«Стаття 8. Центр сертифікації ключів
Закони України - ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС |
Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог статті 6 цього Закону.
Обслуговування фізичних та юридичних осіб здійснюється центром сертифікації ключів на договірних засадах.
Центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника.
Центр сертифікації ключів зобов'язаний:
забезпечувати захист інформації в автоматизованих системах відповідно до законодавства;
забезпечувати захист персональних даних, отриманих від підписувача, згідно з законодавством;
встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувачу;
своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених цим Законом;
своєчасно попереджувати підписувача та додавати в сертифікат відкритого ключа підписувача інформацію про обмеження використання електронного цифрового підпису, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів;
перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів;
забезпечувати цілодобово до
забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
надавати консультації з питань, пов'язаних з електронним цифровим підписом.
Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняються.»
Статтями 4, 8 та 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» [3] від 5 липня 1994 року встановлено, що порядок доступу до інформації в системі та умови обробки інформації в системі визначаються власником системи, за що останній несе відповідальність згідно чинного законодавства, тобто Центр сертифікації ключів несе відповідальність за захист інформації, який він повинен забезпечувати відповідно до Закону «Про електронний цифровий підпис» та законодавства України.
На жаль ні цим Законом, ні іншими нормативними актами України не визначена процедура реєстрації відкритого ключа центру сертифікації ключів у центральному засвідчувальному органі або засвідчувальному центрі. Така процедура є тільки у Регламенті роботи ЦЗО, який є внутрішнім нормативним документом, та загалом потребує більшої деталізації.
«Стаття 9. Акредитований центр сертифікації ключів
Центр сертифікації ключів, акредитований в установленому порядку, є акредитованим центром сертифікації ключів.
Акредитований центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.
Акредитований центр сертифікації ключів має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису.
Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються Кабінетом Міністрів України.»
Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів встановлені Постановою КМУ № 903 [11] від 13 липня 2004 р. Цією Постановою визначена добровільність акредитації Центрів сертифікації ключів (далі - центри), процедура акредитації центру, умови надання центром послуг електронного цифрового підпису, вимоги до його персоналу та захисту інформації у центрі. Серед умов акредитації слід відзначити умову внесення коштів на спеціальний рахунок, відкритий у банківській установі, у розмірі стократної мінімальної заробітної плати для забезпечення відшкодування збитків, які можуть бути завдані підписувачам, користувачам або третім особам внаслідок неналежного виконання акредитованим центром своїх зобов'язань, крім центрів, що надають послуги виключно органам державної влади, що є дискримінаційною умовою по відношенню до інших центрів та незрозуміло з точки зору можливості хоч якогось відшкодування можливих збитків органам державної влади неякісно діючими центрами. У Положенні досить детально описані всі необхідні процедури та умови для забезпечення проходження акредитації та подальшої діяльності центрів, у тому числі визначені права та обов’язки центрів; перелік основних організаційних умов функціонування центрів та документів для акредитації; основні вимоги щодо договорів між центром та підписувачем про надання послуг, у тому числі згоди підписувача на вільну публікацію його сертифікату; вимоги щодо точності часу формування, скасування, блокування та поновлення сертифікатів і встановлений граничний термін блокування сертифікату за запитом підписувача у 2 години; встановлені граничні строки дійсності сертифікатів: для акредитованого центру - 5 років, для підписувача – 2 роки.
< Попередня Наступна >