13.02.2018 року набули чинності зміни до Регламенту роботи Засвідчувального центру Національного банку України, що були затверджені Постановою Правління НБУ від 08.09.2014  № 553 Про затвердження Змін до Регламенту роботи Засвідчувального центру Національного банку України

ЗАТВЕРДЖЕНО Постанова ПравлінняНаціонального банку України05 лютого 2018 року № 8

Зміни до Регламенту роботи Засвідчувального центру Національного банку України

1. У пункті 6 розділу I слова та цифри “(далі – договір про надання послуг) у двох примірниках – по одному для кожної зі сторін. Зразок договору для Центру банку наведено в додатку 1 до цього Регламенту, зразок договору для Центру, що є окремою юридичною особою, наведено в додатку 2 до цього Регламенту” виключити.

2. В абзаці четвертому пункту 2 розділу ІІ слова “/дублікатів свідоцтв” виключити.

3. У пункті 14 розділу III слово “Єдина” виключити.

4. У розділі IV:

1) у пункті 2 слова “(e-mail) та електронної пошти Національного банку України” виключити;

2) абзац четвертий пункту 5 виключити.

У зв’язку з цим абзаци п’ятий – дев’ятий уважати відповідно абзацами четвертим – восьмим;

3) абзац четвертий пункту 8 виключити.

У зв’язку з цим абзац п’ятий уважати абзацом четвертим.

5. У розділі VI:

1) у пункті 6:

в абзаці другому слова та цифру “, про видачу дубліката свідоцтва про реєстрацію/акредитацію Центру в Засвідчувальному центрі (додаток 9)”

виключити;

абзаци третій – п’ятий виключити.

У зв’язку з цим абзац шостий уважати абзацом третім;

2) в абзаці другому пункту 7 слово “плановою” виключити.

6. У розділі VII:

1) пункт 6 виключити.

У зв’язку з цим пункти 7 – 22 уважати відповідно пунктами 6 – 21;

2) абзац перший пункту 6 викласти в такій редакції:

“Довжина особистих ключів Центру має бути:”.

7. Розділи IX – XI викласти в такій редакції:

“IX. Порядок подання документів до Засвідчувального центру для проведення регламентних процедур та їх опрацювання

1. Центр для проведення регламентних процедур подає до Національного банку України документи, передбачені цим Регламентом, у письмовій формі (увигляді паперових чи електронних документів).

Уповноважена особа Центру підписує електронні документи з використанням електронного цифрового підпису, що відповідно до ЗаконуУкраїни “Про електронний цифровий підпис” прирівнюється до власноручного.

2. Центр разом із документами для проведення регламентних процедур подає (одноразово або в разі виникнення змін) до Національного банку України:

1) оригінал(и) або засвідчену(і) в установленому порядку копію(ї)

документа(ів), що підтверджує(ють) повноваження заявника, керівника/заступника(ів) керівника Центру представляти інтереси Центру вЗасвідчувальному центрі;

2) засвідчені в установленому порядку копії паспортів заявника, керівника/заступника(ів) керівника Центру.

3. Зареєстрований/акредитований Центр у разі призначення додаткового заявника, заступника(ів) керівника Центру або зміни заявника,керівника/заступника(ів) керівника Центру зобов’язаний повідомити про цеЗасвідчувальний центр протягом семи календарних днів шляхом подання доЗасвідчувального центру документів, передбачених у пункті 2 розділу IX цьогоРегламенту.

4. Засвідчувальний центр приймає заяви про реєстрацію/акредитацію Центру в разі виконання таких умов:

1) виконані умови пункту 6 розділу I цього Регламенту;

2) подані всі документи, визначені цим Регламентом, для здійснення зазначених процедур.

5. Усі заяви мають бути заповнені українською мовою, розбірливо,друкованими літерами, без виправлень. Засвідчувальний центр не приймає нарозгляд документи, що містять виправлення, дописки, закреслені слова, написи,а також пошкодження, унаслідок яких їх текст не можна прочитати.

6. Засвідчувальний центр виконує процедуру встановлення особи керівника/заступника(ів) керівника, заявника Центру під час опрацюваннядокументів, поданих Центром для проведення регламентних процедур, запаспортом або іншим документом, що посвідчує особу.

7. Підставою для оброблення персональних даних у Засвідчувальному центрі є згода суб’єктів персональних даних на оброблення їх персональнихданих. Така згода оформляється у вигляді письмового дозволу на обробленняперсональних даних, у якому задокументовано добровільне волевиявленняфізичних осіб щодо надання дозволу на оброблення їх персональних даних.

Дозвіл суб’єктів персональних даних на оброблення їх персональних даних у Засвідчувальному центрі Національного банку України оформляється згідно здодатком 8 до цього Регламенту. Дозвіл на оброблення персональних данихнадають ті суб’єкти персональних даних, чиї персональні дані впершепередаються до Засвідчувального центру для проведення відповідноїрегламентної процедури. Заявник Центру забезпечує подання доЗасвідчувального центру дозволу на оброблення персональних даних разом із

відповідною заявою.

8. Засвідчувальний центр зобов’язаний узяти на облік усі документи, що були подані Центром під час проведення всіх регламентних процедур, шляхомформування справи Центру та внесення необхідних даних Центру до реєструЗасвідчувального центру.

9. Засвідчувальний центр перевіряє повноту комплекту поданих Центром

документів для проведення відповідної регламентної процедури, правильність їх оформлення і відповідність законодавству України у сфері електронного

цифрового підпису.

10. Засвідчувальний центр за результатом розгляду поданих документів

відмовляє в проведенні відповідної регламентної процедури, якщо:

1) немає необхідних для проведення цієї регламентної процедури

документів;

2) подано неналежним чином засвідчені копії документів;

3) установлено невідповідність даних, що зазначені в поданих документах,

фактичним.

11. Засвідчувальний центр у разі відмови в проведенні регламентної

процедури повертає подані Центром документи та надає мотивовану відмову в

проведенні регламентної процедури.

12. Центр подає до Засвідчувального центру такі види документів:

1) засвідчені копії паперових документів;

2) оригінали паперових документів;

3) оригінали електронних документів.

13. Засвідчувальний центр у разі подання засвідченої копії чи оригінала паперового документа зобов’язаний:

1) перевести засвідчену копію чи оригінал паперового документа в електронний вигляд шляхом сканування;

2) унести до бази даних електронний варіант відсканованої копії документа;

3) підшити копії паперового документа у справу.

14. Засвідчувальний центр в разі подання електронного документа зобов’язаний унести до бази даних електронний документ.

15. Адміністратор реєстрації Засвідчувального центру зобов’язаний зберігати справи Центрів у сейфі/ящику/шафі, що надійно замикається і доякого(ї) не мають доступу сторонні особи, та несе особисту відповідальність заїх надійне зберігання.

16. Центр протягом трьох робочих днів зобов’язаний подати заяву про

внесення змін до даних Центру в разі зміни даних Центру, які внесені до реєстру

Засвідчувального центру. Центр разом із заявою про внесення змін до даних

Центру подає заяву про скасування сертифіката(ів) ключа(ів) Центру в Засвідчувальному центрі та заяву про формування нового сертифіката ключаЦентру в Засвідчувальному центрі, якщо дані, які змінюються, унесені досертифіката ключа Центру. Разом із заявою Центр зобов’язаний податидокументи, що підтверджують ці зміни. Строк розгляду заяви про внесення зміндо даних Центру та супровідних документів становить не більше семи робочихднів від дати їх прийняття. Засвідчувальний центр здійснює порівняння даних

Центру, наведених у заяві про внесення змін до даних Центру, з даними, що містяться в копіях документів, які підтверджують ці зміни.

Засвідчувальний центр має право скасувати реєстрацію/акредитацію Центру в разі неотримання від Центру зазначеної заяви та супровіднихдокументів протягом трьох робочих днів із дати зміни даних Центру.

17. Засвідчувальний центр зобов’язаний здійснити порівняння даних Центру, наведених у заяві про формування сертифіката ключа Центру вЗасвідчувальному центрі, з даними, що містяться в копіях документів, якіпідтверджують ці зміни, якщо формування нового сертифіката ключавідбувається у зв’язку зі зміною даних Центру, які внесені до реєстру

Засвідчувального центру.

X. Реєстрація Центру

1. Центр для здійснення реєстрації в Засвідчувальному центрі зобов’язаний подати такі документи:

1) заяву про реєстрацію Центру в Засвідчувальному центрі;

2) засвідчену в установленому порядку копію документа, що підтверджує створення Центру;

3) засвідчені в установленому порядку копії документів про призначеннякерівника Центру, заступника(ів) керівника Центру, відповідальних осіб Центру;

4) засвідчену в установленому порядку копію положення, у якому визначаються функціональні обов’язки відповідальних осіб Центру;

5) документи, передбачені пунктом 2 розділу IX цього Регламенту;

6) засвідчену в установленому порядку копію регламенту роботи Центру;

7) засвідчену в установленому порядку копію порядку синхронізації із всесвітнім координованим часом;

8) фразу-пароль для блокування сертифіката ключа по телефону (у запечатаному конверті, на якому надруковано адресу Центру та телефони длязв’язку).

2. Строк розгляду заяви про реєстрацію Центру в Засвідчувальному центрі становить не більше десяти робочих днів від дати її прийняття.

3. Засвідчувальний центр після подання заявником Центру документів проводить реєстрацію Центру в такому порядку:

1) опрацьовує подані документи згідно з вимогами, визначеними в розділіIX цього Регламенту;

2) приймає рішення про реєстрацію/відмову в реєстрації Центру в Засвідчувальному центрі;

3) в разі ухвалення рішення про реєстрацію Центру в Засвідчувальномуцентрі формує унікальне розпізнавальне ім’я Центру згідно з вимогами,визначеними розділом XIII цього Регламенту, та вносить до реєструЗасвідчувального центру дані Центру із зазначенням дати та номера відповідногорішення про реєстрацію.

4. Засвідчувальний центр формує свідоцтво про реєстрацію Центру в Засвідчувальному центрі за формою, визначеною в додатку 7 до цьогоРегламенту у вигляді паперового або електронного документа та подає йогоЦентру протягом десяти робочих днів від дати внесення до реєструЗасвідчувального центру запису про реєстрацію Центру.

5. Центр є зареєстрованим із дати внесення до реєстру Засвідчувального центру даних про реєстрацію Центру.

XI. Акредитація Центру

1. Центр для одержання статусу акредитованого має бути зареєстрованим Центром у Засвідчувальному центрі і відповідати вимогам, установленим цимРегламентом, Законом України “Про електронний цифровий підпис” та іншиминормативно-правовими актами України у сфері електронного цифрового підпису.

2. Центр для здійснення акредитації Центру в Засвідчувальному центрі зобов’язаний подати такі документи:

1) заяву про акредитацію Центру в Засвідчувальному центрі за формою, визначеною в додатку 4 до цього Регламенту;

2) документи, перелік яких наведено в пункті 1 розділу X цього Регламенту;

3) засвідчену в установленому порядку копію атестата відповідності комплексної системи захисту інформації Центру;

4) засвідчену в установленому порядку копію документа “План-схема приміщень Центру та порядок доступу до спеціальних приміщень”;

5) засвідчену в установленому порядку копію документа “Порядок зберігання окремих резервних копій сертифікатів ключів та списку відкликанихсертифікатів, сформованих акредитованим Центром”.

3. Засвідчувальний центр під час проведення акредитації Центру здійснює перевірку Центру на відповідність вимогам, визначеним нормативно-правовимиактами України у сфері електронного цифрового підпису, з урахуваннямрегламенту роботи Центру.

4. Строк розгляду заяви про акредитацію Центру в Засвідчувальному центрі становить не більше 45 робочих днів від дати її надходження.

5. Засвідчувальний центр після подання Центром документів проводить акредитацію Центру в такому порядку:

1) опрацьовує подані документи згідно з вимогами, визначеними в розділі IX цього Регламенту;

2) приймає рішення про акредитацію/відмову в акредитації Центру вЗасвідчувальному центрі;

3) у разі ухвалення рішення про акредитацію змінює статус Центру на акредитований із зазначенням дати прийняття та номера відповідного рішенняпро акредитацію.

6. Засвідчувальний центр формує свідоцтво про акредитацію Центру (додаток 7) у вигляді паперового або електронного документа та надає йогоЦентру протягом десяти робочих днів від дати внесення до реєструЗасвідчувального центру запису про акредитацію Центру.

7. Центр є акредитованим із дати внесення до реєстру Засвідчувального центру даних про акредитацію Центру.

8. Акредитований Центр проходить повторну акредитацію згідно з вимогами щодо процедури акредитації Центру, визначеними цим Регламентом,у таких випадках:

1) зміна основних даних (реквізитів), які зазначаються у свідоцтві про акредитацію;

2) закінчення строку дії свідоцтва про акредитацію;

3) втрата чинності чи закінчення строку дії атестата відповідності комплексної системи захисту інформації, якщо немає нового атестатавідповідності або внесення до програмно-технічного комплексу Центру змін, якіпотребують модернізації комплексної системи захисту інформації;

4) закінчення строку дії сертифіката відповідності або позитивного експертного висновку за результатами державної експертизи у сфері криптографічного захисту інформації, якщо немає новогосертифіката/експертного висновку.

9. Центр, якому було відмовлено в акредитації у зв’язку з поданням недостовірної інформації або акредитацію якого було скасовано, не може бутиакредитований протягом року від дати прийняття рішення про відмову вакредитації або про скасування акредитації Центру.”.

8. Розділ XIV виключити.

У зв’язку з цим розділи XV – XXVI уважати відповідно розділами XIV – XXV.

9. Розділ XIV викласти в такій редакції:

“XIV. Формування сертифіката ключа Центру

1. Засвідчувальний центр здійснює формування сертифіката ключа Центру на підставі заяви про формування сертифіката ключа Центру в Засвідчувальномуцентрі. Засвідчувальний центр приймає заяву лише відзареєстрованого/акредитованого Центру.

2. Центр подає Засвідчувальному центру разом із заявою про формування сертифіката ключа Центру в Засвідчувальному центрі запит на формуваннясертифіката ключа Центру в електронному вигляді. Запит може бути двох видів:

1) у форматі PKCS#10 з накладеним електронним цифровим підписом з використанням особистого ключа Центру;

2) самопідписаний сертифікат ключа Центру.

3. Засвідчувальний центр формує сертифікати ключів Центру для відкритих ключів, що згенеровані відповідно до криптографічних алгоритмів ДСТУ 4145-2002 та RSA.

4. Строк розгляду заяви про формування сертифіката ключазареєстрованого/акредитованого Центру в Засвідчувальному центрі становить небільше трьох робочих днів від дати її прийняття.

5. Засвідчувальний центр під час формування сертифіката ключа Центру виконує такі дії:

1) визначає дату, час початку та закінчення строку чинності сертифікатаключа;

2) уносить до сертифіката ключа Центру обов’язкові дані, визначені  Законом України “Про електронний цифровий підпис”;

3) уносить до сертифіката ключа Центру додаткові дані за зверненням Центру;

4) уносить до сертифіката ключа Центру інформацію щодо місцярозміщення списку відкликаних сертифікатів Засвідчувального центру наінформаційному ресурсі Засвідчувального центру;

5) забезпечує унікальність реєстраційного номера сертифіката ключа в межах Засвідчувального центру, а також контролює унікальність відкритогоключа Центру та унікальність розпізнавального імені Центру в реєстріЗасвідчувального центру.

6. Засвідчувальний центр за результатами розгляду поданих Центром документів для формування сертифіката ключа Центру приймає рішення провідмову у формуванні сертифіката ключа Центру, якщо:

1) виявлено хоча б одну з умов, зазначених у пункті 10 розділу IX цього Регламенту;

2) виявлено невідповідність даних, наведених у заяві про формуваннясертифіката ключа Центру в Засвідчувальному центрі, з даними Центру,занесеними до реєстру Засвідчувального центру;

3) запит на формування сертифіката ключа не відповідає вимогам, визначеним пунктом 2 розділу XVI цього Регламенту;

4) поле “серійний номер” (“SERIALNUMBER”) у запиті на формування сертифіката ключа Центру не відповідає вимогам, визначеним у пункті 2 розділуXIII цього Регламенту;

5) особистий та відкритий ключі не відповідають вимогам, визначеним у пункті 6 розділу VII та пункті 3 розділу XIV цього Регламенту.

7. Засвідчувальний центр здійснює формування сертифіката ключа Центру в такому порядку:

1) опрацьовує подані документи згідно з вимогами розділу IX цьогоРегламенту;

2) приймає рішення про формування/відмову у формуванні сертифіката ключа Центру;

3) уносить до бази даних поданий заявником Центру запит на формуваннясертифіката ключа Центру (самопідписаний сертифікат ключа Центру);

4) здійснює засобами програмно-технічного комплексу Засвідчувального центру перевірку електронного цифрового підпису в запиті на формуваннясертифіката ключа Центру (у самопідписаному сертифікаті ключа Центру).

Запит на формування сертифіката ключа Центру (самопідписаний сертифікат ключа Центру) уноситься до бази даних лише в разі підтвердження електронногоцифрового підпису;

5) формує сертифікат ключа Центру в електронній формі з дотриманням вимог пункту 5 розділу XIV цього Регламенту;

6) Центр після формування сертифіката ключа Центру зобов’язаний перевірити правильність відомостей, що містяться в кожному сертифікаті ключаЦентру. Центр у разі виявлення некоректних даних (помилки в реквізитах)зобов’язаний повідомити про це Засвідчувальний центр. У цьому разіЗасвідчувальний центр скасовує сертифікат ключа Центру та формує новийсертифікат ключа Центру.

8. Засвідчувальний центр здійснює поширення сертифіката ключа Центру в спосіб, визначений у пункті 1 розділу XXII Регламенту після формуваннясертифіката ключа Центру та перевірки правильності відомостей, що містяться всертифікаті ключа Центру.

9. Центр зобов’язаний подати до Засвідчувального центру заяву про формування нового сертифіката ключа Центру не пізніше ніж за десять робочихднів до закінчення строку чинності його поточного сертифіката ключа. У разінеотримання від Центру заяви про формування нового сертифіката ключаЦентру у визначений термін Засвідчувальний центр після закінчення строкучинності сертифіката ключа Центру приймає рішення про скасуванняреєстрації/акредитації.

10. Центр має право подавати до Засвідчувального центру на сертифікацію попередньо засвідчений відкритий ключ Центру протягом строку чинностісертифіката ключа, якщо відповідний йому особистий ключ не бувскомпрометований. У такому випадку дата і час закінчення строку чинностінового сертифіката ключа Центру, сформованого на основі попередньозасвідченого відкритого ключа Центру, не може перевищувати дати і часу

закінчення строку чинності попереднього сертифіката ключа Центру.

11. Програмно-технічний комплекс Засвідчувального центру в момент закінчення строку чинності сертифіката ключа Центру:

1) автоматично скасовує поточний сертифікат ключа Центру;

2) формує та поширює список відкликаних сертифікатів ключів Засвідчувального центру.”.

10. У розділі XVII:

1) пункт 9 доповнити новим абзацом такого змісту:

“Засвідчувальний центр за результатами розгляду заяви про зміну статусу сертифіката ключа Центру приймає рішення про відмову у зміні статусу, якщовиявлено невідповідність даних, наведених у заяві про зміну статусу сертифікатаключа Центру з даними Центру, занесеними до реєстру Засвідчувальногоцентру.”;

2) пункт 10 викласти в такій редакції:

“10. Засвідчувальний центр здійснює зміну статусу сертифіката ключа Центру в такому порядку:

1) опрацьовує подані документи згідно з вимогами розділу IX цьогоРегламенту;

2) створює та засвідчує запит на зміну статусу поточного сертифіката ключаЦентру;

3) формує список відкликаних сертифікатів ключів Засвідчувального центру;

4) поширює інформацію про зміну статусу сертифіката ключа Центру впорядку, установленому в пунктах 1 – 3 розділу XXII цього Регламенту.”.

11. У розділі XXI:

1) в абзаці другому пункту 1 слова “зразок договору про надання послуг,” виключити;

2) у пункті 3 слова “Адміністратор сертифікації Засвідчувального центру”замінити словами “Засвідчувальний центр”;

3) пункт 4 виключити.

У зв’язку з цим пункти 5, 6 уважати відповідно пунктами 4, 5;

4) пункт 4 викласти в такій редакції:

“4. Засвідчувальний центр зобов’язаний розмістити сертифікат ключа Центру на інформаційному ресурсі Засвідчувального центру після йогоформування та перевірки Центром даних, що внесені до сертифіката ключа Центру.”;

5) у пункті 5 слова “Адміністратор сертифікації Засвідчувального центру” замінити словами “Засвідчувальний центр”.

12. У пункті 1 розділу XXII слова “і розсилання засобами e-mail та електронної пошти Національного банку України на адреси, що зазначаються в заяві про формування сертифіката ключа Центру в Засвідчувальному центрі”виключити.

13. Пункт 2 розділу XXV викласти в такій редакції:

“2. Засвідчувальний центр інформує Центри та відповідальних осіб Засвідчувального центру про внесення змін до цього Регламенту шляхомрозміщення на інформаційному ресурсі Засвідчувального центру.”.

14. У Регламенті додатки 1, 2, 9 виключити.

У зв’язку з цим додатки 3 – 8 уважати відповідно додатками 1 – 6, додатки

10, 11 уважати відповідно додатками 7, 8.

У тексті Регламенту посилання на додатки 3 – 8 замінити посиланнями відповідно на додатки 1 – 6, посилання на додатки 10, 11 замінити посиланнямивідповідно на додатки 7, 8.

15. Додатки 1 – 8 Регламенту роботи Засвідчувального центру Національного банку України викласти в новій редакції, що додаються.

Директор Департаменту безпеки О. А. Скомаровський

ПОГОДЖЕНО

Перший заступник Голови

Національного банку України

_________________ Я. В. Смолій

(підпис)

“____”__________ 20___ року

(дата)

Джерело інформації: офіційний сайт Національного банку України - https://bank.gov.ua