ASMENS DOKUMENTŲ IŠRAŠYMO CENTRO
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL ASMENS TAPATYBĖS KORTELIŲ, PASŲ, KELIONĖS DOKUMENTŲ
IR TREČIŲJŲ ŠALIŲ PILIEČIŲ LEIDIMŲ GYVENTI
ELEKTRONINĖS LAIKMENOS IŠPLĖSTINĖS PRIEIGOS KONTROLĖS NACIONALINĖS SERTIFIKAVIMO POLITIKOS PATVIRTINIMO
2023 m. gruodžio 27 d. Nr. 1-48
Vilnius
Vadovaudamasis Lietuvos Respublikos Vyriausybės 2009 m. birželio 25 d. nutarimo Nr. 652 „Dėl atsakingos institucijos paskyrimo“ (Lietuvos Respublikos Vyriausybės 2018 m. birželio 6 d. nutarimo Nr. 545 redakcija) 1.3 punktu, įgyvendindamas 2018 m. lapkričio 30 d. Europos Komisijos sprendimą C(2018) 7774, kuriuo nustatomos valstybių narių išduodamų pasų ir kelionės dokumentų apsaugos priemonių ir biometrinių duomenų standartų techninės specifikacijos ir panaikinami sprendimai K(2006) 2909ir K(2008) 8657 ir 2018 m. lapkričio 30 d. Europos Komisijos sprendimą C(2018) 7767, kuriuo nustatomos vienodos formos leidimų apsigyventi techninės specifikacijos ir panaikinamas sprendimas C(2002) 3069:
1. T v i r t i n u Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinę sertifikavimo politiką, versija 2.1.
2. N u s t a t a u, kad šis įsakymas Lietuvos Respublikos teisėkūros pagrindų įstatymo nustatyta tvarka skelbiamas Teisės aktų registre.
3. P r i p a ž į s t u netekusiu galios Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2018 m. rugpjūčio 1 d. įsakymą Nr. 1-53 „Dėl asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinės sertifikavimo politikos patvirtinimo“
PATVIRTINTA
Asmens dokumentų išrašymo centro prie
Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2023 m. gruodžio 27 d. įsakymu Nr. 1-48
ASMENS TAPATYBĖS KORTELIŲ, PASŲ, KELIONĖS DOKUMENTŲ
IR TREČIŲJŲ ŠALIŲ PILIEČIŲ LEIDIMŲ GYVENTI ELEKTRONINĖS
LAIKMENOS IŠPLĖSTINĖS PRIEIGOS KONTROLĖS
NACIONALINĖ SERTIFIKAVIMO POLITIKA
Versija 2.1
I. BENDROSIOS NUOSTATOS
1. Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinės sertifikavimo politikos (toliau – Nacionalinė SP) tikslas – nustatyti pagrindinius organizacinius, techninius ir saugumo reikalavimus, kuriais grindžiama patikima už patikrą atsakingos Lietuvos Respublikos sertifikavimo įstaigos (angl. CVCA) (toliau – Lietuvos CVCA) ir Lietuvos bei valstybių narių dokumentus tikrinti įgaliotų įstaigų (angl. DV) (toliau – DV) sąveika, įgyvendinant išplėstinės prieigos kontrolės viešojo rakto infrastruktūrą (angl. EAC PKI) (toliau – EAC PKI).
2. Nacionalinė SP atitinka bendrąją sertifikavimo politiką, paskelbtą Bundesamt fur Sicherheit in der Informationstechnik, TR-03139, 2.2 versija.
3. Nacionalinė SP grindžiama šiomis techninėmis gairėmis: „Mašininio skaitymo kelionės dokumentų pažangieji apsauginiai mechanizmai – 1-3 dalys , 2.10 versija, TR-03110, 2012 m. kovo 20 d. paskelbtos Bundesamt fur Sicherheit in der Informationstechnik (toliau – TR-EAC-1-3).
4. Nacionalinė SP taikoma įgyvendinat TR-EAC-1-3 2 punkte „Viešojo rakto infrastruktūra“ aprašytą viešojo rakto infrastruktūrą.
5. Nacionalinėje SP naudojamos sąvokos ir sutrumpinimai:
Bendras ryšių palaikymo punktas (angl. SPOC) - technologinė sąsaja, paremta ČSN 36 9791: 2018 standartu (toliau – ČSN SPOC standartas), komunikavimui tarp valstybių narių.
Bendroji sertifikavimo politika – bendra Europos Komisijos paskelbta sertifikavimo politika, kurioje nurodomi būtinieji reikalavimai, kuriuos turi atitikti valstybės narės Nacionalinė SP.
Dokumentus tikrinti įgaliota įstaiga (DV) – Lietuvos Respublikos ar kitos valstybės narės EAC PKI subjektas, kuris atsakingas už sertifikatų patikros sistemoms (angl. IS) sudarymą ir išdavimą.
Jungiamasis sertifikatas (angl. Link certificate) – jungiamasis sertifikatas, susiejantis naują CVCA sertifikatą su vienu ankstesnių CVCA sertifikatų ir taip užtikrinantis naujo CVCA sertifikato pripažinimą.
Išplėstinės prieigos kontrolės viešojo rakto infrastruktūra (EAC PKI) – infrastruktūra, skirta kontroliuoti prieigai prie asmens tapatybės kortelėse, pasuose, kelionės dokumentuose ir trečiųjų šalių piliečių leidimuose gyventi saugomų pirštų atspaudų biometrinių duomenų, kai realizuojama išplėstinė prieigos kontrolė.
Nacionalinė sertifikavimo politika (Nacionalinė SP) – valstybės narės sertifikavimo politika, kuria reglamentuojamas valstybės narės EAC PKI veikimas.
Nacionalinis EAC PKI koordinatorius – LR ar kitos valstybės narės subjektas, atsakingas už komunikaciją su valstybėmis narėmis, keičiantis DV sertifikatais bei atsakingas už Sertifikavimo politikos taikymą.
Mašininio skaitymo kelionės dokumentas (angl. MRTD) – tarptautinis kelionės dokumentas, kuriame yra plika akimi matomų ir mašininiu būdu nuskaitomų duomenų.
Patikros sistema (angl. IS) – MRTD esančių pirštų atspaudų biometrinių duomenų nuskaitymo techninės ir programinės įrangos sistema.
Pirminis prašymas išduoti sertifikatą – sertifikato turėtojas (DV ar IS) pirmą kartą teikia prašymą išduoti sertifikatą arba prašymas išduoti sertifikatą yra teikiamas pirmą kartą po to, kai sertifikato turėtojui (DV ar IS) yra panaikinamas požymis „sustabdytas“, arba prašymas išduoti sertifikatą teikiamas jau po anksčiau išduoto sertifikato galiojimo termino pabaigos.
Pakartotinis prašymas išduoti sertifikatą – bet koks prašymas išduoti sertifikatą, kuris nėra pradinis prašymas išduoti sertifikatą.
Registravimo institucija (angl. RA) – EAC PKI subjektas, vykdantis prašymų išduoti sertifikatus registravimo funkcijas, identifikuojantis ir autentifikuojantis prašymus teikiančius subjektus.
Už patikrą atsakinga Lietuvos Respublikos sertifikavimo įstaiga (Lietuvos CVCA) – Lietuvos Respublikos EAC PKI subjektas, kuris atsakingas už dokumentus tikrinti įgaliotoms įstaigoms (DV) sertifikatų sudarymą, išdavimą ir visą Lietuvos Respublikos EAC PKI infrastruktūrą.
Už patikrą atsakinga kitos valstybės narės sertifikavimo įstaiga (valstybės narės CVCA) – kitos valstybės narės EAC PKI subjektas, kuris atsakingas už sertifikatų dokumentus tikrinti įgaliotoms įstaigoms (DV) sudarymą, išdavimą ir visos valstybės narės EAC PKI infrastruktūrą.
Santrumpa |
Aprašymas |
CVCA |
Už patikrą atsakinga šalies sertifikavimo įstaiga |
CVRA |
Už patikrą atsakinga šalies registravimo įstaiga |
DV |
Dokumentus tikrinti įgaliota įstaiga |
DVRA |
Dokumentus tikrinti įgaliotos įstaigos registravimo įstaiga |
EAC |
Išplėstinė prieigos kontrolė |
EAC PKI |
Išplėstinės prieigos kontrolės viešojo rakto infrastruktūra |
IS |
Patikros sistema |
MRTD |
Mašininio skaitymo kelionės dokumentas |
OID |
Objekto identifikatorius |
PKI |
Viešojo rakto infrastruktūra |
RA SP SPOC |
Registravimo įstaiga Sertifikavimo politika (taisyklės) Bendras ryšių palaikymo punktas |
II. EAC PKI organizacinė struktūra
6. Lietuvos EAC PKI organizacinę struktūrą sudaro:
6.1. Nacionalinis EAC PKI koordinatorius užtikrina, kad iš valstybių narių gauta informacija bus perduota nacionalinei CVCA, SPOC ar DV, priklausomai nuo informacijos paskirties ir pastarųjų EAC PKI dalyvių funkcijų ir pareigų.
6.2. Lietuvos CVCA atsakinga už Lietuvos EAC PKI funkcionavimą ir patikimą veiklą. Lietuvos CVCA nustato tiek Lietuvos, tiek užsienio DV prieigos prie Lietuvos Respublikos išduodamų asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi lustuose saugomų jautrių duomenų teises ir vykdo kontrolės funkcijas;
6.4. CVRA atsakinga už DV prašymų sudaryti sertifikatą identifikavimą ir autentifikavimą, sertifikatų DV išdavimą. Toliau CVRA laikoma Lietuvos CVCA dalimi ir jos funkcijos ir atsakomybė atskirai neišskiriamos;
6.5. DVRA atsakinga už IS prašymų sudaryti sertifikatą identifikavimą ir autentifikavimą, sertifikatų DV išdavimą. Viena DV gali turėti tik vieną DVRA. Toliau DVRA laikoma DV dalimi ir jos funkcijos ir atsakomybė atskirai neišskiriamos;
6.6. IS naudoja sertifikatus savo autentiškumui įrodyti ir gauti teisę nuskaityti MRTD esančius jautrius duomenis;
7. Lietuvos Respublikos Vyriausybės 2009 m. birželio 25 d. nutarimu Nr. 652 „Dėl atsakingos institucijos paskyrimo“ (Lietuvos Respublikos Vyriausybės 2018 m. birželio 6 d. nutarimo Nr. 545 redakcija) Asmens dokumentų išrašymo centras prie Vidaus reikalų ministerijos (toliau – Asmens dokumentų išrašymo centras) yra paskirtas vykdyti Lietuvos EAC PKI koordinatoriaus ir Lietuvos CVCA funkcijas.
III. Kriptografinių raktų ir Sertifikatų naudojimas
8. Lietuvos CVCA kriptografinių raktų (toliau – raktų) poros ir sertifikatai gali būti naudojami tik šiais tikslais:
8.1. privatusis raktas naudojamas pasirašyti sertifikatus, kurie išduodami Lietuvos ir kitų valstybių DV;
8.2. privatusis raktas naudojamas pasirašyti Lietuvoje registruotos DV prašymus išduoti sertifikatą, teikiamą kitų valstybių narių CVCA (20.1 punktas);
9. DV raktų poros ir sertifikatai gali būti naudojami tik šiais tikslais:
10. SPOC raktų pora gali būti naudojama tik sudarant sertifikatus, kurie naudojami saugiai komunikacijai su valstybių narių SPOC ar nacionalinėmis DV užtikrinti.
IV. Sertifikatų sekos sudarymas
12. Sertifikatų seka formuojama šiuo būdu:
12.1. Lietuvos CVCA sudaro ir pati pasirašo savo sertifikatą (angl. self-signed certificate), sudaro ir pasirašo jungiamuosius Lietuvos CVCA sertifikatus ir pasirašo DV sertifikatus;
13. CVCA, DV ir IS sertifikato profilio šablonas pateikiamas 1-ame priede, detalūs sertifikatų profilių aprašai pateikiami sertifikavimo veiklos nuostatuose.
V. Identifikavimas ir Registravimas
15. EAC PKI subjektų ir jų viešojo rakto identifikavimas.
15.1. CVCA, DV ir IS viešieji raktai identifikuojami pagal sertifikato savininko nuorodą (angl. Certificate Holder Reference).
15.2. Sertifikate įrašoma sertifikato savininko ir sertifikatą išdavusios sertifikavimo įstaigos (angl. Certification Authority Reference) nuorodos.
15.4. Sertifikato savininko nuorodą sudaro unikalus identifikatorius, sudarytas iš šių elementų:
15.5. Sertifikato savininko nuoroda privalo būti unikali tarp visų Lietuvos CVCA sudaromų sertifikatų.
15.6. Valstybės narės tapatybę apibrėžia:
15.6.1. CVCA sertifikato:
15.6.2. DV sertifikato:
15.6.2.1. sertifikavimo įstaigos nuoroda – nacionalinės CVCA tapatybė arba kitos valstybės narės CVCA tapatybė;
16. Nacionalinės ir valstybės narės CVCA registravimas:
16.1. Prieš pradėdama vykdyti DV prašymus išduoti sertifikatus, kiekviena CVCA privalo patvirtinti viena kitos tapatybę. CVCA tapatybės patvirtinimą prižiūri Europos Komisija.
16.2. Lietuvos nacionalinis EAC PKI koordinatorius Europos komisijai teikia užpildytas registravimo formas, kurios pateiktos Bendrosios sertifikavimo politikos D priede. Nacionalinis EAC PKI koordinatorius užtikrinta, kad registracijos formos bus užpildytos reikalaujama informacija ir bus oficialiai pasirašytos ir saugiai perduotos Europos komisijai. Jeigu nacionalinis EAC PKI koordinatorius registracijos procedūras vykdo tiesiogiai su kitos valstybės narės nacionaliniu EAC PKI koordinatoriumi, apie tokią sėkmingai įvykusią registraciją privalomai informuoja Europos Komisiją.
16.3. Apie pasikeitusius registracijos duomenis Lietuvos nacionalinis EAC PKI koordinatorius informuoja Europos Komisiją.
16.4. Lietuvos nacionalinis EAC PKI koordinatorius, gavęs registracijos prašymą iš valstybės narės nacionalinio EAC PKI koordinatoriaus, registracijos prašymą saugiai perduoda nacionaliniam CVCA. SPOC privalo patikrinti gauto registracijos prašymo integralumą. Integralaus prašymo atveju SPOC, naudodamas technologines integracines sąsajas, teikia prašymą gauti naujausius besiregistruojančios valstybės narės CVCA sertifikatus.
16.5. Apie įvykdytą ar neįvykdytą valstybės narės CVCA registraciją Lietuvos nacionalinis EAC PKI koordinatorius per ne daugiau kaip keturias savaites nuo prašymo gavimo dienos informuoja registracijos prašymą teikusią valstybės narės CVCA. Neįvykdytos (atšauktos) registracijos atveju Lietuvos nacionalinis EAC PKI koordinatorius atsakyme nurodo neįvykdytos (atšauktos) registracijos priežastį.
17. DV registracija Lietuvos CVCA turi būti vykdoma saugiu kanalu, registruodamasi DV privalo pateikti:
18. Jei keičiasi esminiai ir svarbūs registracijos duomenys, DV turi pateikti išsamią informaciją apie pasikeitimus Lietuvos CVCA. Lietuvos CVCA vertina, ar reikalingas naujas tapatybės patvirtinimas.
VI. Reikalavimai sertifikatų gyvavimo ciklui
20. Pradinis prašymas išduoti sertifikatą. Prašymo formatas turi atitikti TR-EAC-1-3 C.2 punkte nurodytą sertifikato prašymo profilio šabloną. Prašyme išduoti sertifikatą turi būti 2 parašai:
20.1. vidinis parašas, kurio privatųjį raktą atitinkančiam viešajam raktui prašoma sudaryti sertifikatą;
21. Pakartotinis prašymas išduoti sertifikatą.
21.1. Sertifikatą atitinkanti raktų pora ir sertifikatas gali būti keičiami šiais atvejais:
21.2. Jei baigiasi DV sertifikato galiojimas (21.1.1 punktas), teikiamas prašymas pakartotinai išduoti sertifikatą (22 punktas).
21.3. Lietuvos CVCA ir DV turi užtikrinti, kad anksčiau registruotų DV ir IS prašymai išduoti sertifikatus būtų išsamūs, tikslūs ir tinkamai autorizuoti:
21.3.1. patikrinti prašymo išorinio parašo sertifikato (kurio raktų pora keičiama) egzistavimą ir galiojimą ir, kad informacija, naudojama patikrinti DV ir IS tapatybę, vis dar galioja;
21.3.2. išduoti naują sertifikatą, tik patikrinus sertifikato prašymo vidinio parašo galiojimą ir įsitikinus, kad tą parašą atitinkančio kriptografinio rakto saugumas yra pakankamas naujojo sertifikato galiojimo laikotarpiu ir nėra požymių, kad šis raktas yra pažeistas;
22. DV sertifikatas tvirtinamas Lietuvos CVCA parašu, suteikiančiu teisę tikrinti Lietuvos Respublikos pasus ir kelionės dokumentus tik tada, jei:
22.1. Prašymas išduoti sertifikatą yra pradinis prašymas išduoti sertifikatą bei prašymas patvirtintas tos valstybės narės CVCA, kurios registracija yra sėkmingai įvykdyta Lietuvos CVCA, parašu arba prašymas išduoti sertifikatą yra pakartotinis prašymas išduoti sertifikatą bei nėra pasibaigęs prieš tai išduoto sertifikato galiojimas;
23. CVCA sertifikatą išduoda ne ilgiau kaip per 72 valandas. Jei CVCA sistema neveikia ilgiau nei šis terminas, Lietuvos CVCA privalo apie tai pranešti DV ir valstybės narės CVCA ne vėliau kaip prieš 7 dienas iki veiklos sustabdymo, jei jis planuotas, o esant neplanuotam veiklos sustabdymui – kaip galima greičiau.
24. DV sertifikatų išdavimo procedūros turi būti vykdomos naudojant SPOC. Jeigu nėra galimybės naudoti SPOC, turi būti naudojamas alternatyvus suderintas komunikavimo būdas.
25. IS sertifikatas tvirtinimas DV parašu tik tada, jei:
25.4. Prašymo išduoti sertifikatą išorinis parašas yra sudarytas privačiuoju raktu, atitinkančiu vis dar galiojantį IS sertifikatą, jei sertifikatas buvo išduotas anksčiau;
27. Lietuvos CVCA ir DV turi imtis kovos su sertifikatų klastojimu priemonių bei užtikrinti, kad sertifikatų išdavimo procedūra būtų saugiai susijusi su registracijos ir kitomis sertifikato gyvavimo ciklo valdymo procedūromis.
28. Lietuvos CVCA savo pasirašytą sertifikatą turi priimti Lietuvos CVCA įgaliotas ir atsakingas už Lietuvos CVCA asmuo iškart po raktų generavimo ceremonijos. Laikoma, kad DV arba IS priėmė sertifikatą iš karto jį gavusi.
29. Raktų porų ir sertifikatų saugumo reikalavimai.
29.1. Lietuvos CVCA, DV ir IS privalo laikytis šių reikalavimų:
29.1.1. užtikrinti, kad Lietuvos CVCA ir DV būtų teikiama tiksli ir išsami informacija, laikantis Nacionalinės SP reikalavimų; ypatingas dėmesys turi būti skiriamas informacijai, gaunamai vykdant registracijos procedūras;
29.1.2. raktų poros turi būti naudojamos tik laikantis Nacionalinės SP reikalavimų ir pagal paskirtį, nurodytą sertifikato naudojimo paskirties lauke;
29.1.4. raktai turi būti generuojami pagal TR-EAC reikalavimus, kurie turi būti aprašyti sertifikavimo veiklos nuostatuose;
29.1.5. privatieji raktai turi būti naudojami tik pasirašyti ar informacijai šifruoti ir laikomi tik saugiame kriptografiniame įrenginyje, kaip aprašyta III skyriuje;
29.1.6. Lietuvos CVCA ir DV turi būti nedelsiant pranešta, jei iki sertifikato galiojimo termino pabaigos įvyksta kuris nors iš šių įvykių:
29.3. Gavus informaciją, kad pažeistas CVCA ar DV privatusis raktas, šiais raktais pasirašytais sertifikatais neturi būti pasitikima.
VII. Administracinės, Procedūrinės ir fizinės kontrolės ir saugumo užtikrinimo priemonės
31. Fizinės kontrolės priemonės:
31.1. Lietuvos CVCA ir DV turi užtikrinti, kad veikla, susijusi su sertifikatų sudarymu ir išdavimu, būtų vykdoma saugioje aplinkoje;
31.3. galimybė patekti į Lietuvos CVCA ir DV turi būti kontroliuojama ir suteikiama tik įgaliotiems asmenims;
31.4. informacijos saugojimo laikmenos turi būti apsaugotos nuo neteisėto panaudojimo, sugadinimo ar informacijos atskleidimo;
32. Procedūrinės kontrolės priemonės.
32.1. Procedūrinės kontrolės priemonės įgyvendinamos atskiriant ir paskirstant pareigas. Svarbiausios užduotys turi būti atliekamos esant dvigubai kontrolei.
32.2. Lietuvos CVCA, DV ir IS turi užtikrinti, kad sisteminę prieigą prie bet kurio EAC PKI įrenginio turėtų tik tam įgalioti asmenys.
32.3. Reikalavimai kitoms procedūrinėms kontrolės priemonėms:
32.3.1. DV vidaus tinklo sritis turi būti apsaugota nuo išorinių tinklų, prie kurių gali prieiti tretieji asmenys;
32.3.3. jautrūs duomenys turi būti apsaugoti (pvz., šifruojami), kai jie perduodami nesaugiais tinklais;
32.3.4. Lietuvos CVCA, DV, IS turi užtikrinti veiksmingą naudotojų, kuriems suteikta tiesioginė prieiga prie EAC PKI sistemų, administravimą, įskaitant naudotojų darbo laukų valdymą, auditą ir prieigos teisių keitimą arba panaikinimą laiku;
32.3.5. Lietuvos CVCA, DV ir IS turi užtikrinti, kad prieigą prie EAC PKI informacijos ir taikomųjų sistemų turėtų tik įgalioti darbuotojai, būtų įgyvendintas administracinių ir operacinių funkcijų atskyrimas. Turi būti griežtai kontroliuojamas sistemos taikomųjų programų naudojimas, prieiga turi būti suteikta tik prie tų resursų, kurie būtini reikiamai operacijai atlikti;
32.3.6. prieš naudojant EAC PKI taikomąsias programas, susijusias su sertifikatų tvarkymu arba prieiga prie MRTD, Lietuvos CVCA, DV ir IS darbuotojai turi būti sėkmingai identifikuoti ir autentifikuoti;
32.3.7. Lietuvos CVCA, DV ir IS darbuotojai turi būti atskaitingi už savo veiklą (pvz., išsaugoti įvykių registracijos žurnalus);
33. Darbuotojų kontrolės priemonės.
33.2. Reikalavimai CVCA, DV ir IS personalui:
33.2.1. Lietuvos CVCA, DV ir IS turi dirbti pakankamai darbuotojų, turinčių profesinių žinių, patirties ir kvalifikaciją, būtiną sertifikavimo įstaigos funkcijoms ir pareigoms vykdyti;
33.2.2. saugumo sumetimais turi būti atlikta darbuotojų vidaus patikra, atsižvelgiant į jų atliekamas funkcijas;
33.2.3. darbuotojams, pažeidžiantiems Lietuvos CVCA, DV arba IS veiklos reikalavimus, turi būti taikomos atitinkamos drausmines sankcijos;
33.2.4. įstaigos saugumo politikoje nurodyti įpareigojimai ir funkcijos turi būti įrašytos pareigybės aprašymuose. Aukšto patikimumo reikalaujančios funkcijos, nuo kurių priklauso sistemos operacijų saugumas, turi būti aiškiai apibrėžtos;
33.2.5. visi darbuotojai (laikinieji ir nuolatiniai) turi turėti pareigybės aprašymus, kuriuose aiškiai nurodomos jų pareigos ir įgaliojimų apribojimai;
33.2.6. visi Lietuvos CVCA, DV ir IS darbuotojai, vykdydami aukšto patikimumo reikalaujančias funkcijas, turi vengti bet kokio interesų konflikto, galinčio pakenkti sertifikavimo įstaigos veiklos nešališkumui;
33.2.7. už saugumą atsakinga vadovybė vykdyti didelio patikimumo reikalaujančias funkcijas turi paskirti vykdyti darbuotojams, turintiems prieigą prie Lietuvos CVCA, DV ir IS privačiųjų raktų;
34. Veiklos registracijos procedūros.
34.1. Lietuvos CVCA, DV ir IS privalo įgyvendinti tokias veiklos registracijos procedūras, kad galėtų atpažinti ir išanalizuoti bet kokį tinkamą ir netinkamą jos sistemų naudojimą.
34.2. Lietuvos CVCA, DV ir IS turi užtikrinti, kad būtų registruojama visa su sertifikatų gyvavimo ciklu susijusi informacija, siekiant pateikti tinkamos veiklos įrodymus atliekant patikros ar audito procedūras (IX skyrius).
34.3. Lietuvos CVCA ir DV turi užtikrinti, kad:
34.3.1. būtų išlaikytas su sertifikatų gyvavimo ciklu susijusių įrašų konfidencialumas ir vientisumas;
34.4. IS turi turėti registracijos žurnalą, atitinkantį šiuos reikalavimus:
34.4.1. IS raktų ir sertifikatų gyvavimo ciklo įvykiai turi būti registruojami taip, kad atsakinga DV galėtų nustatyti netinkamo naudojimo atvejus;
35. Įrašų archyvavimo procedūros.
35.1. Visos Lietuvos CVCA, DV ir IS turi įgyvendinti tinkamas įrašų archyvavimo procedūras. Tokios procedūros turi užtikrinti duomenų vientisumą, autentiškumą ir konfidencialumą.
35.2. Archyvai turi būti kuriami taip, kad jų nebūtų galima ištrinti ar sunaikinti per laikotarpį, kurį juos privaloma saugoti.
35.4. Jei pirminėje laikmenoje neįmanoma nustatytą laiką išsaugoti duomenų, archyvavimo sistemoje turi būti nustatytas periodiško archyvuojamų duomenų perkėlimo į naują laikmeną mechanizmas.
35.5. IS neturi registruoti arba persiųsti iš MRTD gautų pirštų atspaudų duomenų. Šie biometriniai duomenys turi būti ištrinami iš karto užbaigus iš turėtojo gautų pirštų atspaudų ir iš MRTD nuskaitytų pirštų atspaudų palyginimo procesą.
36. Pažeidimai ir avarinis duomenų atkūrimas.
36.1. Lietuvos CVCA turi imtis pagrįstų priemonių užtikrinti, kad būtų išlaikytas veiklos tęstinumas, įskaitant priemones, mažinančias:
36.2. Įvykus avariniam įvykiui, įskaitant privačiojo rakto pažeidimą, Lietuvos CVCA, DV ir IS turi užtikrinti, kad veikla būtų kuo greičiau atkurta:
36.2.2. turi būti daromos Lietuvos CVCA ir DV sistemų duomenų, būtinų atkurti Lietuvos CVCA ir DV veiklą, atsarginės kopijos, šie duomenys turi būti saugomi taip, kad įvykęs avarinis įvykis jų nepažeistų;
36.3. DV, kuriai buvo išduotas Lietuvos CVCA sertifikatas, turi nedelsdama informuoti Lietuvos CVCA apie DV arba IS privačiojo rakto pažeidimą ar netinkamą naudojimą.
36.4. Jei IS prarandama ar pavagiama, atitinkama DV, kuriai buvo išduotas Lietuvos CVCA sertifikatas, turi kuo skubiau, tačiau ne vėliau kaip kartu su kitu prašymu, išduoti sertifikatą, informuoti apie incidentą Lietuvos CVCA.
37. Lietuvos CVCA arba DV veiklos nutraukimas.
37.1. Jei Lietuvos CVCA nutraukia savo veiklą, ji privalo:
37.1.2. pranešti visoms CVCA, kuriose ji registruota, apie CVCA, kuri perims sertifikavimo veiklos įsipareigojimus (jei tokia yra);
37.1.4. pranešti apie veiklos nutraukimą visoms DV, kurioms ji išduoda sertifikatus, apie CVCA (jei tokia yra), kuri perims įsipareigojimus ir išdavinės DV sertifikatus;
VIII. Techninės saugumo kontrolės priemonės
39. Kriptografinių raktų porų generavimas.
39.1. Lietuvos CVCA ir DV turi užtikrinti, kad kriptografiniai raktai būtų generuojami esant kontroliuojamai aplinkai ir pagal šiuos Nacionalinės SP reikalavimus, naudojant patikimą kriptografinį įrenginį, atitinkantį:
39.2. Prieš pasibaigiant Lietuvos CVCA arba DV privataus rakto galiojimui, Lietuvos CVCA arba DV turi generuoti naują raktų porą. Naujas raktas turi būti generuojamas ir išplatinamas pagal šios Nacionalinės SP reikalavimus.
40. Privačiojo rakto apsauga ir kriptografinio įrenginio inžinerinės kontrolės priemonės.
40.1. Privatieji raktai turi būti saugomi ir naudojami tik naudojant patikimą kriptografinį įrenginį (39.1 atitinkantį 39.1.1 – 39.1.3 punktus).
40.2. Lietuvos CVCA ir DV turi įdiegti techninius ir procedūrinius mechanizmus, kurie užtikrintų bent dvigubą kontrolę atliekant aukšto patikimumo funkcijas, susijusias su Lietuvos CVCA raktais. DV turi įdiegti autentifikavimo procedūrą siekiant pasinaudoti DV kriptografiniu įrenginiu ir privačiuoju raktu.
40.4. Kai privatieji raktai yra ne kriptografiniame įrenginyje, jie turi būti apsaugoti taip, kad būtų užtikrintas ne žemesnis nei kriptografinio įrenginio užtikrinamas saugumo lygis.
40.5. Daryti privačiųjų raktų atsargines kopijas, jas saugoti ir privačiuosius raktus atkurti turi tik aukšto pasitikėjimo reikalaujančias funkcijas atliekantys darbuotojai, esant bent dvigubai kontrolei ir procedūras vykdant fiziškai saugioje aplinkoje.
40.6. Raktus saugant kriptografiniame įrenginyje, turi būti realizuota prieigos kontrolė, užtikrinanti, kad raktas nebūtų prieinamas už kriptografinio įrenginio ribų.
40.7. Privatieji raktai negali būti naudojami pasibaigus jų galiojimo laikui, privatieji raktai ir jų kopijos turi būti sunaikinti.
__________________
1 CEN: TC 224: prEN 14169-1 Protection profiles for Secure signature creation device - Part 2: Device with key generation.
2 CEN: EN 419 211-2: Protection Profile for Secure signature creation device — Part 2: Device with key generation
3 BSI-PP-0045-2009: kriptografinių modulių saugumo lygmuo „Padidintas“, 1.01 versija / CEN: EN 419 221-5: Protection Profiles for TSP Cryptographic Modules – Part 5: Cryptographic Module for Trust Services
41. Kiti raktų poros ir sertifikatų valdymo aspektai:
42. Įrangos gyvavimo ciklo saugumo kontrolės priemonės.
42.2. Saugumo reikalavimų analizė turi būti atliekama bet kurio sistemos kūrimo projekto, kurį įgyvendina Lietuvos CVCA, DV arba IS, kūrimo ir reikalavimų nustatymo etape.
IX. Atitikties auditas ir kitoks įvertinimas
44. Lietuvos CVCA, prieš išduodama sertifikatus DV, turi įsitikinti, kad valstybės narės Nacionalinė SP, kurią atitinka DV, atitinka bendrąją sertifikavimo politiką. Kilus ginčui, prižiūrint Europos Komisijai, rengiamas arbitražas.
45. Siekiant įrodyti, kad DV veikla atitinka Nacionalinę SP ir DV sertifikavimo veiklos nuostatus, DV privalo atlikti nepriklausomą auditą. Atliekant auditą, kuris turi būti grindžiamas ISO/IEC 27001 ir ISO/IEC 27002, būtina patikrinti, ar yra nustatytos procedūrinio saugumo kontrolės priemonės, ir patikrinti, ar jų praktiškai laikomasi. Toks auditas turi būti atliekamas bent kas treji metai, vėliau auditą atlikusi tarnyba bent kartą per metus turi atlikti patikrą siekiant užtikrinti Nacionalinės SP ir DV sertifikavimo veiklos nuostatų laikymąsi.
46. Auditą atliekanti tarnyba turi būti šiuo tikslu akredituota valstybės narės akreditavimo įstaigos arba autorizuota atsakingos įstaigos.
47. Jei audito metu nustatoma, kad DV nesilaiko Nacionalinės SP, DV privalo apie tai pranešti Lietuvos nacionaliniam EAC PKI koordinatoriui, kuris apie tai privalo pranešti atitinkamoms valstybėms narėms.
48. Jei nepatvirtinama, kad DV laikosi Nacionalinės SP arba jei jos atitikties sertifikatas tampa negaliojančiu pasibaigus jo galiojimo terminui, kitos valstybės narės privalo nebeišduoti sertifikatų tokiai DV.
X. Baigiamosios nuostatos
51. IS neturi registruoti ar perduoti iš MRTD gautų pirštų atspaudų biometrinių duomenų. Šie duomenys gali būti naudojami tik iš turėtojo paimtų pirštų atspaudų ir iš MRTD nuskaitytų pirštų atspaudų biometrinių duomenų palyginimui.
52. Visos sertifikatų ir raktų valdymo funkcijos turi būti atliekamos naudojant patikimus ryšio kanalus. Lietuvos CVCA ir DV turi palaikyti ryšį bent elektroniniu paštu. Esant Lietuvos CVCA ryšio sutrikimams ji privalo pranešti DV apie alternatyvų ryšio kanalą, kuriuo būtų galima pateikti prašymą išduoti sertifikatą. Lietuvos CVCA tai turi atlikti nedelsdama siekiant sumažinti sertifikato galiojimo pasibaigimo riziką.
53. Valstybė narė turi teisę keisti savo Nacionalinę SP, keitimai skirstomi į 2 rūšis:
53.1. keitimai, kurie nekeičia Nacionalinės SP saugumo lygio ir prasmės, apimantys rašybos ar korektūros klaidas. Šie pakeitimai atliekami be išankstinio perspėjimo, Nacionalinės SP unikalus identifikatorius nėra keičiamas;
53.2. kitų keitimų atveju, Lietuvos CVCA bent prieš 3 mėnesius apie keitimus turi informuoti Europos Komisiją ir DV, kurios naudoja Lietuvos CVCA išduotus sertifikatus. Jei pakeitimai keičia Lietuvos CVCA užtikrinamą veiklos patikimumo lygį, keičiama Nacionalinės SP unikalaus identifikatoriaus versijos lauko reikšmė.
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinės sertifikavimo politikos, patvirtintos Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2023 m. gruodžio mėn. d. įsakymu Nr. ,
1 priedas
Sertifikato profilio šablonas
Nr. |
Sertifikato laukas |
1 |
Sertifikato šablono identifikatorius |
2 |
Sertifikatą sudariusios įstaigos nuoroda |
3 |
Sertifikato savininko nuoroda |
4 |
Viešasis raktas |
5 |
Sertifikato savininko autorizacijos šablonas |
6 |
Sertifikato galiojimo pradžios data |
7 |
Sertifikato galiojimo pabaigos data |
8 |
Parašas |
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinės sertifikavimo politikos, patvirtintos Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2023 m. gruodžio d. įsakymu Nr. ,
2 priedas
Nacionalinės SP UNIKALAUS IDENTIFIKATORIAUS REIKŠMĖS ir sertifikavimo politikos versija
Nacionalinės SP unikalus identifikatorius
Pavadinimas |
Reikšmė |
ISO |
1 |
ISO pripažinta organizacija |
3 |
JAV Gynybos departamentas |
6 |
Internetas |
1 |
Privati įmonė |
4 |
IANA registruota privati įmonė |
1 |
Asmens dokumentų išrašymo centras |
33621 |
Priežiūros skyrius |
1 |
Dokumento tipas (Nacionalinė SP) |
1 |
Dokumento versijos pirmasis skaitmuo
|
2 |
Nacionalinės SP versija |
2.1 |
Asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi elektroninės laikmenos išplėstinės prieigos kontrolės nacionalinės sertifikavimo politikos, patvirtintos Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus
2023 m. gruodžio mėn. d. įsakymu Nr. ,
3 priedas
kontaktiniai duomenYs
CVCA: |
|
Organizacija |
Asmens dokumentų išrašymo centras prie Lietuvos Respublikos vidaus reikalų ministerijos |
Adresas |
Žirmūnų g. 1D, 092239 Vilnius |
Tel. |
(+370 5) 271 80 00 |
URL: |
http://www.adic.lrv.lt/ |
El. paštas |
adic@aidc.gov.lt |