Vyhláška 378/2006 o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) účinný od 17.08.2006
| Schválené: | 19.07.2006 |
| Účinnost od: | 17.08.2006 |
| Autor: | Ministerstva informatiky |
| Oblast: | ZPŮSOBILOST PRO POVOLÁNÍ, ZAMĚSTNÁNÍ, POSTAVENÍ, FUNKCE, Elektronický podpis., Zásady kontroly., Rozvoj informačních systémů., Elektronická pošta. Elektronické prostředky., Technická bezpečnost zařízení., Poškození a zneužití záznamu na nosiči informací. |
| Zobraziť iba vybrané paragrafy: | Zobrazit |
Ministerstvo informatiky (dále jen "ministerstvo") stanoví podle § 20 odst. 1, 2, 3 a 5 zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 517/2002 Sb. a zákona č. 440/2004 Sb., (dále jen "zákon"):
ČÁST PRVNÍ
OBECNÁ USTANOVENÍ
§ 1
Předmět úpravy
(1) Tato vyhláška stanoví
a) způsob splnění informační povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3 zákona, kvalifikační požadavky podle § 6 odst. 1 písm. b) zákona, požadavky na bezpečné systémy a bezpečné nástroje podle § 6 odst. 1 písm. c) a d) zákona, způsob uchovávání informací a dokumentace podle § 6 odst. 5 a 6 zákona a způsob, jakým se splnění těchto požadavků dokládá,
b) způsob zajištění bezpečnosti seznamů podle § 6a odst. 1 písm. e) a f) zákona, určení data a času podle § 6a odst. 1 písm. g) zákona, náležitosti opatření podle § 6a odst. 1 písm. h) zákona, způsob splnění informační povinnosti podle § 6a odst. 1 písm. i) zákona, způsob ochrany a zajištění souladu dat podle § 6a odst. 2 zákona, způsob zneplatnění certifikátů podle § 6a odst. 3 a 4 zákona a způsob, jakým se splnění těchto požadavků dokládá,
c) způsob zajištění přesnosti času při vytváření kvalifikovaného časového razítka podle § 6b odst. 1 písm. b) zákona, způsob zajištění souladu dat podle § 6b odst. 1 písm. c) zákona, náležitosti opatření podle § 6b odst. 1 písm. d) zákona, způsob splnění informační povinnosti podle § 6b odst. 1 písm. e) zákona a způsob, jakým se splnění těchto požadavků dokládá,
d) způsob zajištění postupů, které musí podporovat prostředky pro bezpečné vytváření elektronických podpisů při ochraně dat pro vytváření elektronických podpisů podle § 17 zákona a prostředky pro vytváření elektronických značek při ochraně dat pro vytváření elektronických značek podle § 17a zákona, a způsob, jakým se splnění těchto požadavků dokládá.
(2) Tato vyhláška byla oznámena v souladu se směrnicí Evropského parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu poskytování informací v oblasti technických norem a předpisů a pravidel pro služby informační společnosti, ve znění směrnice 98/48/ES.
§ 2
Vymezení některých pojmů
Pro účely této vyhlášky se rozumí
a) nadřízenými kvalifikovanými systémovými certifikáty kvalifikované systémové certifikáty, které obsahují data pro ověřování elektronických značek odpovídající datům pro vytváření elektronických značek, kterými poskytovatel označuje vydávané kvalifikované certifikáty, kvalifikované systémové certifikáty, seznamy podle § 6a odst. 1 písm. f) zákona a vydávaná kvalifikovaná časová razítka,
b) seznamem vydaných certifikátů seznam, který má náležitosti podle § 6a odst. 1 písm. e) zákona a splňuje požadavky této vyhlášky,
c) seznamem zneplatněných certifikátů seznam, který má náležitosti podle § 6a odst. 1 písm. f) zákona a splňuje požadavky této vyhlášky,
d) bezpečnostní dokumentací soubor dokumentů, které poskytovatel vytváří v souladu s touto vyhláškou a ve kterých stanoví zásady a veškeré postupy uplatňované při zajišťování kvalifikovaných certifikačních služeb,
e) bezpečným kryptografickým modulem nástroj elektronického podpisu, který poskytovatel používá pro činnosti stanovené touto vyhláškou a který splňuje požadavky této vyhlášky,
f) kritickými činnostmi poskytovatele příjem žádostí o zneplatnění certifikátů, zneplatnění certifikátů a vydání seznamu zneplatněných certifikátů, případně další činnosti, které poskytovatel určí při analýze rizik jako kritické činnosti,
g) mimořádnou událostí událost, která ohrožuje poskytování kvalifikovaných certifikačních služeb a nastává zejména v důsledku selhání důvěryhodného systému, technického zařízení, a nebo výskytu faktoru, který není pod kontrolou poskytovatele,
h) nejistotou časového údaje možné odchýlení měřidla času od světového koordinovaného času v součtu s nejistotou měření časového údaje.
ČÁST DRUHÁ
POSTUPY KVALIFIKOVANÝCH
POSKYTOVATELŮ CERTIFIKAČNÍCH SLUŽEB A OCHRANA DAT PRO VYTVÁŘENÍ
ELEKTRONICKÝCH ZNAČEK
HLAVA PRVNÍ
POSTUPY POSKYTOVATELŮ
§ 3
Požadavky na bezpečné systémy
Systémy podle § 6 odst. 1 písm. c) a d) zákona (dále jen "důvěryhodné systémy") jsou bezpečné a bezpečnost postupů, které tyto systémy podporují, je dostačující, pokud kvalifikovaný poskytovatel certifikačních služeb (dále jen "poskytovatel")
a) používá důvěryhodné systémy a postupy, které splňují požadavky standardu pro tyto systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky, a požadavky českých technických norem uvedených v bodech 2 a 3 přílohy č. 1 této vyhlášky; požadavky těchto standardů a českých technických norem stanovené pro důvěryhodné systémy používané pro vydávání a správu kvalifikovaných certifikátů se použijí obdobně pro důvěryhodné systémy používané pro vydávání a správu kvalifikovaných systémových certifikátů,
b) při řízení bezpečnosti důvěryhodných systémů postupuje podle české technické normy uvedené v bodu 4 přílohy č. 1 této vyhlášky a má zaveden a uplatňuje systém řízení bezpečnosti informací podle české technické normy uvedené v bodu 5 přílohy č. 1 této vyhlášky,
c) užívá prostory, ve kterých je zajišťováno vytváření kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek, prostředků pro vytváření elektronických podpisů, zneplatňování kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, vytváření seznamů zneplatněných certifikátů, veškeré nakládání s daty pro vytváření elektronických značek a jim odpovídajícími daty pro ověřování elektronických značek poskytovatele, nakládání s kvalifikovaným systémovým certifikátem poskytovatele a vytváření záznamů o událostech s těmito činnostmi spojených, zabezpečené obdobně jako zabezpečené oblasti kategorie "Důvěrné" podle zvláštního právního předpisu1)a je zpracována dokumentace stanovená tímto právním předpisem,
d) má zpracovánu a průběžně aktualizuje bezpečnostní dokumentaci,
e) postupuje v souladu se zásadami a postupy uvedenými v bezpečnostní dokumentaci,
f) provádí kontrolu bezpečnostní shody podle této vyhlášky,
g) provádí audit systému řízení bezpečnosti informací podle této vyhlášky.
§ 4
Bezpečnostní dokumentace
(1) Není-li uvedeno jinak, splnění povinností stanovených zákonem a požadavků stanovených touto vyhláškou dokládá poskytovatel prostřednictvím bezpečnostní dokumentace.
(2) Bezpečnostní dokumentaci tvoří tyto dokumenty:
a) certifikační politika pro vydávání kvalifikovaných certifikátů, pokud poskytovatel tuto službu zajišťuje,
b) certifikační politika pro vydávání kvalifikovaných systémových certifikátů, pokud poskytovatel tuto službu zajišťuje,
c) politika pro vydávání kvalifikovaných časových razítek, pokud poskytovatel tuto službu zajišťuje,
d) politika pro vydávání prostředků pro bezpečné vytváření elektronických podpisů, pokud poskytovatel tuto službu zajišťuje,
e) certifikační politiky pro vydávání nadřízených kvalifikovaných systémových certifikátů,
f) zprávy pro uživatele služeb uvedených v písmenech a) až d), pokud tyto služby poskytovatel poskytuje,
g) certifikační prováděcí směrnice nebo jiné prováděcí směrnice ke službám podle písmen a) až e),
h) celková bezpečnostní politika,
i) systémová bezpečnostní politika,
j) plán pro zvládání krizových situací a plán obnovy,
k) další dokumenty poskytovatele, na které je v dokumentech podle písmen a) až j) odkazováno nebo které obsahují podrobná pravidla a podrobné postupy, kterými poskytovatel zajišťuje bezpečnost poskytovaných kvalifikovaných certifikačních služeb; z bezpečnostní dokumentace musí být zřejmé, jaké postupy poskytovatel uplatňuje při zajištění bezpečnosti systémů podle § 6 odst. 1 písm. c) a d) zákona.
§ 5
Obsah bezpečnostní dokumentace
(1) Obsahem politik podle § 4 odst. 2 písm. a) až d) je vždy
a) stanovení zásad, které poskytovatel uplatňuje při zajišťování kvalifikované certifikační služby,
b) v případě vydávání kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů popis vlastností dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek, která vytváří osoba žádající o vydání certifikátu nebo která vytváří poskytovatel a k nimž má být příslušný certifikát vydán; kryptografické algoritmy a jejich parametry, které mohou být pro tato data použity, zveřejňuje ministerstvo na své úřední desce,
c) v případě vydávání kvalifikovaných časových razítek
1. kryptografické algoritmy, které mohou být použity při vytváření otisku dat, která mají být označena kvalifikovaným časovým razítkem a parametry těchto algoritmů,
2. přesnost času v časovém razítku ve vztahu ke světovému koordinovanému času.
(2) Obsahem zprávy pro uživatele podle § 4 odst. 2 písm. f) jsou informace o identifikačních údajích poskytovatele a základní přehled o dané kvalifikované certifikační službě a jejím využívání.
(3) Obsahem prováděcí směrnice podle § 4 odst. 2 písm. g) je vždy stanovení postupů, které poskytovatel uplatňuje při zajišťování jednotlivých kvalifikovaných certifikačních služeb.
(4) Obsahem celkové bezpečnostní politiky podle § 4 odst. 2 písm. h) je vždy stanovení cílů a popis způsobu zabezpečení důvěryhodných systémů poskytovatele a specifikace zásad a předpisů vztahujících se k řešení bezpečnosti v důvěryhodných systémech a určení pravomocí a odpovědností za řešení bezpečnosti.
(5) Systémová bezpečnostní politika podle § 4 odst. 2 písm. i) je zpracovávána na základě provedené analýzy rizik spjatých s provozováním důvěryhodných systémů. V analýze rizik poskytovatel definuje aktiva těchto systémů, hrozby, které na ně působí, zranitelná místa systémů, pravděpodobnost výskytu hrozeb, odhad jejich následků a určuje odpovídající bezpečnostní opatření.
(6) Obsahem systémové bezpečnostní politiky je vždy
a) stanovení cílů při ochraně informací,
b) stanovení způsobu zajištění bezpečnosti,
c) určení pravomocí a odpovědností při provozování důvěryhodných systémů,
d) pravidla a postupy konkrétně definující způsob správy a ochrany informačních technologií, aktiv informačních systémů a způsob distribuce informací v rámci důvěryhodných systémů a jiných systémů, které mají s důvěryhodnými systémy vazby,
e) způsoby uplatnění celkové bezpečnostní politiky ve vztahu k provozování důvěryhodných systémů,
f) popis důvěryhodných systémů, jejich vnitřních, vnějších a vzájemných vazeb,
g) vyhodnocení analýzy rizik a popis bezpečnostních opatření podle odstavce 5,
h) způsob šíření časového údaje v rámci důvěryhodných systémů, pokud poskytovatel poskytuje službu vydávání kvalifikovaných časových razítek.
(7) Plán pro zvládání krizových situací podle § 4 odst. 2 písm. j) obsahuje vždy stanovení postupů, které jsou uplatněny v případě výskytu mimořádné události.
(8) Plán obnovy podle § 4 odst. 2 písm. j) obsahuje strategie obnovy důvěryhodných systémů, které je nutno realizovat pro
a) zachování kritických činností poskytovatele v nejkratším možném čase,
b) obnovu řádné funkce důvěryhodných systémů.
§ 6
Požadavky na zpracování bezpečnostní
dokumentace
(1) Struktura certifikační politiky podle § 4 odst. 2 písm. a), b) a e) a certifikační prováděcí směrnice podle § 4 odst. 2 písm. g) je uvedena v příloze č. 2 této vyhlášky.
(2) U položek struktury uvedené v příloze č. 2 této vyhlášky, které se při zpracování bezpečnostní dokumentace nepoužijí, protože poskytovatel předmětnou činnost nevykonává, bude tato skutečnost uvedena.
(3) Při zpracování dokumentů celková bezpečnostní politika podle § 4 odst. 2 písm. h) a systémová bezpečnostní politika podle § 4 odst. 2 písm. i) se postupuje dle požadavků českých technických norem uvedených v bodech 4 a 6 přílohy č. 1 této vyhlášky.
§ 7
Zveřejňování dokumentů
(1) Poskytovatel zveřejňuje dokumenty uvedené v § 4 odst. 2 písm. a) až d) a f) v plném rozsahu.
(2) Poskytovatel může zveřejnit certifikační prováděcí směrnici nebo jiné prováděcí směrnice podle § 4 odst. 2 písm. g) v rozsahu, který neohrozí bezpečnost zajišťovaných služeb.
(3) Zveřejněním podle odstavců 1 a 2 se rozumí zveřejnění způsobem umožňujícím dálkový přístup a v prostorách, kde dochází ke kontaktu s uživateli.
§ 8
Kontrola bezpečnostní shody
(1) Cílem kontroly bezpečnostní shody podle § 3 písm. f) je ověření, že
a) poskytovatel provozuje důvěryhodné systémy v souladu se zákonem a s touto vyhláškou,
b) poskytovatel provádí změny v důvěryhodných systémech v souladu s bezpečnostní dokumentací poskytovatele, a to s jejími částmi upravujícími řízení změn.
(2) Předmětem kontroly bezpečnostní shody jsou
a) všechny důvěryhodné systémy poskytovatele (celková kontrola bezpečnostní shody), nebo
b) všechny změny podle odstavce 1 písm. b), které poskytovatel provedl od provedení předchozí kontroly bezpečnostní shody, a jejich vliv na důvěryhodné systémy poskytovatele nebo ověření skutečnosti, že takové změny nenastaly (částečná kontrola bezpečnostní shody).
(3) Celková kontrola bezpečnostní shody je prováděna nejpozději do 1 roku od zahájení poskytování kvalifikovaných certifikačních služeb a následně vždy nejméně po 4 letech od předchozí celkové kontroly bezpečnostní shody, a to za předpokladu, že během těchto 4 let byly provedeny částečné kontroly bezpečnostní shody, mezi nimiž uplynul nejvíce 1 rok a první proběhla do 1 roku po celkové kontrole bezpečnostní shody.
(4) Pokud nejsou prováděny částečné kontroly bezpečnostní shody podle odstavce 2 písm. b), provádí se celkové kontroly bezpečnostní shody v intervalu nejdéle 1 roku.
(5) Kontrola bezpečnostní shody je prováděna podle požadavků české technické normy uvedené v bodu 6 přílohy č. 1 této vyhlášky.
(6) Poskytovatel zajišťuje zpracování zprávy o kontrole bezpečnostní shody, jejímž obsahem je
a) vymezení předmětu kontroly bezpečnostní shody; v případě celkové kontroly bezpečnostní shody vymezení všech důvěryhodných systémů podle odstavce 2 písm. a) s uvedením kvalifikovaných certifikačních služeb, které jsou prostřednictvím těchto systémů zajišťovány, nebo v případě částečné kontroly bezpečnostní shody vymezení změn podle odstavce 2 písm. b), které poskytovatel provedl od provedení předchozí kontroly bezpečnostní shody, a vymezení kvalifikovaných certifikačních služeb, které jsou zajišťovány prostřednictvím důvěryhodných systémů, těmito změnami ovlivněných,
b) jednoznačné určení dokumentace, která byla předmětem kontroly bezpečnostní shody,
c) popis průběhu kontroly bezpečnostní shody,
d) jméno, popřípadě jména a příjmení osoby, která provádí kontrolu bezpečnostní shody; tato osoba může být s poskytovatelem v pracovněprávním vztahu,
e) prohlášení o výsledku kontroly bezpečnostní shody, jehož součástí je prohlášení o tom, že poskytovatel provozuje důvěryhodné systémy v souladu s odstavcem 1.
(7) Pokud je v průběhu kontroly bezpečnostní shody zjištěno, že poskytovatel neprovozuje důvěryhodné systémy v souladu s odstavcem 1 písm. a) nebo neprovádí změny v důvěryhodných systémech v souladu s odstavcem 1 písm. b), musí být dosaženo nápravy, jejíž provedení je dokumentováno a v průběhu téže kontroly bezpečnostní shody ověřeno.
(8) Zprávu o kontrole bezpečnostní shody předává poskytovatel do 30 dnů od ukončení kontroly ministerstvu.
§ 9
Audit systému řízení bezpečnosti informací
(1) Cílem auditu systému řízení bezpečnosti informací podle § 3 písm. g) je objektivní a na poskytovateli nezávislé ověření, že je v důvěryhodných systémech poskytovatele zaveden a uplatňován systém řízení bezpečnosti informací podle české technické normy uvedené v bodu 5 přílohy č. 1 této vyhlášky.
(2) Pokud je zavedení systému řízení bezpečnosti informací v důvěryhodných systémech poskytovatele certifikováno na shodu s českou technickou normou uvedenou v bodu 5 přílohy č. 1 této vyhlášky, je provedení auditu systému řízení bezpečnosti informací považováno za splněné.
(3) Při provádění auditu systému řízení bezpečnosti informací se postupuje podle požadavků normy uvedené v bodu 7 přílohy č. 1 této vyhlášky; subjekt, který audit systému řízení bezpečnosti informací provádí, je ve vztahu k poskytovateli externí, nezávislou auditující organizací podle požadavků normy uvedené v bodu 7 přílohy č. 1 této vyhlášky.
(4) Poskytovatel poskytne subjektu, který audit systému řízení bezpečnosti informací provádí, vždy zprávu o kontrole bezpečnostní shody podle § 8 odst. 6, pokud již byla provedena, a bezpečnostní dokumentaci.
(5) Součástí zprávy o auditu systému řízení bezpečnosti informací je
a) vymezení předmětu auditu systému řízení bezpečnosti informací, přičemž vymezením předmětu auditu se rozumí vymezení kvalifikovaných certifikačních služeb, které jsou zajišťovány prostřednictvím důvěryhodných systémů,
b) jednoznačné určení dokumentace, která byla předmětem auditu systému řízení bezpečnosti informací a kterou poskytovatel poskytl subjektu, který audit systému řízení bezpečnosti informací provádí,
c) prohlášení subjektu, který audit systému řízení bezpečnosti informací provedl, o výsledku auditu systému řízení bezpečnosti informací, jehož součástí je prohlášení o splnění požadavků uvedených v odstavci 1.
(6) Pokud je v průběhu auditu systému řízení bezpečnosti informací zjištěno, že poskytovatel nezavedl a neuplatňuje v důvěryhodných systémech systém řízení bezpečnosti informací v souladu s požadavky uvedenými v odstavci 1, musí být dosaženo nápravy. Provedení nápravy musí být dokumentováno a ověřeno auditem.
(7) Poskytovatel zajistí, aby prohlášení o výsledku auditu systému řízení bezpečnosti informací bylo zveřejněno ve zprávě pro uživatele.
(8) Poskytovatel zajistí, aby audit systému řízení bezpečnosti informací byl proveden před zahájením poskytování první kvalifikované certifikační služby a následně nejméně každé 2 roky.
§ 10
Způsob splnění informační povinnosti
(1) Poskytovatel splní informační povinnost tím, že v dokumentech podle § 4 odst. 2 písm. a ) až d) a f) zveřejní
a) je-li právnickou osobou, firmu nebo název, právní formu a sídlo, je-li fyzickou osobou, jméno, popřípadě jména, příjmení, místo podnikání a identifikační číslo, pokud bylo přiděleno,
b) údaj o tom, zda je akreditován ministerstvem,
c) přesné podmínky pro využívání kvalifikovaných certifikačních služeb, včetně případných omezení pro jejich použití stanovených poskytovatelem, podmínky reklamací a řešení vzniklých sporů,
d) údaj o tom, kde a jakým způsobem jsou dostupné jeho nadřízené kvalifikované systémové certifikáty,
e) jakým způsobem zajišťuje poskytování informací třetím osobám podle § 6a odst. 1 písm. i) zákona, pokud předmětnou kvalifikovanou certifikační službu poskytuje, včetně kontaktních údajů, které mohou třetí osoby použít, pokud žádají o tyto informace, a maximální dobu, která může uplynout mezi uplatněním požadavku a poskytnutím informace,
f) jakým způsobem zajišťuje poskytování informací třetím osobám podle § 6b odst. 1 písm. e) zákona, pokud předmětnou kvalifikovanou certifikační službu poskytuje, včetně kontaktních údajů, které mohou třetí osoby použít, pokud žádají o tyto informace, a maximální dobu, která může uplynout mezi uplatněním požadavku a poskytnutím této informace.
(2) Nadřízené kvalifikované systémové certifikáty podle odstavce 1 písm. d) musí být zveřejněny nejméně dvěma na sobě nezávislými způsoby, přičemž alespoň jedním z těchto způsobů je zveřejnění způsobem umožňujícím dálkový přístup.
(3) Pokud byla akreditovanému poskytovateli akreditace odňata, poskytovatel neprodleně tuto informaci
a) uvede v dokumentech podle § 4 odst. 2 písm. a) až d) a f) a zveřejní způsobem umožňujícím dálkový přístup,
b) zveřejní nejméně v jednom celostátně distribuovaném deníku stanoveném v dokumentech podle § 4 odst. 2 písm. a) až d) a f),
c) sdělí podepisujícím nebo označujícím osobám, které mají platné kvalifikované certifikáty nebo kvalifikované systémové certifikáty vydané tímto poskytovatelem, a to zasláním zprávy elektronickou poštou na elektronickou adresu, pokud ji tyto osoby uvedly v žádosti o vydání certifikátu.
(4) Součástí informace podle odstavce 3 písm. b) a c) je sdělení, že kvalifikované certifikáty vydané tímto poskytovatelem nelze nadále používat podle § 11 odst. 1 zákona a vydané kvalifikované systémové certifikáty nelze nadále používat podle § 11 odst. 2 zákona.
§ 11
Kvalifikační požadavky
Činnosti odpovídající rolím podle bezpečnostních požadavků standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky, mohou vykonávat osoby, které
a) získaly vysokoškolské vzdělání v rámci akreditovaného bakalářského nebo magisterského studijního programu a mají nejméně 3 roky praxe v oblasti informačních technologií nebo středoškolské vzdělání a nejméně 5 let praxe v oblasti informačních technologií, přičemž z toho nejméně 1 rok v oblasti poskytování certifikačních služeb,
b) mají znalosti v oblasti infrastruktury veřejných klíčů a informační bezpečnosti.
§ 12
Způsob uchovávání informací a dokumentace
a náležitosti dokumentů a záznamů
(1) Informace a dokumentace podle § 6 odst. 5 a 6 zákona musí být pořizovány, uchovávány a zpracovávány se zachováním prokazatelnosti jejich původu, dostupnosti, integrity, časové autentičnosti a důvěrnosti.
(2) Poskytovatel prostřednictvím bezpečnostní dokumentace dokládá, že
a) má identifikovány všechny typy informací a dokumentace podle § 6 odst. 5 a 6 zákona, které uchovává, a formu, ve které jsou uchovávány,
b) má identifikováno místo uložení informací a dokumentace,
c) stanovil postupy pro uchovávání informací a dokumentace a pro manipulaci s uloženými informacemi a dokumentací tak, aby byla zajištěna prokazatelnost jejich původu, dostupnost, integrita, časová autentičnost a důvěrnost v souladu s požadavky zákona a této vyhlášky,
d) stanovil postupy pro uchovávání informací a dokumentace tak, aby uložené informace a dokumentaci byl schopen doložit v zákonné lhůtě po ukončení platnosti certifikátu, ke kterému se informace a dokumentace vztahují,
e) stanovil odpovědnosti zaměstnanců, případně jiných fyzických osob, které zajišťují uchovávání informací a dokumentace, za dodržování postupů podle písmene c),
f) stanovil, jakým způsobem bude naloženo s informacemi a dokumentací po uplynutí 10 let.
(3) Pokud poskytovatel uchovává informace a dokumentaci podle § 6 odst. 5 a 6 zákona po uplynutí 10 let, prostřednictvím bezpečnostní dokumentace dokládá, že
a) má stanovenu dobu, po kterou budou informace a dokumentace uchovávány,
b) má stanoveny náležitosti uchovávání a manipulace s informacemi a dokumentací obdobně podle odstavce 2.
§ 13
Náležitosti opatření proti zneužití a padělání
certifikátů
(1) Poskytovatel může svá data pro vytváření elektronických značek určená pro označování vydávaných kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů použít pouze pro označování těchto certifikátů a pro označování seznamu zneplatněných certifikátů.
(2) Poskytovatel zajišťuje v souladu s požadavky standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky,
a) správu dat podle odstavce 1 v průběhu jejich životního cyklu,
b) správu dat pro ověřování svých elektronických značek odpovídajících datům podle odstavce 1 v průběhu jejich životního cyklu,
c) vytváření kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů.
(3) Činnosti podle odstavce 2
a) mohou vykonávat výhradně fyzické osoby, které jsou pro tuto činnost poskytovatelem určeny,
b) musí být vykonávány podle postupů stanovených certifikační prováděcí směrnicí,
c) musí být vykonávány v souladu se systémovou bezpečnostní politikou.
(4) Poskytovatel je povinen data pro vytváření elektronických značek podle odstavce 1 po ukončení jejich životního cyklu zničit; o tom pořizuje zápis, který obsahuje
a) popis způsobu zničení dat,
b) datum zničení dat,
c) datum pořízení zápisu,
d) jméno, popřípadě jména a příjmení a podpis osoby určené poskytovatelem k tomu, aby zničení dat provedla.
(5) Pro označování podle odstavce 1 poskytovatel používá bezpečný kryptografický modul.
(6) V případě zneužití nebo vzniku důvodné obavy ze zneužití jeho dat podle odstavce 1 poskytovatel bezodkladně
a) zneplatní kvalifikovaný systémový certifikát, který byl k těmto datům vydán,
b) zneplatní certifikát, který byl těmito daty označen,
c) zneplatní certifikát, který byl označen daty pro vytváření elektronických značek, ke kterým byl vydán certifikát podle písmene b),
d) ukončí používání dat podle odstavce 1.
(7) Pokud poskytovatel zneplatní kvalifikovaný systémový certifikát podle odstavce 6 písm. a), bezodkladně
a) zveřejní informaci o zneplatnění tohoto certifikátu s uvedením důvodu zneplatnění způsobem umožňujícím dálkový přístup, v prostorách, kde dochází ke kontaktu s uživateli, a dále nejméně v jednom celostátně distribuovaném deníku stanoveném v politice podle § 4 odst. 2 písm. a) až d),
b) informuje podepisující nebo označující osoby, které mají platné kvalifikované certifikáty nebo kvalifikované systémové certifikáty vydané tímto poskytovatelem, o zneplatnění těchto certifikátů, a to prostřednictvím zaslání zprávy elektronickou poštou na elektronickou adresu, pokud ji tyto osoby uvedly v žádosti o vydání certifikátu; součástí této informace je důvod ukončení platnosti nadřízeného kvalifikovaného systémového certifikátu poskytovatele,
c) informuje ministerstvo o zneplatnění tohoto certifikátu s uvedením důvodu zneplatnění.
§ 14
Způsob zajištění bezpečnosti seznamů
(1) Seznam vydaných certifikátů je bezpečný, pokud je u jednotlivých certifikátů v tomto seznamu zajištěna neporušenost.
(2) Poskytovatel označuje vydávané seznamy zneplatněných certifikátů daty pro vytváření elektronických značek podle § 13 odst. 1 a prostřednictvím bezpečného kryptografického modulu.
§ 15
Způsob určení data a času vydání nebo zneplatnění certifikátu
(1) Údaj o datu a času s uvedením hodiny, minuty a sekundy, kdy je kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát zneplatněn, a údaj o datu a času vydání seznamu zneplatněných certifikátů, ve kterém je záznam o zneplatněném certifikátu uveden, jsou součástí údajů o zneplatnění tohoto certifikátu v seznamu zneplatněných certifikátů; dalšími údaji jsou v případě kvalifikovaného certifikátu nejméně číslo certifikátu podle § 12 odst. 1 písm. g) zákona a v případě kvalifikovaného systémového certifikátu nejméně číslo certifikátu podle § 12a písm. f) zákona.
(2) Údaj podle odstavce 1 a údaj o datu a času vydání certifikátu jsou součástí záznamů o událostech podle § 12 odst. 2 písm. b).
(3) Synchronizace času důvěryhodných systémů s koordinovaným světovým časem musí odpovídat požadavkům standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky.
§ 16
Způsob ochrany dat vytvářených pro uživatele
Poskytovatel chrání data pro vytváření elektronických podpisů, pokud je vytváří pro podepisující osobu, a zajišťuje soulad těchto dat podle požadavků standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky; požadavky tohoto standardu stanovené pro ochranu dat pro vytváření elektronických podpisů, která poskytovatel vytváří pro podepisující osobu, se použijí obdobně pro ochranu dat pro vytváření elektronických značek, pokud je poskytovatel vytváří pro označující osobu.
§ 17
Způsob zneplatnění certifikátů
Poskytovatel při zajišťování zneplatňování kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů
a) zajišťuje nepřetržitý příjem žádostí o zneplatnění kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, a to nejméně dvěma na sobě nezávislými způsoby,
b) zajišťuje splnění bezpečnostních požadavků na zneplatňování kvalifikovaných certifikátů podle požadavků standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky; požadavky tohoto standardu stanovené pro zneplatňování kvalifikovaných certifikátů se použijí obdobně pro zneplatňování kvalifikovaných systémových certifikátů.
§ 18
Způsob zajištění přesnosti určení času při vytváření kvalifikovaných
časových razítek
(1) Poskytovatel může pro určení času při vytváření kvalifikovaných časových razítek použít pouze měřidlo času, které je navázáno na světový koordinovaný čas a poskytovatel má o tom k dispozici příslušnou technickou dokumentaci.
(2) Měřidlo času je způsobilé pro zajištění přesnosti určení času podle této vyhlášky, pokud splňuje následující podmínky:
a) navázání podle odstavce 1 je opakováno v intervalech, které jsou stanoveny poskytovatelem na základě použitého druhu měřidla času, analýzy vlivů na deklarovanou nejistotu časového údaje a spolehlivosti navázání na světový koordinovaný čas,
b) je synchronizováno s koordinovaným světovým časem, a to včetně synchronizace v případě výskytu přestupné sekundy,
c) je chráněno proti hrozbám, které by mohly změnit jeho technické nebo metrologické vlastnosti zajišťované navázáním podle písmene a).
§ 19
Způsob zajištění souladu dat v kvalifikovaných
časových razítkách a náležitosti opatření proti
padělání kvalifikovaných časových razítek
(1) Poskytovatel může svá data pro vytváření elektronických značek určená pro označování vydávaných kvalifikovaných časových razítek používat pouze pro tento účel.
(2) Poskytovatel zajišťuje vydávání kvalifikovaných časových razítek, včetně implementace mechanismů, které zajistí, aby data v elektronické podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, jednoznačně odpovídala datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém razítku, v souladu
a) s požadavky standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky, a
b) s požadavky české technické normy uvedené v bodu 3 přílohy č. 1 této vyhlášky.
(3) Poskytovatel uvede v politice pro vydávání časových razítek nejistotu časového údaje vkládaného do časového razítka. Nejistota časového údaje nesmí přesáhnout 1 sekundu.
(4) V případě výskytu události, která má vliv na bezpečnost vydání kvalifikovaného časového razítka nebo na přesnost časového údaje, který je do něj vkládán, poskytovatel
a) ihned přeruší vydávání kvalifikovaných časových razítek, a to do doby, kdy obnoví řádný stav v souladu s postupy stanovenými v plánu pro zvládání krizových situací a v plánu obnovy,
b) zveřejní informaci o této události způsobem umožňujícím dálkový přístup,
c) bez prodlení informuje o této události subjekty, se kterými má uzavřeny smluvní vztahy, které mohou být touto událostí dotčeny,
d) oznámí informaci o této události ministerstvu.
(5) Pokud událost podle odstavce 4 má vliv na již vydaná kvalifikovaná časová razítka a v důsledku toho na ně nelze spoléhat, poskytovatel zveřejní bezodkladně informaci o této události rovněž nejméně v jednom celostátně distribuovaném deníku stanoveném v politice pro vydávání kvalifikovaných časových razítek; součástí tohoto oznámení jsou údaje, na jejichž základě je možné určit, která vydaná kvalifikovaná časová razítka byla touto událostí dotčena.
(6) Při správě dat podle odstavce 1 poskytovatel postupuje obdobně jako při správě dat pro označování vydávaných kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů podle § 13 odst. 2 až 6.
(7) Predikce světové koordinované časové stupnice měřidlem času probíhá v prostorech, které jsou zabezpečeny obdobně jako zabezpečené oblasti kategorie "Důvěrné" podle zvláštního právního předpisu1).
(8) Při pořizování, uchovávání a zpracovávání dokumentace a informací souvisejících s vydáváním kvalifikovaných časových razítek poskytovatel postupuje podle § 12, přičemž typy zaznamenávaných událostí jsou specifikovány českou technickou normou uvedenou v bodu 3 přílohy č. 1 této vyhlášky.
§ 20
Bezpečný kryptografický modul
(1) Kryptografický modul, který poskytovatel používá pro činnosti stanovené zákonem a touto vyhláškou a který splňuje bezpečnostní požadavky na tyto moduly stanovené
a) ve standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky, nebo
b) ve standardu, který je uveden v bodu 11 nebo 12 přílohy č. 1 této vyhlášky, a to minimálně pro úroveň 3,
(2) Bezpečnost postupů, které bezpečný kryptografický modul podporují, je dostačující, pokud
a) tyto postupy splňují bezpečnostní požadavky na tyto moduly uvedené ve standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky,
b) je modul používán pouze pro označování vydávaných kvalifikovaných certifikátů, kvalifikovaných systémových certifikátů, seznamu zneplatněných certifikátů nebo pro označování kvalifikovaných časových razítek,
c) je nasazení a používání modulu v souladu s technickou dokumentací modulu výrobce nebo dodavatele,
d) je modul umístěn a používán v prostorech, které jsou zabezpečeny obdobně jako zabezpečené oblasti kategorie "Důvěrné" podle zvláštního právního předpisu1).
(3) Splnění požadavků stanovených v odstavci 1 písm. a) se dokládá dokladem o provedeném hodnocení a certifikaci bezpečného kryptografického modulu podle požadavků standardu pro tyto moduly, který je uveden v bodu 8 přílohy č. 1 této vyhlášky, nebo podle požadavků standardu pro tyto moduly, který je uveden v bodu 9 přílohy č. 1 této vyhlášky.
(4) Splnění požadavků stanovených v odstavci 1 písm. b) se dokládá dokladem o výsledku hodnocení bezpečného kryptografického modulu podle odstavce 1 písm. b) a dokladem o vyhodnocení shody podle § 9 odst. 2 písm. f) zákona.
(5) Splnění požadavků stanovených v odstavci 2 se dokládá prostřednictvím
a) bezpečnostní dokumentace,
b) podrobného popisu funkcí a technickou dokumentací bezpečného kryptografického modulu v rozsahu nutném pro jeho pořízení.
(6) Pokud doklad podle odstavce 3 nebo odstavce 4 pozbyl platnosti a poskytovatel je schopen zajistit do doby nahrazení kryptografického modulu bezpečným kryptografickým modulem bezpečnost jeho funkcí na stejné úrovni, jakou zajišťoval v době před pozbytím platnosti dokladu, může modul používat za podmínky, že
a) bez zbytečného odkladu uplatní opatření, která přiměřeně eliminují rizika, na základě kterých pozbyly tyto doklady platnosti,
b) v analýze rizik je jako riziko označen stav, kdy doklad podle odstavce 3 nebo odstavce 4 pozbyl platnosti,
c) plán pro zvládání krizových situací stanoví opatření, která poskytovatel uplatní pro zajištění požadované bezpečnosti jeho funkcí,
d) zajistí, aby plnění opatření podle písmene c) bylo kontrolováno tak, aby bylo možné kdykoliv zjistit, že tato opatření nejsou uplatňována nebo nejsou uplatňována v plném rozsahu, a ihned zajistit nápravu,
e) zahájí akvizici bezpečného kryptografického modulu.
§ 21
Prostředky pro bezpečné vytváření elektronických podpisů
(1) Poskytovatel zajistí, aby prostředky pro bezpečné vytváření elektronických podpisů, které vydává,
a) splňovaly požadavky na tyto prostředky stanovené standardem pro tyto prostředky, který je uveden v bodu 10 přílohy č. 1 této vyhlášky,
b) měly vyhodnocenou shodu podle § 9 odst. 2 písm. f) zákona,
c) byly poskytovatelem připraveny a předány uživateli v souladu s bezpečnostními a funkčními požadavky standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky,
d) byly poskytovatelem připraveny a předány uživateli v souladu s technickou a uživatelskou dokumentací jeho výrobce nebo dodavatele.
(2) Splnění požadavků podle odstavce 1 písm. a), c) a d) se dokládá
a) dokladem o provedeném hodnocení a certifikaci prostředku podle standardu pro prostředky pro bezpečné vytváření elektronických podpisů, který je uveden v bodu 10 přílohy č. 1 této vyhlášky,
b) bezpečnostní dokumentací,
c) podrobným popisem funkcí a technickou a uživatelskou dokumentací vyhodnocovaného prostředku; uživatelská dokumentace musí být v českém jazyce.
HLAVA DRUHÁ
POŽADAVKY NA OCHRANU DAT PRO
VYTVÁŘENÍ ELEKTRONICKÝCH ZNAČEK
§ 22
(1) Označování daty pro vytváření elektronických značek musí být ihned přerušeno v případě selhání řádné funkce prostředku pro vytváření elektronických značek nebo v případě selhání funkcí aplikace, ve které je používán; v označování se může pokračovat v době, kdy jsou prostředek i aplikace uvedeny do řádného stavu.
(2) Označování daty pro vytváření elektronických značek musí být bezodkladně ukončeno v případě zneužití nebo vzniku důvodné obavy ze zneužití těchto dat.
(3) Označující osoba vytváří a uchovává záznamy o událostech souvisejících s jakýmkoliv nakládáním s prostředky pro vytváření elektronických značek a s daty pro vytváření elektronických značek, která jsou v nich uložena, v průběhu jejich celého životního cyklu.
§ 23
(1) Pokud jsou data pro vytváření elektronických značek používána k označování datových zpráv podle § 11 odst. 2 zákona, mohou být vytvořena, uložena a používána výhradně v kryptografickém prostředku pro vytváření elektronických značek (dále jen "kryptografický prostředek") a nesmí být používána pro jiný účel, než je vytváření elektronických značek.
(2) Pokud kryptografický prostředek podle odstavce 1 není kryptografickým modulem, který splňuje požadavky stanovené v § 20 odst. 1 této vyhlášky, mohou v něm být uložena výhradně
a) data pro vytváření elektronických značek,
b) data a aplikace nezbytné pro použití dat podle písmena a) při označování datových zpráv a pro přenos dat pro vytváření elektronických značek na jiný kryptografický prostředek.
(3) Kryptografický prostředek podle odstavce 2 může být použit výhradně pro
a) vytvoření a uložení dat a aplikací podle odstavce 2,
b) vytváření elektronických značek.
(4) Pokud je kryptografickým prostředkem kryptografický modul, který splňuje požadavky stanovené v § 20 odst. 1 této vyhlášky, mohou v něm být vytvořena, uložena a používána i jiná data a aplikace, pokud na základě provedené analýzy rizik, při které bylo toto riziko hodnoceno, není takové použití vyloučeno.
(5) Pokud kryptografický prostředek umožňuje přenos dat pro vytváření elektronických značek do jiného kryptografického prostředku, musí být způsob tohoto přenosu důvěryhodný; kryptografický prostředek, na který jsou data přenášena, musí splňovat požadavky odstavců 2 a 3 nebo odstavce 4.
§ 24
(1) Označující osoba, která označuje datové zprávy podle § 11 odst. 2 zákona, dokládá způsob zajištění postupů, které podporují kryptografické prostředky při ochraně dat pro vytváření elektronických značek prostřednictvím interní směrnice, a to vždy
a) pro jakékoliv nakládání s těmito kryptografickými prostředky, a to v průběhu jejich celého životního cyklu, včetně postupů při ukončení jejich používání,
b) pro stanovení oprávnění osob pro jakékoliv nakládání s těmito kryptografickými prostředky,
c) pro zajištění bezpečnosti prostředí, ve kterém jsou používány, včetně zásad při výskytu mimořádné události, která může ohrozit jejich ochranu.
(2) Označující osoba podle odstavce 1 seznamuje osoby, které nakládají s kryptografickými prostředky, s postupy podle odstavce 1 v rozsahu nezbytném k plnění jejich povinností.
(3) Označující osoba průběžně kontroluje správnost postupů podle odstavců 1 a 2 a podle § 22 a 23 a v případě zjištění nedostatků přijímá opatření k jejich odstranění.
ČÁST TŘETÍ
ZÁVĚREČNÁ USTANOVENÍ
§ 25
Přechodná ustanovení
(1) Poskytovatelé, kteří nejsou akreditováni ministerstvem a kteří zahájili poskytování kvalifikované certifikační služby, a poskytovatelé, kterým byla udělena akreditace pro výkon činnosti akreditovaného poskytovatele do data nabytí účinnosti této vyhlášky, uvedou zajišťování kvalifikovaných certifikačních služeb do souladu s touto vyhláškou do 12 měsíců ode dne vyhlášení této vyhlášky. V tomto období budou poskytovatelé postupovat podle dosavadních právních předpisů.
(2) Pokud poskytovatel poskytuje nejméně jednu kvalifikovanou certifikační službu k datu účinnosti této vyhlášky, zajistí provedení prvního auditu systému řízení bezpečnosti informací do 2 let od data nabytí účinnosti této vyhlášky.
§ 26
Zrušovací ustanovení
Zrušuje se vyhláška č. 366/2001 Sb., o upřesnění podmínek stanovených v § 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu.
§ 27
Účinnost
Tato vyhláška nabývá účinnosti patnáctým dnem po jejím vyhlášení s výjimkou ustanovení § 22 až 24, která nabývají účinnosti prvním dnem třetího kalendářního měsíce následujícího po dni jejího vyhlášení.
Ing. Bérová v. r.
Ministryně
Příl.1
SEZNAM NOREM A STANDARDŮ
Příl.2
STRUKTURA CERTIFIKAČNÍ POLITIKY
A CERTIFIKAČNÍ PROVÁDĚCÍ SMĚRNICE
1) Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků.