На основании ст. 26 ч.(7) и 36 ч.(1) Закона № 91 от 29.05.2014 года об электронной подписи и электронном документе (Официальный монитор Республики Молдова, 2014 г., № 174-177, ст.397) ПРИКАЗЫВАЮ:
    1. Утвердить:
    1) Положение о процедуре аккредитации поставщиков сертификационных услуг в области применения электронной подписи (согласно приложению № 1);
    2) Специальные условия деятельности поставщиков сертификационных услуг в области применения электронной подписи (согласно приложению № 2);
    3) Положение о государственном контроле в области применения электронной подписи (согласно приложению № 3);
    4) Регламент поставщика сертификационных услуг в области применения усиленной квалифицированной электронной подписи (согласно приложению № 4).
    2. Признать утратившими силу:
    1) Приказ директора Службы информации и безопасности Республики Молдова № 13 от 3.04.2006 „Об утверждении некоторых нормативных актов в сфере организации деятельности центров сертификации открытых ключей”, зарегистрирован в Министерстве юстиции в Регистре государственной регистрации нормативных ведомственных актов № 425 от 21 июня 2006 года (Официальный монитор Республики Молдова, 2006, № 102-105, ст.367);
    2) Приказ директора Службы информации и безопасности Республики Молдова № 118 от 8.12.2015 „Об утверждении образца свидетельства об аккредитации в области электронной подписи” (Официальный монитор Республики Молдова, 2015, № 340-346, ст. 2531).
    3. Настоящий приказ вступает в силу со дня опубликования в Официальном мониторе Республики Молдова.

    ЗАМ. ДИРЕКТОРА СЛУЖБЫ
    ИНФОРМАЦИИ И БЕЗОПАСНОСТИ                     Александру БАЛТАГА

    № 70. Кишинэу, 15 июля 2016 г.

    1. Настоящее Положение разработано в соответствии с Законом № 91 от 29 мая 2014 г. об электронной подписи и электронном документе и устанавливает процедуру аккредитации поставщиков сертификационных услуг в области применения электронной подписи (далее - поставщики) органом, уполномоченным законом осуществлять разработку и реализацию государственной политики, а также осуществлять контроль в сфере применения электронной подписи - Службой информации и безопасности Республики Молдова (далее - уполномоченный орган).
    2. Поставщики сертификационных услуг в области применения усиленной квалифицированной электронной подписи подлежат обязательной аккредитации.
    3. Поставщики сертификационных услуг в области применения простой электронной подписи и усиленной неквалифицированной электронной подписи имеют право пройти процедуру аккредитации по своему усмотрению.
    4. Для аккредитации поставщик представляет следующие документы:
    1) заявление об аккредитации согласно образцу, предусмотренному в приложении № 1 к настоящему Положению, в котором указываются:
    а) полное наименование юридического лица, место-расположение и организационно-правовая форма;
    b) должность, фамилия и имя руководителя юридического лица, номер документа, удостоверяющего личность, идентификационный номер физического лица (IDNP);
    с) другая контактная информация (номер телефона, факса, почтовый адрес, е-mail);
    2) копии документов об учреждении юридического лица.
    5. Поставщик сертификационных услуг в области применения усиленной квалифицированной электронной подписи представляет дополнительно к документам, указанным в пункте 4 данного Положения, следующие документы:
    1) банковскую гарантию или страховой полис (только для поставщиков, предоставляющих услуги третьим лицам);
    2) Положение о деятельности поставщика, утвержденное руководителем юридического лица;
    3) копию приказа руководителя юридического лица о назначении работников поставщика и лиц, уполномоченных подписывать сертификаты открытых ключей, а также копии документов, удостоверяющих личность данных лиц;
    4) копии документов, подтверждающих образование и квалификацию ответственных должностных лиц, функциональные обязанности которых непосредственно связаны с предоставлением услуг по сертификации;
    5) план-схему помещений и порядок доступа к помещениям специального режима;
    6) порядок хранения резервных копий реестра сертификатов открытых ключей;
    7) порядок синхронизации с Всемирным координированным временем (UTC);
    8) копию лицензии на право осуществления деятельности в сфере криптографической защиты информации (только для поставщиков, предоставляющих услуги третьим лицам).
    6. Поставщик, предоставляющий услуги по сертификации открытых ключей третьим лицам, обязан обладать финансовыми ресурсами, необходимыми для возмещения убытков, которые могут быть причинены владельцам сертификатов открытых ключей, пользователям или третьим лицам вследствие невыполнения или ненадлежащего выполнения поставщиком своих обязательств.
    7. В целях, указанных в пункте 6 данного Положения, Поставщик в области применения усиленной квалифицированной электронной подписи предоставляет банковскую гарантию или страховой полис в пользу уполномоченного органа на сумму 300 000 леев.
    8. Заявление об аккредитации и документы, прилагаемые к нему, составленные на государственном языке, подаются в офис уполномоченного органа руководителем юридического лица или другим уполномоченным лицом. Документы представляются в оригинале или в копиях с предъявлением оригиналов для сверки.
    9. Заявление об аккредитации и документы, прилагаемые к нему, принимаются по описи, копия которой направляется (вручается) заявителю с отметкой о дате приема документов, заверенной подписью ответственного лица.
    10. На основании документов, указанных в пунктах 4 и 5 настоящего Положения, уполномоченный орган в срок до 15 рабочих дней проверяет соблюдение поставщиком сертификационных услуг требований в области электронной подписи.
    11. В процессе комплексной проверки уполномоченный орган имеет право проверять подлинность документов, приложенных к заявлению об аккредитации, оценивать информацию относительно процедур безопасности и сертификации, проверять технический и программный комплексы заявителя.
    12. Интересы юридического лица, подавшего заявление об аккредитации, представляются руководителем юридического лица или другими лицами, уполномоченными в установленном порядке.
    13. На основании результатов проверки заявления об аккредитации и комплексной проверки, уполномоченный орган составляет заключение.
    14. По результатам комплексной проверки на предмет соблюдения требований в области электронной подписи и на основании составленного заключения руководитель уполномоченного органа принимает решение об аккредитации или об отказе в аккредитации поставщика.
    15. В случае принятия решения об аккредитации, поставщику в течение 5 рабочих дней выдается свидетельство об аккредитации согласно образцу, предусмотренному в приложении № 2 к настоящему Положению.
    16. Решение об отказе в аккредитации должно содержать убедительное обоснование и обязательные ссылки на законодательные и нормативные акты, которые были нарушены. Решение доводится до сведения заявителя в течение 5 рабочих дней.
    17. Отказ в аккредитации не может служить препятствием для повторной подачи документов на аккредитацию, если были устранены причины, послужившие основанием для отказа.
    18. Решение об отказе в аккредитации может быть обжаловано в административном суде.
    19. Поставщик считается аккредитованным со дня выдачи свидетельства об аккредитации.
    20. В случае внесения изменений в документы, указанные в пунктах 4 и 5 настоящего Положения, поставщик в течение 10 рабочих дней представляет соответствующие документы уполномоченному органу.
    21. В случае утраты свидетельства об аккредитации в течение 5 рабочих дней с момента подачи соответствующего заявления поставщику выдается дубликат свидетельства.
    22. Уполномоченный орган выдает дубликат свидетельства об аккредитации при представлении следующих документов:
    a) заявление о выдаче дубликата свидетельства об аккредитации, подписанное руководителем юридического лица;
    b) копия объявления об утрате оригинала свидетельства об аккредитации, опубликованного в Официальном мониторе Республики Молдова.
    23. По результатам рассмотрения заявления о выдаче дубликата свидетельства об аккредитации составляется заключение, на основании которого руководитель уполномоченного органа принимает решение о выдаче или об отказе в выдаче дубликата.
    24. Мотивированное решение об отказе в выдаче дубликата свидетельства доводится до сведения заявителя в письменном виде в течение 5 рабочих дней.
    25. При составлении дубликата свидетельства об аккредитации на нем делается пометка "Дубликат".
    26. Копия выданного дубликата и все материалы, послужившие основанием для его выдачи, прилагаются к досье по аккредитации.
    27. Материалы, относящиеся к аккредитации поставщиков, хранятся в отдельных досье по аккредитации, в которые вносятся документы, указанные в пунктах 4 и 5 настоящего Положения, в сопровождении свидетельства об аккредитации.
    28. В досье по аккредитации вносится и вся последующая корреспонденция с соответствующим поставщиком, а также документы о проведенных проверках.
    29. Досье по аккредитации хранятся в архиве уполномоченного органа в течение срока, предусмотренного законодательством.
    30. Уполномоченный орган выдает, по заявке уполномоченных лиц и в рамках, предусмотренных законодательством, данные и копии документов из досье по аккредитации.
    31. На основании решения об аккредитации поставщик получает номер аккредитации, который вносится в Регистр поставщиков сертификационных услуг в области применения электронной подписи (далее - Регистр).
    32. Номер аккредитации состоит из 7 цифр aabbccc, из которых:
    1) aa - уровень в иерархии поставщика сертификационных услуг;
    2) bb - год регистрации;
    3) ccc - порядковый номер.
    33. Держателем Регистра является уполномоченный орган, регистратором – поставщик сертификационных услуг высшего уровня.
    34. В Регистр вносятся и обновляются следующие данные:
    1) полное наименование юридического лица, идентификационный номер правовой единицы (IDNO), фискальный код;
    2) фамилия, имя и телефон руководителя юридического лица;
    3) наименование, номер аккредитации и дата аккредитации поставщика;
    4) месторасположение, телефон, факс поставщика;
    5) фамилия, имя, телефон, электронный почтовый адрес руководителя и уполномоченных лиц поставщика;
    6) данные о внесении изменений и дополнений в документы, указанные в пунктах 4 и 5 настоящего Положения;
    7) дата и причины прекращения деятельности подчиненного поставщика;
    8) другие технические данные.
    35. Регистр ведется в соответствии с требованиями, предусмотренными Законом № 71 от 22.03.2007 о регистрах.
    36. Поставщики обязаны в течение 10 дней проинформировать уполномоченный орган об изменениях и дополнениях данных, содержащихся в Регистре.
    37. Информация об аккредитованных поставщиках, а также о тех, деятельность которых прекращена, публикуется уполномоченным органом на своей официальной web-странице.

    приложение №1

    приложение №2

    1. Специальные условия деятельности (далее - Специальные условия) поставщиков сертификационных услуг в области применения электронной подписи (далее - поставщики) разработаны в соответствии с положениями Закона № 91 от 29 мая 2014 г. об электронной подписи и электронном документе.
    2. Специальные условия устанавливают общие требования к поставщикам и их инфраструктуре, организацию основных процедур поставщиков, к системе управления информационной безопасностью, а также специфические мероприятия по регистрации, организации и проверке деятельности поставщиков.
    3. Специальные условия являются регламентирующим документом в области электронной подписи и обязательны для всех юридических лиц, оказывающих услуги по сертификации открытых ключей и иные виды услуг, связанных с электронной подписью.
    4. В настоящих специальных условиях используются следующие понятия:
    пользователь электронной подписи - физическое или юридическое лицо, а также устройство или приложение, использующее услуги поставщика;
    идентификация - присвоение субъектам и объектам доступа идентификатора и/или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
    аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности;
    целостность - достоверность, непротиворечивость и актуальность информации, ее защищенность от разрушения и несанкционированного изменения;
    доступность - возможность получить требуемую информацию или информационную услугу в течение удовлетворяющего периода времени;
    конфиденциальность - защита информации от несанкционированного разглашения;
    средства криптографической защиты информации (СКЗИ) - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам связи;
    список отозванных сертификатов - список сертификатов открытых ключей, действие которых приостановлено или прекращено до окончания срока их действия, созданный поставщиком;
    техническая и криптографическая защита информации - защита информации с применением специальных математических (криптографических) методов, программных, технических, программно-технических и иных средств, а также организационно-технических процедур;
    защита информации от утечки - комплекс мер, направленных на предотвращение неконтролируемого распространения защищаемой информации по техническим и побочным каналам с помощью специальных технических средств;
    защита информации от несанкционированного доступа - комплекс мер, направленных на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением прав или правил доступа к защищаемой информации, установленных правовыми документами или собственником (владельцем) информации;
    защита информации от непреднамеренного воздействия - комплекс мер, направленных на предотвращение непреднамеренного воздействия на защищаемую информацию вследствие;
   ошибок пользователя, сбоев программно-технических средств, природных явлений или иных причин, не направленных на изменение информации, но приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее утрате, уничтожению или сбою функционирования материального носителя информации;
    политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации, технических и программных средств информационных систем.
    5. Поставщик оказывает обязательные и необязательные услуги в области электронной подписи.
    6. Обязательной услугой является услуга по сертификации открытых ключей физических лиц.
    7. Поставщик может оказывать следующие необязательные услуги:
    1) сертификация открытых ключей услуг, предоставляемых в информационной сфере и информационные услуги e-mail, VPN, web и т.д.;
    2) наложение метки времени;
    3) другие услуги в сфере электронной подписи.
    8. В процессе предоставления услуг по сертификации открытых ключей физических лиц поставщик должен обеспечить выполнение следующих процедур:
    1) регистрация физического лица;
    2) создание (выпуск) сертификата открытого ключа физического лица;
    3) приостановление действия сертификата открытого ключа физического лица;
    4) возобновление действия сертификата открытого ключа физического лица;
    5) отзыв сертификата открытого ключа физического лица;
    6) публикация сертификатов открытых ключей;
    7) распространение информации о приостановленных и отозванных сертификатах (списков отозванных сертификатов).
    9. Поставщик обеспечивает процесс администрирования (управления) сертификатами открытых ключей путем комплексного выполнения указанных процедур.
    10. Объекты, используемые поставщиком, должны принадлежать ему на правах собственности.
    11. Поставщик должен использовать зачищенные устройства создания электронной подписи, устройства проверки электронной подписи и продукты электронной подписи, имеющие сертификат соответствия, выданный в соответствии с действующим законодательством.
    12. Организация внутреннего режима работы поставщика должна исключать возможность несанкционированного физического доступа к зачищенным устройствам создания электронной подписи, устройствам проверки электронной подписи и продуктам электронной подписи, их несанкционированное использование или модификацию.
    13. Поставщик должен создать необходимые условия для обеспечения безопасности открытого и закрытого ключей поставщика и реестра сертификатов открытых ключей.
    14. Поставщик должен обеспечить использование закрытого ключа только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов.
    15. Поставщик должен исключить возможность использования закрытого ключа поставщика при наличии оснований полагать, что нарушена конфиденциальность соответствующего закрытого ключа.
    16. Поставщик должен разработать и утвердить политику сертификации, содержащую набор правил, определяющих использование сертификата, выданного поставщиком в соответствии с установленными требованиями по безопасности.
    17. Поставщик должен разработать и утвердить Регламент поставщика, устанавливающий организационные, технические и другие условия деятельности поставщика при предоставлении услуг по сертификации.
    18. Регламент поставщика должен содержать:
    1) перечень услуг поставщика и порядок их оказания;
    2) функции, обязанности и права поставщика;
    3) права и обязанности пользователей электронной подписи;
    4) финансовые обязательства поставщика;
    5) ответственность сторон;
    6) основные организационно-технические мероприятия по обеспечению безопасности поставщика, включая политику конфиденциальности;
    7) процедуры обеспечения деятельности поставщика;
    8) порядок публикации и распространения информации;
    9) порядок доступа к информационным ресурсам поставщика;
    10) порядок архивирования документированной информации;
    11) процедуры управления ключами поставщика;
    12) порядок действий в случае компрометации закрытого ключа поставщика и пользователя электронной подписи;
    13) описание принятых форматов данных поставщика;
    14) структуру сертификата открытого ключа поставщика;
    15) структуру сертификатов открытых ключей пользователей электронной подписи;
    16) структуру списка отозванных сертификатов;
    17) порядок синхронизации времени;
    18) порядок разрешения спорных ситуаций в сфере применения электронной подписи;
    19) порядок доведения до пользователей электронной подписи политики сертификации и содержания Регламента поставщика.
    19. Политика сертификации и Регламент поставщика должны соответствовать рекомендациям IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework).
    20. Поставщик должен исключить возможность разглашения регистрационной информации пользователей электронной подписи, за исключением информации, которая используется для идентификации их сертификатов открытых ключей и публикуется путем включения в сертификаты пользователей электронной подписи.
    21. Режим конфиденциальности при обращении со сведениями, которые доверены или стали известны поставщику при осуществлении его деятельности, должен обеспечивать:
    1) ограничение круга должностных лиц, имеющих допуск к конфиденциальной информации;
    2) порядок контролируемого допуска должностных лиц к работам, связанным с конфиденциальной информацией;
    3) функциональное разграничение обязанностей должностных лиц;
    4) идентификацию и аутентификацию пользователей электронной подписи с использованием современных средств аутентификации и криптографических протоколов;
    5) разграничение доступа субъектов к различным объектам и/или целевым функциям поставщика на основе идентификации субъектов и их функционального разграничения;
    6) безопасность хранения, обработки и передачи по каналам связи конфиденциальной информации.
    22. Поставщик должен обеспечить управление доступом субъектов к различным объектам и/или целевым функциям поставщика на основе идентификации субъектов и их функционального разграничения.
    23. Поставщик должен обеспечить резервное копирование, сохранение и восстановление критически важной для своей деятельности информации, а также установление, в случае необходимости, дополнительных или резервных технических ресурсов.
    24. Поставщик должен располагать достаточным персоналом, обладающим необходимой квалификацией, для функционирования и обеспечения безопасности.
    25. Поставщик должен выполнять свои функции на основе принципа разделения привилегий (обязанностей) должностных лиц: администратора регистрации, администратора сертификации, администратора безопасности и системного администратора.
    26. Администратор регистрации отвечает за правильность (достоверность) информационного наполнения сертификата открытого ключа и регистрацию владельцев сертификатов открытых ключей в процессе создания, приостановления или возобновления действия, а также отзыва сертификатов открытых ключей.
    27. Администратор сертификации отвечает за создание, приостановление или возобновление действия и отзыв сертификатов открытых ключей, ведение реестра сертификатов открытых ключей, безопасное хранение и использование своего закрытого ключа.
    28. Администратор безопасности отвечает за надлежащее функционирование комплексной системы защиты информации, а также разработку и реализацию политики безопасности центра сертификации.
    29. Системный администратор отвечает за администрирование, надлежащее функционирование и обеспечение безопасности программно-технического комплекса поставщика.
    30. В случае необходимости поставщик может вводить дополнительные должности, в частности, операторов.
    31. Операторы выполняют работу по ежедневному обслуживанию программно-технического комплекса поставщика (копирование и восстановление системы, ведение архивов, ввод информации и пр.).
    32. Поставщик должен исключить совмещение функций администратора регистрации, администратора сертификации, администратора безопасности, системного администратора и оператора.
    33. Поставщик должен синхронизировать работу своих служб, в том числе программных и технических средств по предназначению, с Всемирным координированным временем (UTC). Рекомендуется использовать два независимых источника UTC. Допускается синхронизация по Гринвичскому среднему времени (Greenwich Mean Time - GMT).
    34. Регистрацию физических лиц выполняет администратор регистрации, управляющий данными о владельце сертификата открытого ключа.
    35. Администратор регистрации проводит идентификацию физического лица, подавшего заявление на сертификацию своего открытого ключа в соответствии с утвержденными процедурами поставщика.
    36. Администратор регистрации должен установить:
    1) соответствие процесса составления и подачи заявления положениям Закона об электронном документе и электронной подписи, Регламента поставщика и других нормативных документов в области применения электронной подписи;
    2) подлинность и действительность представленной в заявлении информации;
    3) соответствие информации, представленной в заявлении в форме электронного документа, информации, представленной в заявлении в виде документа на бумажном носителе;
    4) соблюдение прав третьих лиц.
    37. Администратор регистрации должен удостовериться, что физическое лицо, подавшее заявление на сертификацию открытого ключа, является владельцем соответствующего закрытого ключа.
    38. Электронные документы администратора регистрации должны быть подписаны электронной подписью, содержать метки времени, определяющие момент создания электронных документов, и передаваться с использованием систем, обеспечивающих конфиденциальность сообщений.
    39. Поставщик должен обеспечить защиту конфиденциальной информации о владельцах сертификатов открытых ключей.
    40. Поставщик создает и выдает сертификаты открытых ключей в соответствии с утвержденными процедурами поставщика.
    41. Поставщик должен разработать и утвердить политику и процедуры сертификации открытых ключей в соответствии с установленными техническими нормами в области электронной подписи.
    42. Создание сертификата открытого ключа физического лица осуществляется администратором сертификации.
    43. Администратор сертификации должен проверить целостность и достоверность данных, поступивших от администратора регистрации, а также их соответствие установленному стандарту сертификатов открытых ключей.
    44. Поставщик должен обеспечить достоверность информации, содержащуюся в сертификате открытого ключа, а также целостность сертификата.
    45. Сертификат открытого ключа должен соответствовать утвержденным профилям поставщика, соответствующим политике сертификации.
    46. Поставщик должен внести сертификат открытого ключа в реестр сертификатов не позднее даты и времени начала действия сертификата.
    47. Закрытый ключ администратора сертификации должен использоваться только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов (CRL).
    48. Поставщик приостанавливает, возобновляет действие или отзывает сертификат открытого ключа в случаях, установленных нормативными документами в области электронной подписи.
    49. Поставщик должен разработать и утвердить процедуры приостановления, возобновления действия и отзыва сертификатов открытых ключей в соответствии с техническими нормами, установленными в области электронной подписи.
    50. Поставщик должен разработать и утвердить безопасные процедуры аутентификации лица, заявившего о намерении приостановить, возобновить действие или отозвать свой сертификат открытого ключа, а также процедуры подтверждения действительности заявления о приостановлении, возобновлении действия или отзыве сертификата открытого ключа.
    51. Поставщик незамедлительно приостанавливает действие сертификата открытого ключа при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа владельца сертификата или содержащаяся в сертификате открытого ключа информация не соответствует действительности.
    52. Поставщик отзывает сертификат открытого ключа в случае установления факта нарушения конфиденциальности закрытого ключа владельца сертификата или несоответствия действительности информации, содержащейся в сертификате открытого ключа.
    53. Приостановление, возобновление действия и отзыв сертификата открытого ключа осуществляется администратором сертификации под обязательным контролем со стороны администратора безопасности или другого должностного лица, назначенного руководителем поставщика.
    54. Поставщик должен занести сведения об отозванном или приостановленном сертификате в список отозванных сертификатов в течение 3 рабочих часов с указанием даты и времени занесения и причины отзыва или приостановления действия сертификата.
    55. Поставщик должен исключить возможность возобновления действия отозванного сертификата открытого ключа.
    56. Сертификат открытого ключа, действие которого было возобновлено, максимум в течение 3 рабочих часов удаляется из списка отозванных сертификатов.
    57. Поставщик должен обеспечить процедуру своевременного выпуска обновленного списка отозванных сертификатов.
    58. Поставщик должен разработать и утвердить процедуру уведомления владельца сертификата открытого ключа о приостановлении, возобновлении действия или отзыве сертификата.
    59. Распространение (публикация) сертификатов открытых ключей осуществляется в соответствии с установленными поставщиком процедурами, а доступ третьих лиц может ограничиваться, если того требует владелец сертификата.
    60. Поставщик должен разработать и утвердить политику контроля доступа к сертификатам открытых ключей, выданных поставщиком.
    61. Доступ к сертификатам открытых ключей должен предоставляться только лицам, имеющим на это право в соответствии с правилами, установленными политикой безопасности поставщика или владельцами сертификатов.
    62. Поставщик должен предоставлять любому лицу информацию о состоянии сертификатов открытых ключей.
    63. Поставщик должен предоставлять информацию о состоянии сертификатов открытых ключей в режиме реального времени (on-line), а также в других режимах, установленных поставщиком, включая абонентскую рассылку списков отозванных сертификатов (off-line).
    64. Поставщик должен обеспечить целостность и подлинность отправляемых сообщений в процессе проверки состояния сертификатов открытых ключей. Все ответы, касающиеся состояния сертификатов, должны быть подписаны электронной подписью поставщика.
    65. Поставщик может требовать, чтобы третьи лица подписывали электронной подписью свои запросы относительно состояния сертификатов открытых ключей.
    66. Поставщик может предоставлять ответ на запросы о состоянии сертификата открытого ключа, используя данные, которые были обновлены во время последнего периодического оповещения пользователей.
    67. Поставщик должен опубликовывать свои сертификаты открытых ключей.
    68. Информация, содержащаяся в реестре сертификатов открытых ключей, должна быть защищена от несанкционированного доступа, изменения или уничтожения.
    69. Поставщик должен установить порядок доступа с правом внесения записи или изменения в реестр сертификатов открытых ключей для лиц, имеющих такое право в соответствии с их функциональными обязанностями.
    70. Поставщик должен использовать механизмы аутентификации субъектов, имеющих доступ к соответствующей информации в реестре сертификатов открытых ключей.
    71. Помещения поставщика должны обеспечивать стабильную работу программно-технического комплекса, систем связи и других технических компонентов, систем энерго-, водо- и теплоснабжения, кондиционирования воздуха, противопожарных систем, обеспечивать защищенность персонала и способствовать предотвращению хищений, утери и несанкционированной модификации, уничтожения данных и программно-технических средств.
    72. Помещения поставщика должны соответствовать требованиям санитарных норм, по безопасности труда и охраны окружающей среды, установленным действующим законодательством.
    73. Помещения поставщика должны находиться в зоне безопасности (зона, в которой имеют право находиться только сотрудники организации, в составе которой действует поставщик) и быть оборудованы в соответствии с требованиями по обеспечению безопасности.
    74. К помещениям специального режима (далее - специальные помещения) поставщика относятся помещения, в которых установлены основные технические средства программно-технического комплекса (серверные помещения), хранятся материальные носители, содержащие: резервные копии реестра сертификатов открытых ключей, резервные копии системного и прикладного программного обеспечения, закрытые ключи сотрудников поставщика или секретные ключи других криптографических систем поставщика.
    75. Специальные помещения поставщика должны:
    1) соответствовать условиям максимальной безопасности, установленным настоящими Специальными условиями, для обеспечения физической безопасности и технической защиты информации;
    2) соответствовать требованиям IETF RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policyand Certification Practices Framework şi AICA/CICA Web Trust Program for Certification Authorities;
    3) быть оборудованными автономными средствами и системами пожарной сигнализации, автоматического пожаротушения и удаления дыма согласно нормативам NCM.E.03.03-2003 г. "Dotarea clădirilor şi instalaţiilor cu sisteme autonome de semnalizare şi stingere a incendiilor" и NCM.E.03.05-2004 г. "Instalaţii autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare";
    4) отвечать требованиям, действующим в Республике Молдова, по проектированию и эксплуатации электрической сети, согласно нормам, предусмотренным в Правилах устройства электроустановок, Правилах технической эксплуатации электроустановок потребителей и Правилах техники безопасности при эксплуатации электроустановок потребителей;
    5) обеспечивать работу основных технических средств в течение не менее 30 минут после прекращения основного электроснабжения;
    6) оборудоваться средствами вентиляции и кондиционирования воздуха, имеющими сертификат соответствия, выданный в соответствии с действующим законодательством.
    76. В помещениях, предназначенных для хранения документации и резервных копий реестра сертификатов открытых ключей, должны устанавливаться металлические шкафы.
    77. Программно-технический комплекс поставщика должен обеспечивать выполнение поставщиком функций по сертификации открытых ключей и соответствовать техническим нормам в области электронной подписи.
    78. Эксплуатация программно-технического комплекса поставщика должна осуществляться в соответствии с установленными требованиями по обеспечению безопасности.
    79. Технические средства программно-технического комплекса, используемые поставщиком, должны быть собственностью поставщика.
    80. Каждое техническое средство должно быть зарегистрировано и проверено на возможность его эксплуатации, каждое техническое или программное средство должно быть снабжено технической документацией.
    81. Работоспособность технических средств должна периодически проверяться на протяжении всего цикла функционирования, а результаты проверок должны документироваться.
    82. Все технические средства должны быть обеспечены возможностью ремонта. Для аппаратуры, требующей периодического технического обслуживания, должны быть разработаны соответствующие инструкции и графики технического обслуживания. Все оборудование и контрольно-измерительная аппаратура должны содержаться в условиях, обеспечивающих их сохранность.
    83. Программно-технический комплекс поставщика должен обеспечивать возможность резервного копирования и сохранения критически важной для деятельности поставщика информации, ее быстрого и целостного восстановления в случае отказов, сбоев или ошибок в системе, а также установки, при необходимости, дополнительных или резервных технических ресурсов.
    84. В своей деятельности поставщик должен использовать только лицензионное программное обеспечение или свободно распространяемое.
    85. Поставщик обязан обеспечить управление программно-техническим комплексом или его отдельными подсистемами только лицами, наделенными полномочиями администрирования, а также исключить несанкционированное изменение конфигурации оборудования, системных настроек, алгоритмов работы программных средств, изменение поддерживаемых информационных потоков или процессов.
    86. Поставщик должен располагать штатом сотрудников, количественный состав, профессиональная подготовка, опыт работы и квалификация которых должны быть на уровне, позволяющем решать весь комплекс задач по предоставлению услуг в области электронной подписи.
    87. Расстановка кадров поставщика должна быть отражена в соответствующей организационной структуре и номенклатуре должностей, утвержденных руководителем юридического лица. Уровень квалификации каждого специалиста должен быть подтвержден документально.
    88. Для каждого специалиста поставщика должны быть установлены конкретные требования по образованию, техническим знаниям и опыту работы. Должны быть также определены должностные обязанности, функции, права, ответственность и требования по режиму конфиденциальности.
    89. Каждый сотрудник поставщика обязан знать и выполнять свои должностные обязанности, периодически повышать свою квалификацию, осваивать смежные профессии по профилю своей деятельности.
    90. Поставщик должен периодически проводить проверку и оценку уровня квалификации специалистов и обеспечивать повышение этого уровня.
    91. При отсутствии специалистов для выполнения специальных работ поставщик может привлекать сотрудников других организаций с обеспечением установленных требований по безопасности.
    92. Сотрудники поставщика должны подписывать обязательства о конфиденциальности в соответствии со статьей 53 Трудового кодекса Республики Молдова, а также, при необходимости, обязательства о неразглашении коммерческой тайны, распространяющиеся как на период действия заключенного индивидуального трудового договора, так и на период после его истечения, установленный договором.
    93. Информационными ресурсами поставщика являются реестр сертификатов открытых ключей и служебные документы поставщика.
    94. Информационные ресурсы поставщика ведутся в виде документов на бумажном носителе и в форме электронных документов, которые хранятся на материальных носителях.
    95. Основным информационным ресурсом поставщика является реестр сертификатов открытых ключей, представляющий собой набор электронных документов и документов на бумажном носителе, включающий:
    1) заявления на сертификацию открытых ключей пользователей электронной подписи;
    2) сертификаты открытых ключей пользователей электронной подписи;
    3) решения о приостановлении, возобновлении действия или отзыве сертификатов открытых ключей пользователей электронной подписи;
    4) списки отозванных сертификатов.
    96. Документация поставщика должна соответствовать международному стандарту ISO 15489 "Информация и документация - управление документацией".
    97. Архивному хранению подлежат следующие информационные ресурсы поставщика:
    1) реестр сертификатов открытых ключей;
    2) журналы аудита программно-аппаратного комплекса;
    3) другие виды документов, установленные поставщиком.
    98. Срок архивного хранения реестра сертификатов открытых ключей составляет не менее 10 лет с момента отзыва последнего занесенного в реестр сертификата.
    99. Подготовка к уничтожению и уничтожение архивных документов осуществляется комиссией, формируемой из числа сотрудников поставщика в соответствии с действующим законодательством.
    100. Работы по подготовке к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляются сотрудниками поставщика, обеспечивающими документирование, в порядке, установленном руководителем поставщика.
    101. Поставщик обеспечивает доступ пользователей электронной подписи к реестру сертификатов открытых ключей посредством:
    1) официального электронного информационного ресурса поставщика (web-портала);
    2) электронной почты;
    3) исполнения запросов пользователей электронной подписи в соответствии с утвержденными процедурами поставщика.
    102. Доступ к архивным документам поставщика осуществляется в соответствии с действующим законодательством.
    103. Основными задачами по обеспечению безопасности поставщика являются:
    1) защита конфиденциальной информации при ее хранении, обработке и передаче (криптографические ключи, средства криптографической защиты информации, персональные сведения, охраняемые в соответствии с действующим законодательством, парольная информация и т.п.);
    2) контроль целостности конфиденциальной и открытой информации (информация о владельцах, входящая в состав сертификатов открытых ключей, информация о приостановленных и отозванных сертификатах открытых ключей, свободно распространяемые программные компоненты и документация к ним и т.п.);
    3) контроль целостности программных и аппаратных компонентов программно-технического комплекса;
    4) обеспечение безотказной работы;
    5) обеспечение физической безопасности поставщика.
    104. Система безопасности поставщика должна:
    1) защищать информацию о владельцах сертификатов открытых ключей посредством обеспечения конфиденциальности, целостности и безопасного доступа к реестру сертификатов открытых ключей;
    2) обеспечивать безопасность инфраструктуры и информационных ресурсов поставщика;
    3) устанавливать ответственность за информационную безопасность поставщика;
    4) минимизировать риски, связанные с использованием информационных технологий;
    5) обеспечить способность поставщика продолжать деятельность в чрезвычайных и других критических ситуациях.
    105. Комплекс мер и средств защиты информации поставщика должен включать следующие подсистемы:
    1) подсистема криптографической защиты информации, включающая средства криптографической защиты информации;
    2) подсистема защиты информации от несанкционированного доступа;
    3) подсистема активного аудита информационной безопасности поставщика;
    4) подсистема обнаружения вторжений;
    5) подсистема защиты информации от непреднамеренного воздействия, включая подсистему резервного копирования и архивирования данных;
    6) подсистема обеспечения целостности информации, программных и аппаратных компонентов программно-технического комплекса поставщика, в том числе криптографическими методами;
    7) подсистема обеспечения доступности, включая подсистему безотказной работы программно-технического комплекса поставщика;
    8) подсистема защиты оборудования программно-технического комплекса поставщика от утечки информации по техническим и побочным каналам;
    9) подсистема физической безопасности.
    106. Поставщик должен разработать требования по обеспечению своей безопасности, критерии и показатели оценки уровня безопасности, в соответствии с которыми осуществлять те или иные мероприятия и внедрять конкретные средства защиты информации.
    107. Поставщик должен разработать и утвердить внутренние процедуры деятельности, которые обеспечивают безопасную работу поставщика.
    108. Любая форс-мажорная ситуация, которая может негативно повлиять на выполнение обязательных процедур поставщика, должна быть доведена до сведения владельцев сертификатов открытых ключей.
    109. Поставщик должен разработать и утвердить политику безопасности поставщика, которая должна отражать видение проблемы информационной безопасности поставщика, систему мер по ее обеспечению, ответственность сотрудников и механизмы контроля состояния информационной безопасности.
    110. Политика безопасности должна обеспечивать соблюдение общепринятых правил, норм и стандартов в области информационной безопасности и должна содержать:
    1) категории ресурсов поставщика с указанием необходимого уровня защиты для каждой категории;
    2) анализ рисков поставщика, возникающих в связи с применением информационных и телекоммуникационных технологий;
    3) модель безопасности поставщика;
    4) выбор комплексной системы обеспечения безопасности поставщика;
    5) основные организационно-технические мероприятия, необходимые для обеспечения безопасности поставщика;
    6) требования к техническим средствам защиты информации;
    7) перечень технических средств защиты информации;
    8) план действий по поддержанию режима безопасности поставщика, включая планы обеспечения бесперебойной работы;
    9) обязанности персонала поставщика по обеспечению безопасности;
    10) процедуры проверки поставщика на соответствие требованиям безопасности;
    11) процедуры ознакомления пользователей электронной подписи с Регламентом и политикой безопасности поставщика, подтверждение обязательств по соблюдению положений Регламента и политики безопасности;
    12) ознакомление пользователей электронной подписи с информацией об уровне защищенности поставщика.
    111. Поставщик должен разработать и утвердить систему предоставления прав доступа к ресурсам поставщика согласно установленным процедурам доступа.
    112. Поставщик должен анализировать все компоненты своей инфраструктуры (аппаратное и программное обеспечение, средства защиты информации и т.д.) с точки зрения рисков, планировать и осуществлять мероприятия по минимизации и устранению выявленных рисков.
    113. Поставщик должен внедрять автоматизированные инструменты анализа информационных и коммуникационных систем, бизнес-процессов поставщика для выявления, определения уязвимых мест в системе безопасности.
    114. Поставщик должен разработать и утвердить план мероприятий по обеспечению непрерывности своей деятельности, который периодически корректируется на основании анализа текущей деятельности и тестирования различных возможных чрезвычайных ситуаций.
    115. Поставщик должен создать и поддерживать систему физической безопасности, обеспечивающую защиту инфраструктуры, информационных ресурсов и персонала поставщика, обладающую гибкостью при изменении предъявляемых к ней требований, возможностью наращивания функций, и быть простой в эксплуатации.
    116. Система физической безопасности поставщика должна включать следующие подсистемы:
    1) управления доступом к различным физическим объектам;
    2) обнаружения несанкционированного проникновения на физические объекты;
    3) управления, анализа и регистрации информации;
    4) инженерно-технической защиты (пассивной защиты);
    5) оповещения и обеспечения связи в чрезвычайных ситуациях.
    117. Поставщик должен установить и распределить обязанности сотрудников по обеспечению физической безопасности.
    118. Информация о размещении подсистем программно-технического комплекса поставщика является конфиденциальной.
    119. Инженерно-техническое и специальное оборудование, охрана и режим доступа в специальные помещения поставщика должны обеспечивать безопасность конфиденциальной информации и криптографических ключей, контролируемый доступ в эти помещения, а также доступ к техническим средствам и криптографическим ключам.
    120. Поставщик должен категорировать специальные помещения, определить порядок доступа и утвердить перечень лиц, которым разрешен доступ в эти помещения.
    121. Доступ сотрудников поставщика в специальные помещения осуществляется на основании действующих инструкций и приказов поставщика.
    122. Физический доступ в специальные помещения поставщика должен быть возможен только после двойного контроля и в соответствии с установленными правами доступа.
    123. Сотрудники поставщика, имеющие доступ в специальные помещения, несут персональную ответственность за несанкционированный допуск в эти помещения посторонних лиц.
    124. Специальные помещения в обязательном порядке оборудуются системами контроля доступа и видеонаблюдения, позволяющими отслеживать доступ лиц в данные помещения.
    125. Специальные помещения в обязательном порядке оборудуются многорубежными системами охранной и тревожной сигнализации в соответствии с методологическими и техническими нормами проектирования и монтажа систем охранной сигнализации, утвержденными Постановлением Правительства № 667 от 8 июля 2005 г. "О мерах по реализации Закона № 283-XV от 4 июля 2003 г. о частной детективной и охранной деятельности".
    126. При размещении технических средств поставщик должен обеспечить их защиту от несанкционированного доступа, кражи, пожаров, наводнений, сильных электромагнитных полей и других возможных рисков.
    127. Помещения, предназначенные для размещения персонала поставщика, а также иные служебные помещения должны оборудоваться:
    1) системами охранной, тревожной и пожарной сигнализации;
    2) системой контроля доступа, позволяющей отслеживать доступ персонала поставщика в определенные помещения.
    128. При расположении служебных и иных помещений поставщика на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются внутренними решетками.
    129. Для минимизации рисков, связанных с применением информационных и телекоммуникационных технологий, поставщик разрабатывает и внедряет комплекс мер по обеспечению безопасности своих информационных и телекоммуникационных систем (программных и технических средств, каналов связи, сетевого оборудования, обрабатываемой, хранимой и передаваемой информации) функционированием следующих подсистем безопасности:
    1) подсистема управления доступом;
    2) подсистема регистрации и учета (аудита);
    3) подсистема обеспечения целостности;
    4) подсистема обеспечения доступности;
    5) подсистема криптографической защиты.
    130. Подсистема управления доступом:
    1) разделяет доступ к информационным объектам и функциям информационных систем в соответствии с правилами доступа, основанными на атрибутах доступа;
    2) осуществляет проверку подлинности субъектов, получающих доступ к компонентам информационных систем;
    3) осуществляет контроль доступа субъектов к защищаемым ресурсам в соответствии с установленными уровнями доступа;
    4) управляет информационными потоками с применением меток конфиденциальности;
    5) фиксирует случаи успешного и безуспешного доступа.
    131. Подсистема регистрации и учета:
    1) регистрирует попытки входа (выхода) субъекта доступа в систему по следующим параметрам:
    a) дата и время попытки входа (выхода);
    b) идентификатор субъекта доступа;
    c) результат попытки входа (выхода) - успешная или безуспешная;
    2) регистрирует попытки запуска (завершения работы) приложений и процессов, предназначенных для обработки защищаемых ресурсов по следующим параметрам:
    a) дата и время попытки запуска;
    b) наименование (идентификатор) приложения или процесса;
    c) идентификатор субъекта доступа;
    d) результат попытки запуска - успешная или безуспешная;
    3) регистрирует попытки получения доступа (выполнения операций) приложений и процессов к защищаемым ресурсам по следующим параметрам:
    a) дата и время попытки получения доступа (выполнения операции);
    b) наименование (идентификатор) приложения или процесса;
    c) идентификатор субъекта доступа;
    d) спецификация защищаемого ресурса (идентификатор, логическое имя, имя файла, номер и т.п.);
    e) вид запрашиваемой операции (чтение, запись, удаление, монтирование и т.п.);
    f) результат попытки получения доступа (выполнения операции) - успешная или безуспешная;
    4) регистрирует попытки несанкционированного входа субъектов доступа в систему, попытки несанкционированного запуска приложений (процессов) или выполнения операций, а также блокирует все несанкционированные операции и оповещает об этом администратора безопасности;
    5) регистрирует изменения полномочий субъектов доступа и статуса объектов доступа по следующим параметрам:
    a) дата и время изменения полномочий;
    b) идентификатор администратора, осуществившего изменения;
    c) идентификатор субъекта доступа и его новые полномочия или спецификация объекта доступа и его новый статус;
    6) регистрирует выдачу из системы информации (электронного документа, данных и т.д.) по следующим параметрам:
    a) дата и время выдачи;
    b) наименование информации и путь к ней;
    c) спецификация устройства выдачи (логическое имя);
    d) идентификатор субъекта доступа, запросившего информацию;
    e) объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, безуспешный);
    7) ведет учет защищаемых ресурсов поставщика, проводит регистрацию выдачи/приема материальных носителей с конфиденциальной информацией;
    8) защищает "протокольные" данные (регистрационный журнал, log-файл и т.п.) от изменения;
    9) идентифицирует и показывает текущие события.
    132. Подсистема обеспечения целостности обеспечивает неизменность программной среды, целостность обрабатываемой информации, программно-технических средств и средств защиты информации.
    133. Подсистема обеспечения доступности:
    1) обеспечивает отказоустойчивую работу информационных и коммуникационных систем поставщика;
    2) обеспечивает гарантированное сохранение информационных ресурсов поставщика, а также возможность их восстановления в случае необходимости или в форс-мажорных обстоятельствах;
    3) обеспечивает постоянный доступ пользователей системы к информационным ресурсам поставщика в соответствии с установленными правилами доступа к информации.
    134. Подсистема криптографической защиты:
    1) осуществляет шифрование всей конфиденциальной информации в информационной системе и в каналах связи;
    2) обеспечивает контроль доступа субъектов к операциям шифрования и криптографическим ключам в соответствии с установленными правилами доступа.
    135. Архитектура информационных и коммуникационных систем поставщика и их подсистем безопасности должна быть достаточно гибкой, допускать простое, без структурных изменений, развитие конфигурации используемых средств, наращивание функций и ресурсов.
    136. Информационные и коммуникационные системы поставщика должны сопровождаться документацией, обеспечивающей квалифицированную их эксплуатацию.
    137. Отдельные критические компоненты информационных и коммуникационных систем поставщика должны иметь системы резервирования и восстановления после нарушения режима безопасности или отказов (сбоев).
    138. Информационные и коммуникационные системы, их компоненты, программные и технические средства поставщика должны соответствовать установленным нормам политики информационной безопасности, а со стороны их разработчиков (производителей, поставщиков и т.д.) должна осуществляться необходимая техническая поддержка.
    139. Поставщик должен обеспечить защиту своих информационных и коммуникационных систем от воздействия вредоносного программного обеспечения (систему антивирусной защиты).
    140. Поставщик сертификации должен категорировать ресурсы информационных систем, определить порядок доступа и утвердить перечень лиц, которым разрешен доступ к отдельным ресурсам информационных и коммуникационных систем.
    141. Поставщик должен разработать, утвердить и внедрить необходимые механизмы и процедуры разграничения и контроля логического и физического доступа к оборудованию информационных систем и коммуникационным ресурсам.
    142. Доступ сотрудников поставщика к ресурсам информационных и коммуникационных систем должен осуществляться на основании действующих инструкций и приказов в соответствии с утвержденными правами доступа поставщика.
    143. Поставщик должен установить и документировать процедуры администрирования и использования системного и прикладного программного обеспечения.
    144. Внедрение новых или усовершенствованных информационных и коммуникационных систем, их компонентов, программных и технических средств должно производиться только в установленном порядке, с соблюдением требований по обеспечению информационной безопасности.
    145. Поставщик должен разработать и утвердить соответствующие инструкции по применению новых или модификации существующих информационных и коммуникационных систем, их компонентов, программных и технических средств.
    146. Ответственный персонал поставщика должен быть инструктирован о функциональности и правилах администрирования (эксплуатации) новых или усовершенствованных информационных коммуникационных систем, их компонентов, программных и технических средств.
    147. Все возможные изменения в конфигурации информационных и коммуникационных систем, их компонентов, программных и технических средств должны быть протестированы до их внедрения в операционную среду. Решение о модификации принимается только после оценки рисков, связанных с внедрением данных изменений.
    148. Поставщик сертификации должен разработать и утвердить формальные процедуры контроля модификаций информационных и коммуникационных систем, их компонентов, программных и технических средств.
    149. Поставщик должен использовать безопасные, контролируемые сетевые подключения и механизмы, обеспечивающие целостность и конфиденциальность информации при ее передаче через публичные сети.
    150. Поставщик должен внедрять системы межсетевого экранирования, обеспечивающие защиту внутренних информационных и коммуникационных систем и ресурсов поставщика.
    151. Ответственный персонал поставщика (системные администраторы) обязаны осуществлять ежедневный контроль состояния информационных и коммуникационных систем, их компонентов, операционных и прикладных систем, а также инструментов безопасности.
    152. Поставщик обеспечивает безопасность конфиденциальной информации при ее хранении, обработке и передаче по каналам связи, применяя технологии шифрования информации с использованием средств криптографической защиты информации (далее - СКЗИ).
    153. Для разработки и осуществления мероприятий по обеспечению безопасности информации и использованию СКЗИ у поставщика должно быть создано подразделение криптографической защиты информации, либо назначен сотрудник, ответственный за криптографическую защиту информации который будет выполнять функции и обязанности подразделение, разработаны и утверждены инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи конфиденциальной информации, защищаемой с использованием СКЗИ.
    154. Подразделение криптографической защиты:
    1) разрабатывает и внедряет систему криптографической защиты конфиденциальной информации поставщика;
    2) разрабатывает инструкции и мероприятия по обеспечению функционирования и безопасности применяемых СКЗИ;
    3) обеспечивает хранение и учет материальных носителей конфиденциальной информации, СКЗИ и документации к ним, материальных носителей ключевой информации, а также учет пользователей, непосредственно эксплуатирующих СКЗИ;
    4) обучает пользователей СКЗИ правилам работы с СКЗИ;
    5) осуществляет контроль соблюдения пользователями установленных норм использования СКЗИ, эксплуатационной и технической документации к ним;
    6) осуществляет контроль целостности системного и прикладного программного обеспечения технических средств, на которых установлены СКЗИ, а также контроль целостности СКЗИ;
    7) выявляет факты нарушения установленных норм использования СКЗИ и принимает необходимые меры по предотвращению возможных последствий подобных нарушений.
    155. Сотрудники подразделения криптографической защиты обязаны:
    1) соблюдать режим конфиденциальности в процессе выполнения своих служебных обязанностей;
    2) своевременно выявлять попытки посторонних лиц получить сведения о конфиденциальной информации, об используемых СКЗИ и ключевых носителях;
    3) незамедлительно принимать меры по предупреждению разглашения конфиденциальной информации, возможной утечки такой информации при использовании СКЗИ.
    156. Сотрудники подразделения криптографической защиты должны иметь соответствующий уровень квалификации и осуществлять свою деятельность согласно должностным обязанностям.
    157. Поставщик осуществляет внедрение и эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией к этим средствам, утвержденными инструкциями, а также настоящими Специальными условиями.
    158. Инструкции, регламентирующие безопасную эксплуатацию СКЗИ, должны предусматривать:
    1) права и обязанности сотрудников поставщика, эксплуатирующих СКЗИ;
    2) порядок размещения, установки, хранения и использования СКЗИ и эксплуатационной документации к ним;
    3) порядок создания, учета, распространения, хранения и уничтожения криптографических ключей;
    4) порядок расследования фактов нарушения установленных правил использования СКЗИ, криптографических ключей, а также меры по устранению последствий выявленных нарушений;
    5) порядок осуществления контроля выполнения требований по обеспечению защиты информации с применением СКЗИ.
    159. Условия внедрения и эксплуатации СКЗИ должны исключать возможность несанкционированного доступа к ним, внесения изменений, хищения и бесконтрольного распространения.
    160. Эксплуатирующиеся СКЗИ поставщика должны периодически подвергаться контрольным проверкам на протяжении всего цикла функционирования.
    161. СКЗИ подлежат учету. Программные СКЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их функционирование.
    162. При необходимости, для обеспечения целостности криптографических ключей могут создаваться резервные копии, которые хранятся в соответствии с установленными нормами по обеспечению их защиты от несанкционированного доступа и непреднамеренного воздействия.
    163. Сотрудники поставщика несут персональную ответственность за сохранность и безопасность криптографических ключей.
    164. Материальные носители с криптографическими ключами учитываются подразделением криптографической защиты.
    165. Неиспользованные или выведенные из обращения материальные носители с криптографическими ключами уничтожаются подразделением криптографической защиты.
    166. Уничтожение криптографических ключей производится путем физического уничтожения материального носителя или гарантированного уничтожения ключевой информации без повреждения носителя (для его повторного использования).
    167. Криптографические ключи СКЗИ должны периодически меняться. Процедура смены ключей устанавливается поставщиком.
    168. Криптографические ключи или СКЗИ, в отношении которых имеются основания полагать, что они скомпрометированы, немедленно выводятся из обращения, а подразделение криптографической защиты осуществляет комплекс необходимых мер для проверки факта и устранения последствий.
    169. Поставщик обеспечивает защиту конфиденциальной информации, применяя технологии и специальные средства защиты информации от утечки по техническим каналам.
    170. Поставщик должен исключить неконтролируемое пребывание посторонних лиц или автотранспортных средств, а также размещение случайных антенн в зоне радиусом не менее 15 метров от места размещения основных технических средств программно-технического комплекса (далее - контролируемая зона).
    171. Серверные помещения поставщика должны быть защищены от утечки информации за счет побочных электромагнитных излучений и наводок путем экранирования помещений или установки систем электромагнитного зашумления.
    172. В случае экранирования помещений должна обеспечиваться непрерывность электрического соединения материала всех частей экрана: стен, потолка, пола, оконных и дверных проемов. Дверное полотно должно иметь надежный электрический контакт с экраном помещения по всей поверхности, экранирующие конструкции должны быть заземлены через контур заземления, расположенный в контролируемой зоне.
    173. Поставщик должен обеспечить защиту информации от утечки по цепям электропитания и развязки цепей электропитания объекта с применением защитных фильтров, блокирующих (подавляющих) сигнал.
    174. В помещениях центра сертификации, в которых размещены технические средства, обрабатывающие конфиденциальную информацию, размещение посторонней электро-, радио- и другой аппаратуры должно быть исключено или ограничено.
    175. Оборудование на линиях, которые имеют выход за пределы контролируемой зоны, должно устанавливаться на расстоянии не менее 3 метров от основных технических средств программно-технического комплекса поставщика.
    176. Достаточность применяемых технических мер защиты, а также необходимость установки дополнительных специальных технических средств определяются по результатам специальных исследований и оценки защищенности объекта.
    177. Информационные ресурсы поставщика должны быть классифицированы и категорированы в соответствии с уровнем их безопасности.
    178. Вся информация, данные и документы должны обрабатываться и храниться согласно уровню классификации и категории данной информации.
    179. Вся информация, данные и документы, классифицированные как конфиденциальные, должны храниться в отдельной безопасной среде.
    180. Поставщик должен осуществлять меры по защите персональных данных в соответствии с законодательством Республики Молдова.
    181. Реестр сертификатов открытых ключей должен храниться и обрабатываться в условиях, обеспечивающих его целостность, доступность и конфиденциальность.
    182. Поставщик должен создавать резервные копии реестра сертификатов открытых ключей, другой критически важной информации.
    183. Хранение резервных копий должно осуществляться в специальных помещениях поставщика.
    184. Документы поставщика должны быть защищены от утери, уничтожения и фальсификации.
    185. Поставщик должен установить сроки использования и хранения документов и информации, разработать номенклатуру дел, в которую вносятся основные типы документов и установленные для них сроки хранения.
    186. Сотрудникам поставщика запрещается использование информационных ресурсов поставщика в личных целях.
    187. Персонал поставщика обязан знать риски, связанные с нарушением безопасности информации, с которой они работают.
    188. Поставщик должен создать систему управления информационной безопасностью, проводить постоянный мониторинг системы информационной безопасности, выявлять угрозы информационной безопасности и управлять рисками.
    189. Для управления информационной безопасностью рекомендуется руководствоваться международным стандартом ISO/IEC 17799-2005 "Информационные технологии. Свод правил по управлению безопасностью информации".
    190. Поставщик обязан проводить один раз в два года комплексную проверку своей деятельности.
    191. Комплексная проверка деятельности поставщика осуществляется уполномоченным органом по разработке и реализации государственной политики и контролю в области применения электронной подписи - Службой информации и безопасности Республики Молдова (далее - уполномоченный орган), с привлечением в случае необходимости специалистов в данной области.
    192. По инициативе поставщика комплексная проверка его деятельности может осуществляться организациями, специализирующимися в аудиторской и консультационной деятельности в области информационных технологий, за счет поставщика, с привлечением представителя уполномоченного органа.
    193. Рекомендуется, чтобы организация, осуществляющая комплексную проверку деятельности поставщика, соответствовала следующим требованиям:
    1) обладать персоналом, квалификация которого подтверждена сертификатами аудиторов в области информационных систем (международные сертификаты CISA или CISM);
    2) иметь опыт аудита в области информационных технологий не менее 2 лет.
    194. Организация, осуществляющая комплексную проверку деятельности поставщика, должна:
    1) обеспечить независимость осуществляемой проверки;
    2) осуществлять проверку в соответствии с нормами и стандартами аудита в области информационных технологий и безопасности информационных систем;
    3) использовать методологию проверки, основанную на оценке рисков и соответствующих процедурах оценки адекватности мероприятий по управлению рисками;
    4) обеспечить конфиденциальность полученной в результате проверки информации.
    195. Организация, осуществляющая комплексную проверку деятельности поставщика, составляет акт проверки и заключение.
    196. Акт проверки подписывается ответственным лицом, осуществившим проверку деятельности поставщика, представителем уполномоченного органа и руководителем юридического лица, в составе которого осуществляет свою деятельность поставщик.
    197. Заключение составляется на основании акта проверки и является документом, подтверждающим (не подтверждающим) соответствие деятельности поставщика установленным нормам в области электронной подписи.
    198. Заключение должно содержать:
    1) оценку качества и непрерывности услуг в области электронной подписи, предоставляемых поставщиком;
    2) соответствие деятельности стандартам поставщика, техническим нормам и другим нормативным документам в области электронной подписи;
    3) соответствие деятельности поставщика положениям Регламента поставщика, политике сертификации и политике безопасности;
    4) соответствие деятельности установленным функциям и обязанностям поставщика;
    5) соответствие основных процедур поставщика предъявляемым требованиям;
    6) соответствие деятельности поставщика требованиям по обеспечению безопасности поставщика;
    7) выводы о достаточности мер по обеспечению конфиденциальности, целостности и доступности информации и информационных услуг;
    8) оценку качества и комплексности внутренних процедур поставщика;
    9) анализ функции управления рисками поставщика;
    10) соблюдение процедур обеспечения непрерывности деятельности поставщика;
    11) соответствие программно-технического комплекса поставщика предъявляемым требованиям;
    12) проверку принятых мер по результатам предыдущего аудита.
    199. Результаты комплексной проверки деятельности поставщика (копия акта и заключения), проведенной организацией, специализирующейся в аудиторской и консультационной деятельности в области информационных технологий, предоставляются уполномоченному органу.
    200. Поставщик периодически должен проводить внутренний аудит своей деятельности в соответствии с Регламентом проведения внутреннего аудита, утвержденного данным поставщиком.
    201. Для предоставления услуг по сертификации поставщик должен пройти процедуру аккредитации в соответствии с установленными нормами и сертифицировать свой открытый ключ у вышестоящего поставщика.
    202. Для регистрации поставщика юридическое лицо, создающее поставщика, обязано обеспечить выполнение следующих условий:
    1) создать (назначить) подразделение для осуществления функций поставщика;
    2) создать штат сотрудников, обладающих квалификацией, необходимой для предоставления услуг по сертификации и других услуг в области электронной подписи;
    3) обустроить специальные помещения, а также другие рабочие помещения поставщика в соответствии с требованиями к помещениям поставщика, установленными настоящими Специальными условиями;
    4) создать программно-технический комплекс поставщика, соответствующий техническим нормам в области электронной подписи и требованиям настоящих специальных условий;
    5) назначить администратора сертификации, администратора регистрации, администратора безопасности и системного администратора;
    6) создать систему безопасности поставщика в соответствии с настоящими Специальными условиями;
    7) создать подразделение (назначить сотрудника), ответственное за криптографическую защиту информации поставщика;
    8) разработать и утвердить нормативную базу поставщика, необходимую для предоставления услуг по сертификации, включающую следующие обязательные документы:
    a) политика сертификации поставщика;
    b) Регламент поставщика;
    c) политика безопасности поставщика;
    d) политика предоставления и контроля доступа к ресурсам поставщика;
    e) план управления рисками;
    f) план обеспечения непрерывности деятельности поставщика;
    g) процедуры восстановления работы поставщика;
    h) инструкции, регламентирующие безопасность и эксплуатацию СКЗИ;
    i) регламент проведения внутреннего аудита поставщика.
    9) получить банковскую гарантию в банке, зарегистрированном на территории Республики Молдова, или страховой полис в страховой компании, зарегистрированной на территории Республики Молдова, в пользу уполномоченного органа на сумму 300 000 лей.
    203. При регистрации поставщик должен пройти процедуру комплексной проверки в соответствии с установленными настоящими Специальными условиями требованиями по проверке деятельности поставщика.
    204. Реорганизация поставщика осуществляется в установленных законодательством формах путем передачи его функций другому юридическому лицу.
    205. Передача поставщика осуществляется:
    1) на основании договора о передаче поставщика;
    2) на основании решения о реорганизации юридического лица.
    206. Юридическое лицо в срок не менее чем за 30 дней до момента передачи должно уведомить уполномоченный орган о решении о передаче поставщика.
    207. Юридическое лицо в срок не менее чем за 30 дней до момента передачи должно уведомить всех нижестоящих поставщиков и пользователей электронной подписи о решении о передаче поставщика и о необходимости перезаключения контрактов на обслуживание с новым поставщиком.
    208. Решением заинтересованных юридических лиц создается комиссия по передаче поставщика.
    209. В состав комиссии по передаче поставщика должны входить:
    1) представители юридических лиц;
    2) представитель уполномоченного органа;
    3) другие лица, назначенные сторонами.
    210. В ходе процедуры передачи поставщик должен:
    1) уничтожить закрытые ключи уполномоченных лиц поставщика без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом;
    2) передать реестр сертификатов открытых ключей.
    211. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях.
    212. Сертификаты открытых ключей, выданные поставщиком, продолжают действовать до истечения срока их действия.
    213. По окончании работы комиссии составляется акт приема-передачи, в соответствии с которым юридическое лицо, которому был передан поставщик, становится правопреемником поставщика. Акт подписывается членами комиссии и утверждается руководителями заинтересованных юридических лиц.
    214. Поставщик может быть ликвидирован:
    1) по инициативе юридического лица, создавшего поставщика;
    2) по инициативе уполномоченного органа при нарушении установленных норм в области электронной подписи;
    3) при ликвидации юридического лица, создавшего поставщика.
    215. Юридическое лицо в срок не менее чем за 30 дней до момента ликвидации должно уведомить уполномоченный орган о решении о ликвидации поставщика.
    216. Пользователи электронной подписи в срок не менее чем за 30 дней до момента ликвидации должны быть оповещены о ликвидации поставщика.
    217. Процедура ликвидации поставщика по инициативе юридического лица, создавшего поставщика, инициируется приказом руководителя юридического лица.
    218. Приказом руководителя юридического лица, ликвидирующего поставщика, создается ликвидационная комиссия, в задачи которой входит проведение процедуры ликвидации.
    219. Ликвидация поставщика по инициативе уполномоченного органа осуществляется в соответствии с законодательством на основании заключения уполномоченного органа о нарушении законодательства в области электронной подписи.
    220. В состав ликвидационной комиссии должны входить:
    1) руководитель юридического лица, создавшего поставщика;
    2) представитель уполномоченного органа;
    3) другие лица, назначенные приказом.
    221. В ходе процедуры ликвидации поставщик должен:
    1) уничтожить закрытые ключи уполномоченных лиц поставщика без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом;
    2) отозвать сертификаты открытых ключей пользователей электронной подписи, выданные ликвидированным поставщиком;
    3) опубликовать статус сертификатов открытых ключей;
    4) передать на хранение уполномоченному органу реестр сертификатов открытых ключей.
    222. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях, о чем составляется акт приема-передачи, который подписывается руководителем юридического лица, создавшего поставщика, и представителем уполномоченного органа, ответственным за хранение. Реестр сертификатов открытых ключей подлежит архивному хранению в соответствии с действующим законодательством.
    223. Ликвидационной комиссией составляется акт, в соответствии с которым поставщик прекращает свое существование.

    1. Положение о порядке осуществления государственного контроля в области применения электронной подписи определяет порядок проведения контроля поставщиков сертификационных услуг, аккредитованных в Республике Молдова (далее - поставщик) за соблюдением требований законодательных и подзаконных нормативных актов по предоставлению сертификационных и смежных услуг в области электронной подписи (далее - услуг в области электронной подписи) и применению электронной подписи в государственных учреждениях.
    2. Функции уполномоченного органа в области применения электронной подписи осуществляет Служба информации и безопасности Республики Молдова (далее - уполномоченный орган).
    3. Контроль деятельности государственных учреждений по соблюдению законодательных и нормативных актов в области электронной подписи и применения электронной подписи осуществляется уполномоченным органом путем согласования проектов правовых нормативных актов, которые определяют порядок применения электронной подписи государственным учреждением.
    4. В настоящем Положении используются следующие понятия:
    государственный контроль соблюдения требований законодательных и подзаконных нормативных актов в области применения электронной подписи (далее - контроль в области электронной подписи) - деятельность уполномоченного органа в пределах своей компетенции по выявлению и предотвращению нарушений поставщиками законодательных нормативных актов в области электронной подписи;
    комплексный контроль – контроль соблюдения требований, установленных нормативной базой в области электронной подписи при выдаче или продлении аккредитации поставщиков, который производится в двух направлениях - оценка информации, связанной с мерами безопасности, и используемых сертификатов и проверка технического и программного комплексов;
    надзор - совокупность действий, предпринимаемых уполномоченным органом путем непрерывного или периодического анализа общедоступных сведений о деятельности поставщика по предоставлению услуг на предмет выявления нарушений поставщиком нормативных актов в области электронной подписи, без вмешательства в его деятельность.
    5. Контроль в области электронной подписи осуществляется уполномоченным органом путем:
    1) анализа порядка предоставления услуг в области электронной подписи относительно их соответствия требованиям законодательных и подзаконных нормативных актов в области электронной подписи;
    2) осуществления комплексного контроля на соответствие требованиям действующего законодательства в области предоставления услуг по сертификации, предоставления или продления срока аккредитации;
    3) осуществление плановых, внеплановых или повторных контролей поставщиков.
    6. Уполномоченный орган осуществляет надзор путем анализа:
    1) материалов предыдущей проверки с целью последующего контроля направлений работы, по которым ранее были выявлены нарушения;
    2) содержания и состояния работы общедоступных информационных ресурсов поставщика относительно их соответствия требованиям законодательных и подзаконных нормативных актов в области электронной подписи;
    3) структуры сертификатов открытых ключей, которые выдаются поставщиком, выданных в соответствии с требованиям законодательных и подзаконных нормативных актов в области электронной подписи;
    4) перечня и порядка предоставления услуг с использованием информационных ресурсов поставщика услуг или сторонних организаций;
    5) годовых отчетов, представленных поставщиком в соответствии с пунктом 15 настоящего Положения;
    6) положений о деятельности поставщика;
    7) другой информации относительно функционирования, организации и предоставления услуг поставщиком.
    7. Уполномоченным органом организуются и проводятся плановые, внеплановые и повторные проверки поставщиков.
    8. Проверки проводятся с целью своевременного предупреждения, выявления и устранения нарушений законодательных и нормативных актов в области электронной подписи, устранения причин их возникновения и способствовавших этому условий, а также устранения последствий этих нарушений.
    9. Проверки осуществляются Комиссией по контролю в области электронной подписи (далее - Комиссия).
    10. Комиссия создается в рамках уполномоченного органа на основании решения руководителя данного органа.
    11. Номинальный состав Комиссии определяется отдельно для каждого случая.
    12. В состав Комиссии при проведении проверок поставщиков сертификационных услуг второго уровня могут привлекаться представители поставщика сертификационных услуг высшего уровня.
    13. Лица, входящие в состав Комиссии, должны обладать необходимыми знаниями и опытом работы в области применения электронной подписи и составлении электронных документов, а также иметь допуск к документальным материалам и программно-техническим средствам, необходимым для проведения работы Комиссии.
    14. Приказ о создании Комиссии и проведении проверки должен включать следующее:
    1) наименование уполномоченного органа;
    2) наименование субъекта проверки;
    3) местонахождение субъекта проверки;
    4) состав Комиссии с указанием фамилий и имен ее членов;
    5) дату начала и дату окончания проверки;
    6) тип проверки (плановая, внеплановая или повторная);
    7) основания проверки;
    8) информация о предыдущей проверке (тип проверки и дату ее проведения).
    15. До 1 февраля каждого года поставщики обязаны предоставить в уполномоченный орган отчет за предыдущий год работы по предоставлению услуг в области электронной подписи, которая содержит в обязательном порядке:
    1) количество заключенных договоров о предоставлении услуг в области электронной подписи (по отдельным категориям: с физическими лицами, юридическими лицами, с центральными и местными органами публичной власти);
    2) информацию по каждой услуге, предоставляемой поставщиком;
    3) количество выданных и отозванных сертификатов открытых ключей за отчетный период с указанием причин отзыва;
    4) количество заключенных договоров о сотрудничестве в области электронной подписи с поставщиками других государств;
    5) факты возмещения убытков пользователям электронной подписи или третьим лицам в результате ненадлежащего выполнения обязательств по предоставлению услуг поставщиком;
    6) количество участий как истца, ответчика или третьей стороны в судебных делах по вопросам, связанным с предоставлением услуг в области электронной подписи, предмет рассмотрения и принятое решение;
    7) факты нарушения законодательных и нормативных актов в области электронной подписи, выявленные и устраненные самим поставщиком, их причины и предпринятые мероприятия по устранению этих нарушений;
    8) другие мероприятия, предпринятые поставщиком по предоставлению услуг в области электронной подписи.
    16. В целях проведения проверки Комиссия имеет право:
    1) получать доступ к необходимым для проведения ее работы документальным материалам по вопросам предоставления услуг на бумажных и электронных носителях, а также к программным дистрибутивам и установленным программным и техническим средствам;
    2) получать полную информацию об условиях и порядке эксплуатации программно-технических средств;
    3) получать объяснения от ответственных лиц и другого персонала поставщика о предоставлении услуг, связанные с объектом проверки;
    4) получать любую иную информацию, относительно предоставления услуг;
    5) получать доступ в необходимые помещения субъекта проверки на протяжении всего рабочего дня (во время проверки);
    6) просить предоставления членам Комиссии и получать на время проверки служебное помещение с мебелью, компьютером и хранилищем для документов.
    17. Если нет возможности выделить Комиссии изолированное от работников субъекта проверки служебное помещение, то при согласии председателя Комиссии руководитель субъекта проверки предоставляет членам Комиссии отдельное рабочее место, оборудованное таким образом, чтобы обеспечить надлежащие условия для работы Комиссии.
    18. По мере выявления нарушений законодательных и нормативных актов в области электронной подписи руководство субъекта проверки, не ожидая окончания проверки, обязано принять меры по их устранению и предотвращению в дальнейшем.
    19. Перед началом осуществления проверки члены Комиссии обязаны предъявить руководителю субъекта проверки или уполномоченному лицу документы, удостоверяющие их как должностных лиц уполномоченного органа, а также предоставить копию приказа о проведении проверки.
    20. Комиссия не имеет права осуществлять проверку без приказа о проведении проверки и наличия соответствующих удостоверяющих документов у всех ее членов.
    21. В своей деятельности Комиссия руководствуется следующими принципами:
    1) законность и соблюдение компетенций, установленных законом;
    2) предотвращение применения санкций, не установленных законом;
    3) трактовка неясностей, возникающих в связи с применением законодательства в пользу поставщика;
    4) осуществление проверки за государственный счет;
    5) предписание рекомендаций для устранения выявленных нарушений в ходе проверки;
    6) право поставщика на обжалование действий компетентного органа, в том числе и в суде.
    22. Плановые проверки проводятся в соответствии с сроками проведения таковых, определенными законодательными и нормативными актами в области электронной подписи, на основании информации полученной уполномоченным органом в рамках своей деятельности по надзору или по инициативе самого поставщика.
    23. Планы проверок, разработанные и утвержденные уполномоченным органом, согласовываются относительно сроков проведения проверки с руководством субъекта проверки.
    24. Внеплановая проверка поставщика осуществляется по решению уполномоченного органа на основании:
    1) установленных уполномоченным органом фактов нарушения законодательных и нормативных актов в области электронной подписи;
    2) письменного заявления от поставщика в уполномоченный орган с просьбой об осуществлении внеплановой проверки;
    3) выявления и подтверждения недостоверности данных, заявленных в ежегодных отчетах поставщика в соответствии с пунктом 15 настоящего Положения;
    4) непредставления в установленный срок поставщиком ежегодного отчета в соответствии с пунктом 15 настоящего Положения;
    5) получения письменных обоснованных заявлений и жалоб в адрес уполномоченного органа относительно нарушений и ненадлежащего выполнения обязательств поставщиком, определенных законодательными и нормативными актами;
    6) по решению суда.
    25. Субъект проверки информируется о внеплановой проверке в день ее начала.
    26. Повторная проверка проводится только с целью проверки выполнения предписаний по устранению нарушений законодательных и нормативных актов, указанных в акте предыдущей проверки (плановой или внеплановой). Повторная проверка считается составной частью предыдущей проверки.
    27. Проверка проводится в строго указанные приказом о проведении проверки сроки.
    28. Срок осуществления плановой и внеплановой проверки не может превышать 10 рабочих дней, а повторной - не более 5 рабочих дней. В случае внеплановых проверок срок осуществления проверки может быть продлен обоснованным решением руководителя уполномоченного органа на 10 рабочих дней, доведенным до сведения поставщика, над которым осуществляется контроль, которое может быть им оспорено.
    29. Руководитель субъекта проверки имеет право не допускать членов Комиссии к осуществлению плановой проверки в случае несоблюдения пункта 19 настоящего Положения.
    30. По результатам проверки составляется акт проверки в 2 экземплярах, один из которых отправляется/вручается поставщику в течение не более 5 рабочих дней после завершения проведенного контроля, а второй сохраняется у уполномоченного органа. В случае, когда поставщик не согласен с результатами проведенной проверки в течение 10 рабочих дней со дня вручения акта проверки последний может предоставить аргументированное несогласие уполномоченному органу, прилагая соответствующие документы.
    31. Акт проверки должен включать следующие сведения:
    1) состав Комиссии;
    2) дата и место составления акта;
    3) тип проверки (плановая, внеплановая или повторная);
    4) наименование субъекта проверки;
    5) описание организационной структуры субъекта проверки;
    6) место проведения проверки (местонахождение субъекта проверки);
    7) фамилия и имя руководителя субъекта проверки;
    8) фамилия и имя руководителя поставщика;
    9) дата и номер приказа о проведении проверки;
    10) даты и время начала и окончания проверки;
    11) результаты предыдущей проверки;
    12) фактические обстоятельства, выявленные нарушения и недостатки, установленные Комиссией с указанием их влияния на состояние предоставления услуг в области электронной подписи и деятельности субъекта проверки;
    13) перечень мероприятий, проведенных Комиссией;
    14) факты противодействия проведению проверки (если такие были);
    15) выводы Комиссии.
    32. Остальная информация, а также копии различных документов отражаются в приложениях к акту проверки.
    33. Член Комиссии, не согласный с выводами Комиссии, отмеченными в акте проверки, подписывает его с указанием особого мнения и излагает особое мнение, которое приобщается к акту проверки.
    34. Если руководитель субъекта проверки или уполномоченное им лицо имеет замечания относительно фактов и выводов, изложенных в акте проверки, то перед своей подписью вносится запись "Замечания, которые прилагаются к акту проверки". Замечания оформляются отдельным документом и удостоверяются подписью руководителя субъекта проверки или уполномоченным им лицом и прилагаются к акту проверки.
    35. Если руководитель субъекта проверки или уполномоченное им лицо отказывается от ознакомления с актом проверки или от его подписания, председатель Комиссии делает соответствующую отметку в акте проверки, которая заверяется подписями председателя и одного из членов Комиссии.
    36. В случае выявления нарушений обязательств, предусмотренных действующим законодательством, уполномоченный орган издает в соответствии с актом проверки предписание на устранение выявленных нарушений, рекомендации для устранения выявленных нарушений в ходе проверки, а также предупреждение о возможном приостановлении или отзыве аккредитации в случае, если эти не будут устранены в установленные сроки.
    37. Предписание составляется в двух экземплярах и подписывается всеми членами Комиссии. Один экземпляр в течение 5 рабочих дней со дня составления акта предоставляется руководителю субъекта проверки или уполномоченному им лицу, а второй экземпляр с подписью руководителя субъекта проверки или уполномоченного им лица c согласованными сроками устранения выявленных нарушений остается в уполномоченном органе.
    38. В случае отказа руководителя субъекта проверки или уполномоченного им лица от получения предписания, оно направляется официальным письмом от уполномоченного органа.
    39. Минимальный срок, установленный уполномоченным органом для устранения выявленных нарушений, составляет 10 рабочих дней, а максимальный – 30 рабочих дней после получения предписания, отправленного/переданного вместе с актом проверки.
    40. В исключительных случаях и по официальному требованию поставщика срок для устранения нарушений может быть продлен не более чем на 20 рабочих дней.
    41. Поставщик, который получил предписание об устранении выявленных нарушений, обязан в установленные в предписании сроки сообщить уполномоченному органу информацию об устранении нарушений.
    42. Уполномоченный орган организует деятельность Комиссии по проведению повторной проверки после истечения срока, указанного в предписании, с целью установления устранения ранее выявленных нарушений.
    43. При установлении признаков компрометации закрытых ключей аккредитованного поставщика сертификационных услуг в случае нарушения обязанностей, предусмотренных законодательством, а также в случае не- устранения в установленный срок недостоверных данных в сертификатах открытых ключей уполномоченный орган вправе применить меры по приостановлению или отзыву аккредитации поставщика в соответствии с действующим законодательством.
    44. Аккредитация может быть приостановлена в соответствии с законодательством о регулировании предпринимательской деятельности и в условиях, указанных в Законе № 91 от 29 мая 2014 об электронной подписи и электронном документе.
    45. Информация о результатах проверки публикуется уполномоченным органом на официальной веб-странице.
    46. Руководитель субъекта проверки имеет право подать в уполномоченный орган жалобы в письменном виде по фактам нарушений законодательных и нормативных актов в области электронной подписи и настоящего Положения, допущенных Комиссией, или обжаловать действия Комиссии в судебном порядке.

    1. Настоящий Регламент разработан на основании Закона № 91 от 29 мая 2014 об электронной подписи и электронном документе.
    2. Регламент устанавливает общие условия организации деятельности Поставщика услуг по сертификации открытых ключей высшего уровня (далее – поставщик высшего уровня), определяет его функции, обязанности и права, процедуры и механизмы, применяемые Поставщиком высшего уровня для управления единой иерархической инфраструктурой открытых ключей (Public Key Infrastructure, PKI), а также порядок взаимодействия с поставщиками сертификационных услуг в области применения усиленной квалифицированной электронной подписи второго уровня (далее – подчиненный поставщик) и пользователями усиленной квалифицированной электронной, а также основные организационно-технические мероприятия по обеспечению безопасности.
    3. Регламент является нормативным актом в области применения усиленной квалифицированной электронной подписи, обязательным для всех физических и юридических лиц, применяющих электронную подпись или осуществляющих деятельность в области усиленной квалифицированной электронной подписи.
    4. Поставщик высшего уровня является подразделением Службы информации и безопасности Республики Молдова (далее - Служба), осуществляющим деятельность в области криптографической и технической защиты информации.
    5. Поставщик высшего уровня выполняет следующие функции:
    1) сертифицирует открытые ключи Подчиненных поставщиков;
    2) приостанавливает, возобновляет действие и отзывает сертификаты открытых ключей, выданные Поставщиком высшего уровня;
    3) создает и ведет реестр сертификатов открытых ключей Подчиненных поставщиков (далее - Реестр сертификатов открытых ключей);
    4) подтверждает подлинность и действительность сертификатов открытых ключей Подчиненных поставщиков.
    6. Во исполнение возложенных на него функций Поставщик высшего уровня:
    1) обеспечивает создание и выдачу сертификатов открытых ключей на основе запросов от Подчиненных поставщиков в форме электронного документа, подписанного электронной подписью, и в виде документа на бумажном носителе, подписанного собственноручной подписью, в соответствии с процедурами, установленными настоящим Регламентом;
    2) приостанавливает и отзывает сертификаты открытых ключей Подчиненных поставщиков, возобновляет действие приостановленных сертификатов в случаях и в соответствии с процедурами, установленными настоящим Регламентом;
    3) ведет учет Подчиненных поставщиков;
    4) ведет Реестр сертификатов открытых ключей, обеспечивает обновление и общественный доступ к Реестру;
    5) обеспечивает взаимодействие с Подчиненными поставщиками в рамках единой иерархической инфраструктуры открытых ключей;
    6) оказывает консультационную и методологическую помощь Подчиненным поставщикам;
    7) подтверждает подлинность и действительность сертификатов открытых ключей Подчиненных поставщиков;
    8) подтверждает подлинность и действительность сертификатов открытых ключей, выданных Подчиненными поставщиками, в случаях, предусмотренных настоящим Регламентом;
    9) осуществляет деятельность в области криптографической и технической защиты информации;
    10) создает информационные и коммуникационные системы Поставщика высшего уровня, обеспечивает их функционирование, безопасность, обслуживание и совершенствование, осуществляет постоянный внутренний аудит безопасности и функциональности этих систем.
    7. Поставщик высшего уровня обязан:
    1) осуществлять свою деятельность в строгом соответствии с законодательством и требованиями, установленными уполномоченным органом по разработке и реализации государственной политики и контроля в области применения всех типов электронной подписи (далее - уполномоченный орган);
    2) использовать устройства создания и/или проверки электронной подписи и продукты для электронной подписи, имеющие сертификат соответствия, выданный в соответствии с действующим законодательством;
    3) использовать устройства создания и/или проверки электронной подписи и продукты для электронной подписи в соответствии с эксплуатационной документацией;
    4) организовать внутренний режим работы таким образом, чтобы исключить возможность доступа посторонних лиц к устройствам создания и/или проверки электронной подписи и продуктам для электронной подписи, их несанкционированного использования и модификации;
    5) обеспечивать безопасность закрытых ключей и создавать необходимые условия для исключения несанкционированного доступа к закрытым ключам;
    6) управлять материальными носителями закрытых ключей в соответствии с требованиями, установленными уполномоченным органом;
    7) использовать закрытый ключ Поставщика высшего уровня только для подписания выдаваемых им сертификатов открытых ключей и списков отозванных сертификатов;
    8) создавать сертификат открытого ключа Поставщика высшего уровня и список отозванных сертификатов в соответствии с требованиями, установленными уполномоченным органом и настоящим Регламентом;
    9) не использовать для создания электронной подписи закрытый ключ при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа;
    10) незамедлительно приостановить или отозвать сертификат открытых ключей Поставщика высшего уровня при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа, а также в случае, если содержащаяся в сертификате открытого ключа информация не соответствует действительности;
    11) принимать заявки на сертификацию открытых ключей от Подчиненных поставщиков в соответствии с процедурами, установленными настоящим Регламентом;
    12) проверять достоверность данных, указанных в заявке на сертификацию открытого ключа, на основании документов, подтверждающих указанные данные, обеспечивать соответствие информации, содержащейся в сертификате открытого ключа, информации, представленной держателем сертификата открытого ключа;
    13) обеспечивать уникальность регистрационной информации Подчиненных поставщиков в Реестре сертификатов открытых ключей;
    14) не разглашать информацию ограниченного доступа и иную охраняемую законом информацию;
    15) проверять уникальность сертифицируемых открытых ключей;
    16) обеспечивать уникальность регистрационных номеров выдаваемых сертификатов открытых ключей;
    17) создавать сертификат открытого ключа Подчиненного поставщика в соответствии с требованиями, установленными уполномоченным органом и настоящим Регламентом;
    18) вносить сертификат открытого ключа в Реестр сертификатов открытых ключей не позднее даты и времени начала действия сертификата;
    19) выдавать сертификаты открытых ключей Подчиненных поставщиков в соответствии с процедурами, установленными настоящим Регламентом;
    20) приостанавливать или отзывать сертификат открытого ключа, возобновлять действие приостановленных сертификатов открытого ключа Подчиненного поставщика в случаях и в соответствии с процедурами, установленными настоящим Регламентом;
    21) вносить сведения об отозванном или приостановленном сертификате открытого ключа в список отозванных сертификатов в течение 3 рабочих часов с указанием даты и времени внесения и причины отзыва или приостановления действия сертификата, с выполнением нужных записей в Реестре сертификатов открытых ключей;
    22) исключать сведения о приостановленном сертификате открытого ключа из списка отозванных сертификатов в течение 3 рабочих часов с момента возобновления его действия, с выполнением нужных записей в Реестре сертификатов открытых ключей;
    23) заранее уведомлять Подчиненного поставщика о приостановлении действия или об отзыве сертификата открытого ключа в случаях и в соответствии с процедурами, установленными настоящим Регламентом;
    24) уведомлять Подчиненного поставщика о фактах, ставших известными Поставщику высшего уровня, которые существенным образом могут повлиять на возможность дальнейшего использования сертификата открытого ключа Подчиненного поставщика;
    25) уведомлять Подчиненного поставщика о ставших известными Поставщику высшего уровня фактах, указывающих на невозможность дальнейшего использования закрытого ключа, при том и об отзыве сертификата открытого ключа, который ему принадлежит;
    26) хранить сертификат открытого ключа Подчиненного поставщика, а также иную информацию о данном сертификате не менее 15 лет с момента отзыва или окончания срока действия сертификата;
    27) обеспечивать актуальность Реестра сертификатов открытых ключей и возможность свободного доступа к нему, в том числе и в режиме реального времени, принимать необходимые меры по обеспечению безопасности реестра;
    28) предоставлять Подчиненным поставщикам сведения из Реестра сертификатов открытых ключей об отозванных или приостановленных сертификатах;
    29) создавать и хранить резервную копию Реестра сертификатов открытых ключей в соответствии с требованиями, установленными уполномоченным органом;
    30) обеспечивать возможность определения даты и времени выдачи, приостановления действия и отзыва сертификата открытого ключа;
    31) подтверждать подлинность и действительность сертификатов открытых ключей Подчиненных поставщиков по обращениям пользователей электронной подписи;
    32) по запросу судебной инстанции, а также лиц и органов, имеющих такое право в силу закона, или в других случаях, предусмотренных законодательством в области применения электронной подписи, подтверждать подлинность и действительность сертификатов открытых ключей, выданных Подчиненным поставщикам, и предоставлять копии сертификатов открытых ключей, находящихся в Реестре сертификатов открытых ключей, на бумажном носителе;
    33) синхронизировать работу служб Поставщика высшего уровня, в том числе программных и технических средств по предназначению, с Всемирным координированным временем (UTС). Допускается синхронизация служб с Гринвичским средним временем (Greenwich Mean Time, GMT) без учета перехода на летнее время;
    34) размещать программно-технические средства, предназначенные для сертификации открытых ключей, в специальных помещениях и обеспечивать их безопасность;
    35) располагать персоналом с высшим образованием в области информационных технологий и/или информационной безопасности, обладающих соответствующим уровнем управленческих и экспертных знаний и опыта в области технологии электронных подписей.
    8. Поставщик высшего уровня имеет право:
    1) создавать сертификат открытого ключа или выполнять процедуру самовыдачи сертификата открытого ключа;
    2) отказать в выдаче сертификата открытого ключа Подчиненному поставщику с указанием причин отказа в случаях:
    а) представления в заявке на сертификацию открытого ключа информации, не соответствующей действительности;
    b) нарушения положений законодательства в области применения электронной подписи;
    c) нарушения конфиденциальности закрытого ключа;
    d) нарушения прав третьих лиц в процессе составления или подачи заявки;
    3) подтверждать подлинность и действительность сертификатов открытых ключей пользователей усиленной квалифицированной электронной подписи;
    4) приостановить действие или отозвать сертификат открытого ключа Подчиненного поставщика в случаях и в порядке, предусмотренных законодательством и настоящим Регламентом.
    9. Поставщик высшего уровня выполняет следующие процедуры:
    1) генерация пар ключей Поставщика высшего уровня, сертификация открытого ключа Подчиненных поставщиков;
    2) приостановление действия сертификата открытого ключа Подчиненного поставщика;
    3) отзыв сертификата открытого ключа Подчиненного поставщика;
    4) подтверждение подлинности и действительности сертификата открытого ключа.
    10. Сертификация открытого ключа Поставщика высшего уровня осуществляется согласно следующим процедурам:
    1) создание сертификата открытого ключа Поставщика высшего уровня осуществляется самим Поставщиком высшего уровня, на основании полномочий, установленных законодательством в области применения электронной подписи;
    2) Поставщик высшего уровня создает свои открытый и закрытый ключи в соответствии с требованиями, установленными уполномоченным органом;
    3) Поставщик высшего уровня создает сертификат открытого ключа в форме электронного документа и подписывает его своим закрытым ключом;
    4) Сертификат открытого ключа Поставщика высшего уровня в форме электронного документа должен соответствовать стандарту SM ISO/CEI 9594-8:2014 Информационные технологии. Взаимодействие открытых систем. Направляющие линии, стандарт Международного союза Телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Forcе) RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Revocation List (CRL) (RFC 3280).
    11. После создания сертификата открытого ключа в форме электронного документа Поставщик высшего уровня создает сертификат открытого ключа в виде документа на бумажном носителе, который должен содержать:
    1) уникальный регистрационный номер сертификата открытого ключа;
    2) название Поставщика высшего уровня, который выдал сертификат открытого ключа с идентификационным номером правовой единицы (IDNO);
    3) идентификационные данные и другие данные владельца сертификата открытого ключа, в зависимости от цели, для которой выдается сертификат;
    4) открытый ключ;
    5) дату и время начала срока действия сертификата открытого ключа;
    6) дату и время окончания срока действия сертификата открытого ключа;
    7) данные о криптографическом алгоритме электронной подписи;
    8) ограничения использования сертификата открытого ключа и/или ограничения на стоимость операций, в которых она может быть использована, если она применяется;
    9) другая информация, предусмотренная законодательством.
    12. Структура сертификата открытого ключа Поставщика высшего уровня представлена в приложении № 1 к настоящему Регламенту.
    13. Сертификат открытого ключа Поставщика высшего уровня на бумажном носителе подписывается собственноручно человеком с соответствующими полномочиями в соответствии с обязанностями, утвержденными директором Службы, и заверяется печатью Службы.
    14. Сертификат открытого ключа Поставщика высшего уровня в форме электронного документа является действительным при условии, что:
    1) содержащаяся в сертификате информация соответствует информации, указанной в утвержденном сертификате на бумажном носителе;
    2) сертификат подписан закрытым ключом Поставщиком высшего уровня, соответствующим открытому ключу, содержащемуся в сертификате.
    15. В целях международного признания сертификатов открытых ключей, выданных в инфраструктуре открытых ключей Республики Молдова, допускается сертификация открытого ключа Поставщика высшего уровня интернациональным поставщиком сертификационных услуг.
    16. Сертификат открытого ключа Поставщика высшего уровня хранится в Реестре сертификатов открытых ключей в виде документа на бумажном носителе и в форме электронного документа.
    17. Приостановление действия сертификата открытого ключа Поставщика высшего уровня осуществляется на основе решения уполномоченного органа в случаях:
    1) нарушения законодательства в области применения электронной подписи;
    2) запроса Поставщика высшего уровня;
    3) потери закрытого ключа;
    4) наличия оснований полагать, что нарушена конфиденциальность закрытого ключа;
    5) наличия оснований полагать, что информация, содержащаяся в сертификате открытого ключа, не соответствует действительности.
    18. Действие сертификата открытого ключа Поставщика высшего уровня приостанавливается распоряжением директора Службы на срок до 30 дней.
    19. Сертификат открытого ключа Поставщика высшего уровня, действие которого приостановлено, в течение 3 рабочих часов помещается в список отозванных сертификатов Поставщика высшего уровня, и выпускается обновленный список отозванных сертификатов и осуществляются соответствующие отметки в регистре сертификатов открытых ключей.
    20. Временем приостановления действия сертификата открытого ключа Поставщика высшего уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Updatе).
    21. Список отозванных сертификатов Поставщика высшего уровня является электронным документом и должен соответствовать стандарту SM ISO/CEI 9594-8:2014 Информационные технологии. Взаимодействие открытых систем. Направляющие линии, стандарт Международного союза телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Forcе) RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Revocation List (CRL) (RFC 3280).
    22. Структура списка отозванных сертификатов представлена в приложении № 2 к настоящему Регламенту.
    23. В случае приостановления действия сертификата открытого ключа Поставщика высшего уровня распоряжением директора Службы создается комиссия для проведения служебного расследования.
    24. В состав Комиссии должны входить:
    1) представители уполномоченного органа;
    2) руководитель Поставщика высшего уровня;
    3) другие лица, обладающие необходимыми знаниями и опытом работы в области применения электронной подписи и составления электронных документов.
    25. Лица, входящие в состав Комиссии, должны иметь допуск к документальным материалам и программно-техническим средствам, необходимым для проведения работы предоставления сертификационных услуг, и к распределяющим системам, установленным программным средствам и техническим средствам.
    26. Комиссия рассматривает на организационно-техническом уровне обстоятельства, повлекшие за собой приостановление действия сертификата открытого ключа Поставщика высшего уровня, устанавливает причины и последствия данной ситуации, определяет меры, необходимые для ее разрешения.
    27. Срок работы Комиссии не может превышать 30 дней с момента приостановления действия сертификата открытого ключа Поставщика высшего уровня.
    28. В срок не позднее, чем за 5 дней до даты окончания срока, на который было приостановлено действие сертификата открытого ключа Поставщика высшего уровня, Комиссией оформляется акт с указанием обстоятельств, повлекших за собой приостановление действия сертификата открытого ключа, установленных причин и последствий данной ситуации, мер, необходимых для ее разрешения, и рекомендаций по возобновлению действия или отзыву сертификата открытого ключа Поставщика высшего уровня.
    29. По результатам работы Комиссии в срок не более чем за 5 дней до даты окончания срока, на который было приостановлено действие сертификата открытого ключа Поставщика высшего уровня, распоряжением директора Службы принимается решение о возобновлении действия или об отзыве сертификата открытого ключа Поставщика высшего уровня.
    30. В случае, если до истечения срока, на который было приостановлено действие сертификата открытого ключа, не принимается решение о возобновлении его действия, сертификат открытого ключа отзывается.
    31. Сертификат открытого ключа Поставщика высшего уровня, действие которого возобновлено, в течение 3 рабочих часов исключается из списка отозванных сертификатов, а Поставщиком высшего уровня выпускается обновленный список отозванных сертификатов.
    32. Временем возобновления действия сертификата открытого ключа Поставщика высшего уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Updatе).
    33. Сертификат открытого ключа Поставщика высшего уровня отзывается по решению уполномоченного органа:
    1) в случае установленного факта компрометации закрытого ключа или его потери;
    2) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа;
    3) при внесении изменений в сертификат открытого ключа;
    4) по требованию Поставщика высшего уровня;
    5) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о его возобновлении;
    6) по запросу уполномоченного органа, если было нарушено действующее законодательство.
    34. Отзыв сертификата открытого ключа Поставщика высшего уровня по причинам, указанным в подпунктах а) и b) пункта 37 настоящего Регламента, осуществляется только после предварительного приостановления его действия.
    35. Решение об отзыве сертификата открытого ключа Поставщика высшего уровня оформляется в виде распоряжения директора Службы.
    36. Отозванный сертификат открытого ключа Поставщика высшего уровня в течение 3 рабочих часов помещается в список отозванных сертификатов, а Поставщика высшего уровня выпускает обновленный список отозванных сертификатов.
    37. Временем отзыва сертификата открытого ключа Поставщика высшего уровня считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Updatе).
    38. В случае отзыва сертификата открытого ключа по причине истечения срока его действия данный сертификат в список отозванных сертификатов не помещается.
    39. После получения Подчиненным поставщиком сертификата об аккредитации открытый и закрытый ключи создаются в соответствии с требованиями. установленными уполномоченным органом.
    40. Открытый ключ Подчиненного поставщика сертифицируется Поставщиком высшего уровня в соответствии с настоящим Регламентом.
    41. Для сертификации открытого ключа Подчиненного поставщика данное лицо представляет Поставщику высшего уровня следующие документы и информацию:
    1) заявку на сертификацию открытого ключа в электронной форме, подписанную электронной подписью, и/или в виде документа на бумажном носителе, подписанного собственноручной подписью (приложение № 3 к настоящему Регламенту);
    2) заявку на сертификацию открытого ключа Подчиненного поставщика в форме электронного документа, подписанную усиленной квалифицированной электронной подписью Подчиненного поставщика, с использованием закрытого ключа, соответствующего сертифицируемому открытому ключу - на материальном носителе;
    3) копии и оригинал приказа руководителя Подчиненного поставщика о назначении представителя или непосредственного руководителя Подчиненного поставщика;
    4) копии и оригинал удостоверения личности представителя или непосредственного руководителя Подчиненного поставщика;
    5) материальный носитель сертификата открытого ключа в форме электронного документа, соответствующий требованиям, установленным уполномоченным органом.
    42. Заявка на сертификацию открытого ключа Подчиненного поставщика должна содержать:
    1) идентификационные данные и другие данные Подчиненного поставщика в соответствии с целью, для которой выдается сертификат, и необходимая информация для связи с ним;
    2) сертифицируемый открытый ключ.
    43. Заявка на сертификацию открытого ключа Подчиненного поставщика в форме электронного документа должна соответствовать стандарту PKCS#10: Certification Request Syntax Specification Version 1.7 и рекомендации IETF (Internet Engineering Task Forcе) RFC 2986 Certification Request Syntax Specification.
    44. Структура заявки на сертификацию открытого ключа Подчиненного поставщика в форме электронного документа представлена в приложении № 4 к настоящему Регламенту.
    45. Поставщик высшего уровня на основании поданных документов осуществляет предварительную проверку.
    46. В процессе осуществления предварительной проверки Поставщик высшего уровня должен установить выполнение следующих условий:
    1) соблюдение заявителем положений действующего законодательства в области применения электронной подписи при составлении и подаче заявки на сертификацию открытого ключа;
    2) соблюдение заявителем прав третьих лиц при составлении и подаче заявки на сертификацию открытого ключа;
    3) соответствие информации, представленной в заявке на сертификацию открытого ключа в форме электронного документа, информации, представленной в соответствующей заявке в виде документа на бумажном носителе;
    4) действительность информации, представленной в заявке на сертификацию открытого ключа.
    47. В случае выполнения заявителем всех условий, предусмотренных в пункте 46 настоящего Регламента, Поставщик высшего уровня регистрирует Подчиненного поставщика. В противном случае Поставщик высшего уровня отказывает Подчиненному поставщику в регистрации и возвращает заявителю поданные документы.
    48. Решение об отказе в регистрации Подчиненного поставщика может быть обжаловано в уполномоченном органе или в судебном порядке, и не служит препятствием для повторной подачи заявки, если были устранены причины, послужившие основанием для отказа в регистрации.
    49. В случае регистрации заявки, Поставщик высшего уровня принимает решение о сертификации открытого ключа Подчиненного поставщика в течение 3 рабочих дней с даты регистрации заявки.
    50. В случае выявления нарушений законодательства в области применения электронной подписи Поставщик высшего уровня принимает решение об отказе в сертификации открытого ключа с обязательным указанием причин отказа.
    51. Решение об отказе в сертификации открытого ключа может быть обжаловано в уполномоченном органе или в судебном порядке и не служит препятствием для повторной подачи заявки, если были устранены причины, послужившие основанием для отказа.
    52. В случае положительного решения о сертификации открытого ключа Поставщик высшего уровня создает сертификат открытого ключа Подчиненного поставщика в виде документа на бумажном носителе в двух экземплярах.
    53. Сертификат открытого ключа Подчиненного поставщика должен содержать:
    1) уникальный регистрационный номер сертификата открытого ключа;
    2) идентификационные данные Подчиненного поставщика;
    3) идентификационные данные и другие данные Подчиненного поставщика в соответствии с целью для чего выдается сертификат, и необходимая информация для связи с ним;
    4) открытый ключ Подчиненного поставщика;
    5) дату и время начала и окончания срока действия сертификата открытого ключа;
    6) данные о криптографическом алгоритме электронной подписи;
    7) области применения электронной подписи;
    8) электронная подпись Поставщика высшего уровня, издателя сертификата;
    9) другие данные в соответствии с техническими стандартами и требованиями, установленными уполномоченным органом.
    54. Сертификат открытого ключа Подчиненного поставщика в форме электронного документа должен соответствовать стандарту SM ISO/CEI 9594-8:2014 Информационные технологии. Взаимодействие открытых систем. Направляющие линии, стандарт Международного союза телекоммуникаций ITU-T X.509, версия 3, и рекомендации IETF (Internet Engineering Task Forcе) RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Revocation List (CRL) (RFC 3280).
    55. Структура сертификата открытого ключа Подчиненного поставщика представлена в приложении № 5 к настоящему Регламенту.
    56. Поставщик высшего уровня создает сертификат открытого ключа Подчиненного поставщика в форме электронного документа, соответствующий сертификату на бумажном носителе, и подписывает его электронной подписью.
    57. Сертификат открытого ключа Подчиненного поставщика в форме электронного документа является действительным при условии, что он содержит информацию, соответствующую информации, содержащейся в сертификате на бумажном носителе.
    58. Срок действия закрытого ключа Подчиненного поставщика составляет 5 лет. Началом периода действия закрытого ключа считаются дата и время, с которого начинается срок действия соответствующего сертификата открытого ключа.
    59. Срок действия сертификата открытого ключа Подчиненного поставщика, который соответствует закрытому ключу, составляет 10 лет.
    60. Сертификат открытого ключа Подчиненного поставщика в виде документа на бумажном носителе в двух экземплярах подписывается собственноручными подписями представителями Поставщика высшего уровня и заверяется печатью уполномоченного органа.
    61. Подчиненному поставщику выдаются:
    1) один экземпляр подписанного и заверенного печатями сертификата открытого ключа в виде документа на бумажном носителе;
    2) материальный носитель, содержащий следующие электронные документы:
    а) сертификат открытого ключа Подчиненного поставщика;
    b) сертификат открытого ключа Поставщика высшего уровня;
    c) обновленная версия списка отозванных сертификатов;
    3) документ на бумажном носителе, содержащий идентификационные данные Подчиненного поставщика и ключевую фразу для его удаленной аутентификации.
    62. Сертификат открытого ключа Подчиненного поставщика хранится в Реестре сертификатов открытых ключей в виде документа на бумажном носителе и в форме электронного документа.
    63. Приостановление действия сертификата открытого ключа Подчиненного поставщика осуществляется:
    1) по требованию Подчиненного поставщика;
    2) по решению уполномоченного органа;
    3) по решению Поставщика высшего уровня.
    64. Подчиненный поставщик может потребовать приостановления действия сертификата своего открытого ключа при наличии оснований полагать, что нарушена конфиденциальность закрытого ключа, или в случае, если информация, содержащаяся в сертификате открытого ключа, не соответствует действительности.
    65. Заявление на приостановление действия сертификата открытого ключа Подчиненного поставщика (приложение № 6 к настоящему Регламенту) подается к Поставщику высшего уровня в виде документа на бумажном носителе или в форме электронного документа.
    66. В исключительных случаях, требующих незамедлительного приостановления действия сертификата открытого ключа Подчиненного поставщика, заявление может быть подано в устной форме с его обязательным последующим подтверждением в виде документа на бумажном носителе или в форме электронного документа в течение одного рабочего дня.
    67. Заявление на приостановление действия сертификата открытого ключа Подчиненного поставщика должно содержать:
    1) идентификационные данные Подчиненного поставщика;
    2) серийный номер сертификата открытого ключа, действие которого приостанавливается;
    3) срок, на который приостанавливается действие сертификата открытого ключа;
    4) причину приостановления действия сертификата открытого ключа;
    4) дату подписания заявления, подпись представителя или непосредственного руководителя Подчиненного поставщика.
    68. Заявление на приостановление действия сертификата открытого ключа в виде документа на бумажном носителе подается Поставщику высшего уровня представителем Подчиненного поставщика лично, а в форме электронного документа - посредством системы электронного документооборота.
    69. Заявление на приостановление действия сертификата открытого ключа в устной форме передается представителем Подчиненного поставщика посредством телефонной связи.
    70. Поставщик высшего уровня проводит аутентификацию Подчиненного поставщика, заявившего о приостановлении действия своего сертификата открытого ключа. Аутентификация выполняется по:
    1) данным из удостоверения личности заявителя;
    2) сертификату открытого ключа путем подтверждения подлинности заявления на приостановление действия сертификата открытого ключа в форме электронного документа;
    3) ключевой фразе, сообщаемой представителем Подчиненного поставщика по телефону.
    71. Поставщик высшего уровня в течение 3 рабочих часов с момента получения заявления о приостановлении действия сертификата открытого ключа Подчиненного поставщика принимает решение о приостановлении действия сертификата его открытого ключа.
    72. Временем приостановления действия сертификата открытого ключа Подчиненного поставщика считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Updatе).
    73. Поставщик высшего уровня в течение 3 рабочих дней письменно уведомляет Подчиненного поставщика о принятом решении о приостановлении действия сертификата открытого ключа или об отказе в приостановлении с указанием причин отказа.
    74. Действие сертификата открытого ключа Подчиненного поставщика приостанавливается на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы.
    75. Если Поставщик высшего уровня имеет основания полагать, что нарушена конфиденциальность закрытого ключа Подчиненного поставщика или информация, содержащаяся в его сертификате открытого ключа, не соответствует действительности, Поставщик высшего уровня вправе принять в одностороннем порядке решение о приостановлении действия соответствующего сертификата открытого ключа.
    76. В случае приостановления действия сертификата открытого ключа Подчиненного поставщика на основании решения уполномоченного органа или Поставщика высшего уровня, Поставщик высшего уровня незамедлительно по средствам телефонной связи уведомляет Подчиненного поставщика о приостановлении действия сертификата открытого ключа с последующим письменным уведомлением в течение 3 рабочих дней.
    77. Действие сертификата открытого ключа Подчиненного поставщика приостанавливается на срок до 30 дней.
    78. Сертификат открытого ключа Подчиненного поставщика, действие которого приостановлено, помещается в течение 3 рабочих часов в список отозванных сертификатов, а Поставщиком высшего уровня выпускается обновленный список отозванных сертификатов.
    79. В случае, если до истечения срока, на который было приостановлено действие сертификата открытого ключа, не принимается решение о возобновлении его действия, сертификат открытого ключа отзывается.
    80. Возобновление действия сертификата открытого ключа Подчиненного поставщика осуществляется:
    1) по требованию Подчиненного поставщика;
    2) по решению уполномоченного органа;
    3) по решению Поставщика высшего уровня.
    81. Заявление на возобновление действия сертификата открытого ключа Подчиненного поставщика (приложение № 7 к настоящему Регламенту) представляет собой документ на бумажном носителе, заверенный собственноручными подписями представителя или руководителя Подчиненного поставщика.
    82. Заявление о возобновлении действия сертификата открытого ключа Подчиненного поставщика подается Поставщику высшего уровня лично представителем Подчиненного поставщика не позже чем за 5 рабочих дней до окончания срока, на который было приостановлено действие сертификата открытого ключа.
    83. Заявление на возобновление действия сертификата открытого ключа Подчиненного поставщика должно содержать:
    1) идентификационные данные Подчиненного поставщика;
    2) серийный номер сертификата открытого ключа, действие которого приостановлено;
    3) срок, на который было приостановлено действие сертификата открытого ключа;
    4) причину приостановления действия сертификата открытого ключа;
    5) основания для возобновления действия сертификата открытого ключа;
    6) дату подписания заявления, подписи представителя или руководителя Подчиненного поставщика.
    84. Поставщик высшего уровня в течение 5 рабочих дней с даты получения заявления о возобновлении действия сертификата открытого ключа принимает решение о возобновлении действия сертификата.
    85. Поставщик высшего уровня в течение 3 рабочих дней письменно уведомляет Подчиненного поставщика о принятом решении о возобновлении действия сертификата открытого ключа или об отказе в возобновлении с указанием причин отказа.
    86. Действие сертификата открытого ключа Подчиненного поставщика, приостановленное на основании решения компетентного органа, возобновляется на основании решения компетентного органа, оформленного в виде распоряжения директора Службы.
    87. В случае если действие сертификата открытого ключа Подчиненного поставщика было приостановлено по решению Поставщика высшего уровня, Поставщик высшего уровня вправе принять в одностороннем порядке решение о возобновлении действия соответствующего сертификата открытого ключа.
    88. В случае возобновления действия сертификата открытого ключа Подчиненного поставщика на основании решения уполномоченного органа или Поставщика высшего уровня, Поставщик высшего уровня в течение 3 рабочих дней направляет Подчиненному поставщику письменное уведомление о возобновлении действия сертификата.
    89. Сертификат открытого ключа Подчиненного поставщика, действие которого было возобновлено, в течение 3 рабочих часов, исключается из списка отозванных сертификатов, а Поставщик высшего уровня выпускает обновленный список отозванных сертификатов.
    90. Временем возобновления действия сертификата открытого ключа Подчиненного поставщика считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Updatе).
    91. Сертификат открытого ключа Подчиненного поставщика отзывается:
    1) по требованию Подчиненного поставщика;
    2) по решению уполномоченного органа;
    3) в случае нарушения конфиденциальности закрытого ключа или в случае установленного факта компрометации закрытого ключа;
    4) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа;
    5) при внесении изменений в сертификат открытого ключа;
    6) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о возобновлении действия сертификата;
    7) по истечении срока действия сертификата открытого ключа.
    92. Подчиненный поставщик может потребовать отзыва своего сертификата открытого ключа при установлении фактов нарушения конфиденциальности своего закрытого ключа или недействительности информации, содержащейся в сертификате, а также в других случаях, предусмотренных Регламентом Подчиненного поставщика.
    93. Заявление на отзыв сертификата открытого ключа Подчиненного поставщика (приложение № 8 к настоящему Регламенту) представляет собой документ на бумажном носителе, заверенный собственноручными подписями представителя или руководителя Подчиненного поставщика.
    94. Заявление на отзыв сертификата открытого ключа Подчиненного поставщика подается Поставщику высшего уровня лично представителем Подчиненного поставщика.
    95. Заявление на отзыв сертификата Подчиненного поставщика должно содержать:
    1) идентификационные данные Подчиненного поставщика;
    2) серийный номер сертификата открытого ключа, который подлежит отзыву;
    3) причину отзыва сертификата открытого ключа;
    4) дату подписания заявления, подписи Подчиненного поставщика.
    96. Поставщик высшего уровня в течение 3 рабочих часов с момента получения заявления об отзыве сертификата открытого ключа уполномоченного Подчиненного поставщика принимает решение об отзыве сертификата.
    97. Поставщик высшего уровня в течение 3 рабочих дней письменно уведомляет Подчиненного поставщика о принятом решении об отзыве сертификата открытого ключа или об отказе в отзыве сертификата с указанием причин отказа.
    98. Сертификат открытого ключа Подчиненного поставщика отзывается на основании решения уполномоченного органа, оформленного в виде распоряжения директора Службы.
    99. Поставщик высшего уровня вправе принять в одностороннем порядке решение об отзыве сертификата открытого ключа Подчиненного поставщика:
    1) в случае установленного факта компрометации закрытого ключа;
    2) при обнаружении несоответствия действительности сведений, указанных в заявке на сертификацию открытого ключа или в сертификате открытого ключа;
    3) при внесении изменений в сертификат открытого ключа;
    4) по истечении срока, на который было приостановлено действие сертификата открытого ключа, если не было принято решение о возобновлении действия сертификата;
    5) по истечении срока действия сертификата открытого ключа.
    100. В случае отзыва сертификата открытого ключа Подчиненного поставщика на основании решения уполномоченного органа или Поставщиком высшего уровня, Поставщик высшего уровня незамедлительно по средствам телефонной связи уведомляет Подчиненного поставщика об отзыве сертификата открытого ключа с последующим письменным уведомлением в течение 3 рабочих дней.
    101. Отозванный сертификат открытого ключа Подчиненного поставщика в течение 3 рабочих часов вносится в список отозванных сертификатов, а Поставщик высшего уровня выпускает обновленный список отозванных сертификатов.
    102. Временем отзыва сертификата открытого ключа Подчиненного поставщика считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле This Updatе).
    103. При отзыве сертификата открытого ключа по причине истечения срока его действия данный сертификат в список отозванных сертификатов не вносится.
    104. Поставщик высшего уровня подтверждает подлинность и действительность сертификатов открытых ключей:
    1) Подчиненного поставщика - по заявлениям пользователей усиленной квалифицированной электронной подписи;
    2) выданных Подчиненными поставщиками - по запросам судебной инстанции, лиц или органов, имеющих такое право в силу закона, а также в других случаях, предусмотренных законодательством в области применения электронной подписи.
    105. Поставщик высшего уровня обеспечивает пользователям усиленной квалифицированной электронной подписи возможность самостоятельно определять подлинность и действительность сертификата открытого ключа Подчиненного поставщика путем:
    1) предоставления свободного доступа к электронным документам, содержащимся в Реестре сертификатов открытых ключей;
    2) свободного распространения и опубликования списка отозванных сертификатов в форме электронного документа.
    106. Заявление пользователя усиленной квалифицированной электронной подписи на подтверждение подлинности и действительности сертификата открытого ключа представляет собой документ на бумажном носителе, заверенный собственноручной подписью заявителя (приложение № 9 к настоящему Регламенту).
    107. Заявление подается Поставщику высшего уровня вместе с материальным носителем, содержащим сертификат открытого ключа в форме электронного документа, подлинность и действительность которого должна быть подтверждена.
    108. В течение 3 рабочих дней Поставщик высшего уровня представляет заявителю заключение по результатам проверки подлинности и действительности сертификата открытого ключа, содержащее:
    1) время и место проведения проверки;
    2) основания для проведения проверки;
    3) сведения о Поставщике высшего уровня;
    4) содержание и результаты проверки;
    5) оценку результатов проверки и соответствующие выводы;
    6) другие данные, установленные Поставщиком высшего уровня.
    109. Поставщик высшего уровня может отказать заявителю в проверке подлинности и действительности сертификата открытого ключа Подчиненного поставщика, если не были предъявлены все необходимые электронные документы или поврежден материальный носитель.
    110. Срок действия закрытого ключа Поставщика высшего уровня - 10 лет. Начало периода действия закрытого ключа исчисляется с даты и времени начала срока действия соответствующего сертификата открытого ключа.
    111. Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица Поставщика высшего уровня - 20 лет.
    112. По истечении срока действия закрытого ключа Поставщика высшего уровня закрытый ключ уничтожается, создаются новые закрытый и открытый ключи, а также сертификат открытого ключа.
    113. Плановая смена закрытого ключа и соответствующего ему открытого ключа Поставщика высшего уровня выполняется не ранее чем через 9 лет и 11 месяцев и не позднее чем через 9 лет и 12 месяцев после начала срока действия закрытого ключа Поставщика высшего уровня.
    114. Внеплановая смена ключей выполняется в случае компрометации или угрозы компрометации закрытого ключа Поставщика высшего уровня.
    115. Процедуры смены ключей осуществляются в соответствии с требованиями, установленными компетентным органом.
    116. Закрытый ключ Поставщика высшего уровня используется исключительно с целью подписания электронной подписью:
    1) сертификата открытого ключа Поставщика высшего уровня;
    2) сертификатов открытых ключей Подчиненных поставщиков;
    3) списков отозванных сертификатов.
    117. Закрытый ключ Поставщика высшего уровня хранится и используется в условиях, исключающих нарушение его конфиденциальности.
    118. Доступ к материальному носителю закрытого ключа Поставщика высшего уровня осуществляется при непосредственном присутствии двух представителей Поставщика высшего уровня, таким образом, чтобы при отсутствии хотя бы одного из этих лиц доступ к ключу был неосуществим. В случае временного отсутствия данного лица, доступ осуществляется в присутствии замещающих их лиц.
    119. Персонал по должной инструкции:
    1) использует закрытый ключ, исключая нарушения конфиденциальности закрытого ключа;
    2) несет ответственность за организацию безопасного доступа к материальным носителям закрытого ключа и санкционированное использование ключей;
    3) несет личную ответственность за безопасное использование собственного закрытого ключа.
    120. Основным информационным ресурсом Поставщика высшего уровня является Реестр сертификатов открытых ключей.
    121. Реестр сертификатов открытых ключей представляет собой набор документов на бумажном носителе и электронных документов, включающий:
    1) сертификаты открытых ключей Поставщика высшего уровня;
    2) решения о приостановлении действия, возобновлении действия и отзыве сертификатов открытых ключей Поставщика высшего уровня;
    3) заявки на сертификацию открытых ключей Подчиненных поставщиков;
    4) сертификаты открытых ключей Подчиненных поставщиков;
    5) заявления на приостановление действия, возобновление действия и отзыв сертификатов открытых ключей Подчиненных поставщиков;
    6) списки отозванных сертификатов.
    122. Архивному хранению подлежат следующие информационные ресурсы Поставщика высшего уровня:
    1) Реестр сертификатов открытых ключей;
    2) журналы аудита программно-технического комплекса Поставщика высшего уровня;
    3) служебные документы Поставщика высшего уровня согласно критериям, установленным компетентным органом.
    123. Срок хранения архивных документов Поставщика высшего уровня - 20 лет.
    124. Подготовка к уничтожению и уничтожение архивных документов осуществляются комиссией, формируемой из числа сотрудников Поставщика высшего уровня и уполномоченного органа.
    125. Подготовка к уничтожению и уничтожение документов, не подлежащих архивному хранению, осуществляются сотрудниками Поставщика высшего уровня, назначенными уполномоченным органом.
    126. Защита информационных ресурсов Поставщика высшего уровня осуществляется в соответствии с действующим законодательством и требованиями, установленными уполномоченным органом.
    127. Порядок осуществления доступа к информационным ресурсам Поставщика высшего уровня, включая доступ к архивным документам, регламентируется действующим законодательством, требованиями уполномоченного органа и настоящим Регламентом.
    128. Доступ пользователей электронной подписи к Реестру сертификатов открытых ключей осуществляется посредством:
    1) официального электронного информационного ресурса Поставщика высшего уровня по адресу: www.pki.sis.md;
    2) электронной почты: pki@sis.md;
    3) письменного запроса пользователя электронной подписи в соответствии с процедурой, установленной настоящим Регламентом. Почтовый адрес: MD-2004, Republica Moldova, mun. Chișinău, bd. Stefan cel Mare şi Sfînt, nr. 166, Поставщик сертификационных услуг высшего уровня.
    129. Поставщик высшего уровня публикует на страницах своего официального электронного информационного ресурса:
    1) обновленный список отозванных сертификатов в форме электронного документа;
    2) электронные копии сертификатов открытых ключей на бумажном носителе Поставщика высшего уровня и Подчиненных поставщиков в формате PDF;
    3) сертификаты открытых ключей Поставщика высшего уровня и Подчиненных поставщиков в форме электронных документов.
    130. Поставщик высшего уровня создает и эксплуатирует программно-технический комплекс, состоящий из следующих компонентов:
    1) служба сертификации;
    2) служба регистрации;
    3) служба реестра;
    4) служба эталонной проверки электронной подписи.
    131. Служба сертификации является базовым технологическим компонентом программно-технического комплекса Поставщика высшего уровня, обеспечивающим:
    1) создание сертификата открытого ключа Поставщика высшего уровня в форме электронного документа;
    2) создание сертификата открытого ключа Подчиненного поставщика в форме электронного документа;
    3) создание списка отозванных сертификатов.
    132. Ответственность за эксплуатацию службы сертификации возлагается на персонал Поставщика высшего уровня согласно функциональным обязанностям.
    133. Служба регистрации является технологическим компонентом программно-технологического Поставщика высшего уровня, обеспечивающим регистрацию уполномоченных лиц Подчиненных поставщиков.
    134. Служба реестра является технологическим компонентом программно-технического комплекса Поставщика высшего уровня, обеспечивающим:
    1) хранение сертификатов открытых ключей Поставщика высшего уровня;
    2) хранение сертификатов открытых ключей Подчиненных поставщиков;
    3) хранение заявок на сертификацию открытых ключей;
    4) хранение регистрационной информации Подчиненных поставщиков;
    5) публикацию и распространение списков отозванных сертификатов;
    6) доступ к действительным сертификатам открытых ключей, а также к спискам отозванных сертификатов;
    7) хранение другой служебной информации Поставщика высшего уровня.
    135. Служба эталонной проверки электронной подписи является технологическим компонентом программно-технического комплекса Поставщика высшего уровня, обеспечивающим подтверждение подлинности сертификатов открытых ключей и других электронных документов.
    136. Технические средства обеспечения работы программно-технического комплекса Поставщика высшего уровня включают:
    1) серверное оборудование;
    2) коммуникационное оборудование;
    3) компьютеризированные рабочие места персонала Поставщика высшего уровня;
    4) устройства печати на бумажных носителях;
    5) другое вспомогательное оборудование.
    137. В составе компонентов программно-технического комплекса Поставщика высшего уровня функционируют криптографические средства защиты информации, включая:
    1) устройства создания и/или проверки электронной подписи и продукты для электронной подписи;
    2) программно-технические комплексы защиты от несанкционированного доступа и обеспечения целостности программно-аппаратных средств.
    138. Программно-технический комплекс должен соответствовать требованиям, установленным уполномоченным органом, и технологическим характеристикам, указанным в приложении № 10 к настоящему Регламенту.
    139. Информация, обрабатываемая и хранящаяся у Поставщика высшего уровня, охраняется законом.
    140. Информация, хранящаяся в журналах аудита у Поставщика высшего уровня, считается информацией ограниченного доступа.
    141. Не являются конфиденциальной информацией данные, содержащиеся в сертификатах Подчиненных поставщиков и в списках отозванных сертификатов.
    142. Поставщик высшего уровня обеспечивает сохранность и контроль доступа к охраняемой законом информации в соответствии с законодательством Республики Молдова.
    143. Инженерно-технические меры защиты информации должны обеспечивать возможность непрерывного функционирования в течение продолжительного времени программно-технического комплекса Поставщика высшего уровня.
    144. Серверы службы сертификации, службы регистрации и службы реестра размещаются в серверных помещениях, в серверных стойках.
    145. Серверные помещения Поставщика высшего уровня оборудуются системой контроля доступа.
    146. Доступ в серверные помещения Поставщика высшего уровня осуществляется в соответствии с требованиями, установленными уполномоченным органом.
    147. Остальные технические средства программно-технического комплекса Поставщика высшего уровня размещаются в рабочих помещениях Поставщика высшего уровня.
    148. Серверные и рабочие помещения оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима.
    149. Противопожарная безопасность помещений Поставщика высшего уровня обеспечивается в соответствии с нормами и требованиями, предусмотренными действующим законодательством.
    150. Технические средства Поставщика высшего уровня должны быть подключены к сети гарантированного электропитания.
    151. Программно-технический комплекс Поставщика высшего уровня должен обеспечивать контроль целостности программных и технических средств.
    152. Ответственность за выполнение мероприятий по контролю целостности программных и технических средств программно-технического комплекса Поставщика высшего уровня возложена на персонал.
    153. Средства программно-технического комплекса Поставщика высшего уровня должны обеспечивать резервное копирование критически важной информации по мере необходимости.
    154. При доступе к процедурам Поставщика высшего уровня используется функциональное разграничение членов группы, которые обслуживают программно-технический комплекс Поставщика высшего уровня.
    155. Серверы службы сертификации, службы регистрации и службы реестра, а также рабочие места Поставщика высшего уровня оснащаются программно-аппаратными средствами защиты от несанкционированного доступа.
    156. Доступ персонала к серверам службы сертификации, службы регистрации и службы реестра для выполнения регламентных работ осуществляется в присутствии ответственных лиц, за эксплуатацию соответствующего прикладного программного обеспечения.
    157. Организация доступа к техническим средствам программно-технического комплекса Поставщика высшего уровня, размещенных в рабочих помещениях, возлагается на Поставщика высшего уровня, ответственного за эксплуатацию данных технических средств.
    158. Организационные меры защиты информации должны обеспечивать:
    1) сохранность документов и материальных ценностей;
    2) обнаружение и задержание нарушителей, пытающихся проникнуть в здание (помещения) Поставщика высшего уровня.
    159. Поставщик высшего уровня выполняет следующие функции:
    1) управление регистрацией с основными задачами: регистрация и учет Подчиненных поставщиков, подготовка запросов на создание сертификатов открытых ключей, выдача сертификатов открытых ключей Подчиненным поставщикам;
    2) управление сертификацией с основными задачами: создание, приостановление, возобновление действия и отзыв сертификатов открытых ключей, создание и опубликование (выпуск) списка отозванных сертификатов;
    3) управление безопасностью с основными задачами: контроль безопасности всех процедур и механизмов Поставщика высшего уровня, обеспечение безопасности компонентов программно-технического комплекса Поставщика высшего уровня;
    4) системное управление с основными задачами: установка, конфигурация и поддержка функционирования службы сертификации, службы регистрации и службы реестра.
    5) организация Поставщика высшего уровня.
    160. Взаимодействие Подчиненных поставщиков и пользователей усиленной квалифицированной электронной подписи с Поставщиком высшего уровня осуществляется в соответствии с процедурами, установленными настоящим Регламентом, и требованиями в области электронной подписи.
    161. Поставщик высшего уровня обеспечивает доступ Подчиненным поставщикам и пользователям усиленной квалифицированной электронной подписи к Реестру сертификатов открытых ключей в соответствии с настоящим Регламентом.
    162. Поставщик высшего уровня публикует обновленный список отозванных сертификатов и осуществляет его автоматическую рассылку подчиненным поставщикам.
    163. В целях взаимодействия Поставщик высшего уровня предоставляет Подчиненным поставщикам свои контактные данные (номер телефона, факс, почтовый адрес, адрес электронной почты).
    164. В случае отзыва сертификата открытого ключа у Поставщика высшего уровня одновременно отзываются и сертификаты открытых ключей Подчиненных поставщиков.
    165. Пользователи электронной подписи используют сертификат открытого ключа Поставщика высшего уровня в процессе проверки подлинности усиленной квалифицированной электронной подписи в электронном документе.
    166. Спорные ситуации, возникшие в процессе взаимодействия Подчиненных поставщиков и пользователей усиленных квалифицированных электронных подписей с Поставщиком высшего уровня, подлежат разрешению в соответствии с настоящим Регламентом, в особенности спорные ситуации, возникшие в связи с:
    1) оспариванием Подчиненным поставщиком или пользователем усиленной квалифицированной электронной подписи действительности и подлинности сертификата открытого ключа Поставщика высшего уровня;
    2) оспариванием пользователем усиленной квалифицированной электронной подписи действительности и подлинности сертификата открытого ключа Подчиненного поставщика;
    3) оспариванием полномочий Поставщика высшего уровня;
    4) оспариванием полномочий Подчиненного поставщика;
    5) оспариванием области применения электронной подписи и иных ограничений, указанных в сертификатах открытых ключей, выданных Поставщика высшего уровня;
    6) недоверием к устройствам создания и/или проверки электронной подписи и продуктам для электронной подписи, применяемым Поставщиком высшего уровня;
    7) в других случаях возникновения спорных ситуаций в связи с применением усиленной квалифицированной электронной подписи.
    167. Спорная ситуация разрешается в рабочем порядке заинтересованными сторонами в соответствии с Регламентом о разрешении спорных ситуаций в области применения электронной подписи, утвержденным уполномоченным органом.
    168. В случае, если спорная ситуация признается сторонами разрешенной, оформляется акт об урегулировании спорной ситуации, который подписывается сторонами.
    169. В случае невозможности разрешения спорной ситуации в рабочем порядке стороны могут обратиться в судебную инстанцию в порядке, предусмотренном законодательством.
    170. При взаимодействии с Поставщиком высшего уровня Подчиненный поставщик имеет право:
    1) создавать свои открытый и закрытый ключи с использованием защищенных устройств создания электронной подписи;
    2) подавать заявку на сертификацию своего открытого ключа;
    3) подавать заявления на отзыв, приостановление или возобновление действия сертификата открытого ключа в течение срока действия соответствующего закрытого ключа;
    4) получать доступ к Реестру сертификатов открытых ключей;
    5) применять сертификат открытого ключа уполномоченного лица Поставщика высшего уровня для проверки подлинности электронной подписи в сертификатах открытых ключей, выданных Поставщиком высшего уровня;
    6) получать список отозванных сертификатов Поставщика высшего уровня;
    7) применять список отозванных сертификатов Поставщика высшего уровня для определения действительности сертификата открытого ключа уполномоченного лица Поставщика высшего уровня;
    8) получать копию сертификата открытого ключа уполномоченного лица Поставщика высшего уровня на бумажном носителе;
    9) обращаться к Поставщику высшего уровня за подтверждением подлинности и действительности выданного им сертификата открытого ключа Подчиненного поставщика;
    10) получать методическую помощь от Поставщика высшего уровня.
    171. При взаимодействии с Поставщиком высшего уровня Подчиненный поставщик обязан:
    1) выполнять требования законодательства в области применения электронной подписи;
    2) представлять информацию в объеме, определенном настоящим Регламентом;
    3) исключить доступ другого лица к своему закрытому ключу, принимать меры по предотвращению компрометации закрытого ключа;
    4) применять свой закрытый ключ в соответствии с областями применения электронной подписи и иными ограничениями, указанными в сертификате открытого ключа;
    5) немедленно сообщать Поставщику высшего уровня о компрометации своего закрытого ключа;
    6) не использовать свой закрытый ключ при наличии оснований (подозрений) полагать, что нарушена конфиденциальность закрытого ключа;
    7) не использовать свой закрытый ключ в период рассмотрения заявки на сертификацию соответствующего ему открытого ключа, заявлений на отзыв, приостановление или возобновление действия сертификата соответствующего открытого ключа;
    8) не использовать свой закрытый ключ, если сертификат соответствующего открытого ключа приостановлен или отозван.
    172. При взаимодействии с Поставщиком высшего уровня пользователь электронной подписи имеет право:
    1) получать список отозванных сертификатов Поставщика высшего уровня;
    2) получать доступ к Реестру сертификатов открытых ключей;
    3) применять список отозванных сертификатов Поставщика высшего уровня для проверки действительности сертификатов открытых ключей Поставщика высшего уровня и Подчиненных поставщиков;
    4) применять сертификат открытого ключа Поставщика высшего уровня для подтверждения подлинности сертификата открытого ключа Подчиненного поставщика;
    5) обращаться к Поставщику высшего уровня за подтверждением подлинности и действительности сертификатов открытых ключей Поставщика высшего уровня и Подчиненных поставщиков.
    173. Реорганизация и ликвидация Поставщика высшего уровня осуществляется в соответствии с законодательством.
    174. При реорганизации Поставщика высшего уровня и передаче его функций другому учреждению совместным решением руководителей заинтересованных учреждений создается комиссия по передаче Поставщика высшего уровня.
    175. В состав Комиссии по передаче Поставщика высшего уровня должны входить:
    1) представители сторон;
    2) представитель Поставщика высшего уровня;
    3) представитель уполномоченного органа;
    4) другие лица, назначаемые сторонами.
    176. По окончании работы Комиссия составляет акт приема-передачи, в соответствии с которым новому учреждению передается Реестр сертификатов открытых ключей, а также права и обязанности Поставщика высшего уровня. Акт подписывается всеми членами Комиссии и утверждается руководителями заинтересованных учреждений.
    177. Реестр сертификатов открытых ключей в форме электронных документов передается на материальных носителях, а Реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях.
    178. При передаче Поставщика высшего уровня закрытые ключи уполномоченных лиц Поставщика высшего уровня уничтожаются без нарушения их конфиденциальности в соответствии с требованиями, установленными уполномоченным органом, а сертификаты соответствующих открытых ключей, переданные другому поставщику высшего уровня, продолжают действовать до истечения срока действия.
    179. При ликвидации Поставщика высшего уровня, приказом директора Службы создается ликвидационная комиссия, в задачи которой входит проведение процедуры ликвидации в соответствии с действующим законодательством и требованиями, установленными уполномоченным органом.
    180. В состав ликвидационной Комиссии должны входить:
    1) представитель Поставщика высшего уровня;
    2) представитель уполномоченного органа;
    3) другие лица, назначенные приказом.
    181. По окончании работы ликвидационная Комиссия составляет акт о ликвидации, в соответствии с которым Поставщик высшего уровня прекращает свою деятельность, а Реестр сертификатов открытых ключей передается уполномоченному органу и подлежит архивному хранению в соответствии с законодательством.
    182. Реестр сертификатов открытых ключей ликвидированного Поставщика высшего уровня в форме электронных документов передается в уполномоченный орган на материальных носителях, а Реестр сертификатов открытых ключей на бумажных носителях передается в виде архива документов на бумажных носителях, о чем составляется акт приема-передачи. Акт подписывается Поставщиком высшего уровня, представителем уполномоченным органом, ответственным за хранение, и утверждается директором Службы.
    183. При ликвидации Поставщика высшего уровня закрытые ключи уничтожаются без нарушения их конфиденциальности, а сертификаты соответствующих открытых ключей отзываются.

    приложение №1

    приложение №2

    приложение №3

    приложение №4

    приложение №5

    приложение №6

    приложение №7

    приложение №8

    приложение №9

    приложение №10