ДЕРЖАВНА МИТНА СЛУЖБА УКРАЇНИ
НАКАЗ
20.02.2012 N 116
Про затвердження Порядку організації та розповсюдження
електронного цифрового підпису в митній службі України
На виконання Концепції створення багатофункціональної комплексної системи "Електронна митниця" в частині запровадження електронного цифрового підпису для посадових осіб митних органів, затвердженої розпорядженням Кабінету Міністрів України від 17.11.2008 N 1236-р та у зв’язку із отриманням Свідоцтва про акредитацію серія СА N 29, виданого відповідно до рішення Центрального засвідчувального органу від 28.08.2011 N 7 наказую:
1. Затвердити Порядок організації та розповсюдження електронного цифрового підпису в митній службі України (далі - Порядок), що додається.
2. Департаменту митних інформаційних технологій та статистики забезпечити належну організацію та функціонування Центра сертифікації ключів Державної митної служби України Департаменту митних інформаційних технологій та статистики Державної митної служби України.
3. Керівникам митних органів забезпечити організацію виконання вимог Порядку.
4. Визнати таким, що втратив чинність наказ Держмитслужби України від 08.04.2011 N 298 "Про затвердження Тимчасового порядку організації, розповсюдження та використання електронного цифрового підпису в митній служби України", наказ Держмитслужби України від 14.06.2011 N 496 "Про внесення змін до наказу Держмитслужби України від 08.04.2011 N 298".
Контроль за виконанням цього наказу залишаю за собою.
Т.в.о. Голови Служби О.М. Дороховський
Затверджено
Наказ
Державної митної служби України
20.02.2012 N 116
Порядок
організації та розповсюдження електронного цифрового
підпису в митній службі України
I. Загальні положення
1. Цей Порядок визначає вимоги до організації та розповсюдження електронного цифрового підпису на базі послуг Центру сертифікації ключів Державної митної служби України Департаменту митних інформаційних технологій та статистики Державної митної служби України (далі - АЦСК).
2. Положення цього Порядку поширюються на посадових осіб АЦСК, підписувачів (довірених осіб підписувачів), яким надаються персоніфіковані носії ключової інформації, що містять особисті ключі і призначені для накладання та перевірки електронного цифрового підпису.
3. У цьому Порядку терміни та визначення використовуються у такому значенні:
генерація особистого та відкритого ключів - процедура створення особистого та відкритого ключів підписувача. Генерація ключів здійснюється за допомогою спеціалізованого програмного забезпечення - генератора ключів, який надається АЦСК;
довірена особа підписувача - уповноважений представник підписувача, який на підставі довіреності представляє його під час реєстрації в АЦСК;
заява-приєднання та заява про реєстрацію - документи встановленого зразка, що заповнюється та підписується безпосередньо підписувачем, та надсилаються до АЦСК;
ключова фраза голосової автентифікації - парольне слово, яке називаєте при телефонному зверненні до адміністратора реєстрації АЦСК, при збігу цього парольного слова з фразою, яка указана в заяві про реєстрацію підписувача, починається процедура блокування сертифікату відкритого ключа підписувача;
поновлення блокованого сертифіката відкритого ключа підписувача - відновлення чинності сертифіката відкритого ключа підписувача;
підписувач - зареєстрована в АЦСК посадова особа митного органу, що має особистий ключ і для якої сформовано сертифікат відкритого ключа, яка від свого імені накладає електронний цифровий підпис під час створення електронного документа;
персоніфікований носій ключової інформації (НКІ) - носій (smart card, touch-memory, CD-RW тощо), що призначений для зберігання особистого ключа підписувача;
посадові особи АЦСК - посадові особи служби захисту інформації Департаменту митних інформаційних технологій та статистики, на яких покладено функції з адміністрування та підтримки функціонування АЦСК;
реєстрація - перевірка інформації, яка зазначена у заяві про реєстрацію та внесення відповідних даних до програмно-технічного комплексу АЦСК;
сертифікати АЦСК - це сертифікати відкритих ключів АЦСК (один кореневий та три технологічні), які необхідні для надання послуг електронного цифрового підпису;
Інші терміни застосовуються у значеннях, наведених у Законах України "Про електронний цифровий підпис", "Про телекомунікації", Митному кодексі України, наказі Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 N 3 "Про затвердження Правил посиленої сертифікації", "Нормативний документ технічного захисту інформації 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу", ДСТУ 3396.2-97 "Захист інформації. Технічний захист інформації. Терміни та визначення".
II. Генерація особистого та відкритого ключів,
формування сертифікатів відкритих ключів,
розповсюдження сертифікатів
відкритих ключів підписувачів
1. Реєстрація підписувача в АЦСК
1.1. Для реєстрації в АЦСК підписувач (довірена особа підписувача) надає такі документи:
заповнена та підписана заява-приєднання до договору "Про надання послуг електронного цифрового підпису" (додаток 1);
заповнена та підписана заява про реєстрацію підписувача встановленого зразка (додаток 2);
копія паспорту (ів) підписувача (ів) (копії 1-4 сторінок), засвідчені власноручними підписами власників паспортів;
копія довідки про присвоєння ідентифікаційного номеру, засвідчену власноручним підписом власника;
копію наказу митного органу щодо дозволу на використання ЕЦП, засвідчену печаткою митниці (в одному екземплярі).
1.2. Керівник митного органу затверджує наказом перелік посадових осіб, форма якого наведена у додатку 3 до цього Порядку, яким надається право застосування електронного цифрового підпису (далі - ЕЦП ).
1.3. Довірена особа підписувача несе персональну відповідальність за отримання, облік та передачу підписувачу НКІ.
1.4. Довірена особа підписувача зобов’язана підготувати для підписувача іменний конверт, який оформлюється відповідно до додатка 4, в який буде вкладено персоніфікований НКІ для запису особистого ключа.
1.5. Підписувач особисто заповнює та власноручно підписує заяву-приєднання до договору "Про надання послуг електронного цифрового підпису" та заяву про реєстрацію підписувача.
1.6. Документи для реєстрації в АЦСК, які передбачені пунктом 1.1 супровідним листом митного органу надсилаються поштовим (фельд’єгерським, кур’єрським, або нарочним) відправленням до Департаменту митних інформаційних технологій та статистики, який забезпечує надання послуг ЕЦП.
1.7. Документи для реєстрації підписувача в АЦСК надсилаються в окремому від супровідного листа конверті (у додатково вкладеному конверті).
1.8. Розгляд документів про реєстрацію здійснюється посадовою особою АЦСК протягом трьох діб з моменту її надходження до АЦСК. Якщо надана інформація є вірною та повною, посадова особа АЦСК здійснює реєстрацію підписувача в АЦСК.
1.9. Про результати завершення реєстрації підписувача в АЦСК митний орган інформується у письмовому вигляді із зазначенням необхідності відрядження до Департаменту митних інформаційних технологій та статистики підписувача (довіреної особи підписувача) для генерації особистих та відкритих ключів ЕЦП.
1.10. Довірена особа підписувача, яка здійснює генерацію особистого та відкритого ключів підписувача, повинна мати довіреність на здійснення генерації та одержання від АЦСК особистого ключа та сертифіката відкритого ключа підписувача, підписану керівником відділу кадрового забезпечення та завірену печаткою відділу. Форму довіреності наведено у додатку 5 до цього Порядку.
1.11. Якщо надані документі підписувача виконані з порушенням вимог цього Порядку, або інформація, яка отримана АЦСК для реєстрації, не є вірною та повною, реєстрація підписувача у АЦСК не здійснюється, заява про реєстрацію підписувача повертається до митного органу із зазначенням підстав прийняття такого рішення.
2. Генерація особистого та відкритого ключів,
формування сертифіката відкритого ключа підписувала
2.1. Для здійснення генерації особистого та відкритого ключів, підписувач (довірена особа підписувача) зобов’язаний прибути до Департаменту митних інформаційних технологій та статистики з:
персоніфікованим НКІ, на який буде записаний особистий ключ підписувача;
конвертами для упакування персоніфікованого НКІ та сертифікату відкритого ключа підписувача в паперовому вигляді.
2.2. Після прибуття до Департаменту митних інформаційних технологій та статистики підписувач (довірена особа підписувача) зобов’язаний пройти інструктаж із:
загальних правил безпеки праці під час роботи з комп’ютерною технікою;
порядку генерації особистого та відкритого ключів;
правил використання та зберігання персоніфікованого НКІ.
Результати інструктажу підтверджуються особистим підписом підписувача (довіреної особи підписувача) у журналі інструктажу підписувачів (довірених осіб підписувач).
2.3. Особистий та відкритий ключі підписувача генерується виключно на автоматизованому робочому місці генерації ключів, який входить до складу програмно-технічного комплексу АЦСК.
2.4. Підписувач (довірена особа підписувача) генерує особистий ключ підписувача, встановлює пароль захисту та записує його на персоніфікований НКІ, генерує запит на створення сертифіката відкритого ключа підписувача та передає його посадовій особі АЦСК для здійснення сертифікації.
2.5. У разі здійснення генерації особистого та відкритого ключів довіреною особою підписувача, для всіх персоніфікованих НКІ підписувачів довірена особа встановлює первинний пароль захисту.
2.6. Особисті ключі підписувачів не зберігаються в АЦСК. Після генерації та запису на НКІ особисті ключі підписувачів знищуються способом, що не дозволяє їх відновлення.
2.7. Посадова особа АЦСК на автоматизованому робочому місці програмно-технічного комплексу АЦСК здійснює такі дії:
на підставі згенерованого запиту на створення сертифіката відкритого ключа підписувача формує сертифікат відкритого ключа підписувача;
заносить сформований сертифікат відкритого ключа підписувача до реєстру чинних, скасованих та заблокованих сертифікатів підписувачів АЦСК.
3. Передання особистого ключа, сертифіката відкритого ключа
підписувачу (довіреній особі підписувача)
3.1. Посадова особа АЦСК формує іменні конверти, до складу яких повинні входити:
персоніфікований НКІ, що містить особистий ключ підписувача;
сертифікат відкритого ключа підписувача в паперовому вигляді;
супровідна картка із зазначенням прізвища, ім’я та по батькові підписувача та первинного паролю, яким захищений доступ до персоніфікованого НКІ.
3.2. Після отримання сертифіката відкритого ключа підписувач (або довірена особа підписувача) зобов’язаний перевірити правильність заповнення сертифіката відкритого ключа. У разі виявлення розбіжностей між інформацією у заяві про реєстрацію з інформацією, зазначеною у сертифікаті відкритого ключа, підписувач (або довірена особа підписувача) зобов’язаний оформити заяву про скасування сертифіката відкритого ключа підписувачата повторити процедуру реєстрації.
3.3. Іменні конверти повинні бути опечатані печаткою Департаменту митних інформаційних технологій та статистики "Для пакетів" у такий спосіб, щоб виключити можливість їх несанкціонованого відкриття та ознайомлення із вмістом.
3.4. Посадова особа АЦСК передає підписувачу (довіреній особі підписувача) іменні конверти згідно з актом, форма якого наведена у додатку 6 до цього Порядку.
3.5. У разі отримання іменних конвертів довіреною особою підписувача, остання готує акт передачі іменних конвертів безпосередньо підписувачу згідно з додатком 7 до цього Порядку. Інформація про передання (знищення) персоніфікованих НКІ з особистим ключем підписувача заноситься довіреною особою підписувача до журналу обліку персоніфікованих НКІ, який оформлюється у митному органі згідно з додатком 8 до цього Порядку.
3.6. Довірена особа підписувача зобов’язана при переданні персоніфікованого НКІ підписувачу провести інструктаж з правил використання та зберігання ЕЦП.
3.7. Підписувач під час отримання іменного конверта з особистим ключем зобов’язаний:
перевірити цілісність іменного конверта;
здійснити запуск спеціалізованого програмного забезпечення та провести зміну первинного пароля захисту особистого ключа, встановивши новий пароль доступу до персоніфікованого НКІ;
завантажити з Веб-сайту АЦСК до спеціалізованого програмного забезпечення користувача сертифікат відкритого ключа підписувача та сертифікати АЦСК.
3.8. Підписувач несе персональну відповідальність за зберігання та використання персоніфікованого НКІ та ключів, які на ньому записані. Забороняється передавати персоніфікований НКІ іншим особам або розголошувати пароль захисту особистого ключа підписувача.
3.9. У разі компрометації особистого ключа, записаного на персоніфікований НКІ, підписувач зобов’язаний вжити заходів, передбачених пунктами 1 та 2 розділу ІІІ цього Порядку.
III. Обслуговування сертифікатів
відкритих ключів підписувачів
1. Скасування сертифіката відкритого ключа підписувача
1.1. АЦСК скасовує сертифікат відкритого ключа підписувача у таких випадках:
за заявою підписувача (довіреної особи підписувача);
закінчення строку дії сертифіката відкритого ключа підписувача;
надання підписувачем недостовірних даних;
смерті підписувача або оголошення його померлим за рішенням суду;
не поновлення підписувачем заблокованого сертифікату протягом 45 календарних днів;
припинення (розірвання) договору приєднання "Про надання послуг електронного цифрового підпису";
у разі настання інших обставин, передбачених чинним законодавством.
1.2. АЦСК скасовує сертифікат відкритого ключа підписувача за зверненням керівника митного органу у таких випадках:
втрати або компрометації особистого ключа підписувача;
зміни даних підписувача, зазначених у сертифікаті відкритого ключа підписувача;
звільнення (переведення до іншого митного органу, спеціалізованої митної установи та організації) підписувача;
прийняття рішення керівником митного органу щодо позбавлення підписувача права застосування ЕЦП.
1.3. Для скасування сертифіката відкритого ключа підписувачу (довіреній особі підписувача) необхідно заповнити заяву про скасування сертифіката відкритого ключа підписувача згідно з додатком 9 до цього Порядку та надіслати супровідним листом митного органу до АЦСК.
1.4. Сертифікат відкритого ключа підписувача скасовується протягом 2 (двох) годин з моменту надходження в АЦСК заяви про скасування сертифіката відкритого ключа підписувача.
1.5. Сертифікат відкритого ключа підписувача вважається скасованим з моменту внесення інформації про його скасування до реєстру чинних, скасованих, заблокованих сертифікатів відкритих ключів підписувачів із зазначенням дати та часу цієї дії.
1.6. Скасований сертифікат не може бути надалі поновлений.
1.7. Підписувач не має права використовувати особистий ключ для накладення ЕЦП, сертифікат відкритого ключа якого скасовано.
1.8. У випадку, якщо необхідне термінове скасування сертифіката відкритого ключа підписувача через об’єктивні обставини, підписувач має право звернутися до АЦСК в усній формі (засобами телефонного зв’язку) з проханням заблокувати сертифікат відкритого ключа та протягом строку блокування подати відповідні заяви про блокування та скасування сертифіката відкритого ключа підписувача.
2. Блокування сертифіката відкритого ключа підписувала
2.1. АЦСК блокує сертифікат відкритого ключа підписувача у таких випадках:
подання заяви підписувачем (або його довіреною особою) про блокування сертифіката відкритого ключа підписувача;
за рішенням суду, що набрало законної сили.
2.2. Для блокування сертифіката відкритого ключа підписувачу (довіреній особі підписувача) необхідно:
засобами телефонного зв’язку повідомити АЦСК про необхідність блокування сертифіката відкритого ключа підписувача;
заповнити заяву про блокування сертифіката відкритого ключа підписувача згідно з додатком 10 до цього Порядку та надіслати до АЦСК.
2.3. При зверненні у телефонному режимі підписувач (довірена особа підписувача) повинен повідомити посадовій особі АЦСК таку інформацію: ідентифікаційні дані підписувача, ключову фразу голосової автентифікації, причину блокування сертифіката відкритого ключа підписувача.
2.4. Повідомлення у телефонному режимі приймається виключно при позитивній автентифікації (збігу ключової фрази голосової автентифікації, зазначеної у заяві про реєстрацію).
Заява про блокування сертифіката відкритого ключа в паперовому вигляді разом із супровідним листом митного органу передається до АЦСК у будь-який спосіб (поштовим відправленням чи нарочним) протягом десяти робочих днів із дати прийняття в АЦСК повідомлення у телефонному режимі.
2.5. АЦСК блокує сертифікат відкритого ключа підписувача негайно після надходження повідомлення у телефонному режимі про блокування сертифіката відкритого ключа підписувача.
2.6. Сертифікат відкритого ключа підписувача вважається заблокованим з моменту внесення інформації про його блокування до реєстру чинних, скасованих, заблокованих сертифікатів відкритих ключів підписувачів із зазначенням дати та часу цієї дії.
2.7. Блокування сертифіката відкритого ключа підписувача, тимчасово припиняє дію такого сертифіката на строк, що не перевищує 45 календарних днів. Після блокування сертифіката відкритого ключа, підписувач зобов'язаний надіслати до АЦСК заяву про поновлення сертифіката відкритого ключа підписувача, або заяву про скасування сертифіката відкритого ключа підписувача.
2.8. Якщо протягом строку блокування сертифіката відкритого ключа підписувача до АЦСК не надходить заява про поновлення дії сертифіката відкритого ключа підписувача, такий сертифікат скасовується, про що Департамент митних інформаційних технологій та статистики листом інформує керівника відповідного митного органу.
3. Поновлення сертифіката відкритого ключа підписувача
3.1. АЦСК поновлює блокований сертифікат відкритого ключа підписувача у таких випадках:
подання заяви підписувачем (або його довіреною особою) про поновлення заблокованого сертифіката відкритого ключа підписувача;
за рішенням суду, що набрало законної сили.
3.2. Поновлення чинності сертифіката відкритого ключа підписувача можливе лише для заблокованих сертифікатів відкритих ключів, термін блокування яких не скінчився.
3.3. Для поновлення сертифіката відкритого ключа підписувачу (довіреній особі підписувача) необхідно заповнити заяву про поновлення сертифіката відкритого ключа підписувача згідно з додатком 11 до цього Порядку та надіслати із супровідним листом митного органу до АЦСК.
3.4. Сертифікат відкритого ключа підписувача поновлюється протягом одного робочого дня з моменту надходження в АЦСК заяви про поновлення сертифіката відкритого ключа підписувача.
3.5. Сертифікат відкритого ключа підписувача вважається поновленим з моменту внесення інформації про його поновлення до реєстру чинних, скасованих, заблокованих сертифікатів відкритих ключів підписувачів із зазначенням дати та часу цієї дії.
4. Публікація (розповсюдження) сертифікатів
відкритих ключів підписувачів та інформації АЦСК
4.1. Публікація (розповсюдження) інформації, яка перерахована у пункті 4.2, здійснюється на офіційному інформаційному ресурсі (web-сайті) АЦСК у внутрішній локальній обчислювальній мережі Держмитслужби України та офіційному web-сайті АЦСК в мережі Інтернет за адресою: са.customs.gov.ua.
4.2. На офіційному web-сайті АЦСК публікується така інформація:
інформація про діяльність АЦСК (положення регламенту АЦСК Державної митної служби України, нормативні документи АЦСК, довідкова інформація тощо);
сертифікати відкритих ключів АЦСК;
сертифікати відкритих ключів підписувачів;
реєстри чинних, скасованих та заблокованих сертифікатів відкритих ключів підписувачів.
В.о. начальника Департаменту
митних інформаційних технологій
та статистики К.Г. Юрченко
Додатки 1-10
до Порядку організації та розповсюдження
електронного цифрового підпису
в митній службі України
Форми
З Додатками 1-10 можна ознайомитись: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".