Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb)

ČÁST PRVNÍ

OBECNÁ USTANOVENÍ

§ 1

Předmět úpravy

(1) Tato vyhláška stanoví

• a) způsob splnění informační povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3 zákona, kvalifikační požadavky podle § 6 odst. 1 písm. b) zákona, požadavky na bezpečné systémy a bezpečné nástroje podle § 6 odst. 1 písm. c) a d) zákona, způsob uchovávání informací a dokumentace podle § 6 odst. 5 a 6 zákona a způsob, jakým se splnění těchto požadavků dokládá,

• b) způsob zajištění bezpečnosti seznamů podle § 6a odst. 1 písm. e) a f) zákona, určení data a času podle § 6a odst. 1 písm. g) zákona, náležitosti opatření podle § 6a odst. 1 písm. h) zákona, způsob splnění informační povinnosti podle § 6a odst. 1 písm. i) zákona, způsob ochrany a zajištění souladu dat podle § 6a odst. 2 zákona, způsob zneplatnění certifikátů podle § 6a odst. 3 a 4 zákona a způsob, jakým se splnění těchto požadavků dokládá,

• c) způsob zajištění přesnosti času při vytváření kvalifikovaného časového razítka podle § 6b odst. 1 písm. b) zákona, způsob zajištění souladu dat podle § 6b odst. 1 písm. c) zákona, náležitosti opatření podle § 6b odst. 1 písm. d) zákona, způsob splnění informační povinnosti podle § 6b odst. 1 písm. e) zákona a způsob, jakým se splnění těchto požadavků dokládá,

• d) způsob zajištění postupů, které musí podporovat prostředky pro bezpečné vytváření elektronických podpisů při ochraně dat pro vytváření elektronických podpisů podle § 17 zákona a prostředky pro vytváření elektronických značek při ochraně dat pro vytváření elektronických značek podle § 17a zákona, a způsob, jakým se splnění těchto požadavků dokládá.

(2) Tato vyhláška byla oznámena v souladu se směrnicí Evropského parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu poskytování informací v oblasti technických norem a předpisů a pravidel pro služby informační společnosti, ve znění směrnice 98/48/ES.

§ 2

Vymezení některých pojmů

Pro účely této vyhlášky se rozumí

• a) nadřízenými kvalifikovanými systémovými certifikáty kvalifikované systémové certifikáty, které obsahují data pro ověřování elektronických značek odpovídající datům pro vytváření elektronických značek, kterými poskytovatel označuje vydávané kvalifikované certifikáty, kvalifikované systémové certifikáty, seznamy podle § 6a odst. 1 písm. f) zákona a vydávaná kvalifikovaná časová razítka,

• b) seznamem vydaných certifikátů seznam, který má náležitosti podle § 6a odst. 1 písm. e) zákona a splňuje požadavky této vyhlášky,

• c) seznamem zneplatněných certifikátů seznam, který má náležitosti podle § 6a odst. 1 písm. f) zákona a splňuje požadavky této vyhlášky,

• d) bezpečnostní dokumentací soubor dokumentů, které poskytovatel vytváří v souladu s touto vyhláškou a ve kterých stanoví zásady a veškeré postupy uplatňované při zajišťování kvalifikovaných certifikačních služeb,

• e) bezpečným kryptografickým modulem nástroj elektronického podpisu, který poskytovatel používá pro činnosti stanovené touto vyhláškou a který splňuje požadavky této vyhlášky,

• f) kritickými činnostmi poskytovatele příjem žádostí o zneplatnění certifikátů, zneplatnění certifikátů a vydání seznamu zneplatněných certifikátů, případně další činnosti, které poskytovatel určí při analýze rizik jako kritické činnosti,

• g) mimořádnou událostí událost, která ohrožuje poskytování kvalifikovaných certifikačních služeb a nastává zejména v důsledku selhání důvěryhodného systému, technického zařízení, a nebo výskytu faktoru, který není pod kontrolou poskytovatele,

• h) nejistotou časového údaje možné odchýlení měřidla času od světového koordinovaného času v součtu s nejistotou měření časového údaje.

ČÁST DRUHÁ

POSTUPY KVALIFIKOVANÝCH POSKYTOVATELŮ CERTIFIKAČNÍCH SLUŽEB A OCHRANA DAT PRO VYTVÁŘENÍ ELEKTRONICKÝCH ZNAČEK

HLAVA PRVNÍ

POSTUPY POSKYTOVATELŮ

§ 3

Požadavky na bezpečné systémy

Systémy podle § 6 odst. 1 písm. c) a d) zákona (dále jen „důvěryhodné systémy“) jsou bezpečné a bezpečnost postupů, které tyto systémy podporují, je dostačující, pokud kvalifikovaný poskytovatel certifikačních služeb (dále jen „poskytovatel“)

• a) používá důvěryhodné systémy a postupy, které splňují požadavky standardu pro tyto systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky, a požadavky českých technických norem uvedených v bodech 2 a 3 přílohy č. 1 této vyhlášky; požadavky těchto standardů a českých technických norem stanovené pro důvěryhodné systémy používané pro vydávání a správu kvalifikovaných certifikátů se použijí obdobně pro důvěryhodné systémy používané pro vydávání a správu kvalifikovaných systémových certifikátů,

• b) při řízení bezpečnosti důvěryhodných systémů postupuje podle české technické normy uvedené v bodu 4 přílohy č. 1 této vyhlášky a má zaveden a uplatňuje systém řízení bezpečnosti informací podle české technické normy uvedené v bodu 5 přílohy č. 1 této vyhlášky,

• c) užívá prostory, ve kterých je zajišťováno vytváření kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek, prostředků pro vytváření elektronických podpisů, zneplatňování kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, vytváření seznamů zneplatněných certifikátů, veškeré nakládání s daty pro vytváření elektronických značek a jim odpovídajícími daty pro ověřování elektronických značek poskytovatele, nakládání s kvalifikovaným systémovým certifikátem poskytovatele a vytváření záznamů o událostech s těmito činnostmi spojených, zabezpečené obdobně jako zabezpečené oblasti kategorie „Důvěrné“ podle zvláštního právního předpisu^1) a je zpracována dokumentace stanovená tímto právním předpisem,

• d) má zpracovánu a průběžně aktualizuje bezpečnostní dokumentaci,

• e) postupuje v souladu se zásadami a postupy uvedenými v bezpečnostní dokumentaci,

• f) provádí kontrolu bezpečnostní shody podle této vyhlášky,

• g) provádí audit systému řízení bezpečnosti informací podle této vyhlášky.

§ 4

Bezpečnostní dokumentace

(1) Není-li uvedeno jinak, splnění povinností stanovených zákonem a požadavků stanovených touto vyhláškou dokládá poskytovatel prostřednictvím bezpečnostní dokumentace.

(2) Bezpečnostní dokumentaci tvoří tyto dokumenty:

• a) certifikační politika pro vydávání kvalifikovaných certifikátů, pokud poskytovatel tuto službu zajišťuje,

• b) certifikační politika pro vydávání kvalifikovaných systémových certifikátů, pokud poskytovatel tuto službu zajišťuje,

• c) politika pro vydávání kvalifikovaných časových razítek, pokud poskytovatel tuto službu zajišťuje,

• d) politika pro vydávání prostředků pro bezpečné vytváření elektronických podpisů, pokud poskytovatel tuto službu zajišťuje,

• e) certifikační politiky pro vydávání nadřízených kvalifikovaných systémových certifikátů,

• f) zprávy pro uživatele služeb uvedených v písmenech a) až d), pokud tyto služby poskytovatel poskytuje,

• g) certifikační prováděcí směrnice nebo jiné prováděcí směrnice ke službám podle písmen a) až e),

• h) celková bezpečnostní politika,

• i) systémová bezpečnostní politika,

• j) plán pro zvládání krizových situací a plán obnovy,

• k) další dokumenty poskytovatele, na které je v dokumentech podle písmen a) až j) odkazováno nebo které obsahují podrobná pravidla a podrobné postupy, kterými poskytovatel zajišťuje bezpečnost poskytovaných kvalifikovaných certifikačních služeb; z bezpečnostní dokumentace musí být zřejmé, jaké postupy poskytovatel uplatňuje při zajištění bezpečnosti systémů podle § 6 odst. 1 písm. c) a d) zákona.

§ 5

Obsah bezpečnostní dokumentace

(1) Obsahem politik podle § 4 odst. 2 písm. a) až d) je vždy

• a) stanovení zásad, které poskytovatel uplatňuje při zajišťování kvalifikované certifikační služby,

• b) v případě vydávání kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů popis vlastností dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek, která vytváří osoba žádající o vydání certifikátu nebo která vytváří poskytovatel a k nimž má být příslušný certifikát vydán; kryptografické algoritmy a jejich parametry, které mohou být pro tato data použity, zveřejňuje ministerstvo na své úřední desce,

• c) v případě vydávání kvalifikovaných časových razítek

• 1. kryptografické algoritmy, které mohou být použity při vytváření otisku dat, která mají být označena kvalifikovaným časovým razítkem a parametry těchto algoritmů,

• 1. přesnost času v časovém razítku ve vztahu ke světovému koordinovanému času.

(2) Obsahem zprávy pro uživatele podle § 4 odst. 2 písm. f) jsou informace o identifikačních údajích poskytovatele a základní přehled o dané kvalifikované certifikační službě a jejím využívání.

(3) Obsahem prováděcí směrnice podle § 4 odst. 2 písm. g) je vždy stanovení postupů, které poskytovatel uplatňuje při zajišťování jednotlivých kvalifikovaných certifikačních služeb.

(4) Obsahem celkové bezpečnostní politiky podle § 4 odst. 2 písm. h) je vždy stanovení cílů a popis způsobu zabezpečení důvěryhodných systémů poskytovatele a specifikace zásad a předpisů vztahujících se k řešení bezpečnosti v důvěryhodných systémech a určení pravomocí a odpovědností za řešení bezpečnosti.

(5) Systémová bezpečnostní politika podle § 4 odst. 2 písm. i) je zpracovávána na základě provedené analýzy rizik spjatých s provozováním důvěryhodných systémů. V analýze rizik poskytovatel definuje aktiva těchto systémů, hrozby, které na ně působí, zranitelná místa systémů, pravděpodobnost výskytu hrozeb, odhad jejich následků a určuje odpovídající bezpečnostní opatření.

(6) Obsahem systémové bezpečnostní politiky je vždy

• a) stanovení cílů při ochraně informací,

• b) stanovení způsobu zajištění bezpečnosti,

• c) určení pravomocí a odpovědností při provozování důvěryhodných systémů,

• d) pravidla a postupy konkrétně definující způsob správy a ochrany informačních technologií, aktiv informačních systémů a způsob distribuce informací v rámci důvěryhodných systémů a jiných systémů, které mají s důvěryhodnými systémy vazby,

• e) způsoby uplatnění celkové bezpečnostní politiky ve vztahu k provozování důvěryhodných systémů,

• f) popis důvěryhodných systémů, jejich vnitřních, vnějších a vzájemných vazeb,

• g) vyhodnocení analýzy rizik a popis bezpečnostních opatření podle odstavce 5,

• h) způsob šíření časového údaje v rámci důvěryhodných systémů, pokud poskytovatel poskytuje službu vydávání kvalifikovaných časových razítek.

(7) Plán pro zvládání krizových situací podle § 4 odst. 2 písm. j) obsahuje vždy stanovení postupů, které jsou uplatněny v případě výskytu mimořádné události.

(8) Plán obnovy podle § 4 odst. 2 písm. j) obsahuje strategie obnovy důvěryhodných systémů, které je nutno realizovat pro

• a) zachování kritických činností poskytovatele v nejkratším možném čase,

• b) obnovu řádné funkce důvěryhodných systémů.

§ 6

Požadavky na zpracování bezpečnostní dokumentace

(1) Struktura certifikační politiky podle § 4 odst. 2 písm. a), b) a e) a certifikační prováděcí směrnice podle § 4 odst. 2 písm. g) je uvedena v příloze č. 2 této vyhlášky.

(2) U položek struktury uvedené v příloze č. 2 této vyhlášky, které se při zpracování bezpečnostní dokumentace nepoužijí, protože poskytovatel předmětnou činnost nevykonává, bude tato skutečnost uvedena.

(3) Při zpracování dokumentů celková bezpečnostní politika podle § 4 odst. 2 písm. h) a systémová bezpečnostní politika podle § 4 odst. 2 písm. i) se postupuje dle požadavků českých technických norem uvedených v bodech 4 a 6 přílohy č. 1 této vyhlášky.

§ 7

Zveřejňování dokumentů

(1) Poskytovatel zveřejňuje dokumenty uvedené v § 4 odst. 2 písm. a) až d) a f) v plném rozsahu.

(2) Poskytovatel může zveřejnit certifikační prováděcí směrnici nebo jiné prováděcí směrnice podle § 4 odst. 2 písm. g) v rozsahu, který neohrozí bezpečnost zajišťovaných služeb.

(3) Zveřejněním podle odstavců 1 a 2 se rozumí zveřejnění způsobem umožňujícím dálkový přístup a v prostorách, kde dochází ke kontaktu s uživateli.

§ 8

Kontrola bezpečnostní shody

(1) Cílem kontroly bezpečnostní shody podle § 3 písm. f) je ověření, že

• a) poskytovatel provozuje důvěryhodné systémy v souladu se zákonem a s touto vyhláškou,

• b) poskytovatel provádí změny v důvěryhodných systémech v souladu s bezpečnostní dokumentací poskytovatele, a to s jejími částmi upravujícími řízení změn.

(2) Předmětem kontroly bezpečnostní shody jsou

• a) všechny důvěryhodné systémy poskytovatele (celková kontrola bezpečnostní shody), nebo

• b) všechny změny podle odstavce 1 písm. b), které poskytovatel provedl od provedení předchozí kontroly bezpečnostní shody, a jejich vliv na důvěryhodné systémy poskytovatele nebo ověření skutečnosti, že takové změny nenastaly (částečná kontrola bezpečnostní shody).

(3) Celková kontrola bezpečnostní shody je prováděna nejpozději do 1 roku od zahájení poskytování kvalifikovaných certifikačních služeb a následně vždy nejméně po 4 letech od předchozí celkové kontroly bezpečnostní shody, a to za předpokladu, že během těchto 4 let byly provedeny částečné kontroly bezpečnostní shody, mezi nimiž uplynul nejvíce 1 rok a první proběhla do 1 roku po celkové kontrole bezpečnostní shody.

(4) Pokud nejsou prováděny částečné kontroly bezpečnostní shody podle odstavce 2 písm. b), provádí se celkové kontroly bezpečnostní shody v intervalu nejdéle 1 roku.

(5) Kontrola bezpečnostní shody je prováděna podle požadavků české technické normy uvedené v bodu 6 přílohy č. 1 této vyhlášky.

(6) Poskytovatel zajišťuje zpracování zprávy o kontrole bezpečnostní shody, jejímž obsahem je

• a) vymezení předmětu kontroly bezpečnostní shody; v případě celkové kontroly bezpečnostní shody vymezení všech důvěryhodných systémů podle odstavce 2 písm. a) s uvedením kvalifikovaných certifikačních služeb, které jsou prostřednictvím těchto systémů zajišťovány, nebo v případě částečné kontroly bezpečnostní shody vymezení změn podle odstavce 2 písm. b), které poskytovatel provedl od provedení předchozí kontroly bezpečnostní shody, a vymezení kvalifikovaných certifikačních služeb, které jsou zajišťovány prostřednictvím důvěryhodných systémů, těmito změnami ovlivněných,

• b) jednoznačné určení dokumentace, která byla předmětem kontroly bezpečnostní shody,

• c) popis průběhu kontroly bezpečnostní shody,

• d) jméno, popřípadě jména a příjmení osoby, která provádí kontrolu bezpečnostní shody; tato osoba může být s poskytovatelem v pracovněprávním vztahu,

• e) prohlášení o výsledku kontroly bezpečnostní shody, jehož součástí je prohlášení o tom, že poskytovatel provozuje důvěryhodné systémy v souladu s odstavcem 1.

(7) Pokud je v průběhu kontroly bezpečnostní shody zjištěno, že poskytovatel neprovozuje důvěryhodné systémy v souladu s odstavcem 1 písm. a) nebo neprovádí změny v důvěryhodných systémech v souladu s odstavcem 1 písm. b), musí být dosaženo nápravy, jejíž provedení je dokumentováno a v průběhu téže kontroly bezpečnostní shody ověřeno.

(8) Zprávu o kontrole bezpečnostní shody předává poskytovatel do 30 dnů od ukončení kontroly ministerstvu.

§ 9

Audit systému řízení bezpečnosti informací

(1) Cílem auditu systému řízení bezpečnosti informací podle § 3 písm. g) je objektivní a na poskytovateli nezávislé ověření, že je v důvěryhodných systémech poskytovatele zaveden a uplatňován systém řízení bezpečnosti informací podle české technické normy uvedené v bodu 5 přílohy č. 1 této vyhlášky.

(2) Pokud je zavedení systému řízení bezpečnosti informací v důvěryhodných systémech poskytovatele certifikováno na shodu s českou technickou normou uvedenou v bodu 5 přílohy č. 1 této vyhlášky, je provedení auditu systému řízení bezpečnosti informací považováno za splněné.

(3) Při provádění auditu systému řízení bezpečnosti informací se postupuje podle požadavků normy uvedené v bodu 7 přílohy č. 1 této vyhlášky; subjekt, který audit systému řízení bezpečnosti informací provádí, je ve vztahu k poskytovateli externí, nezávislou auditující organizací podle požadavků normy uvedené v bodu 7 přílohy č. 1 této vyhlášky.

(4) Poskytovatel poskytne subjektu, který audit systému řízení bezpečnosti informací provádí, vždy zprávu o kontrole bezpečnostní shody podle § 8 odst. 6, pokud již byla provedena, a bezpečnostní dokumentaci.

(5) Součástí zprávy o auditu systému řízení bezpečnosti informací je

• a) vymezení předmětu auditu systému řízení bezpečnosti informací, přičemž vymezením předmětu auditu se rozumí vymezení kvalifikovaných certifikačních služeb, které jsou zajišťovány prostřednictvím důvěryhodných systémů,

• b) jednoznačné určení dokumentace, která byla předmětem auditu systému řízení bezpečnosti informací a kterou poskytovatel poskytl subjektu, který audit systému řízení bezpečnosti informací provádí,

• c) prohlášení subjektu, který audit systému řízení bezpečnosti informací provedl, o výsledku auditu systému řízení bezpečnosti informací, jehož součástí je prohlášení o splnění požadavků uvedených v odstavci 1.

(6) Pokud je v průběhu auditu systému řízení bezpečnosti informací zjištěno, že poskytovatel nezavedl a neuplatňuje v důvěryhodných systémech systém řízení bezpečnosti informací v souladu s požadavky uvedenými v odstavci 1, musí být dosaženo nápravy. Provedení nápravy musí být dokumentováno a ověřeno auditem.

(7) Poskytovatel zajistí, aby prohlášení o výsledku auditu systému řízení bezpečnosti informací bylo zveřejněno ve zprávě pro uživatele.

(8) Poskytovatel zajistí, aby audit systému řízení bezpečnosti informací byl proveden před zahájením poskytování první kvalifikované certifikační služby a následně nejméně každé 2 roky.

§ 10

Způsob splnění informační povinnosti

(1) Poskytovatel splní informační povinnost tím, že v dokumentech podle § 4 odst. 2 písm. a ) až d) a f) zveřejní

• a) je-li právnickou osobou, firmu nebo název, právní formu a sídlo, je-li fyzickou osobou, jméno, popřípadě jména, příjmení, místo podnikání a identifikační číslo, pokud bylo přiděleno,

• b) údaj o tom, zda je akreditován ministerstvem,

• c) přesné podmínky pro využívání kvalifikovaných certifikačních služeb, včetně případných omezení pro jejich použití stanovených poskytovatelem, podmínky reklamací a řešení vzniklých sporů,

• d) údaj o tom, kde a jakým způsobem jsou dostupné jeho nadřízené kvalifikované systémové certifikáty,