Vyhláška Národného bezpečnostného úradu o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách a pravidlách na výkon certifikačných činností 541/2002 účinný od 01.10.2002 do 07.04.2009
| Platnosť od: | 25.09.2002 |
| Účinnosť od: | 01.10.2002 |
| Účinnosť do: | 07.04.2009 |
| Autor: | Národný bezpečnostný úrad |
| Oblasť: | Záväzkové a zmluvné právo |
| Zobraziť iba vybrané paragrafy: | Zobraziť |
UPOZORNENIE: Znenia §-ov sú skrátené. Na zobrazenie celého znenia musíte byť zaregistrovaní. ZAREGISTRUJTE SA NA 14 DNÍ BEZPLATNE!
Národného bezpečnostného úradu
o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných ...
Národný bezpečnostný úrad (ďalej len „úrad") podľa § 14 ods. 1 písm. j) a ods. 2 a § 26 ...
§ 1
Predmet úpravy
obsah a rozsah prevádzkovej dokumentácie certifikačnej autority,
bezpečnostné pravidlá a pravidlá na výkon certifikačných činností akreditovanej certifikačnej ...
§ 2
Vymedzenie niektorých pojmov
párovými dátami dvojica tvorená verejným kľúčom a súkromným kľúčom patriacim k danému ...
bezpečnostným opatrením technický, personálny alebo administratívny prvok ochrany, ktorého účelom ...
typom certifikátu a časovej pečiatky skupina atribútov charakterizujúcich vydaný certifikát a ...
§ 3
Dokumentácia certifikačnej autority
Certifikačná autorita vypracúva, vedie a aktualizuje dokumentáciu na výkon certifikačných činností. ...
Dokumentácia certifikačnej autority obsahuje
prevádzkovú dokumentáciu,
bezpečnostné pravidlá,
pravidlá na výkon certifikačných činností.
§ 4
Prevádzková dokumentácia certifikačnej autority
certifikačný poriadok,
vzory zmlúv o vydaní a používaní certifikátu,
cenník poskytovaných certifikačných služieb,
prevádzkové záznamy,
iné záznamy, ktoré certifikačná autorita považuje za účelné.
§ 5
Certifikačný poriadok
Certifikačný poriadok obsahuje
informácie pre koho a za akých podmienok poskytuje certifikačná autorita svoje služby,
obmedzenia pri poskytovaní svojich služieb, ak také obmedzenia existujú,
typy certifikátov a časových pečiatok, ktoré certifikačná autorita vydáva,
podpisové politiky a politiky časových pečiatok1),
práva a povinnosti používateľov služieb certifikačnej autority,
vzor žiadosti o poskytnutie certifikačnej služby,
pravidlá používania a zrušovania certifikátov.
Certifikačný poriadok môže okrem informácií uvedených v odseku 1 obsahovať aj ďalšie informácie, ...
Certifikačný poriadok akreditovanej certifikačnej autority popisuje úlohy jednotlivých subjektov ...
prvotnú registráciu žiadosti o vydanie certifikátu,
žiadosť o vydanie následného certifikátu,
vydanie certifikátu,
žiadosť o zrušenie certifikátu,
zrušenie certifikátu,
vydávanie zoznamu zrušených certifikátov.
Certifikačný poriadok akreditovanej certifikačnej autority obsahuje klasifikáciu spracovávaných ...
Certifikačný poriadok akreditovanej certifikačnej autority ustanovuje pre každý ňou vydávaný ...
Certifikačný poriadok akreditovanej certifikačnej autority ustanovuje aj rozsah a spôsob zverejňovania ...
kontaktných adries akreditovanej certifikačnej autority,
podporovaných štandardov a protokolov pre prístup k zverejňovaným informáciám,
vlastných certifikátov s riešením spôsobu ich nahradenia po skončení platnosti,
vydaných certifikátov, formátu ich zverejňovania a aktualizáciu zoznamu vydaných certifikátov, ...
zoznamov zrušených certifikátov, formátu ich zverejňovania a ich aktualizáciu; pre akreditovanú ...
Certifikačný poriadok akreditovanej certifikačnej autority poskytuje informácie o vykonávaní auditu ...
Akreditovaná certifikačná autorita môže mať viacero certifikačných poriadkov pre rôzne typy ...
Štruktúra certifikačného poriadku akreditovanej certifikačnej autority je uvedená v prílohe č. ...
§ 6
Vzor zmluvy o vydaní a používaní certifikátu
Vydanie certifikátu žiadateľovi o certifikát sa uskutočňuje na základe zmluvy o vydaní a používaní ...
Obsahom zmluvy o vydaní a používaní certifikátu je definovanie vzťahu medzi žiadateľom o certifikát ...
Certifikačná autorita môže mať vypracovaných viacero vzorov zmlúv o vydaní a používaní certifikátu ...
Vzor zmluvy o vydaní a používaní certifikátu obsahuje
postup na vydanie a prevzatie prvého certifikátu žiadateľovi o certifikát,
postup na vydanie a prevzatie následného certifikátu,
záväzky certifikačnej autority,
záväzky držiteľa certifikátu,
možné obmedzenie zodpovednosti certifikačnej autority v prípade porušenia pravidiel na vystavenie ...
potvrdenie o vydaní certifikátu a jeho odovzdaní žiadateľovi o certifikát.
§ 7
Cenník poskytovaných certifikačných služieb
Cenník poskytovaných certifikačných služieb obsahuje zoznam všetkých certifikačných služieb, ...
§ 8
Prevádzkové záznamy
Prevádzkovými záznamami sú záznamy v písomnej alebo elektronickej forme vznikajúce pri certifikačnej ...
Certifikačná autorita zaznamenáva všetky prevádzkové udalosti pri
podávaní žiadosti o certifikát a vydávaní certifikátu,
spracúvaní a uchovávaní osobných údajov žiadateľa,
vydávaní certifikátu,
vydávaní krížového certifikátu,
skončení platnosti certifikátu,
požiadavke na zrušenie certifikátu,
zrušení certifikátu,
vytváraní a zverejňovaní zoznamu zrušených certifikátov,
manipulácii so súkromným kľúčom certifikačnej autority,
vydávaní časovej pečiatky.
Záznamy o udalostiach podľa odseku 2 sa vytvárajú, uchovávajú a spracúvajú tak, aby sa zachovala ...
Certifikačná autorita vytvára písomné záznamy o
prijatí žiadosti o vystavenie certifikátu,
odovzdaní certifikátu žiadateľovi o certifikát,
prijatí žiadosti a podnetov o zrušenie certifikátu,
oboznámení osôb určených na vykonávanie činností súvisiacich s poskytovaním certifikačných ...
preškolení osôb uvedených v písmene d) tak, aby ich kvalifikačné predpoklady zodpovedali vykonávaným ...
uvedení do prevádzky a zmene prevádzkového režimu nástroja na vytváranie elektronického podpisu ...
technických zásahoch súvisiacich s prevádzkou a pravidelnou kontrolou technických zariadení a ...
Certifikačná autorita môže za podmienok definovaných v jej certifikačnom poriadku vytvárať záznamy ...
§ 9
Bezpečnostné pravidlá
Bezpečnostné pravidlá akreditovanej certifikačnej autority obsahujú
bezpečnostnú politiku,
bezpečnostný zámer,
bezpečnostný projekt,
havarijný plán,
bezpečnostné smernice.
Na poskytovanie akreditovaných certifikačných služieb akreditovaná certifikačná autorita realizuje ...
Bezpečnostné opatrenia pozostávajú z mechanických a technických opatrení, z opatrení na ochranu ...
Mechanické opatrenia sú všetky druhy bezpečnostných úschovných objektov, uzamykateľné kovové ...
Technické opatrenia sú
elektromechanické zámkové zariadenia a systémy na kontrolu vstupov do objektov a chránených priestorov ...
zariadenia poplachových systémov slúžiace na zisťovanie a vyhodnocovanie neoprávneného vstupu ...
kamerová zostava v rámci uzatvoreného televízneho okruhu,
zariadenia elektrickej požiarnej signalizácie,
zariadenia na fyzické ničenie nosičov informácií,
zariadenie na nepretržité vedenie kontrolného záznamu o činnosti prostriedku pre elektronický ...
iné technické prostriedky slúžiace na zabezpečenie objektu, chráneného priestoru, prevádzky ...
Opatrenia na ochranu produktu pre elektronický podpis sú opatrenia splňajúce požiadavky osobitného ...
Bezpečnostné opatrenia prijaté akreditovanou certifikačnou autoritou musia spĺňať najmenej tieto ...
pri poskytovaní certifikačných služieb v prenajatých priestoroch musí byť zmluvne obmedzený ...
okrem prevádzkových priestorov musí akreditovaná certifikačná autorita zabezpečiť ďalšie chránené ...
poskytovanie certifikačných služieb musí byť podporené technickými a programovými prostriedkami ...
technické a organizačné opatrenia musia zaistiť nepretržitú prevádzku akreditovanej certifikačnej ...
musí sa vypracovať a prevádzkovať vlastný systém priebežnej kontroly funkčnosti a bezpečnosti ...
musí sa vypracovať a prevádzkovať systém priebežného dokumentovania všetkých kľúčových ...
záznamy priebežného dokumentovania kľúčových aktivít použitého systému sa musia bezpečne ...
Bezpečnostné pravidlá vypracúva akreditovaná certifikačná autorita sama alebo s pomocou externých ...
údaje o zodpovednom riešiteľovi bezpečnostného projektu a jeho kvalifikácii pre oblasť informačnej ...
oponentský posudok predloženého bezpečnostného projektu od nezávislého externého špecialistu ...
pri výhradách externého oponenta uvedených v oponentskom posudku aj vlastné vyjadrenie k oponentskému ...
Akreditovaná certifikačná autorita pri zmenách v platných bezpečnostných pravidlách kvalifikovane ...
§ 10
Bezpečnostná politika
Bezpečnostná politika určuje základné požiadavky na ochranu citlivých informácií a záväzky ...
Cieľom bezpečnostnej politiky je určenie cieľov a popisu spôsobu zabezpečenia celkovej bezpečnosti ...
§ 11
Bezpečnostný zámer
Bezpečnostný zámer určuje požiadavky na ochranu informácií zhromažďovaných, vytváraných, ...
Bezpečnostný zámer obsahuje
určenie informácií, ktoré treba chrániť,
charakteristiku a popis použitia technických a programových prostriedkov, ktorých pomocou bude budúca ...
predpokladanú organizačnú štruktúru budúcej akreditovanej certifikačnej autority s uvedením ...
popis priestoru, v ktorom sú umiestnené prostriedky uvedené v písmene b),
požiadavky na celkovú bezpečnosť akreditovanej certifikačnej autority, ktorá sa skladá z personálnej ...
§ 12
Bezpečnostný projekt
Bezpečnostný projekt je predpis akreditovanej certifikačnej autority, ktorý určuje spôsob ochrany ...
Bezpečnostný projekt pozostáva z
analýzy rizík infraštruktúry, pomocou ktorej akreditovaná certifikačná autorita vykonáva certifikačné ...
popisu bezpečnostných rizík súvisiacich s výkonom certifikačných činností a prevádzkou produktu ...
popisu bezpečnostných opatrení na obmedzenie identifikovaných bezpečnostných rizík,
popisu nasadenia, využívania a kontroly bezpečnostných opatrení.
Súčasťou bezpečnostného projektu je určenie spôsobu ochrany osobných údajov pre certifikačné ...
§ 13
Havarijný plán
Obsahom havarijného plánu je stanovenie postupov, ktoré sa budú aplikovať v prípade mimoriadnej ...
Súčasťou havarijného plánu je plán obnovy. Plán obnovy ustanovuje postupy určené na obnovu ...
§ 14
Bezpečnostné smernice
Bezpečnostné smernice sú predpisy akreditovanej certifikačnej autority, ktoré rozpracúvajú ustanovenia ...
Bezpečnostné smernice upravujú najmenej tieto bezpečnostné opatrenia:
umiestnenie a používanie kryptografického zariadenia certifikačnej autority,
riadenie prístupu ku kryptografickému zariadeniu certifikačnej autority,
postup zálohovania dát a skladovania médií so záložnými kópiami údajov,
postupy pri haváriách a poruchách produktu pre elektronický podpis, haváriách a poruchách infraštruktúry ...
zabezpečenie prevádzky kryptografického zariadenia certifikačnej autority v núdzových alebo havarijných ...
zásady práce s médiami,
tvorbu a vyhodnocovanie prevádzkových záznamov v písomnej alebo elektronickej forme,
správu bezpečnostných prostriedkov,
zásady bezpečného správania sa užívateľov a správcov produktu pre elektronický podpis,
zisťovanie bezpečnostných incidentov a ich riešenie,
monitorovanie a odhaľovanie nepovolených aktivít v produkte pre elektronický podpis,
bezpečnostné procedúry spojené s výkonom certifikačných činností.
§ 15
Pravidlá na výkon certifikačných činností
Pravidlá na výkon certifikačných činností určujú postup, ktorý akreditovaná certifikačná ...
Pravidlá na výkon certifikačných činností akreditovanej certifikačnej autority obsahujú procedúry ...
generovaním párových dát certifikačnej autority, so spôsobom ochrany súkromného kľúča certifikačnej ...
generovaním párových dát žiadateľa o certifikát,
archiváciou certifikátov,
bezpečnosťou počítačového vybavenia,
kontrolou procedurálnej bezpečnosti, fyzickej bezpečnosti, bezpečnosti počítačovej siete, bezpečnosti ...
Pravidlá na výkon certifikačných činností akreditovanej certifikačnej autority obsahujú aj technické ...
formátov údajov súvisiacich s poskytovaním certifikačných služieb,
odkazov na príslušné predpisy,
štandardov používaných pri výkone certifikačných služieb.
Štruktúra pravidiel na výkon certifikačných činností je uvedená v prílohe č. 2.
§ 16
Účinnosť
Táto vyhláška nadobúda účinnosť 1. októbra 2002.
Ján Mojžiš v. r.
Prílohy
Poznámky
- 1) Vyhláška Národného bezpečnostného úradu č. 537/2002 Z. z. o formáte a spôsobe vyhotovenia ...
- 2) Vyhláška Národného bezpečnostného úradu č. 539/2002 Z. z., ktorou sa ustanovujú podrobnosti ...
- 3) Vyhláška Národného bezpečnostého úradu č. 540/2002 Z. z. o podmienkach na poskytovanie akreditovaných ...
- 4) Zákon č. 428/2002 Z. z. o ochrane osobných údajov.
1. ÚVOD
Základné informácie o účele dokumentu. Súčasťou certifikačného poriadku certifikačnej autority ...
Úvodné ustanovenia obsahujú aj kontaktné informácie o certifikačnej autorite, najmenej však adresu ...
2. VŠEOBECNÉ USTANOVENIA
Základné východiská pre legislatívne vzťahy a procedúry poskytovania akreditovaných certifikačných ...
2.1. Záväzky všetkých subjektov vstupujúcich do procesov súvisiacich s poskytovaním akreditovaných ...
a) certifikačnej autority,
b) registračnej autority,
c) žiadateľa alebo držiteľa certifikátu,
d) subjektu, ktorý koná na báze dôvery v daný certifikát a/alebo na základe elektronického podpisu ...
e) správcov adresárov.
2.2. Právne záruky
Popis zodpovednosti každého subjektu
a) záruky a obmedzenia poskytovaných záruk,
b) typy krytých škôd,
c) ohraničenie možných strát,
d) ďalšie obmedzenia zodpovednosti.
2.3. Finančná zodpovednosť
Definovanie finančnej zodpovednosti certifikačnej autority a presné definovanie jej ohraničení.
2.4. Rozhodcovské konanie a riešenie sporov
Určenie spôsobu interpretácie certifikačného poriadku, napr. rozhodcovské konanie, spôsob riešenia ...
2.5. Poplatky
Špecifikácia poplatkov, ktoré si certifikačná autorita alebo registračná autorita účtuje za ...
2.6. Zverejňovanie informácií
Záväzky certifikačnej autority súvisiace so zverejňovaním informácií, a to
a) publikovaním informácií o vlastných postupoch a procedúrach, vlastných certifikátoch a stave ...
b) periodicitou publikovania informácií,
c) požiadavkami na využívanie zverejňovaných informácií spravovaných certifikačnou autoritou ...
2.7. Audit zhody
Deklarácia certifikačnej autority v oblasti vykonávania auditov.
2.8. Dôvernosť
Záväzky certifikačnej autority súvisiace s ochranou informácií, a to
a) typy informácií, ktoré má certifikačná autorita chrániť,
b) typy informácií, ktoré nie sú klasifikované ako dôverné,
c) kto bude oboznamovaný o zrušení certifikátu,
d) politika poskytovania informácií vyžadovaných podľa zákona,
e) prípady, v ktorých sa dôverná informácia môže zverejniť.
2.9. Ochrana intelektuálnych práv
Popis vlastníckych práv k certifikátom, procedúram a kľúčom.
3. IDENTIFIKÁCIA A AUTENTIFIKÁCIA
Popis procesov súvisiacich s autentifikáciou žiadateľov o certifikát pred vlastným vydaním certifikátu. ...
3.1. Iniciálna registrácia
Základné vlastnosti procesov identifikácie a autentifikácie pri registrácii subjektu a vydávaní ...
a) typy mien, pravidlá na interpretáciu mien, požiadavky na jednoznačnosť a zmysluplnosť mien,
b) spôsob riešenia sporov týkajúcich sa mien,
c) či a akým spôsobom musí žiadateľ o certifikát preukázať vlastníctvo súkromného kľúča ...
d) autentifikačné požiadavky pre organizácie a jej zástupcov.
3.2. Vydanie následného certifikátu
Procesy súvisiace s vydaním následného certifikátu po skončení alebo pred skončením platnosti ...
3.3. Vydanie následného certifikátu po zrušení certifikátu
Procesy súvisiace s vydaním následného certifikátu v prípade, že existujúci certifikát bol ...
3.4. Žiadosť o zrušenie certifikátu
Procesy súvisiace so spracovaním požiadaviek na identifikáciu subjektu pri žiadosti o zrušenie ...
4. PREVÁDZKOVÉ POŽIADAVKY
Popis procesov súvisiacich s vydávaním certifikátov.
4.1. Žiadosť o vydanie certifikátu
Procesy súvisiace so zaregistrovaním žiadateľa a s vystavením žiadosti o vydanie certifikátu.
4.2. Vydanie certifikátu
Procesy súvisiace s vydaním certifikátu a informovaním žiadateľa o vydaní certifikátu.
4.3. Prevzatie certifikátu
Procesy súvisiace s prevzatím certifikátu a následným publikovaním certifikátov.
4.4. Zrušenie certifikátu
Procesy súvisiace so zrušením certifikátu, a to
a) stanovenie okolností, za ktorých možno certifikát zrušiť,
b) stanovenie, kto môže o zrušenie certifikátu požiadať,
c) postup na vystavenie a spracovanie žiadosti o zrušenie certifikátu,
d) interval na zrušenie certifikátu na základe požiadavky,
e) stanovenie periodicity publikovania zoznamu zrušených certifikátov,
f) požiadavky na používateľov certifikátov na sledovanie zoznamu zrušených certifikátov,
g) popis možností on-line zisťovania stavu certifikátu a požiadavky na používateľov certifikátov ...
h) iné možnosti informovania o zrušení certifikátu a požiadavky na používateľov certifikátov ...
i) akákoľvek kombinácia predchádzajúcich mechanizmov pre prípad, že dôvodom zrušenia certifikátu ...
4.5. Audit bezpečnosti
Deklarácie certifikačnej autority o zaznamenávaní prevádzkových udalostí.
4.6. Archivácia záznamov
Deklarácie certifikačnej autority o archivácii záznamov.
4.7. Zmena kľúčov
Procesy súvisiace so zverejnením nového verejného kľúča certifikačnej autority.
4.8. Havarijný plán pre mimoriadne udalosti
Deklarácie certifikačnej autority o riešení havarijných situácií.
4.9. Skončenie činnosti certifikačnej autority
Informácia o spôsobe skončenia činnosti certifikačnej autority a zverejnení oznámenia o skončení ...
5. FYZICKÉ, PROCEDURÁLNE A PERSONÁLNE BEZPEČNOSTNÉ OPATRENIA
Deklarácie certifikačnej autority o opatreniach na zaistenie bezpečnej prevádzky.
6. TECHNICKÉ BEZPEČNOSTNÉ OPATRENIA
Deklarácie certifikačnej autority o opatreniach na zabezpečenie bezpečnej prevádzky a tiež špecifikáciu ...
7. PROFILY CERTIFIKÁTOV A ZOZNAMOV ZRUŠENÝCH CERTIFIKÁTOV
Popis profilov certifikátov a profilov zoznamov zrušených certifikátov.
7.1. Profil certifikátu
Formát, obsah a nastavenie typických hodnôt jednotlivých položiek vydávaných certifikátov.
7.2. Profil zoznamu zrušených certifikátov
Formát a obsah zoznamu zrušených certifikátov.
8. ADMINISTRÁCIA ŠPECIFIKÁCIÍ
Popis spôsobu spravovania, aktualizácie a zverejňovania certifikačného poriadku, ako aj informácie ...
1. ÚVOD
Základné informácie o účele dokumentu. Úvodné ustanovenia obsahujú tiež kontaktné informácie ...
2. VŠEOBECNÉ USTANOVENIA
Základné východiská pre legislatívne vzťahy a procedúry poskytovania akreditovaných certifikačných ...
2.1. Povinnosti
Definícia záväzkov všetkých subjektov vstupujúcich do procesov súvisiacich s certifikátmi a ...
a) certifikačnej autority,
b) registračnej autority,
c) žiadateľa alebo držiteľa certifikátu,
d) používateľa certifikátu,
e) správcov adresárov.
2.2. Právne záruky
Popis zodpovednosti každého subjektu
a) garancie a obmedzenia poskytovaných garancií,
b) typy krytých škôd,
c) ohraničenie možných strát,
d) ďalšie obmedzenia zodpovednosti.
2.3. Finančná zodpovednosť
Definovanie finančnej zodpovednosti certifikačnej autority a presné definovanie jej ohraničení.
2.4. Rozhodcovské konanie a riešenie sporov
Určenie spôsobu interpretácie certifikačného poriadku, napr. rozhodcovské konanie, spôsob riešenia ...
2.5. Poplatky
Špecifikácia poplatkov, ktoré si certifikačná autorita alebo registračná autorita účtuje za ...
2.6. Zverejňovanie informácií
Záväzky certifikačnej autority súvisiace so zverejňovaním informácií
a) publikovanie informácií o vlastných postupoch a procedúrach, vlastných certifikátoch a stave ...
b) periodicita publikovania informácií,
c) požiadavky na využívanie adresárov spravovaných certifikačnou autoritou treťou stranou.
2.7. Audit zhody
Informácie súvisiace s pravidelnými auditmi zhody s deklarovanými záväzkami
a) frekvencia a periodicita auditu,
b) identita a kvalifikácia audítora, ako aj jeho vzťah k auditovanému subjektu,
c) zoznam oblastí pokrývaných v audite zhody,
d) zoznam opatrení realizovaných na základe výsledkov auditu.
2.8. Dôvernosť
Záväzky certifikačnej autority súvisiace s ochranou informácií
a) typy informácií, ktoré má certifikačná autorita chrániť,
b) typy informácií, ktoré nie sú klasifikované ako dôverné,
c) kto bude oboznamovaný o zrušení certifikátu,
d) politika poskytovania informácií vyžadovaných podľa zákona,
e) prípady, v ktorých sa dôverná informácia môže zverejniť.
2.9. Ochrana intelektuálnych práv
Popis vlastníckych práv k certifikátom, procedúram a kľúčom.
3. IDENTIFIKÁCIA A AUTENTIFIKÁCIA
Popis procedúr súvisiacich s autentifikáciou žiadateľov o certifikát pred vlastným vydaním certifikátu. ...
3.1. Iniciálna registrácia
Základné vlastnosti procesov identifikácie a autentifikácie pri registrácii subjektu a vydávaní ...
a) typy mien, pravidlá na interpretáciu mien, požiadavky na jednoznačnosť a zmysluplnosť mien,
b) spôsob riešenia sporov týkajúcich sa mien,
c) či a akým spôsobom musí žiadateľ o certifikát preukázať vlastníctvo súkromného kľúča ...
d) autentifikačné požiadavky pre organizácie a jej zástupcov.
3.2. Vydanie následného certifikátu
Procesy súvisiace s vydaním následného certifikátu po skončení alebo pred skončením platnosti ...
3.3. Vydanie následného certifikátu po zrušení certifikátu
Procesy súvisiace s vydaním následného certifikátu v prípade, že existujúci certifikát bol ...
3.4. Žiadosť o zrušenie certifikátu
Procesy súvisiace so spracovaním požiadaviek na identifikáciu subjektu pri žiadosti o zrušenie ...
4. PREVÁDZKOVÉ POŽIADAVKY
Popis procedúr súvisiacich s vydávaním certifikátov.
4.1. Žiadosť o vydanie certifikátu
Procesy súvisiace so zaregistrovaním žiadateľa a s vystavením žiadosti o vydanie certifikátu.
4.2. Vydanie certifikátu
Procesy súvisiace s vydaním certifikátu a informovaním žiadateľa o vydaní certifikátu.
4.3. Prevzatie certifikátu
Procesy súvisiace s prevzatím certifikátu a následným publikovaním certifikátov.
4.4. Zrušenie certifikátu
Procesy súvisiace so zrušením certifikátu, a to
a) určenie okolností, za ktorých možno certifikát zrušiť,
b) určenie, kto môže o zrušenie certifikátu požiadať,
c) postup na vystavenie a spracovanie žiadosti o zrušenie certifikátu,
d) interval na zrušenie certifikátu na základe požiadavky,
e) stanovenie periodicity publikovania zoznamu zrušených certifikátov,
f) požiadavky na používateľov certifikátov na sledovanie zoznamu zrušených certifikátov,
g) popis možností on-line zisťovania stavu certifikátu a požiadavky na používateľov certifikátov ...
h) iné možnosti informovania o zrušení certifikátu a požiadavky na používateľov certifikátov ...
i) akákoľvek kombinácia predchádzajúcich mechanizmov pre prípad, že dôvodom zrušenia certifikátu ...
4.5. Procedúry pre audit bezpečnosti
Procesy súvisiace so zaznamenávaním prevádzkových udalostí a systému auditu, a to
a) typy zaznamenávaných udalostí,
b) frekvencia spracovania a auditu prevádzkových záznamov,
c) perióda uchovávania prevádzkových záznamov,
d) ochrana prevádzkových záznamov so zameraním na prístupové práva, ochrana proti modifikácii ...
e) zálohovanie prevádzkových záznamov,
f) spôsob informovania subjektov o zaznamenávaní činnosti.
4.6. Archivácia záznamov
Procesy súvisiace s archiváciou so zameraním na
a) typy zaznamenávaných udalostí,
b) lehotu uchovávania archívov,
c) prístupové práva a ochranu archívnych záznamov proti modifikácií a proti vymazaniu,
d) zálohovanie archívov,
e) požiadavky na časové údaje v záznamoch,
f) procedúry na overovanie archívnych informácií.
4.7. Zmena kľúčov
Procesy súvisiace so zverejnením nového verejného kľúča certifikačnej autority.
4.8. Havarijný plán
Procesy súvisiace so zvládaním havarijných situácií. Každá z týchto oblastí sa rozpracúva ...
a) procedúry na obnovu činností v prípade, že výpočtové zdroje, programové vybavenie alebo ...
b) procedúry obnovy pre prípad, že certifikát certifikačnej autority je zrušený. Procedúry popisujú ...
c) procedúry obnovy pre prípad, že súkromný kľúč certifikačnej autority je skompromitovaný. ...
d) procedúry certifikačnej autority pre prevádzku a obnovu prevádzky v prípade prírodnej katastrofy ...
4.9. Skončenie činnosti certifikačnej autority
Procesy súvisiace so skončením činnosti certifikačnej autority a zverejnením oznámenia o skončení ...
5. FYZICKÉ, PROCEDURÁLNE A PERSONÁLNE BEZPEČNOSTNÉ OPATRENIA
Popis bezpečnostných opatrení certifikačnej autority na zabezpečenie bezpečnej prevádzky a činnosti. ...
5.1. Opatrenia na fyzickú bezpečnosť
Popis fyzických bezpečnostných opatraní súvisiacich s prevádzkovými priestormi certifikačnej ...
a) lokalizáciu a konštrukciu prevádzkových priestorov,
b) fyzický prístup,
c) napájanie a vzduchotechniku,
d) rozvody vody a kanalizácie,
e) protipožiarne opatrenia,
f) uchovávanie médií,
g) odpadové hospodárstvo,
h) záložné prevádzkové priestory.
5.2. Procedurálne opatrenia
Popis bezpečnostne kritických rolí a ich zodpovedností súvisiacich so zabezpečením prevádzky. ...
5.3. Personálne bezpečnostné opatrenia
Definovanie požiadaviek na
a) procedúry preverovania osôb súvisiacich s obsadzovaním bezpečnostne kritických rolí, ako aj ...
b) požiadavky na školenia a procedúry vykonávania školení pracovníkov,
c) požiadavky na interval preškoľovania personálu,
d) požiadavky na frekvenciu a rotáciu pracovníkov v rámci rolí v prevádzke,
e) sankcie za neautorizovanú činnosť, neautorizované využívanie pridelených práv a prístupu ...
f) bezpečnostné požiadavky na zmluvne zabezpečované činnosti,
g) dokumentáciu poskytovanú jednotlivým pracovníkom.
6. TECHNICKÉ BEZPEČNOSTNÉ OPATRENIA
Popis technických bezpečnostných opatrení certifikačnej autority na ochranu kryptografických kľúčov ...
6.1. Generovanie a inštalácia kľúčov
Generovanie a inštaláciu páru kľúčov treba popísať pre vydavateľa certifikátov, registračné ...
a) kto generuje pár súkromného a verejného kľúča pre daný subjekt,
b) akým spôsobom sa súkromný kľúč bezpečne poskytne danému subjektu,
c) akým spôsobom sa verejný kľúč subjektu bezpečne poskytne vydavateľovi certifikátu,
d) ak je subjektom certifikačná autorita, akým spôsobom sa jej verejný kľúč bezpečne poskytne ...
e) akú dĺžku majú kľúče,
f) kto generuje parametre verejného kľúča,
g) ako sa kvalita parametrov kontroluje v procese generovania kľúčov,
h) ako sa kľúče generujú softvérovými alebo hardvérovými prostriedkami,
i) na aké použitie sa kľúč generuje, resp. na aké účely je jeho používanie obmedzené.
6.2. Ochrana súkromného kľúča
Všetky subjekty musia analyzovať požiadavky na ochranu súkromného kľúča
a) aké štandardy sa vyžadujú pre modul generujúci kľúče, napr. FIPS 140-2,
b) ak je súkromný kľúč pod kontrolou N osôb z celkového počtu M osôb, treba stanoviť parametre; ...
c) ak je možnosť rekonštrukcie súkromného kľúča, určiť, kto je vykonávateľom rekonštrukcie, ...
d) ak je súkromný kľúč zálohovaný, určiť, kto vykonáva zálohovanie, akým spôsobom sa zálohovanie ...
e) ak je súkromný kľúč archivovaný, určiť kto vykonáva archiváciu, akým spôsobom sa archivácia ...
f) kto vkladá súkromný kľúč do kryptografického modulu, akým spôsobom sa kľúč vkladá a ...
g) kto môže aktivovať a používať súkromný kľúč, akým spôsobom sa aktivácia vykonáva, ...
h) kto a akým spôsobom môže deaktivovať súkromný kľúč,
i) kto a akým spôsobom môže zničiť súkromný kľúč.
6.3. Manažment párových dát
Popis ďalších aspektov manažmentu párových dát pre všetky subjekty
a) či sa verejný kľúč archivuje, ak áno, kto vykonáva archiváciu a aké sú bezpečnostné opatrenia, ...
b) aké sú časové intervaly používania pre súkromné a verejné kľúče.
6.4. Aktivačné údaje
Popis bezpečnostných opatrení na ochranu aktivačných údajov pre celý životný cyklus aktivačných ...
6.5. Počítačové bezpečnostné opatrenia
Popis počítačových bezpečnostných opatrení, napr. používanie bezpečných systémov, riadenie ...
6.6. Bezpečnostné opatrenia na vývoj a riadenie bezpečnosti
Popis bezpečnostných opatrení na vývoj, napr. bezpečnosť vývojového prostredia, bezpečnosť ...
Opatrenia na riadenie bezpečnosti môžu popisovať vykonávané testy zamerané na zistenie súladu ...
6.7. Sieťové bezpečnostné opatrenia
Opatrenia na ochranu sieťovej infraštruktúry vrátane využívania firewallov.
6.8. Opatrenia pre kryptografické moduly
Opatrenia na ochranu návrh a využívanie kryptografických modulov, určenie rozhrania a okolia modulu, ...
7. PROFILY CERTIFIKÁTOV A ZOZNAMOV ZRUŠENÝCH CERTIFIKÁTOV
Popis profilov certifikátov a zoznamu zrušených certifikátov.
7.1. Profil certifikátu
Formát, obsah a nastavenie typických hodnôt jednotlivých položiek vydávaných certifikátov.
7.2. Profil zoznamu zrušených certifikátov
Formát a obsah zoznamu zrušených certifikátov.
8. ADMINISTRÁCIA ŠPECIFIKÁCIÍ
Spôsob spravovania a aktualizácie certifikačného poriadku a pravidiel na výkon certifikačných ...
8.1. Zmenové procedúry
Procedúry realizácie zmien v prípade potreby aktualizácie alebo zmeny certifikačného poriadku. ...
a) zoznam súčastí špecifikácií, ktoré sa môžu zmeniť bez oznámenia a bez zmien identifikátora ...
b) zoznam súčastí špecifikácie, ktoré sa môžu zmeniť po uplynutí oznamovacieho intervalu bez ...
c) zoznam súčastí špecifikácie, ktorých zmena vyžaduje zmenu identifikátora certifikačného ...
8.2. Procedúry na zverejňovania a upozornenie
a) zoznam dokumentov, informácií a procedúr, ktoré existujú, ale nezverejňujú sa,
b) mechanizmy na distribuovanie certifikačného poriadku vrátane riadenia prístupov v takejto distribúcii. ...
8.3. Procedúry na schvaľovanie
Spôsob určenia zhody prípadného špecifického certifikačného poriadku so všeobecným certifikačným ...