Наредба за удостоверенията за електронен подпис в администрациите

Министерски съвет

Държавен вестник брой: 48

Година: 2008

Орган на издаване: Министерски съвет

Дата на обнародване: 26.05.2008

Глава първа
ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. С наредбата се уреждат условията, редът и политиките за придобиване, използване, подновяване и прекратяване на удостоверения за електронен подпис в администрациите.
 
Чл. 2. При условията и по реда на наредбата се придобиват, използват, подновяват и прекратяват следните удостоверения за електронен подпис в администрациите:
1. удостоверения за универсален електронен подпис, които могат да се използват от лица с право да правят електронни изявления от името на администрацията;
2. удостоверения за универсален електронен подпис, които могат да се използват от лица, овластени да изпращат направени от лица по т. 1 електронни изявления от името на администрацията и само за нуждите на изпращането;
3. удостоверения за електронен подпис за вътрешноведомствени нужди в рамките на вътрешна инфраструктура на публичния ключ на администрацията или за всички администрации, които могат да се използват от всички служители на администрацията за нуждите на възлагането, изпълнението и контрола по изпълнението на задачи;
4. удостоверения за електронен подпис за вътрешноведомствени нужди, издадено от външен доставчик на удостоверителни услуги, които могат да се използват от всички служители в администрацията за нуждите на възлагането, изпълнението и контрола по изпълнението на задачи;
5. удостоверения за идентифициране на сървърите, които могат да се използват от администрациите за осигуряване на защитени електронни комуникации за изпращане на електронни изявления до администрациите и за идентифициране на сървърите, на които са разположени интернет страниците и информационните им системи;
6. удостоверения за осигуряване на интегритет и право на авторство върху софтуерен код или върху файлове, съдържащи друга информация или изпълним код, които могат да се използват от администрациите по изключение.

Чл. 3. Удостоверение за универсален електронен подпис се издава от доставчик на удостоверителни услуги, регистриран от Комисията за регулиране на съобщенията, и се предоставя за ползване на еднолични държавни органи, на членове на колективните държавни органи, на служители или лица в администрациите, работещи по трудово или служебно правоотношение, по граждански договор и на лица на кадрова военна служба.
 
Чл. 4.
(1) Право да правят електронни изявления от името на администрациите имат лицата, които притежават валидно удостоверение за универсален електронен подпис и са овластени по силата на закон или са надлежно овластени.
(2) Право да изпращат електронни изявления по ал. 1 от името на администрациите имат лицата, които притежават валидно удостоверение за универсален електронен подпис и са овластени със заповед на ръководителя на администрацията.
(3) Право да правят електронни изявления в рамките на съответната администрация имат лицата, които притежават валидно удостоверение за електронен подпис, независимо дали е издадено за вътрешноведомствени нужди в рамките на вътрешна инфраструктура на публичния ключ (ИПК) за конкретната администрация или за всички администрации или е издадено от доставчик на удостоверителни услуги.
(4) Извън случаите по ал. 1 и 2 право да правят електронни изявления от името на администрациите за нуждите на предоставянето на вътрешни електронни административни услуги имат лицата, които притежават валидно удостоверение за електронен подпис, издадено в рамките на вътрешна ИПК за всички администрации или издадено от доставчик на удостоверителни услуги.

Чл. 5.
(1) По изключение по реда на наредбата могат да се издават удостоверения за универсален електронен подпис с титуляри физически лица - служители в администрациите, след писмено разпореждане на ръководителите на съответните администрации.
(2) Условията и редът за използване на удостоверения за електронен подпис и други удостоверения, използващи технологии на ИПК при обмен на документи през единната среда за обмен на електронни документи, се определят с наредбата по чл. 41, ал. 2 от Закона за електронното управление.
 
Чл. 6.
(1) Общата организация, ръководството и контролът по изпълнението на наредбата се извършва от директора на дирекцията или ръководителя на звеното, отговарящо за информационно обслужване и информационните технологии в съответната администрация.
(2) Ръководителят на администрацията овластява със заповед директора на дирекцията, съответно ръководителя на звеното или друго лице, което да го представлява пред доставчика на удостоверителни услуги при издаване и управление на удостоверенията.

Чл. 7. Удостоверенията за универсален електронен подпис и удостоверенията за електронен подпис се заявяват за издаване за срок една година считано от датата на издаването.

Глава втора
ИЗДАВАНЕ, ПОЛЗВАНЕ, ПОДНОВЯВАНЕ И ПРЕКРАТЯВАНЕ НА УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОНЕН ПОДПИС

Раздел I
Издаване на удостоверения за електронен подпис
 
Чл. 8.
(1) Издаването на удостоверения за универсален електронен подпис от вида по чл. 2, т. 1, 2 и 4 на служителите в администрациите се извършва въз основа на подадено искане по образец съгласно приложението до ръководителя на съответната администрация, в което се посочва желаният брой и вид удостоверения. Искането се подписва от директора на дирекцията, където работи служителят, съответно от ръководителя на звеното, когато служителят не работи в дирекция.
(2) Искането се комплектува с документите за издаване на удостоверение за електронен подпис, изисквани от доставчика на удостоверителни услуги.
(3) Когато доставчиците на удостоверителни услуги изискват подаването на регистрационни бланки за комплектуване на искането по ал. 1, те се попълват от лицата, за които ще бъдат издадени удостоверения от вида по чл. 2, т. 1, 2 и 4.
(4) Обобщени справки, съдържащи информацията от регистрационните бланки, се изготвят от овластени лица по смисъла на чл. 6, ал. 2.
(5) Искането по ал. 1 и приложенията към него се изпращат със служебна бележка до директора на дирекцията или ръководителя на звеното по чл. 6 в съответната администрация за съгласуване, който може да изисква допълнителна информация от лицето, на което следва да се издаде удостоверение.
(6) След одобрение от ръководителя на администрацията лицето по чл. 6, ал. 2 изпраща одобрените искания заедно с приложенията към тях за изпълнение на доставчика на удостоверителни услуги, а за неодобрените уведомява ръководителя на звеното заявител.
 
Чл. 9.
(1) Удостоверения за универсален електронен подпис по чл. 2, т. 1 и 2 се издават от доставчика на удостоверителни услуги по искане на администрациите на физически лица, работещи по граждански договор и овластени да правят електронни изявления и да представляват администрацията, и на лицата, овластени да изпращат електронни изявления от името на администрацията.
(2) Издаването на удостоверения за универсален електронен подпис по чл. 2, т. 1 и 2 се извършва по искане на овластеното лице до ръководителя на администрацията. Към искането освен необходимите документи, изисквани от доставчика на удостоверителни услуги, задължително се прилага и заверено копие от заповедта на ръководителя на администрацията, с която лицето заявител е овластено да прави електронни изявления и да представлява администрацията. Когато заповедта е издадена в електронна форма, се прилага препис, възпроизведен на хартиен носител.
(3) Предаването на издадените удостоверения за универсален електронен подпис и приемането им от физическите лица, на които са издадени персонално, се извършва при доставчика на удостоверителни услуги.
 
Чл. 10.
(1) Издаването на удостоверения за електронен подпис по чл. 2, т. 3 на служителите в администрациите за вътрешноведомствени нужди се извършва въз основа на подадено искане по образец съгласно приложението до ръководителя на съответната администрация, в което се посочва желаният брой удостоверения. Към искането се прилага списък на всички служители от администрацията, на които следва да се издаде удостоверение.
(2) Искането по ал. 1 се съгласува предварително с лицата по чл. 6, ал. 1.
 
Чл. 11.
(1) Удостоверения от вида по чл. 2, т. 5 и 6 се издават от доставчика на удостоверителни услуги въз основа на одобрено от ръководителя на администрацията искане, направено от директора на дирекцията или ръководителя на звеното по чл. 6, по образец съгласно приложението. Искането се комплектува с изискваните от доставчика документи и се представя на доставчика от лицето по чл. 6, ал. 2.
(2) Предаването на издадените удостоверения от вида по чл. 2, т. 5 и 6 и приемането им от лицата по чл. 6, ал. 2 се извършва при доставчика на удостоверителни услуги.

Чл. 12.
(1) Овластените по чл. 6, ал. 2 лица предоставят лично на доставчика на удостоверителни услуги всички необходими документи за издаване на удостоверения за електронен подпис и получават лично от него справка с извадки от публичния регистър на доставчика за издадените удостоверения.
(2) Овластените лица по чл. 6, ал. 2 са длъжни да пазят в тайна информацията относно личните данни на физическите лица, станала им известна във връзка с издаването и управлението на удостоверенията за електронен подпис.
 
Чл. 13.
(1) В дирекцията или звеното по чл. 6 се води и поддържа списък на всички видове издадени удостоверения за електронен подпис, съдържащ следната информация:
1. данни, идентифициращи доставчика на удостоверителни услуги, ако са издадени удостоверения по чл. 2, т. 1, 2 и 4; ако са издадени удостоверения по чл. 2, т. 3, се посочва и дали ИПК е вътрешна или за всички администрации;
2. вид и номер на удостоверенията за електронен подпис;
3. имената и длъжността на служителите, съответно имената на лицата, работещи по граждански договор, които са овластени да правят, съответно да изпращат, изявления от името на администрациите;
4. обема на представителната власт по отношение на правото да се правят или изпращат електронни изявления от администрациите;
5. наименованието на дирекцията, съответно звеното, в което работи служителят;
6. дата на издаване на удостоверенията и период на валидност;
7. статус на издадените удостоверения;
8. името и длъжността на овластеното лице по смисъла на чл. 6, ал. 2;
9. номера и датата на заповедта за овластяване по смисъла на чл. 6, ал. 2;
10. номера и датата на заповедта за овластяване по смисъла на чл. 9.
(2) Директорът на дирекцията или ръководителят на звеното по чл. 6 или овластено от него лице отразява всяка промяна в данните, водени в списъка, въз основа на информация, получена от доставчика на удостоверителни услуги или от организацията или звеното, поддържаща вътрешната инфраструктура на публичния ключ за издадени, продължени или прекратени удостоверения.

Чл. 14. Директорът на дирекцията или ръководителят на звеното по чл. 6 уведомява дирекцията, отговорна за управление на човешките ресурси в администрацията, и ръководителите по чл. 8, ал. 1 за издадените удостоверения за електронен подпис по чл. 2, т. 1 - 4 веднага след тяхното издаване.

Раздел II
Използване и подновяване на удостоверения за електронен подпис

Чл. 15. Използването на удостоверения за електронен подпис по чл. 2, т. 1 - 4 се извършва в съответствие със Закона за електронния документ и електронния подпис (ЗЕДЕП), подзаконовите нормативни актове по прилагането му, правилата и процедурите на доставчика на удостоверителни услуги (неговия наръчник на потребителя), наредбата и другите правила, установени за администрациите за работа с електронни документи.

Чл. 16.
(1) Удостоверенията за електронен подпис по чл. 2, т. 1 - 4 са лични. Овластено лице има право да прави електронни изявления от името на администрацията само в рамките на правомощията му, произтичащи от длъжността, съответно от предоставената му представителна власт.
(2) Лице, имащо право да подписва с електронен подпис по чл. 2, т. 3 и 4, не може да предоставя правата за достъп до средствата за създаване на електронен подпис, когато те се съхраняват на работния компютър на лицето и този компютър се използва и от други лица.
(3) Лице, имащо право да подписва с универсален електронен подпис по чл. 2, т. 3 и 4, не може да предоставя на други лица държането на предоставеното му устройство за сигурно създаване на подписа, върху която е записан частният ключ за създаване на подписи (смарт карта, USB токен, др.). Използването на устройството става чрез поставянето му в карточетящото устройство (карточетец) или в друго устройство чрез съответен интерфейс и достъпът до частния ключ се осъществява посредством ПИН или биометричен идентификатор.
(4) Лице, което има право на електронен подпис, не може при никакви обстоятелства да прави достояние на други лица персоналния си идентификационен номер (ПИН) за достъп до частния ключ за подписване освен в случаите по чл. 18, ал. 3 и чл. 22, ал. 2 и 3.

Чл. 17.
(1) В администрациите могат да се използват информационни системи, които позволяват автоматично подписване на електронни документи в случаите на обслужване на заявки за вътрешни електронни административни услуги и в случаите на автоматично генериране на изявления от администрациите за нуждите на електронни административни услуги, предоставяни на гражданите и организациите.
(2) Автоматично подписване се извършва чрез използване на механизъм за сигурно създаване на подпис с минимални изисквания за сигурност EAL 4 по Общите критерии за оценка за сигурност на информационни технологии, версия 2.1 и сл. (Common Criteria for Information Technology Security Evaluation - CC 2.1), приета от Международната стандартизираща организация (ISO) в международния стандарт ISO/IEC 15408:1999.
(3) Автоматичното подписване се извършва съответно:
1. от името на лице по чл. 4, ал. 1 - за изявленията, правени от името на администрацията;
2. от името на лице по чл. 4, ал. 2 - за нуждите на изпращане на подписани от лица по т. 1 електронни изявления.
(4) Когато поддръжката на програмно-техническите средства по ал. 1 и 2 е възложена на външна организация, в договора се указва точно лицето, от чието име ще се извършва подписването.
(5) Ръководителите на администрациите възлагат на служител с необходимата квалификация да отговаря за поддръжката на програмно-техническите средства, осигуряващи автоматичното подписване. Настройката, инсталирането на частни ключове и удостоверения, привеждането в експлоатация и преустановяването на програмно-техническите средства за автоматично подписване се документира надлежно и се извършва под контрола на директора на дирекцията, съответно на ръководителя на звеното по чл. 6.
 
Чл. 18.
(1) Подновяването на издадените удостоверения за електронен подпис по чл. 2, т. 1, 2 и 4 се извършва съгласно процедурата на доставчика и по реда на чл. 8, съответно чл. 9.
(2) Подновяване на издадени удостоверения се извършва чрез политика за подновяване на срока ("renewal").
(3) Когато ключът или сигурността при използването му е компрометирана или срокът на валидност на ключовете изтече, удостоверението се прекратява по реда на чл. 22 и сл., а когато са приемани криптирани документи от служителя, те заедно с ПИН за достъп до частния ключ се предават с протокол на директора на дирекцията или ръководителя на звеното по чл. 6, ал. 2. Служителят прави отбелязване в списъка по чл. 13 и предава устройството за сигурно създаване на подписа, ако е в негово държане, и ПИН-а в запечатан плик на директора на дирекцията, отговаряща за управление на човешките ресурси, който ги прилага към личното досие на служителя. В този случай на служителя се издава ново удостоверение за електронен подпис с нова двойка ключове на ново устройство.
(4) Подновяването на удостоверения по чл. 2, т. 3 се извършва по реда на чл. 10.

Чл. 19.
(1) Подновяването на удостоверения по чл. 2, т. 1, 2 и 4 се извършва по реда на чл. 9 съобразно условията и процедурите на доставчика на удостоверителни услуги.
(2) Документите, които трябва да се представят пред доставчика на удостоверителни услуги за подновяване на удостоверение за електронен подпис, са описани в официалните страници на доставчиците на удостоверителни услуги.

Чл. 20.
(1) Подновяването на удостоверения се извършва само за същото удостоверение за електронен подпис преди изтичане на срока му на валидност и при условие че не са променени данните към момента на издаване на първоначалното удостоверение.
(2) При промяна на данните или изтичане срока на валидност на старото удостоверение е необходимо да се направи заявка за издаване на ново удостоверение съгласно чл. 8 и 9.

Чл. 21. Подновяването на удостоверения по чл. 2, т. 5 и 6 се извършва по реда на чл. 11.

Раздел III
Прекратяване
 
Чл. 22.
(1) Прекратяването на действието на удостоверение за електронен подпис настъпва в следните случаи:
1. при изтичане срока на валидност на удостоверението, освен ако то е подновено по реда на чл. 18 и сл.;
2. при прекратяване на трудовото или служебното правоотношение на лицето, както и при оттегляне на представителната власт на овластеното лице;
3. при прекратяване действието на договора между администрацията и доставчика на удостоверителни услуги за удостоверенията по чл. 2, т. 1, 2, 4 - 6;
4. при загубване, кражба, повреждане или унищожаване на частния ключ и/или на носителя, върху който е записан; в този случай лицето е длъжно незабавно да уведоми директора на дирекцията или ръководителя на звеното по чл. 6 и доставчика на удостоверителни услуги за прекратяването му;
5. при смърт или поставяне под запрещение на физическото лице - служител или овластено лице;
6. при промяна на личните или служебните данни на лицето, имащи отношение към идентификацията, овластяването или служебното му положение;
7. при направено писмено искане от страна на администрацията до доставчика на удостоверителни услуги;
8. при съмнение за компрометиране на частния ключ служителят незабавно съобщава това на директора на дирекцията или ръководителя на звеното по чл. 6 и на доставчика на удостоверителни услуги за спиране действието на удостоверението;
9. при установяване, че удостоверението е издадено въз основа на неверни данни.
(2) Лицата, за които е отпаднало основанието за ползване на удостоверението за електронен подпис, са длъжни да предадат незабавно носителя, върху който е записан частният ключ, на директора на дирекцията или ръководителя на звеното по чл. 6 заедно с ПИН за достъп, когато с удостоверения публичен ключ са изпращани криптирани съобщения към лицето, за което е отпаднало основанието за ползване на удостоверението. Той прави отбелязване в списъка по чл. 13 и предава носителя и ПИН за достъп в запечатан плик на директора на дирекцията, отговорна за управление на човешките ресурси, за прилагане към личното досие на служителя.
(3) При прекратяване на трудовото или служебното правоотношение предаването на носителя на частния ключ (картата или друг) се удостоверява със заверка (подпис) от директора на дирекцията или ръководителя на звеното по чл. 6 върху обходния лист.

Чл. 23.
(1) Директорът на дирекцията, отговорна за управление на човешките ресурси, уведомява незабавно директора на дирекцията или ръководителя на звеното по чл. 6, като му предоставя данни за лицето и датата на освобождаване или данни за промяна на неговия статут (длъжност, ранг, промяна във вида на правоотношението и др.) за направата на съответни уведомления към доставчика на удостоверителни услуги, касаещи статуса на удостоверението по чл. 2, т. 1, 2 и 4, или съответно за промяна на статуса на удостоверението по чл. 2, т. 4, както и за отбелязване в списъка по чл. 13.
(2) Лицето по чл. 6, ал. 2 изпраща незабавно съответно уведомление до доставчика на удостоверителни услуги за наличието на основание за прекратяване действието на удостоверението по чл. 2, т. 1, 2 и 4. Съобщаването може да се извърши по факс, чрез електронно съобщение или съобразно процедурите, установени от доставчика.

Чл. 24.
(1) Прекратяването на удостоверения за електронен подпис от вида по чл. 2, т. 1, 2 и 4 на служителите в администрациите и на лицата по граждански договор се извършва от лицето по чл. 6, ал. 2 при спазване изискванията на Закона за електронния документ и електронния подпис и на правилата на доставчика на удостоверителни услуги.
(2) Към искането се прилагат документите, изисквани от доставчика на удостоверителни услуги.
(3) Когато доставчиците на удостоверителни услуги изискват регистрационни бланки за комплектуване на искането по ал. 1, те се попълват при спазване на изискванията на чл. 13.

Чл. 25. Прекратяването на удостоверения за електронен подпис от вида по чл. 2, т. 3 на служителите в администрациите и на лицата по граждански договор се извършва незабавно от лицата по чл. 6, ал. 1 при настъпване на основанието за това.

Раздел IV
Съхраняване на частните ключове и уведомяване

Чл. 26.
(1) Лицата, на които са издадени удостоверения за електронен подпис съгласно наредбата, са длъжни да пазят и да не разкриват данните, осигуряващи достъп до частния ключ (ПИН), да опазват от повреждане или унищожаване носителя (смарт карта или друг носител), на който е записан частният ключ, и да не допускат други лица да правят изявления от техния профил при използване на подписи по чл. 2, т. 3.
(2) Лице, което ползва електронен подпис, няма право да настройва компютърна система, от която подписва електронни изявления, да запаметява персоналния идентификационен номер за достъп до частния ключ.
(3) Всеки, който има съмнение, че неговият или частният ключ на друг служител е компрометиран, е длъжен незабавно да предприеме действия по чл. 22, ал. 1, т. 8.

Глава трета
ПРОВЕРКА НА ЕЛЕКТРОННИ ПОДПИСИ

Чл. 27.
(1) Лицата, които проверяват електронни подписи по чл. 2, т. 1 и 2, са длъжни да използват сигурен механизъм за проверка на подписите и придружаващите ги удостоверения.
(2) Лицата, които извършват проверка на универсален електронен подпис, трябва да прилагат комбинация от софтуер и хардуер, която гарантира, че:
1. данните за проверка на използването на електронния подпис съответстват на данните, визуализирани пред лицето, извършващо проверката;
2. подписът е надлежно проверен и резултатите от тази проверка са визуализирани пред лицето, извършващо проверката;
3. съдържанието на подписаното изявление може да бъде надлежно установено;
4. авторството и валидността на удостоверението за електронен подпис към момента на проверката са надлежно проверени;
5. резултатите от проверката и идентичността на автора са правилно възпроизведени;
6. всички промени, свързани със сигурността, могат да бъдат установени.

Допълнителни разпоредби

§ 1. По смисъла на наредбата:
1. "Смарт карта" е материален електронен носител, състоящ се от пластмасово тяло и чип, на който се съхранява по сигурен начин частният ключ за създаване на електронен подпис.
2. "Компрометиране на частния ключ" е събитие, при което частният ключ става достояние на трети лица, независимо от обстоятелствата, при които това е станало.
3. "Регистриращ орган" е звено, натоварено от доставчика на удостоверителни услуги с осъществяването на дейностите му по приемане, проверка, одобряване или отхвърляне на искания за издаване на удостоверения за електронен подпис, регистриране на подадените искания до доставчика за издаване и внасяне на промени в статуса на удостоверенията, осъществяване на съответни проверки за установяване на самоличността, съответно идентичността на титуляря и автора, както и на специфични данни за тях с допустимите средства, и в съответствие с политиките и практиките за предоставяне на съответните удостоверителни услуги, предаване на съответните носители, върху които са записани удостоверенията и частните ключове за създаване на електронните подписи, ако двойката ключове се генерира при доставчика, и сключва договори за предоставяне на удостоверителни и други криптографски, информационни и консултантски услуги с титулярите от името на доставчика. Регистриращият орган може да бъде обособено звено в рамките на доставчика на удостоверителни услуги или да бъде звено в рамките на юридическо лице, различно от доставчика, на което са делегирани права да осъществява дейностите от името на доставчика.

Заключителни разпоредби

§ 2. Наредбата се приема на основание чл. 37 от Закона за електронното управление.

§ 3. Наредбата влиза в сила от деня на влизане в сила на Закона за електронното управление.

Приложение
към чл. 8, ал. 1, чл. 10, ал. 1 и чл. 11, ал. 1
 
ДО       
РЪКОВОДИТЕЛЯ       
НА       
      
Уважаеми/а господин/госпожо .. .. ..       
Във връзка с .. .. .. .. .. .       
.. .. ..       
.. .. .. ..       
(описание на възникналата необходимост от ползване на УЕП)       
Моля да възложите издаването/подновяването на .. .. .. .. .. .. .. .. бр. удостоверения за електронен подпис от вида .. .. .. .. .. .. . .       
Необходимо е да ни бъдат предоставени и .. .. бр. четци.       
Приложения:       
1. Заповед на .. .. .. .. № .. .. от .. .. .. (оригинал).       
(име на ръководителя на звеното)       
2. Попълнени бланки за регистрация (оригинали) - .. .. .. .. броя.       
3. Обобщена справка, съдържаща информацията от бланките за регистрация, на хартиен и електронен носител.       
4. Други .. .. .. .. .. .. .. .. .. .. .. .. .       
ДИРЕКТОР НА ДИРЕКЦИЯ:       
РЪКОВОДИТЕЛ НА ЗВЕНО:       
(.. .. .. .. .. .. ./подпис)       
(име)       
     

Предложи
корпоративна публикация
Holiday Inn Sofia Добре дошли в най-новия 5-звезден хотел в София.
РАЙС ЕООД Търговия и сервиз на офис техника.
Holiday Inn Sofia A warm "Welcome" to Sofia's newest 5 Star hotel.
Резултати | Архив