ministarstvo gospodarstva

1023

Na temelju članka. 7., stavka 2., članka 11., stavka 4., članka 32, stavka 2. Zakona o elektroničkom potpisu (»Narodne novine«, br. 10/02) ministar gospodarstva, donosi

PRAVILNIK

O MJERAMA I POSTUPCIMA UPORABE I ZAŠTITE ELEKTRONIČKOG POTPISA I NAPREDNOG ELEKTRONIČKOG POTPISA, SREDSTAVA ZA IZRADU ELEKTRONIČKOG POTPISA, NAPREDNOG ELEKTRONIČKOG POTPISA I SUSTAVA CERTIFICIRANJA I OBVEZNOG OSIGURANJA DAVATELJA USLUGA IZDAVANJA KVALIFICIRANIH CERTIFIKATA

I. OPĆE ODREDBE

Članak 1.

Ovim Pravilnikom utvrđuju se mjere, postupci i oblici zaštite elektroničkog potpisa i naprednog elektroničkog potpisa, sredstava za izradu elektroničkog potpisa, zaštite sustava certificiranja i podataka o potpisnicima, postupci provjere identiteta potpisnika prilikom davanja elektroničkih certifikata kao i najniži iznos svote za koju se osigurava rizik od odgovornosti za štete koji se kod davatelja usluga certificiranja koji izdaju kvalificirane certifikate pojavljuje kao obvezno osiguranje.

II. ELEKTRONIČKI POTPIS

Članak 2.

Potpisnik izrađuje i koristi elektronički potpis i napredni elektronički potpis u skladu s općim uvjetima sadržanim u članku 12. i članku 17. Zakona o elektroničkom potpisu i ovom Pravilniku.

Potpisnik u slučajevima korištenja usluga certificiranja izra­đu­je i koristi elektronički potpis i u skladu s uvjetima koje je prihvatio od davatelja usluga certificiranja.

Članak 3.

Podaci za izradu elektroničkog potpisa čine sastavni dio elektroničkog potpisa.

Potpisnik je dužan zaštiti podatke za izradu elektroničkog potpisa od neovlaštenog pristupa, otuđivanja i nepravilne uporabe. Zaštita se mora dodatno provoditi primjenom zaporke, bio­met­ričnim postupcima ili drugim zaštitnim tehnikama.

Članak 4.

Podaci za izradu elektroničkog potpisa moraju se u potpunosti razlikovati od podataka za ovjeru elektroničkog potpisa.

Postupak izrade elektroničkog potpisa ne smije izmijeniti podatke koji se potpisuju niti spriječiti prikaz tih podataka potpisniku prije čina potpisivanja.

Potpisnik u elektronički potpis ugrađuje osnovne podatke o postupku, algoritmu i sadržaju potpisa kako bi primatelj (korisnik elektroničkog potpisa) mogao ovjeriti potpis temeljem iste ili sukladne tehnologije i postupaka.

Napredni elektronički potpis mora se izrađivati primjenom standardiziranih algoritama iz grupe RSA (rsagen1) odnosno DSA (dsagen1).

Kod izrade naprednog elektroničkog potpisa obvezno se ugrađuje i funkcija kriptiranja sadržaja koji se potpisuje (hash funkcija). Algoritmi koji se primjenjuju u provedbi hash funkcije moraju biti iz skupine SHA-1 (Secure Hash Algorithm) odnosno RIPEMD 160.

Članak 5.

Korisnik elektroničkog potpisa provodi ovjeru elektroničkog potpisa u skladu s uputama potpisnika.

Ako je uz potpis ugrađen i certifikat, ovjeru provodi u skladu s uputama davatelja usluga certificiranja koji je izdao certifikat, odnosno drugog davatelja usluga certificiranja koji punopravno odgovara i priznaje certifikat.

Korisnik prilikom ovjere naprednog elektroničkog potpisa mora provjeriti uz podatke o potpisniku i:

– podatke o davatelju usluga certificiranja koji izdaje kvalificirane certifikate

– rok valjanosti kvalificiranog certifikata,

– valjanost upisa u registru izdatih kvalificiranih certifikata

– nepostojanje u registru opozvanih certifikata.

III. SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA

Članak 6.

Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od neovlaštenog pristupa, krađe i oštećivanja.

U slučajevima kada sredstvo za izradu elektroničkog potpisa sadrži i certifikat te elektronički potpis davatelja usluga certificiranja koji je izdao certifikat, potrebno je sredstvo za izradu elektro­ničkog potpisa uskladiti sa zahtjevima za zaštitu i sigurnost terminalne opreme za izradu naprednog elektroničkog potpisa.

Usklađivanje iz stavka 2. ovog članka mora se provoditi primjenom zajedničkih međunarodnih obrazaca zaštite sredstava za izradu naprednog elektroničkog potpisa od kojih se primjenjuju sljedeći:

– ISO/IEC 15408-1:1999 – opći sustav mjera zaštite uređaja i opreme koje su zajednički prihvatili međunarodno (ISO) i europsko (IEC) tijelo u području standardizacije kojim je definiran skup uvjeta za funkcionalnost i sigurnost sredstava za izradu elektroničkog potpisa u dokumentu - Common Criteria 2.1 (for Information Technology Security Evaluation) u dionici EAL 4+ (5) – (Evaluation Assurance Level) kojom se posebice utvrđuju sigurnosni zahtjevi na najvišoj razini kojima mora odgovarati djelovanje sredstava za izradu naprednog elektroničkog potpisa (SOF-high),

– CEN/ISSS SSCD-PP (Secure Signature Creation Device-Protection Profile) opći obrazac zaštite sredstava za izradu nap­red­nog elektroničkog potpisa koji je Europska unija prihvatila sukladno preporukama sadržanim u Smjernicama o elektronič­kom potpisu (Directive 1999/93) u dodatku II kojim se pobliže opisuju zahtjevi koje mora ispunjavati sredstvo za izradu naprednog elektroničkog potpisa kroz dokument CWA (CEN Workshop Agreement) 14169,

– opći obrazac za sigurnost kriptografskih modula FIPS 140-1, razina 1., poželjno 2. (američko tijelo za standardizaciju National Institute of Standards and Technology – Federal Information Processing Standard).

Članak 7.

Kod izrade naprednog elektroničkog potpisa kada se primjenjuje sustav dva (par) kriptografska ključa, dužina ključa za izradu naprednog elektroničkog potpisa mora biti dužine najmanje 1024 bita, uz primjenu kriptografskih algoritama iz klase RSA/DSA i usklađeno s međunarodnim standardom PKCS#1 (Verzija 2.1 na više).

Kriptografski moduli moraju se temeljiti na algoritmima i parametrima koji tvore radno okruženje izrade naprednog elekt­roničkog potpisa sukladno trenutno važećim obrascima ugrađe­nim u dokument Algorithms and Paramaters for Secure Electronic Signatures (verzija 2.1, 2001-10) kojega za potrebe Europske unije izrađuje EESSI/SG (European Electronic Signatures Standardisation Inititiative/Steering Group).

Kod ugrađivanja kriptografskih algoritama u sredstvo za izradu naprednog elektroničkog potpisa potrebno je osigurati modularnost kojom se omogućava naknadna ugradnja novih algoritama.

Članak 8.

Programska oprema kojom se provodi ovjera elektroničkog potpisa mora u potpunosti onemogućiti dobivanje podataka za izradu elektroničkog potpisa pomoću podataka za ovjeru istog.

Programska oprema koja generira podatke za izradu elektro­nič­kog potpisa mora zaštititi te podatke od neželjenog ili neovlaštenog pristupa primjenom postojeće tehnologije.

Članak 9.

Programska oprema za izradu naprednog elektroničkog potpisa mora imati ugrađene osnovne oblike zaštite sukladno dokumentima o osnovnim pravilima zaštite i sigurnosti sredstva za izradu naprednog elektroničkog potpisa – SSCD/PP odnosno EAL4+ preporukama

Članak 10.

Potpisnik koji izgubi ili mu je otuđeno sredstvo za izradu elektroničkog potpisa te u slučajevima kada mu je onemogućen pristup podacima za izradu elektroničkog potpisa, dužan je o tome odmah obavijestiti davatelja usluga certificiranja odnosno njegovu prijavnu službu.

Davatelj usluga certificiranja koji je zaprimio obavijest prema stavku 1. ovog članka provodi uvid u postupak opoziva izdatog certifikata i dalje postupa po utvrđenim pravilima opozivanja izdatih certifikata a u skladu s internim Pravilnikom o postupcima certificiranja temeljem kojega pruža uslugu certificiranja.

IV. SUSTAV CERTIFICIRANJA

OPĆI UVJETI

Poslovna politika, organizacija radnih procesa i pružanje usluga certificiranja

Članak 11.

Davatelj usluga certificiranja mora prije početka obavljanja usluga utvrditi opća pravila davanja usluga certificiranja koja korisnicima usluga pružaju dovoljno informacija na temelju kojih mogu odlučiti o prihvaćanju usluga i u kojem opsegu.

Opća pravila iz stavka 1. ovog članka davatelj usluga certificiranja ugrađuje u dokument Opća pravila pružanja usluga certificiranja.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora izraditi i posebna unutarnja pravila o postupcima izdavanja certifikata i zaštite sustava certificiranja u kojem su sadržani i detaljno opisani postupci i mjere koje primjenjuje prilikom izdavanja i rukovanja certifikatima.

Članak 12

Opća pravila davanja usluga certificiranja kao i Pravilnik o postupcima certificiranja trebaju biti strukturirani po RFC 2527, odnosno međunarodno prihvaćenom obrascu ETSI TS 101 456 – Policy Requirements for Certification Authorities Issuing Qualified Certificates.

Obvezni sadržaj dokumentacije koju davatelj usluga certificiranja mora izraditi prije početka obavljanja usluga certificiranja obuhvaća:

Naziv dionice           Sadržaj dionice

1. Uvodne oznake i                 Opis usluga

    temeljni podaci                   Identifikacijski podaci i OID oznaka

                                                Korisnici i područje primjene usluga

                                                  Adresni podaci

2. Opće odredbe                      Obveze ovjerovitelja, potpisnika i

                                                korisnika

                                                Odgovornost

                                                Financijska odgovornost

                                                Usklađenost sa zakonom

                                                Naknada za usluge

                                                Objava i repozitorij certifikata

                                                Provjera usklađenosti

                                                Povjerljivost i tajnost (poslovanja

                                                podataka)

                                                Zaštita intelektualnog vlasništva

                                                (autorstvo)

3. Identifikacija i                     Registracija potpisnika

    potvrđivanje identiteta       Plansko obnavljanje cerfikata

    potpisnika                           Obnavljanje nakon opoziva

                                                Zahtjevi za opoziv certifikata

4. Osnovni zahtjevi u radu      Zaprimanje zahtjeva za izdavanje

    sa  certifikatima                  certifikata        

                                                Izdavanje certifikata

                                                Dostava/prihvat certifikata

                                                Opoziv certifikata

                                                Postupci provjere sigurnosnih mjera

                                                Arhiviranje certifikata i podataka

                                                Zamjena certifikata

                                                Postupci otklanjanja posljedica šteta,

                                                nezgoda

                                                Prestanak rada/davanja usluga

5. Kontrola sigurnosti             Kontrola prostora, opreme i

    opreme,  postupaka            sredstava

   i osoblja                               Kontrola postupaka i provedbe

                                                radnih zadaća

                                                Kontrola osoblja – broj,

                                                stručnost, ovlaštenja

6. Kontrola tehničke               Izrada vlastitog certifikata

    sigurnosti rada sustava       Zaštita podataka za izradu vlastitog

    certificiranja                       el. potpisa

                                                Upravljanje podacima za izradu

                                                el. potpisa

                                                Podaci za pristup potpisu

                                                ovjerovitelja

                                                Kontrola sigurnosti računalnog

                                                sustava

                                                Kontrola sigurnosti radnog vijeka

                                                sustava

                                                Kontrola sigurnosti mrežnog sustava

                                                Kontrola sigurnosti kriptografskih

                                                modula

7. Sadržaj certifikata i            Sadržaj (obrazac) certifikata

    lista opozvanih                    Sadržaj liste opozvanih certifikata

    certifikata            

8. Postupci s                            Postupci kod promjene sadržaja

    dokumentacijom                 dokumentacije

                                                Objavljivanje dokumentacije

                                                Postupci prihvaćanja/odobravanja

                                                dokumentacije

Članak 13.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora izraditi i dopunski sklop pravila (unutarnja pravila) kojima se osigurava ispravno provođenje zaštitnih i sigurnosnih mjera u sustavu certificiranja.

Unutarnja pravila djelovanja sustava certificiranja uređuju dopunski:

– postupke pristupa i kretanja kroz poslovni prostor davatelja usluga certificiranja

– postupke i tehnike dopunske zaštite informacijskog sustava, uporabe telekomunikacijske opreme/sustava u radnjama s podacima u sustavu certificiranja

– postupci i radnje u izvanrednim situacijama posebice kod požara i drugih nepogoda, nepredvidivih upada u fizički prostor davatelja usluga certificiranja odnosno u informacijski sustav

– pravila vođenja evidencija o prisustvu zaposlenika u sustavu certificiranja, pristupa sustavu certificiranja

Članak 14.

U slučajevima prigovora u svezi odstupanja sadržaja usluga u odnosu na utvrđena pravila sadržana u dokumentaciji davatelja usluga certificiranja, odgovorna osoba davatelja usluga dužna je otkloniti odstupanja.

Ako odgovorna osoba u roku od sedam radnih dana nije u mogućnosti otkloniti odstupanja, postupak se može povjeriti trećoj osobi u svrhu arbitraže i koju prihvaćaju strane u sporu.

Ako arbitraža nije moguća, strane poduzimaju radnje pred sudom.

Infrastruktura

Članak 15.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora primjenjivati smjernice Europske unije te Europske norme (EN) koje se odnose na postupke osiguravanja i zaštite opreme i prostora.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora obavljanje usluga certificiranja prilagoditi novim normama, odlukama i preporukama iz stavka 1. ovog članka, koje se donose nakon dobivene dozvole.

Ispunjenje određenog uvjeta iz stavka 1. ovog članka može uslijediti i poslije dobivanja dozvole, a prije početka obavljanja djelatnosti, poglavito, ako se radi o većim ulaganjima u specijalizirani prostor ili opremu ili se radi o upošljavanju djelatnika određene specijalnosti. U tom slučaju potrebito je priložiti uz zahtjev uvjerljiv dokaz iz kojeg je vidljivo da je moguće ostvariti određeni uvjet u predloženom roku.

Članak 16.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora uslugu certificiranja za koju je dobio dozvolu obav­ljati svojim sredstvima za rad i stalno uposlenim djelatnicima.

Postupke u svezi s najsloženijom opremom (software, hardware) koji se mogu provesti jedino od strane proizvođača te opreme, davatelj usluga certificiranja koji izdaje kvalificirane certifikate može obaviti uz odgovarajuće sudjelovanje djelatnika proizvođača te opreme i uz pomoć njihove opreme.

Članak 17.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora za obavljanje usluga certificiranja imati poslovni prostor u svom vlasništvu ili u najmu na rok duži od pet godina od dana podnošenja zahtjeva. Poslovni prostor mora biti veličine prikladne za smještaj opreme i rad osoblja koje obavlja usluge certificiranja.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora poslove generiranja kriptografskih ključeva i izrade certifikata provoditi u specijaliziranom prostoru izdvojenom za tu namjenu.

Pristup prostoru u kojem se provode radnje iz stavka 2. ovog članka, mogu imati samo ovlaštene osobe i o svakom pristupu prostoru mora se voditi evidencija.

Strojna i programska oprema

Članak 18.

Davatelj usluga certificiranja mora za strojnu i programsku opremu kojom obavlja usluge certificiranja primjenjivati hrvatske norme, preuzete norme Europskog instituta za telekomunikacijske norme (ETSI), te odluke i preporuke RFC skupine, ISO protokole i norme.

Članak 19.

Davatelj usluga certificiranja mora osigurati fizičku zaštitu strojne opreme te provoditi stalni nadzor pristupa računalnim resursima i fizičkom prostoru gdje su smješteni resursi sustava certificiranja.

Pristup se može provoditi isključivo uz prisustvo najmanje dvije ovlaštene osobe koje imaju pristup informacijskom sustavu davatelja usluga certificiranja.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora osigurati da samo osobe koje rade u sustavu certificiranja imaju pristup prostoru gdje se nalaze resursi sustava certificiranja.

Članak 20.

Informacijski sustav davatelja usluga certificiranja koji izdaje kvalificirane certifikate mora biti izgrađen od računalne i programske osnovice namijenjene isključivo za poslove certificiranja.

Članak 21.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora opremu za ovjeru i djelovanje sustava certificiranja uskladiti s tehničkim standardom FIPS 140-1 (gornje razine) odnosno s utvrđenim zajedničkim obrascem zaštite programsko-tehničke i informatičke opreme i sustava »Common Criteria 2.1« temeljenom na ISO 15408-1:1999 normi.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora postupke i oblike zaštite sustava za cijelo vrijeme pružanja usluga certificiranja usklađivati s trenutno važećim preporukama i normama u području zaštite i sigurnosti djelovanja informatičkih sredstava i sustava.

Osoblje

Članak 22.

Osoblje zaposleno u sustavu certificiranja provodi poslove i operativne zadaće u sustavu certificiranja kroz odvojene organizacijske točke (službe, odjeli i slično) za upravljanje informacijskim sustavom, sustavom upravljanja certifikatima, poslovima zaštite i kontrole te poslovima pravne zaštite i nadzora djelovanja sustava certificiranja.

Članak 23.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora imati stalno zaposleno

– najmanje dva stručnjaka s visokom stručnom spremom tehničkog, prirodoslovnomatematičkog, informatičkog ili tehnič­kog usmjerenja, specijaliziranih za rad s kriptografskim tehnologijama

– najmanje tri visoko obrazovana stručnjaka tehničkog usmjerenja za zaštitu računalnih sustava i informacijskih baza te s iskustvom u radu sa sustavima izdavanja, opoziva i održavanja certifikata.

– najmanje jednog visokoobrazovanog pravnika s poznavanjem sustava zaštite osobnih podataka, uporabe i pravne sukladnosti elektroničkog potpisa.

Članak 24.

Zaposleno osoblje davatelja usluga certificiranja mora imati stručna znanja u radu s tehnologijom certificiranja, kao i za postupke zaštite računalne opreme i programa u primijenjenom sustavu certificiranja te osigurano permanentno usavršavanje znanja i vještina potrebnih za rad u sustavu certificiranja.

Članak 25.

Zaposleni kod jednog davatelja usluga certificiranja ne smiju biti u radnom odnosno poslovnom odnosu s drugim davateljima usluga certificiranja.

Financijski resursi

Članak 26.

Davatelj usluga certificiranja mora raspolagati financijskim resursima koji osiguravaju nesmetano pružanje usluga certificiranja neovisno o broju korisnika usluga i za cijelo vrijeme obav­ljanja usluga certificiranja.

Davatelj usluga certificiranja mora imati vlastiti poslovni račun i garanciju poslovne banke na tekuće poslovanje vidljivo kroz javno dostupno poslovno godišnje izvješće.

Certifikati i podaci (izdavanje i opoziv certifikata, provjera identiteta potpisnika)

Članak 27.

Davatelj usluga certificiranja mora osigurati jedinstvenost podataka za ovjeru elektroničkog potpisa na način koji omoguću­je nedvojbeno utvrđivanje (identifikacija) potpisnika.

Članak 28.

Osoba koja traži uslugu certificiranja (potpisnik) osobno u prijavnoj službi davatelja usluga certificiranja podnosi zahtjev za izdavanje certifikata.

Potpisnik mora osigurati točnost i ispravnost podataka u zahtjevu i za to odgovara pravno i materijalno.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je u cijelosti razmotriti podatke koje je potpisnik predao u zahtjevu za izdavanje certifikata te provesti u prisustvu potpisnika fizičku identifikaciju potpisnika temeljem osobne iskaznice i drugih relevantnih dokumenata s fotografijom potpisnika (putovnica, europska identifikacijska kartica) kojima se potvrđuje istinitost podataka sadržanih u zahtjevu za izdavanje certifikata.

Identifikacija se potvrđuje usklađivanjem priložene fotografije potpisnika i dopunski se usklađuje s ispravnim i potpunim izgovaranjem i pisanjem imena i prezimena potpisnika.           

Članak 29.

Podaci ispravnih i odobrenih zahtjeva za izdavanje certifikata arhiviraju se u informacijskom sustavu davatelja usluga certificiranja.

Sadržaj certifikata upisuje se u Registar izdatih certifikata.

Članak 30.

Potpisnik kojem je odobreno izdavanje certifikata mora osobno kod davatelja usluga certificiranja ili na drugom za te poslove određenom mjestu preuzeti izdati certifikat.

Izdavanje certifikata mora obavljati isključivo osoba koja je ovlaštena za te poslove i stalno zaposlena kod davatelja usluga certificiranja koji izdaje kvalificirane certifikate.

Članak 31.

Sadržaj kvalificiranog certifikata mora biti usklađen s tehničkom specifikacijom ETSI 101 862 (v1.2.1 – 2001-06 ili novije) – Qualified Certificate Profile, i koji se ujedno temelji na Qualified Certificate Profile obrascu RFC 3039.

Certifikat obvezno sadrži sljedeće elemente:

– serijski broj (jedinstven, neponovljiv broj)

– identifikaciju davatelja usluga certificiranja

– kriptografski algoritam primijenjen kod izrade elektro­ničkog potpisa

– elektronički potpis davatelja usluga certificiranja

– ime davatelja usluga certificiranja koji je izdao certifikat

– ime, adresa i ostali identifikacijski elementi potpisnika neophodni za jednoznačnu identifikaciju

– podaci neophodni za postupak ovjere elektroničkog potpisa potpisnika na kojeg se odnosi certifikat

– podaci za ovjeru elektroničkog potpisa

– datum izdavanja i rok valjanosti certifikata

– jednoznačni identifikacijski kod (Object Identifier prema ASN.1) Općih pravila davatelja usluga certificiranja (ako je prethodno pridobio OID).

Članak 32.

Izdati certifikat se opoziva

– istekom roka na koji je izdat, odnosno na dan prestanka valjanosti

– na zahtjev potpisnika

– na službeni zahtjev od strane suda, odgovarajućeg tijela državne uprave odnosno pravne osobe kod koje je potpisnik zaposlen u trenutku podnošenja zahtjeva za opoziv certifikata

– na zahtjev davatelja usluga certificiranja u slučajevima neispunjavanja tehničkih uvjeta odnosno ako se pri uporabi elektro­nič­kog potpisa ne postupa na propisan način.

Opozvani certifikati upisuju se u listu opozvanih certifikata koja mora biti dostupna svim subjektima koji imaju pristup uslugama davatelja usluga certificiranja.

Lista opozvanih certifikata mora se trenutno obnoviti kod svake nastale izmjene odnosno ako nije bilo promjena, u roku ne dužem od trideset dana.

Članak 33.

Lista opozvanih certifikata mora sadržavati najmanje slje­deće elemente:

– redni broj radne verzije liste

– kriptografski algoritam korišten pri izradi elektroničkog potpisa davatelja usluga certificiranja

– elektronički potpis davatelja usluga certificiranja

– ime davatelja usluga certificiranja

– datum izrade liste.

Svaki opozvani certifikat u Listi opozvanih certifikata sadrži:

– serijski broj dodijeljen certifikatu kod izdavanja

– datum opoziva (od kada certifikat više nije važeći).

Članak 34.

Davatelj usluga certificiranja utvrđuje vremensku valjanost izdatog kvalificiranog certifikata odnosno rok do kada se priznaje važenje izdatog certifikata.

Rok iz stavka 1. ovog članka za kvalificirane certifikate mora se utvrditi u trajanju do pet godina.

Članak 35.

Podaci o potpisnicima, izdati certifikati, liste opozvanih certifikata kao i tehnički podaci nastali bilježenjem rada sustava certificiranja moraju se arhivirati na medije koji osiguravaju trajnost zapisa od najmanje 20 godina.

U svrhu čuvanja zapisa moraju se izraditi i sigurnosne kopije koje moraju biti smještene na drugoj lokaciji, izdvojeno od sustava certificiranja u upotrebi.

Članak 36.

Arhivirani podaci moraju se čuvati i zaštititi od neovlaštenog pristupa i mogućih gubitaka u zapisu.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora u svrhu očuvanja čitkosti i ispravnosti zapisa na medijima, provoditi postupke provjere i po potrebi, osvježivanje zapisa na medijima najmanje dva puta godišnje.

Članak 37.

Potpisnik može zatražiti kod davatelja usluga certificiranja povremeno provjeravanje podataka za izradu te podataka za ovjeru elektroničkog potpisa.

Potpisnik zahtjev za provjeru prema stavku 1. ovog članka podnosi osobno kod davatelja usluga certificiranja, a može i u elektroničkom obliku ako je takav zahtjev ispravno elektronički potpisan od strane podnositelja zahtjeva.

Članak 38.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora podatke za izradu svog elektroničkog potpisa odvo­jeno rasporediti na najmanje dvije osobe koje zajedno izrađuju elektronički potpis.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora podatke za izradu svog elektroničkog potpisa fizički i elektronički zaštititi u skladu s utvrđenim pravilima i standardima u svrhu sprječavanja fizičkog ili elektroničkog pristupa od strane neovlaštenih osoba.

Zaštita osobnih podataka

Članak 39.

Davatelj usluga certificiranja mora podatke o potpisnicima prikupljati, pohranjivati, koristiti i brisati u skladu s odgova­raju­ćim propisima o zaštiti osobnih podataka i poštivanja i zaštite privatnosti korisnika sustava certificiranja.

Podaci o potpisniku mogu se pridobivati isključivo osobno od samog potpisnika i u opsegu odnosno sadržaju potrebnom za postupak izdavanja certifikata.

Potpisnik ima pravo uvida u podatke koji se o njemu vode kod davatelja usluga certificiranja u svrhu provjere ili potrebnih dopuna odnosno ispravaka.

Zahtjev za uvid u podatke može se dostaviti i u elektronič­kom obliku i potpisan s elektroničkim potpisom podnositelja zahtjeva.

Davatelj usluga certificiranja mora dostaviti tražene podatke najkasnije u roku od pet radnih dana od zaprimanja zahtjeva.

Članak 40.

Davatelj usluga certificiranja ne smije pružati povjerljive podat­ke osim u slučajevima kada to traži sud ili državno odvjet­ništvo.

Osoba koja kod davatelja usluga certificiranja provodi provjeru rada sustava certificiranja ima pravo uvida u povjerljive podatke izuzev u kriptografske podatke (podaci za izradu i ovjeru elektroničkog potpisa davatelja usluga certificiranja) ali ih ne smije iznositi izvan sustava niti objavljivati u izvješćima. Ugovorom se dodatno obvezuje na držanje u potpunoj tajnosti povjerljivih podataka u koje je imao uvid za vrijeme postupaka provjere rada sustava certificiranja.

V. OPĆI POSTUPCI ZAŠTITE SUSTAVA CERTIFICIRANJA

Članak 41.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je izraditi jedinstveni sustav zaštite i sigurnosti obav­ljanja usluga.

U svrhu izvedbe i održavanja jedinstvenog sustava zaštite i sigurnosti obavljanja usluga certificiranja izrađuje interni Pravilnik o provođenju zaštite sustava certificiranja.

Članak 42.

Davatelj usluga certificiranja koji izdaje kvalificirane certifi­kate mora prije početka obavljanja usluga, nakon značajnih prom­jena u sustavu za vrijeme obavljanja usluga, te redovito sva­ke godine provoditi na temelju izrađenog Pravilnika o provođenju zaštite sustava certificiranja, provjeru svih dijelova sustava u odnosu na sigurnost, pouzdanost i kvalitetu djelovanja.

Najveći vremenski razmak između dva postupka provjere ne može biti veći od jedne godine.

Članak 43.

Davatelj usluga certificiranja može nastaviti pružati usluge certificiranja ako se utvrdi da je sustav usklađen sa zahtjevima sadržanim u Pravilniku o provođenju zaštite sustava certificiranja.

Članak 44.

   Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora za poslove zaštite sustava certificiranja zaposliti kvalificirano osoblje za sljedeće poslove zaštite:

– kontrola fizičkog pristupa računalnoj opremi

– ugradnja i konfiguracija programskog sklopa zaštite kao i sustavno mijenjanje kriptografskih ključeva

– analiza rada u svima fazama rada, bilježenje i arhiviranje tih podataka te obavješćivanje

– upravljačke funkcije i operacije otklanjanja problema u funkcioniranju propisanih mjera zaštite

– izvješćivanje o pokušajima narušavanja propisanih mjera zaštite te identifikacija subjekata koji provode narušavanje.

Članak 45.

Provjera se mora provesti najmanje za ova područja:

– sustav certificiranja (informacijski sustav)

– tehnologija kriptozaštite

– radni prostor te računalna i mrežna oprema

– relevantni zakonski i drugi propisi u Republici Hrvatskoj i Europi.

Članak 46.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora sustav certificiranja i informacijski sustav uskladiti sa zahtjevima sigurnosti djelovanja informacijskih sustava sukladno obrascu ISO/IEC 17799:2000 (Code of Practice for Information Security Management) te BS 7799-2:1999 (British Standard for Information Security Management – Specification for Information Security Mnagement System).

Sustav certificiranja mora sadržavati odvojene radne skupine pri čemu osoblje koje radi na poslovima upravljanja računalnim sustavom ne može raditi poslove izdavanja i opoziva certifikata.

Članak 47.

Svi podaci za izradu naprednog elektroničkog potpisa davatelja usluga certificiranja moraju biti kriptografski zaštićeni uz primjenu:

– sredstava za izradu naprednog elektroničkog potpisa sukladno FIPS 140-1 (gornje razine) te kojima je moguća upotreba posebnih pristupnih tehnika za rad s podacima za izradu elektro­nič­kog potpisa

– podataka za izradu potpisa primjenom RSA ili DSA algoritma dužine najmanje 2048 bita odnosno odgovarajuće razine Elliptic Curve algoritma, te SHA-1 ili RIPEMD – 160 algoritma za kriptiranje sadržaja

– kriptografskih algoritama (3DES algoritma – 128 bitni ili AES tehnika) u svrhu zaštite pristupa podacima.

Članak 48

Davatelj usluga certificiranja mora podatke za izradu svog elektroničkog potpisa čuvati u najmanje dva primjerka na odvojenim lokacijama u za to namjenski uređe­nom prostoru zaštićenom od oštećivanja u slučaju požara, poplave i drugih štetnih utjecaja, te osigurati razdvajanje osnovnog skupa podataka za izradu elektroničkog potpisa u najmanje dva dijela.

Raspoloživost podataka za izradu naprednog elektroničkog potpisa davatelja usluga certificiran ja koji izdaje kvalificirane certifikate mora biti jednokratna i to za vrijeme izrade elektro­ničkog potpisa i mora prestati nakon svake izrade elektroničkog potpisa.

Članak 49.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora rad s računalnom i programskom opremom povjeriti samo osobama s visokom stručnom spremom i specijalističkih znanja u rukovanju opremom ugrađenom u sustav certificiranja.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora fizički pristup računalnom sustavu kojim se provode usluge certificiranja omogućiti samo operativnim djelatnicima koji izravno rade s računalnim sustavom.

Osoblje koje čisti prostor u kojem se nalazi računalni sustav može to raditi isključivo u vrijeme prisustva operativnih djelatnika.

U slučaju neovlaštenog pristupa računalnoj i programskoj opremi odnosno informacijskom sustavu, davatelj usluga certificiranja mora zaustaviti normalan rad i provoditi mjere predviđene za rad u izvanrednim situacijama sve do potpunog otkrivanja uzroka te otklanjanja mogućih šteta.

 Središnji računalni sustav mora imati osigurano trajno napajanje energijom uz potrebno radno okruženje kao što je stupanj vlažnosti i topline, dozvoljena razina zračenja i ostale vrijednosti specifične za računalni sustav u upotrebi.

Računalni sustav mora biti smješten na mjestu koje je osigurano od poplave uz adekvatnu protupožarnu zaštitu.

VI. POSEBNE ODREDBE

Članak 50.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je osigurati rizik od odgovornosti za štete koje nastanu obavljanjem usluga certificiranja.

Osiguranje sadržano u stavku 1. ovog članka predstavlja obvezno osiguranje.

Najniži iznos na koji davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora osigurati odgovornost za štete iznosi 2.000.000,00 kuna.

VII. ZAVRŠNE ODREDBE

Članak 51.

Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

Klasa: 130-01/01-01/63
Urbroj: 526-01/02-14
Zagreb, 8. svibnja 2002.

Ministar gospodarstva
Hrvoje Vojković, v. r.

MINISTARSTVO HRVATSKIH BRANITELJAIZ DOMOVINSKOG RATA

1024

Na temelju članka 84. stavak 1. točka 9., a u svezi s člankom 28. i 29. Zakona o pravima hrvatskih branitelja iz Domovinskog rata i članova njihovih obitelji (»Narodne novine« broj: 94/01), ministar hrvatskih branitelja iz Domovinskog rata, uz suglasnost ministra zdravstva Republike Hrvatske, donosi

PRAVILNIK

O IZBORU, NAČINU I POSTUPKU OSTVARIVANJA PRAVA OSOBA KOJE PRUŽAJU NJEGU I POMOĆ HRVI IZ DOMOVINSKOG RATA 100% I. skupine

Članak 1.

Ovim Pravilnikom uređuju se uvjeti koje trebaju ispunjavati osobe da bi mogle pružati potrebnu njegu i pomoć hrvatskom ratnom vojnom invalidu iz Domovinskog rata (u daljnjem tekstu: HRVI iz Domovinskog rata), postupak za ostvarivanje prava i obveza iz predmetnog odnosa i mjerila za sam izbor, te način ostvarivanja prava na naknadu plaće, prava iz mirovinskog i zdravstvenog osiguranja, doplatka za djecu i druga prava (u daljnjem tekstu: njegovatelj).

Članak 2.

Pravo na naknadu plaće, prava iz mirovinskog i zdravstvenog osiguranja, prava na doplatak za djecu temeljem članka 28. stavak 2. Zakona o pravima hrvatskih branitelja iz Domovinskog rata i članova njihovih obitelji (u daljnjem tekstu: Zakon) ostvaruje osoba koja pruža usluge njege i pomoći HRVI iz Domovinskog rata na način utvrđen ovim Pravilnikom.

Članak 3.

Prava utvrđena ovim Pravilnikom ostvaruju i koriste, u pravilu, državljani Republike Hrvatske.

Iznimno, prava iz stavka 1. ovog članka mogu ostvariti i stranci ukoliko imaju radnu dozvolu i ispunjavaju predviđene uvjete iz ovog Pravilnika.

OSOBA KOJA PRUŽA NJEGU I POMOĆ
- NJEGOVATELJ -

Članak 4.

Status osobe-njegovatelj koja pruža njegu i pomoć HRVI iz Domovinskog rata mogu ostvariti:

– član obitelji HRVI iz Domovinskog rata,

– nezaposlena osoba,

– umirovljenik i

– stranac

Iznimno, status njegovatelja može ostvariti i osoba s navr­šenih 15 godina života, ako se radi o članu obitelji HRVI iz Domovinskog rata.

Članak 5.

Članom obitelji, u smislu ovog Pravilnika, smatra se bračni i izvanbračni drug, djeca rođena u braku ili izvan braka, posvojenik i pastorčad, roditelji, maćeha, očuh i posvojitelj, te brat i sestra.

Članak 6.

U opravdanom slučaju za njegovatelja može biti izabran staratelj HRVI-a iz Domovinskog rata, ako ispunjava uvjete utvrđe­ne ovim Pravilnikom.

Članak 7.

Za stjecanje statusa njegovatelja osoba mora ispunjavati slje­deće uvjete:

– opća psihofička i zdravstvena sposobnost,

– da nije osuđivana niti se protiv nje vodi kazneni postupak,

– da joj nije oduzeto roditeljsko pravo,

– da je nezaposlena,

– da ima završeni tečaj za pružanje njege i pomoći.

Članak 8.

Za njegovatelja ne može se odrediti osoba:

– kojoj je oduzeta poslovna sposobnost,

– kojoj je uskraćeno roditeljsko pravo,

– koja pored prava na starosnu i invalidsku mirovinu koristi i pravo na doplatak za tuđu njegu i pomoć.

Članak 9.

HRVI iz Domovinskog rata koji nema obitelj ili staratelja, a podnio je prijedlog za osobu-njegovatelja Ured državne uprave županije odnosno Grada Zagreba u suradnji sa Hrvatskim zavodom za zapošljavanje provest će postupak i donijeti rješenje kojim se određenoj osobi utvrđuje status njegovatelja i to u roku 8 dana od dana podnijetog zahtjeva iz članka 26. ovog Pravilnika.

U slučaju iz stavka 1. ovog članka stručna komisija prilikom izbora njegovatelja koristit će se mjerilima iz ovog Pravilnika.

MJERILA ZA IZBOR

Članak 10.

Članove Stručne komisije za davanje mišljenja o izboru osobe koja će pružati njegu i pomoć imenuje ministar hrvatskih branitelja iz Domovinskog rata.

Članak 11.

Stručna komisija za davanje mišljenja o izboru osoba koje će pružati njegu i pomoć HRVI iz Domovinskog rata broji 3 člana od kojih je jedan predsjednik.

Stručna komisija putem sjednice obavlja poslove iz stavka 1. ovog članka.

Članak 12.

Stručna komisija prilikom davanja mišljenja o izboru osobe koja će pružati njegu i pomoć HRVI-u iz Domovinskog rata mora se rukovoditi sljedećim mjerilima:

– većom stručnom osposobljenošću (stručna sprema zdravstvene struke),

– boljim psihofizičkim i zdravstvenim sposobnostima,

– boljom komunikativnošću i sl.

Članak 13.

Stručna komisija donosi poslovnik kojim utvrđuje način svog rada.

POČETAK, TRAJANJE I PRESTANAK PRAVA

Članak 14.

Rješenjem nadležnog Ureda državne uprave utvrđuje se početak, trajanje i prestanak prava osobe u statusu njegovatelja.

Članak 15.

Danom stjecanja statusa njegovatelja izabrana osoba ostvaruje prava iz mirovinskog osiguranja prema odredbama Zakona o mirovinskom osiguranju.

Prava na zdravstveno osiguranje njegovatelj ostvaruje prema odredbama Zakona o zdravstvenom osiguranju.

Pravo na doplatak za djecu njegovatelj ostvaruje prema odredbama Zakona o doplatku za djecu.

Članak 16.

Njegovatelj ostvaruje samo pravo na novčanu naknadu ukoliko već koristi određena prava iz mirovinskog i zdravstvenog osiguranja.

Članak 17.

Status njegovatelja vremenski je sukladan trajanju utvrđenog statusa HRVI iz Domovinskog rata i može trajati određeno i neodređeno vrijeme.

Članak 18.

Prestanak prava njegovatelja nastupa u slučaju:

– kada hrvatski branitelj izgubi status HRVI iz Domovinskog rata,

– kada HRVI iz Domovinskog rata zatraži promjenu izabrane osobe,

– ako nastupi okolnost koja predstavlja zakonsku prepreku za obavljanje poslova njege i pomoći,

– na vlastiti zahtjev.

Članak 19.

HRVI iz Domovinskog rata ukoliko nije zadovoljan uslugama njege i pomoći ili samim njegovateljem može putem Ureda državne uprave uskratiti suglasnost pismeno ili usmeno na zapisnik.

Do novog izbora osobe u statusu njegovatelja postupit će se kao i u slučaju iz članka 9. ovog Pravilnika.

Članak 20.

Njegovatelj po prestanku obavljanja poslova pružanja njege i pomoći ostvaruje sva prava po Zakonu o zapošljavanju, osim u slučaju članka 18. stavak 1. alineje 4. ovog Pravilnika.

Članak 21.

Njegovatelj koji je opravdano spriječen za rad dužan je o tom u roku 3 dana obavijestiti nadležni Ured državne uprave županije odnosno Grada Zagreba.

Za vrijeme spriječenosti za rad njegovatelju miruju samo prava na naknadu plaće.

Članak 22.

 Naknada plaće za pružanje njege i pomoći određuje se u visini osobne invalidnine HRVI iz Domovinskog rata i isplaćuje se u mjesečnim iznosima i to unazad putem tekućeg računa odnosno štedne knjižice.

Osim prava na naknadu plaće njegovatelju se vrijeme pružanja njege i pomoći uračunava u mirovinski staž, a što je ujedno osnova za ostvarivanje materijalnih prava prema odredbama Zakona o zapošljavanju i svojstvo osiguranika s pravom na zdravstveno osiguranje.

Članak 23.

Ministarstvo hrvatskih branitelja iz Domovinskog rata uplaćuje doprinose na naknadu plaće i iz plaće i to putem mjesno nadležnih Ureda državne uprave za mirovinsko i zdravstveno osiguranje, doprinos za doplatak za djecu, te doprinos za zapo­šljavanje.

Osnovica za uplatu doprinosa je visina naknade plaće uvećana za doprinose iz plaće.

Članak 24.

Za vrijeme kad HRVI iz Domovinskog rata koristi usluge zdravstvenih ustanova za medicinsku rehabilitaciju, njegovatelju ne prestaju prava iz članka 15. ovog Pravilnika.

POSTUPAK ZA OSTVARIVANJE PRAVA

Članak 25.

O statusu osobe koja pruža njegu i pomoć i ostvarivanju prava po toj osnovi rješava u prvom stupnju mjesno nadležan Ured državne uprave prema mjestu prebivališta hrvatskog ratnog vojnog invalida.

O statusu i pravima osobe koja nema prebivalište na području Republike Hrvatske rješava u prvom stupnju Ured državne uprave Grada Zagreba.

Članak 26.

Zahtjev za ostvarivanje prava temeljem ovog Pravilnika podnosi HRVI iz Domovinskog rata te predlaže osobu ili osobe za status njegovatelja.

Zahtjev se podnosi mjesno nadležnom Uredu državne uprave.

Članak 27.

Zaprimanjem zahtjeva mjesno nadležan Ured državne uprave upućuje predloženu osobu ili osobe liječniku specijalisti medicine rada na ocjenu opće psihofizičke i zdravstvene sposobnosti za poslove njege i pomoći.

Članak 28.

Ministarstvo hrvatskih branitelja iz Domovinskog rata u suradnji s Ministarstvom zdravstva ugovara organizaciju tečaja osposobljavanja za pružanje njege i pomoći osoba iz članka 26. ovog Pravilnika.

Tečaj osposobljavanja iz prethodnog stavka može trajati najviše 7 dana.

Članak 29.

Po završetku osposobljavanja za pružanje njege i pomoći polaznici imaju provjeru znanja pred ispitnom komisijom, u pravilu zadnji dan tečaja.

Ispitna komisija u sastavu od tri člana od kojih je jedan predsjednik čine:

– predstavnik Ministarstva hrvatskih branitelja iz Domovinskog rata (Ured državne uprave),

– predstavnik Ministarstva zdravstva (Ured državne uprave),

– voditelj tečaja (liječnik).

Ispitna komisija pozitivno ocijenjenim polaznicima izdaje potvrdu.

Ispitna komisija može donijeti poslovnik kojim uređuje način svog rada.

Članak 30.

Zahtjev s liječničkim uvjerenjem o psihofizičkoj i zdravstvenoj sposobnosti i potvrdom iz članka 29. ovog Pravilnika, te s ostalom dokumentacijom Ured državne uprave dostavlja Stručnoj komisiji iz članka 10. ovog Pravilnika radi davanja mišljenja o izboru predložene osobe za njegovatelja.

Članak 31.

Izabrana osoba za status njegovatelja dužna je Uredu državne uprave u roku 8 dana od dana završenog tečaja iz članka 28. ovog Pravilnika dostaviti uz broj štedne knjižice odnosno tekućeg računa sljedeću dokumentaciju:

a) ZA NEZAPOSLENU OSOBU

– rodni list,

– domovnicu,

– uvjerenje o nekažnjavanju,

– potvrda o nezaposlenosti,

– radna knjižica,

– izjava da nije zdravstveno osiguran po drugoj osnovi,

b) ZA UMIROVLJENIKA

– rodni list,

– domovnicu,

– uvjerenje o nekažnjavanju,

– rješenje o mirovini,

– potvrda Centra za socijalni rad o poslovnoj sposobnosti,

– da nije korisnik doplatka za tuđu njegu i pomoć.

Ukoliko je izabrana osoba iz stavka 1. ovog članka izvanred­ni student mora priložiti, pored navedenih dokumenata za nezaposlenu osobu i uvjerenje o pohađanju visokog učilišta i vele­učilišta.

Ukoliko izabrana osoba iz stavka 1. ovog članka nije držav­ljanin Republike Hrvatske dužna je priskrbiti osobnu radnu dozvolu i posjedovati radnu knjižicu.

Članak 32.

Po pribavljenom mišljenju o izboru Ured državne uprave dužan je u roku 8 dana donijeti rješenje kojim se predloženoj osobi utvrđuje status njegovatelja.

Rješenje iz stavka 1. ovog članka ne podliježe reviziji.

Članak 33.

Njegovatelj koji ostvaruje pravo na mirovinsko i zdravstveno osiguranje po jedan primjerak rješenja iz članka 32. ovog Pravilnika dostavlja se nadležnoj službi Hrvatskog zavoda za mirovinsko osiguranje odnosno Hrvatskog zavoda za zdravstveno osiguranje s propisanom dokumentacijom.

Članak 34.

Ured državne uprave vodi evidenciju o rješenjima iz članka 32. ovog Pravilnika te o izvršenim isplatama i njihovom broju.

Članak 35.

Troškove postupka za ostvarivanje prava po ovom Pravilniku snosi tijelo koje vodi postupak.

Članak 36.

Troškovi u svezi s ocjenjivanjem psihofizičke i zdravstvene sposobnosti predložene osobe za pružanje njege i pomoći, troš­kovi tečaja za osposobljavanjne za pružanje njege i pomoći, te drugi troškovi snosi tijelo koje vodi postupak.

ZAVRŠNE ODREDBE

Članak 37.

U postupku za ostvarivanje prava po ovom Pravilniku primjenjuju se odredbe Zakona o općem upravnom postupku, ako ovim Pravilnikom nije drugačije određeno.

Članak 38.

Danom stupanja na snagu ovog Pravilnika prestaje se primjenjivati Pravilnik o izboru, načinu i postupku ostvarivanja prava osoba koje pružaju njegu i pomoć hrvatskim ratnim vojnim invalidima 100% I grupe (»Narodne novine« broj: 108/95).

Članak 39.

Ovaj Pravilnik stupa na snagu danom objave u »Narodnim novinama«.

Klasa: 011-01/02-01/16
Urbroj: 519-01-02-01
Zagreb, 8. svibnja 2002.

Ministar
Ivica Pančić,
v. r.