http://www.informasiya.org/index.php?id=113

1. Ümumi müddəalar

1.1. Bu Qaydalar «Elektron imza və elektron sənəd haqqında» Azərbaycan Respublikası Qanununun tətbiq edilməsi barədə» Azərbaycan Respublikası Prezidentinin 2004-cü il 26 may tarixli 65 nömrəli Fərmanının 1.7-ci bəndinə uyğun olaraq sertifikat xidmətləri mərkəzlərinin (bundan sonra - Mərkəz) fəaliyyətinin təşkili, o cümlədən sertifikat xidmətlərinin göstərilməsi, sertifikatların verilməsi və onların reyestrinin aparılması qaydalarını tənzimləyir.

1.2. Bu Qaydalar Azərbaycan Respublikasında fəaliyyət göstərən sertifikat xidmətləri mərkəzlərinin və akkreditə edilmiş sertifikat xidmətləri mərkəzlərinin (bundan sonra - akkreditə edilmiş Mərkəz) fəaliyyətinə şamil edilir.

Korporativ informasiya sisteminə xidmət edən mərkəzlərin fəaliyyəti «Elektron imza və elektron sənəd haqqında» Azərbaycan Respublikası Qanununun (bundan sonra – Qanun) tələbləri nəzərə alınmaqla, sistemin daxili normativ sənədləri ilə tənzimlənir.

2. Sertifikat xidmətlərinin göstərilməsi və tərəflərin vəzifələri

2.1. Qeydiyyatdan keçmiş Mərkəz elektron imzanın istifadəsi ilə bağlı aşağıdakı xidmətləri göstərə bilər:

sertifikatın verilməsi;
sertifikatın qüvvəsinin dayandırılması, bərpa edilməsi və sertifikatın ləğv edilməsi;
sorğulara əsasən sertifikatlar barədə məlumatların verilməsi;
vaxt göstəricilərinin qeyd edilməsi;
elektron imzanın yaradılması;
imzanın istifadəsi üzrə məsləhətlər verilməsi.

2.2. Akkreditə edilmiş Mərkəz bu Qaydaların 2.1-ci bəndində göstərilmiş xidmətləri təkmil sertifikat və gücləndirilmiş elektron imza üzrə həyata keçirir.

2.3. Akkreditə edilmiş Mərkəz xidmətlərin etibarlı göstərilməsi üçün aşağıdakıları təmin etməlidir:

a) direktoriyanın göstərilməsi və mühafizəsi, sertifikatın ləğv edilməsi xidmətinin etibarlı və təxirəsalınmadan yerinə yetirilməsini;
b) sertifikatın verilməsi, onun ləğv edilmə tarixi və vaxtının dəqiq göstərilməsini;
c) qanunauyğun olaraq imza sahibi barədə məlumatların yoxlanılmasını;
ç) sertifikat xidmətləri sahəsində qəbul edilmiş tələblərə uyğun olan inzibatçılıq və idarəetmə üsullarından istifadə edən bilikli, təcrübəli, səriştəli (xüsusən də idarəetmə, elektron imza texnologiyaları və təhlükəsizlik tədbirlərini həyata keçirmək qabiliyyətli) kadrlara malik olmanı;
d) texniki və kriptoqrafik təhlükəsizliyi təmin edən etibarlı sistemləri və proqram vasitələrindən istifadəni;
e) sertifikatların saxtalaşdırılmasına qarşı tədbirlərin görülməsini, Mərkəzdə elektron imza yaratma məlumatları yaradıldıqda isə bu proses zamanı konfidensiallığın təmin edilməsini;
ə) emal olunan informasiyanın mühafizəsi üçün texniki, kriptoqrafik və təşkilati tədbirlər kompleksinin müəyyən edilmiş tələb və standartlara uyğun həyata keçirilməsini;
f) fəaliyyətini həyata keçirməyə, o cümlədən dəymiş ziyanı ödəməyə imkan verən maliyyə vəsaitlərinə malik olmanı;
g) təkmil sertifikatlarla bağlı xidmət göstərilməsi zamanı toplanılan bütün məlumatların qanunvericiliyə uyğun saxlanılmasını;
ğ) imza sahibinə məxsus elektron imza yaratma məlumatlarının qanunsuz saxlanılmamasını və ya köçürülməməsini;
h) imza sahibi ilə müqavilə bağlamazdan əvvəl onun sertifikatının və imza vasitələrinin istifadə qaydaları, o cümlədən sertifikatın istifadə məhdudiyyətləri, Mərkəzin hüquqi statusu və akkreditə vəziyyəti, iddialara baxılma və mübahisələrin həlli barədə yazılı, aydın oxunan şəkildə məlumatlandırılmasını;
x) sertifikatların saxlanılması üçün aşağıdakı tələblərə cavab verən sistemlərin istifadəsini:
- ancaq səlahiyyətli şəxslərin müraciət və düzəlişlər etmə imkanının olması;
- informasiyanın autentikliyinin yoxlanılması;
- sertifikatların və sertifikatla bağlı məlumatların yalnız imza sahibinin icazəsi ilə ümumi axtarış üçün açıq olması;
- təhlükəsizlik tələblərinə zidd olan texniki dəyişikliklərin operatora bəlli olması;
sertifikat xidmətlərinin göstərilməsi üçün nəzərdə tutulmuş proqram-texniki vasitələrin təhlükəsizliyi, bu vasitələrin mühafizə edilən otaqlarda yerləşdirilməsi və otaqlara kənar şəxslərin buraxılmaması.
2.4. Mərkəzin imza yaratma məlumatlarından yalnız verilən imza sertifikatlarının, imza sertifikatlarına dair məlumatların və vaxt göstəricilərinin təsdiqi üçün istifadə edilə bilər.
2.5. Mərkəzlər göstərdiyi xidmətləri imza sahibi ilə bağlanmış müqavilənin şərtlərinə uyğun olaraq həftənin bütün günlərinin tam 24 saatında etibarlı, təhlükəsiz olaraq təmin etməlidirlər.

2.6. İmza sahibi aşağıdakılara riayət etməlidir:

a) Mərkəzə tam və düzgün məlumatlar təqdim etmək;
b) imza yaratma və yoxlama məlumatlarından yalnız sertifikatda nəzərdə tutulmuş münasibətlərdə istifadə etmək;
c) imza yaratma məlumatlarını və imza vasitələrini qorumaq, onlardan digər şəxslərin istifadəsinə yol verməmək;
ç) imza yaratma məlumatlarının üzərində nəzarəti itirdikdə və ya buna təhlükə yarandıqda, Mərkəzə dərhal xəbər vermək və sertifikatın qüvvəsinin dayandırılmasını tələb etmək;
d) Mərkəzin “Sertifikat siyasəti”ndə nəzərdə tutulmuş digər tələblərə riayət etmək.

3. Sertifikatın verilməsi

3.1. Sertifikat müraciət etmiş şəxslə Mərkəz arasında bağlanmış yazılı müqavilə əsasında verilir. Bu məqsədlə imza sahibi və ya onun adından çıxış etmək səlahiyyəti olan şəxs Mərkəzə müəyyən olunmuş formalı ərizə ilə müraciət edir.

3.2. Ərizəyə aşağıdakı sənədlər əlavə olunur:

- imza sahibinin şəxsiyyətini təsdiq edən sənədin surəti;
- imza sahibinin adından çıxış etmək səlahiyyəti olan şəxsə verilən etibarnamə;
- hüquqi şəxs adından çıxış etmək səlahiyyəti olan şəxsə verilən etibarnamə;
- imza sahibinin elektron imzanı yoxlama məlumatları.

3.3. İmza sahibi özü tərəfindən yaradılmış imzanı yoxlama məlumatlarına sertifikat almaq üçün müraciət etdikdə, sertifikatın verilməsi sorğusunun mətninin kağızda çap olunmuş və elektron nüsxələrini təqdim etməlidir. İmza sahibinin imza yaratma və yoxlama məlumatları Mərkəzin müəyyənləşdirdiyi tələblərə cavab verməlidir.

3.4. Zərurət olduqda, Mərkəz müraciət etmiş şəxsə imza və yoxlama məlumatlarını yaratması üçün öz avadanlıqlarını istifadəyə verə bilər.

3.5. Mərkəz imza sahibi tərəfindən təqdim olunmuş sənədlərin düzgünlüyünü yoxlayır.

3.6. Sənədlərin yoxlanılması və sertifikatın verilməsi ərizənin daxil olduğu tarixdən 2(iki) iş günü ərzində aparılır.

3.7. Təqdim olunmuş sənədlər düzgün olduqda, müraciət etmiş şəxslə Mərkəz arasında yazılı müqavilə bağlanılır və ona sertifikat verilir, əks halda isə Mərkəz sertifikatın verilməsindən imtina edir.

3.8. Müqavilədə göstərilən xidmətlərin növü və təsviri, müddəti, qiyməti, xüsusi şərtləri, sertifikata daxil edilən digər məlumatlar, həmçinin təkmil sertifikatlar və onlar barədə məlumatların ümumi axtarışına imza sahibinin razılığı göstərilməlidir. Qiymətlər mövcud qanunvericiliyin tələbləri nəzərə alınmaqla müəyyən edilir.

3.9. Mərkəz sertifikatın verilməsi üçün imza sahibi ilə müqavilə bağlamazdan əvvəl onu sertifikatın və imza vasitələrinin istifadə qaydaları, mərkəzin hüquqi statusu və akkreditə vəziyyəti barədə məlumatlandırmalıdır.

3.10. Hazırlanmış sertifikat kağız daşıyıcıda və elektron formada imza sahibinə təqdim edilir. Kağız daşıyıcıdakı sertifikat Mərkəzin rəsmi blankında 2 (iki) nüsxədə tərtib edilir, səlahiyyətli şəxsin imzası ilə və möhürlə təsdiq olunur. Kağız daşıyıcıdakı sertifikatlar imza sahibi tərəfindən imzalandıqdan sonra bir nüsxəsi Mərkəzə qaytarılır. Elektron formadakı sertifikat onu verən Mərkəzin gücləndirilmiş imzası ilə təsdiq edilir.

3.11. Mərkəzdə imza sahibinin şəxsiyyətinin müəyyənləşdirilməsindən sonra o, verilənlər daşıyıcısında yazılmış imza yaratma və yoxlama məlumatlarının, kağız daşıyıcıdakı sertifikatın alınması, həmçinin Mərkəz tərəfindən məlumatlandırılmanın aparılması barədə müvafiq jurnallarda imza edir.

3.12. Verilmiş sertifikat Mərkəz tərəfindən “Verilmiş sertifikatlar reyestri”nə daxil edilir və bu andan dərc edilmiş sayılır.

3.13. Verilən sertifikatların qüvvədə olma müddəti 3 (üç) ildən az olmamalıdır, imza yaratma və yoxlama məlumatlarının qüvvədə olıma müddəti isə şərti olaraq 1 (bir) ildir.

4. Sertifikatın qüvvəsinin dayandırılması, bərpa edilməsi və sertifikatın ləğv edilməsi

4.1. Sertifikat verildikdən sonra Mərkəz Qanunun 13-cü və 14-cü maddələrində müəyyən edilmiş hallarda onun qüvvəsini dayandıra, bərpa və ya ləğv edə bilər. Bu zaman Mərkəz “Sertifikatlar reyestri”ndə sertifikatın vəziyyətindəki dəyişikliklərin qeydiyyatını aparır.

4.2. İmza sahibi sertifikatın qüvvəsinin dayandırılması, bərpa edilməsi və ya sertifikatın ləğv edilməsi üçün ərizə ilə Mərkəzə müraciət etməlidir. Mərkəz müraciətə uyğun olaraq təxirəsalınmadan müvafiq tədbir görür, bu barədə imza sahibini məlumatlandırır və “Sertifikatlar reyestri”ndə sertifikatda edilən dəyişikliklərin qeydiyyatını aparır.

4.3. İmza yaratma məlumatlarının məxfiliyinin pozulması kimi qiymətləndirilən aşağıdakı hallarda imza sahibi 3 (üç) saat ərzində aidiyyəti Mərkəzə məlumat verməlidir:

imza yaratma məlumatları daşıyıcısı itdikdə;
imza yaratma məlumatları daşıyıcısı itdikdə və sonradan tapıldıqda;
informasiya sistemində konfidensial informasiyanın sızmasına və ya təhrif olunmasına ciddi şübhələr olduqda;
imza yaratma məlumatları daşıyıcılarının saxlandığı vasitələrə müdaxilə əlamətləri və ya şübhələr olduqda;
imza yaratma məlumatlarının və onların aktivləşdirilməsi kodu digər şəxslərə bəlli olduqda;
imza yaratma məlumatlarının yaradılmasında iştirak etmiş əməkdaşlar işdən çıxdıqda.

4.4. Mərkəzin imza yaratma məlumatlarının məxfiliyi pozulduqda, Mərkəz müvafiq təkmil sertifikatın ləğv edilməsi, həmçinin imza yaratma məlumatlarının dəyişdirilməsi üçün təxirəsalınmaz tədbirlər həyata keçirir. Bu halda Mərkəz xidmət göstərdiyi imza sahiblərini məlumatlandırır və onların imza yaratma məlumatları ilə imzalanmış sertifikatlarının dəyişdirilməsini ödənişsiz təmin edir.

4.5. Sertifikatın qüvvəsinin dayandırılması, bərpa edilməsi və ləğv edilməsi, məxfiliyinin pozulması hallarında imza yaratma məlumatlarının dəyişdirilməsi prosedurları mərkəzlərin fəaliyyətini tənzimləyən sənədlərdə nəzərdə tutulmalıdır.

5. Sertifikatlar barədə sorğular

5.1. Sertifikat xidmətlərinin istifadəçiləri verilmiş sertifikatlar barədə məlumatların təqdim olunması, imza yoxlama məlumatının imza sahibinə məxsus olmasının təsdiqlənməsi barədə sertifikatı vermiş Mərkəzə sorğu ilə müraciət edə bilərlər.

5.2. İmza sahibinin razılığı olmayan hallar istisna olmaqla, sertifikatlar barədə sorğulara əsasən Mərkəz verdiyi sertifikatın məxsus olduğu şəxs, sertifikatın statusu və sertifikat barədə digər məlumatları verə bilər.

5.3. Sertifikatlar barədə sorğular üzrə xidmət göstərilməsi Mərkəz tərəfindən ödənişsiz aparılır və məlumatların verilməsinə haqq alınmır.

5.4. Mərkəzlər sertifikatların vəziyyətinin real vaxt rejimində də yoxlanılmasını həyata keçirə bilərlər.

6. Vaxt göstəricilərinin qeyd edilməsi

6.1. Vaxt göstəricilərinin qeyd edilməsi xidməti zamanı vaxt göstəricisinin yaradılması, onun xidmətin istifadəçisinə təqdim edilməsi, qeydiyyatının aparılması və saxlanılması həyata keçirilir.

6.2. Mərkəz vaxt göstəricilərinin qeydiyyatı xidmətini göstərdikdə, fəaliyyəti üzrə ümumi tələblərlə yanaşı, vaxt göstəricilərinin qeydiyyatı ilə bağlı olan tələblərə də riayət etməli və müvafiq tənzimləyici sənəd əsasında fəaliyyət göstərməlidir. Mərkəz yalnız vaxt göstəricilərinin qeydiyyatı xidməti göstərdikdə isə sertifikatlarla bağlı fəaliyyəti tənzimləyən sənədləri hazırlamalıdır.

6.3. Vaxt göstəricisində saniyə dəqiqliyi ilə ümumdünya əlaqələndirilmiş vaxtla sinxronlaşdırılmış Bakı vaxtı istifadə edilir və yaradılma anında gücləndirilmiş elektron imza ilə qeyd edilir.

6.4. Vaxt göstəricisinin yoxlanılması istifadəçinin imza yoxlama məlumatı əsasında aparılır.

6.5. Vaxt göstəricilərinin qeydiyyatı mövcud tələblərin pozulması ilə həyata keçirildikdə, xüsusən, vaxtın dəqiqliyinə riayət olunmadan və ya qüvvədə olmayan təkmil sertifikata malik gücləndirilmiş imzadan istifadə edildikdə, vaxt göstəricisi həqiqi sayılmır.

7. Elektron imzanın yaradılması

7.1. Mərkəzlər öz texniki vasitələrini imza sahiblərinə təqdim etməklə,onlara elektron imzanın yaradılma xidmətini göstərirlər.

7.2 İmza sahibi bu vasitələrdən sərbəst şəkildə istifadə edərək, imza yaratma məlumatları vasitəsilə elektron imza yaradırlar.

7.3. Mərkəzlər texniki vasitələrin fəaliyyətinin və imza sahibinin istifadə etdiyi imza yaratma məlumatlarının təhlükəsizliyinə məsuliyyət daşıyırlar.

8. İmzanın istifadəsi üzrə məsləhətlər verilməsi

8.1. İmza sahiblərinin elektron imzadan düzgün və səmərəli istifadə etməsi məqsədi ilə mərkəzlər məsləhətlər verilməsi xidmətini həyata keçirirlər.

8.2. Qanunun 17.2-ci maddəsinə uyğun olaraq, müqavilə bağlamazdan əvvəl sertifikatın və imza vasitələrinin istifadə olunma qaydaları barədə imza sahibi ilə aparılan məlumatlandırma bu xidmətə aid deyildir.

9. Reyestrin aparılması

9.1. Reyestr mərkəzlər tərəfindən aparılan və onların gücləndirilmiş imzası ilə təsdiq edilən siyahıdır. Mərkəz “Sertifikatların reyestri”ni və “Ləğv edilmiş sertifikatların siyahısı”nı və digər siyahıları (məsələn, “delta” siyahı) aparır.

9.2. Reyestrin tərkibinə aşağıdakı məlumatlar daxil edilir:

- sertifikatın seriya nömrəsi;
- imza sahibi barədə məlumatlar;
- sertifikatın qüvvədə olduğu müddət (müddətin başlandığı və qurtardığı vaxt, tarix);
- sertifikatın qüvvəsinin dayandırılması və ya ləğv edilməsi, tarixi və səbəbi.

9.3. Reyestr və siyahılara müraciət imkanı 7 gün 24 saat ərzində təmin edilməlidir.

9.4. Qüvvədə olan, qüvvəsi dayandırılmış və ləğv edilmiş sertifikatların siyahılarının yeniləşdirilməsi 3 saatdan gec olmayaraq, avtomatik yerinə yetirilməlidir.

9.5. Sertifikatın verilməsi sorğusunun daxil olması ilə Mərkəzdə reyestrə məlumatların daxil edilməsi arasındakı müddət 72 saatdan, akkreditə edilmiş Mərkəzdə isə 24 saatdan çox olmamalıdır.

9.6. Mərkəz qüvvədə olma müddəti başa çatmış sertifikatları reyestrdən çıxarmalı və arxivə verməlidir.

9.7. Reyestrlərin aparılması zamanı aşağıdakılar təmin olunmalıdır:

reyestrə məlumatlar yalnız müvafiq səlahiyyətli işçilər tərəfindən daxil edilməlidir;
məlumatlarda icazəsiz dəyişiklik edilməməlidir;
icazəsiz müdaxilənin qarşısının alınması üçün tədbirlər görülməlidir.

9.8. Reyestrlərin aparılma proseduru mərkəzlərin fəaliyyətini tənzimləyən sənədlərdə nəzərdə tutulmalıdır.

10. Mərkəzin fəaliyyətinə aid tələblər

10.1. Mərkəzin fəaliyyətinin Qanunun tələblərinə uyğun qurulması və həyata keçirilməsi, onun etibarlılığının və təhlükəsizliyinin təmin olunması, həmçinin istifadəçilərə açıqlanması məqsədi ilə hər bir Mərkəz tənzimləyici sənədlər tərtib edərək onlara riayət etməlidir.

10.2. Hər bir Mərkəz öz fəaliyyətini əsasən "Sertifikat siyasəti" və "Sertifikatın tətbiqi qaydaları" kimi tənzimləyici sənədlər əsasında həyata keçirir.

10.3. "Sertifikat siyasəti" Mərkəzin fəaliyyətinin təşkilinin əsaslarını göstərir, "Sertifikatın tətbiqi qaydaları" isə onun həyata keçirilməsi qaydasını müəyyənləşdirir.

10.4. "Sertifikat siyasəti" özündə sertifikatların verilməsi, dərc olunması haqqında məlumatları, həmçinin Mərkəzin göstərdiyi xidmətləri əks etdirən sənəddir.

10.5. "Sertifikatın tətbiqi qaydaları" xidmətin göstərilməsi zamanı təhlükəsizlik tədbirləri, sertifikatların verilməsi, qüvvəsinin dayandırılması, bərpa olunması və ləğv edilməsi haqqında məlumatları, sertifikatlara müraciət imkanlarını əhatə edir.

10.6. Mərkəz vaxt göstəricisinin qeydiyyatı xidmətini göstərdikdə, "Vaxt göstəricisinin qeyd edilməsi qaydası"nı tərtib edib ona riayət etməlidir.

10.7. Mərkəzlər fəaliyyəti dövründə texniki, kadr və maliyyə imkanlarına, o cümlədən istifadəçilərə vurula biləcək zərəri ödəmək üçün maliyyə imkanlarına malik olmalı, etibarlı və fasiləsiz xidmət göstərməlidirlər.

11. Təhlükəsizlik tədbirləri üzrə tələblər

11.1. Mərkəzlər fəaliyyətlərinin təhlükəsizliyini və imza sahibləri barədə məlumatların mühafizəsini informasiya təhlükəsizliyi üzrə beynəlxalq standartlara uyğun olan prosedurlar əsasında təmin etməlidirlər.

11.2. Təhlükəsizlik prosedurları əsasən aşağıdakıları əhatə etməlidir:

informasiya təhlükəsizliyi (idarəçilik və prosedur səviyyələrində) tədbirləri;
maliyyə vəsaitləri və zərərin ödənilmə mexanizmləri;
işçi heyətə aid tələblər;
avadanlıqların, həmçinin onların yerləşdiyi yerlərin mühafizəsi və onlardan ancaq icazəli şəxslərin istifadəsinin təmin edilməsi;
informasiya sistemlərinə icazəsiz daxilolmanın qarşısının alınması tədbirləri;
icazəsiz olaraq dəyişikliklər aparılmasının qarşısının alınması üzrə tədbirlər.

11.3. Mərkəz təhlükəsizlik tələblərinə riayət olunduğunu müəyyənləşdirmək, eyni zamanda xidmətlərin istifadəçilərində etibarlılığa inam yaradılması məqsədi ilə fəaliyyətə başladığı müddət nəzərə alınmaqla, hər il informasiya sisteminin təhlükəsizlik auditini keçirməlidir. Auditin nəticəsi 30 (otuz) gün ərzində Azərbaycan Respublikasının Rabitə və İnformasiya Texnologiyaları Nazirliyinə (bundan sonra - RİTN) təqdim edilir.

11.4. Təhlükəsizlik prosedurları ictimaiyyət üçün açıqlanmır, onunla yalnız RİTN və onun səlahiyyətli nümayəndələri nəzarət funksiyalarını yerinə yetirərkən tanış ola bilərlər.

11.5. Akkreditə edilmiş Mərkəzin fəaliyyətinin təhlükəsizliyi informasiya mühafizəsi sisteminin layihələndirilməsində iştirak edən, bu sistemə texniki xidmət göstərən və informasiyanın mühafizəsinin vəziyyətinə nəzarət edən xüsusi təyin edilmiş səlahiyyətli şəxs və informasiya mühafizəsi xidməti tərəfindən təmin olunur.

12. Maliyyə imkanlarına olan tələblər

12.1. Mərkəz fəaliyyətini Qanuna uyğun olaraq tam şəkildə həyata keçirmək üçün kifayət edən maliyyə imkanlarına malik olmalıdır. Maliyyə resursları aşağıdakıları təmin etməlidir:

- fəaliyyətinin həyata keçirilməsini;
- lazım olan avadanlıq və vasitələrin əldə edilməsi və tətbiq edilməsini;
- işçi heyətin peşəkar səviyyədə saxlanılmasını;
- hər il informasiya sisteminin auditinin keçirilməsinin təmin edilməsini;
- istifadəçilərə dəyən ziyanın ödənilməsini.

12.2. Mərkəz göstərəcəyi xidmətlərin həcmindən və xüsusiyyətlərindən asılı olaraq, müəyyən edilmiş tələblərə uyğun şəkildə fəaliyyətini təmin etmək üçün bank hesabında qanunvericiliklə müəyyən edilmiş vəsaitə malik olmalıdır.

12.3. Mərkəzlər fəaliyyətləri nəticəsində imza sahibinə vurulmuş maddi zərərin ödənilməsi üçün prosedurlar müəyyənləşdirməlidirlər. Bu məqsədlə sığortalama imkanları da nəzərdə tutula bilər.

13. Kadrlara aid tələblər

13.1. Mərkəzlər fəaliyyətlərini təmin etmək məqsədi ilə bilikli, təcrübəli və səriştəli, həmçinin öhdəliklərini yerinə yetirmək üçün kifayət edən sayda işçi heyətə malik olmalıdırlar.

13.2. Mərkəzin texniki işçi heyəti ən azı aşağıda göstərilən sahələrdə təcrübəyə malik olmalıdır:

təhlükəsizlik texnologiyası, kriptoqrafiya, elektron imzanın idarəedilmə infrastrukturu;
təhlükəsizliyin qiymətləndirilməsi üzrə texniki normalar;
informasiya sistemləri.

13.3. Akkreditə edilmiş Mərkəzdə qeydiyyat inzibatçısı, sertifikat inzibatçısı, təhlükəsizlik inzibatçısı və sistem inzibatçısı vəzifələri nəzərdə tutulmalıdır.

Qeydiyyat inzibatçısı sertifikatların yaradılması və ləğvi, qüvvəsinin dayandırılması və bərpa edilməsi zamanı imza sahiblərinin müəyyənləşdirilməsini həyata keçirir.

Sertifikatlaşdırma inzibatçısı sertifikatların hazırlanmasına, sertifikatların reyestrlərinin aparılmasına və Mərkəzin imza yaratma məlumatlarının saxlanılmasına və istifadəsinə məsuldur.

Təhlükəsizlik inzibatçısı informasiya mühafizəsi xidmətinin tərkibində fəaliyyət göstərir və Mərkəzin informasiya mühafizəsi sisteminin işləməsinə cavabdehdir.

Sistem inzibatçısı Mərkəzin informasiya sisteminin proqram-texniki kompleksinin işinə cavabdehdir.

Təhlükəsizlik inzibatçısı vəzifəsinin digər vəzifələrlə birgə icrası qadağandır, bu qayda imkan daxilində digər vəzifələrə də şamil edilməlidir.

14. Texniki avadanlıq və texnologiyalara aid tələblər

14.1. Mərkəz sertifikatların, elektron imza yaratma və yoxlama məlumatlarının verilməsi üçün sertifikatlaşdırılmış imza vasitələrindən istifadə etməlidir.

14.2. Mərkəz fəaliyyətə başlamazdan əvvəl və qeydiyyatdan keçdikdən sonra hər il informasiya sisteminin auditini keçirməli, sistemdən etibarlı istifadəni təmin edən texnika və texnologiyaları tətbiq etməlidir.

14.3. Mərkəz elektron imzaların yaradılması xidmətini göstərdikdə, müvafiq texniki və prosedur üsullarla istifadə edilən imza vasitələrinin aşağıdakı şərtləri ödəməsi təmin olunmalıdır:

elektron imza yaratma məlumatlarının bir dəfə daxil edilməsi və onların məxfiliyinin qorunması;
zərurət olmadan elektron imza yaratma məlumatlarının surətinin çıxarılmaması və mövcud mümkün texnologiyalar vasitəsilə imzanın saxtalaşdırılmaqdan mühafizə edilməsi;
imza sahibinin malik olduğu elektron imza yaratma məlumatlarının başqaları tərəfindən istifadə edilməsinin qarşısının alınması.
14.4. İmza vasitələri imzalanacaq məlumatları dəyişdirməməlidir və ya bu məlumatları imzalanma prosesindən qabaq imzalayan şəxsə verilməsinin qarşısını almalıdır.
14.5. Mərkəz istifadə olunan informasiya sisteminin idarə olunması və təhlükəsizliyi məqsədi ilə beynəlxalq praktikada tanınan informasiya təhlükəsizliyi üzrə standartlara uyğun olan prosedurlardan və metodlardan istifadə etməlidir.
14.6. Mərkəzin istifadə etdiyi imza vasitələri əsasən aşağıdakı funksiyaları yerinə yetirməlidir:

sertifikatların verilməsi və onların idarə edilməsi ilə bağlı olan məlumatların mənbəyinin yoxlanılması;
mübadilə olunan məlumatların tamlığının yoxlanılması;
göndərilən məlumatların imzalanması;
işçi informasiyanın arxivləşdirilməsi və onların elektron imza ilə imzalanması;
saxlanılan və mübadilə olunan məlumatların, həmçinin istifadə edilmiş kriptoqrafik açarların tamlığının gözlənilməsi;
Mərkəz tərəfindən istifadə olunan imza yaratma məlumatları daşıyıcılarının mühafizə olunması;
informasiya resurslarına (Mərkəzin imza yaratma məlumatlarına, təkmil sertifikatlara, ləğv edilmiş sertifikatların siyahısına, saxlanılan digər rəsmi sənədlər barədə məlumatlara) müraciətin idarə olunması;
informasiya təhlükəsizliyi ilə əlaqədar keçirilən daxili auditlə bağlı məlumatların yaradılması və saxlanılması.

14.7. Mərkəz imza vasitələrindən həmçinin aşağıdakı məqsədlər üçün istifadə edə bilər:

elektron imzanın yoxlanılması;
sertifikatın vəziyyətinin real vaxt rejimində yoxlanılması protokolunun dəstəklənməsi;
təkmil sertifikatda unikal identifikasiya adının mövcudluğunun yoxlanılması;
imza yaratma məlumatlarının saxlanılması və istifadəsi üçün təhlükəsizliyi təmin edən parollu plastik kartlardan, şəxsi identikləşdirmə nömrəsindən və ya biometrik identikləşdirmə vasitələrindən istifadə edilməsi.

15. Sertifikat xidmətlərinin göstərilməsi üzrə məlumatların saxlanılmasına aid tələblər

15.1. Mərkəzlər Qanunun 15-ci maddəsinə uyğun olaraq sertifikat xidmətləri üzrə sənədlərin saxlanılmasını təmin etməlidirlər.

15.2. Sertifikatda göstərilmiş istifadə sahələri üzrə Azərbaycan Respublikasının qanunvericiliyi ilə müəyyən edilmiş müddət ərzində hüquqi qüvvədə olan, qüvvəsi dayandırılmış və ya ləğv edilmiş sertifikatlar, həmçinin ona aid digər sənəd və məlumatlar Mərkəzdə saxlanılır.

15.3. Mərkəz aşağıdakı sənədlərin saxlanılmasını təmin edir:

15.3.1. sertifikat xidmətlərinin təhlükəsizliyinin təmin edilməsinə aid sənədləri;
15.3.2. imza sahibləri ilə bağlanmış müqavilələri;
15.3.3. mərkəzin sertifikatı əsasında verilən sənədlərin surətlərini;
15.3.4. imza sahibinin təlimatlandırılmasını təsdiq edən sənədləri;
15.3.5. sertifikatın hüquqi qüvvəsinin dayandırılması, bərpa edilməsi və ləğv olunması haqqında sənədləri.

15.4. Mərkəzlər istifadə etdiyi texniki avadanlığın və texnologiyanın cari vəziyyəti ilə əlaqədar sənədləri də saxlamalıdırlar.

16. Standartlar və texniki sənədlər

16.1. Mərkəzlər fəaliyyətində aşağıdakı standartlara və texniki sənədlərə riayət etməlidirlər:

Akkreditə edilmiş Mərkəzin fəaliyyətinin ümumi təşkili ETSI TS 101 456, CEN/ISSS CWA 14167-1
Təkmil sertifikatlar ETSI TS 101 862, ITU-T Rec.X-509 v.3.
Sertifikatın verilməsi sorğusunun formatı PKCS#10
"Sertifikat siyasəti" və "Sertifikatın tətbiqi qaydaları" RFC 3647
İnformasiya sisteminin təhlükəsizliyinin auditi və ekspertizası standartı İSO15408 və ya ona uyğun olan milli standart
İmza yaratma məlumatlarının yaradılması, saxlanılması və ya istifadəsi Ümumi tələblər (Common Criteria), İSO15408-ə uyğun olaraq EAL3 və ya ondan yuxarı olan təhlükəsizlik səviyyəsi
Gücləndirilmiş elektron imza yaratma məlumatları CWA 14169 standartına uyğun və TS ISO/IEC 15408 (-1,-2,-3) və ya
ISO/IEC 15408 (-1,-2,-3) görə ən azı EAL4+
Elektron imzanın yoxlanılması CEN/İSSS CWA 14167-1
Sertifikatın vəziyyətinin real vaxt rejimində yoxlanılması protokolu RFC 2560
Alqoritmlər və parametrlər ETSI SR 002 176
İmza sahibinin imza yaratma və yoxlama məlumatları RSA üçün ən azı 1024 bit və ya
DSA üçün ən azı 1024 bit və ya DSA elliptik əyrisi üçün ən azı 160 bit
Heş-funksiya:
RIPEMD – 160; və ya
SHA – 1
Akkreditə edilmiş Mərkəzin imza yaratma və yoxlama məlumatları RSA - ən azı 2048 bit və ya
DSA - ən azı 2048 bit və ya
DSA elliptik əyrisi üçün ən azı 256 bit
Heş-funksiya:
RIPEMD – 160; və ya
SHA – 1
Təhlükəsizlik meyarları CEN/ISSS CWA 14167-1, ETSI TS 101 456 TS ISO/IEC 17799 və ya ISO/IEC 17799
Vaxt göstəriciləri və xidmətləri üzrə ETSI TS 101 861
CEN/ISSS CWA 14167-1
"Vaxt göstəricilərinin qeyd edilmə qaydası" ETSI TS 102 023
İmza yaratma və yoxlama proseduru QOST 34.310-95 İnformaüionnaə texnoloqiə. Kriptoqrafiçeskaə zahita informaüii. Proüedurı vırabotki i proverki glektronnoy üifrovoy podpisi na baze assimetriçnoqo kriptoqrafiçeskoqo alqoritma
Heş-funksiya QOST 34.311-95 İnformaüionnaə texnoloqiə. Kriptoqrafiçeskaə zahita informaüii. Funküiə xgşirovaniə


16.2. İstifadə edilmiş beynəlxalq anlayışlar

Sıra
№-si
İstifadə edilmiş anlayışlar İngilis dilində Qısaltmalar
1. Avropa Sertifikatlar Təşkilatı İnformasiya Cəmiyyətinin Standartlaşdırma Sistemi European Committee for Standardization Information Society Standardization System CEN/ISSS
2. Beynəlxalq Standartlar Təşkilatı International Standardization Organization ISO
3. Ləğv edilmiş sertifikatların reyestri Certificate Revocation List CRL
4. "Sertifikat siyasəti” Certificate Policy CP
5. Sertifikatın tətbiqi qaydaları Certificate Practice Statement CPS
6. Sertifikatın vəziyyətinin real vaxt rejimində yoxlanılması protokolu On-line certificate status protocol OCSP
7. Unikal identifikasiya adı Unique identification name Dname
8. Ümumdünya əlaqələndirilmiş vaxtı Coordinated Universal Time UTC
9. Ümumi tələblər Common Criteria CC



Azərbaycan Respublikası Nazirlər Kabinetinin 2006-cı il 28 yanvar tarixli 27 nömrəli qərarı ilə təsdiq edilmişdir