Nutarimas netenka galios 2018-08-08:

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 756, 2018-08-01, paskelbta TAR 2018-08-07, i. k. 2018-12898

Dėl Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimo Nr. 2108 „Dėl Reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, Reikalavimų elektroninio parašo įrangai, Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir Elektroninio parašo priežiūros reglamento patvirtinimo“ pripažinimo netekusiu galios

 

Suvestinė redakcija nuo 2013-05-01 iki 2018-08-07

 

Nutarimas paskelbtas: Žin. 2003, Nr. 2-47, i. k. 1021100NUTA00002108

 

 

LIETUVOS RESPUBLIKOS VYRIAUSYBĖ

 

N U T A R I M A S

DĖL REIKALAVIMŲ KVALIFIKUOTUS SERTIFIKATUS SUDARANTIEMS SERTIFIKAVIMO PASLAUGŲ TEIKĖJAMS, REIKALAVIMŲ ELEKTRONINIO PARAŠO ĮRANGAI, KVALIFIKUOTUS SERTIFIKATUS SUDARANČIŲ SERTIFIKAVIMO PASLAUGŲ TEIKĖJŲ REGISTRAVIMO TVARKOS IR ELEKTRONINIO PARAŠO PRIEŽIŪROS REGLAMENTO PATVIRTINIMO

 

2002 m. gruodžio 31 d. Nr. 2108

Vilnius

 

Vadovaudamasi Lietuvos Respublikos elektroninio parašo įstatymo (Žin., 2000, Nr. 61-1827; 2002, Nr. 64-2572) 16 straipsnio 1 dalimi, Lietuvos Respublikos Vyriausybė nutaria:

Preambulės pakeitimai:

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

 

Patvirtinti pridedamus:

1. Reikalavimus kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams.

2. Reikalavimus elektroninio parašo įrangai.

3. Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarką.

4. Elektroninio parašo priežiūros reglamentą.

 

 

 

MINISTRAS PIRMININKAS                                                             ALGIRDAS BRAZAUSKAS

 

VIDAUS REIKALŲ MINISTRAS                                                             JUOZAS BERNATONIS

 

PATVIRTINTA

Lietuvos Respublikos Vyriausybės

2002 m. gruodžio 31 d. nutarimu

Nr. 2108

 

REIKALAVIMAI KVALIFIKUOTUS SERTIFIKATUS SUDARANTIEMS

SERTIFIKAVIMO PASLAUGŲ TEIKĖJAMS

 

I. BENDROSIOS NUOSTATOS

 

1. Reikalavimai kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams (toliau vadinama – Reikalavimai) nustato kvalifikuotus sertifikatus (toliau vadinama – sertifikatai) sudarančių sertifikavimo paslaugų teikėjų (toliau vadinama – paslaugų teikėjai) veiklos, susijusios su sertifikatų sudarymu ir tvarkymu, sąlygas.

Punkto pakeitimai:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

2. Pagrindinės šiuose Reikalavimuose vartojamos sąvokos:

Sertifikato taisyklės – sertifikato sudarymo ir naudojimo taisyklės, nustatančios paslaugų teikėjo, pasirašančio asmens, parašo naudotojo teises ir pareigas. Sertifikato taisykles renkasi parašo naudotojai, tvirtina ir įgyvendina paslaugų teikėjas. Sertifikato taisyklės rengiamos parašo naudotojų grupės iniciatyva, paslaugų teikėjo arba pasirenkamos iš Lietuvos standarto LST ETSI TS 101 456 „Strateginiai reikalavimai, keliami kvalifikuotus sertifikatus išduodantiems sertifikavimo paslaugų teikėjams“.

Sertifikavimo veiklos nuostatai – paslaugų teikėjo patvirtintos pagrindinės veiklos taisyklės.

Kitos šiuose Reikalavimuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos elektroninio parašo įstatyme (Žin., 2000, Nr. 61-1827).

3. Jeigu paslaugų teikėjai sertifikavimo paslaugas teikia pagal Lietuvos standarto LST ETSI TS 101 456 „Strateginiai reikalavimai, keliami kvalifikuotus sertifikatus išduodantiems sertifikavimo paslaugų teikėjams“ nuostatas, laikoma, kad paslaugų teikėjas atitinka šių Reikalavimų 10–15 punktuose išdėstytas nuostatas.

31. Jeigu paslaugų teikėjas yra įsidiegęs informacijos saugumo valdymo sistemą, taikydamas Lietuvos standartą LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2005)“ (toliau – LST ISO/IEC 27001:2006) ar jį pakeičiantį standartą, laikoma, kad paslaugų teikėjas yra įvykdęs Reikalavimų IV skyriaus nuostatas.

Papildyta punktu:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

4. Paslaugų teikėjas turi atlikti šias funkcijas:

4.1. registruoti asmenis, prašančius sudaryti sertifikatus, patikrinti dokumentus jų tapatybei nustatyti ir kitus pateikiamus dokumentus, kurių reikia sertifikatui sudaryti;

4.2. sudaryti sertifikatus;

4.3. tvarkyti sertifikatų duomenis;

4.4. laiku sustabdyti arba nutraukti sertifikatų galiojimą gavus atitinkamą prašymą;

4.5. teikti nebegaliojančių sertifikatų duomenis parašo naudotojams anksčiau sukurtiems parašams tikrinti;

4.6. kitas teisės aktų nustatytas funkcijas.

 

II. VIDAUS ADMINISTRAVIMO REIKALAVIMAI

 

5. Paslaugų teikėjai turi patvirtinti savo sertifikavimo veiklos nuostatus ir juos viešai skelbti internete.

6. Sertifikavimo veiklos nuostatuose turi būti nurodyta organizacinė paslaugų teikėjo struktūra, sertifikatų sudarymo ir tvarkymo procedūros, sertifikavimo paslaugų teikimo sąlygos ir taisyklės, pasirinktų sertifikatų taisyklių pavadinimai, kiti susiję dokumentai (jeigu tokie yra).

7. Sertifikavimo veiklos nuostatai turi būti parengti atsižvelgiant į pasirinktas sertifikato taisykles, atitikti elektroninio parašo priežiūros institucijos nustatytą asmenų registravimo sertifikatams gauti tvarką.

8. Ne vėliau kaip prieš 30 kalendorinių dienų iki sertifikatų sudarymo paslaugų teikimo pradžios paslaugų teikėjas turi nustatytąja tvarka pateikti Lietuvos Respublikos ryšių reguliavimo tarnybai prašymą įregistruoti paslaugų teikėją.

Punkto pakeitimai:

Nr. 1594, 2010-11-10, Žin., 2010, Nr. 134-6845 (2010-11-16), i. k. 1101100NUTA00001594

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

 

9. Paslaugų teikėjas iki prašymo įregistruoti paslaugų teikėją pateikimo datos savo civilinę atsakomybę privalo apdrausti ne mažesne kaip elektroninio parašo priežiūros institucijos nustatyta suma.

10. Paslaugų teikėjo darbuotojai, sudarantys ir tvarkantys sertifikatus, privalo turėti aukštąjį išsilavinimą, paslaugoms teikti reikiamų profesinių žinių ir patirties.

 

III. REIKALAVIMAI PASLAUGŲ TEIKĖJAMS

 

11. Paslaugų teikėjo naudojama elektroninio parašo įranga turi atitikti Lietuvos Respublikos Vyriausybės nustatytus reikalavimus.

12. Galiojančių, sustabdyto ir nutraukto galiojimo sertifikatų duomenys viešai turi būti teikiami ištisą parą tik asmens, kuriam sudarytas sertifikatas, sutikimu, o gavus sertifikato taisyklėse nustatytus reikalavimus atitinkantį prašymą sustabdyti ar nutraukti sertifikato galiojimą ir jį nedelsiant patikrinus sertifikato galiojimas turi būti sustabdytas ar nutrauktas per sertifikato taisyklėse nustatytą laiką.

13. Paslaugų teikėjas turi žymėti datą ir laiką, kada buvo sudarytas sertifikatas, kada sustabdytas ar nutrauktas jo galiojimas.

14. Sertifikato taisyklėse yra nustatyta informacija, susijusi su sertifikatų tvarkymu ir atsakymais į parašo naudotojų užklausas. Ją paslaugų teikėjas turi saugoti sertifikato taisyklėse nustatytą laiką.

15. Paslaugų teikėjas turi užtikrinti, kad pasirašantiems asmenims sukurti parašo formavimo duomenys nebūtų kaupiami ir dauginami.

 

IV. INFORMACIJOS SAUGOS REIKALAVIMAI

 

16. Paslaugų teikėjas yra atsakingas už renkamų ir tvarkomų duomenų ir informacijos (toliau kartu vadinama – informacija) saugumo užtikrinimą. Užtikrinant informacijos saugumą, rekomenduojama vadovautis Lietuvos standartais LST ISO/IEC 27001:2006, LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 27002:2005)“ (toliau – LST ISO/IEC 27002:2009), LST ISO/IEC 27005:2011 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo rizikos valdymas (tapatus ISO/IEC 27005:2011)“, taip pat kitais Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais.

17. Paslaugų teikėjas privalo pasitvirtinti dokumentą, nustatantį pagrindinius taikomus informacijos saugumo užtikrinimo ir valdymo principus ir taisykles, kuriais remiantis vykdomi paslaugų teikėjo veiklos procesai, procedūros ir rengiami juos reglamentuojantys dokumentai (toliau vadinama – informacijos saugumo politikos dokumentas). Informacijos saugumo politikos dokumente turi būti nurodyta:

17.1. informacijos saugumo užtikrinimo tikslai, svarba ir esama būklė;

17.2. informacijos saugumo užtikrinimo prioritetinės kryptys;

17.3. informacijos saugumo užtikrinimo reikalavimai, kurie apima:

17.3.1. paslaugų teikėjo tvarkomą informaciją ir (ar) jos kategorijas, pagrindinius tvarkomos informacijos ir (ar) tam tikrų jos kategorijų saugumo užtikrinimo reikalavimus, kuriais vadovaujantis parenkamos tinkamos informacijos saugumo užtikrinimo priemonės (įskaitant teisės aktų ir kitų dokumentų, kuriais vadovaujamasi tvarkant informaciją ir užtikrinant jos saugumą, reikalavimus, bet jais neapsiribojant);

17.3.2. paslaugų teikėjo darbuotojų, sudarančių ir tvarkančių sertifikatus, kvalifikacinius reikalavimus;

17.3.3. pagrindines nuostatas dėl informacijos saugumo rizikos (toliau vadinama – rizika) veiksnių vertinimo, pagrindinių rizikos vertinimo kriterijų apibūdinimą;

17.4. asmenų supažindinimo su informacijos saugumo užtikrinimo reikalavimais tvarka;

17.5. atsakomybė už informacijos saugumo užtikrinimo reikalavimų pažeidimus;

17.6. kiti reikalavimai.

18. Paslaugų teikėjas turi kasmet atlikti rizikos vertinimą. Prireikus paslaugų teikėjas gali organizuoti ir neeilinį rizikos vertinimą. Rizikos vertinimo rezultatai pateikiami rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugumui.

19. Atsižvelgdamas į rizikos vertinimo ataskaitą, paslaugų teikėjas prireikus tvirtina rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Rizikos valdymo priemones, atsižvelgiant į informacijos saugumo valdymo tikslus, rekomenduojama rinktis iš Lietuvos standarto LST ISO/IEC 27002:2009.

20. Paslaugų teikėjas turi kasmet atlikti informacijos saugumo užtikrinimo atitikties vertinimą – nustatyti, ar faktinė informacijos saugumo užtikrinimo būklė atitinka saugumo užtikrinimo reikalavimus, ir pasitvirtinti vertinant informacijos saugumo užtikrinimo atitiktį nustatytų informacijos saugumo užtikrinimo trūkumų šalinimo planą.

21Atliekant informacijos saugumo užtikrinimo atitikties vertinimą, rekomenduojama:

21.1. įvertinti informacijos saugumo užtikrinimo dokumentų ir esamos informacijos saugumo užtikrinimo būklės atitiktį;

21.2. inventorizuoti techninę ir programinę įrangą;

21.3. patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų kompiuterinių darbo vietų, jose įdiegtas programas ir jų sąranką;

21.4. patikrinti (įvertinti) darbuotojams suteiktų teisių ir atliekamų funkcijų atitiktį;

21.5. įvertinti pasirengimą užtikrinti veiklos tęstinumą įvykus informacijos saugumo incidentui.

22. Informacijos saugumo politikos dokumentas turi būti peržiūrimas ne rečiau kaip kartą per metus po rizikos ar informacijos saugumo užtikrinimo atitikties įvertinimo arba įvykus esminiams organizaciniams, sisteminiams ar kitiems paslaugų teikėjo veiklos pokyčiams.

23. Šiame skyriuje nustatyti reikalavimai nekeičia Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891).

Papildyta skyriumi:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

V. PASLAUGŲ TEIKĖJŲ ATSAKOMYBĖ

 

Skyriaus numeracijos pakeitimas:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

24. Nesilaikantys šių Reikalavimų paslaugų teikėjai gali būti įspėti, jų registravimas gali būti sustabdytas arba panaikintas teisės aktų nustatyta tvarka.

Punkto numeracijos pakeitimas:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

25. Paslaugų teikėjas, sudarantis sertifikatus, ar laiduojantis už kitų paslaugų teikėjų sudarytus sertifikatus, atlygina parašo naudotojams padarytą žalą įstatymų nustatyta tvarka.

______________

Punkto numeracijos pakeitimas:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

 

PATVIRTINTA

Lietuvos Respublikos Vyriausybės

2002 m. gruodžio 31 d. nutarimu

Nr. 2108

 

REIKALAVIMAI ELEKTRONINIO PARAŠO ĮRANGAI

 

I. BENDROSIOS NUOSTATOS

 

1. Šie Reikalavimai nustatomi įgyvendinant Lietuvos Respublikos elektroninio parašo įstatymą (Žin., 2000, Nr. 61-1827).

2. Šie Reikalavimai taikomi kvalifikuotus sertifikatus (toliau vadinama – sertifikatai) sudarančių sertifikavimo paslaugų teikėjų (toliau vadinama – paslaugų teikėjai) ir sertifikatais patvirtintų elektroninio parašo naudotojų įrangai.

3. Pagrindinės šiuose Reikalavimuose vartojamos sąvokos:

Parašo taisyklės – techninių ir procedūrinių reikalavimų rinkinys, parengtas ar pasirinktas parašo naudotojų parašui kurti ir tikrinti, naudojamas parašo galiojimui patvirtinti. Parašo taisykles tvirtina jas parengęs asmuo.

Sertifikato taisyklės – sertifikato sudarymo ir naudojimo taisyklės, nustatančios paslaugų teikėjo, pasirašančio asmens, parašo naudotojo teises ir pareigas. Sertifikato taisykles renkasi parašo naudotojai. Jas tvirtina ir įgyvendina paslaugų teikėjas. Sertifikato taisyklės rengiamos parašo naudotojų grupės iniciatyva, paslaugų teikėjo arba pasirenkamos iš Lietuvos standarto LST ETSI TS 101 456 „Strateginiai reikalavimai, keliami kvalifikuotus sertifikatus išduodantiems sertifikavimo paslaugų teikėjams“.

Sertifikatų valdymo sistema – kompiuterių techninė ir (ar) programinė įranga sertifikatams sudaryti ir tvarkyti.

Sertifikatų seka – pasirašančio asmens parašą patvirtinančių sertifikatų rinkinys, susidedantis iš pasirašančio asmens sertifikato, pastarąjį sertifikatą sudariusio ir jį pasirašiusio paslaugų teikėjo sertifikato ir kitų (arba nė vieno) tokiu būdu susijusių paslaugų teikėjų sertifikatų, pasibaigiantis paslaugų teikėjo, kuris pats sau sudaro ir pasirašo sertifikatą, sertifikatu.

Kriptografiniai algoritmai – skaitmeniniai šifravimo algoritmai, naudojami parašo formavimo duomenims ir parašo tikrinimo duomenims kurti, parašui formuoti ir tikrinti;

Raktų ilgiai – parašo formavimo duomenų ir parašo tikrinimo duomenų (privačiojo ir viešojo rakto) charakteristika.

Duomenų santraukos algoritmas – algoritmas, įgalinantis įvairaus ilgio duomenis paversti fiksuoto ilgio duomenimis, t.y. padaryti duomenų santrauką, iš kurios neįmanoma atkurti pačių duomenų.

Biometriniai duomenys – duomenys, išreiškiantys žmogaus individualias savybes, tokias kaip pirštų atspaudai, akies rainelė, balso tembras ir kitos, bei įgalinantys vienareikšmiškai nustatyti jo tapatybę.

4. Kitos šiuose Reikalavimuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos elektroninio parašo įstatyme.

 

II. REIKALAVIMAI PASLAUGŲ TEIKĖJŲ SERTIFIKATŲ VALDYMO SISTEMOMS

 

5. Paslaugų teikėjų sertifikatų valdymo sistema turi:

5.1. susidėti tik iš informacinių technologijų priemonių ir komponentų, būtinų sertifikavimo paslaugoms atlikti;

5.2. būti apsaugota nuo nesankcionuotų pakeitimų, kontroliuoti, aptikti ir signalizuoti apie pakitimus, susijusius su galimu saugumo pažeidimu;

5.3. užtikrinti pakankamą techninį ir kriptografinį atliekamos funkcijos saugumą (įskaitant paslaugų teikėjo parašo formavimo duomenų apsaugą, įgalinančią išvengti sertifikatų klastočių), taip pat pasirašančio asmens parašo formavimo duomenų konfidencialumą jų kūrimo, tvarkymo ir perdavimo metu;

5.4. turėti saugumo mechanizmus, užtikrinančius funkcijų atskyrimą taip, kad bent du asmenys vienu metu būtų įtraukti į parašo formavimo duomenų kūrimą ir tvarkymą ir kad tik įgalioti asmenys galėtų daryti pakeitimus sertifikatų valdymo sistemoje;

5.5. sudaryti galimybę kontroliuoti kiekvieną veiksmą, kuris gali turėti įtaką sertifikatų valdymo sistemos darbui, registruoti jų metu naudojamą informaciją, bet kuriuo metu patikrinti sertifikatų duomenų autentiškumą;

5.6. atitikti ne žemesnį kaip EAL4 (pagal Lietuvos standartą LST ISO/IEC 15408 „Informacijos technologija. Saugumo metodai. Informacijos technologijų saugumo įvertinimo kriterijai“) arba ekvivalentų saugumo įvertinimo lygį;

5.7. turėti gamintojo deklaracijas, patvirtinančias sertifikatų valdymo sistemos atitiktį saugumo įvertinimo lygiui, arba sertifikatų valdymo sistemos atitiktis turi būti patvirtinta akredituotos institucijos išduotu liudijimu (sertifikatu).

6. Jeigu yra įvykdyti Lietuvos standarto LST CWA 14167 „Saugumo reikalavimai, keliami patikimoms elektroninių parašų sertifikatų valdymo sistemoms“ reikalavimai, laikoma, kad paslaugų teikėjų naudojama sertifikatų valdymo sistema atitinka šio skyriaus nuostatas.

 

III. REIKALAVIMAI PARAŠO FORMAVIMO ĮRANGAI

 

7. Parašo formavimo duomenys turi būti apsaugoti slaptažodžiu ir/arba biometriniais duomenimis.

8. Parašo formavimo įranga turi:

8.1. užtikrinti parašo formavimo duomenų apsaugą nuo nesankcionuotos prieigos;

8.2. būti apsaugota nuo atkūrimo ir kopijavimo;

8.3. apsaugoti parašo formavimo duomenis nuo atkūrimo ir kopijavimo;

8.4. turėti priemones, apsaugančias nuo slaptažodžio atskleidimo daugkartinių bandymų būdu;

8.5. atitikti ne žemesnį kaip EAL4 (pagal Lietuvos standartą LST ISO/IEC 15408 „Informacijos technologija. Saugumo metodai. Informacijos technologijų saugumo įvertinimo kriterijai“) arba ekvivalentų saugumo įvertinimo lygį;

8.6. turėti gamintojo deklaracijas, patvirtinančias įrangos atitiktį saugumo įvertinimo lygiui, arba įrangos atitiktis turi būti patvirtinta akredituotos institucijos išduotu liudijimu (sertifikatu).

9. Parašo formavimo duomenų kūrimo mechanizmas turi užtikrinti, kad dviem pasirašantiems asmenims (arba daugiau pasirašančių asmenų) nebūtų suteikta tokia pati parašo formavimo duomenų ir parašo tikrinimo duomenų pora.

10. Kriptografiniai algoritmai ir raktų ilgiai turi užtikrinti elektroninį parašą patvirtinančio sertifikato galiojimo laikotarpiu praktinių galimybių nebuvimą atkurti parašo formavimo duomenis pagal parašo tikrinimo duomenis arba pagal elektroninį parašą.

11. Duomenų santraukos algoritmai turi užtikrinti elektroninį parašą patvirtinančio sertifikato galiojimo laikotarpiu praktinių galimybių nebuvimą sukurti vienodą duomenų santrauką skirtingiems duomenims.

12. Jeigu įvykdyti Lietuvos standartų LST CWA 14169 „Saugūs parašo kūrimo įtaisai EAL 4+“ ir LST CWA 14170 „Saugumo reikalavimai, keliami taikomosioms parašo formavimo sistemoms“ reikalavimai, laikoma, kad parašo formavimo įranga atitinka šio skyriaus nuostatas.

Punkto pakeitimai:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

IV. REIKALAVIMAI PARAŠO TIKRINIMO ĮRANGAI

 

13. Parašo tikrinimo įranga turi:

13.1. patikimai patikrinti elektroninį parašą, teisingai ir tinkamai pateikti tikrinimo rezultatus parašo naudotojui;

13.2. teisingai pateikti pasirašytus duomenis parašo naudotojui jam priimtinu būdu;

13.3. patikrinti pasirašančio asmens sertifikato galiojimo statusą (galiojantis, sustabdytas, nutrauktas);

13.4. patikrinti sertifikatų seką, visų sekos sertifikatų galiojimo statusą ir kitus duomenis pagal parašo taisyklėse ir sertifikatų taisyklėse nurodytus reikalavimus;

13.5. pasirašytų duomenų pakeitimus pranešti parašo naudotojui;

13.6. teisingai ir parašo naudotojui priimtinu būdu pateikti elektroninio parašo ir sertifikatų sekos duomenis, naudojamus elektroniniam parašui tikrinti:

13.6.1. apie pasirašantį asmenį;

13.6.2. pasirašančio asmens sertifikato galiojimo pradžią ir pabaigą;

13.6.3. sertifikato taisykles vienareikšmiškai pažymintį identifikatorių (jeigu toks yra);

13.6.4. pasirašančio asmens sertifikato naudojimo apribojimus (jeigu tokių yra);

13.6.5. apie paslaugų teikėją;

13.6.6. pasirašančio asmens sertifikato galiojimo statusą;

13.6.7. sertifikatų seką;

13.6.8. parašo taisykles vienareikšmiškai pažymintį identifikatorių (jeigu toks yra);

13.6.9. sertifikato požymį (kad jis kvalifikuotas).

14. Jeigu įvykdyti Lietuvos standarto LST CWA 14171 „Bendrosios elektroninio parašo tikrinimo gairės“ reikalavimai, laikoma, kad parašo tikrinimo įranga atitinka šio skyriaus nuostatas.

Punkto pakeitimai:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

 

Patvirtinta

Lietuvos Respublikos Vyriausybės

2002 m. gruodžio 31 d.

nutarimu Nr. 2108

(Lietuvos Respublikos Vyriausybės

2011 m. sausio 17 d.

nutarimo Nr. 31 redakcija)

 

KVALIFIKUOTUS SERTIFIKATUS SUDARANČIŲ SERTIFIKAVIMO PASLAUGŲ TEIKĖJŲ REGISTRAVIMO TVARKOS APRAŠAS

 

I. BENDROSIOS NUOSTATOS

 

1. Šis Aprašas nustato kvalifikuotus sertifikatus (toliau vadinama – sertifikatas) sudarančių sertifikavimo paslaugų teikėjų (toliau vadinama – paslaugų teikėjas) registravimą įgyvendinant Lietuvos Respublikos elektroninio parašo įstatymo (Žin., 2000, Nr. 61-1827) 10 straipsnį.

2. Paslaugų teikėjų registracijos tikslas – kaupti informaciją apie paslaugų teikėjus elektroninio parašo (toliau vadinama – parašas) priežiūrai užtikrinti.

3. Paslaugų teikėjus registruoja Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau vadinama – Ryšių reguliavimo tarnyba).

4. Pagrindinės Apraše vartojamos sąvokos:

Sertifikato taisyklės – sertifikato sudarymo ir naudojimo taisyklės, nustatančios paslaugų teikėjo, pasirašančio asmens, parašo naudotojo teises ir pareigas. Sertifikato taisykles renkasi parašo naudotojai. Jas tvirtina ir įgyvendina paslaugų teikėjas. Sertifikato taisyklės rengiamos parašo naudotojų grupės iniciatyva, paslaugų teikėjo arba pasirenkamos iš Lietuvos standarto LST ETSI TS 101 456 „Strateginiai reikalavimai, keliami kvalifikuotus sertifikatus išduodantiems sertifikavimo paslaugų teikėjams“.

Sertifikavimo veiklos nuostatai – paslaugų teikėjo patvirtintos pagrindinės veiklos taisyklės.

 

II. PRAŠYMO PATEIKIMAS

 

5. Paslaugų teikėjas, norėdamas užsiregistruoti, ne vėliau kaip prieš 30 kalendorinių dienų iki sertifikatų sudarymo paslaugų teikimo pradžios turi pateikti Ryšių reguliavimo tarnybai:

5.1. vadovo ar įgalioto asmens pasirašytą prašymą, kuriame turi būti nurodyta juridinio asmens pavadinimas, buveinės adresas, juridinio asmens kodas, vadovo vardas ir pavardė, pareigos, kontaktiniai duomenys, pridedamų dokumentų sąrašas;

5.2. juridinio asmens registracijos pažymėjimo kopiją;

5.3. steigimo dokumentų kopijas, sertifikavimo veiklos nuostatus;

5.4. civilinės atsakomybės draudimo poliso kopiją;

5.5. Valstybinės duomenų apsaugos inspekcijos pažymą apie paslaugų teikėjo įregistravimą Asmens duomenų valdytojų valstybės registre;

5.6. paslaugų teikėjo naudojamos elektroninio parašo įrangos gamintojo deklaracijų arba akredituotos institucijos išduotų liudijimų (sertifikatų), patvirtinančių įrangos atitiktį saugumo įvertinimo lygiui, kopijas;

5.7. paslaugų teikėjo juridinio asmens vadovo ar įgalioto asmens pasirašytą pažymą, kurioje nurodyti juridinio asmens darbuotojai, sudarantys ir tvarkantys sertifikatus, jų aukštąjį išsilavinimą, paslaugoms teikti reikiamas profesines žinias ir patirtį patvirtinančių dokumentų kopijas;

5.8. paslaugų teikėjo pasitvirtinto informacijos saugumo politikos dokumento arba akredituotos sertifikavimo įstaigos išduoto sertifikato, patvirtinančio, kad paslaugų teikėjas yra įsidiegęs informacijos saugumo valdymo sistemą, taikydamas Lietuvos standartą LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2005)“, patvirtintą kopiją.

Papildyta punktu:

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

 

6. Ryšių reguliavimo tarnyba, nustačiusi, kad pateikti visi Aprašo 5 punkte nurodyti duomenys ir dokumentai, įregistruoja prašymą. Ryšių reguliavimo tarnyba, nustačiusi, kad pateikti ne visi Aprašo 5 punkte nurodyti duomenys (arba jie neišsamūs ar klaidingi) ir dokumentai, apie tai informuoja paslaugų teikėją.

 

III. PRAŠYMO NAGRINĖJIMAS

 

7. Per 30 kalendorinių dienų nuo prašymo įregistruoti paslaugų teikėją ir duomenų bei dokumentų, nurodytų Aprašo 5 punkte, pateikimo dienos Ryšių reguliavimo tarnyba priima sprendimą dėl paslaugų teikėjo įregistravimo ir apie tai raštu praneša pareiškėjui.

8. Ryšių reguliavimo tarnyba ne vėliau kaip per 10 darbo dienų po prašymo užregistravimo gali prašyti paslaugų teikėją patikslinti ar papildyti Aprašo 5 punkte nurodytus duomenis ir dokumentus.

9. Ryšių reguliavimo tarnyba neregistruoja paslaugų teikėjo, jeigu iš pateiktų dokumentų nustato, kad netenkinami Lietuvos Respublikos Vyriausybės nustatyti reikalavimai kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams arba paslaugų teikėjo prašyme ir prie prašymo pridėtuose dokumentuose pateikti neišsamūs ar klaidingi duomenys.

10. Jeigu paslaugų teikėjas įregistruojamas, atnaujintas paslaugų teikėjų sąrašas skelbiamas leidinio „Valstybės žinios“ priede „Informaciniai pranešimai“ ir Ryšių reguliavimo tarnybos interneto svetainėje.

11. Paslaugų teikėjo įregistravimas patvirtinamas Ryšių reguliavimo tarnybos direktoriaus įsakymu.

 

IV. REGISTRACIJOS SUSTABDYMAS IR PANAIKINIMAS

 

12Ryšių reguliavimo tarnyba paslaugų teikėją per 2 darbo dienas raštu įspėja, kad jo registracija gali būti sustabdyta ar panaikinta, jeigu Ryšių reguliavimo tarnybos iniciatyva arba pagal asmenų pareiškimą patikrinus nustatoma, kad paslaugų teikėjas pažeidė Lietuvos Respublikos Vyriausybės ar Ryšių reguliavimo tarnybos nustatytus reikalavimus. Ryšių reguliavimo tarnyba nustato maksimalų terminą trūkumams pašalinti.

13Ryšių reguliavimo tarnyba paslaugų teikėjo registraciją sustabdo, jeigu po įspėjimo paslaugų teikėjas per nustatytą terminą nepašalina trūkumų ir apie tai neinformuoja Ryšių reguliavimo tarnybos. Registracijos sustabdymo metu paslaugų teikėjas netenka teisės išduoti sertifikatus. Po registracijos sustabdymo Ryšių reguliavimo tarnyba nustato papildomą terminą trūkumams pašalinti. Trūkumus pašalinus, registracija atnaujinama. Apie registracijos sustabdymą skelbiama leidinio „Valstybės žinios“ priede „Informaciniai pranešimai“ ir Ryšių reguliavimo tarnybos interneto svetainėje.

14Ryšių reguliavimo tarnyba paslaugų teikėjo registraciją panaikina, jeigu paslaugų teikėjas per papildomą terminą trūkumų nepašalina ir apie tai neinformuoja priežiūros institucijos. Apie registracijos panaikinimą skelbiama leidinio „Valstybės žinios“ priede „Informaciniai pranešimai“ ir Ryšių reguliavimo tarnybos interneto svetainėje.

15. Ryšių reguliavimo tarnyba paslaugų teikėjo registraciją panaikina šiam pateikus prašymą, kai paslaugų teikėjas numato nutraukti paslaugų teikimą pagal Lietuvos Respublikos elektroninio parašo įstatymo 13 straipsnio nuostatas.

 

_________________

Priedo pakeitimai:

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

 

 

PATVIRTINTA

Lietuvos Respublikos Vyriausybės

2002 m. gruodžio 31 d. nutarimu

Nr. 2108

 

ELEKTRONINIO PARAŠO PRIEŽIŪROS REGLAMENTAS

 

I. BENDROSIOS NUOSTATOS

 

1. Šis Reglamentas nustato elektroninio parašo priežiūros tikslus ir priemones.

2. Elektroninio parašo priežiūros institucijos (toliau vadinama – priežiūros institucija) funkcijas atlieka Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau vadinama – Ryšių reguliavimo tarnyba).

Punkto pakeitimai:

Nr. 1594, 2010-11-10, Žin., 2010, Nr. 134-6845 (2010-11-16), i. k. 1101100NUTA00001594

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

 

3. Priežiūros objektas – sertifikavimo paslaugų teikėjai (toliau vadinama – paslaugų teikėjai), kurie sudaro kvalifikuotus sertifikatus, teikia jų duomenis naudotojams elektroniniams parašams tikrinti, vykdo pagalbines paslaugas elektroninio parašo priežiūros institucijos nustatyta tvarka arba teikia kitas paslaugas, susijusias su kvalifikuotais sertifikatais (toliau vadinama – sertifikatai).

 

II. PRIEŽIŪROS TIKSLAI IR PRIEMONĖS

 

4. Svarbiausi elektroninio parašo priežiūros tikslai yra šie:

4.1. Dalyvauti įgyvendinant valstybės politiką elektroninio parašo naudojimo srityje.

4.2. Prižiūrėti, kaip paslaugų teikėjai laikosi nustatytų reikalavimų.

4.3. Siekti elektroninio parašo įrangos suderinamumo vietos ir tarptautiniu lygiu.

4.4. Bendradarbiauti su kitų šalių elektroninio parašo priežiūros institucijomis.

4.5. Siekti, kad Lietuvoje akredituoti paslaugų teikėjai būtų pripažįstami tarptautiniu lygiu.

5. Įgyvendindama nustatytus tikslus, priežiūros institucija:

5.1. rengia elektroninį parašą reglamentuojančius teisės aktus, teikia juos tvirtinti Lietuvos Respublikos Vyriausybei arba pagal kompetenciją tvirtina Ryšių reguliavimo tarnybos direktoriaus įsakymu;

Punkto pakeitimai:

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

 

5.2. pagal kompetenciją dalyvauja derinant Lietuvos Respublikos teisės aktus su Europos Sąjungos teisės aktais;

5.3. registruoja paslaugų teikėjus, panaikina registraciją paslaugų teikėjo prašymu;

5.4. akredituoja paslaugų teikėjus;

5.5. panaikina paslaugų teikėjo akreditaciją, jeigu nustato, kad jis nesilaiko akredituotiems paslaugų teikėjams keliamų reikalavimų ir nepašalina trūkumų per elektroninio parašo priežiūros institucijos nustatytą terminą;

5.6. įspėja paslaugų teikėją ir nustato terminą pažeidimams pašalinti, jeigu nustato, kad paslaugų teikėjas pažeidė Lietuvos Respublikos Vyriausybės ar priežiūros institucijos nustatytus reikalavimus; jeigu paslaugų teikėjas pažeidimų nepašalina nustatytu laiku, jo registracija sustabdoma (apie tai informuojamas paslaugų teikėjas); jeigu po registracijos sustabdymo pažeidimai nepašalinami per priežiūros institucijos nustatytą terminą, jo registracija panaikinama (apie tai informuojamas paslaugų teikėjas);

5.7. pagal 2009 m. spalio 16 d. Europos Komisijos sprendimo 2009/767/EB, kuriuo pagal Europos Parlamento ir Tarybos direktyvą 2006/123/EB dėl paslaugų vidaus rinkoje nustatomos priemonės procedūroms, atliekamoms naudojantis elektroninėmis priemonėmis ir kontaktinių centrų paslaugomis, palengvinti (OL 2009 L 274, p. 36) (toliau vadinama – Europos Komisijos sprendimas), priede pateiktas technines specifikacijas sudaro, tvarko ir skelbia sąrašą, kuriame pateikiama informacija apie Lietuvoje registruotus ir (ar) Lietuvoje akredituotus paslaugų teikėjus (toliau vadinama – Sąrašas), teikia Europos Komisijai visą informaciją, nurodytą Europos Komisijos sprendimo 2 straipsnio 3 dalyje;

Papildyta punktu:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.8. prižiūri, kaip paslaugų teikėjai kaupia Lietuvos Respublikos Vyriausybės, priežiūros institucijos nustatytą ar sertifikato taisyklėse (sertifikato sudarymo ir naudojimo taisyklės, nustatančios paslaugų teikėjo, pasirašančio asmens, parašo naudotojo teises ir pareigas) nurodytą informaciją ir ją tvarko, nagrinėja kasmetines paslaugų teikėjų veiklos ataskaitas. Sertifikato taisykles renkasi parašo naudotojai. Jas tvirtina ir įgyvendina paslaugų teikėjas. Sertifikato taisyklės rengiamos parašo naudotojų grupės iniciatyva, paslaugų teikėjo arba pasirenkamos iš Lietuvos standarto LST ETSI TS101456 „Strateginiai reikalavimai, keliami kvalifikuotus sertifikatus išduodantiems sertifikavimo paslaugų teikėjams“);

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.9. nagrinėja asmenų pareiškimus dėl paslaugų teikėjų veiklos ir pagal kompetenciją priima sprendimus;

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.10. paslaugų teikėjui nutraukus veiklą ir neatsiradus jo veiklos perėmėjo, užtikrina sudarytų sertifikatų ir priežiūros institucijos nustatytos informacijos, susijusios su sertifikatų tvarkymu ir atsakymais į elektroninio parašo naudotojų užklausas, perėmimą, perimtų sertifikatų duomenų teikimą elektroninio parašo naudotojams elektroniniams parašams tikrinti;

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.11. rengia kasmetinę Lietuvos Respublikos elektroninio parašo įstatymo įgyvendinimo ataskaitą ir kasmet, ne vėliau kaip iki balandžio 1 d., pateikia ją Lietuvos Respublikos Vyriausybei ir Lietuvos Respublikos Seimui;

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.12. informuoja visuomenę apie savo veiklą;

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.13. pagal kompetenciją atstovauja Lietuvos Respublikai elektroninio parašo klausimais tarptautinėse organizacijose ir užsienio valstybėse;

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.14. palaiko ryšius su atitinkamomis užsienio šalių priežiūros institucijomis ir tarptautinėmis organizacijomis, keičiasi informacija, ją kaupia ir viešai skelbia;

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.15. informuoja Europos Komisiją apie savanoriškos akreditacijos sistemą, įstaigas, atsakingas už paslaugų teikėjų akreditaciją ir elektroninio parašo priežiūrą, taip pat apie visus akredituotus paslaugų teikėjus;

Punkto pakeitimai:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

5.16. skelbia leidinio „Valstybės žinios“ priede „Informaciniai pranešimai“ ir Ryšių reguliavimo tarnybos interneto tinklalapyje apie šio Reglamento 5.3, 5.4 punktuose nurodytus veiksmus, taip pat apie jo 5.6 punkte nurodytą registracijos sustabdymą ir panaikinimą.

Punkto pakeitimai:

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

Punkto numeracijos pakeitimas:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

 

III. PASLAUGŲ TEIKĖJŲ TEIKIAMA INFORMACIJA

 

6. Priežiūros institucijos prašymu paslaugų teikėjai turi pateikti informaciją ir dokumentus, kurių reikia elektroninio parašo priežiūrai vykdyti.

7. Paslaugų teikėjai priežiūros institucijos įgaliotiems atstovams privalo suteikti galimybę tiesiogiai susipažinti su naudojamomis administracinėmis, techninėmis ir kitomis priemonėmis.

8. Paslaugų teikėjai turi nedelsdami pranešti Ryšių reguliavimo tarnybai (pateikti informaciją), jeigu dokumentuose, pateiktuose pagal Lietuvos Respublikos Vyriausybės patvirtintą Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarką, atsiranda pakeitimų ir (ar) pasikeičia Sąraše įrašomi duomenys.

Punkto pakeitimai:

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

 

9. Paslaugų teikėjai kasmet, ne vėliau kaip iki kovo 1 d., pateikia priežiūros institucijai savo veiklos ataskaitą pagal elektroninio parašo priežiūros institucijos nustatytą formą.

_____________

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 149, 2010-02-17, Žin., 2010, Nr. 21-991 (2010-02-20), i. k. 1101100NUTA00000149

Dėl Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimo Nr. 2108 "Dėl reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, reikalavimų elektroninio parašo įrangai, Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir Elektroninio parašo priežiūros reglamento patvirtinimo" pakeitimo

 

2.

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 1594, 2010-11-10, Žin., 2010, Nr. 134-6845 (2010-11-16), i. k. 1101100NUTA00001594

Dėl Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimo Nr. 2108 "Dėl Reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, reikalavimų elektroninio parašo įrangai, Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir Elektroninio parašo priežiūros reglamento patvirtinimo" pakeitimo

 

3.

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 31, 2011-01-17, Žin., 2011, Nr. 8-315 (2011-01-20), i. k. 1111100NUTA00000031

Dėl Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimo Nr. 2108 "Dėl Reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, Reikalavimų elektroninio parašo įrangai, Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir Elektroninio parašo priežiūros reglamento patvirtinimo" pakeitimo

 

4.

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 72, 2013-01-29, Žin., 2013, Nr. 13-609 (2013-02-02), i. k. 1131100NUTA00000072

Dėl Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimo Nr. 2108 "Dėl Reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, Reikalavimų elektroninio parašo įrangai, Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir Elektroninio parašo priežiūros reglamento patvirtinimo" pakeitimo