Об утверждении Правил проведения аккредитации удостоверяющих центров

Постановление Правительства Республики Казахстан от 19 ноября 2010 года № 1222

Обновленный

      В соответствии с подпунктом 4) статьи 4 Закона Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила проведения аккредитации удостоверяющих центров.

      2. Настоящее постановление вводится в действие со дня подписания.

Премьер-Министр


Республики Kaзахстан

К. Масимов


  Утверждены
постановлением Правительства
Республики Казахстан
от 19 ноября 2010 года № 1222

Правила
проведения аккредитации удостоверяющих центров
1. Общие положения

      1. Настоящие Правила проведения аккредитации удостоверяющих центров (далее - Правила) разработаны в соответствии с Законом Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" и устанавливают порядок проведения аккредитации удостоверяющих центров.

      2. В настоящих Правилах используются следующие понятия:

      1) уполномоченный орган - государственный орган, осуществляющий руководство в сфере информатизации;

      2) аккредитация удостоверяющего центра (далее - аккредитация) - официальное признание уполномоченным органом компетентности удостоверяющего центра в оказании услуг;

      3) средство криптографической защиты информации (далее - СКЗИ) - средство, реализующее алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами.

      3. Уполномоченный орган организует проведение аккредитации удостоверяющих центров. Аккредитация осуществляется комиссией по аккредитации удостоверяющих центров (далее - комиссия), состав которой определяется уполномоченным органом. Комиссия состоит из представителей уполномоченного органа, уполномоченных органов по обеспечению информационной безопасности (в случае аккредитации удостоверяющих центров, интегрируемых с государственными информационными системами), национальной безопасности и криптографии, стандартизации и метрологии, технического регулирования и технического надзора.

      4. Аккредитация удостоверяющего центра проводится комиссией с целью оценки на соответствие настоящим Правилам юридического лица, подавшего в уполномоченный орган заявление (далее - заявитель), а также требованиям, установленным законодательством Республики Казахстан, и стандартам Республики Казахстан в области электронного документа и электронной цифровой подписи.

2. Порядок проведения аккредитации

      5. Аккредитация осуществляется комиссией на основании заявления. Заявитель для получения свидетельства об аккредитации (далее - свидетельство об аккредитации) представляет в уполномоченный орган следующие документы:

      1) заявление на выдачу свидетельства об аккредитации согласно приложению 1 к настоящим Правилам;

      2) исключен постановлением Правительства РК от 07.09.2016 № 523 (вводится в действие со дня его первого официального опубликования);

      3) копии лицензий и/или сертификаты на используемые программные средства несвободного распространения, а также документы, подтверждающие авторские права, в случае собственной разработки;

      4) аттестат соответствия удостоверяющего центра требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, в случае интеграции аккредитуемого удостоверяющего центра с государственными информационными системами;

      5) схема взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной цифровой подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной цифровой подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденные заявителем;

      6) перечень утвержденных нормативно-технических документов, регламентирующих:

      политику информационной безопасности удостоверяющего центра;

      регламент или правила деятельности удостоверяющего центра;

      политику применения регистрационных свидетельств;

      положение об удостоверяющем центре;

      инструкцию по действиям работников, осуществляющих работы от лица заявителя непосредственно участвующих в работах по сопровождению, администрированию, выпуску регистрационных свидетельств удостоверяющего центра (далее - ответственных лиц) во внештатных, кризисных ситуациях;

      инструкцию о резервном копировании информационных ресурсов удостоверяющего центра;

      инструкцию по установке и настройке программного обеспечения удостоверяющего центра;

      7) сертификат соответствия на используемые СКЗИ по СТ РК 1073-2007, которые применяется в данном удостоверяющем центре и его пользователями.

      Сноска. Пункт 5 с изменениями, внесенными постановлениями Правительства РК от 21.05.2013 № 507 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования); от 07.09.2016 № 523 (вводится в действие со дня его первого официального опубликования).

       6. Заявитель обеспечивает функционирования удостоверяющего центра согласно регламенту или правилам деятельности, которые описывают все предоставляемые сервисы удостоверяющего центра.

      Политика применения регистрационных свидетельств должна описывать область применения, структуру и жизненный цикл регистрационных свидетельств.

      7. Заявление рассматривается в течение тридцати календарных дней со дня его предоставления.

      Срок рассмотрения заявления может быть продлен на тридцать календарных дней в случае повторного выезда комиссии в удостоверяющий центр для обследования, о чем сообщается заявителю в течение трех рабочих дней с момента продления срока рассмотрения. Уполномоченный орган направляет мотивированное письмо заявителю с указанием причин продления срока.

      8. Рассмотрение заявления состоит из следующих этапов:

      1) обследование комиссией заявителя на соответствие настоящим Правилам;

      2) выдача уполномоченным органом свидетельства об аккредитации удостоверяющего центра по установленной форме согласно приложению 2 к настоящим Правилам.

      9. При обследовании заявителя определяется:

      1) совместимость используемых СКЗИ, применяемых в проверяемом удостоверяющем центре с Корневым удостоверяющим центром Республики Казахстан;

      2) построение и проверка цепочки регистрационных свидетельств от регистрационного свидетельства Корневого удостоверяющего центра Республики Казахстан до регистрационного свидетельства пользователя удостоверяющего центра (далее - клиент) с использованием СКЗИ удостоверяющего центра;

      3) наличие объектных идентификаторов, зарегистрированных уполномоченным органом, в регистрационных свидетельствах выпускаемых удостоверяющим центром;

      4) механизм построения и проверки цепочек регистрационных свидетельств электронной цифровой подписи;

      5) зарегистрированные объектные идентификаторы (OID);

      6) серверное помещение;

      7) используемые каналы связи;

      8) процедура синхронизации времени аккредитуемого удостоверяющего центра с комплексом технических средств, обеспечивающих периодическую передачу цифровой информации о значении текущего времени от эталона единицы времени Республики Казахстан, спутниковых глобальных систем позиционирования, общепризнанных международных источников (далее - система точного времени);

      9) единое учетно-отчетное время аккредитуемого удостоверяющего центра в соответствии с Законом Республики Казахстан от 5 июля 2004 года "О связи";

      10) услуги, предоставляемые удостоверяющим центром;

      11) инфраструктура удостоверяющего центра (центр сертификации и центры регистрации);

      12) наличие резервного сервера;

      13) доступ к списку отозванных регистрационных свидетельств;

      14) требования к серверному помещению:

      наличие бесперебойного источника питания;

      наличие системы кондиционирования;

      серверы должны находиться в нежилом помещении;

      оборудование серверного помещения должно быть соединено с главным электродом системы заземления здания кондуитом размером не менее 1,5 см;

      высота потолка серверного помещения должна составлять не менее 2,44 метра;

      система автоматического оповещения и пожаротушения;

      ограниченный доступ в серверное помещение, контроль доступа;

      наличие прошнурованного журнала проводимых работ в серверном помещении.

      10. По завершению обследования составляется акт о результатах обследования в двух экземплярах, в котором указываются фактическое состояние удостоверяющего центра, выводы и рекомендации.

      Акт о результатах обследования подписывается всеми членами комиссии. В случае, если член комиссии не согласен с принятым решением и не подписывает акт обследования, он информирует уполномоченный орган с обоснованием причин.

      Акт обследования считается принятым при наличии двух третей подписей членов комиссии.

      Один экземпляр акта о результатах обследования выдается заявителю.

      11. В соответствии с актом о результатах обследования уполномоченный орган принимает решение о выдаче (отказе в выдаче) свидетельства об аккредитации удостоверяющего центра сроком действия на три года.

      Уполномоченный орган ведет реестр выданных свидетельств аккредитаций удостоверяющих центров.

      12. В выдаче свидетельства об аккредитации удостоверяющего центра отказывается в случаях, предусмотренных пунктом 2 статьи 19-1 Закона Республики Казахстан от 15 апреля 2013 года "О государственных услугах".

      Сноска. Пункт 12 в редакции постановления Правительства РК от 07.09.2016 № 523 (вводится в действие со дня его первого официального опубликования).

      13. В случае отказа в выдаче свидетельства об аккредитации, уполномоченный орган направляет официальное уведомление заявителю с обоснованием причин отказа в срок не более пяти рабочих дней со дня окончания срока, установленного пунктом 7 настоящих Правил.

      14. На основании свидетельства об аккредитации заявитель обращается в Корневой удостоверяющий центр Республики Казахстан для прохождения регистрации (перерегистрации) регистрационного свидетельства удостоверяющего центра.

  Приложение 1
к Правилам проведения
аккредитации удостоверяющих
центров

Заявление
на выдачу свидетельства об аккредитации удостоверяющего центра

      _____________________________________________________________________

      (наименование заявителя, юридический адрес, телефон)

      просит выдать свидетельство об аккредитации _________________________

      _____________________________________________________________________

      (наименование удостоверяющего центра)

      Дата "___" _______________ 20__ г.

      Руководитель _______________ _______________

       (подпись) (имя, фамилия)

      МП

  Приложение 2
к Правилам проведения
аккредитации удостоверяющих
центров

      Сноска. Приложение 2 с изменениями, внесенными постановлениями Правительства РК от 19.09.2014 № 995; от 16.06.2016 № 353.

Свидетельство
об аккредитации удостоверяющего центра № ____

      Настоящее свидетельство выдано: ______________________________,

       (наименование юридического лица)

      расположенного по адресу:___________________________________________,

      (адрес юридического лица)

      решением комиссии по аккредитации удостоверяющих центров Министерства

      информации и коммуникаций Республики Казахстан признать

      ______________________________

      _____________________________________________________________________

      (наименование юридического лица)

      аккредитованным в соответствии с Правилами проведения аккредитации

      удостоверяющих центров, на основании протокола от "___" ____________ 20__ года, №____.

      Срок действия настоящего свидетельства об аккредитации

      удостоверяющих центров составляет 3 года со дня выдачи и действует на

      всей территории Республики Казахстан.