1023
Na temelju članka. 7., stavka 2., članka 11., stavka 4., članka 32,
stavka 2. Zakona o elektroničkom potpisu (»Narodne novine«, br. 10/02) ministar
gospodarstva, donosi
I. OPĆE ODREDBE
Članak 1.
Ovim Pravilnikom utvrđuju se mjere, postupci i oblici zaštite
elektroničkog potpisa i naprednog elektroničkog potpisa, sredstava za izradu
elektroničkog potpisa, zaštite sustava certificiranja i podataka o
potpisnicima, postupci provjere identiteta potpisnika prilikom davanja
elektroničkih certifikata kao i najniži iznos svote za koju se osigurava rizik
od odgovornosti za štete koji se kod davatelja usluga certificiranja koji
izdaju kvalificirane certifikate pojavljuje kao obvezno osiguranje.
II. ELEKTRONIČKI POTPIS
Članak 2.
Potpisnik izrađuje i koristi elektronički potpis i napredni elektronički
potpis u skladu s općim uvjetima sadržanim u članku 12. i članku 17. Zakona o
elektroničkom potpisu i ovom Pravilniku.
Potpisnik u slučajevima
korištenja usluga certificiranja izrađuje i koristi elektronički potpis i u
skladu s uvjetima koje je prihvatio od davatelja usluga certificiranja.
Članak 3.
Podaci za izradu
elektroničkog potpisa čine sastavni dio elektroničkog potpisa.
Potpisnik je dužan zaštiti podatke
za izradu elektroničkog potpisa od neovlaštenog pristupa, otuđivanja i
nepravilne uporabe. Zaštita se mora dodatno provoditi primjenom zaporke, biometričnim
postupcima ili drugim zaštitnim tehnikama.
Članak 4.
Podaci za izradu
elektroničkog potpisa moraju se u potpunosti razlikovati od podataka za ovjeru
elektroničkog potpisa.
Postupak izrade elektroničkog
potpisa ne smije izmijeniti podatke koji se potpisuju niti spriječiti prikaz
tih podataka potpisniku prije čina potpisivanja.
Potpisnik u elektronički
potpis ugrađuje osnovne podatke o postupku, algoritmu i sadržaju potpisa kako
bi primatelj (korisnik elektroničkog potpisa) mogao ovjeriti potpis temeljem
iste ili sukladne tehnologije i postupaka.
Napredni elektronički potpis
mora se izrađivati primjenom standardiziranih algoritama iz grupe RSA (rsagen1)
odnosno DSA (dsagen1).
Kod izrade
naprednog elektroničkog potpisa obvezno se ugrađuje i funkcija kriptiranja
sadržaja koji se potpisuje (hash funkcija). Algoritmi koji se primjenjuju u
provedbi hash funkcije moraju biti iz skupine SHA-1 (Secure Hash Algorithm)
odnosno RIPEMD 160.
Članak 5.
Korisnik elektroničkog potpisa provodi ovjeru elektroničkog potpisa u
skladu s uputama potpisnika.
Ako je uz potpis ugrađen i certifikat, ovjeru provodi u skladu s uputama
davatelja usluga certificiranja koji je izdao certifikat, odnosno drugog
davatelja usluga certificiranja koji punopravno odgovara i priznaje certifikat.
Korisnik prilikom ovjere naprednog elektroničkog potpisa mora provjeriti
uz podatke o potpisniku i:
– podatke o davatelju usluga certificiranja koji izdaje kvalificirane
certifikate
– rok valjanosti kvalificiranog certifikata,
– valjanost upisa u registru izdatih kvalificiranih certifikata
– nepostojanje u registru opozvanih certifikata.
III. SREDSTVA ZA
IZRADU ELEKTRONIČKOG POTPISA
Članak 6.
Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od
neovlaštenog pristupa, krađe i oštećivanja.
U slučajevima kada sredstvo za izradu elektroničkog potpisa sadrži i
certifikat te elektronički potpis davatelja usluga certificiranja koji je izdao
certifikat, potrebno je sredstvo za izradu elektroničkog potpisa uskladiti sa
zahtjevima za zaštitu i sigurnost terminalne opreme za izradu naprednog
elektroničkog potpisa.
Usklađivanje iz stavka 2. ovog članka mora se provoditi primjenom
zajedničkih međunarodnih obrazaca zaštite sredstava za izradu naprednog
elektroničkog potpisa od kojih se primjenjuju sljedeći:
– ISO/IEC 15408-1:1999 – opći sustav mjera zaštite uređaja i opreme koje
su zajednički prihvatili međunarodno (ISO) i europsko (IEC) tijelo u području
standardizacije kojim je definiran skup uvjeta za funkcionalnost i sigurnost
sredstava za izradu elektroničkog potpisa u dokumentu - Common Criteria 2.1
(for Information Technology Security Evaluation) u dionici EAL 4+ (5) –
(Evaluation Assurance Level) kojom se posebice utvrđuju sigurnosni zahtjevi na
najvišoj razini kojima mora odgovarati djelovanje sredstava za izradu naprednog
elektroničkog potpisa (SOF-high),
– CEN/ISSS SSCD-PP (Secure Signature Creation Device-Protection Profile)
opći obrazac zaštite sredstava za izradu naprednog elektroničkog potpisa koji
je Europska unija prihvatila sukladno preporukama sadržanim u Smjernicama o
elektroničkom potpisu (Directive 1999/93) u dodatku II kojim se pobliže
opisuju zahtjevi koje mora ispunjavati sredstvo za izradu naprednog
elektroničkog potpisa kroz dokument CWA (CEN Workshop Agreement) 14169,
– opći obrazac za sigurnost kriptografskih modula FIPS 140-1, razina 1.,
poželjno 2. (američko tijelo za standardizaciju National Institute of Standards
and Technology – Federal Information Processing Standard).
Članak 7.
Kod izrade naprednog
elektroničkog potpisa kada se primjenjuje sustav dva (par) kriptografska
ključa, dužina ključa za izradu naprednog elektroničkog potpisa mora biti
dužine najmanje 1024 bita, uz primjenu kriptografskih algoritama iz klase
RSA/DSA i usklađeno s međunarodnim standardom PKCS#1 (Verzija 2.1 na više).
Kriptografski moduli moraju
se temeljiti na algoritmima i parametrima koji tvore radno okruženje izrade
naprednog elektroničkog potpisa sukladno trenutno važećim obrascima ugrađenim
u dokument Algorithms and Paramaters for Secure Electronic Signatures (verzija
2.1, 2001-10) kojega za potrebe Europske unije izrađuje EESSI/SG (European
Electronic Signatures Standardisation Inititiative/Steering Group).
Kod
ugrađivanja kriptografskih algoritama u sredstvo za izradu naprednog
elektroničkog potpisa potrebno je osigurati modularnost kojom se omogućava
naknadna ugradnja novih algoritama.
Članak 8.
Programska oprema kojom se
provodi ovjera elektroničkog potpisa mora u potpunosti onemogućiti dobivanje
podataka za izradu elektroničkog potpisa pomoću podataka za ovjeru istog.
Programska oprema koja
generira podatke za izradu elektroničkog potpisa mora zaštititi te podatke od
neželjenog ili neovlaštenog pristupa primjenom postojeće tehnologije.
Članak 9.
Programska oprema za izradu
naprednog elektroničkog potpisa mora imati ugrađene osnovne oblike zaštite sukladno
dokumentima o osnovnim pravilima zaštite i sigurnosti sredstva za izradu
naprednog elektroničkog potpisa – SSCD/PP odnosno EAL4+ preporukama
Članak 10.
Potpisnik koji izgubi ili mu
je otuđeno sredstvo za izradu elektroničkog potpisa te u slučajevima kada mu je
onemogućen pristup podacima za izradu elektroničkog potpisa, dužan je o tome
odmah obavijestiti davatelja usluga certificiranja odnosno njegovu prijavnu
službu.
Davatelj usluga
certificiranja koji je zaprimio obavijest prema stavku 1. ovog članka provodi
uvid u postupak opoziva izdatog certifikata i dalje postupa po utvrđenim
pravilima opozivanja izdatih certifikata a u skladu s internim Pravilnikom o
postupcima certificiranja temeljem kojega pruža uslugu certificiranja.
IV. SUSTAV
CERTIFICIRANJA
OPĆI UVJETI
Poslovna politika, organizacija radnih procesa i pružanje usluga
certificiranja
Članak 11.
Davatelj usluga certificiranja mora prije početka obavljanja usluga
utvrditi opća pravila davanja usluga certificiranja koja korisnicima usluga
pružaju dovoljno informacija na temelju kojih mogu odlučiti o prihvaćanju
usluga i u kojem opsegu.
Opća pravila iz stavka 1.
ovog članka davatelj usluga certificiranja ugrađuje u dokument Opća pravila
pružanja usluga certificiranja.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora izraditi i posebna unutarnja pravila o postupcima izdavanja certifikata i
zaštite sustava certificiranja u kojem su sadržani i detaljno opisani postupci
i mjere koje primjenjuje prilikom izdavanja i rukovanja certifikatima.
Članak 12
Opća pravila davanja usluga certificiranja kao i Pravilnik o postupcima
certificiranja trebaju biti strukturirani po RFC 2527, odnosno međunarodno
prihvaćenom obrascu ETSI TS 101 456 – Policy Requirements for Certification
Authorities Issuing Qualified Certificates.
Obvezni sadržaj dokumentacije koju davatelj usluga certificiranja mora
izraditi prije početka obavljanja usluga certificiranja obuhvaća:
Naziv dionice Sadržaj dionice
1. Uvodne oznake i Opis
usluga
temeljni podaci Identifikacijski
podaci i OID oznaka
Korisnici i područje primjene
usluga
Adresni podaci
2. Opće
odredbe Obveze ovjerovitelja, potpisnika i
korisnika
Odgovornost
Financijska odgovornost
Usklađenost sa zakonom
Naknada za usluge
Objava i repozitorij certifikata
Provjera usklađenosti
Povjerljivost i tajnost
(poslovanja
podataka)
Zaštita intelektualnog vlasništva
(autorstvo)
3. Identifikacija
i Registracija
potpisnika
potvrđivanje
identiteta Plansko
obnavljanje cerfikata
potpisnika Obnavljanje nakon opoziva
Zahtjevi za opoziv certifikata
4. Osnovni zahtjevi u radu Zaprimanje zahtjeva za izdavanje
sa
certifikatima certifikata
Izdavanje certifikata
Dostava/prihvat certifikata
Opoziv certifikata
Postupci provjere sigurnosnih
mjera
Arhiviranje certifikata i podataka
Zamjena certifikata
Postupci otklanjanja posljedica
šteta,
nezgoda
Prestanak rada/davanja usluga
5. Kontrola sigurnosti Kontrola prostora, opreme i
opreme, postupaka sredstava
i osoblja Kontrola
postupaka i provedbe
radnih zadaća
Kontrola osoblja – broj,
stručnost, ovlaštenja
6. Kontrola tehničke Izrada
vlastitog certifikata
sigurnosti
rada sustava Zaštita
podataka za izradu vlastitog
certificiranja el.
potpisa
Upravljanje podacima za izradu
el. potpisa
Podaci za pristup potpisu
ovjerovitelja
Kontrola sigurnosti računalnog
sustava
Kontrola sigurnosti radnog vijeka
sustava
Kontrola sigurnosti mrežnog
sustava
Kontrola sigurnosti kriptografskih
modula
7. Sadržaj
certifikata i Sadržaj (obrazac) certifikata
lista opozvanih Sadržaj
liste opozvanih certifikata
certifikata
8. Postupci s Postupci
kod promjene sadržaja
dokumentacijom dokumentacije
Objavljivanje dokumentacije
Postupci prihvaćanja/odobravanja
dokumentacije
Članak 13.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora izraditi i dopunski sklop pravila (unutarnja pravila) kojima se osigurava
ispravno provođenje zaštitnih i sigurnosnih mjera u sustavu certificiranja.
Unutarnja pravila djelovanja
sustava certificiranja uređuju dopunski:
– postupke pristupa i
kretanja kroz poslovni prostor davatelja usluga certificiranja
– postupke i tehnike dopunske
zaštite informacijskog sustava, uporabe telekomunikacijske opreme/sustava u
radnjama s podacima u sustavu certificiranja
– postupci i radnje u
izvanrednim situacijama posebice kod požara i drugih nepogoda, nepredvidivih
upada u fizički prostor davatelja usluga certificiranja odnosno u informacijski
sustav
– pravila vođenja evidencija
o prisustvu zaposlenika u sustavu certificiranja, pristupa sustavu
certificiranja
Članak 14.
U slučajevima prigovora u
svezi odstupanja sadržaja usluga u odnosu na utvrđena pravila sadržana u
dokumentaciji davatelja usluga certificiranja, odgovorna osoba davatelja usluga
dužna je otkloniti odstupanja.
Ako odgovorna osoba u roku od
sedam radnih dana nije u mogućnosti otkloniti odstupanja, postupak se može
povjeriti trećoj osobi u svrhu arbitraže i koju prihvaćaju strane u sporu.
Ako
arbitraža nije moguća, strane poduzimaju radnje pred sudom.
Infrastruktura
Članak 15.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora primjenjivati smjernice Europske unije te Europske norme (EN) koje se
odnose na postupke osiguravanja i zaštite opreme i prostora.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora obavljanje usluga
certificiranja prilagoditi novim normama, odlukama i preporukama iz stavka 1.
ovog članka, koje se donose nakon dobivene dozvole.
Ispunjenje određenog uvjeta
iz stavka 1. ovog članka može uslijediti i poslije dobivanja dozvole, a prije
početka obavljanja djelatnosti, poglavito, ako se radi o većim ulaganjima u
specijalizirani prostor ili opremu ili se radi o upošljavanju djelatnika
određene specijalnosti. U tom slučaju potrebito je priložiti uz zahtjev
uvjerljiv dokaz iz kojeg je vidljivo da je moguće ostvariti određeni uvjet u
predloženom roku.
Članak 16.
Davatelj usluga certificiranja
koji izdaje kvalificirane certifikate mora uslugu certificiranja za koju je
dobio dozvolu obavljati svojim sredstvima za rad i stalno uposlenim
djelatnicima.
Postupke u svezi s
najsloženijom opremom (software, hardware) koji se mogu provesti jedino od
strane proizvođača te opreme, davatelj usluga certificiranja koji izdaje
kvalificirane certifikate može obaviti uz odgovarajuće sudjelovanje djelatnika
proizvođača te opreme i uz pomoć njihove opreme.
Članak 17.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora za obavljanje usluga
certificiranja imati poslovni prostor u svom vlasništvu ili u najmu na rok duži
od pet godina od dana podnošenja zahtjeva. Poslovni prostor mora biti veličine
prikladne za smještaj opreme i rad osoblja koje obavlja usluge certificiranja.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora poslove generiranja
kriptografskih ključeva i izrade certifikata provoditi u specijaliziranom
prostoru izdvojenom za tu namjenu.
Pristup prostoru u kojem se
provode radnje iz stavka 2. ovog članka, mogu imati samo ovlaštene osobe i o
svakom pristupu prostoru mora se voditi evidencija.
Strojna i programska oprema
Članak 18.
Davatelj usluga certificiranja mora za strojnu i programsku opremu kojom
obavlja usluge certificiranja primjenjivati hrvatske norme, preuzete norme
Europskog instituta za telekomunikacijske norme (ETSI), te odluke i preporuke
RFC skupine, ISO protokole i norme.
Članak 19.
Davatelj usluga certificiranja mora osigurati fizičku zaštitu strojne
opreme te provoditi stalni nadzor pristupa računalnim resursima i fizičkom
prostoru gdje su smješteni resursi sustava certificiranja.
Pristup se može provoditi isključivo uz prisustvo najmanje dvije
ovlaštene osobe koje imaju pristup informacijskom sustavu davatelja usluga
certificiranja.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora osigurati da samo
osobe koje rade u sustavu certificiranja imaju pristup prostoru gdje se nalaze
resursi sustava certificiranja.
Članak 20.
Informacijski sustav
davatelja usluga certificiranja koji izdaje kvalificirane certifikate mora biti
izgrađen od računalne i programske osnovice namijenjene isključivo za poslove
certificiranja.
Članak 21.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora opremu za ovjeru i
djelovanje sustava certificiranja uskladiti s tehničkim standardom FIPS 140-1
(gornje razine) odnosno s utvrđenim zajedničkim obrascem zaštite programsko-tehničke
i informatičke opreme i sustava »Common Criteria 2.1« temeljenom na ISO
15408-1:1999 normi.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora postupke i oblike zaštite sustava za cijelo vrijeme pružanja usluga
certificiranja usklađivati s trenutno važećim preporukama i normama u području
zaštite i sigurnosti djelovanja informatičkih sredstava i sustava.
Osoblje
Članak 22.
Osoblje zaposleno u sustavu certificiranja provodi poslove i operativne
zadaće u sustavu certificiranja kroz odvojene organizacijske točke (službe,
odjeli i slično) za upravljanje informacijskim sustavom, sustavom upravljanja
certifikatima, poslovima zaštite i kontrole te poslovima pravne zaštite i
nadzora djelovanja sustava certificiranja.
Članak 23.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora imati stalno
zaposleno
– najmanje dva stručnjaka s
visokom stručnom spremom tehničkog, prirodoslovnomatematičkog, informatičkog
ili tehničkog usmjerenja, specijaliziranih za rad s kriptografskim
tehnologijama
– najmanje tri visoko
obrazovana stručnjaka tehničkog usmjerenja za zaštitu računalnih sustava i
informacijskih baza te s iskustvom u radu sa sustavima izdavanja, opoziva i
održavanja certifikata.
– najmanje jednog
visokoobrazovanog pravnika s poznavanjem sustava zaštite osobnih podataka,
uporabe i pravne sukladnosti elektroničkog potpisa.
Članak 24.
Zaposleno osoblje davatelja
usluga certificiranja mora imati stručna znanja u radu s tehnologijom
certificiranja, kao i za postupke zaštite računalne opreme i programa u
primijenjenom sustavu certificiranja te osigurano permanentno usavršavanje
znanja i vještina potrebnih za rad u sustavu certificiranja.
Članak 25.
Zaposleni kod jednog
davatelja usluga certificiranja ne smiju biti u radnom odnosno poslovnom odnosu
s drugim davateljima usluga certificiranja.
Financijski resursi
Članak 26.
Davatelj usluga certificiranja mora raspolagati financijskim resursima
koji osiguravaju nesmetano pružanje usluga certificiranja neovisno o broju
korisnika usluga i za cijelo vrijeme obavljanja usluga certificiranja.
Davatelj usluga
certificiranja mora imati vlastiti poslovni račun i garanciju poslovne banke na
tekuće poslovanje vidljivo kroz javno dostupno poslovno godišnje izvješće.
Certifikati i podaci (izdavanje i opoziv certifikata, provjera
identiteta potpisnika)
Članak 27.
Davatelj usluga certificiranja mora osigurati jedinstvenost podataka za
ovjeru elektroničkog potpisa na način koji omogućuje nedvojbeno utvrđivanje
(identifikacija) potpisnika.
Članak 28.
Osoba koja traži uslugu certificiranja (potpisnik) osobno u prijavnoj
službi davatelja usluga certificiranja podnosi zahtjev za izdavanje
certifikata.
Potpisnik mora osigurati
točnost i ispravnost podataka u zahtjevu i za to odgovara pravno i materijalno.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate dužan je u cijelosti
razmotriti podatke koje je potpisnik predao u zahtjevu za izdavanje certifikata
te provesti u prisustvu potpisnika fizičku identifikaciju potpisnika temeljem
osobne iskaznice i drugih relevantnih dokumenata s fotografijom potpisnika
(putovnica, europska identifikacijska kartica) kojima se potvrđuje istinitost
podataka sadržanih u zahtjevu za izdavanje certifikata.
Identifikacija se potvrđuje
usklađivanjem priložene fotografije potpisnika i dopunski se usklađuje s
ispravnim i potpunim izgovaranjem i pisanjem imena i prezimena potpisnika.
Članak 29.
Podaci ispravnih i odobrenih
zahtjeva za izdavanje certifikata arhiviraju se u informacijskom sustavu
davatelja usluga certificiranja.
Sadržaj certifikata upisuje
se u Registar izdatih certifikata.
Članak 30.
Potpisnik kojem je odobreno
izdavanje certifikata mora osobno kod davatelja usluga certificiranja ili na
drugom za te poslove određenom mjestu preuzeti izdati certifikat.
Izdavanje certifikata mora
obavljati isključivo osoba koja je ovlaštena za te poslove i stalno zaposlena
kod davatelja usluga certificiranja koji izdaje kvalificirane certifikate.
Članak 31.
Sadržaj kvalificiranog certifikata mora biti usklađen s tehničkom
specifikacijom ETSI 101 862 (v1.2.1 – 2001-06 ili novije) – Qualified
Certificate Profile, i koji se ujedno temelji na Qualified Certificate Profile
obrascu RFC 3039.
Certifikat obvezno sadrži sljedeće elemente:
– serijski broj (jedinstven, neponovljiv broj)
– identifikaciju davatelja usluga certificiranja
– kriptografski algoritam primijenjen kod izrade elektroničkog potpisa
– elektronički potpis davatelja usluga certificiranja
– ime davatelja usluga certificiranja koji je izdao certifikat
– ime, adresa i ostali identifikacijski elementi potpisnika neophodni za
jednoznačnu identifikaciju
– podaci neophodni za postupak ovjere elektroničkog potpisa potpisnika
na kojeg se odnosi certifikat
– podaci za ovjeru elektroničkog potpisa
– datum izdavanja i rok valjanosti certifikata
– jednoznačni identifikacijski kod (Object Identifier prema ASN.1) Općih
pravila davatelja usluga certificiranja (ako je prethodno pridobio OID).
Članak 32.
Izdati certifikat se opoziva
– istekom roka na koji je izdat, odnosno na dan prestanka valjanosti
– na zahtjev potpisnika
– na službeni zahtjev od strane suda, odgovarajućeg tijela državne
uprave odnosno pravne osobe kod koje je potpisnik zaposlen u trenutku
podnošenja zahtjeva za opoziv certifikata
– na zahtjev davatelja usluga
certificiranja u slučajevima neispunjavanja tehničkih uvjeta odnosno ako se pri
uporabi elektroničkog potpisa ne postupa na propisan način.
Opozvani certifikati upisuju
se u listu opozvanih certifikata koja mora biti dostupna svim subjektima koji
imaju pristup uslugama davatelja usluga certificiranja.
Lista opozvanih certifikata
mora se trenutno obnoviti kod svake nastale izmjene odnosno ako nije bilo
promjena, u roku ne dužem od trideset dana.
Članak 33.
Lista opozvanih certifikata
mora sadržavati najmanje sljedeće elemente:
– redni broj radne verzije
liste
– kriptografski algoritam
korišten pri izradi elektroničkog potpisa davatelja usluga certificiranja
– elektronički potpis
davatelja usluga certificiranja
– ime davatelja usluga
certificiranja
– datum izrade liste.
Svaki opozvani certifikat u
Listi opozvanih certifikata sadrži:
– serijski broj dodijeljen
certifikatu kod izdavanja
– datum opoziva (od kada
certifikat više nije važeći).
Članak 34.
Davatelj usluga
certificiranja utvrđuje vremensku valjanost izdatog kvalificiranog certifikata
odnosno rok do kada se priznaje važenje izdatog certifikata.
Rok iz stavka 1. ovog članka
za kvalificirane certifikate mora se utvrditi u trajanju do pet godina.
Članak 35.
Podaci o potpisnicima, izdati
certifikati, liste opozvanih certifikata kao i tehnički podaci nastali
bilježenjem rada sustava certificiranja moraju se arhivirati na medije koji
osiguravaju trajnost zapisa od najmanje 20 godina.
U svrhu čuvanja zapisa moraju
se izraditi i sigurnosne kopije koje moraju biti smještene na drugoj lokaciji,
izdvojeno od sustava certificiranja u upotrebi.
Članak 36.
Arhivirani podaci moraju se
čuvati i zaštititi od neovlaštenog pristupa i mogućih gubitaka u zapisu.
Davatelj usluga certificiranja
koji izdaje kvalificirane certifikate mora u svrhu očuvanja čitkosti i
ispravnosti zapisa na medijima, provoditi postupke provjere i po potrebi,
osvježivanje zapisa na medijima najmanje dva puta godišnje.
Članak 37.
Potpisnik može zatražiti kod
davatelja usluga certificiranja povremeno provjeravanje podataka za izradu te
podataka za ovjeru elektroničkog potpisa.
Potpisnik zahtjev za provjeru
prema stavku 1. ovog članka podnosi osobno kod davatelja usluga certificiranja,
a može i u elektroničkom obliku ako je takav zahtjev ispravno elektronički
potpisan od strane podnositelja zahtjeva.
Članak 38.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora podatke za izradu
svog elektroničkog potpisa odvojeno rasporediti na najmanje dvije osobe koje
zajedno izrađuju elektronički potpis.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora podatke za izradu svog elektroničkog potpisa fizički i elektronički
zaštititi u skladu s utvrđenim pravilima i standardima u svrhu sprječavanja
fizičkog ili elektroničkog pristupa od strane neovlaštenih osoba.
Zaštita osobnih podataka
Članak 39.
Davatelj usluga certificiranja mora podatke o potpisnicima prikupljati,
pohranjivati, koristiti i brisati u skladu s odgovarajućim propisima o
zaštiti osobnih podataka i poštivanja i zaštite privatnosti korisnika sustava
certificiranja.
Podaci o potpisniku mogu se
pridobivati isključivo osobno od samog potpisnika i u opsegu odnosno sadržaju
potrebnom za postupak izdavanja certifikata.
Potpisnik ima pravo uvida u
podatke koji se o njemu vode kod davatelja usluga certificiranja u svrhu
provjere ili potrebnih dopuna odnosno ispravaka.
Zahtjev za uvid u podatke
može se dostaviti i u elektroničkom obliku i potpisan s elektroničkim potpisom
podnositelja zahtjeva.
Davatelj usluga
certificiranja mora dostaviti tražene podatke najkasnije u roku od pet radnih
dana od zaprimanja zahtjeva.
Članak 40.
Davatelj usluga
certificiranja ne smije pružati povjerljive podatke osim u slučajevima kada to
traži sud ili državno odvjetništvo.
Osoba koja kod davatelja
usluga certificiranja provodi provjeru rada sustava certificiranja ima pravo
uvida u povjerljive podatke izuzev u kriptografske podatke (podaci za izradu i
ovjeru elektroničkog potpisa davatelja usluga certificiranja) ali ih ne smije
iznositi izvan sustava niti objavljivati u izvješćima. Ugovorom se dodatno
obvezuje na držanje u potpunoj tajnosti povjerljivih podataka u koje je imao
uvid za vrijeme postupaka provjere rada sustava certificiranja.
V. OPĆI POSTUPCI ZAŠTITE SUSTAVA
CERTIFICIRANJA
Članak 41.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
dužan je izraditi jedinstveni sustav zaštite i sigurnosti obavljanja usluga.
U svrhu izvedbe i održavanja jedinstvenog sustava zaštite i sigurnosti
obavljanja usluga certificiranja izrađuje interni Pravilnik o provođenju
zaštite sustava certificiranja.
Članak 42.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora prije početka obavljanja usluga, nakon značajnih promjena u sustavu za
vrijeme obavljanja usluga, te redovito svake godine provoditi na temelju
izrađenog Pravilnika o provođenju zaštite sustava certificiranja, provjeru svih
dijelova sustava u odnosu na sigurnost, pouzdanost i kvalitetu djelovanja.
Najveći vremenski razmak između dva postupka provjere ne može biti veći
od jedne godine.
Članak 43.
Davatelj usluga certificiranja može nastaviti pružati usluge
certificiranja ako se utvrdi da je sustav usklađen sa zahtjevima sadržanim u
Pravilniku o provođenju zaštite sustava certificiranja.
Članak 44.
Davatelj usluga certificiranja
koji izdaje kvalificirane certifikate mora za poslove zaštite sustava
certificiranja zaposliti kvalificirano osoblje za sljedeće poslove zaštite:
– kontrola fizičkog pristupa računalnoj opremi
– ugradnja i konfiguracija programskog sklopa zaštite kao i sustavno
mijenjanje kriptografskih ključeva
– analiza rada u svima fazama rada, bilježenje i arhiviranje tih
podataka te obavješćivanje
– upravljačke funkcije i operacije otklanjanja problema u funkcioniranju
propisanih mjera zaštite
– izvješćivanje o pokušajima narušavanja propisanih mjera zaštite te
identifikacija subjekata koji provode narušavanje.
Članak 45.
Provjera se mora provesti najmanje za ova područja:
– sustav certificiranja (informacijski sustav)
– tehnologija kriptozaštite
– radni prostor te računalna i mrežna oprema
– relevantni zakonski i drugi propisi u Republici Hrvatskoj i Europi.
Članak 46.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora sustav certificiranja i informacijski sustav uskladiti sa zahtjevima
sigurnosti djelovanja informacijskih sustava sukladno obrascu ISO/IEC
17799:2000 (Code of Practice for Information Security Management) te BS
7799-2:1999 (British Standard for Information Security Management –
Specification for Information Security Mnagement System).
Sustav certificiranja mora
sadržavati odvojene radne skupine pri čemu osoblje koje radi na poslovima
upravljanja računalnim sustavom ne može raditi poslove izdavanja i opoziva
certifikata.
Članak 47.
Svi podaci za izradu
naprednog elektroničkog potpisa davatelja usluga certificiranja moraju biti
kriptografski zaštićeni uz primjenu:
– sredstava za izradu
naprednog elektroničkog potpisa sukladno FIPS 140-1 (gornje razine) te kojima
je moguća upotreba posebnih pristupnih tehnika za rad s podacima za izradu
elektroničkog potpisa
– podataka za izradu potpisa primjenom RSA ili DSA algoritma dužine
najmanje 2048 bita odnosno odgovarajuće razine Elliptic Curve algoritma, te
SHA-1 ili RIPEMD – 160 algoritma za kriptiranje sadržaja
– kriptografskih algoritama (3DES algoritma – 128 bitni ili AES tehnika)
u svrhu zaštite pristupa podacima.
Članak 48
Davatelj usluga certificiranja mora podatke za izradu svog elektroničkog
potpisa čuvati u najmanje dva primjerka na odvojenim lokacijama u za to
namjenski uređenom prostoru zaštićenom od oštećivanja u slučaju požara,
poplave i drugih štetnih utjecaja, te osigurati razdvajanje osnovnog skupa
podataka za izradu elektroničkog potpisa u najmanje dva dijela.
Raspoloživost podataka za izradu naprednog elektroničkog potpisa
davatelja usluga certificiran ja koji izdaje kvalificirane certifikate mora
biti jednokratna i to za vrijeme izrade elektroničkog potpisa i mora prestati
nakon svake izrade elektroničkog potpisa.
Članak 49.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora rad s računalnom i programskom opremom povjeriti samo osobama s visokom
stručnom spremom i specijalističkih znanja u rukovanju opremom ugrađenom u
sustav certificiranja.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
mora fizički pristup računalnom sustavu kojim se provode usluge certificiranja
omogućiti samo operativnim djelatnicima koji izravno rade s računalnim
sustavom.
Osoblje koje čisti prostor u kojem se nalazi računalni sustav može to
raditi isključivo u vrijeme prisustva operativnih djelatnika.
U slučaju neovlaštenog pristupa računalnoj i programskoj opremi odnosno informacijskom
sustavu, davatelj usluga certificiranja mora zaustaviti normalan rad i
provoditi mjere predviđene za rad u izvanrednim situacijama sve do potpunog
otkrivanja uzroka te otklanjanja mogućih šteta.
Središnji računalni sustav mora
imati osigurano trajno napajanje energijom uz potrebno radno okruženje kao što
je stupanj vlažnosti i topline, dozvoljena razina zračenja i ostale vrijednosti
specifične za računalni sustav u upotrebi.
Računalni sustav mora biti smješten na mjestu koje je osigurano od poplave
uz adekvatnu protupožarnu zaštitu.
VI. POSEBNE ODREDBE
Članak 50.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate
dužan je osigurati rizik od odgovornosti za štete koje nastanu obavljanjem
usluga certificiranja.
Osiguranje sadržano u stavku 1. ovog članka predstavlja obvezno
osiguranje.
Najniži iznos na koji davatelj usluga certificiranja koji izdaje
kvalificirane certifikate mora osigurati odgovornost za štete iznosi
2.000.000,00 kuna.
VII. ZAVRŠNE ODREDBE
Članak 51.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim
novinama«.
Klasa:
130-01/01-01/63
Urbroj: 526-01/02-14
Zagreb, 8. svibnja 2002.
Ministar
gospodarstva
Hrvoje Vojković, v. r.
MINISTARSTVO HRVATSKIH BRANITELJAIZ DOMOVINSKOG RATA
1024
Na temelju članka 84. stavak 1. točka 9., a u svezi s člankom 28. i 29.
Zakona o pravima hrvatskih branitelja iz Domovinskog rata i članova njihovih
obitelji (»Narodne novine« broj: 94/01), ministar hrvatskih branitelja iz
Domovinskog rata, uz suglasnost ministra zdravstva Republike Hrvatske, donosi
PRAVILNIK
O IZBORU, NAČINU I POSTUPKU OSTVARIVANJA PRAVA OSOBA KOJE PRUŽAJU NJEGU
I POMOĆ HRVI IZ DOMOVINSKOG RATA 100% I. skupine
Članak 1.
Ovim
Pravilnikom uređuju se uvjeti koje trebaju ispunjavati osobe da bi mogle
pružati potrebnu njegu i pomoć hrvatskom ratnom vojnom invalidu iz Domovinskog
rata (u daljnjem tekstu: HRVI iz Domovinskog rata), postupak za ostvarivanje
prava i obveza iz predmetnog odnosa i mjerila za sam izbor, te način
ostvarivanja prava na naknadu plaće, prava iz mirovinskog i zdravstvenog
osiguranja, doplatka za djecu i druga prava (u daljnjem tekstu: njegovatelj).
Članak 2.
Pravo na naknadu plaće, prava
iz mirovinskog i zdravstvenog osiguranja, prava na doplatak za djecu temeljem
članka 28. stavak 2. Zakona o pravima hrvatskih branitelja iz Domovinskog rata
i članova njihovih obitelji (u daljnjem tekstu: Zakon) ostvaruje osoba koja
pruža usluge njege i pomoći HRVI iz Domovinskog rata na način utvrđen ovim
Pravilnikom.
Članak 3.
Prava utvrđena ovim
Pravilnikom ostvaruju i koriste, u pravilu, državljani Republike Hrvatske.
Iznimno, prava iz stavka 1.
ovog članka mogu ostvariti i stranci ukoliko imaju radnu dozvolu i ispunjavaju
predviđene uvjete iz ovog Pravilnika.
OSOBA KOJA PRUŽA NJEGU I POMOĆ
- NJEGOVATELJ -
Članak 4.
Status osobe-njegovatelj koja pruža njegu i pomoć HRVI iz Domovinskog
rata mogu ostvariti:
– član obitelji HRVI iz Domovinskog rata,
– nezaposlena osoba,
– umirovljenik i
– stranac
Iznimno, status njegovatelja može ostvariti i osoba s navršenih 15
godina života, ako se radi o članu obitelji HRVI iz Domovinskog rata.
Članak 5.
Članom obitelji, u smislu
ovog Pravilnika, smatra se bračni i izvanbračni drug, djeca rođena u braku ili
izvan braka, posvojenik i pastorčad, roditelji, maćeha, očuh i posvojitelj, te
brat i sestra.
Članak 6.
U opravdanom
slučaju za njegovatelja može biti izabran staratelj HRVI-a iz Domovinskog rata,
ako ispunjava uvjete utvrđene ovim Pravilnikom.
Članak 7.
Za stjecanje
statusa njegovatelja osoba mora ispunjavati sljedeće uvjete:
– opća psihofička
i zdravstvena sposobnost,
– da nije
osuđivana niti se protiv nje vodi kazneni postupak,
– da joj nije
oduzeto roditeljsko pravo,
– da je
nezaposlena,
– da ima završeni
tečaj za pružanje njege i pomoći.
Članak 8.
Za njegovatelja ne
može se odrediti osoba:
– kojoj je oduzeta
poslovna sposobnost,
– kojoj je
uskraćeno roditeljsko pravo,
– koja pored prava
na starosnu i invalidsku mirovinu koristi i pravo na doplatak za tuđu njegu i
pomoć.
Članak 9.
HRVI iz
Domovinskog rata koji nema obitelj ili staratelja, a podnio je prijedlog za
osobu-njegovatelja Ured državne uprave županije odnosno Grada Zagreba u
suradnji sa Hrvatskim zavodom za zapošljavanje provest će postupak i donijeti
rješenje kojim se određenoj osobi utvrđuje status njegovatelja i to u roku 8
dana od dana podnijetog zahtjeva iz članka 26. ovog Pravilnika.
U slučaju iz
stavka 1. ovog članka stručna komisija prilikom izbora njegovatelja koristit će
se mjerilima iz ovog Pravilnika.
MJERILA ZA IZBOR
Članak 10.
Članove
Stručne komisije za davanje mišljenja o izboru osobe koja će pružati njegu i
pomoć imenuje ministar hrvatskih branitelja iz Domovinskog rata.
Članak
11.
Stručna
komisija za davanje mišljenja o izboru osoba koje će pružati njegu i pomoć HRVI
iz Domovinskog rata broji 3 člana od kojih je jedan predsjednik.
Stručna
komisija putem sjednice obavlja poslove iz stavka 1. ovog članka.
Članak
12.
Stručna
komisija prilikom davanja mišljenja o izboru osobe koja će pružati njegu i
pomoć HRVI-u iz Domovinskog rata mora se rukovoditi sljedećim mjerilima:
–
većom stručnom osposobljenošću (stručna sprema zdravstvene struke),
–
boljim psihofizičkim i zdravstvenim sposobnostima,
–
boljom komunikativnošću i sl.
Članak 13.
Stručna komisija
donosi poslovnik kojim utvrđuje način svog rada.
POČETAK, TRAJANJE
I PRESTANAK PRAVA
Članak 14.
Rješenjem nadležnog Ureda državne uprave utvrđuje se početak, trajanje i
prestanak prava osobe u statusu njegovatelja.
Članak
15.
Danom stjecanja statusa
njegovatelja izabrana osoba ostvaruje prava iz mirovinskog osiguranja prema
odredbama Zakona o mirovinskom osiguranju.
Prava na
zdravstveno osiguranje njegovatelj ostvaruje prema odredbama Zakona o
zdravstvenom osiguranju.
Pravo na doplatak
za djecu njegovatelj ostvaruje prema odredbama Zakona o doplatku za djecu.
Članak 16.
Njegovatelj
ostvaruje samo pravo na novčanu naknadu ukoliko već koristi određena prava iz
mirovinskog i zdravstvenog osiguranja.
Članak 17.
Status
njegovatelja vremenski je sukladan trajanju utvrđenog statusa HRVI iz
Domovinskog rata i može trajati određeno i neodređeno vrijeme.
Članak 18.
Prestanak prava
njegovatelja nastupa u slučaju:
– kada hrvatski
branitelj izgubi status HRVI iz Domovinskog rata,
– kada HRVI iz
Domovinskog rata zatraži promjenu izabrane osobe,
– ako nastupi
okolnost koja predstavlja zakonsku prepreku za obavljanje poslova njege i
pomoći,
– na
vlastiti zahtjev.
Članak 19.
HRVI iz
Domovinskog rata ukoliko nije zadovoljan uslugama njege i pomoći ili samim
njegovateljem može putem Ureda državne uprave uskratiti suglasnost pismeno ili
usmeno na zapisnik.
Do novog izbora
osobe u statusu njegovatelja postupit će se kao i u slučaju iz članka 9. ovog
Pravilnika.
Članak 20.
Njegovatelj po
prestanku obavljanja poslova pružanja njege i pomoći ostvaruje sva prava po
Zakonu o zapošljavanju, osim u slučaju članka 18. stavak 1. alineje 4. ovog
Pravilnika.
Članak 21.
Njegovatelj koji
je opravdano spriječen za rad dužan je o tom u roku 3 dana obavijestiti
nadležni Ured državne uprave županije odnosno Grada Zagreba.
Za vrijeme spriječenosti za
rad njegovatelju miruju samo prava na naknadu plaće.
Članak 22.
Naknada plaće za pružanje njege i pomoći
određuje se u visini osobne invalidnine HRVI iz Domovinskog rata i isplaćuje se
u mjesečnim iznosima i to unazad putem tekućeg računa odnosno štedne knjižice.
Osim prava na
naknadu plaće njegovatelju se vrijeme pružanja njege i pomoći uračunava u
mirovinski staž, a što je ujedno osnova za ostvarivanje materijalnih prava
prema odredbama Zakona o zapošljavanju i svojstvo osiguranika s pravom na
zdravstveno osiguranje.
Članak 23.
Ministarstvo hrvatskih
branitelja iz Domovinskog rata uplaćuje doprinose na naknadu plaće i iz plaće i
to putem mjesno nadležnih Ureda državne uprave za mirovinsko i zdravstveno
osiguranje, doprinos za doplatak za djecu, te doprinos za zapošljavanje.
Osnovica za uplatu doprinosa je visina naknade plaće uvećana za
doprinose iz plaće.
Članak 24.
Za vrijeme kad HRVI iz Domovinskog rata koristi usluge zdravstvenih
ustanova za medicinsku rehabilitaciju, njegovatelju ne prestaju prava iz članka
15. ovog Pravilnika.
POSTUPAK ZA OSTVARIVANJE PRAVA
Članak 25.
O statusu osobe koja pruža njegu i pomoć i ostvarivanju
prava po toj osnovi rješava u prvom stupnju mjesno nadležan Ured državne uprave
prema mjestu prebivališta hrvatskog ratnog vojnog invalida.
O statusu i pravima osobe koja nema
prebivalište na području Republike Hrvatske rješava u prvom stupnju Ured
državne uprave Grada Zagreba.
Članak 26.
Zahtjev za ostvarivanje prava temeljem ovog
Pravilnika podnosi HRVI iz Domovinskog rata te predlaže osobu ili osobe za
status njegovatelja.
Zahtjev se podnosi mjesno nadležnom Uredu
državne uprave.
Članak 27.
Zaprimanjem zahtjeva mjesno nadležan Ured
državne uprave upućuje predloženu osobu ili osobe liječniku specijalisti
medicine rada na ocjenu opće psihofizičke i zdravstvene sposobnosti za poslove
njege i pomoći.
Članak 28.
Ministarstvo hrvatskih branitelja iz
Domovinskog rata u suradnji s Ministarstvom zdravstva ugovara organizaciju
tečaja osposobljavanja za pružanje njege i pomoći osoba iz članka 26. ovog
Pravilnika.
Tečaj
osposobljavanja iz prethodnog stavka može trajati najviše 7 dana.
Članak 29.
Po završetku osposobljavanja za pružanje njege
i pomoći polaznici imaju provjeru znanja pred ispitnom komisijom, u pravilu
zadnji dan tečaja.
Ispitna komisija u sastavu od tri člana od
kojih je jedan predsjednik čine:
– predstavnik Ministarstva hrvatskih
branitelja iz Domovinskog rata (Ured državne uprave),
– predstavnik Ministarstva zdravstva (Ured
državne uprave),
– voditelj tečaja (liječnik).
Ispitna komisija pozitivno ocijenjenim
polaznicima izdaje potvrdu.
Ispitna komisija može donijeti poslovnik kojim
uređuje način svog rada.
Članak 30.
Zahtjev s liječničkim uvjerenjem o
psihofizičkoj i zdravstvenoj sposobnosti i potvrdom iz članka 29. ovog
Pravilnika, te s ostalom dokumentacijom Ured državne uprave dostavlja Stručnoj
komisiji iz članka 10. ovog Pravilnika radi davanja mišljenja o izboru
predložene osobe za njegovatelja.
Članak 31.
Izabrana osoba za status njegovatelja dužna je Uredu državne uprave u
roku 8 dana od dana završenog tečaja iz članka 28. ovog Pravilnika dostaviti uz
broj štedne knjižice odnosno tekućeg računa sljedeću dokumentaciju:
a)
ZA NEZAPOSLENU OSOBU
–
rodni list,
–
domovnicu,
–
uvjerenje o nekažnjavanju,
–
potvrda o nezaposlenosti,
–
radna knjižica,
– izjava da nije zdravstveno
osiguran po drugoj osnovi,
b) ZA
UMIROVLJENIKA
– rodni list,
– domovnicu,
– uvjerenje o
nekažnjavanju,
– rješenje o
mirovini,
– potvrda Centra
za socijalni rad o poslovnoj sposobnosti,
– da nije korisnik
doplatka za tuđu njegu i pomoć.
Ukoliko je
izabrana osoba iz stavka 1. ovog članka izvanredni student mora priložiti,
pored navedenih dokumenata za nezaposlenu osobu i uvjerenje o pohađanju visokog
učilišta i veleučilišta.
Ukoliko izabrana
osoba iz stavka 1. ovog članka nije državljanin Republike Hrvatske dužna je
priskrbiti osobnu radnu dozvolu i posjedovati radnu knjižicu.
Članak 32.
Po pribavljenom
mišljenju o izboru Ured državne uprave dužan je u roku 8 dana donijeti rješenje
kojim se predloženoj osobi utvrđuje status njegovatelja.
Rješenje iz stavka
1. ovog članka ne podliježe reviziji.
Članak 33.
Njegovatelj koji
ostvaruje pravo na mirovinsko i zdravstveno osiguranje po jedan primjerak
rješenja iz članka 32. ovog Pravilnika dostavlja se nadležnoj službi Hrvatskog
zavoda za mirovinsko osiguranje odnosno Hrvatskog zavoda za zdravstveno
osiguranje s propisanom dokumentacijom.
Članak 34.
Ured državne
uprave vodi evidenciju o rješenjima iz članka 32. ovog Pravilnika te o
izvršenim isplatama i njihovom broju.
Članak 35.
Troškove postupka
za ostvarivanje prava po ovom Pravilniku snosi tijelo koje vodi postupak.
Članak 36.
Troškovi u svezi s ocjenjivanjem psihofizičke
i zdravstvene sposobnosti predložene osobe za pružanje njege i pomoći, troškovi
tečaja za osposobljavanjne za pružanje njege i pomoći, te drugi troškovi snosi
tijelo koje vodi postupak.
ZAVRŠNE ODREDBE
Članak 37.
U postupku za ostvarivanje prava po ovom Pravilniku primjenjuju se
odredbe Zakona o općem upravnom postupku, ako ovim Pravilnikom nije drugačije
određeno.
Članak 38.
Danom stupanja na snagu ovog Pravilnika prestaje se primjenjivati Pravilnik
o izboru, načinu i postupku ostvarivanja prava osoba koje pružaju njegu i pomoć
hrvatskim ratnim vojnim invalidima 100% I grupe (»Narodne novine« broj:
108/95).
Članak 39.
Ovaj Pravilnik stupa na snagu danom objave u »Narodnim novinama«.
Klasa: 011-01/02-01/16
Urbroj: 519-01-02-01
Zagreb, 8. svibnja 2002.
Ministar
Ivica Pančić, v. r.