Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:


Na osnovu člana 12 stav 2 Zakona o elektronskom potpisu ("Službeni list RCG", broj 55/03 i "Službeni list RCG", broj 41/10), Ministarstvo za informaciono društvo i telekomunikacije donijelo je

PRAVILNIK

O MJERAMA ZAŠTITE ELEKTRONSKOG POTPISA I NAPREDNOG ELEKTRONSKOG POTPISA

(Objavljen u "Sl. listu Crne Gore", br. 61 od 23. decembra 2011)

Član 1

Ovim pravilnikom propisuju se mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa, mjere provjere identiteta potpisnika od strane potpisnika ili davaoca usluga certifikovanja u Crnoj Gori, tehničko-tehnološki postupci za izradu naprednog elektronskog potpisa i uslovi koje treba da ispune sredstva za izradu naprednog elektronskog potpisa.

Član 2

Odredbe ovog pravilnika shodno se primjenjuju na vremenski pečat i napredni vremenski pečat.

Član 3

Mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa, postupci za izradu naprednog elektronskog potpisa, uslovi koje treba da ispunjavaju sredstva za izradu i provjeru naprednog elektronskog potpisa, usklađuju se sa međunarodnim standardima datim u Prilogu, koji je sastavni dio ovog pravilnika.

Član 4

Radi zaštite elektronskog potpisa i naprednog elektronskog potpisa od neovlašćenog pristupa, krađe i oštećenja, potpisnik koristi lozinke,PINkodove, i druge vrste zaštite elektronskog potpisa.

Član 5

Ako potpisnik izgubi ili mu je otuđeno sredstvo za izradu elektronskog potpisa i u slučaju kada je onemogućen pristup podacima za izradu elektronskog potpisa, potpisnik obaviještava davaoca usluga certifikovanja i podnosi zahtjev za opoziv ili suspenziju certifikata.
Zaštita iz člana 3 stav 1 ovog člana, vrši se primjenom mjera u skladu sa Uredbom o mjerama informacione bezbjednosti ("Službeni list CG", broj 58/10).

Član 6

Čuvanje i zaštita podataka za izradu naprednog elektronskog potpisa davaoca usluga certifikovanja sprovodi se uz primjenu:
1) sredstava za izradu naprednog elektronskog potpisa u skladu sa američkim standardimaFIPS140-1 (koje je utvrdilo tijelo za standardizaciju:National Institute of Standards and Technologv - Federal Information Processing Standards), dovoljno visokog nivoa - ne nižeg od nivoa 3 ili standardomFIPS140-2 koji omogućavaju rad sa podacima za izradu elektronskog potpisa;
2) podataka za izradu potpisa primjenomRSAiliDSAalgoritma dužine najmanje 2048 bita, odnosno odgovarajućeg nivoaElliptic Curve algoritma, SHA1iliSHA-2 (SHA-224, SHA-256, SHA-384 i SHA-512);
3) kriptografskih algoritama (3DESalgoritma - 128 bitni iliAEStehnika) radi zaštite pristupa podacima.
Podatke za izradu elektronskog potpisa, davalac usluga certifikovanja štiti u skladu sa utvrđenim pravilima i međunarodnim standardima u cilju sprečavanja fizičkog ili elektronskog pristupa od strane neovlašćenih lica.

Član 7

Davalac usluga certifikovanja obezbijeđuje jedinstvenost podataka radi provjere elektronskog potpisa na način koji omogućava identifikaciju potpisnika.

Član 8

Potpisnik u elektronski potpis i napredni elektronski potpis unosi osnovne podatke o sadržaju, načinu i postupku izrade elektronskog potpisa, kako bi primalac mogao da izvrši provjeru potpisa.
Radi provjere identiteta, primalac prilikom provjere elektronskog potpisa i naprednog elektronskog potpisa kod davaoca usluga certifikovanja provjerava da li je certifikat na listi nevažećih (opozvanih, suspendovanih ili isteklih) certifikata.

Član 9

Davalac usluga certifikovanja koji prikuplja podatke za izradu elektronskih potpisa podatke o potpisnicima i podatke o poslovnim subjektima prikuplja, čuva, koristi i briše u skladu sa propisima kojima se uređuje zaštita ličnih podataka i podataka o poslovnim subjektima.

Član 10

Korisnici elektronskog potpisa ili naprednog elektronskog potpisa mogu od davaoca usluga certifikovanja zatražiti provjeravanje podataka na osnovu kojih se vrši provjera elektronskog potpisa.
Korisnici elektronskog potpisa ili naprednog elektronskog potpisa u slučaju iz stava 1 ovog člana, podnose zahtjev davaocu usluga certifikovanja lično ili u elektronskoj formi, ako je zahtjev elektronski potpisan od strane podnosioca zahtjeva.

Član 11

Podatke za izradu sopstvenog elektronskog potpisa, davalac usluga certifikovanja raspoređuje na najmanje dva lica koja izrađuju elektronski potpis.
Prilikom izrade naprednog elektronskog potpisa ne može se vršiti izmjena podataka koji se potpisuju i onemogućiti njihovo dostavljanje potpisniku prije potpisivanja.
Sadržina elektronskog potpisa se usklađuje sa međunarodnim standardima koji se odnose na izradu i upotrebu elektronskog potpisa i naprednog elektronskog potpisa.

Član 12

Prilikom izrade naprednog elektronskog potpisa u slučaju primjene sistema asimetrične kriptografije, dužina ključa za izradu naprednog elektronskog potpisa mora biti najmanje 1024 bita, uz primjenu kriptografskih algoritama iz grupeRSA/DSAi usklađena sa međunarodnim standardomPKCStaraba1(Verzija 2.1 na više).
Kriptografski moduli zasnivaju se na algoritmima i parametrima koji predstavljaju radno okruženje za izradu naprednog elektronskog potpisa u skladu sa obrascima koje sadrži dokument - Algoritmi i parametri sigurnog elektronskog potpisa(Algorithms and Parameters for Secure Electronic Signatures)- verzija 2.1, 2001-10 ili novija.

Član 13

Sredstva za izradu naprednog elektronskog potpisa, koja sadrže podatke za izradu naprednog elektronskog potpisa treba da ispunjavaju međunarodne zahtjeve za zaštitu i sigurnost opreme neophodne za izradu naprednog elektronskog potpisa, kao i da primjenjuju jedan od sljedećih obrazaca za zaštitu sredstava za izradu naprednog elektronskog potpisa:
- opšti obrazac zaštite sredstava za izradu naprednog elektronskog potpisa -CEN/ISSS SSCD-PP (Secure Signature Creation Device-Protection Profile);
- opšti obrazac za sigurnost kriptografskih modulaFIPS140-1, minimalnog nivoa 3, iliFIPS140-2, minimalnog nivoa 3 (američko tijelo za standardizaciju -