или в других случаях, предусмотренных законодательством в сфере применения цифровой подписи, подтверждать подлинность и действительность сертификатов открытых ключей, выданных центрами сертификации второго уровня, и предоставлять копии сертификатов открытых ключей, находящихся в Реестре сертификатов открытых ключей, на бумажном носителе;

синхронизировать работу служб Центра сертификации, в том числе программных и технических средств по предназначению, с Всемирным координированным временем (UTC). Допускается синхронизация служб с Гринвичским средним временем (Greenwich Mean Time, GMT) без учета перехода на летнее время;

размещать программно-технические средства, предназначенные для сертификации открытых ключей, в специальных помещениях и обеспечивать их безопасность;

a) создавать сертификат открытого ключа уполномоченного лица Центра сертификации и выполнять процедуру самовыдачи сертификата открытого ключа;

b) назначать несколько уполномоченных лиц, имеющих равные полномочия по подписанию сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня;

c) отказать в выдаче сертификата открытого ключа уполномоченному лицу центра сертификации второго уровня с указанием причин отказа в случаях:

e) приостановить действие или отозвать сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в случаях и в порядке, предусмотренных законодательством и настоящим Регламентом.

11. Создание сертификата открытого ключа уполномоченного лица Центра сертификации осуществля-ется самим Центром сертификации на основании полномочий, установленных законодательством в сфере применения цифровой подписи.

12. Уполномоченное лицо Центра сертификации создает свои открытый и закрытый ключи в соответствии с требованиями, установленными уполномоченным органом.

13. Уполномоченное лицо Центра сертификации создает сертификат открытого ключа в форме электронного документа и подписывает его своим закрытым ключом.

14. Сертификат открытого ключа уполномоченного лица Центра сертификации в форме электронного документа должен соответствовать стандарту ISO/IEC 9594/8 Directory Services, стандарту Международного союза телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Force) RFC 3280 (RFC 2459).

15. После создания сертификата открытого ключа в форме электронного документа уполномоченное лицо Центра сертификации создает сертификат открытого ключа в виде документа на бумажном носителе, который должен содержать:

h) данные о криптографическом алгоритме цифровой подписи и другие технологические данные, определяемые Центром сертификации;

16. Структура сертификата открытого ключа уполномоченного лица Центра сертификации представлена в приложении № 1 к настоящему Регламенту.

17. Сертификат открытого ключа уполномоченного лица Центра сертификации на бумажном носителе подписывается уполномоченным лицом Центра сертификации, руководителем Центра сертификации, утверждается директором Службы информации и безопасности и заверяется печатью Службы.

18. Сертификат открытого ключа уполномоченного лица Центра сертификации в форме электронного документа является действительным при условии, что:

a) содержащаяся в сертификате информация соответствует информации, указанной в утвержденном сертификате на бумажном носителе;

b) сертификат подписан закрытым ключом уполномоченного лица Центра сертификации, соответствующим открытому ключу, содержащемуся в сертификате.

19. В целях международного признания сертификатов открытых ключей, выданных в инфраструктуре открытых ключей Республики Молдова, допускается сертификация открытого ключа уполномоченного лица Центра сертификации в центре сертификации международного уровня.

20. Сертификат открытого ключа уполномоченного лица Центра сертификации хранится в Реестре сертификатов открытых ключей в виде документа на бумажном носителе и в форме электронного документа.

21. Приостановление действия сертификата открытого ключа уполномоченного лица Центра сертификации осуществляется по решению уполномоченного органа в случае:

c) наличия оснований полагать, что информация, содержащаяся в сертификате открытого ключа, не соответствует действительности.

22. Действие сертификата открытого ключа уполномоченного лица Центра сертификации приостанавливается распоряжением директора Службы информации и безопасности на срок до 30 дней.

23. Сертификат открытого ключа уполномоченного лица Центра сертификации, действие которого приостановлено, в течение 3 рабочих часов помещается в список отозванных сертификатов Центра сертификации, а Центр сертификации выпускает обновленный список отозванных сертификатов.

24. Временем приостановления действия сертификата открытого ключа уполномоченного лица Центра сертификации считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update).

25. Список отозванных сертификатов Центра сертификации является электронным документом и должен соответствовать стандарту ISO/IEC 9594/8 Directory Services, стандарту Международного союза телекоммуникаций ITU-T X.509, версия 2, и рекомендации IETF RFC 3280 (RFC 2459).

27. В случае приостановления действия сертификата открытого ключа уполномоченного лица Центра сертификации распоряжением директора Службы информации и безопасности создается комиссия для проведения служебного расследования.

c) другие лица, обладающие необходимыми знаниями и опытом работы в сфере применения цифровой подписи и составления электронных документов.

29. Лица, входящие в состав комиссии, должны иметь допуск к документальным материалам и программно-техническим средствам, необходимым для проведения работы комиссии.

30. Комиссия рассматривает на организационно-техническом уровне обстоятельства, повлекшие за собой приостановление действия сертификата открытого ключа уполномоченного лица Центра сертификации, устанавливает причины и последствия данной ситуации, определяет меры, необходимые для ее разрешения.

31. Срок работы комиссии должен составлять не более 30 дней с момента приостановления действия сертификата открытого ключа уполномоченного лица Центра сертификации.

32. В срок не позднее чем за 5 дней до даты окончания срока, на который было приостановлено действие сертификата открытого ключа уполномоченного лица Центра сертификации, комиссией оформляется акт с указанием обстоятельств, повлекших за собой приостановление действия сертификата открытого ключа, установленных причин и последствий данной ситуации, мер, необходимых для ее разрешения, и рекомендаций по возобновлению действия или отзыву сертификата открытого ключа уполномоченного лица Центра сертификации.

33. По результатам работы комиссии в срок не более чем за 5 дней до даты окончания срока, на который было приостановлено действие сертификата открытого ключа уполномоченного лица Центра сертификации, распоряжением директора Службы информации и безопасности принимается решение о возобновлении действия или об отзыве сертификата открытого ключа уполномоченного лица Центра сертификации.

34. В случае, если до истечения срока, на который было приостановлено действие сертификата открытого ключа, не принимается решение о возобновлении его действия, сертификат открытого ключа отзывается.

35. Сертификат открытого ключа уполномоченного лица Центра сертификации, действие которого возобновлено, в течение 3 рабочих часов исключается из списка отозванных сертификатов, а Центром сертификации выпускается обновленный список отозванных сертификатов.

36. Временем возобновления действия сертификата открытого ключа уполномоченного лица Центра сертификации считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update).

b) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа;

d) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о его возобновлении;

38. Отзыв сертификата открытого ключа уполномоченного лица Центра сертификации по причинам, указанным в подпунктах а) и b) пункта 37 настоящего Регламента, осуществляется только после предварительного приостановления его действия.

39. Решение об отзыве сертификата открытого ключа уполномоченного лица Центра сертификации оформляется в виде распоряжения директора Службы информации и безопасности.

40. Отозванный сертификат открытого ключа уполномоченного лица Центра сертификации в течение 3 рабочих часов помещается в список отозванных сертификатов, а Центром сертификации выпускается обновленный список отозванных сертификатов.

41. Временем отзыва сертификата открытого ключа уполномоченного лица Центра сертификации считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update).

42. В случае отзыва сертификата открытого ключа по причине истечения срока его действия данный сертификат в список отозванных сертификатов не помещается.

43. В случае увольнения уполномоченного лица Центра сертификации его закрытый ключ уничтожается без нарушения конфиденциальности ключа комиссией, назначенной распоряжением директора Службы информации и безопасности, а сертификат соответствующего открытого ключа продолжает действовать до истечения срока его действия.

44. После получения свидетельства о регистрации центра сертификации второго уровня уполномоченное лицо данного центра создает свои открытый и закрытый ключи в соответствии с требованиями, установленными уполномоченным органом.

45. Открытый ключ уполномоченного лица центра сертификации второго уровня сертифицируется Центром сертификации в соответствии с настоящим Регламентом.

46. Для сертификации открытого ключа уполномоченного лица центра сертификации второго уровня данное лицо лично представляет в Центр сертификации следующие документы и информацию:

a) заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе, подписанного собственноручной подписью (приложение № 3 к настоящему Регламенту);

b) заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа, подписанного цифровой подписью уполномоченного лица центра сертификации второго уровня с использованием закрытого ключа, соответствующего сертифицируемому открытому ключу - на материальном носителе;

f) материальный носитель сертификата открытого ключа в форме электронного документа, соответствующий требованиям, установленным уполномоченным органом.

b) информацию, необходимую для связи с уполномоченным лицом центра сертификации второго уровня (номер телефона, факса, почтовый адрес, адрес электронной почты);

48. Заявка на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа должна соответствовать стандарту PKCS#10: Certification Request Syntax Specification Version 1.7 и рекомендации IETF (Internet Engineering Task Force) RFC 2986 Certification Request Syntax Specification.

49. Структура заявки на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа представлена в приложении № 4 к настоящему Регламенту.

50. Администратор регистрации Центра сертификации идентифицирует уполномоченное лицо центра сертификации второго уровня на основании поданных документов и осуществляет предварительную проверку.

51. В процессе осуществления предварительной проверки администратор регистрации должен установить выполнение следующих условий:

a) соблюдение заявителем положений действующего законодательства в сфере применения цифровой подписи при составлении и подаче заявки на сертификацию открытого ключа;

c) соответствие информации, представленной в заявке на сертификацию открытого ключа в форме электронного документа, информации, представленной в соответствующей заявке в виде документа на бумажном носителе;

52. В случае выполнения заявителем всех условий, предусмотренных в пункте 51 настоящего Регламента, администратор регистрации Центра сертификации регистрирует уполномоченное лицо центра сертификации второго уровня. В противном случае администратор регистрации Центра сертификации отказывает уполномоченному лицу центра сертификации второго уровня в регистрации и возвращает заявителю поданные документы.

53. Решение об отказе в регистрации уполномоченного лица центра сертификации второго уровня может быть обжаловано в уполномоченном органе или в судебном порядке и не служит препятствием для повторной подачи заявки, если были устранены причины, послужившие основанием для отказа в регистрации.

54. В случае регистрации уполномоченного лица центра сертификации второго уровня администратор регистрации Центра сертификации передает уполномоченному лицу Центра сертификации (администратору сертификации) следующие документы:

a) зарегистрированную и заверенную собственноручной подписью администратора регистрации заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе;

b) зарегистрированную заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа, подписанного цифровой подписью администратора регистрации;

c) зарегистрированную администратором регистрации копию приказа руководителя центра сертификации второго уровня о назначении уполномоченного лица данного центра;

e) зарегистрированную администратором регистрации копию удостоверения личности уполномоченного лица центра сертификации второго уровня;

f) материальный носитель сертификата открытого ключа, соответствующий требованиям, установленным уполномоченным органом.

55. Уполномоченное лицо Центра сертификации (администратор сертификации) в течение 3 рабочих дней с даты регистрации заявки принимает решение о сертификации открытого ключа уполномоченного лица центра сертификации второго уровня.

56. В случае выявления нарушений законодательства в сфере применения цифровой подписи уполномоченное лицо Центра сертификации принимает решение об отказе в сертификации открытого ключа с обязательным указанием причин отказа.

57. Решение об отказе в сертификации открытого ключа может быть обжаловано в уполномоченном органе или в судебном порядке и не служит препятствием для повторной подачи заявки, если были устранены причины, послужившие основанием для отказа.

58. В случае положительного решения о сертификации открытого ключа уполномоченное лицо Центра сертификации создает сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе в двух экземплярах.

f) информацию, необходимую для связи с уполномоченным лицом центра сертификации второго уровня - владельцем сертификата открытого ключа;

i) данные о криптографическом алгоритме цифровой подписи и другие технологические данные, определяемые Центром сертификации;

60. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа должен соответствовать стандарту ISO/IEC 9594/8 Directory Services, стандарту Международного союза телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Force) RFC 3280 (RFC 2459).

61. Структура сертификата открытого ключа уполномоченного лица центра сертификации второго уровня представлена в приложении № 5 к настоящему Регламенту.

62. Уполномоченное лицо Центра сертификации создает сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа, соответствующий сертификату на бумажном носителе, и подписывает его цифровой подписью.

63. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа является действительным при условии, что он содержит информацию, соответствующую информации, содержащейся в соответствующем сертификате на бумажном носителе.

65. Администратор регистрации Центра сертификации уведомляет уполномоченное лицо центра сертификации второго уровня о создании сертификата его открытого ключа.

66. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе в двух экземплярах подписывается собственноручными подписями уполномоченным лицом Центра сертификации и уполномоченным лицом центра сертификации второго уровня и заверяется печатями Центра сертификации и центра сертификации второго уровня.

a) один экземпляр подписанного и заверенного печатями сертификата открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе;

d) документ на бумажном носителе, содержащий идентификационные данные уполномоченного лица центра сертификации второго уровня и ключевую фразу для его удаленной аутентификации.

68. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня хранится в Реестре сертификатов открытых ключей в виде документа на бумажном носителе и в форме электронного документа.

69. Приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня осуществляется:

70. Уполномоченное лицо центра сертификации второго уровня может потребовать приостановления действия сертификата своего открытого ключа при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа, или в случае, если информация, содержащаяся в сертификате открытого ключа, не соответствует действительности.

71. Заявление на приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня (приложение № 6 к настоящему Регламенту) подается данным лицом в Центр сертификации в виде документа на бумажном носителе или в форме электронного документа.

72. В исключительных случаях, требующих незамедлительного приостановления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня, заявление может быть подано в устной форме с его обязательным последующим подтверждением в виде документа на бумажном носителе или в форме электронного документа в течение одного рабочего дня.

73. Заявление на приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня должно содержать:

74. Заявление на приостановление действия сертификата открытого ключа в виде документа на бумажном носителе подается в Центр сертификации уполномоченным лицом центра сертификации второго уровня лично, а в форме электронного документа - посредством системы электронного документооборота.

75. Заявление на приостановление действия сертификата открытого ключа в устной форме передается уполномоченным лицом центра сертификации второго уровня посредством телефонной связи.

76. Уполномоченное лицо Центра сертификации проводит аутентификацию уполномоченного лица центра сертификации второго уровня, заявившего о приостановлении действия своего сертификата открытого ключа. Аутентификация уполномоченного лица центра сертификации второго уровня выполняется по:

b) сертификату открытого ключа путем подтверждения подлинности заявления на приостановление действия сертификата открытого ключа в форме электронного документа;

77. Уполномоченное лицо Центра сертификации в течение 3 рабочих часов с момента получения заявления о приостановлении действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня принимает решение о приостановлении действия сертификата его открытого ключа.

78. Временем приостановления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update).

79. Центр сертификации в течение 3 рабочих дней письменно уведомляет центр сертификации второго уровня о принятом решении о приостановлении действия сертификата открытого ключа или об отказе в приостановлении с указанием причин отказа.

80. Действие сертификата открытого ключа уполномоченного лица центра сертификации второго уровня приостанавливается на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы информации и безопасности.

81. Если Центр сертификации имеет основания полагать, что нарушена конфиденциальность закрытого ключа уполномоченного лица центра сертификации второго уровня или информация, содержащаяся в его сертификате открытого ключа, не соответствует действительности, Центр сертификации вправе принять в одностороннем порядке решение о приостановлении действия соответствующего сертификата открытого ключа.

82. В случае приостановления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня на основании решения уполномоченного органа или Центра сертификации Центр сертификации незамедлительно по средствам телефонной связи уведомляет центр сертификации второго уровня о приостановлении действия сертификата открытого ключа его уполномоченного лица с последующим письменным уведомлением в течение 3 рабочих дней.

83. Действие сертификата открытого ключа уполномоченного лица центра сертификации второго уровня приостанавливается на срок до 30 дней.

84. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня, действие которого приостановлено, помещается в течение 3 рабочих часов в список отозванных сертификатов, а Центром сертификации выпускается обновленный список отозванных сертификатов.

85. В случае, если до истечения срока, на который было приостановлено действие сертификата открытого ключа, не принимается решение о возобновлении его действия, сертификат открытого ключа отзывается.

86. Возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня осуществляется:

87. Заявление на возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня (приложение № 7 к настоящему Регламенту) представляет собой документ на бумажном носителе, заверенный собственноручными подписями уполномоченного лица и руководителя центра сертификации второго уровня.

88. Заявление на возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня подается в Центр сертификации лично уполномоченным лицом центра сертификации второго уровня не позднее чем за 5 рабочих дней до окончания срока, на который было приостановлено действие сертификата открытого ключа.

89. Заявление на возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня должно содержать:

90. Уполномоченное лицо Центра сертификации в течение 5 рабочих дней с даты получения заявления о возобновлении действия сертификата открытого ключа принимает решение о возобновлении действия сертификата.

91. Центр сертификации в течение 3 рабочих дней письменно уведомляет центр сертификации второго уровня о принятом решении о возобновлении действия сертификата открытого ключа или об отказе в возобновлении с указанием причин отказа.

92. Действие сертификата открытого ключа уполномоченного лица центра сертификации второго уровня, приостановленного на основании решения уполномоченного органа, возобновляется на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы информации и безопасности.

93. В случае если действие сертификата открытого ключа центра сертификации второго уровня было приостановлено по решению Центра сертификации, Центр сертификации вправе принять в одностороннем порядке решение о возобновлении действия соответствующего сертификата открытого ключа.

94. В случае возобновления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня на основании решения уполномоченного органа или Центра сертификации Центр сертификации в течение 3 рабочих дней направляет центру сертификации второго уровня письменное уведомление о возобновлении действия сертификата.

95. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня, действие которого было возобновлено, в течение 3 рабочих часов исключается из списка отозванных сертификатов, а Центр сертификации выпускает обновленный список отозванных сертификатов.

96. Временем возобновления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update).

d) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа;

f) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о возобновлении действия сертификата;

98. Уполномоченное лицо центра сертификации второго уровня может потребовать отзыва своего сертификата открытого ключа при установлении фактов нарушения конфиденциальности своего закрытого ключа или недействительности информации, содержащейся в сертификате, а также в других случаях, предусмотренных Регламентом центра сертификации второго уровня.

99. Заявление на отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня (приложение № 8 к настоящему Регламенту) представляет собой документ на бумажном носителе, заверенный собственноручными подписями уполномоченного лица и руководителя центра сертификации второго уровня.

100. Заявление на отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня подается в Центр сертификации лично уполномоченным лицом центра сертификации второго уровня.

101. Заявление на отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня должно содержать:

102. Уполномоченное лицо Центра сертификации в течение 3 рабочих часов с момента получения заявления об отзыве сертификата открытого ключа уполномоченного лица центра сертификации второго уровня принимает решение об отзыве сертификата.

103. Центр сертификации в течение 3 рабочих дней письменно уведомляет центр сертификации второго уровня о принятом решении об отзыве сертификата открытого ключа или об отказе в отзыве сертификата с указанием причин отказа.

104. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня отзывается на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы информации и безопасности.

105. Центр сертификации вправе принять в одностороннем порядке решение об отзыве сертификата открытого ключа уполномоченного лица центра сертификации второго уровня:

d) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о возобновлении действия сертификата;

106. В случае отзыва сертификата открытого ключа уполномоченного лица центра сертификации второго уровня на основании решения уполномоченного органа или Центра сертификации Центр сертификации незамедлительно по средствам телефонной связи уведомляет центр сертификации второго уровня об отзыве сертификата открытого ключа его уполномоченного лица с последующим письменным уведомлением в течение 3 рабочих дней.

107. Отозванный сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в течение 3 рабочих часов вносится в список отозванных сертификатов, а Центр сертификации выпускает обновленный список отозванных сертификатов.

108. Временем отзыва сертификата открытого ключа уполномоченного лица центра сертификации второго уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update).

109. При отзыве сертификата открытого ключа по причине истечения срока его действия данный сертификат в список отозванных сертификатов не вносится.

110. В случае увольнения уполномоченного лица центра сертификации второго уровня его закрытый ключ уничтожается в соответствии с требованиями, установленными уполномоченным органом, а сертификат соответствующего открытого ключа продолжает действовать до истечения срока его действия.

b) выданных центрами сертификации второго уровня - по запросам судебной инстанции, лиц или органов, имеющих такое право в силу закона, а также в других случаях, предусмотренных законодательством в сфере применения цифровой подписи.

112. Центр сертификации обеспечивает пользователям цифровой подписи возможность самостоятельно определять подлинность и действительность сертификата открытого ключа уполномоченного лица центра сертификации второго уровня путем:

113. Заявление пользователя цифровой подписи на подтверждение подлинности и действительности сертификата открытого ключа представляет собой документ на бумажном носителе, заверенный собственноручной подписью заявителя (приложение № 9 к настоящему Регламенту).

114. Заявление подается в Центр сертификации вместе с материальным носителем, содержащим сертификат открытого ключа в форме электронного документа, подлинность и действительность которого должна быть подтверждена.

115. В течение 3 рабочих дней Центр сертификации представляет заявителю заключение по результатам проверки подлинности и действительности сертификата открытого ключа, содержащее:

116. Центр сертификации может отказать заявителю в проверке подлинности и действительности сертификата открытого ключа уполномоченного лица центра сертификации второго уровня, если не были предъявлены все необходимые электронные документы или поврежден материальный носитель.

117. Срок действия закрытого ключа уполномоченного лица Центра сертификации - 2,5 года. Начало периода действия закрытого ключа исчисляется с даты и времени начала срока действия соответствующего сертификата открытого ключа.

118. Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица Центра сертификации, - 5 лет.

119. По истечении срока действия закрытого ключа уполномоченного лица Центра сертификации закрытый ключ уничтожается, создаются новые закрытый и открытый ключи, а также сертификат открытого ключа.

120. Плановая смена закрытого ключа и соответствующего ему открытого ключа уполномоченного лица Центра сертификации выполняется не ранее чем через 2 года и 5 месяцев и не позднее чем через 2 года и 6 месяцев после начала срока действия закрытого ключа уполномоченного лица Центра сертификации.

121. Внеплановая смена ключей выполняется в случае компрометации или угрозы компрометации закрытого ключа уполномоченного лица Центра сертификации.

123. Закрытый ключ уполномоченного лица Центра сертификации используется исключительно с целью подписания цифровой подписью:

124. Закрытый ключ уполномоченного лица Центра сертификации хранится и используется в условиях, исключающих нарушение его конфиденциальности.

125. Доступ к материальному носителю закрытого ключа уполномоченного лица Центра сертификации осущест-вляется по письменному разрешению руководителя Центра сертификации при непосредственном присутствии уполно-моченного лица Центра сертификации (администратора сертификации), администратора безопасности Центра сертификации и руководителя Центра сертификации таким образом, чтобы при отсутствии хотя бы одного из этих лиц доступ к ключу был неосуществим. В случае временного отсутствия администратора безопасности и руководителя Центра сертификации доступ осуществляется в присутствии замещающих их лиц.

126. Уполномоченное лицо Центра сертификации использует свой закрытый ключ в присутствии администратора безопасности без нарушения конфиденциальности закрытого ключа.

127. Руководитель Центра сертификации несет ответственность за организацию безопасного доступа к материальному носителю закрытого ключа и санкционированного использования ключа.

128. Руководитель центра сертификации, уполномоченное лицо Центра сертификации (администратор сертификации) и администратор безопасности несут персональную ответственность за безопасное использование уполномоченным лицом своего закрытого ключа.

130. Реестр сертификатов открытых ключей представляет собой набор документов на бумажном носителе и электронных документов, включающий:

b) решения о приостановлении действия, возобновлении действия и отзыве сертификатов открытых ключей уполномоченных лиц Центра сертификации;

e) заявления на приостановление действия, возобновление действия и отзыв сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня;

133. Подготовка к уничтожению и уничтожение архивных документов осуществляются комиссией, формируемой из числа сотрудников Центра сертификации и уполномоченного органа.

134. Подготовка к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляются сотрудниками Центра сертификации, назначенными руководителем центра.

135. Защита информационных ресурсов Центра сертификации осуществляется в соответствии с действующим законодательством и требованиями, установленными уполномоченным органом.

136. Порядок осуществления доступа к информационным ресурсам Центра сертификации, включая доступ к архивным документам, регламентируется действующим законо-дательством, требованиями уполномоченного органа и настоящим Регламентом.

c) письменного запроса пользователя цифровой подписи в соответствии с процедурой, установленной настоящим Регламентом. Почтовый адрес: MD-2004, Республика Молдова, мун. Кишинэу, бул. Штефан чел Маре ши Сфынт, 166, Центр сертификации открытых ключей высшего уровня.

b) электронные копии сертификатов открытых ключей на бумажном носителе уполномоченных лиц Центра сертификации и уполномоченных лиц центров сертификации второго уровня в формате PDF;

c) сертификаты открытых ключей уполномоченных лиц Центра сертификации и уполномоченных лиц центров сертификации второго уровня в форме электронных документов.

139. Центр сертификации осуществляет автоматическую рассылку обновленного списка отозванных сертификатов центрам сертификации второго уровня посредством электронной почты.

141. Служба сертификации является базовым технологическим компонентом программно-технического комплекса Центра сертификации, обеспечивающим:

b) создание сертификата открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа;

142. Ответственность за эксплуатацию службы сертификации возлагается на уполномоченное лицо Центра сертификации (администратора сертификации) и на системного администратора.

143. Служба регистрации является технологическим компонентом программно-технологического Центра сертификации, обеспечивающим регистрацию уполномоченных лиц центров сертификации второго уровня.

145. Служба реестра является технологическим компонентом программно-технического комплекса Центра сертификации, обеспечивающим:

146. Служба эталонной проверки цифровой подписи является технологическим компонентом программно-технического комплекса Центра сертификации, обеспечивающим подтверждение подлинности сертификатов открытых ключей и других электронных документов.

148. Ответственность за эксплуатацию технических средств обеспечения работы программно-технического комплекса Центра сертификации возлагается на системного администратора.

149. В составе компонентов программно-технического комплекса Центра сертификации функционируют криптографические средства защиты информации, включая:

b) программно-технические комплексы защиты от несанкционированного доступа и обеспечения целостности программно-аппаратных средств.

150. Ответственность за эксплуатацию средств защиты информации возлагается на системного администратора и администратора безопасности.

151. Программно-технический комплекс должен соответствовать требованиям, установленным уполномоченным органом, и технологическим характеристикам, указанным в приложении № 10 к настоящему Регламенту.

155. Центр сертификации обеспечивает сохранность и контроль доступа к охраняемой законом информации в соответствии с законодательством Республики Молдова.

156. Инженерно-технические меры защиты информации должны обеспечивать возможность непрерывного функционирования в течение продолжительного времени программно-технического комплекса Центра сертификации.

157. Серверы службы сертификации, службы регистрации и службы реестра размещаются в серверных помещениях, в серверных стойках.

159. Доступ в серверные помещения Центра сертификации осуществляется в соответствии с требованиями, установленными уполномоченным органом.

160. Остальные технические средства программно-технического комплекса Центра сертификации размещаются в рабочих помещениях центра.

161. Серверные и рабочие помещения оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима.

162. Противопожарная безопасность помещений Центра сертификации обеспечивается в соответствии с нормами и требованиями, предусмотренными действующим законодательством.

164. Программно-технический комплекс Центра сертификации должен обеспечивать контроль целостности программных и технических средств.

165. Ответственность за выполнение мероприятий по контролю целостности программных и технических средств программно-технического комплекса Центра сертификации возложена на системного администратора и администратора безопасности.

166. Средства программно-технического комплекса Центра сертификации должны обеспечивать резервное копирование критически важной информации по мере необходимости.

167. При доступе к процедурам Центра сертификации используется функциональное разграничение членов группы администраторов, обслуживающих программно-технический комплекс Центра сертификации.

168. Серверы службы сертификации, службы регистрации и службы реестра, а также рабочие места администраторов Центра сертификации оснащаются программно-аппаратными средствами защиты от несанкционированного доступа.

169. Доступ инженерного состава и системных администраторов к серверам службы сертификации, службы регистрации и службы реестра для выполнения регламентных работ осуществляется в присутствии администраторов, отвечающих за эксплуатацию соответствующего прикладного программного обеспечения.

170. Организация доступа к техническим средствам программно-технического комплекса Центра сертификации, размещенных в рабочих помещениях, возлагается на администраторов Центра сертификации, ответственных за эксплуатацию данных технических средств.

a) администратор регистрации, в основные обязанности которого входит: регистрация и учет уполномоченных лиц центров сертификации второго уровня, подготовка запросов на создание сертификатов открытых ключей, выдача сертификатов открытых ключей уполномоченным лицам центров сертификации второго уровня;

b) администратор сертификации (уполномоченное лицо Центра сертификации), в основные обязанности которого входит: создание, приостановление, возобновление действия и отзыв сертификатов открытых ключей, создание и опубликование (выпуск) списка отозванных сертификатов;

c) администратор безопасности, в основные обязанности которого входит: контроль безопасности всех процедур и механизмов Центра сертификации, обеспечение безопасности компонентов программно-технического комплекса Центра сертификации;

d) системный администратор, в основные обязан-ности которого входит: установка, конфигурация и поддержка функционирования службы сертификации, службы регистрации и службы реестра.

173. Уполномоченное лицо Центра сертификации назначается приказом директора Службы информации и безопасности по предложению руководителя Центра сертификации. Требования к квалификации и должностные обязанности уполномоченного лица Центра сертификации определяются должностной инструкцией.

174. Системный администратор и администратор безопасности Центра сертификации должны иметь высшее инженерно-техническое образование.

175. Доступ сотрудников к документам Центра сертификации организуется в соответствии с должностными обязанностями, утвержденными руководителем Центра сертификации.

V. Взаимодействие уполномоченных лиц центров сертификации
второго уровня и пользователей цифровой подписи
с Центром сертификации

Раздел 1. Порядок взаимодействия уполномоченных лиц центров
сертификации второго уровня и пользователей
цифровой подписи с Центром сертификации

176. Взаимодействие центров сертификации второго уровня и пользователей цифровой подписи с Центром сертификации осуществляется в соответствии с процедурами, установленными настоящим Регламентом, и требованиями в сфере цифровой подписи.

177. Центр сертификации обеспечивает доступ центров сертификации второго уровня и пользователей цифровой подписи к Реестру сертификатов открытых ключей в соответствии с настоящим Регламентом.

178. Центр сертификации публикует обновленный список отозванных сертификатов и осуществляет его автоматическую рассылку центрам сертификации второго уровня.

179. В целях взаимодействия уполномоченное лицо Центра сертификации предоставляет уполномоченным лицам центров сертификации второго уровня свои контактные данные (номер телефона, факс, почтовый адрес, адрес электронной почты).

180. В случае отзыва сертификата открытого ключа уполномоченного лица Центра сертификации одновременно отзываются и сертификаты открытых ключей уполномоченных лиц центров сертификации второго уровня.

181. Пользователи цифровой подписи используют сертификат открытого ключа уполномоченного лица Центра сертификации в процессе проверки подлин-ности цифровой подписи в электронном документе.

182. В процессе взаимодействия уполномоченных лиц центров сертификации второго уровня и пользователей цифровой подписи с Центром сертификации могут возникнуть спорные ситуации. В соответствии с настоящим Регламентом подлежат разрешению спорные ситуации, возникшие в связи с:

a) оспариванием уполномоченным лицом центра сертификации второго уровня или пользователем цифровой подписи действительности и подлинности сертификата открытого ключа уполномоченного лица Центра сертификации;

b) оспариванием пользователем цифровой подписи действительности и подлинности сертификата открытого ключа уполномоченного лица центра сертификации второго уровня;

e) оспариванием сферы применения цифровой подписи и иных ограничений, указанных в сертификатах открытых ключей, выданных Центром сертификации;

183. Спорная ситуация разрешается в рабочем порядке заинтересованными сторонами в соответствии с Регламентом о разрешении спорных ситуаций в сфере применения цифровой подписи, утвержденным уполномоченным органом.

184. В случае, если спорная ситуация признается сторонами разрешенной, оформляется акт об урегулировании спорной ситуации, который подписывается сторонами.

185. В случае невозможности разрешения спорной ситуации в рабочем порядке стороны могут обратиться в судебную инстанцию в порядке, предусмотренном законодательством.

Раздел 2. Права и обязанности уполномоченного лица центра
сертификации второго уровня при взаимодействии с Центром сертификации

c) подавать заявления на отзыв, приостановление или возобновление действия сертификата открытого ключа в течение срока действия соответствующего закрытого ключа;

e) применять сертификат открытого ключа уполномоченного лица Центра сертификации для проверки подлинности цифровой подписи в сертификатах открытых ключей, выданных Центром сертификации;

g) применять список отозванных сертификатов Центра сертификации для определения действительности сертификата открытого ключа уполномоченного лица Центра сертификации;

i) обращаться в Центр сертификации за подтверждением подлинности и действительности выданного им сертификата открытого ключа уполномоченного лица центра сертификации второго уровня;

c) исключить доступ другого лица к своему закрытому ключу, принимать меры по предотвращению компрометации закрытого ключа;

d) применять свой закрытый ключ в соответствии со сферами применения цифровой подписи и иными ограничениями, указанными в сертификате открытого ключа;

f) не использовать свой закрытый ключ при наличии оснований (подозрений) полагать, что нарушена конфиденциальность закрытого ключа;

g) не использовать свой закрытый ключ в период рассмотрения заявки на сертификацию соответствующего ему открытого ключа, заявлений на отзыв, приостановление или возобновление действия сертификата соответствующего открытого ключа;

d) применять список отозванных сертификатов Центра сертификации для проверки действительности сертификатов открытых ключей уполномоченных лиц Центра сертификации и центров сертификации второго уровня;

e) применять сертификат открытого ключа уполномоченного лица Центра сертификации для подтверждения подлинности сертификата открытого ключа уполномоченного лица центра сертификации второго уровня;

f) обращаться в Центр сертификации за подтверждением подлинности и действительности сертификатов открытых ключей уполномоченного лица Центра сертификации и уполномоченных лиц центра сертификации второго уровня.

190. При реорганизации Центра сертификации и передаче его функций другому учреждению совместным решением руководителей заинтересованных учреждений создается комиссия по передаче Центра сертификации.

192. По окончании работы комиссия составляет акт приема-передачи, в соответствии с которым новому учреждению передается Реестр сертификатов открытых ключей, а также права и обязанности Центра сертификации. Акт подписывается всеми членами комиссии и утверждается руководителями заинтересованных учреждений.

193. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а Реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях.

194. При передаче Центра сертификации закрытые ключи уполномоченных лиц Центра сертификации уничтожаются без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом, а сертификаты соответствующих открытых ключей, переданные другому центру сертификации, продолжают действовать до истечения срока действия.

195. При ликвидации Центра сертификации приказом директора Службы информации и безопасности создается ликвидационная комиссия, в задачи которой входит проведение процедуры ликвидации в соответствии с действующим законодательством и требованиями, установленными уполномоченным органом.

197. По окончании работы ликвидационная комиссия составляет акт о ликвидации, в соответствии с которым Центр сертификации прекращает свою деятельность, а Реестр сертификатов открытых ключей передается уполномоченному органу и подлежит архивному хранению в соответствии с законодательством.

198. Реестр сертификатов открытых ключей ликвидированного Центра сертификации в форме электронных документов передается в уполномоченный орган на материальных носителях, а Реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях, о чем составляется акт приема-передачи. Акт подписывается руководителем Центра сертификации, представителем уполномоченного органа, ответственным за хранение, и утверждается директором Службы информации и безопасности.

199. При ликвидации Центра сертификации закрытые ключи уполномоченных лиц Центра сертификации уничтожаются без нарушения их конфиденциальности, а сертификаты соответствующих открытых ключей отзываются.

OSISA13/2006 Внутренний номер: 316516 Varianta în limba de stat	Карточка документа
Республика Молдова
СЛУЖБА ИНФОРМАЦИИ И БЕЗОПАСНОСТИ
ПРИКАЗ Nr. 13 от 03.04.2006
об утверждении некоторых нормативных актов в сфере организации деятельности центров сертификации открытых ключей
Опубликован : 07.07.2006 в Monitorul Oficial Nr. 102-105 статья № : 367
Утратил силу согласно ПСИБ70 от 15.07.16, МО215-216/19.07.16; в силу с 19.07.16 Во исполнение Постановления Правительства № 945 от 5 сентября 2005 года о центрах сертификации открытых ключей (Официальный монитор Республики Молдова, 2005 г., № 123-125, ст. 1020), на основании ч. (2) ст. 36 Закона № 264-XV от 15 июля 2004 года об электронном документе и цифровой подписи (Официальный монитор Республики Молдова, 2004 г., № 132-137, ст. 710) ПРИКАЗЫВАЮ: 1. Утвердить: Положение о процедуре регистрации центров сертификации открытых ключей (приложение № 1); Специальные условия деятельности центров сертификации открытых ключей (приложение № 2); Регламент Центра сертификации открытых ключей высшего уровня (приложение № 3). 2. Контроль за исполнением настоящего Приказа возложить на заместителя директора Службы информации и безопасности Республики Молдова, господина Валентина Дедю. 3. Настоящий Приказ вступает в силу со дня опубликования в "Официальном мониторе Республики Молдова". Директор Службы информации и безопасности Ион УРСУ Кишинэу, 3 апреля 2006 г. № 13. Утверждено: Зарегистрировано: Служба информации и Министерство юстиции безопасности Республики Молдова Республики Молдова Приказ № 13 от 3 апреля 2006 г. рег. № 452 от 21 июня 2006 г. __________ Ион УРСУ __________ Виктория ИФТОДИ Приложение № 1 к Приказу директора Службы информации и безопасности Республики Молдова № 13 от 3 апреля 2006 г. ПОЛОЖЕНИЕ о процедуре регистрации центров сертификации открытых ключей I. Общие положения 1. Настоящее Положение разработано в соответствии с Законом об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 г., Постановлением Правительства № 945 от 5 сентября 2005 г. "О центрах сертификации открытых ключей" и устанавливает процедуру регистрации центров сертификации открытых ключей (далее - центры сертификации) в органе, уполномоченном законом осуществлять разработку и реализацию государственной политики, а также осуществлять контроль в сфере применения цифровой подписи - Службе информации и безопасности Республики Молдова (далее - уполномоченный орган). 2. Для предоставления услуг по сертификации открытых ключей и иных видов услуг, связанных с цифровой подписью, центры сертификации должны пройти процедуру регистрации в уполномоченном органе и сертифицировать открытый ключ уполномоченного лица центра в вышестоящем центре сертификации. 3. Учет центров сертификации осуществляется в рамках Государственного регистра правовых единиц и Регистра центров сертификации открытых ключей. II. Представление заявления о регистрации центра сертификации 4. Для регистрации центра сертификации представляются следующие документы: a) заявление о регистрации согласно образцу, предусмотренному в приложении № 1 к настоящему Положению, в котором указываются: полное наименование юридического лица, местонахождение и организационно-правовая форма; должность, фамилия и имя руководителя юридического лица, номер документа, удостоверяющего личность, идентификационный номер физического лица (IDNP); другая контактная информация (номер телефона, факса, почтовый адрес, е-mail); b) копия учредительных документов и свидетельства о государственной регистрации юридического лица; c) банковская гарантия или страховой полис, предусмотренные пунктом 5 настоящего Положения (только для центров сертификации, предоставляющих услуги по сертификации открытых ключей третьим лицам); d) положение о деятельности центра сертификации, утвержденное руководителем юридического лица; e) копия приказа руководителя юридического лица о назначении работников центра сертификации, ответственных за деятельность центра сертификации, и лиц, уполномоченных подписывать сертификаты открытых ключей, а также копия документов, удостоверяющих личность данных лиц; f) копия документов об уровне образования и квалификации ответственных должностных лиц, функциональные обязанности которых непосредственно связаны с предоставлением услуг по сертификации открытых ключей; g) план-схема помещений центра сертификации и порядок доступа к помещениям специального режима; h) порядок хранения резервных копий реестра сертификатов открытых ключей; i) порядок синхронизации с Всемирным коорди-нированным временем (UTC); j) копия лицензии на право осуществления деятельности в сфере криптографической защиты информации (только для центров сертификации, предоставляющих услуги по сертификации открытых ключей третьим лицам). 5. Центр сертификации, предоставляющий услуги по сертификации открытых ключей третьим лицам, обязан обладать финансовыми ресурсами, необходимыми для возмещения убытков, которые могут быть причинены владельцам сертификатов открытых ключей, пользователям или третьим лицам вследствие невыполнения или ненадлежащего выполнения центром сертификации своих обязательств. В этих целях центр сертификации предоставляет банковскую гарантию или страховой полис в пользу уполномоченного органа на сумму, размер которой в молдавских леях эквивалентен 20.000 евро. 6. Заявление о регистрации и документы, прилагаемые к нему, составленные на молдавском языке, подаются в уполномоченный орган руководителем юридического лица или другим уполномоченным лицом. Документы представляются в оригинале или в копиях с предъявлением оригиналов для сверки. Документы могут сопровождаться копиями на электронном носителе. 7. Заявление о регистрации и документы, прилагаемые к нему, принимаются по описи, копия которой направляется (вручается) заявителю с отметкой о дате приема документов, заверенной подписью ответственного лица. III. Рассмотрение заявления о регистрации центра сертификации 8. На основании документов, указанных в пункте 4 настоящего Положения, уполномоченный орган в срок до 15 дней проверяет соблюдение центром сертификации требований в сфере цифровой подписи. 9. В процессе проверки заявления о регистрации, уполномоченный орган имеет право проверять подлинность документов, приложенных к заявлению о регистрации. 10. Интересы юридического лица, подавшего заявление о регистрации, представляются руководителем юридического лица или другими лицами, уполномоченными в установленном порядке. 11. На основании результатов проверки заявления о регистрации уполномоченный орган составляет заключение. IV. Принятие решения о регистрации центра сертификации 12. По результатам проверки соблюдения требований в сфере цифровой подписи и на основании составленного заключения руководитель уполномоченного органа принимает решение о регистрации центра сертификации или об отказе в регистрации. 13. В случае принятия решения о регистрации, центру сертификации в течение 5 рабочих дней выдается свидетельство о регистрации согласно образцу, предусмотренному в приложении № 2 к настоящему Положению. 14. Копия свидетельства о регистрации центра сертификации направляется Министерству информационного развития для учета центра в Государственном регистре правовых единиц. 15. Решение об отказе в регистрации должно содержать убедительное обоснование и обязательные ссылки на законодательные и нормативные акты, которые были нарушены. Решение доводится до сведения заявителя в течение 5 рабочих дней. 16. Отказ в регистрации не может служить препятствием для повторной подачи документов на регистрацию, если были устранены причины, послужившие основанием для отказа. 17. Решение об отказе в регистрации может быть обжаловано в компетентном административном суде. 18. Центр сертификации считается зарегистрированным со дня выдачи свидетельства о регистрации. 19. В случае внесения изменений в документы, указанные в пункте 4 настоящего Положения, центр сертификации в течение 10 рабочих дней представляет соответствующие документы уполномоченному органу. V. Рассмотрение заявления о выдаче дубликата свидетельства о регистрации 20. В случае утраты свидетельства о регистрации в течение 5 рабочих дней с момента подачи соответствующего заявления центру сертификации выдается дубликат свидетельства. 21. Уполномоченный орган выдает дубликат свидетельства о регистрации при представлении следующих документов: a) заявление о выдаче дубликата свидетельства о регистрации, подписанное руководителем юридического лица; b) копия объявления об утрате оригинала свидетельства о регистрации, опубликованного в Официальном мониторе Республики Молдова. 22. Заявление о выдаче дубликата свидетельства о регистрации рассматривается в течение 3 рабочих дней. 23. По результатам рассмотрения заявления о выдаче дубликата свидетельства о регистрации составляется заключение, на основании которого руководитель уполномоченного органа принимает решение о выдаче или об отказе в выдаче дубликата. 24. Мотивированное решение об отказе в выдаче дубликата свидетельства доводится до сведения заявителя в письменном виде. 25. При составлении дубликата свидетельства о регистрации на нем делается пометка "дубликат". 26. Копия выданного дубликата и все материалы, послужившие основанием для его выдачи, прилагаются к регистрационному досье. VI. Хранение регистрационных документов центров сертификации 27. Материалы, относящиеся к регистрации центров сертификации, хранятся в отдельных регистрационных досье, в которые вносятся документы, указанные в пункте 4 настоящего Положения, а также копия свидетельства о регистрации. 28. В регистрационные досье вносится и вся последующая корреспонденция с соответствующим центром сертификации, а также данные проверок. 29. Регистрационные досье хранятся в архиве уполномоченного органа в течение срока, предусмотренного законодательством. 30. Уполномоченный орган выдает по заявке уполномоченных лиц и в рамках, предусмотренных законодательством, данные и копии документов из регистрационных досье. VII. Регистр центров сертификации открытых ключей 31. На основании решения о регистрации центр сертификации получает регистрационный номер и вносится в Регистр центров сертификации открытых ключей. 32. Регистрационный номер состоит из семи цифр aabbccc, из которых: aa - уровень в иерархии центров сертификации; bb - год регистрации; ccc - порядковый номер. 33. Держателем Регистра центров сертификации открытых ключей является уполномоченный орган, регистратором - Центр сертификации открытых ключей высшего уровня. 34. В Регистр центров сертификации открытых ключей вносятся и обновляются следующие данные: a) полное наименование юридического лица, идентификационный номер правовой единицы (IDNO), фискальный код; b) фамилия, имя и телефон руководителя юридического лица; c) наименование, регистрационный номер и дата регистрации центра сертификации; d) местонахождение, телефон, факс центра сертификации; e) фамилия, имя, телефон, электронный почтовый адрес руководителя и уполномоченных лиц центра сертификации; f) данные о внесении изменений и дополнений в документы, указанные в пункте 4 настоящего Положения; g) дата и причины прекращения деятельности центра сертификации; h) другие технические данные. 35. Регистр центров сертификации открытых ключей ведется в соответствии с требованиями, предусмотренными Законом о регистрах. 36. Центры сертификации обязаны в течение 10 дней проинформировать уполномоченный орган об изменениях и дополнениях данных, содержащихся в Регистре центров сертификации открытых ключей. 37. Информация о зарегистрированных центрах сертификации и о центрах, деятельность которых прекращена, публикуется уполномоченным органом на своей официальной странице в сети Интернет. Приложение № 1 к Положению о процедуре регистрации центров сертификации открытых ключей Образец Службе информации и безопасности Республики Молдова ЗАЯВЛЕНИЕ о регистрации центра сертификации открытых ключей Настоящим, в соответствии с пунктом 7 Положения о порядке создания и организации деятельности центров сертификации открытых ключей, утвержденного Постановлением Правительства № 945 от 5 сентября 2005 года, ______________________, (полное наименование юридического лица, IDNO) в лице _________________________________________________________________ (должность, фамилия, имя руководителя юридического лица, ________________________________________________________________________, номер удостоверения личности, IDNP) прошу зарегистрировать центр сертификации открытых ключей со следующими данными: Наименование центра сертификации: ______________________________________ Уровень в иерархической структуре центров сертификации: ___________________ Местонахождение: ______________________________________________________ Контактная информация юридического лица: телефон _____________________________________________ факс ________________________________________________ почтовый адрес _____________________________________ e-mail _______________________________________________ "____" __________ 200__ _____________________ (подпись) Приложение № 2 к Положению о процедуре регистрации центров сертификации открытых ключей Образец свидетельства о регистрации центра сертификации открытых ключей Anexa Утверждено: Зарегистрировано: Служба информации и Министерство юстиции безопасности Республики Молдова Республики Молдова Приказ № 13 от 3 апреля 2006 г. рег. № 452 от 21 июня 2006 г. __________ Ион УРСУ __________ Виктория ИФТОДИ Приложение № 2 к Приказу директора Службы информации и безопасности Республики Молдова № 13 от 3 апреля 2006 г. Специальные условия деятельности центров сертификации открытых ключей I. Общие положения 1. Специальные условия деятельности центров сертификации открытых ключей (далее - специальные условия) разработаны в соответствии с Законом об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 г. и Постановлением Правительства № 945 от 5 сентября 2005 г. "О центрах сертификации открытых ключей". 2. Специальные условия устанавливают общие требования, предъявляемые к центрам сертификации, их инфраструктуре и организации основных процедур, к системе управления информационной безопасностью, а также требования по регистрации, организации и проверке деятельности центров сертификации. 3. Специальные условия являются регламентирующим документом в сфере цифровой подписи и обязательны для всех юридических лиц, оказывающих услуги по сертификации открытых ключей и иные виды услуг, связанных с цифровой подписью. 4. В настоящих специальных условиях используются следующие понятия: пользователь цифровой подписи - юридическое или физическое лицо, а также устройство или приложение, пользующееся услугами центра сертификации; идентификация - присвоение субъектам и объектам доступа идентификатора и/или сравнение предъявляемого идентификатора с перечнем присвое-нных идентификаторов; аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности; целостность - достоверность, непротиворечивость и актуальность информации, ее защищенность от разрушения и несанкционированного изменения; доступность - возможность получить требуемую информацию или информационную услугу в течение удовлетворяющего стороны периода времени; конфиденциальность - защита информации от несанкционированного разглашения; средства криптографической защиты информации (СКЗИ) - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам связи; список отозванных сертификатов - созданный центром сертификации список сертификатов открытых ключей, действие которых приостановлено или прекращено до окончания срока их действия; криптографическая и техническая защита информации - защита информации с применением специальных математических (криптографических) методов, программных, технических, программно-технических и иных средств, а также организационно-технических процедур; защита информации от утечки - комплекс мер, направленных на предотвращение неконтролируемого распространения защищаемой информации по техническим и побочным каналам с помощью специальных технических средств; защита информации от несанкционированного доступа - комплекс мер, направленных на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением прав или правил доступа к защищаемой информации, установленных правовыми документами или собственником (владельцем) информации; защита информации от непреднамеренного воздействия - комплекс мер, направленных на предотвращение непреднамеренного воздействия на защищаемую информацию вследствие ошибок пользователя, сбоев программно-технических средств, природных явлений или иных причин, не целенаправленных на изменение информации, но приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее утрате, уничтожению или сбою функционирования материального носителя информации; политика безопасности - совокупность докумен-тированных управленческих решений, направленных на защиту информации, технических и программных средств информационных систем. II. Услуги и процедуры центра сертификации 5. Центр сертификации оказывает обязательные и необязательные услуги в сфере цифровой подписи. 6. Обязательной услугой центра сертификации является услуга по сертификации открытых ключей физических лиц. 7. Центр сертификации может оказывать следующие необязательные услуги: a) сертификация открытых ключей уполномоченных лиц центров сертификации третьего уровня (только для центров сертификации второго уровня); b) сертификация открытых ключей услуг, предоставляемых в информационной сфере (информационные услуги e-mail, VPN, web и т.д.); c) фиксирование времени наступления событий, в том числе фиксирование времени подписания электронного документа; d) другие услуги в сфере цифровой подписи. 8. В процессе предоставления услуг по сертификации открытых ключей физических лиц центр сертификации должен обеспечить выполнение следующих процедур: a) регистрация физического лица; b) создание (выпуск) сертификата открытого ключа физического лица; c) приостановление действия сертификата открытого ключа физического лица; d) возобновление действия сертификата открытого ключа физического лица; e) отзыв сертификата открытого ключа физического лица; f) публикация сертификатов открытых ключей; g) распространение информации о приостановленных и отозванных сертификатах (списков отозванных сертификатов); 9. Центр сертификации обеспечивает процесс администрирования (управления) сертификатами открытых ключей путем комплексного выполнения указанных процедур. III. Общие требования, предъявляемые к центру сертификации 10. Объекты, используемые центром сертификации, должны принадлежать ему на правах собственности, находиться в аренде, хозяйственном управлении или пользовании. 11. Центр сертификации должен использовать средства цифровой подписи, имеющие сертификат соответствия, выданный в соответствии с действующим законодательством. 12. Организация внутреннего режима работы центра сертификации должна исключать возможность несанкционированного физического доступа к средствам цифровой подписи, их несанкционированное использование или модификацию. 13. Центр сертификации должен создать необходимые условия для обеспечения безопасности открытого и закрытого ключей уполномоченных лиц центра сертификации и реестра сертификатов открытых ключей. 14. Центр сертификации должен обеспечить использование закрытого ключа уполномоченного лица центра сертификации только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов. 15. Центр сертификации должен исключить возможность использования закрытого ключа уполномоченного лица центра сертификации при наличии оснований полагать, что нарушена конфиденциальность соответствующего закрытого ключа. 16. Центр сертификации должен разработать и утвердить политику сертификации, содержащую набор правил, определяющих использование сертификата, выданного центром сертификации в соответствии с установленными требованиями по безопасности. 17. Центр сертификации должен разработать и утвердить Регламент центра сертификации, устанавливающий организационные, технические и другие условия деятельности центра сертификации при предоставлении услуг по сертификации открытых ключей. 18. Регламент центра сертификации должен содержать: a) перечень услуг центра сертификации и порядок их оказания; b) функции, обязанности и права центра сертификации; c) права и обязанности пользователей цифровой подписи; d) финансовые обязательства центра сертификации; e) ответственность сторон; f) основные организационно-технические мероприятия по обеспечению безопасности центра сертификации, включая политику конфиденциальности; g) процедуры центра сертификации; h) порядок публикации и распространения информации; i) порядок осуществления доступа к информационным ресурсам центра сертификации; j) порядок архивного хранения документированной информации; k) процедуры управления ключами уполномоченных лиц центра сертификации; l) порядок действий в случае компрометации закрытого ключа уполномоченного лица центра сертификации и пользователя цифровой подписи; m) описание принятых в центре сертификации форматов данных; n) структуру сертификата открытого ключа уполномоченного лица центра сертификации; o) структуру сертификатов открытых ключей пользователей цифровой подписи; p) структуру списка отозванных сертификатов; q) порядок синхронизации времени; r) порядок разрешения спорных ситуаций в сфере применения цифровой подписи; s) порядок доведения до пользователей цифровой подписи политики сертификации и содержания Регламента центра сертификации. 19. Политика сертификации и Регламент центра сертификации должны соответствовать рекомендациям IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework). 20. Центр сертификации должен исключить возможность разглашения регистрационной информации пользователей цифровой подписи, за исключением информации, которая используется для идентификации их сертификатов открытых ключей и публикуется путем включения в сертификаты пользователей цифровой подписи. 21. Режим конфиденциальности при обращении со сведениями, которые доверены или стали известны центру сертификации при осуществлении его деятельности, должен обеспечивать: a) ограничение круга должностных лиц, имеющих допуск к конфиденциальной информации; b) порядок контролируемого допуска должностных лиц к работам, связанным с конфиденциальной информацией; c) функциональное разграничение обязанностей должностных лиц; d) идентификацию и аутентификацию пользователей цифровой подписи с использованием современных средств аутентификации и криптографических протоколов; e) разграничение доступа субъектов к различным объектам и/или целевым функциям центра сертификации на основе идентификации субъектов и их функционального разграничения; f) безопасность хранения, обработки и передачи по каналам связи конфиденциальной информации. 22. Центр сертификации должен обеспечить управление доступом субъектов к различным объектам и/или целевым функциям центра сертификации на основе идентификации субъектов и их функционального разграничения. 23. Центр сертификации должен обеспечить резервное копирование, сохранение и восстановление критически важной для своей деятельности информации, а также установление, в случае необходимости, дополнительных или резервных технических ресурсов. 24. Центр сертификации должен располагать достаточным персоналом, обладающим необходимой квалификацией, для функционирования и обеспечения безопасности центра сертификации. 25. Центр сертификации должен выполнять свои функции на основе принципа разделения привилегий (обязанностей) должностных лиц: администратора регистрации, администратора сертификации, администратора безопасности и системного администратора. 26. Администратор регистрации отвечает за правильность (достоверность) информационного наполнения сертификата открытого ключа и регистрацию владельцев сертификатов открытых ключей в процессе создания, приостановления или возобновления действия, а также отзыва сертификатов открытых ключей. 27. Администратор сертификации (уполномоченное лицо центра сертификации) отвечает за создание, приостановление или возобновление действия и отзыв сертификатов открытых ключей, ведение реестра сертификатов открытых ключей, безопасное хранение и использование своего закрытого ключа. 28. Администратор безопасности отвечает за надлежащее функционирование комплексной системы защиты информации, а также разработку и реализацию политики безопасности центра сертификации. 29. Системный администратор отвечает за администрирование, надлежащее функционирование и обеспечение безопасности программно-технического комплекса центра сертификации. 30. В случае необходимости в центре сертификации могут быть введены дополнительные должности, в частности, операторов. 31. Операторы выполняют работу по ежедневному обслуживанию программно-технического комплекса центра сертификации (копирование и восстановление системы, ведение архивов, ввод информации и пр.). 32. Центр сертификации должен исключить совмещение функций администратора регистрации, администратора сертификации, администратора безопасности, системного администратора и оператора. 33. Центр сертификации должен синхронизировать работу своих служб, в том числе программных и технических средств по предназначению, с Всемирным координированным временем (UTC). Рекомендуется использовать два независимых источника UTC. Допускается синхронизация по Гринвичскому среднему времени (Greenwich Mean Time - GMT). IV. Требования к основным процедурам центра сертификации Раздел 1. Требования к процедуре регистрации физического лица 34. Регистрацию физических лиц выполняет администратор регистрации, управляющий данными о владельце сертификата открытого ключа. 35. Администратор регистрации проводит идентификацию физического лица, подавшего заявление на сертификацию своего открытого ключа в соответствии с утвержденными центром сертификации процедурами. 36. Администратор регистрации должен установить: a) соответствие процесса составления и подачи заявления положениям Закона об электронном документе и цифровой подписи, Регламента центра сертификации и других нормативных документов в сфере применения цифровой подписи; b) подлинность и действительность представленной в заявлении информации; c) соответствие информации, представленной в заявлении в форме электронного документа, информации, представленной в заявлении в виде документа на бумажном носителе; d) соблюдение прав третьих лиц. 37. Администратор регистрации должен удостовериться, что физическое лицо, подавшее заявление на сертификацию открытого ключа, является владельцем соответствующего закрытого ключа. 38. Электронные документы администратора регистрации должны быть подписаны цифровой подписью, содержать метки времени, определяющие момент создания электронных документов, и передаваться с использованием систем, обеспечивающих конфиденциальность сообщений. 39. Центр сертификации должен обеспечить защиту конфиденциальной информации о владельцах сертификатов открытых ключей. Раздел 2. Требования к процедуре сертификации открытого ключа 40. Центр сертификации создает и выдает сертификаты открытых ключей в соответствии с утвержденными центром сертификации процедурами. 41. Центр сертификации должен разработать и утвердить политику и процедуры сертификации открытых ключей в соответствии с установленными техническими нормами в сфере цифровой подписи. 42. Создание сертификата открытого ключа физического лица осуществляется администратором сертификации (уполномоченным лицом центра сертификации). 43. Администратор сертификации должен проверить целостность и достоверность данных, поступивших от администратора регистрации, а также их соответствие установленному стандарту сертификатов открытых ключей. 44. Центр сертификации должен обеспечить достоверность информации, содержащуюся в сертификате открытого ключа, а также целостность сертификата. 45. Сертификат открытого ключа должен соответствовать утвержденным в центре сертификации профилям, соответствующим политике сертификации. 46. Центр сертификации должен внести сертификат открытого ключа в реестр сертификатов не позднее даты и времени начала действия сертификата. 47. Закрытый ключ администратора сертификации должен использоваться только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов (CRL). Раздел 3. Требования к процедурам приостановления, возобновления действия и отзыва сертификата открытого ключа 48. Центр сертификации приостанавливает, возобновляет действие или отзывает сертификат открытого ключа в случаях, установленных нормативными документами в сфере цифровой подписи. 49. Центр сертификации должен разработать и утвердить процедуры приостановления, возобновления действия и отзыва сертификатов открытых ключей в соответствии с техническими нормами, установленными в сфере цифровой подписи. 50. Центр сертификации должен разработать и утвердить безопасные процедуры аутентификации лица, заявившего о намерении приостановить, возобновить действие или отозвать свой сертификат открытого ключа, а также процедуры подтверждения действительности заявления о приостановлении, возобновлении действия или отзыве сертификата открытого ключа. 51. Центр сертификации незамедлительно приостанавливает действие сертификата открытого ключа при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа владельца сертификата или содержащаяся в сертификате открытого ключа информация не соответствует действительности. 52. Центр сертификации отзывает сертификат открытого ключа в случае установления факта нарушения конфиденциальности закрытого ключа владельца сертификата или несоответствия действительности информации, содержащейся в сертификате открытого ключа. 53. Приостановление, возобновление действия и отзыв сертификата открытого ключа осуществляется администратором сертификации под обязательным контролем со стороны администратора безопасности или другого должностного лица, назначенного руководителем центра сертификации. 54. Центр сертификации должен занести сведения об отозванном или приостановленном сертификате в список отозванных сертификатов в течение 3 рабочих часов с указанием даты и времени занесения и причины отзыва или приостановления действия сертификата. 55. Центр сертификации должен исключить возможность возобновления действия отозванного сертификата открытого ключа. 56. Сертификат открытого ключа, действие которого было возобновлено, в течение 3 рабочих часов удаляется из списка отозванных сертификатов. 57. Центр сертификации должен обеспечить процедуру своевременного выпуска обновленного списка отозванных сертификатов. 58. Центр сертификации должен разработать и утвердить процедуру уведомления владельца сертификата открытого ключа о приостановлении, возобновлении действия или отзыве сертификата. Раздел 4. Требования к процедурам публикации сертификатов открытых ключей и распространения информации о приостановленных и отозванныхсертификатах открытых ключей 59. Распространение (публикация) сертификатов открытых ключей осуществляется в соответствии с установленными центром сертификации процедурами, а доступ третьих лиц может ограничиваться, если того требует владелец сертификата. 60. Центр сертификации должен разработать и утвердить политику контроля доступа к сертификатам открытых ключей, выданных центром сертификации. 61. Доступ к сертификатам открытых ключей должен предоставляться только лицам, имеющим на это право в соответствии с правилами, установленными политикой безопасности центра сертификации или владельцами сертификатов. 62. Центр сертификации должен предоставлять любому лицу информацию о состоянии сертификатов открытых ключей. 63. Центр сертификации должен предоставлять информацию о состоянии сертификатов открытых ключей в режиме реального времени (on-line), а также в других режимах, установленных центром сертификации, включая абонентскую рассылку списков отозванных сертификатов (off-line). 64. Центр сертификации должен обеспечить целостность и подлинность отправляемых сообщений в процессе проверки состояния сертификатов открытых ключей. Все ответы, касающиеся состояния сертификатов, должны быть подписаны цифровой подписью уполномоченного лица центра сертификации. 65. Центр сертификации может требовать, чтобы третьи лица подписывали цифровой подписью свои запросы относительно состояния сертификатов открытых ключей. 66. Центр сертификации может предоставлять ответ на запросы о состоянии сертификата открытого ключа, используя данные, которые были обновлены во время последнего периодического оповещения пользователей. 67. Центр сертификации должен опубликовывать сертификаты открытых ключей своих уполномоченных лиц. 68. Информация, содержащаяся в реестре сертификатов открытых ключей, должна быть защищена от несанкционированного доступа, изменения или уничтожения. 69. Центр сертификации должен установить порядок доступа с правом внесения записи или изменения в реестр сертификатов открытых ключей для лиц, имеющих такое право в соответствии с их функциональными обязанностями. 70. Центр сертификации должен использовать механизмы аутентификации субъектов, имеющих доступ к соответствующей информации в реестре сертификатов открытых ключей. V. Требования к инфраструктуре центра сертификации Раздел 1. Требования к помещениям 71. Помещения центра сертификации должны обеспечивать стабильную работу программно-технического комплекса, систем связи и других технических компонентов, систем энерго-, водо- и теплоснабжения, кондиционирования воздуха, противопожарных систем, обеспечивать защищенность персонала и способствовать предотвращению хищений, утери и несанкционированной модификации, уничтожения данных и программно-технических средств. 72. Помещения центра сертификации должны соответствовать требованиям санитарных норм, по безопасности труда и охраны окружающей среды, установленным действующим законодательством. 73. Помещения центра сертификации должны находиться в зоне безопасности (зона, в которой имеют право находиться только сотрудники организации, в составе которой действует центр сертификации) и быть оборудованы в соответствии с требованиями по обеспечению безопасности. 74. К помещениям специального режима (далее - специальные помещения) центра сертификации относятся помещения, в которых установлены основные технические средства программно-технического комплекса (серверные помещения), хранятся материальные носители, содержащие: резервные копии реестра сертификатов открытых ключей, резервные копии системного и прикладного программного обеспечения, закрытые ключи сотрудников центра сертификации или секретные ключи других криптографических систем центра сертификации. 75. Специальные помещения центра сертификации должны: a) соответствовать условиям максимальной безопасности, установленным настоящими специальными условиями, для обеспечения физической безопасности и технической защиты информации; b) быть оборудованными автономными средствами и системами пожарной сигнализации, автоматического пожаротушения и удаления дыма согласно нормативам NCM.E.03.03-2003 г. "Dotarea clădirilor şi instalaţiilor cu sisteme autonome de semnalizare şi stingere a incendiilor" и NCM.E.03.05-2004 г. "Instalaţii autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare"; c) отвечать требованиям, действующим в Республике Молдова, по проектированию и эксплуатации электрической сети, согласно нормам, предусмотренным в Правилах устройства электроустановок, Правилах технической эксплуатации электроустановок потребителей и Правилах техники безопасности при эксплуатации электроустановок потребителей; d) обеспечивать работу основных технических средств в течение не менее 30 минут после прекращения основного электроснабжения; e) оборудоваться средствами вентиляции и кондиционирования воздуха, имеющими сертификат соответствия, выданный в соответствии с действующим законодательством. 76. В помещениях, предназначенных для хранения документации и резервных копий реестра сертификатов открытых ключей, должны устанавливаться металлические хранилища. Раздел 2. Требования к программно-техническому комплексу 77. Программно-технический комплекс центра сертификации должен обеспечивать выполнение центром функций по сертификации открытых ключей и соответствовать техническим нормам в сфере цифровой подписи. 78. Эксплуатация программно-технического комплекса центра сертификации должна осуществляться в соответствии с установленными требованиями по обеспечению безопасности. 79. Технические средства программно-технического комплекса, используемые центром сертификации, должны быть собственностью центра, либо быть арендованными или полученными в пользование на основании письменного договора. 80. Каждое техническое средство должно быть зарегистрировано и проверено на возможность его эксплуатации, каждое техническое и программное средство должно быть снабжено технической документацией. 81. Работоспособность технических средств должна периодически проверяться на протяжении всего цикла функционирования, а результаты проверок должны документироваться. 82. Все технические средства должны быть обеспечены возможностью ремонта. Для аппаратуры, требующей периодического технического обслуживания, должны быть разработаны соответствующие инструкции и графики технического обслуживания. Все оборудование и контрольно-измерительная аппаратура должны содержаться в условиях, обеспечивающих их сохранность. 83. Программно-технический комплекс центра сертификации должен обеспечивать возможность резервного копирования и сохранения критически важной для деятельности центра сертификации информации, ее быстрого и целостного восстановления в случае отказов, сбоев и ошибок в системе, а также установки, при необходимости, дополнительных или резервных технических ресурсов. 84. В своей деятельности центр сертификации должен использовать только свободно распространяемое или лицензионное программное обеспечение. 85. Центр сертификации обязан обеспечить управление программно-техническим комплексом или его отдельными подсистемами только лицами, наделенными полномочиями администрирования, а также исключить несанкционированное изменение конфигурации оборудования, системных настроек, алгоритмов работы программных средств, изменение поддерживаемых информационных потоков или процессов. Раздел 3. Требования к персоналу 86. Центр сертификации должен располагать штатом сотрудников, количественный состав, профессиональная подготовка, опыт работы и квалификация которых должны быть на уровне, позволяющем решать весь комплекс задач по предоставлению услуг в области цифровой подписи. 87. Расстановка кадров центра сертификации должна быть отражена в соответствующей организационной структуре и номенклатуре должностей, утвержденных руководителем юридического лица. Уровень квалификации каждого специалиста должен быть подтвержден документально. 88. Для каждого специалиста центра сертификации должны быть установлены конкретные требования по образованию, техническим знаниям и опыту работы. Должны быть также определены должностные обязанности, функции, права, ответственность и требования по режиму конфиденциальности. 89. Каждый сотрудник центра сертификации обязан знать и выполнять свои должностные обязанности, периодически повышать свою квалификацию, осваивать смежные профессии по профилю своей деятельности. 90. Центр сертификации должен периодически проводить проверку и оценку уровня квалификации специалистов и обеспечивать повышение этого уровня. 91. При отсутствии специалистов для выполнения специальных работ центр сертификации может привлекать сотрудников других организаций с обеспечением установленных требований по безопасности. 92. Сотрудники центра сертификации должны подписывать обязательства о конфиденциальности в соответствии со статьей 53 Трудового кодекса Республики Молдова, а также, при необходимости, обязательства о неразглашении коммерческой тайны, распространяющиеся как на период действия заключенного индивидуального трудового договора, так и на период после его истечения, установленный договором. VI. Требования по управлению информационными ресурсами центра сертификации Раздел 1. Требования к информационным ресурсам 93. Информационными ресурсами центра сертификации являются реестр сертификатов открытых ключей и служебные документы центра сертификации. 94. Информационные ресурсы центра сертификации ведутся в виде документов на бумажном носителе и в форме электронных документов, которые хранятся на материальных носителях. 95. Основным информационным ресурсом центра сертификации является реестр сертификатов открытых ключей, представляющий собой набор электронных документов и документов на бумажном носителе, включающий: a) заявления на сертификацию открытых ключей пользователей цифровой подписи; b) сертификаты открытых ключей пользователей цифровой подписи; c) решения о приостановлении, возобновлении действия или отзыве сертификатов открытых ключей пользователей цифровой подписи; d) сертификаты открытых ключей уполномоченных лиц центров сертификации третьего уровня (только для центров сертификации второго уровня); e) заявления на приостановление, возобновление действия или отзыв сертификатов открытых ключей уполномоченных лиц центров сертификации третьего уровня (только для центров сертификации второго уровня); f) списки отозванных сертификатов. 96. Документация центра сертификации должна соответствовать международному стандарту ISO 15489 "Информация и документация - управление документацией". Раздел 2. Требования к архивному хранению информационных ресурсов 97. Архивному хранению подлежат следующие информационные ресурсы центра сертификации: a) реестр сертификатов открытых ключей; b) журналы аудита программно-аппаратного комплекса; c) другие виды документов, установленные центром сертификации. 98. Срок архивного хранения реестра сертификатов открытых ключей составляет не менее 10 лет с момента отзыва последнего занесенного в реестр сертификата. 99. Подготовка к уничтожению и уничтожение архивных документов осуществляется комиссией, формируемой из числа сотрудников центра сертификации в соответствии с действующим законодательством. 100. Работы по подготовке к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляются сотрудниками центра сертификации, обеспечивающими документирование, в порядке, установленном руководителем центра сертификации. Раздел 3. Требования по обеспечению доступа к информационным ресурсам 101. Центр сертификации обеспечивает доступ пользователей цифровой подписи к реестру сертификатов открытых ключей посредством: a) официального электронного информационного ресурса центра сертификации (web-портала); b) электронной почты; c) исполнения запросов пользователей цифровой подписи в соответствии с утвержденными центром сертификации процедурами. 102. Доступ к архивным документам центра сертификации осуществляется в соответствии с действующим законодательством. VII. Требования по обеспечению безопасности центра сертификации Раздел 1. Требования к системе безопасности 103. Основными задачами по обеспечению безопасности центра сертификации являются: a) защита конфиденциальной информации при ее хранении, обработке и передаче (криптографические ключи, средства криптографической защиты информации, персональные сведения, охраняемые в соответствии с действующим законодательством, парольная информация и т.п.); b) контроль целостности конфиденциальной и открытой информации (информация о владельцах, входящая в состав сертификатов открытых ключей, информация о приостановленных и отозванных сертификатах открытых ключей, свободно распрост-раняемые программные компоненты и доку-ментация к ним и т.п.); c) контроль целостности программных и аппаратных компонентов программно-технического комплекса; d) обеспечение безотказной работы; e) обеспечение физической безопасности центра сертификации. 104. Система безопасности центра сертификации должна: a) защищать информацию о владельцах сертификатов открытых ключей посредством обеспечения конфиденциальности, целостности и безопасного доступа к реестру сертификатов открытых ключей; b) обеспечивать безопасность инфраструктуры и информационных ресурсов центра сертификации; c) устанавливать ответственность за информационную безопасность в центре сертификации; d) минимизировать риски, связанные с использо-ванием информационных технологий; e) обеспечить способность центра сертификации продолжать деятельность в чрезвычайных и других критических ситуациях (обеспечение непрерывности деятельности центра сертификации). 105. Комплекс мер и средств защиты информации в центре сертификации должен включать следующие подсистемы: a) подсистема криптографической защиты информации, включающая средства криптографической защиты информации; b) подсистема защиты информации от несанкциони-рованного доступа; c) подсистема активного аудита информационной безопасности центра; d) подсистема обнаружения вторжений; e) подсистема защиты информации от непреднамеренного воздействия, включая подсистему резервного копирования и архивирования данных; f) подсистема обеспечения целостности информации, программных и аппаратных компонентов программно-технического комплекса центра сертификации, в том числе криптографическими методами; g) подсистема обеспечения доступности, включая подсистему безотказной работы программно-технического комплекса центра сертификации; h) подсистема защиты оборудования программно-технического комплекса центра сертификации от утечки информации по техническим и побочным каналам; i) подсистема физической безопасности. 106. Центр сертификации должен разработать требования по обеспечению своей безопасности, критерии и показатели оценки уровня безопасности, в соответствии с которыми осуществлять те или иные мероприятия и внедрять конкретные средства защиты информации. 107. Любая функция центра сертификации может быть делегирована третьим лицам только с учетом требований по безопасности центра сертификации. 108. Центр сертификации должен разработать и утвердить внутренние бизнес-процессы, обеспечивающие безопасную деятельность центра сертификации. 109. Любая форс-мажорная ситуация, которая может негативно повлиять на выполнение обязательных процедур центра сертификации, должна быть доведена до сведения владельцев сертификатов открытых ключей. 110. Центр сертификации должен разработать и утвердить политику безопасности центра сертификации, которая должна отражать видение проблемы информационной безопасности центра сертификации, систему мер по ее обеспечению, ответственность сотрудников и механизмы контроля состояния информационной безопасности. 111. Политика безопасности должна обеспечивать соблюдение общепринятых правил, норм и стандартов в сфере информационной безопасности и должна содержать: a) категории ресурсов центра сертификации с указанием необходимого уровня защиты для каждой категории; b) анализ рисков центра сертификации, возникающих в связи с применением информационных и телекоммуникационных технологий; c) модель безопасности центра сертификации; d) выбор комплексной системы обеспечения безопасности центра сертификации; e) основные организационно-технические мероприятия, необходимые для обеспечения безопасности центра сертификации; f) требования к техническим средствам защиты информации; g) перечень технических средств защиты информации; h) план действий по поддержанию режима безопасности центра сертификации, включая планы обеспечения бесперебойной работы; i) обязанности персонала центра сертификации по обеспечению безопасности; j) процедуры проверки центра сертификации на соответствие требованиям безопасности; k) процедуры ознакомления пользователей цифровой подписи с Регламентом и политикой безопасности центра сертификации и получение от них обязательств по соблюдению положений Регламента и политики безопасности; l) ознакомление пользователей цифровой подписи с информацией об уровне защищенности центра сертификации. 112. Центр сертификации должен разработать и утвердить систему предоставления прав доступа к ресурсам центра сертификации согласно установленным процедурам доступа. 113. Центр сертификации должен анализировать все компоненты своей инфраструктуры (аппаратное и программное обеспечение, средства защиты информации и т.д.) с точки зрения рисков, планировать и осуществлять мероприятия по минимизации и устранению выявленных рисков. 114. Центр сертификации должен внедрять автоматизированные инструменты анализа информационных и телекоммуникационных систем, бизнес-процессов центра сертификации для выявления, определения уязвимых мест в системе безопасности. 115. Центр сертификации должен разработать и утвердить план мероприятий по обеспечению непрерывности своей деятельности, который периодически корректируется на основании анализа текущей деятельности и тестирования различных возможных чрезвычайных ситуаций. Раздел 2. Требования по обеспечению физической безопасности 116. Центр сертификации должен создать и поддерживать систему физической безопасности, обеспечивающую защиту инфраструктуры, информационных ресурсов и персонала центра, обладающую гибкостью при изменении предъявляемых к ней требований, возможностью наращивания функций, и быть простой в эксплуатации. 117. Система физической безопасности центра сертификации должна включать следующие подсистемы: a) управления доступом к различным физическим объектам; b) обнаружения несанкционированного проникновения на физические объекты; c) управления, анализа и регистрации информации; d) инженерно-технической защиты (пассивной защиты); e) оповещения и обеспечения связи в чрезвычайных ситуациях. 118. Центр сертификации должен установить и распределить обязанности сотрудников по обеспечению физической безопасности. 119. Информация о размещении подсистем программно-технического комплекса центра сертификации является конфиденциальной. 120. Инженерно-техническое и специальное оборудование, охрана и режим доступа в специальные помещения центра сертификации должны обеспечивать безопасность конфиденциальной информации и криптографических ключей, контролируемый доступ в эти помещения, а также доступ к техническим средствам и криптографическим ключам. 121. Центр сертификации должен категорировать специальные помещения, определить порядок доступа и утвердить перечень лиц, которым разрешен доступ в эти помещения. 122. Доступ сотрудников центра сертификации в специальные помещения осуществляется на основании действующих в центре сертификации инструкций и приказов. 123. Физический доступ в специальные помещения центра сертификации должен быть возможен только после двойного контроля и в соответствии с установленными правами доступа. 124. Сотрудники центра сертификации, имеющие доступ в специальные помещения, несут персональную ответственность за несанкционированный допуск в эти помещения посторонних лиц. 125. Специальные помещения в обязательном порядке оборудуются системами контроля доступа и видеонаблюдения, позволяющими отслеживать доступ лиц в данные помещения. 126. Специальные помещения в обязательном порядке оборудуются многорубежными системами охранной и тревожной сигнализации в соответствии с методологическими и техническими нормами проектирования и монтажа систем охранной сигнализации, утвержденными Постановлением Правительства № 667 от 8 июля 2005 г. "О мерах по реализации Закона № 283-XV от 4 июля 2003 г. о частной детективной и охранной деятельности". 127. При размещении технических средств центр сертификации должен обеспечить их защиту от несанкционированного доступа, кражи, пожаров, наводнений, сильных электромагнитных полей и других возможных рисков. 128. Помещения, предназначенные для размещения персонала центра сертификации, а также иные служебные помещения должны оборудоваться: a) системами охранной, тревожной и пожарной сигнализации; b) системой контроля доступа, позволяющей отслеживать доступ персонала центра сертификации в определенные помещения. 129. При расположении служебных и иных помещений центра сертификации на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются внутренними решетками. Раздел 3. Требования по обеспечению безопасности информационных и телекоммуникационных систем 130. Для минимизации рисков, связанных с применением информационных и телекоммуникационных технологий, центр сертификации разрабатывает и внедряет комплекс мер по обеспечению безопасности своих информационных и телекоммуникационных систем (программных и технических средств, каналов связи, сетевого оборудования, обрабатываемой, хранимой и передаваемой информации) функционированием следующих подсистем безопасности: a) подсистема управления доступом; b) подсистема регистрации и учета (аудита); c) подсистема обеспечения целостности; d) подсистема обеспечения доступности; e) подсистема криптографической защиты. 131. Подсистема управления доступом: a) разделяет доступ к информационным объектам и функциям информационных систем в соответствии с правилами доступа, основанными на атрибутах доступа; b) осуществляет проверку подлинности субъектов, получающих доступ к компонентам информационных систем; c) осуществляет контроль доступа субъектов к защищаемым ресурсам в соответствии с установленными уровнями доступа; d) управляет информационными потоками с применением меток конфиденциальности; e) фиксирует случаи успешного и безуспешного доступа. 132. Подсистема регистрации и учета: a) регистрирует попытки входа (выхода) субъекта доступа в систему по следующим параметрам: дата и время попытки входа (выхода); идентификатор субъекта доступа; результат попытки входа (выхода) - успешная или безуспешная; b) регистрирует попытки запуска (завершения работы) приложений и процессов, предназначенных для обработки защищаемых ресурсов по следующим параметрам: дата и время попытки запуска; наименование (идентификатор) приложения или процесса; идентификатор субъекта доступа; результат попытки запуска - успешная или безуспешная; c) регистрирует попытки получения доступа (выполнения операций) приложений и процессов к защищаемым ресурсам по следующим параметрам: дата и время попытки получения доступа (выполнения операции); наименование (идентификатор) приложения или процесса; идентификатор субъекта доступа; спецификация защищаемого ресурса (идентификатор, логическое имя, имя файла, номер и т.п.); вид запрашиваемой операции (чтение, запись, удаление, монтирование и т.п.); результат попытки получения доступа (выполнения операции) - успешная или безуспешная; d) регистрирует попытки несанкционированного входа субъектов доступа в систему, попытки несанкционированного запуска приложений (процессов) или выполнения операций, а также блокирует все несанкционированные операции и оповещает об этом администратора безопасности; e) регистрирует изменения полномочий субъектов доступа и статуса объектов доступа по следующим параметрам: дата и время изменения полномочий; идентификатор администратора, осуществившего изменения; идентификатор субъекта доступа и его новые полномочия или спецификация объекта доступа и его новый статус; f) регистрирует выдачу из системы информации (электронного документа, данных и т.д.) по следующим параметрам: дата и время выдачи; наименование информации и путь к ней; спецификация устройства выдачи (логическое имя); идентификатор субъекта доступа, запросившего информацию; объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, безуспешный); g) ведет учет защищаемых ресурсов центра сертификации, проводит регистрацию выдачи/приема материальных носителей с конфиденциальной информацией; h) защищает "протокольные" данные (регистрационный журнал, log-файл и т.п.) от изменения; i) идентифицирует и показывает текущие события. 133. Подсистема обеспечения целостности обеспечивает неизменность программной среды, целостность обрабатываемой информации, программно-технических средств и средств защиты информации. 134. Подсистема обеспечения доступности: a) обеспечивает отказоустойчивую работу информационных и телекоммуникационных систем центра сертификации; b) обеспечивает гарантированное сохранение информационных ресурсов центра сертификации, а также возможность их восстановления в случае необходимости или в форс-мажорных обстоятельствах; c) обеспечивает постоянный доступ пользователей системы к информационным ресурсам центра сертификации в соответствии с установленными правилами доступа к информации. 135. Подсистема криптографической защиты: a) осуществляет шифрование всей конфиденциальной информации в информационной системе и в каналах связи; b) обеспечивает контроль доступа субъектов к операциям шифрования и криптографическим ключам в соответствии с установленными правилами доступа. 136. Архитектура информационных и телекоммуникационных систем центра сертификации и их подсистем безопасности должна быть достаточно гибкой, допускать простое, без структурных изменений, развитие конфигурации используемых средств, наращивание функций и ресурсов. 137. Информационные и телекоммуникационные системы центра сертификации должны сопровождаться документацией, обеспечивающей квалифицированную их эксплуатацию. 138. Отдельные критические компоненты информационных и телекоммуникационных систем центра сертификации должны иметь системы резервирования и восстановления после нарушения режима безопасности или отказов (сбоев). 139. Информационные и телекоммуникационные системы, их компоненты, программные и технические средства центра сертификации должны соответствовать установленным нормам политики информационной безопасности, а со стороны их разработчиков (производителей, поставщиков и т.д.) должна осуществляться необходимая техническая поддержка. 140. Центр сертификации должен обеспечить защиту своих информационных и телекоммуникационных систем от воздействия вредоносного программного обеспечения (систему антивирусной защиты). 141. Центр сертификации должен категорировать ресурсы информационных систем, определить порядок доступа и утвердить перечень лиц, которым разрешен доступ к отдельным ресурсам информационных и телекоммуникационных систем. 142. Центр сертификации должен разработать, утвердить и внедрить необходимые механизмы и процедуры разграничения и контроля логического и физического доступа к оборудованию информационных систем и телекоммуникационным ресурсам. 143. Доступ сотрудников центра сертификации к ресурсам информационных и телекоммуникационных систем должен осуществляться на основании действующих в центре сертификации инструкций и приказов в соответствии с утвержденными правами доступа. 144. Центр сертификации должен установить и документировать процедуры администрирования и использования системного и прикладного программного обеспечения. 145. Внедрение новых или усовершенствованных информационных и телекоммуникационных систем, их компонентов, программных и технических средств должно производиться только в установленном порядке, с соблюдением требований по обеспечению информационной безопасности. 146. Центр сертификации должен разработать и утвердить соответствующие инструкции по применению новых или модификации существующих информационных и телекоммуникационных систем, их компонентов, программных и технических средств. 147. Ответственный персонал центра сертификации должен быть инструктирован о функциональности и правилах администрирования (эксплуатации) новых или усовершенствованных информационных телекоммуникационных систем, их компонентов, программных и технических средств. 148. Все возможные изменения в конфигурации информационных и телекоммуникационных систем, их компонентов, программных и технических средств должны быть протестированы до их внедрения в операционную среду. Решение о модификации принимается только после оценки рисков, связанных с внедрением данных изменений. 149. Центр сертификации должен разработать и утвердить формальные процедуры контроля модификаций информационных и телекоммуникационных систем, их компонентов, программных и технических средств. 150. Центр сертификации должен использовать безопасные, контролируемые сетевые подключения и механизмы, обеспечивающие целостность и конфиденциальность информации при ее передаче через публичные сети. 151. Центр сертификации должен внедрять системы межсетевого экранирования, обеспечивающие защиту внутренних информационных и телекоммуникационных систем и ресурсов центра сертификации. 152. Ответственный персонал центра сертификации (системные администраторы) обязаны осуществлять ежедневный контроль состояния информационных и телекоммуникационных систем, их компонентов, операционных и прикладных систем, а также инструментов безопасности. Раздел 4. Требования по использованию средств криптографической защиты информации 153. Центр сертификации обеспечивает безопасность конфиденциальной информации при ее хранении, обработке и передаче по каналам связи, применяя технологии шифрования информации с использованием средств криптографической защиты информации (СКЗИ). 154. Для разработки и осуществления мероприятий по обеспечению безопасности информации и использованию СКЗИ в центре сертификации должно быть создано подразделение криптографической защиты информации (выделен сотрудник), разработаны и утверждены инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи конфиденциальной информации, защищаемой с использованием СКЗИ. 155. Подразделение криптографической защиты: a) разрабатывает и внедряет систему криптографической защиты конфиденциальной информации центра сертификации; b) разрабатывает инструкции и мероприятия по обеспечению функционирования и безопасности применяемых СКЗИ; c) обеспечивает хранение и учет материальных носителей конфиденциальной информации, СКЗИ и документации к ним, материальных носителей ключевой информации, а также учет пользователей, непосредственно эксплуатирующих СКЗИ; d) обучает пользователей СКЗИ правилам работы с СКЗИ; e) осуществляет контроль соблюдения пользователями установленных норм использования СКЗИ, эксплуатационной и технической документации к ним; f) осуществляет контроль целостности системного и прикладного программного обеспечения технических средств, на которых установлены СКЗИ, а также контроль целостности СКЗИ; g) выявляет факты нарушения установленных норм использования СКЗИ и принимает необходимые меры по предотвращению возможных последствий подобных нарушений. 156. Сотрудники подразделения криптографической защиты обязаны: a) соблюдать режим конфиденциальности в процессе выполнения своих служебных обязанностей; b) своевременно выявлять попытки посторонних лиц получить сведения о конфиденциальной информации, об используемых СКЗИ и ключевых носителях; c) незамедлительно принимать меры по предупреждению разглашения конфиденциальной информации, возможной утечки такой информации при использовании СКЗИ. 157. Сотрудники подразделения криптографической защиты должны иметь соответствующий уровень квалификации и осуществлять свою деятельность согласно должностным обязанностям. 158. Центр сертификации осуществляет внедрение и эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией к этим средствам, утвержденными инструкциями, а также настоящими специальными условиями. 159. Инструкции, регламентирующие безопасную эксплуатацию СКЗИ, должны предусматривать: a) права и обязанности сотрудников центра сертификации, эксплуатирующих СКЗИ; b) порядок размещения, установки, хранения и использования СКЗИ и эксплуатационной документации к ним; c) порядок создания, учета, распространения, хранения и уничтожения криптографических ключей; d) порядок расследования фактов нарушения установленных правил использования СКЗИ, криптографических ключей, а также меры по устранению последствий выявленных нарушений; e) порядок осуществления контроля выполнения требований по обеспечению защиты информации с применением СКЗИ. 160. Условия внедрения и эксплуатации СКЗИ должны исключать возможность несанкционированного доступа к ним, внесения изменений, хищения и бесконтрольного распространения. 161. Эксплуатирующиеся центром сертификации СКЗИ должны периодически подвергаться контрольным проверкам на протяжении всего цикла функционирования. 162. СКЗИ подлежат учету. Программные СКЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их функционирование. 163. При необходимости, для обеспечения целостности криптографических ключей могут создаваться резервные копии, которые хранятся в соответствии с установленными нормами по обеспечению их защиты от несанкционированного доступа и непреднамеренного воздействия. 164. Сотрудники центра сертификации несут персональную ответственность за сохранность и безопасность криптографических ключей. 165. Материальные носители с криптографическими ключами учитываются подразделением криптогра-фической защиты. 166. Неиспользованные или выведенные из обра-щения материальные носители с крипто-графи-ческими ключами уничтожаются подразде-лением крипто-графической защиты. 167. Уничтожение криптографических ключей производится путем физического уничтожения материального носителя или гарантированного уничтожения ключевой информации без повреждения носителя (для его повторного использования). 168. Криптографические ключи СКЗИ должны периодически меняться. Процедура смены ключей устанавливается центром сертификации. 169. Криптографические ключи или СКЗИ, в отношении которых имеются основания полагать, что они скомпрометированы, немедленно выводятся из обращения, а подразделение криптографической защиты осуществляет комплекс необходимых мер для проверки факта и устранения последствий. Раздел 5. Требования по технической защите информации 170. Центр сертификации обеспечивает защиту конфиденциальной информации, применяя технологии и специальные средства защиты информации от утечки по техническим каналам. 171. Центр сертификации должен исключить неконтролируемое пребывание посторонних лиц или автотранспортных средств, а также размещение случайных антенн в зоне радиусом не менее 15 метров от места размещения основных технических средств программно-технического комплекса (далее - контролируемая зона). 172. Серверные помещения центра сертификации должны быть защищены от утечки информации за счет побочных электромагнитных излучений и наводок путем экранирования помещений или установки систем электромагнитного зашумления. 173. В случае экранирования помещений должна обеспечиваться непрерывность электрического соединения материала всех частей экрана: стен, потолка, пола, оконных и дверных проемов. Дверное полотно должно иметь надежный электрический контакт с экраном помещения по всей поверхности, экранирующие конструкции должны быть заземлены через контур заземления, расположенный в контролируемой зоне. 174. Центр сертификации должен обеспечить защиту информации от утечки по цепям электропитания [развязка цепей электропитания объекта с применением защитных фильтров, блокирующих (подавляющих) сигнал]. 175. В помещениях центра сертификации, в которых размещены технические средства, обрабатывающие конфиденциальную информацию, размещение посторонней электро-, радио- и другой аппаратуры должно быть исключено или ограничено. 176. Оборудование на линиях, которые имеют выход за пределы контролируемой зоны, должно уста-навли-ваться на расстоянии не менее 3 метров от основных технических средств программно-технического комплекса центра сертификации. 177. Достаточность применяемых технических мер защиты, а также необходимость установки допол-нительных специальных технических средств определяются по результатам специальных исследований и оценки защищенности объекта. Раздел 6. Требования по обеспечению безопасности информационных ресурсов 178. Информационные ресурсы центра сертификации должны быть классифицированы и категорированы в соответствии с уровнем их безопасности. 179. Вся информация, данные и документы должны обрабатываться и храниться согласно уровню классификации и категории данной информации. 180. Вся информация, данные и документы, классифицированные как конфиденциальные, должны храниться в отдельной безопасной среде. 181. Центр сертификации должен осуществлять меры по защите персональных данных в соответствии с законодательством Республики Молдова. 182. Реестр сертификатов открытых ключей должен храниться и обрабатываться в условиях, обеспечивающих его целостность, доступность и конфиденциальность. 183. Центр сертификации должен создавать резервные копии реестра сертификатов открытых ключей, другой критически важной информации. 184. Хранение резервных копий должно осуществляться в специальных помещениях центра сертификации. 185. Документы центра сертификации должны быть защищены от утери, уничтожения и фальсификации. 186. Центр сертификации должен установить сроки использования и хранения документов и информации, разработать номенклатуру дел, в которую вносятся основные типы документов и установленные для них сроки хранения. 187. Сотрудникам центра сертификации запрещается использование информационных ресурсов центра в личных целях. 188. Персонал центра сертификации обязан знать риски, связанные с нарушением безопасности информации, с которой они работают. Раздел 7. Требования по управлению информационной безопасностью центра сертификации 189. Центр сертификации должен создать систему управления информационной безопасностью, проводить постоянный мониторинг системы информационной безопасности, выявлять угрозы информационной безопасности и управлять рисками. 190. Для управления информационной безопасностью рекомендуется руководствоваться международным стандартом ISO/IEC 17799-2005 "Информационные технологии. Свод правил по управлению безопасностью информации". VIII. Проверка деятельности центра сертификации 191. Центр сертификации обязан проводить, один раз в два года, комплексную проверку своей деятельности. 192. Комплексная проверка деятельности центра сертификации осуществляется уполномоченным органом по разработке и реализации государственной политики и контролю в сфере применения цифровой подписи - Службой информации и безопасности Республики Молдова (далее - уполномоченный орган), с привлечением в случае необходимости специалистов в данной сфере. 193. По инициативе центра сертификации комплексная проверка его деятельности может осуществляться организациями, специализирующимися в аудиторской и консультационной деятельности в сфере информационных технологий, с привлечением представителя уполномоченного органа за счет центра сертификации. 194. Рекомендуется, чтобы организация, осуществляющая комплексную проверку деятельности центра сертификации, соответствовала следующим требованиям: a) обладать персоналом, квалификация которого подтверждена сертификатами аудиторов в сфере информационных систем (международные сертификаты CISA или CISM); b) иметь опыт аудита в сфере информационных технологий не менее 2 лет. 195. Организация, осуществляющая комплексную проверку деятельности центра сертификации, должна: a) обеспечить независимость осуществляемой проверки; b) осуществлять проверку в соответствии с нормами и стандартами аудита в сфере информационных технологий и безопасности информационных систем; c) использовать методологию проверки, основанную на оценке рисков и соответствующих процедурах оценки адекватности мероприятий по управлению рисками; d) обеспечить конфиденциальность полученной в результате проверки информации. 196. Организация, осуществляющая комплексную проверку деятельности центра сертификации, составляет акт проверки и заключение. 197. Акт проверки подписывается ответственным лицом, осуществившим проверку деятельности центра сертификации, представителем уполномоченного органа и руководителем юридического лица, в составе которого осуществляет свою деятельность центр сертификации. 198. Заключение составляется на основании акта проверки и является документом, подтверждающим (не подтверждающим) соответствие деятельности центра сертификации установленным нормам в сфере цифровой подписи. 199. Заключение должно содержать: a) оценку качества и непрерывности услуг в сфере цифровой подписи, предоставляемых центром сертификации; b) соответствие деятельности центра сертификации стандартам, техническим нормам и другим нормативным документам в сфере цифровой подписи; c) соответствие деятельности центра сертификации положениям Регламента центра сертификации, политике сертификации и политике безопасности; d) соответствие деятельности центра сертификации установленным функциям и обязанностям; e) соответствие основных процедур центра сертификации предъявляемым требованиям; f) соответствие деятельности центра сертификации требованиям по обеспечению безопасности центра сертификации; g) выводы о достаточности мер по обеспечению конфиденциальности, целостности и доступности информации и информационных услуг; h) оценку качества и комплексности внутренних процедур центра сертификации; i) анализ функции управления рисками центра сертификации; j) соблюдение процедур обеспечения непрерывности деятельности центра сертификации; k) соответствие программно-технического комплекса центра сертификации предъявляемым требованиям; l) проверку принятых мер по результатам предыдущего аудита. 200. Результаты комплексной проверки деятельности центра сертификации (копия акта и заключения), проведенной организацией, специализирующейся в аудиторской и консультационной деятельности в сфере информационных технологий, предоставляются уполномоченному органу. 201. Центр сертификации периодически должен проводить внутренний аудит своей деятельности в соответствии с Регламентом проведения внутреннего аудита, утвержденного данным центром. IX. Создание, реорганизация и ликвидация центра сертификации Раздел 1. Требования по созданию центра сертификации 202. Для предоставления услуг по сертификации открытых ключей центр сертификации должен пройти процедуру регистрации в соответствии с установленными нормами и сертифицировать открытый ключ уполномоченного лица центра сертификации в вышестоящем центре сертификации. 203. Для регистрации центра сертификации юридическое лицо, создающее центр сертификации, обязано обеспечить выполнение следующих условий: a) создать (назначить) подразделение для осуществления функций центра сертификации; b) создать штат сотрудников, обладающих квалификацией, необходимой для предоставления услуг по сертификации открытых ключей и других услуг в сфере цифровой подписи; c) обустроить специальные помещения, а также другие рабочие помещения центра сертификации в соответствии с требованиями к помещениям центра сертификации, установленными настоящими специальными условиями; d) создать программно-технический комплекс центра сертификации, соответствующий техническим нормам в сфере цифровой подписи и требованиям настоящих специальных условий; e) назначить уполномоченное лицо центра сертификации (администратора сертификации), администратора регистрации, администратора безопасности и системного администратора; f) создать систему безопасности центра сертификации в соответствии с настоящими специальными условиями; g) создать подразделение (назначить сотрудника), ответственное за криптографическую защиту информации в центре сертификации; h) разработать и утвердить нормативную базу центра сертификации, необходимую для предоставления услуг по сертификации открытых ключей, включающую следующие обязательные документы: политика сертификации центра сертификации; Регламент центра сертификации; политика безопасности центра сертификации; политика предоставления и контроля доступа к ресурсам центра сертификации; план управления рисками; план обеспечения непрерывности деятельности центра сертификации; процедуры восстановления работы центра сертификации; инструкции, регламентирующие безопасность и эксплуатацию СКЗИ; регламент проведения внутреннего аудита центра сертификации; i) получить банковскую гарантию в банке, зарегистрированном на территории Республики Молдова, или страховой полис в страховой компании, зарегистрированной на территории Республики Молдова, в пользу уполномоченного органа на сумму в молдавских леях, эквивалентную 20 000 евро. 204. При регистрации центр сертификации должен пройти процедуру комплексной проверки в соответствии с установленными настоящими специальными условиями требованиями по проверке деятельности центра сертификации. Раздел 2. Требования по реорганизации центра сертификации 205. Реорганизация центра сертификации осуществляется в установленных законодательством формах путем передачи его функций другому юридическому лицу. 206. Передача центра сертификации осуществляется: a) на основании договора о передаче центра сертификации; b) на основании решения о реорганизации юридического лица. 207. Юридическое лицо в срок не менее чем за 30 дней до момента передачи должно уведомить уполномоченный орган и вышестоящий центр сертификации о решении о передаче центра сертификации. 208. Юридическое лицо в срок не менее чем за 30 дней до момента передачи должно уведомить все нижестоящие центры сертификации и пользователей цифровой подписи о решении о передаче центра сертификации и о необходимости перезаключения контрактов на обслуживание с новым центром сертификации. 209. Решением заинтересованных юридических лиц создается комиссия по передаче центра сертификации. 210. В состав комиссии по передаче центра сертификации должны входить: a) представители юридических лиц; b) представитель уполномоченного органа; c) другие лица, назначенные сторонами. 211. В ходе процедуры передачи центр сертификации должен: a) уничтожить закрытые ключи уполномоченных лиц центра сертификации без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом; b) передать реестр сертификатов открытых ключей. 212. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях. 213. Сертификаты открытых ключей, выданные центром сертификации, продолжают действовать до истечения срока их действия. 214. По окончании работы комиссии составляется акт приема-передачи, в соответствии с которым юридическое лицо, которому был передан центр сертификации, становится правопреемником центра. Акт подписывается членами комиссии и утверждается руководителями заинтересованных юридических лиц. Раздел 3. Требования по ликвидации центра сертификации 215. Центр сертификации может быть ликвидирован: a) по инициативе юридического лица, создавшего центр сертификации; b) по инициативе уполномоченного органа при нарушении установленных норм в сфере цифровой подписи; c) при ликвидации юридического лица, создавшего центр сертификации. 216. Юридическое лицо в срок не менее чем за 30 дней до момента ликвидации должно уведомить уполномоченный орган и вышестоящий центр сертификации о решении о ликвидации центра сертификации. 217. Пользователи цифровой подписи в срок не менее чем за 30 дней до момента ликвидации должны быть оповещены о ликвидации центра сертификации. 218. Процедура ликвидации центра сертификации по инициативе юридического лица, создавшего центр сертификации, инициируется приказом руководителя юридического лица. 219. Приказом руководителя юридического лица, ликвидирующего центр сертификации, создается ликвидационная комиссия, в задачи которой входит проведение процедуры ликвидации. 220. Ликвидация центра сертификации по инициативе уполномоченного органа осуществляется в судебном порядке на основании заключения уполномоченного органа о нарушении законодательства в сфере цифровой подписи. После вынесения судебного решения приказом руководителя уполномоченного органа создается ликвидационная комиссия. 221. В состав ликвидационной комиссии должны входить: a) руководитель юридического лица, создавшего центр сертификации; b) представитель уполномоченного органа; c) другие лица, назначенные приказом. 222. В ходе процедуры ликвидации центр сертификации должен: a) уничтожить закрытые ключи уполномоченных лиц центра сертификации без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом; b) отозвать сертификаты открытых ключей пользователей цифровой подписи, выданные ликвидированным центром сертификации; c) опубликовать статус сертификатов открытых ключей; d) передать на хранение уполномоченному органу реестр сертификатов открытых ключей. 223. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях, о чем составляется акт приема-передачи, который подписывается руководителем юридического лица, создавшего центр сертификации, и представителем уполномоченного органа, ответственным за хранение. Реестр сертификатов открытых ключей подлежит архивному хранению в соответствии с действующим законодательством. 224. Ликвидационной комиссией составляется акт, в соответствии с которым центр сертификации прекращает свое существование. Утвержден: Зарегистрирован: Служба информации и Министерство юстиции безопасности Республики Молдова Республики Молдова приказ № 13 от 3 апреля 2006 г. рег. № 452 от 21 июня 2006 г. __________ Ион УРСУ __________ Виктория ИФТОДИ Приложение № 3 к Приказу директора Службы информации и безопасности Республики Молдова № 13 от 3 апреля 2006 г. РЕГЛАМЕНТ Центра сертификации открытых ключей высшего уровня I. Общие положения 1. Настоящий Регламент разработан на основании Закона об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 г. и Постановления Правительства № 945 от 5 сентября 2005 г. "О центрах сертификации открытых ключей". 2. Регламент устанавливает общие условия организации деятельности Центра сертификации открытых ключей высшего уровня (далее - Центр сертификации), определяет его функции, обязанности и права, процедуры и механизмы, применяемые Центром сертификации для управления единой иерархической инфраструктурой открытых ключей (Public Key Infrastructure, PKI), а также общий порядок взаимодействия с центрами сертификации и пользователями цифровой подписи, основные организационно-технические мероприятия по обеспечению безопасности. 3. Регламент Центра сертификации открытых ключей высшего уровня является нормативным актом в сфере применения цифровой подписи, обязательным для всех физических и юридических лиц, применяющих цифровую подпись или осуществляющих деятельность в сфере цифровой подписи. 4. Центр сертификации является подразделением Службы информации и безопасности, осуществляющим деятельность в сфере криптографической и технической защиты информации. 5. Руководитель Центра сертификации назначается приказом директора Службы информации и безопасности. II. Функции, обязанности и права Центра сертификации 6. Центр сертификации выполняет следующие функции: a) сертифицирует открытые ключи уполномоченных лиц центров сертификации второго уровня; b) приостанавливает, возобновляет действие и отзывает сертификаты открытых ключей, выданные Центром сертификации; c) создает и ведет реестр сертификатов открытых ключей уполномоченных лиц Центра сертификации и центров сертификации второго уровня (далее - Реестр сертификатов открытых ключей); d) подтверждает подлинность и действительность сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня. 7. Во исполнение возложенных на него функций Центр сертификации: a) обеспечивает создание и выдачу сертификатов открытых ключей уполномоченным лицам центров сертификации второго уровня в форме электронного документа и в виде документа на бумажном носителе по их заявке в соответствии с процедурами, уста-новленными настоящим Регламентом; b) приостанавливает, возобновляет действие и отзывает сертификаты открытых ключей уполномоченных лиц центров сертификации второго уровня в случаях и в соответствии с процедурами, установленными настоящим Регламентом; c) ведет учет центров сертификации второго уровня; d) ведет Реестр сертификатов открытых ключей в виде документов на бумажном носителе и в форме электронных документов; e) обеспечивает взаимодействие с центрами сертификации второго уровня в рамках единой иерархической инфраструктуры открытых ключей; f) оказывает консультационную и методологическую помощь уполномоченным лицам центров сертификации второго уровня; g) подтверждает подлинность и действительность сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня; h) подтверждает подлинность и действительность сертификатов открытых ключей, выданных центрами сертификации второго уровня, в случаях, предусмотренных настоящим Регламентом; i) осуществляет деятельность в сфере криптографической и технической защиты информации; j) создает информационные и телекоммуникационные системы Центра сертификации, обеспечивает их функционирование, безопасность, обслуживание и совершенствование, осуществляет постоянный внутренний аудит безопасности и функциональности этих систем. 8. Центр сертификации обязан: осуществлять свою деятельность в строгом соответствии с законодательством и требованиями, установленными уполномоченным органом по разработке и реализации государственной политики и контролю в сфере применения цифровой подписи (далее - уполномоченный орган); использовать средства цифровой подписи, имеющие сертификат соответствия, выданный в соответствии с действующим законодательством; использовать средства цифровой подписи в соответствии с эксплуатационной документацией; организовать внутренний режим работы Центра сертификации таким образом, чтобы исключить возможность доступа посторонних лиц к средствам цифровой подписи, их несанкционированного использования и модификации; обеспечивать безопасность закрытых ключей уполномоченных лиц Центра сертификации и других сотрудников, создавать необходимые условия для исключения несанкционированного доступа к закрытым ключам; управлять материальными носителями закрытых ключей в соответствии с требованиями, установленными уполномоченным органом; использовать закрытый ключ уполномоченного лица Центра сертификации только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов; создавать сертификат открытого ключа уполномоченного лица Центра сертификации и список отозванных сер-тификатов в соответствии с требованиями, установлен-ными уполномоченным органом и настоящим Регламентом; не использовать для создания цифровой подписи закрытый ключ при наличии оснований (подозрений) полагать, что нарушена конфиденциальность закрытого ключа; незамедлительно приостановить действие сертификата открытого ключа уполномоченного лица Центра сертификации при наличии оснований (подозрений) полагать, что нарушена конфи-ден-циальность закрытого ключа, а также в случае, если содержащаяся в сертификате открытого ключа информация не соответствует действительности; отозвать сертификат открытого ключа уполномоченного лица Центра сертификации в случае установленного факта нарушения конфиденциальности закрытого ключа или несоответствия действительности информации, содержащейся в сертификате открытого ключа; принимать заявки на сертификацию открытых ключей от уполномоченных лиц центров сертификации второго уровня в соответствии с процедурами, установленными настоящим Регламентом; проверять достоверность данных, указанных в заявке на сертификацию открытого ключа, на основании документов, подтверждающих указанные данные, обеспечивать соответствие информации, содержащейся в сертификате открытого ключа, информации, представленной уполномоченным лицом центра сертификации второго уровня; обеспечивать уникальность регистрационной информации уполномоченных лиц центров серти-фикации второго уровня в Реестре сертификатов открытых ключей; не разглашать конфиденциальную и иную охраняемую законом информацию; проверять уникальность сертифицируемых открытых ключей; обеспечивать уникальность регистрационных номеров выдаваемых сертификатов открытых ключей; создавать сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в соответствии с требованиями, установленными уполномоченным органом и настоящим Регламентом; вносить сертификат открытого ключа в Реестр сертификатов открытых ключей не позднее даты и времени начала действия сертификата; выдавать сертификаты открытых ключей уполномоченным лицам центров сертификации второго уровня в соответствии с процедурами, установленными настоящим Регламентом; приостанавливать, возобновлять действие или отзывать сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в случаях и в соответствии с процедурами, установленными настоящим Регламентом; вносить сведения об отозванном или приостановленном сертификате открытого ключа в список отозванных сертификатов в течение 3 рабочих часов с указанием даты и времени внесения и причины отзыва или приостановления действия сертификата; исключать сведения о приостановленном сертификате открытого ключа из списка отозванных сертификатов в течение 3 рабочих часов с момента возобновления его действия; заранее уведомлять уполномоченное лицо центра сертификации второго уровня о приостановлении действия или об отзыве сертификата открытого ключа в случаях и в соответствии с процедурами, установленными настоящим Регламентом; уведомлять уполномоченное лицо центра сертификации второго уровня о приостановлении, возобновлении действия или отзыве его сертификата открытого ключа в соответствии с процедурами, установленными настоящим Регламентом; уведомлять уполномоченное лицо центра сертификации второго уровня о фактах, ставших известными Центру сертификации, которые существенным образом могут повлиять на возможность дальнейшего использования сертификата открытого ключа уполномоченного лица центра сертификации второго уровня; уведомлять владельца сертификата открытого ключа о ставших известными Центру сертификации фактах, указывающих на невозможность дальнейшего использования закрытого ключа, принадлежащего данному владельцу; хранить сертификат открытого ключа уполномоченного лица центра сертификации второго уровня, а также иную информацию о данном сертификате не менее 10 лет с момента отзыва или окончания срока действия сертификата; обеспечивать актуальность Реестра сертификатов открытых ключей и возможность свободного доступа к нему уполномоченных лиц центров сертификации второго уровня и пользователей цифровой подписи, принимать необходимые меры по обеспечению безопасности реестра; предоставлять уполномоченным лицам центров сертификации второго уровня и пользователям цифровой подписи сведения из Реестра сертификатов открытых ключей об отозванных или приостановленных сертификатах; создавать и хранить резервную копию Реестра сертификатов открытых ключей в соответствии с требованиями, установленными уполномоченным органом; обеспечивать возможность определения даты и времени выдачи, приостановления действия и отзыва сертификата открытого ключа; подтверждать подлинность и действительность сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня по обращениям пользователей цифровой подписи; по запросу судебной инстанции, а также лиц и органов, имеющих такое право в силу закона, или в других случаях, предусмотренных законодательством в сфере применения цифровой подписи, подтверждать подлинность и действительность сертификатов открытых ключей, выданных центрами сертификации второго уровня, и предоставлять копии сертификатов открытых ключей, находящихся в Реестре сертификатов открытых ключей, на бумажном носителе; синхронизировать работу служб Центра сертификации, в том числе программных и технических средств по предназначению, с Всемирным координированным временем (UTC). Допускается синхронизация служб с Гринвичским средним временем (Greenwich Mean Time, GMT) без учета перехода на летнее время; размещать программно-технические средства, предназначенные для сертификации открытых ключей, в специальных помещениях и обеспечивать их безопасность; располагать персоналом, обладающим необходимой квалификацией. 9. Центр сертификации имеет право: a) создавать сертификат открытого ключа уполномоченного лица Центра сертификации и выполнять процедуру самовыдачи сертификата открытого ключа; b) назначать несколько уполномоченных лиц, имеющих равные полномочия по подписанию сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня; c) отказать в выдаче сертификата открытого ключа уполномоченному лицу центра сертификации второго уровня с указанием причин отказа в случаях: представления в заявке на сертификацию открытого ключа информации, не соответствующей действительности; нарушения положений законодательства в сфере применения цифровой подписи; нарушения прав третьих лиц в процессе составления или подачи заявки; d) подтверждать подлинность и действительность сертификатов открытых ключей пользователей цифровой подписи; e) приостановить действие или отозвать сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в случаях и в порядке, предусмотренных законодательством и настоящим Регламентом. III. Организация работы Центра сертификации Раздел 1. Процедуры Центра сертификации 10. Центр сертификации выполняет следующие процедуры: a) сертификация открытого ключа уполномоченного лица Центра сертификации; b) приостановление действия сертификата открытого ключа уполномоченного лица Центра сертификации; c) отзыв сертификата открытого ключа уполномоченного лица Центра сертификации; d) сертификация открытого ключа уполномоченного лица центра сертификации второго уровня; e) приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня; f) отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня; g) подтверждение подлинности и действительности сертификата открытого ключа. 1.1. Сертификация открытого ключа уполномоченного лица Центра сертификации 11. Создание сертификата открытого ключа уполномоченного лица Центра сертификации осуществля-ется самим Центром сертификации на основании полномочий, установленных законодательством в сфере применения цифровой подписи. 12. Уполномоченное лицо Центра сертификации создает свои открытый и закрытый ключи в соответствии с требованиями, установленными уполномоченным органом. 13. Уполномоченное лицо Центра сертификации создает сертификат открытого ключа в форме электронного документа и подписывает его своим закрытым ключом. 14. Сертификат открытого ключа уполномоченного лица Центра сертификации в форме электронного документа должен соответствовать стандарту ISO/IEC 9594/8 Directory Services, стандарту Международного союза телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Force) RFC 3280 (RFC 2459). 15. После создания сертификата открытого ключа в форме электронного документа уполномоченное лицо Центра сертификации создает сертификат открытого ключа в виде документа на бумажном носителе, который должен содержать: a) регистрационный номер сертификата открытого ключа; b) идентификационные данные Центра сертификации, идентификационный номер правовой единицы (IDNO); c) фамилию и имя уполномоченного лица Центра сертификации - владельца сертификата открытого ключа; d) идентификационный номер физического лица - уполномоченного лица Центра сертификации (IDNP); e) наименование Центра сертификации и занимаемую должность уполномоченного лица Центра сертификации; f) открытый ключ уполномоченного лица Центра сертификации - владельца сертификата открытого ключа; g) дату и время начала и окончания срока действия сертификата открытого ключа; h) данные о криптографическом алгоритме цифровой подписи и другие технологические данные, определяемые Центром сертификации; i) сферы применения цифровой подписи и иные установленные ограничения; j) другие данные в соответствии с техническими стандартами и требованиями, установленными уполномоченным органом. 16. Структура сертификата открытого ключа уполномоченного лица Центра сертификации представлена в приложении № 1 к настоящему Регламенту. 17. Сертификат открытого ключа уполномоченного лица Центра сертификации на бумажном носителе подписывается уполномоченным лицом Центра сертификации, руководителем Центра сертификации, утверждается директором Службы информации и безопасности и заверяется печатью Службы. 18. Сертификат открытого ключа уполномоченного лица Центра сертификации в форме электронного документа является действительным при условии, что: a) содержащаяся в сертификате информация соответствует информации, указанной в утвержденном сертификате на бумажном носителе; b) сертификат подписан закрытым ключом уполномоченного лица Центра сертификации, соответствующим открытому ключу, содержащемуся в сертификате. 19. В целях международного признания сертификатов открытых ключей, выданных в инфраструктуре открытых ключей Республики Молдова, допускается сертификация открытого ключа уполномоченного лица Центра сертификации в центре сертификации международного уровня. 20. Сертификат открытого ключа уполномоченного лица Центра сертификации хранится в Реестре сертификатов открытых ключей в виде документа на бумажном носителе и в форме электронного документа. 1.2. Приостановление действия сертификата открытого ключа уполномоченного лица Центра сертификации 21. Приостановление действия сертификата открытого ключа уполномоченного лица Центра сертификации осуществляется по решению уполномоченного органа в случае: a) нарушения законодательства в сфере применения цифровой подписи; b) наличия оснований полагать, что нарушена конфиденциальность закрытого ключа; или c) наличия оснований полагать, что информация, содержащаяся в сертификате открытого ключа, не соответствует действительности. 22. Действие сертификата открытого ключа уполномоченного лица Центра сертификации приостанавливается распоряжением директора Службы информации и безопасности на срок до 30 дней. 23. Сертификат открытого ключа уполномоченного лица Центра сертификации, действие которого приостановлено, в течение 3 рабочих часов помещается в список отозванных сертификатов Центра сертификации, а Центр сертификации выпускает обновленный список отозванных сертификатов. 24. Временем приостановления действия сертификата открытого ключа уполномоченного лица Центра сертификации считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update). 25. Список отозванных сертификатов Центра сертификации является электронным документом и должен соответствовать стандарту ISO/IEC 9594/8 Directory Services, стандарту Международного союза телекоммуникаций ITU-T X.509, версия 2, и рекомендации IETF RFC 3280 (RFC 2459). 26. Структура списка отозванных сертификатов представлена в приложении № 2 к настоящему Регламенту. 27. В случае приостановления действия сертификата открытого ключа уполномоченного лица Центра сертификации распоряжением директора Службы информации и безопасности создается комиссия для проведения служебного расследования. 28. В состав комиссии должны входить: a) представители уполномоченного органа; b) руководитель Центра сертификации; c) другие лица, обладающие необходимыми знаниями и опытом работы в сфере применения цифровой подписи и составления электронных документов. 29. Лица, входящие в состав комиссии, должны иметь допуск к документальным материалам и программно-техническим средствам, необходимым для проведения работы комиссии. 30. Комиссия рассматривает на организационно-техническом уровне обстоятельства, повлекшие за собой приостановление действия сертификата открытого ключа уполномоченного лица Центра сертификации, устанавливает причины и последствия данной ситуации, определяет меры, необходимые для ее разрешения. 31. Срок работы комиссии должен составлять не более 30 дней с момента приостановления действия сертификата открытого ключа уполномоченного лица Центра сертификации. 32. В срок не позднее чем за 5 дней до даты окончания срока, на который было приостановлено действие сертификата открытого ключа уполномоченного лица Центра сертификации, комиссией оформляется акт с указанием обстоятельств, повлекших за собой приостановление действия сертификата открытого ключа, установленных причин и последствий данной ситуации, мер, необходимых для ее разрешения, и рекомендаций по возобновлению действия или отзыву сертификата открытого ключа уполномоченного лица Центра сертификации. 33. По результатам работы комиссии в срок не более чем за 5 дней до даты окончания срока, на который было приостановлено действие сертификата открытого ключа уполномоченного лица Центра сертификации, распоряжением директора Службы информации и безопасности принимается решение о возобновлении действия или об отзыве сертификата открытого ключа уполномоченного лица Центра сертификации. 34. В случае, если до истечения срока, на который было приостановлено действие сертификата открытого ключа, не принимается решение о возобновлении его действия, сертификат открытого ключа отзывается. 35. Сертификат открытого ключа уполномоченного лица Центра сертификации, действие которого возобновлено, в течение 3 рабочих часов исключается из списка отозванных сертификатов, а Центром сертификации выпускается обновленный список отозванных сертификатов. 36. Временем возобновления действия сертификата открытого ключа уполномоченного лица Центра сертификации считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update). 1.3. Отзыв сертификата открытого ключа уполномоченного лица Центра сертификации 37. Сертификат открытого ключа уполномоченного лица Центра сертификации отзывается по решению уполномоченного органа: a) в случае установленного факта компрометации закрытого ключа; b) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа; c) при внесении изменений в сертификат открытого ключа; d) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о его возобновлении; e) по истечении срока действия сертификата открытого ключа. 38. Отзыв сертификата открытого ключа уполномоченного лица Центра сертификации по причинам, указанным в подпунктах а) и b) пункта 37 настоящего Регламента, осуществляется только после предварительного приостановления его действия. 39. Решение об отзыве сертификата открытого ключа уполномоченного лица Центра сертификации оформляется в виде распоряжения директора Службы информации и безопасности. 40. Отозванный сертификат открытого ключа уполномоченного лица Центра сертификации в течение 3 рабочих часов помещается в список отозванных сертификатов, а Центром сертификации выпускается обновленный список отозванных сертификатов. 41. Временем отзыва сертификата открытого ключа уполномоченного лица Центра сертификации считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update). 42. В случае отзыва сертификата открытого ключа по причине истечения срока его действия данный сертификат в список отозванных сертификатов не помещается. 43. В случае увольнения уполномоченного лица Центра сертификации его закрытый ключ уничтожается без нарушения конфиденциальности ключа комиссией, назначенной распоряжением директора Службы информации и безопасности, а сертификат соответствующего открытого ключа продолжает действовать до истечения срока его действия. 1.4. Сертификация открытого ключа уполномоченного лица центра сертификации второго уровня 44. После получения свидетельства о регистрации центра сертификации второго уровня уполномоченное лицо данного центра создает свои открытый и закрытый ключи в соответствии с требованиями, установленными уполномоченным органом. 45. Открытый ключ уполномоченного лица центра сертификации второго уровня сертифицируется Центром сертификации в соответствии с настоящим Регламентом. 46. Для сертификации открытого ключа уполномоченного лица центра сертификации второго уровня данное лицо лично представляет в Центр сертификации следующие документы и информацию: a) заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе, подписанного собственноручной подписью (приложение № 3 к настоящему Регламенту); b) заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа, подписанного цифровой подписью уполномоченного лица центра сертификации второго уровня с использованием закрытого ключа, соответствующего сертифицируемому открытому ключу - на материальном носителе; c) свидетельство о регистрации центра сертификации второго уровня; d) приказ руководителя центра сертификации второго уровня о назначении уполномоченного лица данного центра; e) удостоверение личности уполномоченного лица центра сертификации второго уровня; f) материальный носитель сертификата открытого ключа в форме электронного документа, соответствующий требованиям, установленным уполномоченным органом. 47. Заявка на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня должна содержать: a) фамилию и имя уполномоченного лица центра сертификации второго уровня, номер документа, удостоверяющего его личность; b) информацию, необходимую для связи с уполномоченным лицом центра сертификации второго уровня (номер телефона, факса, почтовый адрес, адрес электронной почты); c) наименование и реквизиты юридического лица, создавшего центр сертификации второго уровня; d) наименование и другие данные о центре сертификации второго уровня; e) сертифицируемый открытый ключ. 48. Заявка на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа должна соответствовать стандарту PKCS#10: Certification Request Syntax Specification Version 1.7 и рекомендации IETF (Internet Engineering Task Force) RFC 2986 Certification Request Syntax Specification. 49. Структура заявки на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа представлена в приложении № 4 к настоящему Регламенту. 50. Администратор регистрации Центра сертификации идентифицирует уполномоченное лицо центра сертификации второго уровня на основании поданных документов и осуществляет предварительную проверку. 51. В процессе осуществления предварительной проверки администратор регистрации должен установить выполнение следующих условий: a) соблюдение заявителем положений действующего законодательства в сфере применения цифровой подписи при составлении и подаче заявки на сертификацию открытого ключа; b) соблюдение заявителем прав третьих лиц при составлении и подаче заявки на сертификацию открытого ключа; c) соответствие информации, представленной в заявке на сертификацию открытого ключа в форме электронного документа, информации, представленной в соответствующей заявке в виде документа на бумажном носителе; d) действительность информации, представленной в заявке на сертификацию открытого ключа. 52. В случае выполнения заявителем всех условий, предусмотренных в пункте 51 настоящего Регламента, администратор регистрации Центра сертификации регистрирует уполномоченное лицо центра сертификации второго уровня. В противном случае администратор регистрации Центра сертификации отказывает уполномоченному лицу центра сертификации второго уровня в регистрации и возвращает заявителю поданные документы. 53. Решение об отказе в регистрации уполномоченного лица центра сертификации второго уровня может быть обжаловано в уполномоченном органе или в судебном порядке и не служит препятствием для повторной подачи заявки, если были устранены причины, послужившие основанием для отказа в регистрации. 54. В случае регистрации уполномоченного лица центра сертификации второго уровня администратор регистрации Центра сертификации передает уполномоченному лицу Центра сертификации (администратору сертификации) следующие документы: a) зарегистрированную и заверенную собственноручной подписью администратора регистрации заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе; b) зарегистрированную заявку на сертификацию открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа, подписанного цифровой подписью администратора регистрации; c) зарегистрированную администратором регистрации копию приказа руководителя центра сертификации второго уровня о назначении уполномоченного лица данного центра; d) зарегистрированную администратором регистрации копию свидетельства о регистрации центра сертификации второго уровня; e) зарегистрированную администратором регистрации копию удостоверения личности уполномоченного лица центра сертификации второго уровня; f) материальный носитель сертификата открытого ключа, соответствующий требованиям, установленным уполномоченным органом. 55. Уполномоченное лицо Центра сертификации (администратор сертификации) в течение 3 рабочих дней с даты регистрации заявки принимает решение о сертификации открытого ключа уполномоченного лица центра сертификации второго уровня. 56. В случае выявления нарушений законодательства в сфере применения цифровой подписи уполномоченное лицо Центра сертификации принимает решение об отказе в сертификации открытого ключа с обязательным указанием причин отказа. 57. Решение об отказе в сертификации открытого ключа может быть обжаловано в уполномоченном органе или в судебном порядке и не служит препятствием для повторной подачи заявки, если были устранены причины, послужившие основанием для отказа. 58. В случае положительного решения о сертификации открытого ключа уполномоченное лицо Центра сертификации создает сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе в двух экземплярах. 59. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня должен содержать: a) регистрационный номер сертификата открытого ключа; b) идентификационные данные центра сертификации второго уровня, IDNO; c) фамилию и имя уполномоченного лица центра сертификации второго уровня - владельца сертификата открытого ключа; d) идентификационный номер физического лица - уполномоченного лица центра сертификации второго уровня (IDNP); e) наименование центра сертификации и занимаемую должность уполномоченного лица центра сертификации второго уровня; f) информацию, необходимую для связи с уполномоченным лицом центра сертификации второго уровня - владельцем сертификата открытого ключа; g) открытый ключ уполномоченного лица центра сертификации второго уровня - владельца сертификата открытого ключа; h) дату и время начала и окончания срока действия сертификата открытого ключа; i) данные о криптографическом алгоритме цифровой подписи и другие технологические данные, определяемые Центром сертификации; j) сферы применения цифровой подписи и иные установленные ограничения; k) цифровую подпись уполномоченного лица Центра сертификации; l) другие данные в соответствии с техническими стандартами и требованиями, установленными уполномоченным органом. 60. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа должен соответствовать стандарту ISO/IEC 9594/8 Directory Services, стандарту Международного союза телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Force) RFC 3280 (RFC 2459). 61. Структура сертификата открытого ключа уполномоченного лица центра сертификации второго уровня представлена в приложении № 5 к настоящему Регламенту. 62. Уполномоченное лицо Центра сертификации создает сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа, соответствующий сертификату на бумажном носителе, и подписывает его цифровой подписью. 63. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа является действительным при условии, что он содержит информацию, соответствующую информации, содержащейся в соответствующем сертификате на бумажном носителе. 64. Срок действия сертификата открытого ключа уполномоченного лица центра сертификации второго уров-ня - 5 лет. 65. Администратор регистрации Центра сертификации уведомляет уполномоченное лицо центра сертификации второго уровня о создании сертификата его открытого ключа. 66. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе в двух экземплярах подписывается собственноручными подписями уполномоченным лицом Центра сертификации и уполномоченным лицом центра сертификации второго уровня и заверяется печатями Центра сертификации и центра сертификации второго уровня. 67. Уполномоченному лицу центра сертификации второго уровня выдаются: a) один экземпляр подписанного и заверенного печатями сертификата открытого ключа уполномоченного лица центра сертификации второго уровня в виде документа на бумажном носителе; b) копия сертификата открытого ключа уполномоченного лица Центра сертификации в виде документа на бумажном носителе; c) материальный носитель, содержащий следующие электронные документы: сертификат открытого ключа уполномоченного лица центра сертификации второго уровня; сертификат открытого ключа уполномоченного лица Центра сертификации; обновленную версию списка отозванных сертификатов; d) документ на бумажном носителе, содержащий идентификационные данные уполномоченного лица центра сертификации второго уровня и ключевую фразу для его удаленной аутентификации. 68. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня хранится в Реестре сертификатов открытых ключей в виде документа на бумажном носителе и в форме электронного документа. 1.5. Приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня 69. Приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня осуществляется: a) по требованию уполномоченного лица центра сертификации второго уровня - владельца сертификата открытого ключа; b) по решению уполномоченного органа; c) по решению Центра сертификации. 70. Уполномоченное лицо центра сертификации второго уровня может потребовать приостановления действия сертификата своего открытого ключа при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа, или в случае, если информация, содержащаяся в сертификате открытого ключа, не соответствует действительности. 71. Заявление на приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня (приложение № 6 к настоящему Регламенту) подается данным лицом в Центр сертификации в виде документа на бумажном носителе или в форме электронного документа. 72. В исключительных случаях, требующих незамедлительного приостановления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня, заявление может быть подано в устной форме с его обязательным последующим подтверждением в виде документа на бумажном носителе или в форме электронного документа в течение одного рабочего дня. 73. Заявление на приостановление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня должно содержать: a) идентификационные данные уполномоченного лица центра сертификации второго уровня; b) серийный номер сертификата открытого ключа, действие которого приостанавливается; c) срок, на который приостанавливается действие сертификата открытого ключа; d) причину приостановления действия сертификата открытого ключа; e) дату подписания заявления, подписи уполномоченного лица и руководителя центра сертификации второго уровня. 74. Заявление на приостановление действия сертификата открытого ключа в виде документа на бумажном носителе подается в Центр сертификации уполномоченным лицом центра сертификации второго уровня лично, а в форме электронного документа - посредством системы электронного документооборота. 75. Заявление на приостановление действия сертификата открытого ключа в устной форме передается уполномоченным лицом центра сертификации второго уровня посредством телефонной связи. 76. Уполномоченное лицо Центра сертификации проводит аутентификацию уполномоченного лица центра сертификации второго уровня, заявившего о приостановлении действия своего сертификата открытого ключа. Аутентификация уполномоченного лица центра сертификации второго уровня выполняется по: a) документу, удостоверяющему личность заявителя; b) сертификату открытого ключа путем подтверждения подлинности заявления на приостановление действия сертификата открытого ключа в форме электронного документа; c) ключевой фразе, сообщаемой уполномоченным лицом центра сертификации второго уровня по телефону. 77. Уполномоченное лицо Центра сертификации в течение 3 рабочих часов с момента получения заявления о приостановлении действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня принимает решение о приостановлении действия сертификата его открытого ключа. 78. Временем приостановления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update). 79. Центр сертификации в течение 3 рабочих дней письменно уведомляет центр сертификации второго уровня о принятом решении о приостановлении действия сертификата открытого ключа или об отказе в приостановлении с указанием причин отказа. 80. Действие сертификата открытого ключа уполномоченного лица центра сертификации второго уровня приостанавливается на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы информации и безопасности. 81. Если Центр сертификации имеет основания полагать, что нарушена конфиденциальность закрытого ключа уполномоченного лица центра сертификации второго уровня или информация, содержащаяся в его сертификате открытого ключа, не соответствует действительности, Центр сертификации вправе принять в одностороннем порядке решение о приостановлении действия соответствующего сертификата открытого ключа. 82. В случае приостановления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня на основании решения уполномоченного органа или Центра сертификации Центр сертификации незамедлительно по средствам телефонной связи уведомляет центр сертификации второго уровня о приостановлении действия сертификата открытого ключа его уполномоченного лица с последующим письменным уведомлением в течение 3 рабочих дней. 83. Действие сертификата открытого ключа уполномоченного лица центра сертификации второго уровня приостанавливается на срок до 30 дней. 84. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня, действие которого приостановлено, помещается в течение 3 рабочих часов в список отозванных сертификатов, а Центром сертификации выпускается обновленный список отозванных сертификатов. 85. В случае, если до истечения срока, на который было приостановлено действие сертификата открытого ключа, не принимается решение о возобновлении его действия, сертификат открытого ключа отзывается. 86. Возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня осуществляется: a) по требованию уполномоченного лица центра сертификации второго уровня - владельца сертификата открытого ключа; b) по решению уполномоченного органа; c) по решению Центра сертификации. 87. Заявление на возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня (приложение № 7 к настоящему Регламенту) представляет собой документ на бумажном носителе, заверенный собственноручными подписями уполномоченного лица и руководителя центра сертификации второго уровня. 88. Заявление на возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня подается в Центр сертификации лично уполномоченным лицом центра сертификации второго уровня не позднее чем за 5 рабочих дней до окончания срока, на который было приостановлено действие сертификата открытого ключа. 89. Заявление на возобновление действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня должно содержать: a) идентификационные данные уполномоченного лица центра сертификации второго уровня; b) серийный номер сертификата открытого ключа, действие которого приостановлено; c) срок, на который было приостановлено действие сертификата открытого ключа; d) причину приостановления действия сертификата открытого ключа; e) основания для возобновления действия сертификата открытого ключа; f) дату подписания заявления, подписи уполномоченного лица и руководителя центра сертификации второго уровня. 90. Уполномоченное лицо Центра сертификации в течение 5 рабочих дней с даты получения заявления о возобновлении действия сертификата открытого ключа принимает решение о возобновлении действия сертификата. 91. Центр сертификации в течение 3 рабочих дней письменно уведомляет центр сертификации второго уровня о принятом решении о возобновлении действия сертификата открытого ключа или об отказе в возобновлении с указанием причин отказа. 92. Действие сертификата открытого ключа уполномоченного лица центра сертификации второго уровня, приостановленного на основании решения уполномоченного органа, возобновляется на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы информации и безопасности. 93. В случае если действие сертификата открытого ключа центра сертификации второго уровня было приостановлено по решению Центра сертификации, Центр сертификации вправе принять в одностороннем порядке решение о возобновлении действия соответствующего сертификата открытого ключа. 94. В случае возобновления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня на основании решения уполномоченного органа или Центра сертификации Центр сертификации в течение 3 рабочих дней направляет центру сертификации второго уровня письменное уведомление о возобновлении действия сертификата. 95. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня, действие которого было возобновлено, в течение 3 рабочих часов исключается из списка отозванных сертификатов, а Центр сертификации выпускает обновленный список отозванных сертификатов. 96. Временем возобновления действия сертификата открытого ключа уполномоченного лица центра сертификации второго уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update). 1.6. Отзыв сертификата открытого ключа уполномочен-ного лица центра сертификации второго уровня 97. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня отзывается: a) по требованию уполномоченного лица центра сертификации второго уровня - владельца сертификата открытого ключа; b) по решению уполномоченного органа; c) в случае установленного факта компрометации закрытого ключа; d) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа; e) при внесении изменений в сертификат открытого ключа; f) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о возобновлении действия сертификата; g) по истечении срока действия сертификата открытого ключа. 98. Уполномоченное лицо центра сертификации второго уровня может потребовать отзыва своего сертификата открытого ключа при установлении фактов нарушения конфиденциальности своего закрытого ключа или недействительности информации, содержащейся в сертификате, а также в других случаях, предусмотренных Регламентом центра сертификации второго уровня. 99. Заявление на отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня (приложение № 8 к настоящему Регламенту) представляет собой документ на бумажном носителе, заверенный собственноручными подписями уполномоченного лица и руководителя центра сертификации второго уровня. 100. Заявление на отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня подается в Центр сертификации лично уполномоченным лицом центра сертификации второго уровня. 101. Заявление на отзыв сертификата открытого ключа уполномоченного лица центра сертификации второго уровня должно содержать: a) идентификационные данные уполномоченного лица центра сертификации второго уровня; b) серийный номер сертификата открытого ключа, который подлежит отзыву; c) причину отзыва сертификата открытого ключа; d) дату подписания заявления, подписи уполномоченного лица и руководителя центра сертификации второго уровня. 102. Уполномоченное лицо Центра сертификации в течение 3 рабочих часов с момента получения заявления об отзыве сертификата открытого ключа уполномоченного лица центра сертификации второго уровня принимает решение об отзыве сертификата. 103. Центр сертификации в течение 3 рабочих дней письменно уведомляет центр сертификации второго уровня о принятом решении об отзыве сертификата открытого ключа или об отказе в отзыве сертификата с указанием причин отказа. 104. Сертификат открытого ключа уполномоченного лица центра сертификации второго уровня отзывается на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы информации и безопасности. 105. Центр сертификации вправе принять в одностороннем порядке решение об отзыве сертификата открытого ключа уполномоченного лица центра сертификации второго уровня: a) в случае установленного факта компрометации закрытого ключа; b) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа; c) при внесении изменений в сертификат открытого ключа; d) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о возобновлении действия сертификата; e) по истечении срока действия сертификата открытого ключа. 106. В случае отзыва сертификата открытого ключа уполномоченного лица центра сертификации второго уровня на основании решения уполномоченного органа или Центра сертификации Центр сертификации незамедлительно по средствам телефонной связи уведомляет центр сертификации второго уровня об отзыве сертификата открытого ключа его уполномоченного лица с последующим письменным уведомлением в течение 3 рабочих дней. 107. Отозванный сертификат открытого ключа уполномоченного лица центра сертификации второго уровня в течение 3 рабочих часов вносится в список отозванных сертификатов, а Центр сертификации выпускает обновленный список отозванных сертификатов. 108. Временем отзыва сертификата открытого ключа уполномоченного лица центра сертификации второго уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Update). 109. При отзыве сертификата открытого ключа по причине истечения срока его действия данный сертификат в список отозванных сертификатов не вносится. 110. В случае увольнения уполномоченного лица центра сертификации второго уровня его закрытый ключ уничтожается в соответствии с требованиями, установленными уполномоченным органом, а сертификат соответствующего открытого ключа продолжает действовать до истечения срока его действия. 1.7. Подтверждение подлинности и действительности сертификата открытого ключа 111. Центр сертификации подтверждает подлинность и действительность сертификатов открытых ключей: a) уполномоченных лиц центров сертификации второго уровня - по заявлениям пользователей цифровой подписи; b) выданных центрами сертификации второго уровня - по запросам судебной инстанции, лиц или органов, имеющих такое право в силу закона, а также в других случаях, предусмотренных законодательством в сфере применения цифровой подписи. 112. Центр сертификации обеспечивает пользователям цифровой подписи возможность самостоятельно определять подлинность и действительность сертификата открытого ключа уполномоченного лица центра сертификации второго уровня путем: предоставления свободного доступа к электронным документам, содержащимся в Реестре сертификатов открытых ключей; свободного распространения и опубликования списка отозванных сертификатов в форме электронного документа. 113. Заявление пользователя цифровой подписи на подтверждение подлинности и действительности сертификата открытого ключа представляет собой документ на бумажном носителе, заверенный собственноручной подписью заявителя (приложение № 9 к настоящему Регламенту). 114. Заявление подается в Центр сертификации вместе с материальным носителем, содержащим сертификат открытого ключа в форме электронного документа, подлинность и действительность которого должна быть подтверждена. 115. В течение 3 рабочих дней Центр сертификации представляет заявителю заключение по результатам проверки подлинности и действительности сертификата открытого ключа, содержащее: a) время и место проведения проверки; b) основания для проведения проверки; c) сведения о сотруднике Центра сертификации, проводившем проверку (фамилия, имя, занимаемая должность); d) содержание и результаты проверки; e) оценку результатов проверки и соответствующие выводы; f) другие данные, установленные Центром сертификации. 116. Центр сертификации может отказать заявителю в проверке подлинности и действительности сертификата открытого ключа уполномоченного лица центра сертификации второго уровня, если не были предъявлены все необходимые электронные документы или поврежден материальный носитель. Раздел 2. Управление закрытым и открытым ключами уполномоченного лица Центра сертификации 117. Срок действия закрытого ключа уполномоченного лица Центра сертификации - 2,5 года. Начало периода действия закрытого ключа исчисляется с даты и времени начала срока действия соответствующего сертификата открытого ключа. 118. Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица Центра сертификации, - 5 лет. 119. По истечении срока действия закрытого ключа уполномоченного лица Центра сертификации закрытый ключ уничтожается, создаются новые закрытый и открытый ключи, а также сертификат открытого ключа. 120. Плановая смена закрытого ключа и соответствующего ему открытого ключа уполномоченного лица Центра сертификации выполняется не ранее чем через 2 года и 5 месяцев и не позднее чем через 2 года и 6 месяцев после начала срока действия закрытого ключа уполномоченного лица Центра сертификации. 121. Внеплановая смена ключей выполняется в случае компрометации или угрозы компрометации закрытого ключа уполномоченного лица Центра сертификации. 122. Процедуры смены ключей осуществляются в соответствии с требованиями, установленными уполномоченным органом. 123. Закрытый ключ уполномоченного лица Центра сертификации используется исключительно с целью подписания цифровой подписью: a) сертификата открытого ключа уполномоченного лица Центра сертификации; b) сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня; c) списков отозванных сертификатов. 124. Закрытый ключ уполномоченного лица Центра сертификации хранится и используется в условиях, исключающих нарушение его конфиденциальности. 125. Доступ к материальному носителю закрытого ключа уполномоченного лица Центра сертификации осущест-вляется по письменному разрешению руководителя Центра сертификации при непосредственном присутствии уполно-моченного лица Центра сертификации (администратора сертификации), администратора безопасности Центра сертификации и руководителя Центра сертификации таким образом, чтобы при отсутствии хотя бы одного из этих лиц доступ к ключу был неосуществим. В случае временного отсутствия администратора безопасности и руководителя Центра сертификации доступ осуществляется в присутствии замещающих их лиц. 126. Уполномоченное лицо Центра сертификации использует свой закрытый ключ в присутствии администратора безопасности без нарушения конфиденциальности закрытого ключа. 127. Руководитель Центра сертификации несет ответственность за организацию безопасного доступа к материальному носителю закрытого ключа и санкционированного использования ключа. 128. Руководитель центра сертификации, уполномоченное лицо Центра сертификации (администратор сертификации) и администратор безопасности несут персональную ответственность за безопасное использование уполномоченным лицом своего закрытого ключа. Раздел 3. Информационные ресурсы Центра сертификации 129. Основным информационным ресурсом Центра сертификации является Реестр сертификатов открытых ключей. 130. Реестр сертификатов открытых ключей представляет собой набор документов на бумажном носителе и электронных документов, включающий: a) сертификаты открытых ключей уполномоченных лиц Центра сертификации; b) решения о приостановлении действия, возобновлении действия и отзыве сертификатов открытых ключей уполномоченных лиц Центра сертификации; c) заявки на сертификацию открытых ключей уполномоченных лиц центров сертификации второго уровня; d) сертификаты открытых ключей уполномоченных лиц центров сертификации второго уровня; e) заявления на приостановление действия, возобновление действия и отзыв сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня; f) списки отозванных сертификатов. 131. Архивному хранению подлежат следующие информационные ресурсы Центра сертификации: a) Реестр сертификатов открытых ключей; b) журналы аудита программно-технического комплекса Центра сертификации; c) служебные документы Центра сертификации согласно критериям, установленным руководителем Центра. 132. Срок хранения архивных документов Центра сертификации - 20 лет. 133. Подготовка к уничтожению и уничтожение архивных документов осуществляются комиссией, формируемой из числа сотрудников Центра сертификации и уполномоченного органа. 134. Подготовка к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляются сотрудниками Центра сертификации, назначенными руководителем центра. 135. Защита информационных ресурсов Центра сертификации осуществляется в соответствии с действующим законодательством и требованиями, установленными уполномоченным органом. 136. Порядок осуществления доступа к информационным ресурсам Центра сертификации, включая доступ к архивным документам, регламентируется действующим законо-дательством, требованиями уполномоченного органа и настоящим Регламентом. 137. Доступ пользователей цифровой подписи к Реестру сертификатов открытых ключей осуществляется посредством: a) официального электронного информационного ресурса Центра сертификации по адресу: www.pki.sis.md; b) электронной почты: pki@sis.md; c) письменного запроса пользователя цифровой подписи в соответствии с процедурой, установленной настоящим Регламентом. Почтовый адрес: MD-2004, Республика Молдова, мун. Кишинэу, бул. Штефан чел Маре ши Сфынт, 166, Центр сертификации открытых ключей высшего уровня. 138. Центр сертификации публикует на страницах своего официального электронного информационного ресурса: a) обновленный список отозванных сертификатов в форме электронного документа; b) электронные копии сертификатов открытых ключей на бумажном носителе уполномоченных лиц Центра сертификации и уполномоченных лиц центров сертификации второго уровня в формате PDF; c) сертификаты открытых ключей уполномоченных лиц Центра сертификации и уполномоченных лиц центров сертификации второго уровня в форме электронных документов. 139. Центр сертификации осуществляет автоматическую рассылку обновленного списка отозванных сертификатов центрам сертификации второго уровня посредством электронной почты. Раздел 4. Средства обеспечения деятельности Центра сертификации 140. Центр сертификации создает и эксплуатирует программно-технический комплекс, состоящий из следующих компонентов: a) служба сертификации; b) служба регистрации; c) служба реестра; d) служба эталонной проверки цифровой подписи. 141. Служба сертификации является базовым технологическим компонентом программно-технического комплекса Центра сертификации, обеспечивающим: a) создание сертификата открытого ключа уполномоченного лица Центра сертификации в форме электронного документа; b) создание сертификата открытого ключа уполномоченного лица центра сертификации второго уровня в форме электронного документа; c) создание списка отозванных сертификатов. 142. Ответственность за эксплуатацию службы сертификации возлагается на уполномоченное лицо Центра сертификации (администратора сертификации) и на системного администратора. 143. Служба регистрации является технологическим компонентом программно-технологического Центра сертификации, обеспечивающим регистрацию уполномоченных лиц центров сертификации второго уровня. 144. Ответственность за эксплуатацию службы регистрации возлагается на администратора регистрации. 145. Служба реестра является технологическим компонентом программно-технического комплекса Центра сертификации, обеспечивающим: a) хранение сертификатов открытых ключей уполномоченных лиц Центра сертификации; b) хранение сертификатов открытых ключей уполномоченных лиц центров сертификации второго уровня; c) хранение заявок на сертификацию открытых ключей; d) хранение регистрационной информации уполномочен-ных лиц центров сертификации второго уровня; e) публикацию и распространение списков отозванных сертификатов; f) доступ к действительным сертификатам открытых ключей, а также к спискам отозванных сертификатов; g) хранение другой служебной информации Центра сертификации. 146. Служба эталонной проверки цифровой подписи является технологическим компонентом программно-технического комплекса Центра сертификации, обеспечивающим подтверждение подлинности сертификатов открытых ключей и других электронных документов. 147. Технические средства обеспечения работы программно-технического комплекса Центра сертификации включают: a) серверное оборудование; b) телекоммуникационное оборудование; c) компьютеризированные рабочие места администраторов Центра сертификации; d) устройства печати на бумажных носителях; e) другое вспомогательное оборудование. 148. Ответственность за эксплуатацию технических средств обеспечения работы программно-технического комплекса Центра сертификации возлагается на системного администратора. 149. В составе компонентов программно-технического комплекса Центра сертификации функционируют криптографические средства защиты информации, включая: a) средства цифровой подписи; b) программно-технические комплексы защиты от несанкционированного доступа и обеспечения целостности программно-аппаратных средств. 150. Ответственность за эксплуатацию средств защиты информации возлагается на системного администратора и администратора безопасности. 151. Программно-технический комплекс должен соответствовать требованиям, установленным уполномоченным органом, и технологическим характеристикам, указанным в приложении № 10 к настоящему Регламенту. IV. Обеспечение безопасности и защита конфиденциальной информации Раздел 1. Конфиденциальность информации 152. Информация, обрабатываемая и хранящаяся в Центре сертификации, охраняется законом. 153. Информация, хранящаяся в журналах аудита Центра сертификации, считается конфиденциальной. 154. Не являются конфиденциальной информацией данные, содержащиеся: a) в сертификатах открытых ключей уполномоченных лиц центров сертификации второго уровня; b) в списках отозванных сертификатов. 155. Центр сертификации обеспечивает сохранность и контроль доступа к охраняемой законом информации в соответствии с законодательством Республики Молдова. Раздел 2. Инженерно-технические меры защиты информации 156. Инженерно-технические меры защиты информации должны обеспечивать возможность непрерывного функционирования в течение продолжительного времени программно-технического комплекса Центра сертификации. 157. Серверы службы сертификации, службы регистрации и службы реестра размещаются в серверных помещениях, в серверных стойках. 158. Серверные помещения Центра сертификации оборудуются системой контроля доступа. 159. Доступ в серверные помещения Центра сертификации осуществляется в соответствии с требованиями, установленными уполномоченным органом. 160. Остальные технические средства программно-технического комплекса Центра сертификации размещаются в рабочих помещениях центра. 161. Серверные и рабочие помещения оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима. 162. Противопожарная безопасность помещений Центра сертификации обеспечивается в соответствии с нормами и требованиями, предусмотренными действующим законодательством. 163. Технические средства Центра сертификации должны быть подключены к сети гарантированного электропитания. Раздел 3. Программно-аппаратные меры защиты информации 164. Программно-технический комплекс Центра сертификации должен обеспечивать контроль целостности программных и технических средств. 165. Ответственность за выполнение мероприятий по контролю целостности программных и технических средств программно-технического комплекса Центра сертификации возложена на системного администратора и администратора безопасности. 166. Средства программно-технического комплекса Центра сертификации должны обеспечивать резервное копирование критически важной информации по мере необходимости. 167. При доступе к процедурам Центра сертификации используется функциональное разграничение членов группы администраторов, обслуживающих программно-технический комплекс Центра сертификации. 168. Серверы службы сертификации, службы регистрации и службы реестра, а также рабочие места администраторов Центра сертификации оснащаются программно-аппаратными средствами защиты от несанкционированного доступа. 169. Доступ инженерного состава и системных администраторов к серверам службы сертификации, службы регистрации и службы реестра для выполнения регламентных работ осуществляется в присутствии администраторов, отвечающих за эксплуатацию соответствующего прикладного программного обеспечения. 170. Организация доступа к техническим средствам программно-технического комплекса Центра сертификации, размещенных в рабочих помещениях, возлагается на администраторов Центра сертификации, ответственных за эксплуатацию данных технических средств. Раздел 4. Организационные меры защиты информации 171. Организационные меры защиты информации должны обеспечивать: a) сохранность документов и материальных ценностей; b) обнаружение и задержание нарушителей, пытающихся проникнуть в здание (помещения) Центра сертификации. 172. В Центре сертификации предусмотрены следующие должности: a) администратор регистрации, в основные обязанности которого входит: регистрация и учет уполномоченных лиц центров сертификации второго уровня, подготовка запросов на создание сертификатов открытых ключей, выдача сертификатов открытых ключей уполномоченным лицам центров сертификации второго уровня; b) администратор сертификации (уполномоченное лицо Центра сертификации), в основные обязанности которого входит: создание, приостановление, возобновление действия и отзыв сертификатов открытых ключей, создание и опубликование (выпуск) списка отозванных сертификатов; c) администратор безопасности, в основные обязанности которого входит: контроль безопасности всех процедур и механизмов Центра сертификации, обеспечение безопасности компонентов программно-технического комплекса Центра сертификации; d) системный администратор, в основные обязан-ности которого входит: установка, конфигурация и поддержка функционирования службы сертификации, службы регистрации и службы реестра. 173. Уполномоченное лицо Центра сертификации назначается приказом директора Службы информации и безопасности по предложению руководителя Центра сертификации. Требования к квалификации и должностные обязанности уполномоченного лица Центра сертификации определяются должностной инструкцией. 174. Системный администратор и администратор безопасности Центра сертификации должны иметь высшее инженерно-техническое образование. 175. Доступ сотрудников к документам Центра сертификации организуется в соответствии с должностными обязанностями, утвержденными руководителем Центра сертификации. V. Взаимодействие уполномоченных лиц центров сертификации второго уровня и пользователей цифровой подписи с Центром сертификации Раздел 1. Порядок взаимодействия уполномоченных лиц центров сертификации второго уровня и пользователей цифровой подписи с Центром сертификации 176. Взаимодействие центров сертификации второго уровня и пользователей цифровой подписи с Центром сертификации осуществляется в соответствии с процедурами, установленными настоящим Регламентом, и требованиями в сфере цифровой подписи. 177. Центр сертификации обеспечивает доступ центров сертификации второго уровня и пользователей цифровой подписи к Реестру сертификатов открытых ключей в соответствии с настоящим Регламентом. 178. Центр сертификации публикует обновленный список отозванных сертификатов и осуществляет его автоматическую рассылку центрам сертификации второго уровня. 179. В целях взаимодействия уполномоченное лицо Центра сертификации предоставляет уполномоченным лицам центров сертификации второго уровня свои контактные данные (номер телефона, факс, почтовый адрес, адрес электронной почты). 180. В случае отзыва сертификата открытого ключа уполномоченного лица Центра сертификации одновременно отзываются и сертификаты открытых ключей уполномоченных лиц центров сертификации второго уровня. 181. Пользователи цифровой подписи используют сертификат открытого ключа уполномоченного лица Центра сертификации в процессе проверки подлин-ности цифровой подписи в электронном документе. 182. В процессе взаимодействия уполномоченных лиц центров сертификации второго уровня и пользователей цифровой подписи с Центром сертификации могут возникнуть спорные ситуации. В соответствии с настоящим Регламентом подлежат разрешению спорные ситуации, возникшие в связи с: a) оспариванием уполномоченным лицом центра сертификации второго уровня или пользователем цифровой подписи действительности и подлинности сертификата открытого ключа уполномоченного лица Центра сертификации; b) оспариванием пользователем цифровой подписи действительности и подлинности сертификата открытого ключа уполномоченного лица центра сертификации второго уровня; c) оспариванием полномочий уполномоченного лица Центра сертификации; d) оспариванием полномочий уполномоченного лица центра сертификации второго уровня; e) оспариванием сферы применения цифровой подписи и иных ограничений, указанных в сертификатах открытых ключей, выданных Центром сертификации; f) недоверием к средствам цифровой подписи, применяемым Центром сертификации; g) в других случаях возникновения спорных ситуаций в связи с применением цифровой подписи. 183. Спорная ситуация разрешается в рабочем порядке заинтересованными сторонами в соответствии с Регламентом о разрешении спорных ситуаций в сфере применения цифровой подписи, утвержденным уполномоченным органом. 184. В случае, если спорная ситуация признается сторонами разрешенной, оформляется акт об урегулировании спорной ситуации, который подписывается сторонами. 185. В случае невозможности разрешения спорной ситуации в рабочем порядке стороны могут обратиться в судебную инстанцию в порядке, предусмотренном законодательством. Раздел 2. Права и обязанности уполномоченного лица центра сертификации второго уровня при взаимодействии с Центром сертификации 186. При взаимодействии с Центром сертификации уполномоченное лицо центра сертификации второго уровня имеет право: a) создавать свои открытый и закрытый ключи с использованием сертифицированных средств цифровой подписи; b) подавать заявку на сертификацию своего открытого ключа; c) подавать заявления на отзыв, приостановление или возобновление действия сертификата открытого ключа в течение срока действия соответствующего закрытого ключа; d) получать доступ к Реестру сертификатов открытых ключей; e) применять сертификат открытого ключа уполномоченного лица Центра сертификации для проверки подлинности цифровой подписи в сертификатах открытых ключей, выданных Центром сертификации; f) получать список отозванных сертификатов Центра сертификации; g) применять список отозванных сертификатов Центра сертификации для определения действительности сертификата открытого ключа уполномоченного лица Центра сертификации; h) получать копию сертификата открытого ключа уполномоченного лица Центра сертификации на бумажном носителе; i) обращаться в Центр сертификации за подтверждением подлинности и действительности выданного им сертификата открытого ключа уполномоченного лица центра сертификации второго уровня; j) получать методическую помощь от уполномоченного лица Центра сертификации. 187. При взаимодействии с Центром сертификации уполномоченное лицо центра сертификации второго уровня обязано: a) выполнять требования законодательства в сфере применения цифровой подписи; b) представлять информацию в объеме, определенном настоящим Регламентом; c) исключить доступ другого лица к своему закрытому ключу, принимать меры по предотвращению компрометации закрытого ключа; d) применять свой закрытый ключ в соответствии со сферами применения цифровой подписи и иными ограничениями, указанными в сертификате открытого ключа; e) немедленно сообщать Центру сертификации о компрометации своего закрытого ключа; f) не использовать свой закрытый ключ при наличии оснований (подозрений) полагать, что нарушена конфиденциальность закрытого ключа; g) не использовать свой закрытый ключ в период рассмотрения заявки на сертификацию соответствующего ему открытого ключа, заявлений на отзыв, приостановление или возобновление действия сертификата соответствующего открытого ключа; h) не использовать свой закрытый ключ, если сертификат соответствующего открытого ключа приостановлен или отозван. Раздел 3. Права пользователя цифровой подписи при взаимодействии с Центром сертификации 188. При взаимодействии с Центром сертификации пользователь цифровой подписи имеет право: a) создавать свои открытый и закрытый ключи с использованием сертифицированных средств цифровой подписи; b) получать список отозванных сертификатов Центра сертификации; c) получать доступ к Реестру сертификатов открытых ключей; d) применять список отозванных сертификатов Центра сертификации для проверки действительности сертификатов открытых ключей уполномоченных лиц Центра сертификации и центров сертификации второго уровня; e) применять сертификат открытого ключа уполномоченного лица Центра сертификации для подтверждения подлинности сертификата открытого ключа уполномоченного лица центра сертификации второго уровня; f) обращаться в Центр сертификации за подтверждением подлинности и действительности сертификатов открытых ключей уполномоченного лица Центра сертификации и уполномоченных лиц центра сертификации второго уровня. VI. Реорганизация и ликвидация Центра сертификации 189. Реорганизация и ликвидация Центра сертификации осуществляется в соответствии с законодательством. 190. При реорганизации Центра сертификации и передаче его функций другому учреждению совместным решением руководителей заинтересованных учреждений создается комиссия по передаче Центра сертификации. 191. В состав комиссии по передаче Центра сертификации должны входить: a) представители сторон; b) руководитель Центра сертификации или замещающее его лицо; c) представитель уполномоченного органа; d) другие лица, назначаемые сторонами. 192. По окончании работы комиссия составляет акт приема-передачи, в соответствии с которым новому учреждению передается Реестр сертификатов открытых ключей, а также права и обязанности Центра сертификации. Акт подписывается всеми членами комиссии и утверждается руководителями заинтересованных учреждений. 193. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а Реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях. 194. При передаче Центра сертификации закрытые ключи уполномоченных лиц Центра сертификации уничтожаются без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом, а сертификаты соответствующих открытых ключей, переданные другому центру сертификации, продолжают действовать до истечения срока действия. 195. При ликвидации Центра сертификации приказом директора Службы информации и безопасности создается ликвидационная комиссия, в задачи которой входит проведение процедуры ликвидации в соответствии с действующим законодательством и требованиями, установленными уполномоченным органом. 196. В состав ликвидационной комиссии должны входить: a) руководитель Центра сертификации или замещающее его лицо; b) представитель уполномоченного органа; c) другие лица, назначенные приказом. 197. По окончании работы ликвидационная комиссия составляет акт о ликвидации, в соответствии с которым Центр сертификации прекращает свою деятельность, а Реестр сертификатов открытых ключей передается уполномоченному органу и подлежит архивному хранению в соответствии с законодательством. 198. Реестр сертификатов открытых ключей ликвидированного Центра сертификации в форме электронных документов передается в уполномоченный орган на материальных носителях, а Реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях, о чем составляется акт приема-передачи. Акт подписывается руководителем Центра сертификации, представителем уполномоченного органа, ответственным за хранение, и утверждается директором Службы информации и безопасности. 199. При ликвидации Центра сертификации закрытые ключи уполномоченных лиц Центра сертификации уничтожаются без нарушения их конфиденциальности, а сертификаты соответствующих открытых ключей отзываются. Приложение № 1 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 1 Приложение № 2 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 2 Приложение № 3 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 3 Приложение № 4 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 4 Приложение № 5 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 5 Приложение № 6 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 6 Приложение № 7 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 7 Приложение № 8 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 8 Приложение № 9 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 9 Приложение № 10 к Регламенту Центра сертификации открытых ключей высшего уровня Anexa 10