Vyhláška Národného bezpečnostného úradu o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách a pravidlách na výkon certifikačných činností 133/2009 účinný od 15.03.2014 do 17.10.2016

Platnosť od: 08.04.2009
Účinnosť od: 15.03.2014
Účinnosť do: 17.10.2016
Autor: Národný bezpečnostný úrad
Oblasť: Telekomunikácie a telekomunikačné služby

Informácie ku všetkým historickým zneniam predpisu
HIST2JUDDSEUPP1ČL0

Informácie ku konkretnému zneniu predpisu
Vyhláška 133/2009 s účinnosťou od 15.03.2014 na základe 62/2014
Zobraziť iba vybrané paragrafy:
Zobraziť

UPOZORNENIE: Znenia §-ov sú skrátené. Na zobrazenie celého znenia musíte byť zaregistrovaní. ZAREGISTRUJTE SA NA 14 DNÍ BEZPLATNE! 

Národného bezpečnostného úradu

o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách ...

Národný bezpečnostný úrad (ďalej len „úrad“) podľa § 14 ods. 1 písm. j) a ods. 2 zákona č. 215/2002 ...

§ 1
Predmet úpravy

Táto vyhláška upravuje

a)

obsah a rozsah prevádzkovej dokumentácie certifikačnej autority,

b)

bezpečnostné pravidlá a pravidlá na výkon certifikačných činností akreditovanej certifikačnej autority. ...

§ 2
Vymedzenie niektorých pojmov

Na účely tejto vyhlášky sa rozumie

a)

párovými dátami dvojica tvorená verejným kľúčom a súkromným kľúčom patriacim k danému verejnému kľúču, ...

b)

bezpečnostným opatrením technický, personálny alebo administratívny prvok ochrany, ktorého účelom je ...

c)

typom certifikátu a časovej pečiatky skupina atribútov charakterizujúcich vydaný certifikát a časovú ...

§ 3
Dokumentácia certifikačnej autority
(1)

Certifikačná autorita vypracúva, vedie a aktualizuje dokumentáciu na výkon certifikačných činností.

(2)

Dokumentácia certifikačnej autority obsahuje

a)
prevádzkovú dokumentáciu,
b)
bezpečnostné pravidlá,
c)
pravidlá na výkon certifikačných činností.
§ 4
Prevádzková dokumentácia certifikačnej autority

Prevádzková dokumentácia certifikačnej autority obsahuje

a)

certifikačný poriadok,

b)

vzory zmlúv o vydaní a používaní certifikátu,

c)

cenník poskytovaných certifikačných služieb,

d)

prevádzkové záznamy,

e)

iné záznamy, ktoré certifikačná autorita považuje za účelné.

§ 5
Certifikačný poriadok
(1)

Certifikačný poriadok obsahuje

a)
informácie, pre koho a za akých podmienok poskytuje certifikačná autorita svoje služby,
b)
obmedzenia pri poskytovaní svojich služieb, ak také obmedzenia existujú,
c)
typy certifikátov a časových pečiatok, ktoré certifikačná autorita vydáva,
d)
podpisové politiky a politiky časových pečiatok,1)
e)
práva a povinnosti používateľov služieb certifikačnej autority,
f)
vzor žiadosti o poskytnutie certifikačnej služby,
g)
pravidlá používania a zrušovania certifikátov.
(2)

Certifikačný poriadok môže okrem informácií uvedených v odseku 1 obsahovať aj ďalšie informácie, ktorých ...

(3)

Certifikačný poriadok akreditovanej certifikačnej autority popisuje úlohy jednotlivých subjektov a procesy ...

a)
prvotnú registráciu žiadosti o vydanie certifikátu,
b)
žiadosť o vydanie následného certifikátu,
c)
vydanie certifikátu,
d)
žiadosť o zrušenie certifikátu,
e)
zrušenie certifikátu,
f)
vydávanie zoznamu zrušených certifikátov.
(4)

Certifikačný poriadok akreditovanej certifikačnej autority obsahuje klasifikáciu spracovávaných informácií, ...

(5)

Certifikačný poriadok akreditovanej certifikačnej autority ustanovuje pre každý ňou vydávaný typ certifikátu ...

(6)

Certifikačný poriadok akreditovanej certifikačnej autority ustanovuje aj rozsah a spôsob zverejňovania ...

a)
kontaktných adries akreditovanej certifikačnej autority,
b)
podporovaných štandardov a protokolov pre prístup k zverejňovaným informáciám,
c)
vlastných certifikátov s riešením spôsobu ich nahradenia po skončení platnosti,
d)
vydaných certifikátov, formátu ich zverejňovania a aktualizáciu zoznamu vydaných certifikátov,
e)
zoznamov zrušených certifikátov, formátu ich zverejňovania a ich aktualizáciu; pre akreditovanú certifikačnú ...
(7)

Certifikačný poriadok akreditovanej certifikačnej autority poskytuje informácie o vykonávaní auditu ...

(8)

Akreditovaná certifikačná autorita môže mať viacero certifikačných poriadkov pre rôzne typy vydávaných ...

(9)

Štruktúra certifikačného poriadku akreditovanej certifikačnej autority je uvedená v prílohe č. 1.

§ 6
Vzor zmluvy o vydaní a používaní certifikátu
(1)

Vydanie certifikátu žiadateľovi o certifikát sa uskutočňuje na základe zmluvy o vydaní a používaní certifikátu. ...

(2)

Obsahom zmluvy o vydaní a používaní certifikátu je definovanie vzťahu medzi žiadateľom o certifikát ...

(3)

Certifikačná autorita môže mať vypracovaných viacero vzorov zmlúv o vydaní a používaní certifikátu pre ...

(4)

Vzor zmluvy o vydaní a používaní certifikátu obsahuje

a)
postup na vydanie a prevzatie prvého certifikátu žiadateľovi o certifikát,
b)
postup na vydanie a prevzatie následného certifikátu,
c)
záväzky certifikačnej autority,
d)
záväzky držiteľa certifikátu,
e)
možné obmedzenie zodpovednosti certifikačnej autority v prípade porušenia pravidiel na vystavenie a ...
f)
potvrdenie o vydaní certifikátu a jeho odovzdaní žiadateľovi o certifikát.
§ 7
Cenník poskytovaných certifikačných služieb

Cenník poskytovaných certifikačných služieb obsahuje zoznam všetkých certifikačných služieb, ktoré certifikačná ...

§ 8
Prevádzkové záznamy
(1)

Prevádzkovými záznamami sú záznamy v písomnej alebo elektronickej forme vznikajúce pri certifikačnej ...

(2)

Certifikačná autorita zaznamenáva všetky prevádzkové udalosti pri

a)
podávaní žiadosti o certifikát a vydávaní certifikátu,
b)
spracúvaní a uchovávaní osobných údajov žiadateľa o certifikát,
c)
vydávaní certifikátu,
d)
vydávaní krížového certifikátu,
e)
skončení platnosti certifikátu,
f)
požiadavke na zrušenie certifikátu,
g)
zrušení certifikátu,
h)
vytváraní a zverejňovaní zoznamu zrušených certifikátov,
i)
manipulácii so súkromným kľúčom certifikačnej autority,
j)
vydávaní časovej pečiatky.
(3)

Záznamy o udalostiach podľa odseku 2 sa vytvárajú, uchovávajú a spracúvajú tak, aby sa zachovala preukázateľnosť ...

(4)

Certifikačná autorita vytvára písomné záznamy o

a)
prijatí žiadosti o vystavenie certifikátu,
b)
odovzdaní certifikátu žiadateľovi o certifikát,
c)
prijatí žiadosti a podnetov o zrušenie certifikátu,
d)
oboznámení osôb určených na vykonávanie činností súvisiacich s poskytovaním certifikačných služieb s ...
e)
preškolení osôb uvedených v písmene d) tak, aby ich kvalifikačné predpoklady zodpovedali vykonávaným ...
f)
uvedení do prevádzky a zmene prevádzkového režimu nástroja na vytváranie elektronického podpisu certifikačnej ...
g)
technických zásahoch súvisiacich s prevádzkou a pravidelnou kontrolou technických zariadení a súčastí ...
(5)

Certifikačná autorita môže za podmienok definovaných v jej certifikačnom poriadku vytvárať záznamy podľa ...

§ 9
Bezpečnostné pravidlá
(1)

Bezpečnostné pravidlá akreditovanej certifikačnej autority obsahujú

a)
bezpečnostnú politiku,
b)
bezpečnostný zámer,
c)
bezpečnostný projekt,
d)
havarijný plán,
e)
bezpečnostné smernice.
(2)

Na poskytovanie akreditovaných certifikačných služieb akreditovaná certifikačná autorita realizuje bezpečnostné ...

(3)

Bezpečnostné opatrenia pozostávajú z mechanických a technických opatrení, z opatrení na ochranu produktu ...

(4)

Mechanické opatrenia sú všetky druhy bezpečnostných úschovných objektov, uzamykateľné kovové skrine, ...

(5)

Technické opatrenia sú

a)
elektromechanické zámkové zariadenia a systémy na kontrolu vstupov do objektov a chránených priestorov ...
b)
zariadenia poplachových systémov slúžiace na zisťovanie a vyhodnocovanie neoprávneného vstupu do objektu ...
c)
kamerová zostava v rámci uzatvoreného televízneho okruhu,
d)
zariadenia elektrickej požiarnej signalizácie,
e)
zariadenia na fyzické ničenie nosičov informácií,
f)
zariadenie na nepretržité vedenie kontrolného záznamu o činnosti prostriedku pre elektronický podpis ...
g)
iné technické prostriedky slúžiace na zabezpečenie objektu, chráneného priestoru, prevádzky produktu ...
(6)

Opatrenia na ochranu produktu pre elektronický podpis alebo produktu pre elektronickú pečať sú opatrenia ...

(7)

Bezpečnostné opatrenia prijaté akreditovanou certifikačnou autoritou musia spĺňať najmenej tieto podmienky: ...

a)
pri poskytovaní certifikačných služieb v prenajatých priestoroch musí byť zmluvne obmedzený samostatný ...
b)
okrem prevádzkových priestorov musí akreditovaná certifikačná autorita zabezpečiť ďalšie chránené priestory ...
c)
poskytovanie certifikačných služieb musí byť podporené technickými a programovými prostriedkami vyhradenými ...
d)
technické a organizačné opatrenia musia zabezpečiť nepretržitú prevádzku akreditovanej certifikačnej ...
e)
musí sa vypracovať a prevádzkovať vlastný systém priebežnej kontroly funkčnosti a bezpečnosti použitých ...
f)
musí sa vypracovať a prevádzkovať systém priebežného dokumentovania všetkých kľúčových aktivít v použitom ...
g)
záznamy priebežného dokumentovania kľúčových aktivít použitého systému sa musia bezpečne uchovávať na ...
(8)

Bezpečnostné pravidlá vypracúva akreditovaná certifikačná autorita sama alebo s pomocou externých fyzických ...

a)
údaje o zodpovednom riešiteľovi bezpečnostného projektu a jeho kvalifikácii pre oblasť informačnej bezpečnosti, ...
b)
oponentský posudok predloženého bezpečnostného projektu od nezávislého externého špecialistu pre informačnú ...
c)
pri výhradách externého oponenta uvedených v oponentskom posudku aj vlastné vyjadrenie k oponentskému ...
(9)

Akreditovaná certifikačná autorita pri zmenách v platných bezpečnostných pravidlách kvalifikovane posúdi ...

§ 10
Bezpečnostná politika
(1)

Bezpečnostná politika určuje základné požiadavky na ochranu citlivých informácií a záväzky jednotlivých ...

(2)

Cieľom bezpečnostnej politiky je určenie cieľov a popisu spôsobu zabezpečenia celkovej bezpečnosti certifikačnej ...

§ 11
Bezpečnostný zámer
(1)

Bezpečnostný zámer určuje požiadavky na ochranu informácií zhromažďovaných, vytváraných, spracúvaných, ...

(2)

Bezpečnostný zámer obsahuje

a)
určenie informácií, ktoré treba chrániť,
b)
charakteristiku a popis použitia technických a programových prostriedkov, pomocou ktorých bude budúca ...
c)
predpokladanú organizačnú štruktúru budúcej akreditovanej certifikačnej autority s uvedením oprávnení ...
d)
popis priestoru, v ktorom sú umiestnené prostriedky uvedené v písmene b),
e)
požiadavky na celkovú bezpečnosť akreditovanej certifikačnej autority, ktorá sa skladá z personálnej ...
§ 12
Bezpečnostný projekt
(1)

Bezpečnostný projekt je predpis akreditovanej certifikačnej autority, ktorý určuje spôsob ochrany výkonu ...

(2)

Bezpečnostný projekt pozostáva z

a)
analýzy rizík infraštruktúry, pomocou ktorej akreditovaná certifikačná autorita vykonáva certifikačné ...
b)
popisu bezpečnostných rizík súvisiacich s výkonom certifikačných činností a prevádzkou produktu pre ...
c)
popisu bezpečnostných opatrení na obmedzenie identifikovaných bezpečnostných rizík,
d)
popisu nasadenia, využívania a kontroly bezpečnostných opatrení.
(3)

Súčasťou bezpečnostného projektu je určenie spôsobu ochrany osobných údajov pre certifikačné služby ...

§ 13
Havarijný plán
(1)

Obsahom havarijného plánu je stanovenie postupov, ktoré sa budú aplikovať v prípade mimoriadnej udalosti. ...

(2)

Súčasťou havarijného plánu je plán obnovy. Plán obnovy ustanovuje postupy určené na obnovu riadnej funkčnosti ...

§ 14
Bezpečnostné smernice
(1)

Bezpečnostné smernice sú predpisy akreditovanej certifikačnej autority, ktoré rozpracúvajú ustanovenia ...

(2)

Bezpečnostné smernice upravujú najmenej tieto bezpečnostné opatrenia:

a)
umiestnenie a používanie kryptografického zariadenia certifikačnej autority,
b)
riadenie prístupu ku kryptografickému zariadeniu certifikačnej autority,
c)
postup zálohovania dát a skladovania médií so záložnými kópiami údajov,
d)
postupy pri haváriách a poruchách produktu pre elektronický podpis alebo produktu pre elektronickú pečať, ...
e)
zabezpečenie prevádzky kryptografického zariadenia certifikačnej autority v núdzových alebo havarijných ...
f)
zásady práce s médiami,
g)
tvorbu a vyhodnocovanie prevádzkových záznamov v písomnej alebo elektronickej forme,
h)
správu bezpečnostných prostriedkov,
i)
zásady bezpečného správania sa užívateľov a správcov produktu pre elektronický podpis alebo produktu ...
j)
zisťovanie bezpečnostných incidentov a ich riešenie,
k)
monitorovanie a odhaľovanie nepovolených aktivít v produkte pre elektronický podpis alebo v produkte ...
l)
bezpečnostné procedúry spojené s výkonom certifikačných činností.
§ 15
Pravidlá na výkon certifikačných činností
(1)

Pravidlá na výkon certifikačných činností určujú postup, ktorý akreditovaná certifikačná autorita uplatňuje ...

(2)

Pravidlá na výkon certifikačných činností akreditovanej certifikačnej autority obsahujú procedúry a ...

a)
generovaním párových dát certifikačnej autority, so spôsobom ochrany súkromného kľúča certifikačnej ...
b)
generovaním párových dát žiadateľa o certifikát,
c)
archiváciou certifikátov,
d)
bezpečnosťou počítačového vybavenia,
e)
kontrolou procedurálnej bezpečnosti, fyzickej bezpečnosti, bezpečnosti počítačovej siete, bezpečnosti ...
(3)

Pravidlá na výkon certifikačných činností akreditovanej certifikačnej autority obsahujú aj technické ...

a)
formátov údajov súvisiacich s poskytovaním certifikačných služieb,
b)
odkazov na príslušné predpisy,
c)
štandardov používaných pri výkone certifikačných služieb.
(4)

Štruktúra pravidiel na výkon certifikačných činností je uvedená v prílohe č. 2.

§ 16
Zrušovacie ustanovenie

Zrušuje sa vyhláška Národného bezpečnostného úradu č. 541/2002 Z. z. o obsahu a rozsahu prevádzkovej ...

§ 17
Záverečné ustanovenia
(1)

Touto vyhláškou sa preberajú právne akty Európskych spoločenstiev a Európskej únie uvedené v prílohe ...

(2)

Táto vyhláška bola prijatá v súlade s príslušným právnym aktom Európskych spoločenstiev5) pod číslom ...

§ 18
Účinnosť

Táto vyhláška nadobúda účinnosť dňom vyhlásenia.

František Blanárik v. r.

Prílohy

    ŠTRUKTÚRA CERTIFIKAČNÉHO PORIADKU AKREDITOVANEJ CERTIFIKAČNEJ AUTORITY

    1.

    ÚVOD

    Základné informácie o účele dokumentu. Súčasťou certifikačného poriadku certifikačnej autority môže ...

    2.

    VŠEOBECNÉ USTANOVENIA

    Základné východiská pre legislatívne vzťahy a procedúry poskytovania akreditovaných certifikačných služieb. ...

    2.1.

    Záväzky všetkých subjektov vstupujúcich do procesov súvisiacich s poskytovaním akreditovaných certifikačných ...

    a)

    certifikačnej autority,

    b)

    registračnej autority,

    c)

    žiadateľa o certifikát alebo držiteľa certifikátu,

    d)

    subjektu, ktorý koná na báze dôvery v daný certifikát a/alebo na základe elektronického podpisu overeného ...

    e)

    správcov adresárov.

    2.2.

    Opis zodpovednosti každého subjektu za

    a)

    záruky a obmedzenia poskytovaných záruk,

    b)

    typy krytých škôd,

    c)

    ohraničenie možných strát,

    d)

    ďalšie obmedzenia zodpovednosti.

    2.3.

    Finančná zodpovednosť

    Definovanie finančnej zodpovednosti certifikačnej autority vrátane jej presného rozsahu.

    2.4.

    Riešenie sporov

    Určenie spôsobu interpretácie certifikačného poriadku a spôsobu riešenia sporov.

    2.5.

    Poplatky

    Špecifikácia poplatkov, ktoré si certifikačná autorita alebo registračná autorita účtuje za služby spojené ...

    2.6.

    Záväzky certifikačnej autority súvisiace so zverejňovaním informácií, a to

    a)

    publikovanie informácií o vlastných postupoch a procedúrach, vlastných certifikátoch a stave týchto ...

    b)

    periodicita publikovania informácií,

    c)

    požiadavky na využívanie zverejňovaných informácií spravovaných certifikačnou autoritou treťou stranou, ...

    2.7.

    Informácie súvisiace s pravidelnými auditmi zhody s deklarovanými záväzkami, a to

    a)

    frekvencia a periodicita auditu,

    b)

    identita a kvalifikácia audítora, ako aj jeho vzťah k auditovanému subjektu,

    c)

    zoznam oblastí, ktoré sú predmetom auditu zhody,

    d)

    zoznam opatrení realizovaných na základe výsledkov auditu.

    2.8.

    Záväzky certifikačnej autority súvisiace s ochranou informácií, a to

    a)

    typy informácií, ktoré má certifikačná autorita chrániť,

    b)

    typy informácií, ktoré nie sú klasifikované ako dôverné,

    c)

    kto bude oboznamovaný o zrušení certifikátu,

    d)

    politika poskytovania informácií vyžadovaných podľa zákona,

    e)

    prípady, v ktorých sa dôverná informácia môže zverejniť.

    2.9.

    Ochrana práv duševného vlastníctva

    Opis vlastníckych práv k certifikátom, procedúram a kľúčom.

    3.

    IDENTIFIKÁCIA A AUTENTIFIKÁCIA

    Opis procedúr súvisiacich s autentifikáciou žiadateľa o certifikát pri prvom vydaní certifikátu, pri ...

    3.1.

    Základné vlastnosti procesov identifikácie a autentifikácie pri registrácii subjektu a vydávaní certifikátu. ...

    a)

    typy mien, pravidlá na interpretáciu mien, požiadavky na jednoznačnosť a zmysluplnosť mien,

    b)

    spôsob riešenia sporov týkajúcich sa mien,

    c)

    či a akým spôsobom musí žiadateľ o certifikát preukázať vlastníctvo súkromného kľúča k verejnému kľúču ...

    d)

    autentifikačné požiadavky pre organizácie a jej zástupcov.

    3.2.

    Vydanie následného certifikátu

    Procesy súvisiace s vydaním následného certifikátu po skončení alebo pred skončením platnosti existujúceho ...

    3.3.

    Vydanie následného certifikátu po zrušení certifikátu

    Procesy súvisiace s vydaním následného certifikátu, ak bol existujúci certifikát zrušený.

    3.4.

    Žiadosť o zrušenie certifikátu

    Procesy súvisiace so spracovaním požiadaviek na identifikáciu subjektu pri žiadosti o zrušenie certifikátu. ...

    4.

    PREVÁDZKOVÉ POŽIADAVKY

    Opis procedúr súvisiacich s vydávaním certifikátov.

    4.1.

    Žiadosť o vydanie certifikátu

    Procesy súvisiace so zaregistrovaním žiadateľa o certifikát a s vystavením žiadosti o vydanie certifikátu. ...

    4.2.

    Vydanie certifikátu

    Procesy súvisiace s vydaním certifikátu a informovaním žiadateľa o certifikát o vydaní certifikátu. ...

    4.3.

    Prevzatie certifikátu

    Procesy súvisiace s prevzatím certifikátu a následným publikovaním certifikátov.

    4.4.

    Procesy súvisiace so zrušením certifikátu sú

    a)

    určenie okolností, za ktorých možno certifikát zrušiť,

    b)

    určenie, kto môže o zrušenie certifikátu požiadať,

    c)

    postup na vystavenie a spracovanie žiadosti o zrušenie certifikátu,

    d)

    interval na zrušenie certifikátu na základe požiadavky,

    e)

    určenie periodicity publikovania zoznamu zrušených certifikátov,

    f)

    požiadavky na používateľov certifikátov na sledovanie zoznamu zrušených certifikátov,

    g)

    opis možností on-line zisťovania stavu certifikátu a požiadavky na používateľov certifikátov na využívanie ...

    h)

    iné možnosti informovania o zrušení certifikátu a požiadavky na používateľov certifikátov na využívanie ...

    i)

    akákoľvek kombinácia predchádzajúcich mechanizmov, ak dôvodom zrušenia certifikátu je kompromitácia ...

    4.5.

    Procesy súvisiace so zaznamenávaním prevádzkových udalostí a systému auditu sú

    a)

    typy zaznamenávaných prevádzkových udalostí,

    b)

    frekvencia spracovania a auditu prevádzkových záznamov,

    c)

    perióda uchovávania prevádzkových záznamov,

    d)

    ochrana prevádzkových záznamov so zameraním na prístupové práva, ochrana proti modifikácii a proti vymazaniu, ...

    e)

    zálohovanie prevádzkových záznamov,

    f)

    spôsob informovania subjektov o zaznamenávaní činnosti.

    4.6.

    Procesy súvisiace s archiváciou záznamov so zameraním na

    a)

    typy zaznamenávaných udalostí,

    b)

    lehotu uchovávania archívnych záznamov,

    c)

    prístupové práva a ochranu archívnych záznamov proti modifikácii a proti vymazaniu,

    d)

    zálohovanie archívnych záznamov,

    e)

    požiadavky na časové údaje v záznamoch,

    f)

    procedúry na overovanie archívnych informácií.

    4.7.

    Zmena kľúčov

    Procesy súvisiace so zverejnením nového verejného kľúča certifikačnej autority.

    4.8.

    Procesy súvisiace s riešením havarijných situácií. Každá z týchto oblastí sa rozpracúva samostatne a ...

    a)

    na obnovu činností, vrátane činností počas samotnej havárie, ak výpočtové zdroje, programové vybavenie ...

    b)

    obnovy, ak certifikát certifikačnej autority je zrušený; procedúry opisujú spôsob obnovy bezpečného ...

    c)

    obnovy, ak súkromný kľúč certifikačnej autority je skompromitovaný; procedúry opisujú spôsob obnovy ...

    d)

    certifikačnej autority pre prevádzku a obnovu prevádzky v prípade havarijných situácií (napríklad katastrofy ...

    4.9.

    Skončenie činnosti certifikačnej autority

    Procesy súvisiace so skončením činnosti certifikačnej autority a zverejnením oznámenia o skončení činnosti ...

    5.

    FYZICKÉ, PROCEDURÁLNE A PERSONÁLNE BEZPEČNOSTNÉ OPATRENIA

    Opis bezpečnostných opatrení certifikačnej autority na zabezpečenie bezpečnej prevádzky a činnosti. ...

    5.1.

    Opis fyzických bezpečnostných opatrení súvisiacich s prevádzkovými priestormi certifikačnej autority. ...

    a)

    lokalizáciu a konštrukciu prevádzkových priestorov,

    b)

    fyzický prístup,

    c)

    elektrické napájanie a vzduchotechniku,

    d)

    rozvody vody a kanalizácie,

    e)

    opatrenia ochrany pred požiarmi,

    f)

    uchovávanie technických nosičov dát,

    g)

    nakladanie s odpadmi,

    h)

    záložné prevádzkové priestory.

    5.2.

    Procedurálne opatrenia

    Opis bezpečnostne kritických rolí a ich zodpovedností súvisiacich so zabezpečením prevádzky. Počet osôb ...

    5.3.

    Personálne bezpečnostné opatrenia obsahujú

    a)

    požiadavky na procedúry preverovania osôb súvisiacich s obsadzovaním bezpečnostne kritických rolí, ako ...

    b)

    požiadavky na školenia a procedúry vykonávania školení pracovníkov,

    c)

    požiadavky na interval preškoľovania personálu,

    d)

    požiadavky na frekvenciu a rotáciu pracovníkov v rámci rolí v prevádzke,

    e)

    sankcie za neautorizovanú činnosť, neautorizované využívanie pridelených práv a prístupu k systémom, ...

    f)

    bezpečnostné požiadavky na zmluvne zabezpečované činnosti,

    g)

    požiadavky na dokumentáciu poskytovanú jednotlivým pracovníkom.

    6.

    TECHNICKÉ BEZPEČNOSTNÉ OPATRENIA

    Opis technických bezpečnostných opatrení certifikačnej autority na ochranu kryptografických kľúčov a ...

    6.1.

    Generovanie a inštalácia páru kľúčov sa opisuje pre vydavateľa certifikátov, registračné autority, adresárové ...

    a)

    kto generuje pár súkromného a verejného kľúča pre daný subjekt,

    b)

    spôsob bezpečného poskytnutia súkromného kľúča danému subjektu,

    c)

    spôsob bezpečného poskytnutia súkromného kľúča daného subjektu vydavateľovi certifikátu,

    d)

    spôsob bezpečného poskytnutia verejného kľúča certifikačnej autority používateľom certifikátu,

    e)

    akú dĺžku majú kľúče,

    f)

    kto generuje parametre verejného kľúča,

    g)

    kontrola kvality parametrov v procese generovania kľúčov,

    h)

    spôsob generovania kľúčov softvérovými alebo hardvérovými prostriedkami,

    i)

    spôsob použitia, na ktorý sa kľúč generuje alebo na aké účely je jeho používanie obmedzené.

    6.2.

    Analyzujú sa požiadavky na ochranu súkromného kľúča, a to

    a)

    aké štandardy sa vyžadujú pre modul generujúci kľúče, napríklad FIPS 140-2,

    b)

    ak je súkromný kľúč pod kontrolou N osôb z celkového počtu M osôb, treba stanoviť parametre; prípad ...

    c)

    ak je možnosť rekonštrukcie súkromného kľúča, určuje sa, kto je vykonávateľom rekonštrukcie, akou formou ...

    d)

    ak je súkromný kľúč zálohovaný, určuje sa, kto vykonáva zálohovanie, akým spôsobom sa zálohovanie vykonáva ...

    e)

    ak je súkromný kľúč archivovaný, určuje sa, kto vykonáva archiváciu, akým spôsobom sa archivácia vykonáva ...

    f)

    kto vkladá súkromný kľúč do kryptografického modulu, akým spôsobom sa kľúč vkladá a akým spôsobom sa ...

    g)

    kto môže aktivovať a používať súkromný kľúč, akým spôsobom sa aktivácia vykonáva, napríklad prihlásenie ...

    h)

    kto a akým spôsobom môže deaktivovať súkromný kľúč,

    i)

    kto a akým spôsobom môže zničiť súkromný kľúč.

    6.3.

    Opis ďalších aspektov manažmentu párových dát pre všetky subjekty obsahuje údaje,

    a)

    či sa verejný kľúč archivuje, ak áno, kto vykonáva archiváciu a aké sú bezpečnostné opatrenia,

    b)

    o časových intervaloch používania párových dát pre súkromné kľúče a verejné kľúče.

    6.4.

    Aktivačné údaje

    Opis bezpečnostných opatrení na ochranu aktivačných údajov pre celý životný cyklus aktivačných údajov ...

    6.5.

    Počítačové bezpečnostné opatrenia

    Opis počítačových bezpečnostných opatrení, napríklad používanie bezpečných systémov, riadenie prístupu, ...

    6.6.

    Bezpečnostné opatrenia na vývoj a riadenie bezpečnosti

    Opis bezpečnostných opatrení na vývoj, napríklad bezpečnosť vývojového prostredia, bezpečnosť vývojového ...

    6.7.

    Sieťové bezpečnostné opatrenia

    Opatrenia na ochranu sieťovej infraštruktúry vrátane využívania firewallov.

    6.8.

    Opatrenia pre kryptografické moduly

    Opatrenia na ochranu, návrh a využívanie kryptografických modulov, určenie rozhrania a okolia modulu, ...

    7.

    PROFILY CERTIFIKÁTOV A ZOZNAMOV ZRUŠENÝCH CERTIFIKÁTOV

    Opis profilov certifikátov a zoznamu zrušených certifikátov.

    7.1.

    Profil certifikátu

    Formát, obsah a nastavenie typických hodnôt jednotlivých položiek vydávaných certifikátov.

    7.2.

    Profil zoznamu zrušených certifikátov

    Formát a obsah zoznamu zrušených certifikátov.

    8.

    ADMINISTRÁCIA ŠPECIFIKÁCIÍ

    Spôsob spravovania a aktualizácie certifikačného poriadku a pravidiel na výkon certifikačných činností. ...

    8.1.

    Procedúry realizácie zmien pre potrebu aktualizácie alebo zmeny certifikačného poriadku, ktoré obsahujú ...

    a)

    ktoré sa môžu zmeniť bez oznámenia a bez zmien identifikátora certifikačného poriadku,

    b)

    ktoré sa môžu zmeniť po uplynutí oznamovacieho intervalu bez zmien identifikátora certifikačného poriadku; ...

    c)

    ktorých zmena vyžaduje zmenu identifikátora certifikačného poriadku.

    8.2.

    Procedúry na zverejňovanie a upozornenie sú

    a)

    mechanizmy na distribuovanie certifikačného poriadku vrátane riadenia prístupov v takejto distribúcii, ...

    b)

    zoznam dokumentov, informácií a procedúr, ktoré existujú, ale sa nezverejňujú.

    8.3.

    Procedúry na schvaľovanie

    Spôsob určenia zhody prípadného špecifického certifikačného poriadku so všeobecným certifikačným poriadkom. ...

    Príloha č. 2 k vyhláške č. 133/2009 Z. z.

    ŠTRUKTÚRA PRAVIDIEL NA VÝKON CERTIFIKAČNÝCH ČINNOSTÍ

    Štruktúra pravidiel na výkon certifikačných činností je zhodná so štruktúrou podľa prílohy č. 1 a obsahuje ...

    Dokument pravidiel na výkon certifikačných činností obsahuje najmenej jeden objektový identifikátor ...

    ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE

    Smernica Európskeho parlamentu a Rady 1999/93/ES z 13. decembra 1999 o rámci spoločenstva pre elektronické ...

Poznámky

  • 1)  Vyhláška Národného bezpečnostného úradu č. 135/2009 Z. z. o formáte a spôsobe vyhotovenia zaručeného ...
  • 2)  Vyhláška Národného bezpečnostného úradu č. 134/2009 Z. z., ktorou sa ustanovujú podrobnosti o požiadavkách ...
  • 3)  Vyhláška Národného bezpečnostného úradu č. 132/2009 Z. z. o podmienkach na poskytovanie akreditovaných ...
  • 4)  Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
  • 5)  Smernica Európskeho parlamentu a Rady 98/34/ES o postupe pri poskytovaní informácií v oblasti technických ...
  • 6)  Súbor ISO/IEC 15408 Information technology. Security techniques. Evaluation criteria for IT security ...
Načítavam znenie...
MENU
Hore