Na osnovu člana 14. stav 3, člana 15. stav 5, člana 16. stav 3, člana 17. stav 2. i člana 18. stav 2. Zakona o elektronskom dokumentu ("Službeni glasnik RS", broj 51/09),
Ministar za telekomunikacije i informaciono društvo donosi
PRAVILNIK
O IZDAVANjU VREMENSKOG ŽIGA
(Objavljen u "Sl. glasniku RS", br. 112 od 30. decembra 2009)
I. OSNOVNE ODREDBE
Član 1.
Ovim pravilnikom propisuju se bliži uslovi i postupak registracije izdavaoca vremenskog žiga, bliži uslovi koje mora da ispunjava sistem za formiranje vremenskog žiga, bliža sadržina zahteva za formiranje vremenskog žiga, bliži sadržaj strukture podataka vremenskog žiga, postupak označavanja vremena koje je sadržano u vremenskom žigu, kao i sadržaj i način vođenja Registra izdavalaca vremenskog žiga u Republici Srbiji (u daljem tekstu: Registar).
II. BLIŽI USLOVI I POSTUPAK REGISTRACIJE IZDAVAOCA VREMENSKOG ŽIGA
Politika izdavanja vremenskog žiga
Član 2.
Izdavalac vremenskog žiga, uz zahtev za upis u Registar izdavalaca vremenskog žiga podnosi akt o opštim uslovima za pružanje usluge izdavanja vremenskog žiga (u daljem tekstu: Politika izdavanja vremenskog žiga), kojim se obezbeđuje dovoljno informacija na osnovu kojih se korisnici mogu odlučiti o prihvatanju usluga i o obimu usluga.
Član 3.
Politika izdavanja vremenskog žiga definiše zahteve poslovanja izdavaoca vremenskog žiga, kao i procese i resurse izdavaoca vremenskog žiga u cilju ispunjenja tih zahteva.
Član 4.
Politika izdavanja vremenskog žiga treba da bude u skladu s međunarodnim standardima i stručnim pravilima, a posebno ETSI TS 102 023 "Policy reljuirements for time-stamping authorities".
Član 5.
Izdavalac vremenskog žiga mora imati definisan proces periodične analize i održavanja Politike izdavanja vremenskog žiga.
Član 6.
Izdavalac vremenskog žiga obezbeđuje uslove za pouzdano pružanje usluga, a naročito:
1) dostupnost svojih usluga svim korisnicima čije su aktivnosti u skladu sa objavljenom Politikom izdavanja vremenskog žiga;
2) zaštitu ličnih podataka korisnika;
3) resurse potrebne za izdavanje vremenskog žiga u skladu s Politikom izdavanja vremenskog žiga;
4) efikasno postupanje u rešavanju reklamacija i sporova sa korisnicima ili drugim zainteresovanim stranama u vezi izdavanja vremenskog žiga.
Član 7.
U Politici izdavanja vremenskog žiga mora biti određeno postupanje u slučaju prestanka rada izdavaoca vremenskog žiga.
Postupanje u slučaju prestanka rada iz stava 1. ovog člana mora biti određeno tako da obezbedi da su potencijalne smetnje korisnicima i trećim licima što manje, da obezbedi dalje čuvanje svih relevantnih podataka o ispravnosti izdatih vremenskih žigova, a posebno da predvidi:
1) javno objavljivanje informacije o prestanku rada;
2) obezbeđivanje daljeg pouzdanog čuvanja svog javnog ključa ili sertifikata i svih relevantnih podataka potrebnih za dokazivanje validnosti izdatih vremenskih žigova, što može biti povereno drugoj organizaciji;
3) pouzdano uništavanje privatnih ključeva;
4) opozov svih sertifikata izdavaoca vremenskog žiga.
Interna pravila
Član 8.
Izdavalac vremenskog žiga utvrđuje i interna pravila rada i zaštite sistema (u daljem tekstu: Interna pravila). Interna pravila predstavljaju poslovnu tajnu izdavaoca vremenskog žiga.
Interna pravila uređuju:
1) sistem fizičke kontrole pristupa u pojedine prostorije izdavaoca vremenskog žiga;
2) sistem logičke kontrole pristupa računarskim resursima izdavaoca vremenskog žiga;
3) sistem za čuvanje privatnog ključa izdavaoca vremenskog žiga;
4) sistem distribuirane odgovornosti pri aktivaciji privatnog ključa izdavaoca vremenskog žiga;
5) postupanje u vanrednim situacijama (požari, poplave, zemljotresi, druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem izdavaoca vremenskog žiga).
Kadrovski resursi i upravljanje operativnim radom izdavalaca vremenskog žiga
Član 9.
Izdavalac vremenskog žiga obezbeđuje strukturu stalno zaposlenih u skladu sa zahtevima za pouzdano i bezbedno funkcionisanje izdavalaca vremenskog žiga na osnovu Zakona o elektronskom dokumentu (u daljem tekstu: Zakon) i ovog pravilnika.
Član 10.
Izdavalac vremenskog žiga obezbeđuje neophodne kadrovske resurse, i sa njima povezane preduslove, a naročito to da:
1) zaposleni u izdavaocu vremenskog žiga moraju da poseduju iskustvo i neophodnu kvalifikaciju za usluge koje izdavalac vremenskog žiga nudi, kao i za odgovarajuće poslovne funkcije;
2) uloge i poslovne funkcije zaposlenih, utvrđene u Politici izdavanja vremenskog žiga, moraju biti dokumentovane i detaljno specifikovane, sa opisima svakog radnog mesta u izdavaocu vremenskog žiga. Poslovne funkcije od najvišeg nivoa poverljivosti, od kojih najviše zavisi bezbednost funkcionisanja izdavaoca vremenskog žiga, moraju biti posebno i jasno identifikovane kao bezbednosne funkcije;
3) zaposleni u izdavaocu vremenskog žiga moraju imati opise poslova definisane sa stanovišta razdvajanja obaveza i ovlašćenja i razdvajanja opštih i specifičnih funkcija izdavaoca vremenskog žiga, a poželjno je da sadrže i uslove u pogledu specifičnih veština i iskustva koji se traže od zaposlenih;
4) niko od zaposlenih u izadavaocu vremenskog žiga sa bezbednosnim funkcijama ne sme svojim postupcima dovesti u pitanje nepristrasnost rada izdavaoca vremenskog žiga;
5) zaposleni u izdavaocu vremenskog žiga moraju biti formalno ovlašćeni za bezbednosne funkcije od strane izdavaoca vremenskog žiga;
6) izdavalac vremenskog žiga može ovlastiti za bezbednosne funkcije samo osobe koje su pouzdane i odgovorne u obavljanju svojih poslova.
Sistemi fizičke zaštite uređaja, opreme i podataka i sigurnosna rešenja zaštite od neovlašćenog pristupa
Član 11.
Izdavalac vremenskog žiga obezbeđuje kontrolu fizičkog pristupa svojim bezbednosno kritičnim resursima, kako bi se rizik neovlašćenog pristupa sveo na najmanju moguću meru.
Član 12.
Izdavalac vremenskog žiga obezbeđuje da:
1) se fizički pristup prostorijama u kojima se obavlja generisanje vremenskih žigova ograniči samo na ovlašćene osobe;
2) su implementirane neophodne mere u cilju izbegavanja gubitaka, oštećenja ili kompromitovanja ključnih resursa i eliminisanje mogućnosti prekida poslovnih aktivnosti;
3) se implementiraju odgovarajuće mere za sprečavanje kompromitovanja ili krađe informacija i/ili uređaja za obradu informacija;
4) su prostorije u kojima se vrši generisanje vremenskih žigova, takve da se operativni rad u njima odvija u okruženju koje obezbeđuje fizičku zaštitu bezbednosno kritičnih delova sistema za formiranje vremenskog žiga od kompromitacije prouzrokovane neovlašćenim pristupom sistemu i podacima;
5) se prostorije iz tačke 4) ovog stava ne dele sa drugim organizacijama;
6) su implementirane odgovarajuće fizičke mere i kontrole bezbednosnog