Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:

Na osnovu člana 7. stav 2., člana 11. stav 4. i člana 32. stav 2. Zakona o elektronskom potpisu Republike Srpske ("Službeni glasnik Republike Srpske", broj 59/08) i člana 82. stav 2. Zakona o republičkoj upravi ("Službeni glasnik Republike Srpske", br. 118/08 i 11/09), ministar nauke i tehnologije donosi

PRAVILNIK

O MJERAMA ZAŠTITE ELEKTRONSKOG POTPISA I KVALIFIKOVANOG ELEKTRONSKOG POTPISA, NAJNIŽEM IZNOSU OBAVEZNOG OSIGURANjA I PRIMJENI ORGANIZACIONIH I TEHNIČKIH MJERA ZAŠTITE CERTIFIKATA

(Objavljen u "Sl. glasniku RS", br. 88 od 6. oktobra 2009, 127/11)

Član 1.

Ovim pravilnikom utvrđuju se mjere, postupci i oblici zaštite elektronskog potpisa i kvalifikovanog elektronskog potpisa, sredstava za izradu elektronskog potpisa, zaštite sistema certifikacije i podataka o potpisnicima, postupci provjere identiteta potpisnika prilikom davanja elektronskih certifikata, kao i najniži iznos obaveznog osiguranja izražen u novcu za koju se osigurava rizik od odgovornosti za štete koji se kod pružalaca usluga certifikacije koji izdaju kvalifikovane certifikate pojavljuje kao obavezno osiguranje.

Član 2.

(1) Potpisnik izrađuje i koristi elektronski potpis i kvalifikovani elektronski potpis, u skladu sa opštim uslovima sadržanim u čl. 12. i 17. Zakona o elektronskom potpisu Republike Srpske (u daljem tekstu: Zakon) i ovom pravilniku.
(2) Potpisnik u slučajevima korišćenja usluga certifikacije izrađuje i koristi elektronski potpis i u skladu sa uslovima koje je prihvatio od certifikacionog tijela.

Član 3.

(1) Podaci za izradu elektronskog potpisa čine sastavni dio elektronskog potpisa.
(2) Potpisnik je dužan da zaštiti podatke za izradu elektronskog potpisa od neovlašćenog pristupa, otuđivanja i nepravilne upotrebe. Zaštita se mora dodatno sprovoditi primjenom lozinke, biometričkim tehnikama ili drugim tehnologijama zaštite.

Član 4.

(1) Podaci za izradu elektronskog potpisa moraju se u potpunosti razlikovati od podataka za ovjeru elektronskog potpisa.
(2) Postupak izrade elektronskog potpisa ne smije izmijeniti podatke koji se potpisuju niti spriječiti prikaz tih podataka potpisniku prije čina potpisivanja.
(3) Potpisnik u elektronski potpis ugrađuje osnovne podatke o postupku, algoritmu i sadržaju potpisa kako bi primalac (korisnik elektronskog potpisa) mogao ovjeriti potpis na osnovu iste ili odgovarajuće tehnologije i postupaka.
(4) Kvalifikovani elektronski potpis mora se izrađivati primjenom standardizovanih algoritama iz grupeRSA (rsagen1) iliDSA (dsagen1).
(5) Kod izrade kvalifikovanog elektronskog potpisa obavezno se ugrađuje i funkcija kriptovanja (maskiranja) sadržaja koji se potpisuje (hashfunkcija). Algoritmi koji se primjenjuju u sprovođenjuhashfunkcije moraju biti iz grupeSHA-1 (Secure Hash Algorithm) odnosnoRIPEMD160.

Član 5.

(1) Korisnik elektronskog potpisa sprovodi ovjeru elektronskog potpisa u skladu sa uputstvima potpisnika.
(2) Ako je uz potpis ugrađen i certifikat, ovjeru sprovodi u skladu sa uputstvima certifikacionog tijela koje je izdalo certifikat, odnosno drugog certifikacionog tijela koje punopravno odgovara i priznaje certifikat.
(3) Korisnik prilikom ovjere kvalifikovanog elektronskog potpisa mora provjeriti uz podatke o potpisniku i:
a) podatke o certifikacionom tijelu koje izdaje kvalifikovane certifikate,
b) rok valjanosti kvalifikovanog certifikata,
v) valjanost upisa u registru izdatih kvalifikovanih certifikata i
g) nepostojanje u registru opozvanih certifikata.

Član 6.

(1) Potpisnik je dužan zaštititi sredstvo za izradu elektronskog potpisa od neovlašćenog pristupa, krađe i oštećivanja.
(2) U slučajevima kada sredstvo za izradu elektronskog potpisa sadrži i certifikat, te elektronski potpis certifikacionog tijela koje je izdalo certifikat, potrebno je sredstvo za izradu elektronskog potpisa uskladiti sa zahtjevima za zaštitu i sigurnost terminalne opreme za izradu kvalifikovanog elektronskog potpisa.
(3) Usklađivanje iz stava 2. ovog člana mora se sprovoditi primjenom zajedničkih međunarodnih obrazaca zaštite sredstava za izradu kvalifikovanog elektronskog potpisa od kojih se primjenjuju sljedeći:
a)ISO/IEC15408-1:1999 - opšti sistem mjera zaštite uređaja i opreme koji su zajednički prihvatili međunarodno (ISO) i evropsko (IEC) tijelo u domenu standardizacije kojim je definisan skup uslova za funkcionalnost i sigurnost sredstava za izradu elektronskih potpisa u dokumentu -Common Criteria 2.1 (for Information Technology Security Evaluation)u sekcijiEAL 4+ (5) - (Evaluation Assurance Level)kojom se posebno utvrđuju bezbjednosti zahtjevi na najvišem nivou kojima mora odgovarati djelovanje sredstava za izradu kvalifikovanih elektronskih potpisa (SOF-high),
b)CEN/ISSS SSCD-PP (Secure Signature Creation Device- Protection Profile)- opšti obrazac zaštite sredstava koji je Evropska unija prihvatila na osnovu preporuka sadržanih u Direktivi o elektronskom potpisu (Directive1999/93) u dodatkuIIkojim se detaljno opisuju zahtjevi koje mora ispunjavati sredstvo za izradu kvalifikovanog elektronskog potpisa kroz dokumentCWA (CEN Workshop Agreement)14169 i
v) opšti obrazac za bezbjednost kriptografskih modulaFIPS140-1, nivo 1, poželjno 2. (američko tijelo za standardizacijuNational Institute of Standards and Technology - Federal Information Processing Standard).

Član 7.

(1) Kod izrade kvalifikovanog elektronskog potpisa, kada se primjenjuje sistem dva (par) kriptografska ključa, dužina ključa za izradu kvalifikovanog elektronskog potpisa mora biti dužine najmanje 2048 bita, uz primjenu kriptografskih algoritama iz klaseRSA/DSA i uskla|eno sa me|unarodnim standardom PKCS#1 (verzija 2.1 i vi{e).
: 51;2:(2) Kriptografski moduli moraju se zasnivati na algoritmima i parametrima koji ~ine radno okru`ewe izrade kvalifikovanog elektronskog potpisa na osnovu trenutno va`e}ih obrazaca ugra|enih u dokumentu Algorithms and Paramaters for Secure Electronic Signatures(verzija 2.1, 2001-10), koji za potrebe Evropske unije izrađujeEESSI/SG (European Electronic Signatures Standardisation Inititiative/Steering Group).
(3) Kod ugrađivanja kriptografskih algoritama u sredstvo za izradu kvalifikovanog elektronskog potpisa potrebno je osigurati modularnost kojom se omogućava naknadno ugrađivanje novih algoritama.

Član 8.

(1) Programska oprema kojom se sprovodi ovjera elektronskog potpisa mora u potpunosti onemogućiti mogućnost otkrivanja podataka za izradu elektronskog potpisa pomoću podataka za ovjeru istog.
(2) Programska oprema koja generiše podatke za izradu elektronskog potpisa mora zaštititi te podatke od neželjenog ili neovlašćenog pristupa