PRAVILNIK

O USLOVIMA KOJE MORA DA ISPUNJAVA KVALIFIKOVANO SREDSTVO ZA KREIRANJE ELEKTRONSKOG POTPISA ODNOSNO PEČATA I USLOVIMA KOJE MORA DA ISPUNJAVA IMENOVANO TELO

("Sl. glasnik RS", br. 34/2018 i 3/2020)

 

I UVODNE ODREDBE

Član 1

Ovim pravilnikom propisuju se:

1) uslovi koje mora da ispunjava sredstvo za kreiranje kvalifikovanog elektronskog potpisa odnosno pečata, uključujući:

(1) tehnička rešenja i kriterijume koje mora da ispunjava kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata,

(2) tehničko-tehnološke postupke za formiranje elektronskog potpisa odnosno pečata koje to sredstvo primenjuje pri kreiranju potpisa odnosno pečata,

(3) kriterijume koji moraju da budu ispunjeni kada se sredstvo koristi putem usluge upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa odnosno pečata;

2) uslovi koje mora da ispunjava imenovano telo za ocenu usaglašenosti kvalifikovanih sredstava za kreiranje elektronskog potpisa odnosno pečata.

Član 2

Tehnička rešenja i kriterijumi koje mora da ispunjava kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata, tehničko-tehnološki postupci za formiranje elektronskog potpisa odnosno pečata koje to sredstvo primenjuje i kriterijumi koji moraju da budu ispunjeni kada se sredstvo koristi putem usluge upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa odnosno pečata moraju da budu u skladu sa odgovarajućim međunarodnim standardima i preporukama, odnosno drugim standardima, dokumentima i preporukama, koje se odnose na sredstva i postupke utvrđenim ovim pravilnikom.

II TEHNIČKA REŠENJA I KRITERIJUMI

Član 3

Kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata, osim uslova iz člana 46. Zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju ("Službeni glasnik RS", broj 94/17 - u daljem tekstu: Zakon), mora da ispuni i sledeće kriterijume:

1) da se obezbedi korišćenje sredstva za kreiranje kvalifikovanog elektronskog potpisa odnosno pečata isključivo od strane potpisnika odnosno pečatioca uz prethodno realizovanu pouzdanu proceduru autentikacije;

2) da sredstvo mora biti takvo da je potpisnik odnosno pečatilac u mogućnosti da ga koristi u različitim aplikacijama i informatičko-tehnološkim okruženjima, dodatno imajući u vidu odredbu člana 6. Zakona i potrebu korisnika da koristi sredstvo pri korišćenju drugih usluga od poverenja.

Član 4

Kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata mora da obezbedi da se podaci za kreiranje elektronskog potpisa odnosno pečata generišu tako da mogu postojati samo u tom sredstvu.

Član 5

Kvalifikovano sredstvo za formiranje potpisa odnosno pečata mora da bude usaglašeno sa jednim od sledećih uslova:

1) Uslovi profila zaštite definisani standardom SRPS EN 419211-2:2014 - Profili zaštite sredstava za formiranje kvalifikovanog elektronskog potpisa - Deo 2: Sredstvo sa generisanjem ključa ispitivano po Common Criteria nivou EAL4+;

2) Uslovi profila zaštite definisani standardom SRPS EN 419211-3:2014 - Profili zaštite sredstava za formiranje kvalifikovanog elektronskog potpisa - Deo 3: Sredstvo sa uvođenjem ključa ispitivano po Common Criteria nivou EAL4+, ako je ispunjen i uslov iz člana 3. ovog pravilnika;

3) (brisana)

Predmet ispitivanja usaglašenosti kvalifikovanog sredstva za kreiranje potpisa odnosno pečata je samo sredstvo koje obezbeđuje podatke za formiranje elektronskog potpisa odnosno pečata. Veza sredstva sa aplikacijama za formiranje elektronskog potpisa odnosno pečata, nije obavezno predmet ispitivanja usaglašenosti.

III POSTUPCI ZA FORMIRANJE ELEKTRONSKOG POTPISA ODNOSNO PEČATA

Član 6

Kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata pri formiranju elektronskog potpisa odnosno pečata koristi jedan od standardizovanih asimetričnih kriptografskih algoritama, i to:

1) RSA (Rivest Shamir Adleman) primenom standarda PKCS#1 uz minimalnu dužinu RSA modulusa n od 2048 bita;

2) DSA (Digital Signature Algorithm) sa minimalnim dužinama parametara p i q od 2048 i 224 bita, respektivno;

3) ECDSA (Elliptic Curve Digital Signature Algorithm) sa minimalnim dužinama parametara p i q od 256 bita.

Član 7

Pri formiranju kvalifikovanog elektronskog potpisa primenjuju se i heš funkcije za dobijanje otisaka poruke fiksne veličine (najmanje 160 bita). Heš funkcije iz stava 1. ovog člana realizuju se primenom nekog od sledećih standardizovanih heš algoritama:

1) SHA-224, SHA-256, SHA-384, SHA-512;

2) SHA3-256, SHA3-384, SHA3-512.

Član 8

Skup standardnih algoritama iz čl. 5. i 6. ovog pravilnika kombinovani sa zahtevima u vezi izbora parametara, kao i lista standardnih kombinacija primenjenih algoritama u formi algoritamskih veza ("signature suites"), moraju biti u skladu sa dokumentom ETSI TS 119 312 V1.2.1 "Electronic Signatures and Infrastructures (ESI); Cryptographic Suites".

IV KVALIFIKOVANO SREDSTVO KOJE SE KORISTI PUTEM USLUGE UPRAVLJANJA

Član 9

Kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata koje se koristi putem usluge upravljanja kao kvalifikovane usluge poverenja u skladu sa članom 46. stav 3. Zakona (u daljem tekstu: kvalifikovano sredstvo na daljinu) mora da obezbedi, uz visoki nivo pouzdanosti, da korisnik ima isključivu kontrolu nad podacima za izradu elektronskog potpisa odnosno pečata.

Član 10.

Podaci za kreiranje elektronskog potpisa odnosno pečata, kada se koriste zajedno sa kvalifikovanim sredstvom na daljinu, moraju biti inicijalno kreirani unutar kvalifikovanog sredstva za kreiranje elektronskog potpisa i pečata koje ispunjava uslove Zakona i ovog pravilnika.

Član 11

Kvalifikovano sredstvo na daljinu mora da obezbedi da podaci za kreiranje elektronskog potpisa odnosno pečata mogu da budu aktivirani isključivo od strane potpisnika uz prethodno realizovanu pouzdanu proceduru autentikacije.

Svaka aktivacija podataka za kreiranje elektronskog potpisa odnosno pečata, u kvalifikovanom sredstvu na daljinu neophodno je da bude vezana za važeću autorizaciju korisnika i konkretan zahtev za formiranje elektronskog potpisa odnosno pečata.

Član 12

Kvalifikovano sredstvo na daljinu mora da obezbedi da se formiranje elektronskog potpisa odnosno pečata može dogoditi samo u kvalifikovanom sredstvu za formiranje elektronskog potpisa i pečata.

Član 13

Kvalifikovano sredstvo na daljinu mora da bude usaglašeno sa uslovima koji su propisani profilom definisanom standardom CEN EN 419 241-2 Protection profile for QSCD for server signing (pending, Q1 2018) ispitivano po Common Criteria nivou EAL4 uvećan AVA_VAN.4 analizom ranjivosti ili višem nivou.

Član 14

Kvalifikovano sredstvo na daljinu u postupku formiranja elektronskog potpisa odnosno pečata mora da obezbeđuje isti nivo bezbednosti koji je propisan za kvalifikovana sredstva za kreiranje elektronskog potpisa odnosno pečata, posebno imajući u vidu izbor standardizovanih kriptografskih algoritama, izbor heš funkcija za dobijanje otiska i minimalne dužine parametara.

V TELO ZA OCENU USAGLAŠENOSTI

Član 15

Imenovano telo za ocenu usaglašenosti kvalifikovanih sredstava za kreiranje elektronskog potpisa odnosno pečata (u daljem tekstu: imenovano telo) mora da bude kompetentno, da obezbeđuje neophodne ljudske resurse, ekspertsko znanje i opremu, te da bude osposobljeno za postupak ocenjivanja usaglašenosti sredstva sa tehničkim zahtevima koji su definisani Zakonom i ovim pravilnikom.

Kao dokaz o ispunjenosti kompetentnosti i navedenih uslova, imenovano telo dužno je da bude akreditovano, u skladu sa zakonom kojim se uređuje akreditacija, prema standardu SRPS ISO/IEC 17065:2016 - Ocenjivanje usaglašenosti - Zahtevi za tela koja sertifikuju proizvode, procese i usluge, u obimu akreditacije koji obezbeđuje proveru usaglašenosti kvalifikovanog sredstva za kreiranje elektronskog potpisa odnosno pečata, prema sledećoj listi standarda:

1) SRPS ISO/IEC 15408-1:2014 - Informacione tehnologije - Tehnike bezbednosti - Kriterijumi za vrednovanje bezbednosti u IT - Deo 1: Uvod i opšti model;

2) SRPS ISO/IEC 15408-1:2014 - Informacione tehnologije - Tehnike bezbednosti - Kriterijumi za vrednovanje bezbednosti u IT - Deo 2: Funkcionalni zahtevi za bezbednost;

3) SRPS ISO/IEC 15408-1:2014 - Informacione tehnologije - Tehnike bezbednosti - Kriterijumi za vrednovanje bezbednosti u IT - Deo 3: Zahtevi za osiguranje bezbednosti;

4) ISO/IEC 18045:2008: Information technology - Security techniques - Methodology for IT security evaluation.

Član 16

Imenovano telo mora da se vodi načelom nezavisnosti i nepristrasnosti pri ocenjivanju usaglašenosti.

Posebno u postupku ocenjivanja, ali i u postupku sticanja akreditacije, u radu imenovanog tela ne mogu da učestvuju lica povezana sa sredstvom koje je predmet ocenjivanja usaglašenosti.

To ne isključuje mogućnost razmene tehničkih informacija između imenovanog tela i proizvođača sredstava.

Član 17

Imenovano telo dužno je da uredi postupanje i odlučivanje po prigovorima na rad i donete odluke u vezi sa poslovima ocenjivanja usaglašenosti.

Imenovano telo dužno je da bez odlaganja, a najkasnije u roku od sedam dana, obavesti ministarstvo nadležno za poslove informacionog društva (u daljem tekstu: Ministarstvo) o postojanju prigovora na rad imenovanog tela i donete odluke, a u vezi sa potvrdama o usaglašenosti sredstava koje je izdalo to telo za sredstva koja su upisana u Registar kvalifikovanih sredstava za kreiranje elektronskog potpisa odnosno pečata iz člana 47. Zakona.

Član 18

Pri zaključivanju o oceni usaglašenosti sredstva imenovano telo ne može da se služi informacijama koje su okarakterisane kao poslovna tajna.

Član 19

U skladu sa zakonom kojim se uređuju tehnički zahtevi za proizvode i ocenjivanje usaglašenosti, imenovano telo odgovorno je za štetu nastalu upotrebom sredstva za koje je telo izdalo potvrdu o usaglašenosti ukoliko se ispostavi da sredstvo ne ispunjava tehničke zahteve definisane Zakonom i ovim pravilnikom, ukoliko je štetu prouzrokovana namerom ili nepažnjom imenovanog tela.

Imenovano telo dužno je da obezbedi finansijske resurse za osiguranje od rizika odgovornosti za štetu iz delatnosti tako da:

1) osigurana suma na koju mora biti ugovoreno osiguranje po jednom štetnom događaju ne može iznositi manje od 20.000 evra u dinarskoj protivvrednosti, podrazumevajući pritom kao štetni događaj pojedinačnu štetu nastalu jednom upotrebom ocenjenog sredstva;

2) ukupna osigurana suma na koju mora biti ugovoreno osiguranje od odgovornosti imenovanog tela kumulativno na godišnjem nivou, po svim štetnim događajima, ne može biti niža od 1.000.000 evra u dinarskoj protivvrednosti.

VI PRELAZNE I ZAVRŠNE ODREDBE

Član 20

Danom stupanja na snagu ovog pravilnika smatraće se da sredstvo za formiranje kvalifikovanog elektronskog potpisa koje je za korisnika obezbedilo sertifikaciono telo iz člana 73. stav 3. Zakona, a koje ispunjava uslove iz "Pravilnika o tehničkotehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa" ("Službeni glasnik RS", br. 26/08, 13/10 i 23/15) ispunjava uslove iz člana 5. ovog pravilnika do isteka roka važenja kvalifikovanog sertifikata izdatog prema asimetričnom paru ključeva generisanim u tom sredstvu, ako je kvalifikovani sertifikat izdat pre isteka roka iz člana 73. stav 5. Zakona.

Ministarstvo će u Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata uneti i sredstva iz stava 1. ovog člana, sa napomenom o načinu ispunjavanja uslova iz člana 5. ovog pravilnika i roka do kog će se smatrati da sredstvo ispunjava te uslove.

Član 20a

Kvalifikovana sredstava za kreiranje elektronskih potpisa i elektronskih pečata koja ispunjavaju uslove u skladu sa FIPS 140-2 (Federal Information Processing Standard) nivoa 2 ili viših i koja su upisana u Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata, smatraju se važećim do isteka roka važenja kvalifikovanih elektronskih sertifikata za kreiranje elektronskog potpisa i elektronskih pečata koji su kreirani tim kvalifikovanim sredstvima.

Član 21

Stupanjem na snagu ovog pravilnika prestaje da važi Pravilnik o tehničkotehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa ("Službeni glasnik RS", br. 26/08, 13/10 i 23/15).

Član 22

Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".

 

Samostalni član Pravilnika o izmeni i dopuni
Pravilnika o uslovima koje mora da ispunjava kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata i uslovima koje mora da ispunjava imenovano telo

("Sl. glasnik RS", br. 3/2020)

Član 3

Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se po isteku šest meseci od dana njegovog stupanja na snagu.