НАРЕДБА ЗА ДЕЙНОСТТА НА ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ, РЕДА ЗА НЕЙНОТО ПРЕКРАТЯВАНЕ И ЗА ИЗИСКВАНИЯТА ПРИ ПРЕДОСТАВЯНЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ ОТ 2002 Г.
НАРЕДБА ЗА ДЕЙНОСТТА НА ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ, РЕДА ЗА НЕЙНОТО ПРЕКРАТЯВАНЕ И ЗА ИЗИСКВАНИЯТА ПРИ ПРЕДОСТАВЯНЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ ОТ 2002 Г.
Обн. ДВ. бр.15 от 8 Февруари 2002г., изм. ДВ. бр.85 от 1 Ноември 2011г., доп. ДВ. бр.5 от 17 Януари 2017г., отм. ДВ. бр.70 от 24 Август 2018г.
Отменена с § 2 от преходните и заключителните разпоредби на Постановление № 176 от 20 август 2018 г. за приемане на Наредба за отговорността и за прекратяването на дейността на доставчиците на удостоверителни услуги - ДВ, бр. 70 от 24 август 2018 г., в сила от 24.08.2018 г.
Глава първа.
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. С наредбата се уреждат:
1. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) дейността на доставчиците на удостоверителни услуги, установили се на територията на Република България, и редът за прекратяване на дейността им;
2. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) изискванията относно формата на удостоверенията за квалифициран електронен подпис, издавани от доставчиците на удостоверителни услуги;
3. изискванията за съхраняване на информация за услугите, предоставени от доставчиците на удостоверителни услуги;
4. изискванията за съдържанието, формата и източниците във връзка с разкриваната информация от доставчиците на удостоверителни услуги;
5. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) редът за водене на електронен регистър на издадените удостоверения от доставчиците на удостоверителни услуги;
6. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) изискванията към лицата по чл. 32, ал. 2, т. 4 от Закона за електронния документ и електронния подпис (ЗЕДЕП), както и условията и редът за включването им в списъка по чл. 32, ал. 3 от ЗЕДЕП;
7. (нова - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) изискванията към удостоверенията за време, формата и правилата за тяхното издаване, както и редът за водене на електронен регистър на издадените удостоверения за време от доставчиците на удостоверителни услуги.
Чл. 2. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 3. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Глава втора.
ДЕЙНОСТ НА ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ
Раздел I.
Общи изисквания към дейността
Чл. 4. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) (1) Доставчикът на удостоверителни услуги е длъжен да уведоми предварително Комисията за регулиране на съобщенията за започването на дейността си.
(2) Доставчикът на удостоверителни услуги е длъжен да предостави на Комисията за регулиране на съобщенията данни за задължителните обстоятелства, подлежащи на вписване в регистъра по чл. 38, ал. 4 ЗЕДЕП, заедно с уведомлението за започване на дейност.
Чл. 5. (1) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Дейността на доставчик на удостоверителни услуги по издаване на удостоверения за квалифициран електронен подпис и водене на регистър за тях обхваща:
1. осигуряване чрез използване на собствени или на чужди технически и програмни средства и персонал на следните дейности:
а) (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) приемане на искането, съдържащо точни и пълни данни за автора, съответно титуляря, както и на специфични данни за тях, когато доставчикът на удостоверителни услуги издава удостоверения за квалифициран електронен подпис при условията на чл. 24, ал. 1, т. 4 и 8 ЗЕДЕП;
б) (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) проверка на данните, предоставени по реда на буква "а", с изключение на специфичните данни, когато те не са публично достъпни;
в) създаване на удостоверение на базата на установената идентичност и валидни данни при приемането и проверката;
г) (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) пазенето на регистъра на издадените удостоверения;
2. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) извършване чрез използване на собствени технически и програмни средства и персонал на следните дейности:
а) подписване на удостоверението;
б) публикуване на удостоверението в регистъра;
в) управление на издадено удостоверение - отразяване на промените, спиране, възобновяване, прекратяване;
г) публикуване на списък на прекратените удостоверения в регистъра;
3. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) доставчик на удостоверителни услуги предоставя достъп на всяко трето лице до списъците на издадените и прекратените удостоверения при спазване изискванията на чл. 28, ал. 2 от ЗЕДЕП.
(2) Дейността на доставчик на удостоверителни услуги може да включва и:
1. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) създаване на двойка ключове - частен и публичен, за квалифициран електронен подпис;
2. предоставяне на потребителя на надеждна среда за създаване на електронен подпис;
3. (нова - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) издаване на удостоверение за времето на представяне на електронен подпис, създаден за определен електронен документ.
(3) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) При предоставяне на услугата по ал. 2, т. 1 доставчикът на удостоверителни услуги създава двойката ключове, както и останалата информация, необходима за създаване на електронния подпис, и след доставяне на частния ключ на автора унищожава своето копие за частния ключ и данните за създаването му без възможност за възстановяване.
(4) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) При предоставяне на услугата по ал. 2, т. 3 доставчикът на удостоверителни услуги следва:
1. да съобразява относимите международни препоръки и спецификации, като ETSI TS 102 023 v.1.2.1 (2003-01) Policy Requirements for time-stamping authorities, IETF RFC 3628: Requirements for Time-Stamping Authorities;
2. да предоставя точно калибровано време спрямо UTC (Coordinated Universal Time) с точност до 0,5 сек;
3. да гарантира публичен достъп за получаване и проверка на издадените удостоверения за време.
Чл. 6. (1) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Дейността на доставчика на удостоверителни услуги трябва да е организирана така, че създаването на квалифициран електронен подпис и издаването на удостоверение за квалифициран електронен подпис, както и дейността по издаване на удостоверение за време да са отделени от останалите му дейности.
(2) Доставчикът на удостоверителни услуги е длъжен да организира техническите поделения така, че функциите, които спадат към предлагането на услугите по чл. 5, да са отделени както при нормална работа, така и при особени експлоатационни условия, които задължително се документират, от функции и приложения, които не са свързани с дейността му като доставчик на удостоверителни услуги.
Чл. 7. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчик, който предлага удостоверителни услуги за квалифициран електронен подпис, е длъжен да вземе подходящи мерки за сигурност в съответствие с общоприети в международната практика документи (стандарти, технически спецификации, препоръки, ръководства и др.).
Чл. 8. (1) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Създаването, съхраняването и използването на частния ключ на доставчика на удостоверителни услуги се извършват съвместно най-малко от двама надлежно овластени служители.
(2) Частният ключ на доставчика на удостоверителни услуги се архивира, съхранява се в архивиран вид и се възстановява при условията на ал. 1.
(3) Функциите по ал. 1 и 2 се възлагат в писмена форма от управителния орган на доставчика.
Чл. 9. (1) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Физическата защита на частния ключ на доставчика на удостоверителни услуги се осъществява посредством определяне на ясно дефинирани периметри (физически бариери) около системите за издаване и управление на удостоверението.
(2) Физически достъп до защитената част от помещенията на доставчик на удостоверителни услуги имат само надлежно овластени служители в съответствие с техните функционални задължения.
Раздел II.
Изисквания за застраховане и поддържане на разполагаеми средства (Загл. изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 10. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчикът на удостоверителни услуги поддържа разполагаеми средства или сключва договор за застраховка, които му осигуряват възможност за осъществяване на дейността му по предоставяне на удостоверителни услуги, включително покриват вредите от неизпълнение на задълженията му.
Чл. 11. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Застраховката на доставчиците на удостоверителни услуги покрива отговорността за причинените на автора, съответно титуляря, на квалифицирания електронен подпис и на всички трети лица неимуществени и имуществени вреди, за които застрахованите отговарят съгласно българското законодателство или законодателството на страната, в която е настъпила вредата.
Чл. 12. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 13. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 14. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчиците на удостоверителни услуги, които сключват договор за застраховка, са длъжни да имат застраховка за минимална застрахователна сума в размер 600 000 лв. за всяко увредено лице от всяко събитие.
Чл. 15. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчикът на удостоверителни услуги се задължава да уведомява незабавно Комисията за регулиране на съобщенията за прекратяването на сключен договор за застраховка.
Чл. 16. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчикът на удостоверителни услуги, който не е сключил договор за застраховка, е длъжен по време на дейността си да разполага с бързоликвидни разполагаеми средства (парични наличности и парични еквиваленти) в размер, не по-малък от 600 000 лв.
Чл. 17. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 18. Застрахователят може да предяви регресен иск, когато вредата е причинена умишлено от застрахования.
Чл. 19. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 20. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Раздел III.
Изискване за разполагаеми средства (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 21. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Раздел IV.
Изисквания по отношение на наетия персонал
Чл. 22. (1) В зависимост от обхвата на дейността си по чл. 5 доставчикът на удостоверителни услуги е длъжен да има на разположение необходимия брой квалифицирани служители, които във всеки момент от осъществяването на неговата дейност да осигуряват изпълнението на задълженията му.
(2) Техническият персонал на доставчика на удостоверителни услуги трябва да притежава професионални познания най-малко в следните области:
1. технологии за сигурност, криптография, инфраструктура на публични ключове (PKI);
2. технически норми за оценка на сигурността;
3. информационни системи.
Чл. 23. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчикът на удостоверителни услуги организира работата на служителите си по начин, който гарантира, че различни лица изпълняват дейностите по:
1. генериране и поддържане на инфраструктурата на публичния ключ на доставчика на удостоверителни услуги;
2. администриране и осигуряване сигурност на системите;
3. създаване и управление на удостоверения за квалифициран електронен подпис, включително създаване на двойка ключове - частен и публичен, за квалифициран електронен подпис, и
4. съхранение на данни и архивиране.
Раздел V.
Изисквания по отношение на техническото оборудване и технологиите
Чл. 24. Доставчикът на удостоверителни услуги следва да осигури и използва процедури и методи за администриране и управление на сигурността на използваната инфраструктура в съответствие с общоприети в международната практика стандарти за управление на информационната сигурност.
Чл. 25. (1) Надеждността на използваната система и техническата и криптографската сигурност на осъществяваните чрез нея процеси се считат осигурени, когато техническото оборудване и технологиите, с които разполага доставчикът на удостоверителни услуги, са преминали през успешно проведени изпитвания и проверки.
(2) Методите за оценка на сигурността на използваната система се основават на разработената към стандарта ISO Standard 15408 обща методика за оценка (CEM) или други методики, осигуряващи еквивалентна оценка на сигурността.
(3) Системите и техническите средства, които доставчикът на удостоверителни услуги използва за извършване на услугите по създаване, подписване, съхраняване и управление на удостоверенията, трябва да са предназначени и използвани само за тази цел.
(4) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Проверките по ал. 1 се извършват на всеки 3 години или при промяна, която засяга надеждността.
Чл. 26. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Създаването, съхраняването и използването на частния ключ на доставчика на удостоверителни услуги се извършват в система със защитен профил, определен в съответствие с общите изисквания (CC), ниво на сигурност EAL 4 или по-високо съгласно стандарта ISO 15408 или друга спецификация, определяща еквивалентни нива на сигурността.
Чл. 27. (1) Доставчикът на удостоверителни услуги е длъжен да поддържа документация за актуалното състояние на използваните от него техническо оборудване и технологии.
(2) Неизпълнението на задължението по ал. 1 е нарушение на изискванията за сигурност.
Чл. 28. (1) (Доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчикът на удостоверителни услуги използва техническо оборудване и технологии, чрез които се изпълняват най-малко следните функции в използваната от него система за издаване и управление на удостоверения за квалифициран електронен подпис:
1. проверки за доказване произхода на получаваната и обменяната информация, свързана с издаването и управлението на удостоверенията;
2. проверка на целостта на обменяните съобщения;
3. подписване на изпращаните съобщения;
4. архивиране на служебните данни и електронното им подписване;
5. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) поддържане целостта на съхраняваните и обменяните данни, в това число на данните за използваните криптографски ключове;
6. сигурно съхраняване на използваните от доставчика на удостоверителни услуги частни ключове;
7. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) управление на достъпа до информационните ресурси (данни за създаване подписа на доставчика, удостоверението за квалифициран подпис, списъка на прекратените удостоверения, съхраняваните официални документи);
8. създаване и архивиране на записи от вътрешни проверки, свързани с възникнали критични ситуации по отношение на информационната сигурност.
(2) Доставчикът на удостоверителни услуги чрез използваните техническо оборудване и технологии може да осъществява и следните функции:
1. (изм. и доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) проверка на квалифицирания електронен подпис в съответствие с чл. 17, ал. 2 от ЗЕДЕП съгласно изискванията в техническите спецификации на CEN/ISSS за електронния подпис;
2. поддържане на он-лайн протокол за статуса на удостоверенията (OCSP);
3. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) проверка за наличие в удостоверението за квалифициран електронен подпис на уникално име за разпознаване (Dname);
4. съхраняване и използване на частния си ключ с високо ниво на сигурност чрез използване на смарт-карта с парола или персонален идентификатор (PIN) и/или биометричен идентификатор.
Чл. 29. (1) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Когато доставчикът на удостоверителни услуги предлага и услугата по създаване на двойка ключове, той е длъжен да използва устройство за сигурно създаване на подпис (SSCD) със защитен профил съгласно чл. 26.
(2) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Утвърдените и поддържани от устройство за сигурно създаване на квалифицирани електронни подписи алгоритми и параметрите им задължително съответстват на:
1. защитния профил по ал. 1;
2. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) изискванията към обкръжаващата системна среда, свързана със създаването на квалифициран електронен подпис;
3. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) изискванията към обкръжаващата системна среда, свързана с проверка на квалифициран електронен подпис.
(3) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Форматите за квалифицирания електронен подпис следва да са в съответствие с общоприети спецификации, като RFC 2315, PKCS#7.
Раздел VI.
Поддържане на задължителна документация, свързана с дейността
Чл. 30. (1) Всеки доставчик на удостоверителни услуги е длъжен да отрази в разработените и поддържани от него документи основните принципи, съгласно които осъществява дейността си.
(2) Целта на документите по ал. 1 е:
1. да се установи съответствието на доставчика с изискванията на ЗЕДЕП, както и надеждността и сигурността на осъществяваната от него дейност, и
2. да направи публични за потребителите предоставяните от доставчика услуги.
Чл. 31. (Доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) "Политика за предоставяне на удостоверителни услуги" е документ, който описва политиката на издаване на удостоверения от доставчика и видовете услуги, предоставяни от него, включително услугите по издаване на удостоверения за време.
Чл. 32. (1) "Практика при предоставяне на удостоверителни услуги" е документ, разработен в съответствие с изискванията на политиката по чл. 31 и процедурите по чл. 34, който задължително съдържа подробно описание на реализирането на:
1. мерки за сигурност при предоставяне на услугите;
2. издаване, спиране, възобновяване и прекратяване действието на удостоверенията;
3. предоставяне на достъп до удостоверенията.
(2) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Практиката по ал. 1 се разработва съгласно общоприетата международна спецификация RFC 3647 или друг еквивалентен документ и съдържа най-малко следното:
1. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) име/наименование на доставчика на удостоверителни услуги и ЕГН или БУЛСТАТ/ЕИК;
2. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) адрес или седалище и адрес на управление на доставчика на удостоверителни услуги;
3. описание на обхвата и приложимостта на предлаганите услуги и поддържаните политики;
4. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) правила и процедури, които трябва да се изпълняват при издаване и управление (спиране, прекратяване и възобновяване) действието на удостоверенията за квалифицирани електронни подписи, в това число необходимите документи при приемане и проверка на искане за издаване на удостоверение за квалифициран електронен подпис и тези, които се съхраняват от доставчика в зависимост от заявената услуга;
5. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) списък на поддържаните алгоритми за електронен подпис и защита на данните;
6. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) срок на действие на удостоверенията за квалифициран електронен подпис;
7. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) детайлно описание на формата (на отделните полета, в т. ч. на разширенията) на издаваните удостоверения за квалифициран електронен подпис;
8. (доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) технология за създаване, проверка, спиране, възобновяване и прекратяване действието на удостоверенията;
9. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) описание на задълженията и отговорностите на доставчика на удостоверителни услуги, на всички външни лица (ако има такива), участващи в дейността по чл. 5, както и задълженията на автора, съответно титуляря, на квалифицирания електронен подпис;
10. (нова - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) описание на предлаганите услуги по издаване на удостоверения за време.
Чл. 33. (1) Документите по чл. 31 и 32 са публични и се обединяват в Наръчника за потребителя.
(2) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Наръчникът за потребителя има характер на общи условия и е обвързващ за издателя си.
(3) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Всяка промяна в Наръчника за потребителя трябва да бъде съобщена на Комисията за регулиране на съобщенията и на заинтересованите лица.
Чл. 34. (1) Процедурите за сигурност задължително съответстват на общоприетите международни стандарти за информационната сигурност и нейното управление.
(2) Процедурите за сигурност включват най-малко:
1. управленски мерки за сигурност;
2. мерки за информационна сигурност;
3. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) разполагаеми средства или застраховки;
4. изисквания за надеждност на персонала;
5. мерки за осигуряване на защита и ограничаване на достъпа до отделни устройства и помещения, включително мерките по чл. 9;
6. мерки за осигуряване на защита срещу непозволен достъп до информационните системи;
7. мерки за осигуряване на защита срещу непозволени промени;
8. (нова - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) план за действие при форсмажорни събития и последващо възстановяване на дейността.
Чл. 35. (1) Процедурите за сигурност не са публични. Достъп до тях има само Комисията за регулиране на съобщенията и нейни служители, осъществяващи функции по контрол.
(2) (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 36. (Доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Отношенията между доставчика на удостоверителни услуги и автора, съответно титуляря се уреждат с писмен договор, който включва общите условия и съдържа най-малко:
1. вид и описание на услугите;
2. срок за предоставяне;
3. цени на отделните услуги;
4. специални условия.
Раздел VII.
Ред за водене и пазене на електронен регистър на удостоверенията
Чл. 37. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) (1) Всеки доставчик на удостоверителни услуги е длъжен да води електронен регистър с Х.500 или LDAP или HTTP/HTTPS базиран достъп.
(2) Регистърът по ал. 1 съдържа:
1. удостоверенията за квалифициран електронен подпис, които използва в дейността си като доставчик на удостоверителни услуги;
2. списък на издадените удостоверения за квалифициран електронен подпис;
3. списък на прекратените удостоверения;
4. удостоверения за време за представяне на електронен подпис, създаден за определен електронен документ, в случаите, когато такива се издават от доставчика на удостоверителни услуги;
5. информация по чл. 28, ал. 3 ЗЕДЕП.
Чл. 38. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 39. (Изм. и доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Актуализирането на списъците на действащите и прекратените удостоверения за квалифициран електронен подпис трябва да се извършва най-малко през 3 часа.
Чл. 40. Регистърът трябва да бъде пазен така, че:
1. въвеждането на данни да се извършва само от надлежно овластени служители;
2. извършването на промени на данните да не е възможно;
3. възможността за непозволена намеса да е сведена до минимум.
Раздел VIII.
Прекратяване на дейността
Чл. 41. (1) (Доп. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчик на удостоверителни услуги, който желае да прекрати осъществяването на дейността си, е длъжен да уведоми Комисията за регулиране на съобщенията и потребителите си за своето намерение най-късно 4 месеца преди датата на прекратяване.
(2) (Нова - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) С уведомлението по ал. 1 доставчикът на удостоверителни услуги информира Комисията за регулиране на съобщенията дали ще осъществи прехвърляне на дейността си към друг доставчик.
(3) (Предишна ал. 2, изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Независимо от изискването на ал. 1 доставчикът на удостоверителни услуги е длъжен да уведоми незабавно Комисията за регулиране на съобщенията в случай на започване на производство по обявяване в несъстоятелност на доставчика, производство по ликвидация на доставчика или друго производство по прекратяване на доставчика.
Чл. 42. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 43. (Отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
Чл. 44. (1) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Доставчикът на удостоверителни услуги е длъжен да предаде цялата документация, свързана с дейността му по чл. 5, ал. 1, на доставчика, на когото е прехвърлил дейността си.
(2) (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Когато доставчикът не е прехвърлил дейността си на друг доставчик, той предава документацията по ал. 1 на Комисията за регулиране на съобщенията незабавно след прекратяването на дейността си. Комисията за регулиране на съобщенията поддържа регистър на прекратените удостоверения на доставчик на удостоверителни услуги, прекратил дейността си.
Чл. 45. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) (1) Доставчик на удостоверителни услуги, който е поел дейността на друг доставчик на удостоверителни услуги, е длъжен да поддържа издадените удостоверения за квалифициран електронен подпис в рамките на срока на тяхната валидност безплатно за автора, съответно титуляря, и при същите условия, при които са издадени.
(2) Доставчик на удостоверителни услуги, който е поел дейността на друг доставчик на удостоверителни услуги, има право да използва инфраструктура на публичния ключ на доставчика, прехвърлил дейността си, с оглед управление на вече издадените удостоверения за квалифициран електронен подпис за срок, не по-дълъг от 6 месеца.
Глава трета.
ИЗИСКВАНИЯ ОТНОСНО ФОРМАТА НА УДОСТОВЕРЕНИЯТА, ИЗДАВАНИ ОТ ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ
Чл. 46. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Представяните в електронна форма удостоверения за квалифициран електронен подпис представляват електронен документ във формат, описан в общопризнати в практиката международни спецификации, използващ стандартен абстрактен език - ASN.1 (Abstract Syntax Notation One) за неговото описание и стандартно двоично кодиране.
Чл. 47. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) За формат на удостоверение за квалифициран електронен подпис се използват Х.509 (v.2, v. 3, v.4 и следващи версии) базирани формати, използващи абстрактния език ASN.1 (Abstract Syntax Notation One).
Чл. 48. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) (1) Форматът на удостоверенията за време следва да се съобразява с изискванията на приложимите международни спецификации, като ETSI TS 101 861 v.1.3.1, IETF RFC 3161.
(2) (Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) В удостоверенията за време следва да се указва времето с точност до секунда или до милисекунда, ако това е необходимо.
Глава четвърта.
ИЗИСКВАНИЯ ЗА СЪХРАНЯВАНЕ НА ИНФОРМАЦИЯ ЗА УСЛУГИТЕ, ПРЕДОСТАВЕНИ ОТ ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ
Чл. 49. (1) Всеки доставчик на удостоверителни услуги поддържа база от данни, в която съхранява информацията за дейността си, свързана с предоставянето на удостоверителни услуги.
(2) При обмен на двойката ключове кодирането им в използваната за тяхното управление база от данни се извършва във формати X.509 или PKCS#8, или в друг стандартен формат, който дава равни възможности.
Чл. 50. (1) Базата от данни по чл. 49 задължително съдържа:
1. документите по глава втора, раздел VI;
2. (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) данните за създаване и проверка на квалифицирания електронен подпис на доставчика (частния и публичния ключ), като:
а) тези данни трябва да се документират и съхраняват заедно;
б) (изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) данните за създаване на квалифициран електронен подпис трябва да се съхраняват по начин, който изключва тяхното узнаване;
3. кореспонденцията между доставчика и потребителя, която се отнася до дейността по чл. 5;
4. информация за извършените вътрешни проверки, като всеки запис:
а) съдържа: номерация и описание на събитието; датата и часа на появата му; нивото на строгост на проверката; идентификатор на потребителя, причинил събитието; резултат;
б) осигурява възможност за своевременно установяване на извършени в него промени;
в) осигурява възможност за търсене по периоди.
(2) Достъп до информацията по ал. 1, т. 4 могат да имат само изрично определени служители на доставчика.
Глава пета.
ИЗИСКВАНИЯ КЪМ ЛИЦАТА ПО ЧЛ. 32, АЛ. 2, Т. 4 ОТ ЗАКОНА ЗА ЕЛЕКТРОННИЯ ДОКУМЕНТ И ЕЛЕКТРОННИЯ ПОДПИС. УСЛОВИЯ И РЕД ЗА ВКЛЮЧВАНЕТО ИМ В СПИСЪКА ПО ЧЛ. 32, АЛ. 3 ОТ ЗАКОНА ЗА ЕЛЕКТРОННИЯ ДОКУМЕНТ И ЕЛЕКТРОННИЯ ПОДПИС
Чл. 51. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) (1) Комисията за регулиране на съобщенията определя лица, чиято проверка за спазване от доставчиците на удостоверителни услуги на изискванията на чл. 17 и чл. 21, ал. 1 ЗЕДЕП признава за валидна, като ги включва в публичен списък на проверяващи лица.
(2) Броят на лицата, включени в списъка по ал. 1, не се ограничава.
(3) Лицата, които желаят да бъдат включени в списъка по ал. 1, подават писмено заявление до Комисията за регулиране на съобщенията заедно с документи, доказващи изпълнението на изискванията на чл. 52, ал. 1 и ал. 2, т. 1, 2, 4 - 6.
(4) В случай на непълноти в заявлението в 7-дневен срок от получаването му Комисията за регулиране на съобщенията писмено уведомява лицето да отстрани непълнотите.
(5) Комисията за регулиране на съобщенията вписва лицето, подало заявление, в списъка по ал. 1 в 14-дневен срок от подаване на заявлението или отстраняване на непълнотите.
(6) Комисията за регулиране на съобщенията може да откаже с мотивирано решение вписването в списъка по ал. 1, в случай че лицето не отговаря на изискванията по чл. 52, ал. 1 и ал. 2, т. 1, 2, 4 - 6.
Чл. 52. (1) Комисията за регулиране на съобщенията включва в списъка по чл. 51 лица, които докажат възможността си да изпълняват проверяващи функции чрез изпълнение на изискванията на възприети в международната практика документи (стандарти, препоръки, ръководства, технически спецификации и др.).
(2) Лицата по ал. 1 трябва да отговарят на следните общи изисквания:
1. проверяващите лица и техният персонал не трябва да извършват дейности, които биха могли да повлияят на тяхната независимост при извършване на проверките;
2. проверяващите лица трябва да са финансово стабилни и независими;
3. проверяващите лица трябва да осигуряват пълна прозрачност на извършваните от тях дейности и да записват цялата съществена информация, отнасяща се до тези дейности;
4. проверяващите лица трябва да разполагат с необходимия персонал и съоръжения, които да им позволяват да извършват правилно и ефективно техническата и административната дейност;
5. персоналът на проверяващите лица трябва да притежава:
а) необходимата техническа и професионална подготовка, включително в областта на технологиите на електронния подпис и свързаната с него сигурност на информационните технологии и системи;
б) необходимите знания и опит в областта на извършваните проверки;
6. проверяващите лица трябва да са в състояние да посрещат задълженията си, произтичащи от дейността им, включително да бъдат застраховани;
7. проверяващите лица трябва да осигуряват поверителност на получената информация.
(3) Проверяващите лица могат да преупълномощават други лица за извършване на част или на цялата проверка, като носят отговорност за резултатите от дейността им.
Чл. 53. Комисията за регулиране на съобщенията публикува и поддържа списъци и на документите по чл. 52, ал. 1.
Допълнителни разпоредби
§ 1. По смисъла на наредбата:
1. "Сигурност" е системно свойство, което е резултат от постигането на следните цели: поверителност, отчетност, цялостност, достъпност и увереност.
2. "Поверителност" означава, че в определена степен данните в паметта, както и обработваните и предаваните данни не подлежат на неправомерен или случаен достъп и възпроизвеждане.
3. "Отчетност" означава, че действията на дадена единица могат да бъдат осъществени единствено от тази единица.
4. "Цялостност" на система или на данни означава, че техническите средства и технологиите са защитени в съответната степен срещу непозволен достъп и изменение.
5. "Достъпност" означава, че за конкретно приложение са удовлетворени изискванията за защита срещу непозволено или случайно заличаване на данни или отказване на услуга.
6. "Увереност" означава убеденост, че са постигнати останалите четири цели на сигурността.
7. "Ниво на сигурност" е степен от йерархичната класификация на сигурността, която показва податливостта на дадена единица към нарушаване на целите на сигурност.
8. "Биометрични средства за идентифициране" са средства за идентифициране на лица посредством специфични атрибути, отразяващи уникални лични белези, като пръстови отпечатъци, снимка на очни капиляри или гласова снимка.
9. "Инфраструктура на публичен ключ" (Public Key Infrastructure - PKI) е съвкупността от хардуера, софтуера, персонала и документите по глава втора, раздел VI, необходими за издаването, управлението и прекратяването на удостоверенията за електронен подпис.
10. "Профил (досие) на удостоверението" е специфичен документ, различаващ се от една стандартна спецификация на удостоверението (каквато е спецификацията X.509 на ITU - T във версиите си от 1 до 4) по това, че дефинира определени ограничения (част от които по същество оформят изискванията към формата на удостоверението) върху комбинации от условия, действия и др., които могат или не могат да съществуват в различните типове удостоверения, използвани от различни страни, организации, региони и пр.
11. "X.500 препоръки" (X.500 Recommendations) е серия от стандартни препоръки на ITU, които специфицират протокола на регистърните услуги.
12. "Протокол за достъп до регистъра" (Directory Access Protocol - DAP) е протокол, използван за реализиране на достъпа до информацията в регистъра.
13. "Опростен протокол за достъп до регистъра" (Lightweight Directory Access Protocol - LDAP) е Интернет стандарт за обикновени (прости) регистри, представляващ глобален модел на регистърни услуги, опиращ се на протокола TCP/IP. Дефиниран е в стандарта IETF RFC 1777 "The Lightweight Directory Access Protocol".
14. "Стандарти за абстрактния език ASN.1" (Abstract Syntax Notation One) е серия от международни стандарти, публикувани съвместно от ISO, IEC и ITU, разделени на две групи. Първата група съдържа спецификациите ITU Х.680 - Х.683 (ISO/IEC 8824-1 до 8824-4) на абстрактния език. Втората група съдържа спецификациите за кодиранията на този език - ITU Х.690 (ISO/IEC 8825-1) за BER (Basic Encoding Rules), DER (Distinguished Encoding Rules) и CER (Canonical Encoding Rules) и ITU Х.691 (ISO/IEC 8825-2) за PER (Packed Encoding Rules).
15. (отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
16. (отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
17. (отм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.)
18. "Персонален идентифициращ номер" (PIN) е поредица от символи, която служи като идентификатор на притежателя на средството за идентификация.
Заключителни разпоредби
§ 2. Контролът по изпълнението на наредбата се възлага на Комисията за регулиране на съобщенията.
§ 3. (Изм. - ДВ, бр. 85 от 2011 г., в сила от 01.11.2011 г.) Наредбата се приема на основание чл. 21, ал. 2, чл. 28, ал. 4, чл. 32, ал. 4, чл. 37а и чл. 40, ал. 3 и 5 от ЗЕДЕП.
Преходни и Заключителни разпоредби
КЪМ ПОСТАНОВЛЕНИЕ № 292 ОТ 21 ОКТОМВРИ 2011 Г. ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА НАРЕДБАТА ЗА ДЕЙНОСТТА НА ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ, РЕДА ЗА НЕЙНОТО ПРЕКРАТЯВАНЕ И ЗА ИЗИСКВАНИЯТА ПРИ ПРЕДОСТАВЯНЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ, ПРИЕТА С ПОСТАНОВЛЕНИЕ № 17 НА МИНИСТЕРСКИЯ СЪВЕТ ОТ 2002 Г.
(ОБН. - ДВ, БР. 85 ОТ 2011 Г., В СИЛА ОТ 01.11.2011 Г.)
§ 48. Доставчиците на удостоверителни услуги привеждат дейността си в съответствие с измененията в срок до 3 месеца от датата на влизане в сила на постановлението.
§ 49. Постановлението влиза в сила от деня на обнародването му в "Държавен вестник".
Заключителни разпоредби
КЪМ ПОСТАНОВЛЕНИЕ № 3 ОТ 9 ЯНУАРИ 2017 Г. ЗА ПРИЕМАНЕ НА НАРЕДБА ЗА ОБЩИТЕ ИЗИСКВАНИЯ КЪМ ИНФОРМАЦИОННИТЕ СИСТЕМИ, РЕГИСТРИТЕ И ЕЛЕКТРОННИТЕ АДМИНИСТРАТИВНИ УСЛУГИ
Заключителни разпоредби
(ОБН. - ДВ, БР. 5 ОТ 2017 Г., В СИЛА ОТ 01.03.2017 Г.)
§ 14. Постановлението влиза в сила от 1 март 2017 г. с изключение на § 10, който влиза в сила от 18 ноември 2016 г.
