540/2002 Z. z. v znení účinnom od 1. 10. 2002 do 7. 4. 2009

540

VYHLÁŠKA

Národného bezpečnostného úradu

z 9. septembra 2002

o podmienkach na poskytovanie akreditovaných certifikačných služieb a o požiadavkách na audit, rozsah auditu a kvalifikáciu audítorov

Národný bezpečnostný úrad (ďalej len „úrad") podľa § 13 ods. 2 a § 25 ods. 1 zákona č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov (ďalej len „zákon") ustanovuje:

§ 1

Predmet úpravy

Táto vyhláška upravuje podrobnosti o

materiálnych, priestorových, technických, organizačných a právnych podmienkach na poskytovanie akreditovaných certifikačných služieb,

požiadavkách na audit, rozsah auditu a kvalifikáciu audítorov a o výkone auditu akreditovanej certifikačnej autority.

Podrobnosti o podmienkach na poskytovanie akreditovaných certifikačných služieb

(§ 2-6)

§ 2

Certifikačná autorita, ktorá chce poskytovať akreditované certifikačné služby,

doručí úradu žiadosť o akreditáciu; k žiadosti o akreditáciu certifikačná autorita predloží náležitosti podľa § 13 ods. 3 zákona,

preukáže úradu splnenie podmienok podľa § 3 až 5 na poskytovanie akreditovaných certifikačných služieb.

§ 3

(1)

Certifikačná autorita, ktorá žiada o akreditáciu, musí vlastniť alebo mať zmluvne zabezpečený prenájom priestorov na poskytovanie akreditovaných certifikačných služieb, ktoré vyhovujú bezpečnostným pravidlám¹) a podmienkam podľa odsekov 2 až 5.

(2)

V prípade poskytovania akreditovaných certifikačných služieb v prenajatých priestoroch musí byť samostatný vstup majiteľa objektu do chránených priestorov zmluvne obmedzený len na nevyhnutné a okamžité riešenie havarijných stavov budovy.

(3)

Okrem prevádzkových priestorov musí akreditovaná certifikačná autorita zabezpečiť ďalšie chránené priestory na bezpečné skladovanie archívnych dokumentov a údajov a mesačných záložných kópií údajov systému akreditovanej certifikačnej autority; tieto priestory musia byť umiestnené v objekte, ktorý nie je fyzicky spojený s objektom, v ktorom sa realizuje poskytovanie akreditovaných certifikačných služieb.

(4)

Technické a organizačné opatrenia musia zaistiť nepretržitú prevádzku akreditovanej certifikačnej autority aj v prípade zlyhania základnej technickej infraštruktúry minimálne na úrovni poskytovania služby registrácie požiadaviek na funkciu časovej pečiatky.

(5)

Certifikačná autorita musí mať vypracovaný vlastný systém priebežnej kontroly funkčnosti a bezpečnosti používaných bezpečnostných prostriedkov a opatrení.

§ 4

Certifikačná autorita, ktorá žiada o akreditáciu, predloží okrem základných technických parametrov a dokumentácie prostriedkov podľa osobitného predpisu²) aj dokumentáciu prostriedkov, ktoré plánuje použiť na podporu poskytovania certifikačných služieb na

vedenie a zabezpečenie archívu dokumentov podľa § 18 zákona,

prevádzku a zabezpečenie svojej internetovej stránky.

§ 5

Akreditovaná certifikačná autorita musí mať vytvorené organizačné podmienky v tomto rozsahu:

bezpečnostné pravidlá certifikačnej autority na bezpečný režim poskytovania certifikačných služieb a na výkony certifikačných činností,

opatrenia určujúce podmienky vstupu osôb do chráneného priestoru, podmienky na prácu s produktom pre elektronický podpis a opatrenia určujúce činnosti v prípade vzniku situácie ohrozujúcej poskytovanie certifikačných služieb,

organizačné rozčlenenie činností súvisiacich s poskytovaním certifikačných služieb medzi rôzne osoby a útvary tak, aby bola umožnená vzájomná kontrola, ako aj nezávislá kontrola vykonávaných činností,

vedenie prevádzkovej dokumentácie certifikačnej autority podľa osobitného predpisu,¹)

zásady na výkon personálnej práce v rámci certifikačnej autority,

zásady na výkon vnútornej kontroly v rámci certifikačnej autority,

zásady na zaistenie bezpečnosti pri uzatváraní zmluvných vzťahov s právnickými osobami alebo s fyzickými osobami o poskytovaní služieb podporujúcich poskytovanie služieb certifikačnou autoritou.

§ 6

Podrobnosti o požiadavkách na audit, rozsah auditu a kvalifikáciu audítorov

(1)

Audit bezpečnosti poskytovania certifikačných činností môže vykonať len oprávnená fyzická osoba alebo právnická osoba.

(2)

Fyzická osoba alebo právnická osoba môže byť oprávnená na výkon auditu bezpečnosti certifikačných činností, ak

je držiteľkou platného medzinárodného alebo slovenského osvedčenia na výkon auditu informačných systémov,

má preukázateľnú odbornú prax v oblasti auditu informačných systémov nie kratšiu ako päť rokov.

(3)

Výkon auditu pozostáva z overenia

bezpečnostných vlastností produktu pre elektronický podpis a bezpečnostných vlastností prostredia, v ktorom sa produkt pre elektronický podpis prevádzkuje,

bezpečnosti šifrovacích prostriedkov a režimu práce s nimi,

ochrany produktu pre elektronický podpis pred neautorizovanou manipuláciou, zneužitím a zlyhaním,

bezpečnosti procesov výkonu certifikačných činností,

ochrany komunikačnej infraštruktúry pred útokmi a zlyhaniami,

súladu položiek v papierových a elektronických záznamoch výkonu certifikačných činností,

vhodnosti a dostatočnosti bezpečnostného zámeru, projektu a bezpečnostných smerníc,

vhodnosti a dostatočnosti bezpečnostných opatrení a prostriedkov, ktoré sú špecifikované v bezpečnostných smerniciach,

bezpečnostných opatrení súvisiacich s poskytovaním činností inými právnickými osobami alebo fyzickými osobami,

iných bezpečnostných opatrení a prostriedkov, ktoré certifikačná autorita prijala s cieľom zaistenia spoľahlivosti a bezpečnosti poskytovania certifikačných služieb,

pripravenosti certifikačnej autority pri výskyte udalostí ohrozujúcich jej prevádzku - plánov pre prípad havárií a plánov obnovy činnosti certifikačnej autority,

ostatných požadovaných bezpečnostných požiadaviek na výkon certifikačných činností podľa zákona.

(4)

Výkon auditu sa končí záverečnou správou, ktorá pozostáva z

výroku audítora a zhodnotenia celkového stavu bezpečnosti certifikačnej autority v čase výkonu bezpečnostného auditu,

popisu zistení o nedostatkoch bezpečnostného charakteru,

odporúčaní na odstránenie zistených nedostatkov.

§ 7

Účinnosť

Táto vyhláška nadobúda účinnosť 1. októbra 2002.

Ján Mojžiš v. r.

Poznámky

Vyhláška Národného bezpečnostného úradu č. 541/2002 Z. z. o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách a pravidlách na výkon certifikačných činností.

Vyhláška Národného bezpečnostného úradu č. 539/2002 Z. z., ktorou sa ustanovujú podrobnosti o požiadavkách na bezpečné zariadenia na vyhotovovanie časovej pečiatky a požiadavky na produkty pre elektronický podpis (o produktoch elektronického podpisu).

§ 1

Predmet úpravy

Podrobnosti o podmienkach na poskytovanie akreditovaných certifikačných služieb

(§ 2-6)

§ 2

§ 3

§ 4

§ 5

§ 6

Podrobnosti o požiadavkách na audit, rozsah auditu a kvalifikáciu audítorov

§ 7

Účinnosť

Súvislosti k 540/2002 Z. z.

Verzia (1) Novela:

Nadradené predpisy (1)

Citovaný 3

Predpisy 2

Judikatúra 1

Poslať odkaz

Verzia (1)
Novela: