Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:

Na osnovu člana 33 stav 2 Zakona o elektronskom potpisu ("Službeni list RCG", broj 55/03 i "Službeni list CG", broj 41/10), Ministarstvo za informaciono društvo i telekomunikacije donijelo je

PRAVILNIK

O MJERAMA I POSTUPCIMA ZAŠTITE CERTIFIKATA I PODATAKA VEZANIH ZA POTPISNIKE

(Objavljen u "Sl. listu Crne Gore", br. 61 od 23. decembra 2011)

Član 1

Ovim pravilnikom propisuju se organizacione i tehničke mjere za zaštitu sistema certifikovanja u dijelu zaštite certifikata i kvalifikovanih certifikata, podataka vezanih za potpisnike, kao i uspostavljanje i primjena sistema zaštite pristupa evidenciji certifikata.

Član 2

Odredbe ovog pravilnika kojima se uređuje zaštita certifikata shodno se primjenjuju na vremenski pečat i usluge koje su sa njim povezane, a odredbe kojima se uređuje zaštita kvalifikovanih certifikata shodno se primjenjuju na napredni vremenski pečat i usluge koje su sa njim povezane.

Član 3

Davalac usluga certifikovanja obezbjeđuje kontrolu fizičkog pristupa i smanjenje rizika prilikom pristupa glavnim djelovima sistema certifikovanja.
Davalac usluga certifikovanja obezbjeđuje da:
1) se fizički pristup prostorijama u kojima se obavlja generisanje kvalifikovanih certifikata, priprema sredstava za formiranje naprednih elektronskih potpisa i upravljanje procedurom opoziva certifikata, dozvoli samo ovlašćenim licima;
2) sprovođenje mjera sprječavanja gubitka, oštećenja ili neovlašćenog upada u sistem certifikovanja, doprinese nesmetanom obavljanju poslova;
3) je fizička zaštita sistema certifikovanja obezbijeđena sprovođenjem bezbjednosnih mjera;
4) su sprovedene bezbjednosne mjere i mjere kontrole u cilju zaštite prostora i sistema certifikovanja;
5) su sprovedene bezbjedonosne mjere i mjere kontrole u cilju zaštite uređaja, podataka, memorijskih medija i softvera od neovlašćenog pristupa i njihove krađe;
6) se specifične sigurnosne mjere mogu primjeniti u prostorijama u kojima se omogućava pristup samo ovlašćenim licima.
Pored mjera zaštite sistema certifikovanja iz stava 1 ovog člana, davalac usluga certifikovanja obezbjeđuje i: posebno zaštićenu internu mrežu davaoca usluga certifikovanja; zaštitu osjetljivih podataka; efikasnu i pouzdanu administraciju pristupa sistemu certifikovanja licima koja imaju direktan pristup sistemu u cilju održavanja njegove bezbjednosti, a koja uključuje i upravljanje nalozima korisnika; ograničen pristup informacijama i aplikacijama uz provjeru identiteta ovlašćenih lica; zaštitu bezbjednosno osjetljivih podataka; kontinuirano praćenje funkcionisanja sistema certifikovanja i preduzimanje hitnih mjera (alarmiranja), u slučaju postojanja problema u funkcionisanju sistema certifikovanja.

Član 4

Rad sa računarskom i programskom opremom, davalac usluga certifikovanja povjerava licima sa visokom stručnom spremom i specijalističkim znanjima u rukovanju opremom koja je ugrađena u sistem certifikovanja.
Radi zaštite sistema certifikovanja davalac usluga certifikovanja na osnovu sprovedene procjene rizika, zapošljava lica koja ispunjavaju stručne kvalifikacije za poslove:
1) kontrole fizičkog pristupa računarskoj opremi;
2) ugradnje i konfiguracije programskog rješenja zaštite, kao i sistemsko mijenjanje kriptografskih ključeva;
3) analize rada u svima fazama, evidentiranje i arhiviranje tih podataka i obavještavanje;
4) upravljačke funkcije i operacije otklanjanja problema u funkcionisanju utvrđenih mjera zaštite;
5) izvještavanja o licima koja ne poštuju propisane mjere zaštite.

Član 5

Postupci uspostavljanja i primjene sistema zaštite certifikovanja usklađuju se sa međunarodnim standardima i preporukama koji su dati u Prilogu, koji je sastavni dio ovog pravilnika.

Član 6

Davalac usluga certifikovanja uspostavlja jedinstveni sistem zaštite i bezbjednosti sistema certifikovanja.
Uspostavljanje i održavanje jedinstvenog sistema iz stava 1 ovog člana, davalac usluga certifikovanja vrši u skladu sa internim aktima o sprovođenju zaštite sistema certifikovanja.

Član 7

Davalac usluga certifikovanja primjenjuje odgovarajuće međunarodne standarde, koji se odnose na zaštitu opreme i prostora.
Postupci zaštite sistema certifikovanja, na najsloženijoj opremi (softver, hardver), a koji se mogu sprovesti jedino od strane proizvođača te opreme, vrše se u prisustvu ovlašćenog predstavnika ili zastupnika proizvođača te opreme.

Član 8

U postupku zaštite sistema certifikovanja davalac usluga certifikovanja koristi tehničku i programsku opremu za pružanje usluge certifikovanja koja obezbjeđuje jedinstvenost podataka za provjeru potpisa i utvrđivanje identiteta potpisnika.
Programska oprema iz stava 1 ovog člana ispunjava propisane zahtjeve ako su primijenjeni standardi i bezbjednosni uslovi sistema upravljanja certifikatima, usklađeni sa zahtjevima iz dokumenataCWA (CEN Workshop Agreement)14167-1 i 14167-2, kao i odlukama i preporukamaIETF RFCgrupe.

Član 9

Tehnička i programska oprema koju koristi davalac usluga certifikovanja koji izdaje kvalifikovane certifikate mora imati odgovarajući nivo zaštite, koji ispunjava zahtjeve utvrđene međunarodnim standardima i tehničkim standardomFIPS140-1 (dovoljno visokog nivoa -minimalnog nivoa 3).

Član 10

Davalac usluga certifikovanja koji izdaje kvalifikovane certifikate obezbjeđuje da se proces kriptografije, odnosno generisanja asimetričnih ključeva obavlja u strogo kontrolisanim i bezbjednim uslovima, a naročito da se generisanje asimetričnih ključeva vrši u zaštićenom prostoru od strane ovlašćenih lica (najmanje dva lica), uz ispunjavanje uslova propisanih međunarodnim standardima.
Davalac usluga iz stava 1 ovog člana obezbjeđuje da rezervne kopije sopstvenih privatnih ključeva za formiranje naprednog elektronskog potpisa i kvalifikovanog certifikata imaju isti ili viši nivo bezbjednosnih kontrola, kao i da su kvalifikovani certifikati potpisani naprednim elektronskim potpisom davaoca usluga certifikovanja.

Član 11

Zaštitu tajnosti i integritet asimetričnih privatnih ključeva, obezbjeđuje davalac usluga certifikovanja koji izdaje kvalifikovane certifikate.
Dostupnost asimetričnog javnog ključa koji služi za verifikaciju naprednog elektronskog potpisa svim korisnicima i drugim zainteresovanim licima na način kojim se obezbjeđuje autentičnost javnog ključa, obezbjeđuje davalac usluga certifikovanja koji izdaje kvalifikovane certifikate.
Dostupnost asimetričnog javnog ključa i liste nevažećih certifikata korisnicima i drugim zainteresovanim licima , obezbjeđuje davalac usluga certifikovanja.

Član 12

Centralni računarski sistem davaoca usluga certifikovanja može se koristiti ako ima obezbijeđeno trajno napajanje energijom, dozvoljeni stepen vlažnosti i temperature, dozvoljeni nivo zračenja i druge karakteristike specifične za računarski sistem u funkciji, smješten u prostoru koji posjeduje odgovarajuću protivpožarnu zaštitu i koji je zaštićen od drugih nepogoda.
: