OSISM25/2017 Внутренний номер: 371198 Varianta în limba de stat | Карточка документа |
Республика Молдова | |
СЛУЖБА ИНФОРМАЦИИ И БЕЗОПАСНОСТИ | |
ПРИКАЗ
Nr. 25
от 17.03.2017 | |
об утверждении Регламента процедуры выдачи
заключений на устройства создания и/или проверки электронной подписи и продукты для электронной подписи | |
Опубликован : 01.09.2017 в Monitorul Oficial Nr. 322-328 статья № : 1637 Дата вступления в силу : 01.09.2017 | |
ЗАРЕГИСТРИРОВАН: Министерство юстиции № 1250 от 22.08.2017 г. министр____________Владимир ЧЕБОТАРЬ На основании ст. 4 ч. (4) лит. b) и ст. 36 ч. (1) Закона № 91 от 29.05.2014 года об электронной подписи и электронном документе (Официальный монитор Республики Молдова, 2014 г., № 174-177, ст.397), ПРИКАЗЫВАЮ 1. Утвердить Регламент процедуры выдачи заключений на устройства создания и/или проверки электронной подписи и продуктов для электронной подписи (прилагается). 2. Настоящий приказ вступает в силу со дня опубликования в Официальном мониторе Республики Молдова. ДИРЕКТОР СЛУЖБЫ ИНФОРМАЦИИ И БЕЗОПАСНОСТИ Михай БАЛАН № 25. Кишинэу, 17 марта 2017 г. Приложение
к Приказу директора Службы информации и безопасности Республики Молдова № 25 от 17.03.2017 г. РЕГЛАМЕНТ
процедуры выдачи заключений на устройства создания и/или проверки электронной подписи и продукты для электронной подписи I. Общие положения
1. Настоящий Регламент разработан в соответствии с Законом № 91 от 29 мая 2014 г. об электронной подписи и электронном документе, Техническими нормами в области усиленной квалифицированной подписи, утвержденные Приказом директора Службы информации и безопасности № 69 от 15.07.2016 и Специальными условиями деятельности поставщиков услуг по сертификации применения электронной подписи, утвержденные Приказом директора Службы информации и безопасности №70 от 15.07.2016. 2. Регламент устанавливает процедуру выдачи заключения на защищенные устройства создания электронной подписи, устройства проверки электронной подписи и/или продукты для электронной подписи (далее – устройство и/или продукт), этапы и сроки выдачи заключения уполномоченным органом в области применения всех видов электронной подписи – Службой информации и безопасности Республики Молдова (далее – уполномоченный орган). 3. В рамках настоящего Регламента заявителем на выдачу заключения является аккредитованный поставщик сертификационных услуг в области применения усиленной квалифицированной электронной подписи, который запрашивает оценку и выдачу заключения на устройство и/или продукт. 4. Выдача заключений на устройства и/или продукты предусматривает оценку соответствия требованиям, установленным приказами директора Службы информации и безопасности № 69 и № 70 от 15.07.2016. 5. Аккредитованный поставщик сертификационных услуг в области применения усиленной квалифицированной электронной подписи обязан запросить заключение у уполномоченного органа на устройства и/или продукты, которые будут использоваться для создания усиленной квалифицированной электронной подписи. 51. Устройство и/или продукт, которому ранее было выдано заключение, и информация о нем размещены на официальной странице компетентного органа, могут быть использованы для создания усиленной квалифицированной электронной подписи без повторной выдачи заключения, исключая случаи, предусмотренные в пункте 24. [Пкт.51 введен ПСИБ48 от 08.10.18, МО410-415/02.11.18 ст.1608] 6. Стороны, вовлеченные в процесс выдачи заключения: 1) заявитель на выдачу заключения; 2) уполномоченный орган. II. Представление заявления
7. Заявление на выдачу заключения на устройства и/или продукты представляется в свободной форме на бумажном носителе в адрес уполномоченного органа.на выдачу заключения 8. В заявлении на выдачу заключения на устройство и/или продукт указывается: 1) идентификационные данные заявителя на выдачу заключения; 2) наименование устройства и/или продукта; 3) версия устройства и/или продукта; 4) наименование производителя устройства и/или продукта. 9. Заявитель на выдачу заключения предоставляет дополнительно к заявлению на выдачу заключения на устройства и/или продукты следующие документы: 1) декларация о соответствии выполнения требований безопасности, определенных законодательством Республики Молдова, стандартами, директивами, национальными и интернациональными нормами, выданная поставщиком (представляется в оригинале); 2) сертификаты безопасности на устройство и/или продукт; 3) техническая документация, которая должна содержать: a) инструкцию по эксплуатации; b) техническое описание устройства и/или продукта; c) описание функций устройства и/или продукта; d) стандарты и нормы, реализованные при внедрении устройства и/или продукта; e) список реализованных криптографических алгоритмов. 10. Инструкция по эксплуатации должна описывать: 1) процедуру установки, настройки, конфигурации, потенциальные сообщения об ошибках; 2) требования к технической части: a) требования к физической составляющей; b) требования к логической составляющей; c) требования по информационной безопасности. 11. Техническое описание устройства и/или продукта должно содержать: 1) определение предназначения, компонентов, функциональности; 2) базовую инфраструктуру, необходимую для функционирования устройства и/или продукта с ее детальным описанием; 3) ссылку на законодательные акты, национальные и интернациональные стандарты; 4) пошаговое описание эксплуатации и структуру журнала аудита, если это предусмотрено производителем/поставщиком соответствующего устройства; 5) изображения, которые служат иллюстрационным примером к тексту. 12. Описание функций устройства и/или продукта должно содержать: 1) описание базовой функциональности устройства и/или продукта в целом и/или по отдельности; 2) описание функциональности интерфейса; 3) описание процедуры применения электронной подписи; 4) описание формата электронной подписи. 13. Устройства и/или продукты представляются для выдачи заключения с пакетом программ, необходимых для обеспечения режима автономного самотестирования в уполномоченном органе. 14. Продукт для электронной подписи представляется для выдачи заключения с устройством создания электронной подписи, имеющим заключение или представленным для выдачи заключения вместе с продуктом, которое содержит закрытый и открытый ключи, сертификат открытого ключа, созданные и выданные в целях тестирования этого продукта. 15. Устройство и/или продукт, для которого запрашивают выдачу заключения, прилагается к заявлению на выдачу заключения. 16. В случае, когда предоставление устройства и/или продукта на выдачу заключения технически невозможно или создает препятствия для деятельности заявителя на выдачу заключения, заявитель обязан обеспечить необходимые условия для исследования устройства и/или продукта представителями уполномоченного органа в помещении, где располагается соответствующее устройство и/или продукт. 17. Приложения к заявлению на выдачу заключения, за исключением декларации о соответствии, могут быть представлены на бумажных носителях или в электронной форме, сопровождаемые результатом хеш-функции (как минимум SHA-1), отдельно для каждого файла из установочного пакета продукта электронной подписи. III. Рассмотрение заявления на выдачу
18. Уполномоченный орган в срок не более 30 рабочих дней от запроса изучает представленные документы, выполняет проверку устройств и/или продуктов и принимает решение о выдаче заключения или отказе в выдаче такового.заключения 19. Срок выдачи заключения может быть продлен один раз не более чем на 30 календарных дней, факт о котором заявитель информируется через телефон и электронную почту, указанные в заявлении на выдачу заключения, в следующих случаях: a) предоставления дополнительных документов заявителем на выдачу заключения; b) заявление относится к большому объему информации. [Пкт.19 в редакции ПСИБ48 от 08.10.18, МО410-415/02.11.18 ст.1608] 20. Уполномоченный орган изучает соответствие представленных документов устройству и/или продукту. В случае, когда документы не предоставлены полностью и/или не отвечают требованиям, установленным в данном Регламенте, заявитель уведомляется посредством контактных телефона и электронной почты, указанных в заявлении на выдачу заключения, о необходимости предоставления недостающих документов в период, не превышающий 15 календарных дней со дня получения уведомления в электронной форме. По требованию поставщика сертификационных услуг уведомление представляется дополнительно в письменном виде. 21. В качестве основания для отказа в выдаче заключения на устройства и/или продукты служит несоответствие требованиям, определенным в данном Регламенте, и/или непредставление необходимых документов в установленные сроки. 22. Решение об отказе в выдаче заключения может быть обжаловано в установленном законом порядке в судебной инстанции. IV. Проверка устройств и/или продуктов
23. После изучения представленных заявителем материалов уполномоченный орган осуществляет проверку устройства и/или продукта.24. Все версии устройств и/или продуктов считаются разными версиями и подлежат изучению отдельно. В этом случае процесс выдачи заключения не может считаться подтверждением совместимости предыдущих версий. 25. Процесс проверки проводится согласно следующим этапам: 1) изучение материалов, представленных заявителем; 2) проверка функциональности устройства и/или продукта; 3) оценка безопасности устройства и/или продукта; 4) проверка реализованных криптографических алгоритмов. V. Принятие решения о выдаче заключения
26. Если устройство и/или продукт соответствует требованиям законодательства в области электронной подписи, уполномоченный орган выдает уведомление в соответствии с приложением к настоящему Регламенту.на устройство и/или продукт 27. Устройство и/или продукт считается имеющим заключение со дня его выдачи. 28. В случае принятия решения об отказе в выдаче заключения уполномоченный орган, в течение 10 календарных дней с момента принятия решения об отказе, письменно сообщает поставщику сертификационных услуг о принятом решении с указанием причин отказа. 29. Решение об отказе в выдаче заключения должно содержать убедительное обоснование и обязательные ссылки на законодательные и нормативные акты, которые были нарушены. 30. Отказ в выдаче заключения не может служить препятствием для повторной подачи документов на выдачу заключения, если были устранены причины, послужившие основанием для отказа. 31. Устройства и/или продукты, которые не имеют заключения уполномоченного органа, не могут быть использованы для создания и/или проверки усиленной квалифицированной электронной подписи. 32. В случае компрометации или появления обоснованных подозрений о несоответствии имеющего заключение устройства и/или продукта установленным требованиям уполномоченный орган вправе отозвать заключение. VI. Рассмотрение заявления о выдаче
33. В случае повреждения или потери заключения поставщику сертификационных услуг в течение 5 рабочих дней, на основании поданного заявления, выдается дубликат заключения.дубликата заключения 34. Уполномоченный орган выдает дубликат заключения после предоставления следующих документов: 1) заявление о выдаче дубликата заключения, подписанное руководителем юридического лица; 2) копия объявления об утрате оригинала заключения, опубликованного в Официальном мониторе Республики Молдова. 35. После рассмотрения заявления о выдаче дубликата заключения составляется аргументированная нота, на основе которой руководитель уполномоченного органа принимает решение о выдаче или отказе в выдаче дубликата. 36. Мотивированное решение об отказе в выдаче дубликата заключения доводится до сведения заявителя в письменном виде в течение 5 рабочих дней. 37. При составлении дубликата заключения на нем делается пометка “Дубликат”. 38. Копия дубликата выданного заключения и все материалы, послужившие основанием для его выдачи, хранятся в уполномоченном органе. VII. Хранение регистрационных документов
39. Материалы, относящиеся к выдаче заключений на устройства и/или продукты, хранятся в Регистре устройств создания и/или проверки электронной подписи и продуктов электронной подписи (далее – Регистр заключений).о выдаче заключений на устройства и/или продукты 40. Регистр заключений хранится в архиве уполномоченного органа в течение срока, предусмотренного законодательством. 41. Уполномоченный орган предоставляет, по заявке уполномоченных лиц и в рамках, предусмотренных законодательством, данные и копии документов из Регистра заключений. VIII. Регистр заключений
42. На основании решения о выдаче заключения на устройство и/или продукт заключению присваивается номер, который вносится в Регистр заключений. В Регистре заключений содержатся документы, указанные в главе II данного Регламента, сопровождаемые копией заключения либо копией отказа в выдаче заключения.43. Номер заключения состоит из 7 цифр aabbccc, из которых: 1) aa – устанавливает уровень в иерархии поставщиков сертификационных услуг, которые запрашивают выдачу заключения на устройства и/или продукты; 2) bb– устанавливает год выдачи заключения на устройство и/или продукт; 3) ccc – устанавливает порядковый номер. 44. В регистре заключений осуществляется хранение и актуализация информации об: 1) устройствах создания электронной подписи; 2) устройствах проверки электронной подписи; 3) устройствах создания и проверки электронной подписи; 4) продуктах электронной подписи. 45. Регистр заключений ведется в соответствии с требованиями, предусмотренными Законом № 71 от 22.03.2007 о регистрах. 46. Аккредитованные поставщики сертификационных услуг в области применения усиленной квалифицированной электронной подписи обязаны в течение 10 дней проинформировать уполномоченный орган об изменениях и дополнениях данных, подлежащих внесению в Регистр заключений. 47. Информация об имеющих заключение устройствах и/или продуктах, а также о тех, заключение на которые было отозвано, публикуется уполномоченным органом на своей официальной web-странице. Приложение к Регламенту процедуры выдачи заключений на устройства создания и/или проверки электронной подписи и продукты для электронной подписи |