ASMENS DOKUMENTŲ IŠRAŠYMO CENTRO
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS TAPATYBĖS KORTELIŲ, PASŲ, KELIONĖS DOKUMENTŲ
IR TREČIŲJŲ ŠALIŲ PILIEČIŲ LEIDIMŲ GYVENTI ELEKTRONINĖS LAIKMENOS IŠPLĖSTINĖS PRIEIGOS KONTROLĖS INFRASTRUKTŪROS UŽ PATIKRĄ ATSAKINGOS LIETUVOS RESPUBLIKOS SERTIFIKAVIMO ĮSTAIGOS
SERTIFIKAVIMO VEIKLOS NUOSTATŲ PATVIRTINIMO
2018 m. rugpjūčio 3 d. Nr. 1-56
Vilnius
Vadovaudamasis Lietuvos Respublikos Vyriausybės 2009 m. birželio 25 d. nutarimo Nr. 652 „Dėl atsakingos institucijos paskyrimo“ (Lietuvos Respublikos Vyriausybės 2018 m. birželio 6 d. nutarimo Nr. 545 redakcija) 1.3 punktu, įgyvendindamas 2006 m. birželio 28 d. Europos Komisijos sprendimo K(2006) 2909, nustatančio valstybių narių išduodamų pasų ir kelionės dokumentų apsauginių savybių ir biometrikos standartų technines specifikacijas, priedo 5.5.3 punkto nuostatas ir 2009 m. gegužės 20 d. Europos Komisijos sprendimo K(2009) 3770, kuriuo keičiamos vienodos trečiųjų šalių piliečių leidimų apsigyventi formos techninės specifikacijos, II a priedo 5.4.3 punkto nuostatas, 2013 m. rugsėjo 30 d. Europos Komisijos įgyvendinimo sprendimo C(2013) 6178, kuriuo iš dalies keičiamas Komisijos sprendimas C(2002) 3069, kuriuo nustatomos vienodos trečiųjų šalių piliečių leidimų apsigyventi formos techninės specifikacijos, 1 straipsnio nuostatas, 2013 m. rugsėjo 30 d. Europos Komisijos įgyvendinimo sprendimo C(2013) 6181, kuriuo iš dalies keičiamas Komisijos sprendimas C(2006) 2909 galutinis, nustatantis valstybių narių išduodamų pasų ir kelionės dokumentų apsauginių savybių ir biometrikos standartų technines specifikacijas ir 2008 m. gruodžio 22 d. Europos Komisijos sprendimą K(2008) 8657, kuriuo nustatoma sertifikavimo politika, reikalaujama pagal valstybių narių išduodamų pasų ir kelionės dokumentų apsauginių savybių ir biometrikos standartų technines specifikacijas, ir atnaujinami normatyviniai informaciniai dokumentai:
1. T v i r t i n u Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatus (viešąją dalį), versija 2.0.
2. N u s t a t a u, kad šis įsakymas Lietuvos Respublikos teisėkūros pagrindų įstatymo nustatyta tvarka skelbiamas Teisės aktų registre.
3. P r i p a ž į s t u netekusiu galios Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2009 m. rugsėjo 2 d. įsakymą Nr. 1-37 „Dėl pasų ir kelionės dokumentų elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų patvirtinimo“.
PATVIRTINTA
Asmens dokumentų išrašymo centro prie
Lietuvos Respublikos Vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio 3 d. įsakymu Nr. 1-56
ASMENS TAPATYBĖS KORTELIŲ, PASŲ, KELIONĖS DOKUMENTŲ
IR TREČIŲJŲ ŠALIŲ PILIEČIŲ LEIDIMŲ GYVENTI ELEKTRONINĖS LAIKMENOS IŠPLĖSTINĖS PRIEIGOS KONTROLĖS INFRASTRUKTŪROS UŽ PATIKRĄ ATSAKINGOS LIETUVOS RESPUBLIKOS SERTIFIKAVIMO ĮSTAIGOS SERTIFIKAVIMO VEIKLOS NUOSTATAI. VIEŠOJI DALIS.
Versija 2.0
(OID 1.3.6.1.4.1.33621.1.2.2)
I. BENDROSIOS NUOSTATOS
1. Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos (toliau – Lietuvos CVCA) sertifikavimo veiklos nuostatai (toliau – CVCA CPS) skirti įgyvendinti asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinę sertifikavimo politiką (toliau – Nacionalinė sertifikavimo politika), patvirtintą Asmens dokumentų išrašymo centro prie Vidaus reikalų ministerijos direktoriaus 2018 m. rugpjūčio 1 d. įsakymu Nr. 1-53, kurios unikalus identifikatorius: 1.3.6.1.4.1.33621.1.1.2
2. CVCA CPS apibrėžia ir detalizuoja technines ir organizacines patikimos sertifikavimo veiklos užtikrinimo priemones, procesus ir procedūras, kurias Lietuvos CVCA privalo įgyvendinti, kad būtų laikomasi Nacionalinėje sertifikavimo politikoje nustatytų veiklos ir saugumo reikalavimų.
3. CVCA CPS apima tik su Lietuvos CVCA sertifikavimo veikla susijusius reikalavimus. Kiekvienas Lietuvos išplėstinės prieigos kontrolės viešojo rakto infrastruktūros (toliau – EAC PKI) dalyvis privalo turėti sertifikavimo veiklos nuostatus, pagal kuriuos galima spręsti ar EAC PKI dalyvio veikla atitinka Nacionalinės sertifikavimo politikos nuostatas.
4. Kiekvieną Nacionalinės sertifikavimo politikos skyrių atitinka tokio paties pavadinimo CVCA CPS skyrius. CVCA CPS sudaro viešoji ir neskelbiama dalys. CVCA CPS viešąją dalį sudaro visa nekonfidenciali CVCA CPS informacija.
5. Lietuvos CVCA neteikia viešųjų sertifikavimo paslaugų ir sertifikatus išduoda tik EAC PKI infrastruktūros dalyviams.
6. CVCA CPS struktūra sudaryta remiantis RFC 3647 – Internet X.509 Public Key Infrastructure reikalavimais.
8. CVCA CPS naudojamos sąvokos ir sutrumpinimai:
Bendras ryšių palaikymo punktas (angl. SPOC) - technologinė sąsaja, paremta ČSN 36 9791:2009 standartu (toliau – ČSN SPOC standartas), komunikavimui tarp valstybių narių.
Bendroji sertifikavimo politika – bendra Europos Komisijos paskelbta sertifikavimo politika, kurioje nurodomi būtinieji reikalavimai, kuriuos turi atitikti valstybės narės Nacionalinė SP.
Dokumentus tikrinti įgaliota įstaiga (DV) – Lietuvos Respublikos ar kitos valstybės narės EAC PKI subjektas, kuris atsakingas už sertifikatų patikros sistemoms (IS) sudarymą ir išdavimą.
Jungiamasis sertifikatas (angl. Link certificate) – jungiamasis sertifikatas, susiejantis naują CVCA sertifikatą su vienu ankstesnių CVCA sertifikatų ir taip užtikrinantis naujo CVCA sertifikato pripažinimą.
Išplėstinės prieigos kontrolės viešojo rakto infrastruktūra (EAC PKI) – infrastruktūra, skirta kontroliuoti prieigai prie asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi pirštų atspaudų biometrinių duomenų, kai realizuojama išplėstinė prieigos kontrolė.
Nacionalinė sertifikavimo politika (Nacionalinė SP) – valstybės narės sertifikavimo politika, kuria reglamentuojamas valstybės narės EAC PKI veikimas.
Nacionalinis EAC PKI koordinatorius – LR ar kitos valstybės narės subjektas, atsakingas už komunikaciją su valstybėmis narėmis, kurios siekia apsikeisti DV sertifikatais bei atsakingas už Bendrosios sertifikavimo politikos taikymą.
Mašininio skaitymo kelionės dokumentas (MRTD) – tarptautiniu mastu pripažįstamas kelionės dokumentas, kuriame yra plika akimi matomų ir mašininiu būdu nuskaitomų duomenų.
Patikros sistema (IS) – MRTD esančių pirštų atspaudų biometrinių duomenų nuskaitymo techninės ir programinės įrangos sistema.
Pirminis prašymas išduoti sertifikatą – sertifikato turėtojas (DV ar IS) pirmą kartą teikia prašymą išduoti sertifikatą arba prašymas išduoti sertifikatą yra teikiamas pirmą kartą po to, kai sertifikato turėtojui (DV ar IS) yra panaikinamas požymis „sustabdytas“ arba prašymas išduoti sertifikatą teikiamas jau po anksčiau išduoto sertifikato galiojimo termino pabaigos.
Pakartotinis prašymas išduoti sertifikatą – bet koks prašymas išduoti sertifikatą, kuris nėra pradinis prašymas išduoti sertifikatą.
Registravimo institucija (RA) – EAC PKI subjektas, vykdantis prašymų išduoti sertifikatus registravimo funkcijas, identifikuojantis ir autentifikuojantis prašymus teikiančius subjektus.
Už patikrą atsakinga Lietuvos Respublikos sertifikavimo įstaiga (Lietuvos CVCA) – Lietuvos Respublikos EAC PKI subjektas, kuris atsakingas už sertifikatų dokumentus tikrinti įgaliotoms įstaigoms (DV) sudarymą, išdavimą ir visos Lietuvos Respublikos EAC PKI infrastruktūrą.
Už patikrą atsakinga kitos valstybės narės sertifikavimo įstaiga (valstybės narės CVCA) – kitos valstybės narės EAC PKI subjektas, kuris atsakingas už sertifikatų dokumentus tikrinti įgaliotoms įstaigoms (DV) sudarymą, išdavimą ir visos valstybės narės EAC PKI infrastruktūrą.
Santrumpa |
Aprašymas |
SP |
Sertifikavimo politika (taisyklės) |
CVCA |
Už patikrą atsakinga šalies sertifikavimo įstaiga |
CVRA |
Už patikrą atsakinga šalies registravimo įstaiga |
DV |
Dokumentus tikrinti įgaliota įstaiga |
DVRA |
Dokumentus tikrinti įgaliotos įstaigos registravimo įstaiga |
HSM |
Kriptografinis modulis |
EAC |
Išplėstinė prieigos kontrolė |
EAC PKI |
Išplėstinės prieigos kontrolės viešojo rakto infrastruktūra |
IS |
Patikros sistema |
MRTD |
Mašininio skaitymo kelionės dokumentas |
OID |
Objekto identifikatorius |
PKI |
Viešojo rakto infrastruktūra |
RA |
Registravimo įstaiga |
SPOC |
Bendras ryšių palaikymo punktas |
II. CVCA organizacinė struktūra
9. Lietuvos Respublikos Vyriausybės 2009 m. birželio 25 d. nutarimu Nr. 652 „Dėl atsakingos institucijos paskyrimo“ (Lietuvos Respublikos Vyriausybės 2018 m. birželio 6 d. nutarimo Nr. 545 redakcija) Asmens dokumentų išrašymo centras prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Asmens dokumentų išrašymo centras) yra paskirtas vykdyti Lietuvos CVCA funkcijas.
10. Lietuvos CVCA nėra įsteigusi atskiros už patikrą atsakingos šalies registravimo įstaigos (toliau – CVRA) ar delegavusi registravimo funkcijų kitai įstaigai, todėl Lietuvos CVCA vykdomos registravimo funkcijos CVCA CPS nėra išskiriamos ir laikomos Lietuvos CVCA sertifikavimo veiklos dalimi.
11. Lietuvos CVCA atsakinga už:
11.4. Lietuvos ir užsienio DV prieigos prie Lietuvos Respublikos išduodamų asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi lustuose saugomų jautrių duomenų teisės nustatymą ir kontrolę;
III. KriptOgrafinių raktų ir Sertifikatų naudojimas
13. Lietuvos CVCA kriptografinių raktų (toliau – raktų) poros ir sertifikatai gali būti naudojami tik šiais tikslais:
13.1. privatusis raktas naudojamas pasirašyti Lietuvos CVCA sertifikatams, jungiamiesiems sertifikatams ir DV išduodamiems sertifikatams;
13.2. privatusis raktas naudojamas pasirašyti DV prašymą išduoti sertifikatą, teikiamą kitos valstybės narės CVCA, kai vykdomas pirminis prašymas išduoti sertifikatą;
13.3. sertifikatas naudojamas patikrinti nacionalinės ar kitos valstybės narės DV sertifikato parašą ar DV prašymo išduoti sertifikatą, teikiamo kitos valstybės narės CVCA, išorinį parašą;
13.4. Lietuvos CVCA raktų poros generuojamos pagal CVCA CPS reikalavimus, raktų generavimo operacija priskiriama prie CVCA kritinių operacijų;
IV. Sertifikatų sekos sudarymas
V. Identifikavimas ir Registravimas
15. CVCA ir DV subjektų ir jų viešųjų raktų identifikavimas.
15.1. CVCA, DV ir jų viešuosius raktus identifikuoja sertifikato savininko nuoroda (angl. Certificate Holder Reference).
15.2. Sertifikate įrašoma sertifikato savininko ir sertifikatą išdavusios atsakingos sertifikavimo įstaigos (angl. Certification Authority Reference) nuorodos.
15.4. Sertifikato savininko nuorodą sudaro unikalus identifikatorius, sudarytas iš šių elementų:
15.5. Sertifikato savininko nuorodą pagal 15.4 punktą Lietuvos CVCA sertifikate sudaro:
15.6. Lietuvos CVCA sudaromų sertifikatų unikalumą užtikrina sertifikato serijinis numeris, kuris turi būti unikalus tarp visų CVCA išduodamų sertifikatų.
15.7. Valstybės CVCA tapatybė identifikuojama pagal sertifikato savininko ir sertifikavimo įstaigos nuorodą CVCA sertifikate.
16. EAC dalyvio identifikavimas ir registravimas:
16.1. Prieš pradėdama vykdyti DV prašymus išduoti sertifikatus, kiekviena CVCA privalo patvirtinti viena kitos tapatybę. CVCA tapatybės patvirtinimą prižiūri Europos Komisija.
16.2. Lietuvos nacionalinis EAC PKI koordinatorius Europos komisijai teikia užpildytas registravimo formas, kurios pateiktos bendrosios sertifikavimo politikos D priede. Nacionalinis EAC PKI koordinatorius užtikrinta, kad registracijos formos bus užpildytos reikalaujama informacija ir bus oficialiai pasirašytos ir saugiai perduotos Europos komisijai. Jeigu nacionalinis EAC PKI koordinatorius registracijos procedūras vykdo tiesiogiai su kitos valstybės narės nacionaliniu EAC PKI koordinatoriumi, apie tokią sėkmingai įvykusią registraciją privalomai informuoja Europos Komisiją.
16.3. Apie pasikeitusius registracijos duomenis Lietuvos nacionalinis EAC PKI koordinatorius informuoja Europos Komisiją.
16.4. Lietuvos nacionalinis EAC PKI koordinatorius, gavęs registracijos prašymą iš valstybės narės nacionalinio EAC PKI koordinatoriaus, registracijos prašymą saugiai perduoda nacionaliniam CVCA. SPOC privalo patikrinti gauto registracijos prašymo integralumą. Integralaus prašymo atveju SPOC, naudodamas technologines integracines sąsajas, teikia prašymą gauti naujausius besiregistruojančios valstybės narės CVCA sertifikatus.
16.5. Apie įvykdytą ar neįvykdytą valstybės narės CVCA registraciją Lietuvos nacionalinis EAC PKI koordinatorius per ne daugiau kaip keturias savaites nuo prašymo gavimo dienos informuoja registracijos prašymą teikusią valstybės narės CVCA. Neįvykdytos (atšauktos) registracijos atveju Lietuvos nacionalinis EAC PKI koordinatorius atsakyme nurodo neįvykdytos (atšauktos) registracijos priežastį.
17. DV registracija Lietuvos CVCA turi būti vykdoma saugiu kanalu, registruodamasi DV privalo pateikti:
VI. Reikalavimai sertifikatų gyvavimo ciklui
19. Pradinis prašymas išduoti sertifikatą:
19.1. Prašymo formatas turi atitikti TR-EAC-1-3 C.2. punkte nurodytą sertifikato prašymo profilio šabloną. Prašyme išduoti sertifikatą turi būti 2 parašai:
19.1.1. vidinis parašas, kurio privatųjį raktą atitinkančiam viešajam raktui prašoma sudaryti sertifikatą;
20. Pakartotinis prašymas išduoti sertifikatą:
20.1. Sertifikatą atitinkanti raktų pora ir sertifikatas keičiami šiais atvejais:
20.2. Jei baigiasi DV sertifikato galiojimas, teikiamas prašymas pakartotinai išduoti sertifikatą. Keičiamas sertifikatas turi galioti bent laikotarpį, per kurį apdorojamas ir įvykdomas prašymas pakartotinai išduoti sertifikatą.
20.3. Jei DV sertifikato galiojimas nutraukiamas arba sertifikatą reikia pakeisti, prašymo išduoti sertifikatą procedūros yra analogiškos procedūroms prašant sertifikatą išduoti pirmą kartą (17 punktas).
21. Prašymo išduoti sertifikatą tvarkymas.
21.1. Lietuvos CVCA (SPOC) turi patikrinti prašymą išduoti sertifikatą:
21.1.1. patikrinti, ar prašymas išduoti sertifikatą pateiktas pagal Lietuvos CVCA CPS, Lietuvos SPOC CPS reikalavimus ir 4 priede pateiktą prašymo išduoti sertifikatą profilį;
21.1.2. gavus kitos valstybės narės DV prašymą pirmą kartą išduoti sertifikatą, Lietuvos CVCA privalo įsitikinti, kad:
21.1.2.2. valstybės narės CVCA sertifikato arba jungiamojo sertifikato viešasis raktas atitinka Europos Komisijai CVCA registracijos metu pateiktą viešąjį raktą;
21.1.3. įsitikinti, kad sertifikate įrašytas viešasis raktas atitinka privatųjį raktą, kuriuo sudarytas vidinis sertifikato prašymo parašas;
21.1.4. jei sertifikatas išduodamas pakartotinai, CVCA (SPOC) turi įsitikinti, kad išorinis parašas yra patvirtintas DV sertifikatu, kuris yra keičiamas, ir kad šis sertifikatas yra galiojantis pagal jame įrašytą sertifikato galiojimo laikotarpį bei sertifikato galiojimas nėra sustabdytas;
21.2. Jei prašyme įrašytas naujas viešasis raktas neatitinka privačiojo rakto, kuriuo sudarytas vidinis parašas, DV gali teikti pakartotinį prašymą.
21.3. DV sertifikatų išdavimo procedūra vykdoma naudojant SPOC. Jeigu nėra galimybės naudoti SPOC, naudojamas alternatyvus suderintas komunikavimo būdas.
21.4. Lietuvos CVCA (SPOC) privalo apdoroti prašymą per 72 valandas. Jei Lietuvos CVCA sistema neveikia ilgiau nei šis terminas, Lietuvos CVCA privalo pranešti visoms susijusioms DV ne vėliau kaip prieš 7 dienas iki veiklos sustabdymo, jei jis planuotas, o esant neplanuotam veiklos sustabdymui – kaip galima greičiau.
22. Sertifikato išdavimas:
22.1. Nepavykus sudaryti sertifikato dėl Lietuvos CVCA (SPOC) kaltės, Lietuvos CVCA (SPOC) turi apie tai informuoti DV per SPOC, elektroniniu paštu ar kitu sutartu būdu.
22.2. Lietuvos CVCA ir DV raktų poros ir sertifikatai turi būti generuojami ir išduodami pagal CVCA CPS aprašytas procedūras.
22.3. Lietuvos CVCA savo pasirašytą sertifikatą turi priimti Lietuvos CVCA įgaliotas ir atsakingas už Lietuvos CVCA asmuo iškart po raktų generavimo ceremonijos.
23. Raktų porų ir sertifikatų saugumo reikalavimai:
23.1. Lietuvos CVCA privalo laikytis šių reikalavimų:
23.1.1. užtikrinti, kad Lietuvos CVCA gautų visą, išsamią, tikslią ir patikimą informaciją, kurios pagrindu sudaromi ir tvarkomi sertifikatai;
23.1.6. užtikrinti, kad Lietuvos CVCA būtų nedelsiant pranešta, jei iki DV sertifikato galiojimo termino pabaigos įvyksta kuris nors iš šių įvykių:
23.1.6.2. jei dėl privačiojo rakto aktyvavimo duomenų (pvz., PIN kodo) pažeidimo ar kitų priežasčių prarandama privačiojo rakto kontrolė;
23.2. Po pažeidimo ar kompromitacijos privačiojo rakto naudojimas turi būti iš karto ir visam laikui nutraukiamas.
23.3. Lietuvos CVCA privačiojo rakto pažeidimo ar kompromitacijos atveju privalo imtis šių veiksmų:
23.3.2. nutraukti Lietuvos DV prašymų išduoti sertifikatą, teikiamų kitų valstybių narių CVCA, pasirašymą;
23.3.4. iš Lietuvos CVCA darbuotojų sudaryti kritinių situacijų valdymo komitetą, kuris išanalizuotų susidariusią padėtį ir priežastis, parengtų reikiamus veiklos pakeitimus.
24. Kiti raktų porų valdymo aspektai.
24.1. Visiems Lietuvos CVCA sudarytiems sertifikatams sertifikatų galiojimo sustabdymo procedūros netaikomos.
24.2. Norint nutraukti sertifikato galiojimą, DV turi nedelsdama apie tai informuoti Lietuvos CVCA. Po šios informacijos gavimo Lietuvos CVCA nebegali taikyti pakartotinio sertifikato išavimo procedūros.
24.3. Pateikusi sertifikato galiojimo nutraukimo prašymą, DV, siekdama gauti naują sertifikatą, turi atlikti pirminio tapatybės patvirtinimo procedūrą (16, 17 punktai).
24.4. Atskiru susitarimu, siekiant supaprastinti naujo sertifikato išdavimo procedūras po sertifikato galiojimo nutraukimo, kartu su sertifikato prašymu DV gali pateikti DV atstovo pasirašytą prašymą, kuriame nurodytos sertifikato galiojimo nutraukimo priežastys ir naujai sudaromo sertifikato viešasis raktas. Sertifikato prašymo išorinis parašas nesudaromas.
24.5. Negaliojančių sertifikatų sąrašai (angl. Certificate revocation list (CRL)) nesudaromi ir neskelbiami, kiti būdai sertifikato statusui patikrinti (pvz., OCSP protokolas) netaikomi.
24.6. Lietuvos CVCA neleidžia jokių sertifikato struktūros ar sertifikatą sudarančios informacijos modifikacijų, sudaromi ir išduodami tik 4 priede aprašytos struktūros sertifikatai.
24.7. Sertifikatų atnaujinimas (angl. certificate renew), kuomet sertifikuojamas tas pats viešasis raktas, Lietuvos CVCA veikloje netaikomas.
24.8. Sertifikatus atitinkančių raktų deponavimas (angl. key escrow) negalimas visiems Lietuvos EAC PKI infrastruktūroje naudojamiems sertifikatams.
VII. Administracinės, Procedūrinės ir fizinės kontrolės ir saugumo užtikrinimo priemonės
25. Šiame CVCA CPS skyriuje apibrėžiami organizaciniai, fiziniai ir techniniai saugumo reikalavimai sertifikavimo veiklai. Reikalavimai dėstomi taip, kad kiekvieną Nacionalinės sertifikavimo politikos reikalavimą atitiktų bent vienas atskiras CVCA CPS punktas. Priklausomai nuo Nacionalinėje sertifikavimo politikoje apibrėžto reikalavimo tipo ir detalumo, CVCA CPS detalizuoja nustatytą Nacionalinės sertifikavimo politikos reikalavimą arba nurodo, kokiomis priemonėmis ir būdais reikalavimas yra įgyvendinamas.
26. Fizinės kontrolės priemonės.
26.1. Lietuvos CVCA techninė įranga (tarnybinės stotys, HSM moduliai) saugoma Asmens dokumentų išrašymo centro tarnybinių stočių saugykloje, atskirtoje nuo kitos techninės įrangos, rakinamoje spintoje.
26.2. Fizinis Lietuvos CVCA techninės įrangos saugumas užtikrintas šiomis priemonėmis:
26.2.1. Asmens dokumentų išrašymo centro patalpos yra sugriežtintos apsaugos zonoje, jas visą parą saugo budėtojas;
26.2.2. Asmens dokumentų išrašymo centro patalpose įgyvendinta dviejų lygių įėjimo kontrolės sistema:
26.2.3. įeinant į padidinto saugumo zoną, asmeniui identifikuoti naudojamos identifikavimo kortelės ir nuskaitomas piršto atspaudas;
26.2.6. į padidinto saugumo zoną patekti teisę turi tik ypatingo pasitikėjimo pareigas einantys darbuotojai. Kiti asmenys į šią zoną patekti gali tik lydimi minėtas pareigas einančių darbuotojų. Kiekvienas patekimas į šią zoną registruojamas;
26.2.7. Asmens dokumentų išrašymo centro tarnybinių stočių saugykloje yra įrengta oro kondicionavimo sistema, palaikanti reikiamą vienodą temperatūrą. Sutrikus elektros energijos tiekimui, nenutrūkstamo maitinimo šaltinis (UPS) ir dyzelinis elektros generatorius užtikrina nepertraukiamą sistemos darbą iki 24 valandų.
26.2.8. Asmens dokumentų išrašymo centro tarnybinių stočių saugykla yra apsaugota nuo potvynio ar užpylimo vandeniu.
27. Procedūrinės kontrolės priemonės.
27.1. Procedūrinės kontrolės priemonės įgyvendinamos atskiriant Lietuvos CVCA techninės įrangos administravimo ir naudojimo pareigas. Yra naudojami 2 kriptografinių modulių (HSM) identifikacinių kortelių rinkiniai: operatoriaus ir administratoriaus rinkinys.
27.3. Lietuvos CVCA vidinis tinklas yra apsaugotas ugniasienėmis, naudojama įsilaužimų aptikimo ir prevencijos sistema. Lietuvos CVCA HSM laikomas atjungtas nuo tinklo.
27.4. Jautrūs duomenys yra apsaugoti nuo tiesioginės prieigos ir yra prieinami tik tinkamai identifikuotiems ir autentifikuotiems asmenims. Jautrius duomenis sudaro Lietuvos CVCA privačiųjų raktų kopijos, DV prašymų išduoti sertifikatą ir išduotų sertifikatų duomenų bazė, veiklos procesų ir procedūrų aprašymai, šių CVCA CPS neskelbiama dalis.
27.5. Prieiga prie Lietuvos CVCA taikomųjų programų kontroliuojama slaptažodžių politika, funkcijų atskyrimas įgyvendinamas priskiriant darbuotojams atitinkamus darbo laukus (roles).
27.6. Lietuvos CVCA darbuotojų vykdomos kritinės operacijos turi būti dokumentuojamos ir pasirašomos visų operacijas vykdžiusių dalyvių ir stebėtojų.
28. Personalo kontrolės priemonės.
28.1. Su Lietuvos CVCA sistemomis dirba tik patyrę ir kvalifikuoti darbuotojai. Asmens dokumentų išrašymo centras be CVCA funkcijų administruoja ir kitas valstybinės reikšmės informacines ir kitas sistemas (pvz., asmens dokumentų išrašymo sistemą, kuri užtikrina kvalifikuotų viešo naudojimo sertifikatų įrašymą į asmens tapatybės dokumentų elektronines laikmenas).
28.2. Lietuvos CVCA užtikrina, kad joje dirbantys darbuotojai:
28.3. Sertifikavimo paslaugų teikėjo darbuotojų biografija tikrinama laikantis Lietuvos Respublikos vidaus reikalų ministerijos darbuotojams taikomos tvarkos.
28.4. Darbuotojams, pažeidžiantiems Lietuvos CVCA kritinių operacijų vykdymo ar kitus saugumo reikalavimus, taikomos iš anksto numatytos atitinkamos drausminės sankcijos.
28.5. Darbuotojai, vykdantys aukšto patikimumo reikalaujančias funkcijas, kurių rolės turi būti griežtai atskirtos:
28.5.1. Lietuvos CVCA saugumo pareigūnas, kuris atsakingas už bendrą saugumo politikos formavimą ir skleidimą;
28.5.2. Lietuvos CVCA sistemų administratorius, kuris atsakingas už Lietuvos CVCA sistemų tinkamą funkcionavimą, atstatymą ir atsarginių duomenų kopijų darymą;
28.6. Visi aukšto patikimumo funkcijas vykdantys darbuotojai privalo turėti aiškias pareigybines instrukcijas vykdomai sertifikavimo veiklai.
29. Veiklos registravimo ir dokumentavimo procedūros.
29.2. Kita, ne su kritinių operacijų vykdymu susijusi, sertifikatų ir kriptografinių raktų gyvavimo ciklo informacija kaupiama Lietuvos CVCA sisteminiuose įrašuose (angl. logs) ir elektroniniuose laiškuose.
29.3. Visi su sertifikatų ir kriptografinių raktų gyvavimo ciklu susiję įvykiai registruojami ir dokumentuojami taip, kad būtų galima nustatyti įvykio laiką, atsakingus asmenis ir kitas svarbias įvykio aplinkybes, leisiančias nustatyti tinkamą ar netinkamą Lietuvos CVCA sistemų naudojimą.
30. Įrašų archyvavimo procedūros.
30.1. Lietuvos CVCA įrašų archyvavimo procedūros turi užtikrinti duomenų vientisumą, autentiškumą ir konfidencialumą:
30.1.2. konfidencialumas užtikrinamas prieigą prie jautrios informacijos suteikiant tik teisę turintiems asmenims, slapta ir jautri Lietuvos CVCA informacija nėra viešai skelbiama;
31. Pažeidimai ir avarinis duomenų atkūrimas.
31.1. Lietuvos CVCA turi įgyvendinusi priemones, apsaugančias veiklą nuo žalingos aplinkos poveikio: elektros energijos tiekimo pertraukimų, potvynių, fizinio pažeidimo ir t. t. (priemonės detalizuotos 26 punkte).
31.2. Įvykus avariniam įvykiui, įskaitant privačiojo rakto pažeidimą, CVCA, DV ir IS turi užtikrinti, kad pagrindinė sertifikavimo veikla būtų atkurta per 5 darbo dienas, visos sertifikavimo veiklos funkcijos atkuriamos per 2 savaites.
32. Lietuvos CVCA veiklos nutraukimas.
32.1. Jei Lietuvos CVCA nutraukia savo veiklą ji privalo:
32.1.2. pranešti Europos Komisijai apie CVCA (jei tokia yra), kuri perims sertifikavimo veiklos įsipareigojimus;
32.1.4. pranešti apie veiklos nutraukimą visoms DV, kurioms ji išduoda sertifikatus, apie CVCA (jei tokia yra), kuri perims įsipareigojimus ir išdavinės DV sertifikatus;
VIII. Techninės saugumo kontrolės priemonės
33. Kriptografinių raktų porų generavimas.
33.1. Lietuvos CVCA kriptografiniai raktai generuojami kontroliuojamoje ir saugioje aplinkoje, esant bent dvigubai kontrolei. Raktų generavimo procedūra aprašyta CVCA CPS neskelbiamoje dalyje.
33.2. Raktai generuojami naudojant kriptografinį įrenginį (HSM), atitinkantį vieną iš šių standartų:
33.3. Prieš pasibaigiant Lietuvos CVCA privataus rakto galiojimui, Lietuvos CVCA arba turi generuoti naują raktų porą, arba sudaryti jungiamąjį sertifikatą.
34. Privačiojo rakto apsauga ir kriptografinio įrenginio (HSM) inžinerinės kontrolės priemonės.
34.1. Privatieji raktai saugomi ir parašai kuriami tik su 33.2 punktą atitinkančiu kriptografiniu įrenginiu (HSM).
34.2. Jei Lietuvos CVCA privačiųjų raktų kopijos saugomos ne saugiame kriptografiniame įrenginyje (HSM), jos turi būti šifruojamos. Šifravimo rakto ilgis turi būti ne trumpesnis nei Lietuvos CVCA privataus rakto ilgis.
34.3. Lietuvos CVCA darbuotojai, siekiantys pasinaudoti kriptografiniu įrenginiu (HSM), identifikuojami ir autentifikuojami naudojant su kriptografiniu įrenginiu susietas identifikacines korteles.
34.4. Lietuvos CVCA privataus rakto atstatymo naudojant rakto kopiją procedūra vykdoma analogiškai raktų generavimo procedūrai.
35. Kiti raktų poros ir sertifikatų valdymo aspektai:
36. Įrangos gyvavimo ciklo saugumo kontrolės priemonės:
36.1. Lietuvos CVCA sistemų kitimai vykdomi tik gavus Lietuvos CVCA saugumo pareigūno ir Asmens dokumentų išrašymo centro direktoriaus pritarimą.
IX. Atitikties auditas ir kitoks įvertinimas
37. Lietuvos CVCA prieš išduodama sertifikatus DV turi įsitikinti, kad valstybės narės Nacionalinė SP, kurią atitinka DV, atitinka Bendrąją sertifikavimo politiką. Kilus ginčui, prižiūrint Europos Komisijai, rengiamas arbitražas.
38. Siekiant įrodyti, kad DV veikla atitinka Nacionalinę SP ir DV sertifikavimo veiklos nuostatus, DV privalo atlikti nepriklausomą auditą. Atliekant auditą būtina patikrinti, ar yra nustatytos procedūrinio saugumo kontrolės priemonės ir patikrinti, ar jų praktiškai laikomasi. Toks auditas turi būti atliekamas ne rečiau kaip kas treji metai. Auditą atlikusi tarnyba ne rečiau kaip kartą per metus turi atlikti patikrą siekiant užtikrinti Nacionalinės SP ir DV sertifikavimo veiklos nuostatų laikymąsi.
39. Auditą atliekanti tarnyba turi būti šiam tikslui akredituota valstybės narės akreditavimo įstaigos arba autorizuota atsakingos įstaigos.
40. Jei audito metu nustatoma, kad DV nesilaiko Nacionalinės SP, DV privalo apie tai pranešti Lietuvos nacionaliniam EAC PKI koordinatoriui, kuris apie tai privalo pranešti atitinkamoms valstybėms narėms.
41. Jei nepatvirtinama, kad DV laikosi Nacionalinės SP arba jei jos atitikties sertifikatas tampa negaliojančiu pasibaigus jo galiojimo terminui, kitos valstybės narės privalo nebeišduoti sertifikatų tokiai DV.
X. Baigiamosios nuostatos
44. CVCA CPS keitimai skirstomi į 2 rūšis:
44.1. keitimai, kurie nekeičia CVCA CPS saugumo lygio. Šie pakeitimai atliekami be išankstinio perspėjimo, CVCA CPS unikalus identifikatorius nėra keičiamas;
45. Pasikeitus Nacionalinės sertifikavimo politikos nuostatoms, nedelsiant turi būti atliekamas CVCA CPS atitikimo naujai Nacionalinei sertifikavimo politikai įvertinimas ir rengiama nauja CVCA CPS versija.
48. Viešoji CVCA CPS dalis ir visos jos versijos turi būti skelbiamos Lietuvos CVCA interneto svetainėje.
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų, patvirtintų Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio 3 d. įsakymu Nr. 1-56,
1 priedas
EAC PKI sertifikatų sekos sudarymas
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų, patvirtintų Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio 3 d. įsakymu Nr.1-56,
2 priedas
CVCA Sertifikato profilis
Nr. |
Sertifikato laukas |
Lauko reikšmė |
1 |
Sertifikato šablono identifikatorius |
Sertifikato šablono versija |
2 |
Sertifikatą sudariusios įstaigos nuoroda |
C=LT CN=CVCA SN=LT(sertifikato eilės numeris) |
3 |
Sertifikato savininko nuoroda |
C=LT CN=CVCA SN=LT(sertifikato eilės numeris) |
4 |
Viešasis raktas |
CVCA viešojo rakto reikšmė |
5 |
Sertifikato galiojimo pradžios data |
Sertifikato galiojimo pradžios data |
6 |
Sertifikato galiojimo pabaigos data |
Sertifikato galiojimo pabaigos data |
7 |
Parašas |
CVCA privačiuoju raktu užšifruota viso nekoduoto sertifikato informaci-jos maišos (angl. hash) vertė |
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų, patvirtintų Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio 3 d. įsakymu Nr. 1-56,
3 priedas
DVCA Sertifikato profilis
Nr. |
Sertifikato laukas |
Lauko reikšmė |
1 |
Sertifikato šablono identifikatorius |
Sertifikato šablono versija |
2 |
Sertifikatą sudariusios įstaigos nuoroda |
C=LT CN=CVCA SN=LT(sertifikato eilės numeris) |
3 |
Sertifikato savininko nuoroda |
C=LT CN=DVCA SN=LT(sertifikato eilės numeris) |
4 |
Viešasis raktas |
DVCA viešojo rakto reikšmė |
5 |
Sertifikato savininko autorizacijos šablonas |
|
6 |
Sertifikato galiojimo pradžios data |
Sertifikato galiojimo pradžios data |
7 |
Sertifikato galiojimo pabaigos data |
Sertifikato galiojimo pabaigos data |
8 |
Parašas |
CVCA privačiuoju raktu užšifruota viso nekoduoto sertifikato informacijos maišos (angl. hash) vertė |
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų, patvirtintų Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio mėn. __ d. įsakymu Nr.___,
4 priedas
DVCA Sertifikato prašymo profilis
Nr. |
Sertifikato prašymo laukas |
Lauko reikšmė |
1 |
Teikiančios prašymą įstaigos sertifikatas |
|
1.1 |
Sertifikato šablono identifikatorius |
Sertifikato šablono versija |
1.2 |
Sertifikatą sudaryti prašomos įstaigos nuoroda |
C=LT CN=CVCA SN=LT(sertifikato eilės numeris) |
1.3 |
Sertifikato savininko nuoroda |
C= CN= SN= |
1.4 |
Viešasis raktas |
DVCA viešojo rakto reikšmė |
2 |
Vidinis parašas |
DVCA privačiuoju raktu užšifruota viso nekoduoto sertifikato informacijos (4 priedo 1.1–1.4 punktai) maišos (angl. hash) vertė |
3 |
Prašymą tvirtinančios įstaigos nuoroda |
C= CN= SN= |
4 |
Išorinis parašas sudarytas prašymą tvirtinančios įstaigos |
CVCA arba DVCA keičiamo sertifikato privačiuoju raktu užšifruota viso nekoduoto sertifikato prašymo informacijos maišos (angl. hash) vertė |
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų, patvirtintų Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio 3 d. įsakymu Nr. 1-56,
5 priedas
CVCA sertifikavimo veiklos nuostatų UNIKALAUS IDENTIFIKATORIAUS REIKŠMĖS ir Dokumento versija
CVCA sertifikavimo veiklos nuostatų unikalus identifikatorius
Pavadinimas |
Reikšmė |
ISO |
1 |
ISO pripažinta organizacija |
3 |
JAV Gynybos departamentas |
6 |
Internetas |
1 |
Privati įmonė |
4 |
IANA registruota privati įmonė |
1 |
Asmens dokumentų išrašymo centras |
33621 |
CVCA skyrius |
1 |
Dokumento tipas (CVCA CPS) |
2 |
Dokumento versijos pirmasis skaitmuo |
2 |
CVCA sertifikavimo veiklos nuostatų versija 1.0
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės infrastruktūros už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos sertifikavimo veiklos nuostatų, patvirtintų Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2018 m. rugpjūčio 3 d. įsakymu Nr.1-56,
6 priedas
kontaktiniai duomenYs
CVCA
Organizacija |
Asmens dokumentų išrašymo centras prie Lietuvos Respublikos vidaus reikalų ministerijos |
Adresas |
Žirmūnų g. 1D, LT-09229 Vilnius |
Tel. |
(8 5) 271 8000 |
Faks. |
(8 5) 271 8045 |
URL: |
http://www.adic.lrv.lt/ |
El. paštas: |
adic@vrm.lt |
Už CVCA sertifikavimo veiklos nuostatų administravimą atsakingo asmens kontaktiniai duomenys
Įstaiga |
Asmens dokumentų išrašymo centras prie Lietuvos Respublikos vidaus reikalų ministerijos |
Asmuo |
Lina Bilevičienė Sarinienė |
Adresas |
Žirmūnų g. 1D, LT-09229 Vilnius |
Tel. |
(8 5) 271 8002 |
Faks. |
(8 5) 271 8045 |
URL: |
http://www.adic.vrm.lt/ |
El. paštas: |
adic@vrm.lt |