Pravilnik o posebnim uvjetima koje moraju ispunjavati certifikaciona tijela

Na osnovu člana 21. stav 2. Zakona o elektronskom potpisu Republike Srpske ("Službeni glasnik Republike Srpske", broj 106/15) i člana 82. stav 2. Zakona o republičkoj upravi ("Službeni glasnik Republike Srpske", br. 118/08, 11/09, 74/10, 86/10, 24/12, 121/12 i 15/16), ministar nauke i tehnologije, 18. jula 2016. godine, donosi

PRAVILNIK

O POSEBNIM UVJETIMA KOJE MORAJU DA ISPUNJAVAJU CERTIFIKACIONA TIJELA

Član 1.

Ovim pravilnikom propisuju se posebni uvjeti koje moraju ispunjavati certifikaciona tijela koja izdaju nekvalificirane i kvalificirane elektronske certifikate, kao i najniži iznos obaveznog osiguranja kojim je certifikaciono tijelo obavezno da osigura rizik od odgovornosti za štetu koja nastane obavljanjem usluga elektronske certifikacije.

Član 2.

(1) Certifikaciono tijelo koje izdaje nekvalificirane elektronske certifikate (u daljem tekstu: certifikaciono tijelo) mora prije početka obavljanja usluga utvrditi opća pravila davanja usluga certifikacije koja korisnicima usluga pružaju dovoljno informacija na osnovu kojih mogu odlučiti o prihvaćanju usluga i u kom obimu.

(2) Opća pravila iz stava 1. ovog člana certifikaciono tijelo ugrađuje u dokumente:

(1) Politiku certifikacije (engl. Certificate Policy - CP),

(2) Praktična pravila pružanja usluge certifikacije (engl. Certification Practices Statement - CPS); (u daljem tekstu: Praktična pravila).

(3) Politika certifikacije definira predmet rada certifikacionog tijela i definira zahtjeve poslovanja certifikacionog tijela.

(4) Praktična pravila pružanja usluga certifikacije definiraju procese i način njihovog korištenja pri formiranju i upravljanju elektronskim certifikatima, odnosno definiraju operativne procedure u cilju ispunjenja zahtjeva iz Politike certifikacije.

(5) Praktična pravila definiraju način na koji certifikaciono tijelo ispunjava tehničke, organizacione i proceduralne zahtjeve poslovanja koji su identificirani u Politici certifikacije.

(6) Politika certifikacije i Praktična pravila pružanja usluge certifikacije su javni dokumenti.

Član 3.

(1) Politika certifikacije i Praktična pravila pružanja usluga certifikacije treba da budu strukturirani po RFC 3647, odnosno međunarodno prihvaćenom obrascu ETSI EN 319 411-2 - engl. Policy Requirements for Certification Authori- ties Issuing Qualified Certificates.

(2) Obavezan sadržaj dokumentacije koju certifikaciono tijelo mora izraditi prije početka obavljanja usluga certifi- kacije nalazi se u Prilogu ovog pravilnika, koji čini njegov sastavni dio.

Član 4.

1) Certifikaciono tijelo koje izdaje kvalificirane elektronske certifikate (u daljem tekstu: kvalificirano certifikaciono tijelo) mora donijeti i dodatni skup pravila (interna pravila) kojima se osigurava ispravno provođenje zaštitnih i sigurnosnih mjera u sistemu certifikacije.

2) Interna pravila uređuju dopunski:

2) postupke pristupa i kretanja kroz poslovni prostor kvalificiranog certifikacionog tijela,

2) postupke i tehnike dopunske zaštite informacionog sistema, upotrebe telekomunikacione opreme/sistema u radnjama sa podacima u sistemu certifikacije,

2) postupke i radnje u vanrednim situacijama, posebno kod požara i drugih nepogoda, nepredvidivih upada u fizički prostor (sjedište) kvalificiranog certifikacionog tijela, odno¬sno upada u informacioni sistem,

2) pravila vođenja evidencije o prisustvu zaposlenih u sistemu certifikacije i pristupa sistemu certifikacije.

3) Interna pravila predstavljaju poslovnu tajnu kvalificiranog certifikacionog tijela.

Član 5.

U slučajevima prigovora u vezi sa odstupanjem sadržaja usluga u odnosu na utvrđena pravila sadržana u dokumentaciji certifikacionog tijela, odgovorno lice certifikacionog tijela dužno je otkloniti odstupanja.

Član 6.

2. Kvalificirano certifikaciono tijelo mora primjenjivati smjernice Evropske unije, te Evropske norme (EN) koje se odnose na postupke osiguravanja i zaštite opreme i prostora.

3. Kvalificirano certifikaciono tijelo mora obavljanje usluga prilagoditi novim normama, odlukama i preporukama iz stava 1. ovog člana, koje se donose nakon dobivanja dozvole.

4. Ispunjenje određenog uvjeta iz stava 1. ovog člana može uslijediti i poslije dobivanja dozvole, a prije početka obavljanja djelatnosti, naročito ako se radi o većim ulaganjima u specijalizirani prostor ili opremu ili se radi o zapošljavanju određenih stručnih lica.

5. U tom slučaju, uz zahtjev za dobivanje dozvole po¬trebno je priložiti i uvjerljiv dokaz iz kojeg je vidljivo da je moguće ispuniti uvjet u predloženom roku.

Član 7.

(1) Kvalificirano certifikaciono tijelo mora uslugu certifi- kacije za koju je dobilo dozvolu obavljati svojim sredstvima za rad i sa radnicima koji su u stalnom radnom odnosu.

(2) Postupke u vezi sa sofisticiranom opremom (hardver, softver) koji se mogu provesti jedino od proizvođača te opreme kvalificirano certifikaciono tijelo može obaviti uz odgovarajuće učešće zaposlenih kod proizvođača te opreme i uz pomoć njihove opreme.

Član 8.

(1) Kvalificirano certifikaciono tijelo mora za obavljanje usluga certifikacije imati poslovni prostor u svom vlasništvu ili u najmu na rok od najmanje godinu dana od dana podnošenja zahtjeva.

(2) Poslovni prostor mora biti zadovoljavajuće veličine za smještaj opreme i rad osoblja koje obavlja usluge certi fikacije.

(3) Kvalificirano certifikaciono tijelo mora poslove generisanja kriptografskih ključeva i izrade certifikata provoditi u specijaliziranom prostoru izdvojenom za tu namjenu.

(4) Pristup prostoru u kojem se provode radnje iz stava 3. ovog člana mogu imati samo ovlaštena lica i o svakom pristupu prostoru mora se voditi odgovarajuća evidencija.

Član 9.

(1) Certifikaciono tijelo mora za mašinsku i programsku opremu kojom obavlja usluge certifikacije primjenjivati domaće norme, norme Evropskog instituta za telekomunikacione norme (ETSI), te odluke i preporuke RFC grupe, kao i ISO protokole i norme.

(2) Certifikaciono tijelo mora osigurati fizičku zaštitu mašinske opreme, te provoditi stalni nadzor pristupa računarskim resursima i fizičkom prostoru gdje su smješteni resursi sistema certifikacije.

(3) Pristup se može provoditi isključivo uz prisustvo najmanje dva ovlaštena lica koja imaju pristup informacionom sistemu certifikacionog tijela.

(4) Kvalificirano certifikaciono tijelo mora osigurati da samo lica koja rade u sistemu certifikacije imaju pristup prostoru gdje se nalaze resursi sistema certifikacije.

Član 10.

Informacioni sistem kvalificiranog certifikacionog tijela mora za osnov imati softversku i hardversku infrastrukturu namijenjenu isključivo za poslove certifikacije.

Član 11.

(1) Kvalificirano certifikaciono tijelo mora opremu za ovjeru i djelovanje sistema certifikacije uskladiti sa tehničkim standardom FIPS 140-2, odnosno sa najboljim praksama iz ISO/IEC 15408-1:2009 normi.

(2) Kvalificirano certifikaciono tijelo mora postupke i oblike zaštite sistema za sve vrijeme pružanja usluga certi fikacije usklađivati sa trenutno važećim preporukama i nor¬mama u oblasti zaštite i sigurnosti djelovanja informacionih sredstava i sistema.

Član 12.

(1) Osoblje zaposleno u sistemu certifikacije provodi poslove i operativne zadatke u sistemu certifikacije kroz odvojene organizacione jedinice (službe, odjeljenja i slično) za upravljanje informacionim sistemom, sistemom upravljanja certifikatima, poslovima zaštite i kontrole, te poslovima pravne zaštite i nadzora djelovanja certifikacionog sistema.

(2) Kvalificirano certifikaciono tijelo mora u stalnom radnom odnosu imati:

(2) najmanje dva stručnjaka sa visokom stručnom spremom tehničkog, prirodnomatematičkog ili informatičkog usmjerenja, specijaliziranih za rad sa kriptografskim tehnologijama,

(3) najmanje dva stručnjaka minimalno srednje stručne spreme, specijalizirana za rad na zaštiti računarskih sistema i informacionih sistema, obučena za rad sa sistemima za izdavanje, opoziv i održavanje elektronskih certifikata,

(4) najmanje jednog diplomiranog pravnika sa poznavanjem sistema zaštite osobnih podataka, upotrebe i pravne primjene elektronskog potpisa.

Član 13.

(1) Zaposleno osoblje certifikacionog tijela mora imati stručna znanja u radu sa tehnologijom certifikacije, kao i za postupke zaštite računarske opreme i programa u primijenje¬nom sistemu certifikacije te osigurano trajno usavršavanje znanja i vještina potrebnih za rad u sistemu certifikacije.

(2) Zaposleni kod jednog certifikacionog tijela ne smiju biti u radnom, odnosno poslovnom odnosu sa drugim certifikacionom tijelom.

Član 14.

(1) Certifikaciono tijelo mora raspolagati finansijskim resursima koji osiguravaju nesmetano pružanje usluga certifikacije nezavisno od broja korisnika usluga i za sve vrijeme obavljanja djelatnosti.

(2) Certifikaciono tijelo mora imati vlastiti poslovni račun i garanciju poslovne banke na tekuće poslovanje vidljivo kroz javno dostupan godišnji poslovni izvještaj.

Član 15.

Certifikaciono tijelo mora osigurati jedinstvenost podataka za ovjeru elektronskog potpisa na način koji omogućava nedvosmisleno utvrđivanje (identiteta) potpisnika.

Član 16.

(1) Kvalificirano certifikaciono tijelo dužno je da izradi jedinstveni sistem zaštite i sigurnosti obavljanja usluga.

(2) U svrhu izvođenja i održavanja jedinstvenog sistema zaštite i sigurnosti obavljanja usluga certifikacije kvalificirano certifikaciono tijelo izrađuje interni pravilnik o provođe¬nju zaštite sistema certifikacije.

Član 17.

(1) Kvalificirano certifikaciono tijelo mora prije početka obavljanja usluga, nakon značajnijih promjena u sistemu za vrijeme obavljanja usluga, te redovno svake godine provodi¬ti na osnovu izrađenog Pravilnika o provođenju zaštite sistema certifikacije provjeru svih dijelova sistema u odnosu na sigurnost, pouzdanost i kvalitet djelovanja.

Najveći vremenski razmak između dva postupka provjere ne može biti duži od godinu dana.

Kvalificirano certifikaciono tijelo može nastaviti pružati usluge certifikacije ako se utvrdi da je sistem usklađen sa zahtjevima sadržanim u Pravilniku o provođenju zaštite sistema certifikacije.

Član 18.

Kvalificirano certifikaciono tijelo mora za poslove zaštite sistema certifikacije zaposliti kvalificirana lica za sljedeće poslove zaštite:

6. kontrola fizičkog pristupa računarskoj opremi,

7. ugradnja i konfiguracija programskog sklopa zaštite, kao i sistemsko mijenjanje kriptografskih ključeva,

8. analiza rada u svim fazama rada, bilježenje i arhiviranje tih podataka, te obavještavanje,

9. upravljačke funkcije i operacije otklanjanja problema u funkcioniranju propisanih mjera zaštite,

10. izvještavanje o pokušajima narušavanja propisanih mjera zaštite te identifikacija subjekata koji provode naru¬šavanje.

Član 19.

Provjera se mora provesti najmanje za ova područja:

(1) sistem certifikacije (informacijski sistem),

(2) tehnologija kriptozaštite,

(3) radni prostor te računarska i mrežna oprema,

(4) relevantni zakonski i drugi propisi u Republici Srpskoj i Evropi.

Član 20.

(1) Kvalificirano certifikaciono tijelo mora rad sa računarom i programskom opremom povjeriti samo licima obučenim za rukovanje opremom ugrađenom u sistem certifikacije.

(2) Kvalificirano certifikaciono tijelo mora fizički pristup računarskom sistemu kojim se provode usluge certifikacije omogućiti samo operativnim zaposlenima koji neposredno rade sa računarskim sistemom.

(3) Lica koja čiste prostor u kome se nalazi računarski sistem mogu to raditi isključivo u vrijeme prisustva operativnih lica.

(4) U slučaju neovlaštenog pristupa računarskoj i pro¬gramskoj opremi, odnosno informacionom sistemu, certifikaciono tijelo mora zaustaviti normalan rad i provoditi mjere predviđene za rad u vanrednim okolnostima sve do potpunog otkrivanja uzroka te otklanjanja mogućih šteta.

(5) Centralni računarski sistem mora imati osigurano trajno napajanje energijom uz potrebno radno okruženje, kao što su stepen vlažnosti i toplote, dozvoljen stepen zračenja i ostale vrijednosti specifične za računarski sistem u upotrebi.

(6) Računarski sistem mora biti smješten na mjestu koje je osigurano od poplave uz adekvatnu protivpožarnu zaštitu.

Član 21.

(1) Kvalificirano certifikaciono tijelo dužno je da osigura rizik od odgovornosti za štetu koja nastane obavljanjem usluga certifikacije.

(2) Osiguranje sadržano u stavu 1. ovog člana predstavlja obavezno osiguranje.

(3) Najniži iznos na koji kvalificirano certifikaciono tijelo, izuzev nosioca poslova elektronske certifikacije za organe republičke uprave, mora osigurati odgovornost za štetu je 500.000 konvertibilnih maraka (KM).

Član 22.

Stupanjem na snagu ovog pravilnika prestaje važiti Pravilnik o mjerama zaštite elektronskog potpisa i kvalificiranog elektronskog potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih mjera zaštite certifikata ("Službeni glasnik Republike Srpske", br. 88/09 i 127/11).

Član 23.

Ovaj pravilnik stupa na snagu osmog dana od dana objave u "Službenom glasniku Republike Srpske".

Broj: 19/6-040/014-14/16

18. jula 2016. godine Banja Luka

PRILOG

Ministar,

Dr. Jasmin Komić, sr.