Приета с ПМС № 17 от 31.01.2002 г.
(Обн., ДВ, бр. 15 от 8.02.2002 г.)
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. С наредбата се уреждат:
1. дейността на доставчиците на удостоверителни услуги и редът за прекратяване на дейността им, включително прекратяване дейността на регистриран доставчик на удостоверителни услуги;
2. изискванията относно формата на удостоверенията, издавани от доставчиците на удостоверителни услуги;
3. изискванията за съхраняване на информация за услугите, предоставени от доставчиците на удостоверителни услуги;
4. изискванията за съдържанието, формата и източниците във връзка с разкриваната информация от доставчиците на удостоверителни услуги;
5. редът за водене на електронен регистър от доставчиците на удостоверителни услуги;
6. изискванията към лицата по чл. 32, ал. 2, т. 4 от Закона за електронния документ и електронния подпис (ЗЕДЕП), както и условията и редът за включването им в списъка по чл. 32, ал. 3 ЗЕДЕП.
Чл. 2. (1) Удостоверения за универсален електронен подпис могат да издават само доставчици, които са регистрирани от Комисията за регулиране на съобщенията, по ред, определен с Наредбата за реда за регистрация на доставчиците на удостоверителни услуги.
(2) Доставчиците могат да предоставят и услуги по създаване на частен и публичен ключ за усъвършенстван електронен подпис при спазване на Наредбата за изискванията към алгоритмите за усъвършенстван електронен подпис.
Чл. 3. Доставчикът на удостоверителни услуги е лице, което може да изпълнява задълженията си по ЗЕДЕП и по наредбата финансово стабилно и с адекватна техническа и технологична осигуреност.
Глава втора
ДЕЙНОСТ НА ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ
Раздел I
Общи изисквания към дейността
Чл. 4. (1) Доставчик на удостоверителни услуги по издаване на удостоверение за усъвършенстван електронен подпис е длъжен да уведоми незабавно Комисията за регулиране на съобщенията за започването на дейността си.
(2) Доставчик на удостоверителни услуги по издаване на удостоверения за универсален електронен подпис може да започне дейността си само след регистрация от Комисията за регулиране на съобщенията.
Чл. 5. (1) Дейността на доставчик на удостоверителни услуги по издаване на удостоверения по чл. 24 ЗЕДЕП и водене на регистър за тях обхваща:
1. осигуряване чрез използване на собствени или на чужди технически и програмни средства и персонал на следните дейности:
а) приемане на искането, съдържащо точни и пълни данни за автора и титуляра, както и на специфични данни за тях, когато това е предвидено в Наръчника на потребителя по чл. 33;
б) проверка на данните по буква „а";
в) създаване на удостоверение на базата на установената идентичност и валидни данни при приемането и проверката;
г) пазенето на регистъра;
2. извършване на следните дейности:
а) подписване на удостоверението;
б) публикуване на удостоверението в регистъра;
в) управление на издадено удостоверение-отразяване на промените, спиране, възобновяване, прекратяване;
г) публикуване на списък на прекратените удостоверения в регистъра;
3. доставчик на удостоверителни услуги предоставя достъп на всяко трето лице до списъците на издадените и прекратените удостоверения при спазване изискванията на чл. 28, ал. 2 ЗЕДЕП.
(2) Дейността на доставчик на удостоверителни услуги може да включва и:
1. създаване на двойка ключове-частен и публичен, за усъвършенстван електронен подпис;
2. предоставяне на потребителя на надеждна среда за създаване на електронен подпис.
(3) При предоставяне на услугата по ал. 2, т. 1 доставчикът на удостоверителни услуги създава двойката ключове, както и останалата информация, необходима за създаване на електронния подпис, и след доставяне на частния ключ на титуляра/автора унищожава своето копие за частния ключ и данните за създаването му без възможност за възстановяване.
(4) Доставчик на удостоверителни услуги, издал удостоверение за универсален електронен подпис, задължително извършва услугата по удостоверяване датата и часа на представяне на подписан с него електронен документ.
Чл. 6. (1) Дейността на доставчика на удостоверителни услуги трябва да е организирана така, че създаването на усъвършенстван електронен подпис и издаването на удостоверение за усъвършенстван електронен подпис да са отделени от останалите му дейности.
(2) Доставчикът на удостоверителни услуги е длъжен да организира техническите поделения така, че функциите, които спадат към предлагането на услугите по чл. 5, да са отделени както при нормална работа, така и при особени експлоатационни условия, които задължително се документират, от функции и приложения, които не са свързани с дейността му като доставчик на удостоверителни услуги.
Чл. 7. Доставчик, който предлага удостоверителни услуги за усъвършенстван електронен подпис, е длъжен да вземе подходящи мерки за сигурност в съответствие с общоприети в международната практика документи (стандарти, технически спецификации, препоръки, ръководства и др.).
Чл. 8. (1) Създаването, съхраняването и използването на частния ключ на регистрирания доставчик на удостоверителни услуги се извършват съвместно най-малко от двама надлежно овластени служители, на които е възложено това.
(2) Частният ключ на доставчика на удостоверителни услуги се архивира, съхранява се в архивиран вид и се възстановява при условията на ал. 1.
(3) Функциите по ал. 1 и 2 се възлагат в писмена форма от управителния орган на доставчика.
Чл. 9. (1) Физическата защита на частния ключ на доставчика на удостоверителни услуги се осъществява посредством определяне на ясно дефинирани периметри (физически бариери) около системите за издаване и управление на удостоверението. Всички помещения, които се използват съвместно с други отдели и организации, трябва да са извън основния защитен периметър.
(2) Физически достъп до защитената част от помещенията на доставчик на удостоверителни услуги имат само надлежно овластени служители в съответствие с техните функционални задължения.
Раздел II
Изискване за застраховане
Чл. 10. Обект на застраховане по задължителната застраховка на доставчиците на удостоверителни услуги е отговорността им по чл. 29 ЗЕДЕП.
Чл. 11. Задължителната застраховка на доставчиците на удостоверителни услуги покрива отговорността за причинените на титуляря на усъвършенствания или на универсалния електронен подпис и на всички трети лица неимуществени и имуществени вреди, за които застрахованите отговарят съгласно българското законодателство или законодателството на страната, в която е настъпила вредата.
Чл. 12. Ограниченията на отговорността на застрахователя по задължителната застраховка не могат да надхвърлят ограниченията на отговорността на доставчика на удостоверителни услуги.
Чл. 13. Доставчиците на удостоверителни услуги са задължени да сключат задължителна застраховка преди възникването на застрахователния интерес.
Чл. 14. (1) Доставчиците на удостоверителни услуги са длъжни да имат застраховка за следните минимални застрахователни суми:
1. 100 000 лв. за всяко увредено лице от всяко събитие-за доставчиците, издаващи само удостоверения с ограничение на действието на подписа до определен имуществен интерес;
2. 500 000 лв. за всяко увредено лице от всяко събитие-за доставчиците, издаващи удостоверения без ограничения на действието на подписа;
3. 600 000 лв. за всяко увредено лице от всяко събитие-за доставчиците, издаващи удостоверения за универсален електронен подпис.
(2) Застрахователите могат да предлагат доброволна застраховка за застрахователни суми над сумите по ал. 1.
(3) Когато застрахователна полица по доброволно застраховане е сключена при условията на наредбата за по-големи застрахователни суми от минималните по ал. 1, се счита, че задължителната застраховка е включена в нея.
Чл. 15. (1) Застрахователната премия се заплаща еднократно, освен ако в застрахователната полица е уговорено друго.
(2) При разсрочено плащане, ако се закъснее с плащането на разсрочените вноски от премията, застраховката се прекратява към 17 ч. на деня на падежа, като застрахователят уведомява Комисията за регулиране на съобщенията за прекратяването. Това обстоятелство следва да бъде отразено в застрахователната полица. При заплащане на разсрочената вноска застраховката се възстановява считано от нула часа на деня, следващ плащането.
Чл. 16. (1) При настъпване на застрахователно събитие, при което са причинени вреди, застрахованият е длъжен в срок до 7 дни писмено да уведоми застрахователя за събитието. Уведомяването може да се извърши и от увреденото лице.
(2) В случай на предявен иск към застрахования за доказване на събитието и неговата отговорност, както и на размера на вредите той е длъжен да поиска привличане на застрахователя в процеса.
Чл. 17. Сключени спогодби между застрахованите и увредените лица относно размера на обезщетението пораждат задължение за застрахователя само ако са одобрени от него.
Чл. 18. Застрахователят може да предяви регресен иск, когато вредата е причинена умишлено от застрахования.
Чл. 19. Обезщетението по задължителната застраховка се определя и изплаща от застрахователя в срок до 15 дни, след като застрахованият или увреденият са представили документите, установяващи събитието и размера на вредите.
Чл. 20. Правата по договора за задължителната застраховка се погасяват с 5-годишна давност от деня на настъпване на застрахователното събитие.
Раздел III
Изискване за разполагаеми средства
Чл. 21. (1) Доставчикът на удостоверителни услуги е длъжен по време на дейността си да разполага с техническо оборудване и технологии, отговарящи на изискванията на чл. 28, с балансова стойност към момента на съставянето на годишния счетоводен отчет не по-малка от 150 000 лв.
(2) Доставчикът на удостоверителни услуги е длъжен при изготвяне на годишния счетоводен отчет да състави приложение към счетоводния баланс, съдържащо опис на активите, отговарящи на изискванията на чл. 28.
(3) Във всеки момент от дейността си доставчикът на удостоверителни услуги трябва да разполага с парични средства в брой или по банкова сметка в размер не по-малък от 20 000 лв.
(4) Комисията за регулиране на съобщенията може по всяко време да проверява доставчика на удостоверителни услуги за състоянието на разполагаемите средства по ал. 3.
Раздел IV
Изисквания по отношение на наетия персонал
Чл. 22. (1) В зависимост от обхвата на дейността си по чл. 5 доставчикът на удостоверителни услуги е длъжен да има на разположение необходимия брой квалифицирани служители, които във всеки момент от осъществяването на неговата дейност да осигуряват изпълнението на задълженията му.
(2) Техническият персонал на доставчика на удостоверителни услуги трябва да притежава професионални познания най-малко в следните области:
1. технологии за сигурност, криптография, инфраструктура на публични ключове (PKI);
2. технически норми за оценка на сигурността;
3. информационни системи.
Чл. 23. (1) Доставчикът на удостоверителни услуги при започване на дейността си съставя длъжностни характеристики на персонала.
(2) Длъжностите от персонала на доставчика на удостоверителни услуги включват:
1. администратор по сигурността, който отговаря за определянето и администрирането на системите и правилата за сигурност за цялата система, включително одобряване създаването и прекратяването на действието на удостоверенията;
2. системен администратор, който отговаря за инсталирането, конфигурирането и управлението на инфраструктурата на публични ключове, за регистрацията и създаването на удостоверенията;
3. системен оператор, който отговаря за ежедневната работа на системата, като извършва редовно процедури по архивиране, резервиране и възстановяване;
4. системни контрольори, които отговарят за управлението на архивите и файловете с данни за регистрираните действия и функции, извършвани в системата на доставчика.
(3) Длъжностите по ал. 2 се изпълняват от различни лица.
Раздел V
Изисквания по отношение на техническото оборудване и технологиите
Чл. 24. Доставчикът на удостоверителни услуги следва да осигури и използва процедури и методи за администриране и управление на сигурността на използваната инфраструктура в съответствие с общоприети в международната практика стандарти за управление на информационната сигурност.
Чл. 25. (1) Надеждността на използваната система и техническата и криптографската сигурност на осъществяваните чрез нея процеси се считат осигурени, когато техническото оборудване и технологиите, с които разполага доставчикът на удостоверителни услуги, са преминали през успешно проведени изпитвания и проверки.
(2) Методите за оценка на сигурността на използваната система се основават на разработената към стандарта ISO Standard 15408 обща методика за оценка (CEM) или други методики, осигуряващи еквивалентна оценка на сигурността.
(3) Системите и техническите средства, които доставчикът на удостоверителни услуги използва за извършване на услугите по създаване, подписване, съхраняване и управление на удостоверенията, трябва да са предназначени и използвани само за тази цел.
(4) Проверките и изпитванията по ал. 1 се извършват на всеки 3 години или при промяна, която засяга надеждността.
Чл. 26. Създаването, съхраняването и използването на частния ключ на доставчика на удостоверителни услуги се извършват в система със защитен профил, определен в съответствие с общите изисквания (CC), ниво на сигурност EAL 3 или по-високо съгласно стандарта ISO 15408 или друга спецификация, определяща еквивалентни нива на сигурността.
Чл. 27. (1) Доставчикът на удостоверителни услуги е длъжен да поддържа документация за актуалното състояние на използваните от него техническо оборудване и технологии.
(2) Неизпълнението на задължението по ал. 1 е нарушение на изискванията за сигурност.
Чл. 28. (1) Доставчикът на удостоверителни услуги използва техническо оборудване и технологии, чрез които се изпълняват най-малко следните функции в използваната от него система:
1. проверки за доказване произхода на получаваната и обменяната информация, свързана с издаването и управлението на удостоверенията;
2. проверка на целостта на обменяните съобщения;
3. подписване на изпращаните съобщения;
4. архивиране на служебните данни и електронното им подписване;
5. поддържане целостта на съхраняваните и обменяните данни, в това число на използваните криптографски ключове;
6. сигурно съхраняване на използваните от доставчика на удостоверителни услуги частни ключове;
7. управление на достъпа до информационните ресурси (данни за създаване подписа на доставчика, удостоверението за усъвършенстван подпис, списъка на прекратените удостоверения, съхраняваните официални документи);
8. създаване и архивиране на записи от вътрешни проверки, свързани с възникнали критични ситуации по отношение на информационната сигурност.
(2) Доставчикът на удостоверителни услуги чрез използваните техническо оборудване и технологии може да осъществява и следните функции:
1. проверка на усъвършенствания електронен подпис в съответствие с чл. 17, ал. 2 ЗЕДЕП съгласно изискванията в техническите спецификации на CEN/ISSS за електронния подпис;
2. поддържане на он-лайн протокол за статуса на удостоверенията (OCSP);
3. проверка за наличие в удостоверението за усъвършенстван електронен подпис на уникално име за разпознаване (Dname);
4. съхраняване и използване на частния си ключ с високо ниво на сигурност чрез използване на смарт-карта с парола или персонален идентификатор (PIN) и/или биометричен идентификатор.
Чл. 29. (1) Когато доставчикът на удостоверителни услуги предлага и услугата по създаване на двойка ключове, той е длъжен да използва защитен механизъм за създаване на подпис (SSCD) със защитен профил съгласно чл. 26.
(2) Утвърдените и поддържани от защитения механизъм за създаване на електронни подписи алгоритми и параметрите им задължително съответстват на:
1. защитния профил по ал. 1;
2. изискванията към обкръжаващата системна среда, свързана с изграждането на подписа;
3. изискванията, обхващащи обкръжаващата среда, за проверка на усъвършенствания електронен подпис (продуктите, използвани за проверката и тяхното управление).
(3) Форматите за усъвършенствания електронен подпис следва да са в съответствие с общоприети спецификации, като RFC 2315, PKCS#7.
Раздел VI
Поддържане на задължителна документация, свързана с дейността
Чл. 30. (1) Всеки доставчик на удостоверителни услуги е длъжен да отрази в разработените и поддържани от него документи основните принципи, съгласно които осъществява дейността си.
(2) Целта на документите по ал. 1 е:
1. да се установи съответствието на доставчика с изискванията на ЗЕДЕП, както и надеждността и сигурността на осъществяваната от него дейност, и
2. да направи публични за потребителите предоставяните от доставчика услуги.
Чл. 31. „Политика за предоставяне на удостоверителни услуги" е документ, който описва политиката на издаване на удостоверения от доставчика и видовете услуги, предоставяни от него.
Чл. 32. (1) „Практика при предоставяне на удостоверителни услуги" е документ, разработен в съответствие с изискванията на политиката по чл. 31 и процедурите по чл. 34, който задължително съдържа подробно описание на реализирането на:
1. мерки за сигурност при предоставяне на услугите;
2. издаване, спиране, възобновяване и прекратяване действието на удостоверенията;
3. предоставяне на достъп до удостоверенията.
(2) Практиката по ал. 1 се разработва съгласно общоприетата международна спецификация RFC 2527 или друг еквивалентен документ и съдържа най-малко следното:
1. име/наименование на доставчика и ЕГН или код БУЛСТАТ и номер от националния данъчен регистър;
2. седалище и адрес на доставчика или на неговото поделение (клон), който ще работи като доставчик;
3. описание на обхвата и приложимостта на предлаганите услуги и поддържаните политики;
4. правила и процедури, които трябва да се изпълняват при издаване и управление, спиране и прекратяване действието на удостоверенията за усъвършенствани електронни подписи, в това число необходимите документи при приемане и проверка на искането по чл. 5, ал. 1, т. 1 и тези, които се съхраняват от доставчика в зависимост от заявената услуга;
5. идентификатори на поддържаните алгоритми за електронен подпис и защита на данните;
6. срок на действието на удостоверението;
7. детайлно описание на формата (на отделните полета, в т.ч. на разширенията) на издаваните удостоверения;
8. технология за създаване, проверка, спиране и прекратяване действието на удостоверенията;
9. описание на задълженията на доставчика, на всички външни лица (ако има такива), участващи в дейността по чл. 5, както и задълженията на автора и титуляра на електронния подпис.
Чл. 33. (1) Документите по чл. 31 и 32 са публични и се обединяват в Наръчника за потребителя.
(2) Наръчникът за потребителя има характер на общи условия и е обвързващ за издателя си. Той се представя на Комисията за регулиране на съобщенията за одобряване съгласно чл. 32, ал. 1, т. 2 ЗЕДЕП.
(3) Всяка промяна в Наръчника за потребителя трябва да бъде представена на Комисията за регулиране на съобщенията и след одобряването є да бъде отразена и съобщена на заинтересуваните лица.
Чл. 34. (1) Процедурите за сигурност задължително съответстват на общоприетите международни стандарти за информационната сигурност и нейното управление.
(2) Процедурите за сигурност включват най-малко:
1. управленски мерки за сигурност;
2. мерки за информационна сигурност;
3. разполагаеми средства и застраховки;
4. изисквания за надеждност на персонала;
5. мерки за осигуряване на защита и ограничаване на достъпа до отделни устройства и помещения, включително мерките по чл. 9;
6. мерки за осигуряване на защита срещу непозволен достъп до информационните системи;
7. мерки за осигуряване на защита срещу непозволени промени.
Чл. 35. (1) Процедурите за сигурност не са публични. Достъп до тях има само Комисията за регулиране на съобщенията и нейни служители, осъществяващи функции по контрол.
(2) Процедурите за сигурност подлежат на одобряване от Комисията за регулиране на съобщенията съгласно чл. 32, ал. 1, т. 2 ЗЕДЕП.
Чл. 36. Отношенията между доставчика на удостоверителни услуги и титуляра се уреждат с писмен договор, който включва общите условия и съдържа най-малко:
1. вид и описание на услугите;
2. срок за предоставяне;
3. цени на отделните услуги;
4. специални условия.
Раздел VII
Ред за водене и пазене на електронен регистър на удостоверенията
Чл. 37. (1) Всеки доставчик на удостоверителни услуги е длъжен да води електронен регистър на издадените от него удостоверения с Х.500 или LDAP базиран достъп.
(2) Регистърът по ал. 1 съдържа също удостоверението за електронния подпис на доставчика, както и информация по чл. 28, ал. 3 ЗЕДЕП.
Чл. 38. Доставчикът на удостоверителни услуги води отделно списък на прекратените удостоверения.
Чл. 39. Актуализирането на списъците на действащите и прекратените удостоверения трябва да се извършва автоматично или поне през 3 часа.
Чл. 40. Регистърът трябва да бъде пазен така, че:
1. въвеждането на данни да се извършва само от надлежно овластени служители;
2. извършването на промени на данните да не е възможно;
3. възможността за непозволена намеса да е сведена до минимум.
Раздел VIII
Прекратяване на дейността
Чл. 41. (1) Доставчик на удостоверителни услуги, който желае да прекрати дейността си, е длъжен да уведоми Комисията за регулиране на съобщенията и потребителите си за своето намерение най-късно 4 месеца преди датата на прекратяване.
(2) Независимо от изискването по ал. 1 регистрираният доставчик е длъжен да уведоми незабавно Комисията за регулиране на съобщенията в случай на иск за обявяване в несъстоятелност, за обявяване на дружеството за недействително или на друго искане за прекратяване или за започване на процедура по ликвидация.
Чл. 42. Преди прекратяването на дейността си доставчикът на удостоверителни услуги е длъжен да осигури действието на издадените от него удостоверения. В изпълнение на това изискване доставчикът следва да уведоми писмено Комисията за регулиране на съобщенията и потребителите си най-късно към момента на прекратяване на дейността дали друг доставчик ще поеме удостоверенията и да съобщи неговото име.
Чл. 43. (1) При прекратяването на дейността си доставчикът на удостоверителни услуги е длъжен да прехвърли удостоверенията на друг доставчик или да ги прекрати.
(2) Регистрираният доставчик може да прехвърли удостоверенията само на регистриран доставчик.
Чл. 44. (1) Регистрираният доставчик на удостоверителни услуги е длъжен да предаде цялата документация, свързана с дейността му по чл. 5, ал. 1, на регистрирания доставчик, на когото е прехвърлил дейността си.
(2) Когато регистрираният доставчик не е прехвърлил дейността си на друг регистриран доставчик, той прекратява действието на удостоверенията и предава документацията по ал. 1 на Комисията за регулиране на съобщенията незабавно след прекратяването на дейността си. Комисията за регулиране на съобщенията поддържа регистър на прекратените удостоверения на доставчик на удостоверителни услуги, прекратил дейността си.
Чл. 45. Доставчик на удостоверителни услуги, който е поел удостоверенията на прекратил дейността си доставчик, е длъжен да ги поддържа до оставащия им срок на действие безплатно за титуляря и при същите условия, при които са издадени.
Глава трета
ИЗИСКВАНИЯ ОТНОСНО ФОРМАТА НА УДОСТОВЕРЕНИЯТА, ИЗДАВАНИ ОТ ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ
Чл. 46. (1) Представяните в компютърна форма удостоверения за усъвършенстван електронен подпис представляват електронен документ във формат, описан в общопризнати в практиката международни спецификации, използващ стандартен абстрактен език за неговото описание и стандартно двоично кодиране.
(2) За реализиране на възможността за съвместна работа между различните доставчици на удостоверителни услуги следва форматът на удостоверенията по ал. 1 да е възприет за официален общ формат в международната практика.
(3) Комисията за регулиране на съобщенията поддържа и публикува списък на действащи международни спецификации по ал. 1.
Чл. 47. (1) Форматът на удостоверение за усъвършенстван електронен подпис задължително допуска определяни от доставчика на удостоверителни услуги разширения с определени семантични компоненти или ограничения в съответствие с възприетия профил на удостоверението, характерен за използваните от доставчика приложения в инфраструктурата на публичния ключ.
(2) За формат на удостоверение за усъвършенстван електронен подпис могат да се използват Х.509 (v. 2, v. 3, v. 4) базирани формати, използващи абстрактния език ASN.1 (Abstract Syntax Notation One).
Чл. 48. При предоставянето на услуги по безжичен път доставчикът на удостоверителни услуги използва система за управление на удостоверяването (CMS), която поддържа възможност за публикуване и търсене на тези удостоверения в безжичния формат WTLS (Wireless Transport Layer Protocol), използван от сървърите WAPs (Wireless Application Protocols), или в друг формат, който дава равни възможности.
Глава четвърта
ИЗИСКВАНИЯ ЗА СЪХРАНЯВАНЕ НА ИНФОРМАЦИЯ ЗА УСЛУГИТЕ, ПРЕДОСТАВЕНИ ОТ ДОСТАВЧИЦИТЕ НА УДОСТОВЕРИТЕЛНИ УСЛУГИ
Чл. 49. (1) Всеки доставчик на удостоверителни услуги поддържа база от данни, в която съхранява информацията за дейността си, свързана с предоставянето на удостоверителни услуги.
(2) При обмен на двойката ключове кодирането им в използваната за тяхното управление база от данни се извършва във формати X.509 или PKCS#8, или в друг стандартен формат, който дава равни възможности.
Чл. 50. (1) Базата от данни по чл. 49 задължително съдържа:
1. документите по глава втора, раздел VI;
2. данните за създаване и проверка на усъвършенствания електронен подпис на доставчика (частния и публичния ключ), като:
а) тези данни трябва да се документират и съхраняват заедно;
б) данните за създаване на усъвършенстван електронен подпис трябва да се съхраняват по начин, който изключва тяхното узнаване;
3. кореспонденцията между доставчика и потребителя, която се отнася до дейността по чл. 5;
4. информация за извършените вътрешни проверки, като всеки запис:
а) съдържа: номерация и описание на събитието; датата и часа на появата му; нивото на строгост на проверката; идентификатор на потребителя, причинил събитието; резултат;
б) осигурява възможност за своевременно установяване на извършени в него промени;
в) осигурява възможност за търсене по периоди.
(2) Достъп до информацията по ал. 1, т. 4 могат да имат само изрично определени служители на доставчика.
Глава пета
ИЗИСКВАНИЯ КЪМ ЛИЦАТА ПО ЧЛ. 32, АЛ. 2, Т. 4 ОТ ЗАКОНА ЗА ЕЛЕКТРОННИЯ ДОКУМЕНТ И ЕЛЕКТРОННИЯ ПОДПИС.
УСЛОВИЯ И РЕД ЗА ВКЛЮЧВАНЕТО ИМ В СПИСЪКА ПО ЧЛ. 32, АЛ. 3 ОТ ЗАКОНА ЗА ЕЛЕКТРОННИЯ ДОКУМЕНТ И ЕЛЕКТРОННИЯ ПОДПИС
Чл. 51. (1) Комисията за регулиране на съобщенията определя лица, чиято проверка за спазване от доставчиците на удостоверителни услуги на изискванията по чл. 7 и чл. 21, ал. 1 ЗЕДЕП признава за валидна, като ги включва в публични списъци на проверяващи лица.
(2) Броят на лицата, включени в списъците по ал. 1, не се ограничава.
Чл. 52. (1) Комисията за регулиране на съобщенията включва в списъка по чл. 51 лица, които докажат възможността си да изпълняват проверяващи функции чрез изпълнение на изискванията на възприети в международната практика документи (стандарти, препоръки, ръководства, технически спецификации и др.).
(2) Лицата по ал. 1 трябва да отговарят на следните общи изисквания:
1. проверяващите лица и техният персонал не трябва да извършват дейности, които биха могли да повлияят на тяхната независимост при извършване на проверките;
2. проверяващите лица трябва да са финансово стабилни и независими;
3. проверяващите лица трябва да осигуряват пълна прозрачност на извършваните от тях дейности и да записват цялата съществена информация, отнасяща се до тези дейности;
4. проверяващите лица трябва да разполагат с необходимия персонал и съоръжения, които да им позволяват да извършват правилно и ефективно техническата и административната дейност;
5. персоналът на проверяващите лица трябва да притежава:
а) необходимата техническа и професионална подготовка, включително в областта на технологиите на електронния подпис и свързаната с него сигурност на информационните технологии и системи;
б) необходимите знания и опит в областта на извършваните проверки;
6. проверяващите лица трябва да са в състояние да посрещат задълженията си, произтичащи от дейността им, включително да бъдат застраховани;
7. проверяващите лица трябва да осигуряват поверителност на получената информация.
(3) Проверяващите лица могат да преупълномощават други лица за извършване на част или на цялата проверка, като носят отговорност за резултатите от дейността им.
Чл. 53. Комисията за регулиране на съобщенията публикува и поддържа списъци и на документите по чл. 52, ал. 1.
ДОПЪЛНИТЕЛНА РАЗПОРЕДБА
§ 1. По смисъла на наредбата:
1. „Сигурност" е системно свойство, което е резултат от постигането на следните цели: поверителност, отчетност, цялостност, достъпност и увереност.
2. „Поверителност" означава, че в определена степен данните в паметта, както и обработваните и предаваните данни не подлежат на неправомерен или случаен достъп и възпроизвеждане.
3. „Отчетност" означава, че действията на дадена единица могат да бъдат осъществени единствено от тази единица.
4. „Цялостност" на система или на данни означава, че техническите средства и технологиите са защитени в съответната степен срещу непозволен достъп и изменение.
5. „Достъпност" означава, че за конкретно приложение са удовлетворени изискванията за защита срещу непозволено или случайно заличаване на данни или отказване на услуга.
6. „Увереност" означава убеденост, че са постигнати останалите четири цели на сигурността.
7. „Ниво на сигурност" е степен от йерархичната класификация на сигурността, която показва податливостта на дадена единица към нарушаване на целите на сигурност.
8. „Биометрични средства за идентифициране" са средства за идентифициране на лица посредством специфични атрибути, отразяващи уникални лични белези, като пръстови отпечатъци, снимка на очни капиляри или гласова снимка.
9. „Инфраструктура на публичен ключ" (Public Key Infrastructure-PKI) е съвкупността от хардуера, софтуера, персонала и документите по глава втора, раздел VI, необходими за издаването, управлението и прекратяването на удостоверенията за електронен подпис.
10. „Профил (досие) на удостоверението" е специфичен документ, различаващ се от една стандартна спецификация на удостоверението (каквато е спецификацията X.509 на ITU-T във версиите си от 1 до 4) по това, че дефинира определени ограничения (част от които по същество оформят изискванията към формата на удостоверението) върху комбинации от условия, действия и др., които могат или не могат да съществуват в различните типове удостоверения, използвани от различни страни, организации, региони и пр.
11. „X.500 препоръки" (X.500 Recommendations) е серия от стандартни препоръки на ITU, които специфицират протокола на регистърните услуги.
12. „Протокол за достъп до регистъра" (Directory Access Protocol-DAP) е протокол, използван за реализиране на достъпа до информацията в регистъра.
13. „Опростен протокол за достъп до регистъра" (Lightweight Directory Access Protocol-LDAP) е Интернет стандарт за обикновени (прости) регистри, представляващ глобален модел на регистърни услуги, опиращ се на протокола TCP/IP. Дефиниран е в стандарта IETF RFC 1777 „The Lightweight Directory Access Protocol".
14. „Стандарти за абстрактния език ASN.1" (Abstract Syntax Notation One) е серия от международни стандарти, публикувани съвместно от ISO, IEC и ITU, разделени на две групи. Първата група съдържа спецификациите ITU Х.680-Х.683 (ISO/IEC 8824-1 до 8824-4) на абстрактния език. Втората група съдържа спецификациите за кодиранията на този език-ITU Х.690 (ISO/IEC 8825-1) за BER (Basic Encoding Rules), DER (Distinguished Encoding Rules) и CER (Canonical Encoding Rules) и ITU Х.691 (ISO/IEC 8825-2) за PER (Packed Encoding Rules).
15. „Защитен механизъм за създаване на електронен подпис" е механизъм за създаване на електронен подпис, който отговаря на изискванията на чл. 17, ал. 1 ЗЕДЕП.
16. „Данни за проверка на подписа" са данни, като кодове и публични криптографски ключове, използвани за проверка на електронния подпис.
17. „Механизъм за проверка на подписа" е конфигуриран софтуер или хардуер, използван за прилагане на данните за проверка на подписа.
18. „Персонален идентифициращ номер" (PIN) е поредица от символи, която служи като идентификатор на притежателя на средството за идентификация.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 2. Контролът по изпълнението на наредбата се възлага на Комисията за регулиране на съобщенията.
§ 3. Наредбата се приема на основание чл. 21, ал. 2, чл. 28, ал. 4, чл. 32, ал. 4 и чл. 37, ал. 3 ЗЕДЕП.