Действует

Зарегистрирован

Министерством юстиции

Республики Молдова

15 июля 2016 года №1124

ПРИКАЗ СЛУЖБЫ ИНФОРМАЦИИ И БЕЗОПАСНОСТИ РЕСПУБЛИКИ МОЛДОВА

от 15 июля 2016 года №70

Об утверждении некоторых нормативных актов в сфере организации деятельности поставщиков сертификационных услуг в области применения электронной подписи

На основании ст.26 ч.(7) и 36 ч.(1) Закона №91 от 29.05.2014 года об электронной подписи и электронном документе (Официальный монитор Республики Молдова, 2014 г., №174-177, ст.397) ПРИКАЗЫВАЮ:

1. Утвердить:

1) Положение о процедуре аккредитации поставщиков сертификационных услуг в области применения электронной подписи (согласно приложению №1);

2) Специальные условия деятельности поставщиков сертификационных услуг в области применения электронной подписи (согласно приложению №2);

3) Положение о государственном контроле в области применения электронной подписи (согласно приложению №3);

4) Регламент поставщика сертификационных услуг в области применения усиленной квалифицированной электронной подписи (согласно приложению №4).

2. Признать утратившими силу:

1) Приказ директора Службы информации и безопасности Республики Молдова №13 от 3.04.2006 "Об утверждении некоторых нормативных актов в сфере организации деятельности центров сертификации открытых ключей", зарегистрирован в Министерстве юстиции в Регистре государственной регистрации нормативных ведомственных актов №425 от 21 июня 2006 года (Официальный монитор Республики Молдова, 2006, №102-105, ст.367);

2) Приказ директора Службы информации и безопасности Республики Молдова №118 от 8.12.2015 "Об утверждении образца свидетельства об аккредитации в области электронной подписи" (Официальный монитор Республики Молдова, 2015, №340-346, ст.2531).

3. Настоящий приказ вступает в силу со дня опубликования в Официальном мониторе Республики Молдова.

Зам. директора Службы информации и безопасности

Александру Балтага

Приложение №1

к Приказу директора Службы информации и безопасности Республики Молдова от 15 июля 2016 года №70

Положение о процедуре аккредитации поставщиков сертификационных услуг в области применения электронной подписи

I. Общие положения

1. Настоящее Положение разработано в соответствии с Законом №91 от 29 мая 2014 г. об электронной подписи и электронном документе и устанавливает процедуру аккредитации поставщиков сертификационных услуг в области применения электронной подписи (далее - поставщики) органом, уполномоченным законом осуществлять разработку и реализацию государственной политики, а также осуществлять контроль в сфере применения электронной подписи - Службой информации и безопасности Республики Молдова (далее - уполномоченный орган).

2. Поставщики сертификационных услуг в области применения усиленной квалифицированной электронной подписи подлежат обязательной аккредитации.

3. Поставщики сертификационных услуг в области применения простой электронной подписи и усиленной неквалифицированной электронной подписи имеют право пройти процедуру аккредитации по своему усмотрению.

II. Представление заявления об аккредитации

4. Для аккредитации поставщик представляет следующие документы:

1) заявление об аккредитации согласно образцу, предусмотренному в приложении №1 к настоящему Положению, в котором указываются:

а) полное наименование юридического лица, месторасположение и организационно-правовая форма;

b) должность, фамилия и имя руководителя юридического лица, номер документа, удостоверяющего личность, идентификационный номер физического лица (IDNP);

с) другая контактная информация (номер телефона, факса, почтовый адрес, е-mail);

2) копии документов об учреждении юридического лица.

5. Поставщик сертификационных услуг в области применения усиленной квалифицированной электронной подписи представляет дополнительно к документам, указанным в пункте 4 данного Положения, следующие документы:

1) банковскую гарантию или страховой полис (только для поставщиков, предоставляющих услуги третьим лицам);

2) Положение о деятельности поставщика, утвержденное руководителем юридического лица;

3) копию приказа руководителя юридического лица о назначении работников поставщика и лиц, уполномоченных подписывать сертификаты открытых ключей, а также копии документов, удостоверяющих личность данных лиц;

4) копии документов, подтверждающих образование и квалификацию ответственных должностных лиц, функциональные обязанности которых непосредственно связаны с предоставлением услуг по сертификации;

5) план-схему помещений и порядок доступа к помещениям специального режима;

6) порядок хранения резервных копий реестра сертификатов открытых ключей;

7) порядок синхронизации с Всемирным координированным временем (UTC);

8) копию лицензии на право осуществления деятельности в сфере криптографической защиты информации (только для поставщиков, предоставляющих услуги третьим лицам).

6. Поставщик, предоставляющий услуги по сертификации открытых ключей третьим лицам, обязан обладать финансовыми ресурсами, необходимыми для возмещения убытков, которые могут быть причинены владельцам сертификатов открытых ключей, пользователям или третьим лицам вследствие невыполнения или ненадлежащего выполнения поставщиком своих обязательств.

7. В целях, указанных в пункте 6 данного Положения, Поставщик в области применения усиленной квалифицированной электронной подписи предоставляет банковскую гарантию или страховой полис в пользу уполномоченного органа на сумму 300 000 леев.

8. Заявление об аккредитации и документы, прилагаемые к нему, составленные на государственном языке, подаются в офис уполномоченного органа руководителем юридического лица или другим уполномоченным лицом. Документы представляются в оригинале или в копиях с предъявлением оригиналов для сверки.

9. Заявление об аккредитации и документы, прилагаемые к нему, принимаются по описи, копия которой направляется (вручается) заявителю с отметкой о дате приема документов, заверенной подписью ответственного лица.

III. Рассмотрение заявления об аккредитации поставщика

10. На основании документов, указанных в пунктах 4 и 5 настоящего Положения, уполномоченный орган в срок до 15 рабочих дней проверяет соблюдение поставщиком сертификационных услуг требований в области электронной подписи.

11. В процессе комплексной проверки уполномоченный орган имеет право проверять подлинность документов, приложенных к заявлению об аккредитации, оценивать информацию относительно процедур безопасности и сертификации, проверять технический и программный комплексы заявителя.

12. Интересы юридического лица, подавшего заявление об аккредитации, представляются руководителем юридического лица или другими лицами, уполномоченными в установленном порядке.

13. На основании результатов проверки заявления об аккредитации и комплексной проверки, уполномоченный орган составляет заключение.

IV. Принятие решения об аккредитации поставщика

14. По результатам комплексной проверки на предмет соблюдения требований в области электронной подписи и на основании составленного заключения руководитель уполномоченного органа принимает решение об аккредитации или об отказе в аккредитации поставщика.

15. В случае принятия решения об аккредитации, поставщику в течение 5 рабочих дней выдается свидетельство об аккредитации согласно образцу, предусмотренному в приложении №2 к настоящему Положению.

16. Решение об отказе в аккредитации должно содержать убедительное обоснование и обязательные ссылки на законодательные и нормативные акты, которые были нарушены. Решение доводится до сведения заявителя в течение 5 рабочих дней.

17. Отказ в аккредитации не может служить препятствием для повторной подачи документов на аккредитацию, если были устранены причины, послужившие основанием для отказа.

18. Решение об отказе в аккредитации может быть обжаловано в административном суде.

19. Поставщик считается аккредитованным со дня выдачи свидетельства об аккредитации.

20. В случае внесения изменений в документы, указанные в пунктах 4 и 5 настоящего Положения, поставщик в течение 10 рабочих дней представляет соответствующие документы уполномоченному органу.

V. Рассмотрение заявления о выдаче дубликата свидетельства об аккредитации

21. В случае утраты свидетельства об аккредитации в течение 5 рабочих дней с момента подачи соответствующего заявления поставщику выдается дубликат свидетельства.

22. Уполномоченный орган выдает дубликат свидетельства об аккредитации при представлении следующих документов:

a) заявление о выдаче дубликата свидетельства об аккредитации, подписанное руководителем юридического лица;

b) копия объявления об утрате оригинала свидетельства об аккредитации, опубликованного в Официальном мониторе Республики Молдова.

23. По результатам рассмотрения заявления о выдаче дубликата свидетельства об аккредитации составляется заключение, на основании которого руководитель уполномоченного органа принимает решение о выдаче или об отказе в выдаче дубликата.

24. Мотивированное решение об отказе в выдаче дубликата свидетельства доводится до сведения заявителя в письменном виде в течение 5 рабочих дней.

25. При составлении дубликата свидетельства об аккредитации на нем делается пометка "Дубликат".

26. Копия выданного дубликата и все материалы, послужившие основанием для его выдачи, прилагаются к досье по аккредитации.

VI. Хранение регистрационных документов об аккредитации поставщиков

27. Материалы, относящиеся к аккредитации поставщиков, хранятся в отдельных досье по аккредитации, в которые вносятся документы, указанные в пунктах 4 и 5 настоящего Положения, в сопровождении свидетельства об аккредитации.

28. В досье по аккредитации вносится и вся последующая корреспонденция с соответствующим поставщиком, а также документы о проведенных проверках.

29. Досье по аккредитации хранятся в архиве уполномоченного органа в течение срока, предусмотренного законодательством.

30. Уполномоченный орган выдает, по заявке уполномоченных лиц и в рамках, предусмотренных законодательством, данные и копии документов из досье по аккредитации.

VII. Регистр центров сертификации открытых ключей

31. На основании решения об аккредитации поставщик получает номер аккредитации, который вносится в Регистр поставщиков сертификационных услуг в области применения электронной подписи (далее - Регистр).

32. Номер аккредитации состоит из 7 цифр aabbccc, из которых:

1) aa - уровень в иерархии поставщика сертификационных услуг;

2) bb - год регистрации;

3) ccc - порядковый номер.

33. Держателем Регистра является уполномоченный орган, регистратором – поставщик сертификационных услуг высшего уровня.

34. В Регистр вносятся и обновляются следующие данные:

1) полное наименование юридического лица, идентификационный номер правовой единицы (IDNO), фискальный код;

2) фамилия, имя и телефон руководителя юридического лица;

3) наименование, номер аккредитации и дата аккредитации поставщика;

4) месторасположение, телефон, факс поставщика;

5) фамилия, имя, телефон, электронный почтовый адрес руководителя и уполномоченных лиц поставщика;

6) данные о внесении изменений и дополнений в документы, указанные в пунктах 4 и 5 настоящего Положения;

7) дата и причины прекращения деятельности подчиненного поставщика;

8) другие технические данные.

35. Регистр ведется в соответствии с требованиями, предусмотренными Законом №71 от 22.03.2007 о регистрах.

36. Поставщики обязаны в течение 10 дней проинформировать уполномоченный орган об изменениях и дополнениях данных, содержащихся в Регистре.

37. Информация об аккредитованных поставщиках, а также о тех, деятельность которых прекращена, публикуется уполномоченным органом на своей официальной web-странице.

 

Приложение №1

к Положению о процедуре аккредитации поставщиков сертификационных услуг в области применения электронной подписи

Образец Службе информации и безопасности Республики Молдова

Заявление

В соответствии с пунктом 4 Положения о процедуре аккредитации поставщиков сертификационных услуг в области применения электронной подписи,

__________________________________________________________________

__________________________________________________________________

               (полное наименование юридического лица, IDNO)

в лице ____________________________________________________________

__________________________________________________________________

__________________________________________________________________

(должность, фамилия, имя руководителя юридического лица, номер удостоверяющего документа, IDNP)

прошу аккредитовать в качестве поставщика сертификационных услуг в области применения _____________________________________ электронной подписи

                                                                                                                   (простой/усиленной неквалифицированной/ усиленной квалифицированной)

со следующими данными:

Наименование поставщика: _____________________________________

__________________________________________________________________

Уровень в иерархической структуре поставщиков: _________________

__________________________________________________________________

Месторасположение: ___________________________________________

__________________________________________________________________

Контактная информация юридического лица:

телефон ___________________________________________________________

факс ______________________________________________________________

почтовый адрес ____________________________________________________

e-mail _____________________________________________________________

"____" _______________ 20___ _____________________

                                                            (подпись)

Приложение №2

Рисунок к Приказу РМ от 15.07.2016 г. №70

Приложение №2

к Приказу директора Службы информации и безопасности Республики Молдова от 15 июля 2016 года №70

Специальные условия деятельности поставщиков услуг по сертификации применения электронной подписи

I. Общие положения

1. Специальные условия деятельности (далее - Специальные условия) поставщиков сертификационных услуг в области применения электронной подписи (далее - поставщики) разработаны в соответствии с положениями Закона №91 от 29 мая 2014 г. об электронной подписи и электронном документе.

2. Специальные условия устанавливают общие требования к поставщикам и их инфраструктуре, организацию основных процедур поставщиков, к системе управления информационной безопасностью, а также специфические мероприятия по регистрации, организации и проверке деятельности поставщиков.

3. Специальные условия являются регламентирующим документом в области электронной подписи и обязательны для всех юридических лиц, оказывающих услуги по сертификации открытых ключей и иные виды услуг, связанных с электронной подписью.

4. В настоящих специальных условиях используются следующие понятия:

пользователь электронной подписи - физическое или юридическое лицо, а также устройство или приложение, использующее услуги поставщика;

идентификация - присвоение субъектам и объектам доступа идентификатора и/или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности;

целостность - достоверность, непротиворечивость и актуальность информации, ее защищенность от разрушения и несанкционированного изменения;

доступность - возможность получить требуемую информацию или информационную услугу в течение удовлетворяющего периода времени;

конфиденциальность - защита информации от несанкционированного разглашения;

средства криптографической защиты информации (СКЗИ) - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам связи;

список отозванных сертификатов - список сертификатов открытых ключей, действие которых приостановлено или прекращено до окончания срока их действия, созданный поставщиком;

техническая и криптографическая защита информации - защита информации с применением специальных математических (криптографических) методов, программных, технических, программно-технических и иных средств, а также организационно-технических процедур;

защита информации от утечки - комплекс мер, направленных на предотвращение неконтролируемого распространения защищаемой информации по техническим и побочным каналам с помощью специальных технических средств;

защита информации от несанкционированного доступа - комплекс мер, направленных на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением прав или правил доступа к защищаемой информации, установленных правовыми документами или собственником (владельцем) информации;

защита информации от непреднамеренного воздействия - комплекс мер, направленных на предотвращение непреднамеренного воздействия на защищаемую информацию вследствие ошибок пользователя, сбоев программно-технических средств, природных явлений или иных причин, не направленных на изменение информации, но приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее утрате, уничтожению или сбою функционирования материального носителя информации;

политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации, технических и программных средств информационных систем.

II. Услуги и процедуры поставщика

5. Поставщик оказывает обязательные и необязательные услуги в области электронной подписи.

6. Обязательной услугой является услуга по сертификации открытых ключей физических лиц.

7. Поставщик может оказывать следующие необязательные услуги:

1) сертификация открытых ключей услуг, предоставляемых в информационной сфере и информационные услуги e-mail, VPN, web и т.д.;

2) наложение метки времени;

3) другие услуги в сфере электронной подписи.

8. В процессе предоставления услуг по сертификации открытых ключей физических лиц поставщик должен обеспечить выполнение следующих процедур:

1) регистрация физического лица;

2) создание (выпуск) сертификата открытого ключа физического лица;

3) приостановление действия сертификата открытого ключа физического лица;

4) возобновление действия сертификата открытого ключа физического лица;

5) отзыв сертификата открытого ключа физического лица;

6) публикация сертификатов открытых ключей;

платный документ

Полный текст доступен после регистрации и оплаты доступа.

ПРИКАЗ СЛУЖБЫ ИНФОРМАЦИИ И БЕЗОПАСНОСТИ РЕСПУБЛИКИ МОЛДОВА Положение о процедуре аккредитации поставщиков сертификационных услуг в области применения электронной подписи I. Общие положения II. Представление заявления об аккредитации III. Рассмотрение заявления об аккредитации поставщика IV. Принятие решения об аккредитации поставщика V. Рассмотрение заявления о выдаче дубликата свидетельства об аккредитации VI. Хранение регистрационных документов об аккредитации поставщиков VII. Регистр центров сертификации открытых ключей Приложение №1 Приложение №2 Специальные условия деятельности поставщиков услуг по сертификации применения электронной подписи I. Общие положения II. Услуги и процедуры поставщика III. Общие требования, предъявляемые к поставщику IV. Требования к основным процедурам поставщика Раздел 1. Требования к процедуре регистрации физического лица Раздел 2. Требования к процедуре сертификации открытого ключа Раздел 3. Требования к процедурам приостановления, возобновления действия и отзыва сертификата открытого ключа Раздел 4. Требования к процедурам публикации сертификатов открытых ключей и распространения информации о приостановленных и отозванных сертификатах открытых ключей V. Требования к инфраструктуре поставщика Раздел 1. Требования к помещениям Раздел 2. Требования к программно-техническому комплексу Раздел 3. Требования к персоналу VI. Требования по управлению информационными ресурсами поставщика Раздел 1. Требования к информационным ресурсам Раздел 2. Требования к архивному хранению информационных ресурсов Раздел 3. Требования по обеспечению доступа к информационным ресурсам VII. Требования по обеспечению безопасности поставщика Раздел 1. Требования к системе безопасности Раздел 2. Требования по обеспечению физической безопасности Раздел 3. Требования по обеспечению безопасности информационных и коммуникационных систем Раздел 4. Требования по использованию средств криптографической защиты информации Раздел 5. Требования по технической защите информации Раздел 6. Требования по обеспечению безопасности информационных ресурсов Раздел 7. Требования по управлению информационной безопасностью поставщика VIII. Проверка деятельности поставщика IX. Создание, реорганизация и ликвидация поставщика Раздел 1. Требования по созданию поставщика Раздел 2. Требования по реорганизации поставщика Раздел 3. Требования по ликвидации центра сертификации Положение о государственном контроле в области применения электронной подписи I. Общие положения II. Контроль в области электронной подписи III. Права и обязанности Комиссии IV. Порядок проведения проверки Регламент Поставщика сертификационных услуг в области применения усиленной квалифицированной электронной подписи I. Общие положения II. Функции, обязанности и права Поставщика высшего уровня III. Организация работы Поставщика высшего уровня Раздел 1. Процедуры Поставщика высшего уровня Раздел 2. Управление закрытым и открытым ключами Поставщика высшего уровня Раздел 3. Информационные ресурсы Поставщика высшего уровня Раздел 4. Средства обеспечения деятельности Поставщика высшего уровня IV. Обеспечение безопасности и защита конфиденциальной информации Раздел 1. Конфиденциальность информации Раздел 2. Инженерно-технические меры защиты информации Раздел 3. Программно-аппаратные меры защиты информации Раздел 4. Организационные меры защиты информации V. Взаимодействие Подчиненных поставщиков и пользователей электронной подписи с Поставщиком высшего уровня Раздел 1. Порядок взаимодействия Подчиненных поставщиков и пользователей усиленной квалифицированной электронной подписи с Поставщиками высшего уровня Раздел 2. Права и обязанности Подчиненных поставщиков при взаимодействии с Поставщиком высшего уровня Раздел 3. Права пользователя усиленной квалифицированной подписи при взаимодействии с Поставщиком высшего уровня VI. Реорганизация и ликвидация Поставщика высшего уровня Приложение №1 Приложение №2 Приложение №3 Приложение №4 Приложение №5 Приложение №6 Приложение №7 Приложение №8 Приложение №9 Приложение №10

Приказ Службы информации и безопасности Республики Молдова от 15 июля 2016 года №70
"Об утверждении некоторых нормативных актов в сфере организации деятельности поставщиков сертификационных услуг в области применения электронной подписи"

О документе

Номер документа:70
Дата принятия: 15/07/2016
Состояние документа:Действует
Регистрация в МинЮсте: № 1124 от 15/07/2016
Начало действия документа:19/07/2016
Органы эмитенты: Государственные органы и организации

Опубликование документа

Официальный монитор Республики Молдова, №215-216, 19 июля 2016 года, Ст.1202.

Примечание к документу

В соответствии с пунктом 3 настоящий Приказ вступает в силу со дня опубликования в Официальном мониторе Республики Молдова - с 19 июля 2016 года