ДСТУ ETSI EN 319 403:2016 Електронні підписи та інфраструктури (ESI). Оцінювання відповідності провайдерів довірчих послуг. Вимоги до органів з оцінювання відповідності, що оцінюють провайдерів довірчих послу...

Даний документ доступний у тарифі «ВСЕ ВРАХОВАНО»

У Вас є питання стосовно документа? Ми раді на них відповісти!Перелік безкоштовних документівПомітили помилку в документі або на сайті? Будь ласка, напишіть нам про це!Залишити заявку на документ

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Електронні підписи та інфраструктури (ESI)
ОЦІНЮВАННЯ ВІДПОВІДНОСТІ
ПРОВАЙДЕРІВ ДОВІРЧИХ ПОСЛУГ
Вимоги до органів з оцінювання відповідності,
що оцінюють провайдерів довірчих послуг

ДСТУ ETSI EN 319 403:2016
(ETSI EN 319 403:2015, IDT)

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.org.ua)

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України, Технічний комітет «Інформаційні технології» (ТК 20)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 27 грудня 2016 р. № 451 з 2018-01-01

3 Національний стандарт відповідає ETSI EN 319 403:2015 Electronic Signatures and Infrastructures (ESI). Trust Service Provider Conformity Assessment — Requirements for conformity assessment bodiesassessing Trust Service Providers (Електронні підписи та інфраструктури (ESI). Оцінювання відповідності провайдерів довірчих послуг. Вимоги до органів з оцінювання відповідності, що оцінюють провайдерів довірчих послуг)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації

5 На заміну ДСТУ ETSI EN 319 403:2015

ЗМІСТ

Передмова

Національний вступ

Вступ до ETSI EN 319 403:2015

1 Сфера застосування

2 Нормативні посилання

2.1 Обов’язкові посилання

2.2 Довідкові посилання

3 Терміни та визначення понять

1.1 Визначення понять

1.2 Скорочення

4 Загальні вимоги

4.1 Юридичні та договірні питання

4.2 Управління неупередженістю

4.3 Відповідальність і фінансування

4.4 Недискримінаційні умови

4.5 Конфіденційність

4.6 Загальнодоступна інформація

5 Вимоги до структури

5.1 Організаційна структура та топ-менеджмент

5.2 Механізм захисту неупередженості

6 Потреби в ресурсах

6.1 Персонал органу з оцінки відповідності

6.2 Ресурси для оцінювання

7 Вимоги до процесу

7.1 Загальні вимоги

7.2 Заявка

7.3 Перевірка заявки

7.4 Аудит

7.5 Перевірка

7.6 Рішення про сертифікацію

7.7 Документація сертифікації

7.8 Каталог сертифікованих продуктів

7.9 Нагляд

7.10 Зміни, що стосуються сертифікації

7.11 Припинення, відновлення, призупинення чи анулювання сертифікації

7.12 Документація

7.13 Скарги та звернення

8 Вимоги до системи менеджменту

8.1 Опції

8.2 Загальна документація систем и менеджменту

8.3 Контролювання документів

8.4 Контролювання записів

8.5 Аналізування менеджменту

8.6 Внутрішній аудит

8.7 Дії з коригування

8.8 Запобіжні дії

Додаток А (довідковий) Кодекс поведінки аудитора

Додаток В (довідковий) Бібліографія

Історія

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ETSI EN 319 403:2016 (ETSI EN 319 403:2015, IDТ) «Електронні підписи та інфраструктури (ESI). Оцінювання відповідності провайдерів довірчих послуг. Вимоги до органів з оцінювання відповідності, що оцінюють провайдерів довірчих послуг», прийнятий методом перекладу, — ідентичний щодо ETSI EN 319 403:2015 «Electronic Signatures and Infrastructures (ESI). Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodiesassessing Trust Service Providers» (версія en).

Технічний комітет, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технологи».

Цей стандарт прийнято на заміну ДСТУ ETSI EN 319 403:2015, прийнятого методом підтвердження.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову». «Національний вступ», першу сторінку. «Терміни та визначення понять», бібліографічні дані — оформлено згідно з вимогами національної стандартизації України.

— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою;

— зі «Вступу» до ETSI EN 319 403:2015 у цей «Національний вступ» внесено все, що безпосередньо стосується цього стандарту;

— вилучено Передмову до ETSI EN 319 403:2015 як таку, що безпосередньо не стосується технічного змісту цього стандарту.

ВСТУП ДО ETSI EN 319 403:2015

ISO/IEC 17065 [1] — стандарт, який визначає загальні вимоги до органів з оцінювання відповідності (САВ), що здійснюють сертифікацію продукції, процесів або послуг. Ці вимоги не зосереджені на будь-якій конкретній предметній галузі, де працюють САВ.

У цьому стандарті доповнено загальні вимоги, що висувають додаткові спеціальні вимоги до САВ. які здійснюють сертифікацію провайдерів довірчих послуг (TSP) і довірчих послуг, які вони надають у межах підтримки визначених критеріїв, за якими перевіряють відповідність.

Цей стандарт мас відповідати загальним вимогам міжнародного співтовариства щодо забезпечення довіри й упевненості в електронних транзакціях, зокрема вимоги Регулювання (ЄС) № 910/2014 та вимогу форуму СА Browser Forum [і.10].

Цей стандарт спирається на підтримку національних органів з акредитації, визначених в Регулюванні (ЄС) № 765/2008 [і.4] в застосуванні ISO/IEC 17065 [1] для акредитації САВ. які засвідчують TSP і довірчі послуги, які вони послідовно надають. Відповідно до Ji.4], атестати, видані органами з оцінювання відповідності, акредитованими національним органом з акредитації, можуть бути офіційно визнані по всій Європі.

Цей стандарт не повторює вимог, викладенених в JSO/IEC 17065 [1]. але наслідує його структуру. За потреби мас бути зазначено додаткові вимоги стосовно ресурсів (розділ 6). а також процесів оцінювання (розділ 7). Для всіх інших розділів ISO/IEC 17065 [1] необхідні кілька нових вимог або вони не потрібні зовсім.

У цей стандарт внесено вимоги щодо аудиту системи управління TSP, визначені в ISO/IEC 17021 [і.12] і ISO/IEC 27006 [і.11]. Ці вимоги реалізують долученням обраного з цих стандартів тексту до цього стандарту, а також посиланнями на вимоги ISO/IEC 17021 [і.12].

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Електронні підписи та інфраструктури (ESI)
ОЦІНЮВАННЯ ВІДПОВІДНОСТІ
ПРОВАЙДЕРІВ ДОВІРЧИХ ПОСЛУГ
Вимоги до органів з оцінювання відповідності,
що оцінюють провайдерів довірчих послуг

ELECTRONIC SIGNATURES AND INFRASTRUCTURES (ESI)
TRUST SERVICE PROVIDER
CONFORMITY ASSESSMENT
Requirements for conformity assessment
bodiesassessing Trust Service Providers

Чинний від 2018-01-01

1 СФЕРА ЗАСТОСУВАННЯ

У цьому стандарті подано вимоги до компетентності, узгоджених дій та неупередженості органів з оцінювання відповідності, які виконують оцінювання, а також засвідчують відповідність провайдерів довірчих послуг (TSP) і довірчих послуг, які вони надають відповідно до визначених критеріїв, відповідність яким вони (провайдер та послуги) декларують.

Цей стандарт застосовує загальні вимоги стандарту ISO/IEC 17065 [1] з урахуванням конкретних вимог оцінювання відповідності TSP.

2 НОРМАТИВНІ ПОСИЛАННЯ

2.1 Обов’язкові посилання

Посилання с або конкретними (визначеними за датою публікації та/або номером видання або номером версії), або неспецифікованими. Для конкретних посилань застосовують тільки процитовану версію. Для неслецифікованих посилань застосовують останню версію документа, на який вказує посилання (разом з усіма поправками).

Документи, на які є посилання, можна переглянути на сайті http://docbox.etsi.org/Reference.

Наведений нижче документ потрібен для застосування цього стандарту.

ISO/IEC 17065 Conformity assessment Requirements for bodies certifying products, processes and services.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 17065 Вимоги з оцінювання відповідності для органів сертифікації продукції, процесів і послуг.

2.2 Довідкові посилання

Посилання с або конкретними (визначеними за датою публікації та/або номером видання або номером версії), або неспецифікованими. Для конкретних посилань застосовують тільки процитовану версію. Для неспецифікованих посилань застосовують останню версію документа, на який вказує посилання (разом з усіма поправками).

Наведені нормативні документи не обов’язкові для застосування цього стандарту.

i.1 Regulation 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

i.2 ETSI EN 319 411-1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General Requirements for Trust Service Providers issuing certificates.

і 3 ETSI EN 319 411-2 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for Trust Service Providers issuing qualified certificates

і.4 EC Regulation No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93.

i.5 ISO/IEC 17000:2004 Conformity assessment Vocabulary and general principles.

i.6 ETSI EN 319 401 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers supporting Electronic Signatures.

і 7 ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security.

і 8 ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements

і.9 ETSI EN 319 421 Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers providing Time-Stamping Services.

i.10 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates

i.11 ISO/IEC 27006 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems.

i.12 ISO/IEC 17021 Conformity assessment — Requirements for bodies providing audit and certification of management systems.

i.13 ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security controls

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

і.1 Регулювання 910/2014 Європейського Парламенту та Ради від 23 липня 2014 р. щодо електронної ідентифікації та довірчих послуг для електронних транзакцій на внутрішньому ринку, що скасовує Директиву 1999/93/ЄС

і.2 ETSI EN 319 411-1 Електронні підписи та інфраструктури (ESI). Вимоги щодо політики і безпеки для провайдерів довірчих послуг, що видають сертифікати. Частина 1. Загальні вимоги до провайдерів довірчих послуг, які видають сертифікати

i.3 ETSI EN 319 411-2 Електронні підписи та інфраструктури (ESI). Вимоги щодо політики і безпеки для провайдерів довірчих послуг, що видають сертифікати. Частина 2. Вимоги до провайдерів довірчих послуг, що видають кваліфіковані сертифікати

i.4 Регулювання ЄС N9 765/2008 Європейського Парламенту та Ради від 9 липня 2008 р. встановило вимоги, що пред'являють до акредитації та нагляду за ринком стосовно продукції на ринку, та скасовує Регулювання (ЄС) № 339/93

i.5 ISO/IEC 17000:2004 Оцінювання відповідності. Словник і загальні принципи

i.6 ETSI EN 319 401 Електронні підписи та інфраструктури (ESI). Загальні вимоги до політики провайдерів довірчих послуг, які підтримують електронні підписи

i.7 ISO/IEC 15408 Інформаційні технології. Методики безпеки. Критерії оцінки безпеки для IT

i.8 ISO/IEC 27001 Інформаційні технологи. Методики безпеки. Інформаційна безпека. Системи управління. Вимоги

i.9 ETSI EN 319 421 Електронні підписи та інфраструктури (ESI). Політика і безпека. Вимоги для провайдерів послуг, що надають послуги штемпелювання часу

i.10 CA/Browser Forum Базові вимоги до видачі та управління публічними сертифікатами, яким довіряють користувачі

і.11 ISO/IEC 27006 Інформаційні технології. Методики безпеки. Вимоги до органів, які проводять аудит і сертифікацію систем менеджменту інформаційної безпеки

i.12 ISO/IEC 17021 Оцінювання відповідності. Вимоги до органів, які проводять аудит і сертифікацію систем менеджменту

i.13 ISO/IEC 27002 Інформаційні технології. Методики безпеки. Звід практичних правил для управління інформаційною безпекою.

Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».

Увійти в Особистий кабінет Детальніше про тарифи

БУДСТАНДАРТ Online