AZ.CA Root Certificate Policy CPS-2019.pdfproqram və texniki vasitələr; - Elektron imza yaratma m...

ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1

_____.2013 1/44

Asan Sertifikat Xidmətləri Mərkəzinin

Sertifikatın Tətbiqi Qaydaları

_________2013-cü il

Versiya 1.0

Mündəricat

1 Giriş.................................................................................................................................. 6

2 Anlayışlar ......................................................................................................................... 7 2.1 İstifadəçilər və tətbiq sahəsi ...................................................................................... 8 2.2 Sənədin adı və identifikasiyası ................................................................................. 8 Bu Qaydalar VN ASXM tərəfindən _____ 2013-cü il tarixində təsdiqlənmişdir. Sənədin

adı, təsdiqlənmə tarixi, versiyası sənədin üz qabığında əks edilir. ...................................... 9

2.3 Tərəflər ...................................................................................................................... 9 2.3.1 VN ASXM-in strukturu...................................................................................... 9

2.4 Sertifikatların istifadəsi ............................................................................................. 9 2.4.1 Düzgün istifadə halları ....................................................................................... 9 2.4.2 Qadağan olunmuş istifadə halları....................................................................... 9

2.5 Fəaliyyət sahələri....................................................................................................... 9 2.5.1 Qaydaların işlənilməsinə məsul mərkəz .......................................................... 10 2.5.2 Əlaqə məlumatları ............................................................................................ 10

3 Yayımlanma və saxlama məsuliyyəti ............................................................................. 11 3.1 Sahə və sertifikatın yoxlanılması xidmətləri ........................................................... 11

3.1.1 Sahə xidmətləri ................................................................................................ 11 3.1.2 Sertifikatın etibarlılığının yoxlanması xidmətləri ............................................ 11

3.2 İnformasiyanın yayımlanması ................................................................................. 12 3.3 Yayımlanma vaxtı və mütəmadiliyi ........................................................................ 12

3.4 Sahəyə daxilolmaya nəzarət .................................................................................... 13 4 İmza sahibinin eyniləşdirilməsi və kimliyinin təsdiqlənməsi ........................................ 14

4.1 Adlandırma .............................................................................................................. 14

4.1.1 Ad növləri ........................................................................................................ 14

4.1.2 Adların mənalı olması zərurəti......................................................................... 15 4.1.3 Müxtəlif ad formalarının şərhi qaydaları ......................................................... 15 4.1.4 Adların unikallığı ............................................................................................. 15

4.1.5 Müəlliflik hüququ ............................................................................................ 15 4.2 İlkin eynilik yoxlaması ............................................................................................ 15

4.2.1 Fərdin eyniləşdirilməsi..................................................................................... 15 4.2.2 Təşkilatın eyniləşdirilməsi ............................................................................... 15

4.2.3 Səlahiyyətin yoxlanılması ................................................................................ 16 4.2.4 Məlumatın yoxlanılması .................................................................................. 16 4.2.5 Yaradılmış imza sahibini müəyyənləşdirmək metodu ..................................... 16

4.3 Yeni imza sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi .................................. 16

4.4 Ləğvetmə sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi .................................. 16 4.5 Sertifikatın statusunun dəyişdirilməsi barədə sorğu................................................ 16

4.5.1 İmza sahibinin sertifikatının qüvvəsinin dayandırılması barədə sorğusu ........ 16

4.5.2 İmza sahibinin sertifikatını ləğv etmək barədə sorğu ...................................... 17 4.5.3 İmza sahibinin sertifikatının qüvvəsini bərpa etmək barədə sorğu .................. 17 4.5.4 ASXM-in Sertifikatının ləğvi barədə sorğu ..................................................... 17

5 Sertifikatlarla bağlı fəaliyyət tələbləri ........................................................................... 18 5.1 Sertifikat Ərizəsi ..................................................................................................... 18

5.1.1 Sertifikat ərizəsini kimlər təqdim edə bilər ...................................................... 18 5.2 Sertifikat Ərizəsinin Emalı ...................................................................................... 18

5.2.1 Sertifikat ərizəsinin təqdim edilməsi ............................................................... 18 5.2.2 Sertifikat ərizəsinin təsdiqi və ya ondan imtina edilməsi ................................ 18

5.2.3 Sertifikat ərizəsinin emal müddəti ................................................................... 19 5.3 Sertifikatların verilməsi ........................................................................................... 19

5.3.1 Sertifikatın verilməsi zamanı ASXM-in fəaliyyəti .......................................... 19


_____.2013 3/44

5.3.2 Sertifikatın təqdim edilmə proseduru ............................................................... 19 5.3.3 Sertifikatın ASXM tərəfindən yayımlanması ................................................... 19

5.4 İmza cütü və sertifikatdan istifadə .......................................................................... 19 5.4.1 İmza sahibinin yaradılmış imza və sertifikatdan istifadəsi .............................. 19 5.4.2 Üçüncü tərəfin yoxlanılmış imzadan və sertifikatdan istifadəsi ...................... 19

5.5 Sertifikatın yenilənməsi........................................................................................... 20 5.6 Sertifikatın dəyişdirilməsi ....................................................................................... 20 5.7 Sertifikatın qüvvəsinin dayandırılması və ləğvi ...................................................... 20

5.7.1 Kimlər dayandırma və ya ləğvetmə sorğusu verə bilər ................................... 20 5.7.2 Dayandırma ...................................................................................................... 20

5.7.3 Ləğvetmə.......................................................................................................... 21 5.7.4 Üçüncü tərəf üçün ləğvetmənin yoxlanması tələbi .......................................... 22 5.7.5 CRL səbəb kodları ........................................................................................... 22 5.7.6 CRL-in dərc mütəmadiliyi ............................................................................... 23

5.7.7 CRL üçün maksimal ləngimə ........................................................................... 23 5.7.8 Sertifikatın statusunun real vaxt rejimində yoxlanması imkanı ....................... 24 5.7.9 Ləğvetmənin real vaxt rejimində yoxlanılması tələbləri ................................. 24 5.7.10 İmzanın konfidensiallığının pozulması ilə bağlı xüsusi tələblər ...................... 24

5.8 Sertifikat statusu xidmətləri .................................................................................... 24 5.8.1 Əməliyyat xüsusiyyətləri ................................................................................. 24 5.8.2 OCSP-responderin cavabları ............................................................................ 24

5.9 Sertifikatın etibarlılığının yoxlanması ..................................................................... 25 5.10 Sertifikata xidmətin başa çatması ........................................................................ 25 5.11 İmzanı saxlamaq üçün başqasına verilməsi ............................................................ 25

6 Vasitələrə, idarəetməyə və fəaliyyətə nəzarət ................................................................ 26 6.1 Fiziki təhlükəsizlik nəzarəti .................................................................................... 26

6.1.1 ASXM-in yerləşdiyi yer ................................................................................... 26 6.1.2 Fiziki giriş ........................................................................................................ 26

6.1.3 Enerji və hava təchizatı .................................................................................... 26 6.1.4 Su sızması ........................................................................................................ 26

6.1.5 Yanğının qarşısının alınması və mühafizə ....................................................... 26 6.1.6 İnformasiya daşıyıcıları ................................................................................... 26 6.1.7 Tullantıların məhv edilməsi ............................................................................. 27 6.1.8 Kənar ehtiyat surət ........................................................................................... 27

6.2 Prosedurların idarə olunması ................................................................................... 27 6.2.1 Məsul şəxslər ................................................................................................... 27 6.2.2 Tapşırıqlar üzrə tələb olunan şəxslərin sayı ..................................................... 27

6.2.3 Hər rol üçün eyniləşdirmə və kimliyini təsdiqi................................................ 27

6.2.4 Vəzifə bölgüsü ................................................................................................. 28 6.3 Kadrların idarə olunması ......................................................................................... 28

6.3.1 Kadrlara aid tələblər ......................................................................................... 28

6.3.2 Kadrların yoxlanması proseduru ...................................................................... 28 6.3.3 Təlim tələbləri .................................................................................................. 28 6.3.4 Hazırlıq üzrə təkrar təlimlər ............................................................................. 29 6.3.5 İşçi heyətə verilən sənədlər .............................................................................. 29

6.4 Audit-loqların aparılma proseduru .......................................................................... 29

6.4.1 Qeydə alınan hadisələrin növləri ..................................................................... 29 6.4.2 Audit-loqların aparılma mütəmadiliyi ............................................................. 30 6.4.3 Audit-loqun saxlanma müddəti ........................................................................ 30

6.4.4 Audit-loqun mühafizəsi ................................................................................... 30

6.4.5 Audit-loqun ehtiyat surətlərinin yaradılma proseduru ..................................... 30 6.4.6 Audit sistemi .................................................................................................... 30

6.4.7 Hadisə barədə bildiriş ...................................................................................... 30 6.4.8 Çatışmazlığın qiymətləndirilməsi .................................................................... 30

6.5 Sertifikat xidmətləri ilə bağlı qeydlərin arxivləşdirilməsi ....................................... 31

6.5.1 Arxivləşdirilmiş qeydlərin növü ...................................................................... 31 6.5.2 Arxivin saxlanma müddəti ............................................................................... 31 6.5.3 Arxivin qorunması ........................................................................................... 31 6.5.4 Arxivlərin ehtiyat surətlərinin yaradılma proseduru ........................................ 31 6.5.5 Vaxt göstəricisi ilə bağlı tələblər ...................................................................... 31

6.5.6 Arxiv sistemi .................................................................................................... 31 6.5.7 Arxivdən məlumatların əldə edilməsi və yoxlanılması ................................... 31

6.6 Konfidensiallığın pozulması və qəza hallarında bərpa ........................................... 31 6.6.1 Hadisələrin və konfidensiallığın pozulmasının idarə olunma proseduru ......... 31

6.6.2 Korlanmış hesablama resurslarının bərpası ..................................................... 32 6.6.3 ASXM-in konfidensiallığı pozulmuş yaradılmış imzası ilə bağlı prosedurlar 32 6.6.4 Qəzadan sonra işin davamlığı imkanları .......................................................... 32

6.7 ASXM-in fəaliyyətinə xitam verilməsi ................................................................... 32

7 Texniki təhlükəsizlik nəzarəti ........................................................................................ 33 7.1 İmza cütünün yaradılması və ilkin quraşdırılması .................................................. 33

7.1.1 İmza cütünün yaradılması ................................................................................ 33

7.1.2 Yaradılmış imzanın imza sahibinə verilməsi ................................................... 33 7.1.3 Yoxlanılmış imzanın üçüncü tərəfə çatdırılması .............................................. 33 7.1.4 İmzaların ölçüsü ............................................................................................... 33

7.2 Yaradılmış imzanın mühafizəsi ............................................................................... 34 7.2.1 Kriptoqrafik modul üçün standartlar ................................................................ 34

7.2.2 Yaradılmış imzaya bir neçə şəxsin nəzarəti ..................................................... 34 7.2.3 Yaradılmış imzanı saxlamaq üçün başqasına verilməsi ................................... 34

7.2.4 Yaradılmış imzanın ehtiyat nüsxəsi ................................................................. 34 7.2.5 Yaradılmış imzanın arxivləşdirilməsi .............................................................. 34

7.2.6 Yaradılmış imzanın kriptoqrafik modula ötürülməsi ....................................... 34 7.2.7 Yaradılmış imzanın kriptoqrafik modulda saxlanması .................................... 34 7.2.8 Yaradılmış imzanı aktivləşdirmə metodu ........................................................ 34 7.2.9 Yaradılmış imzanın məhv edilmə qaydası ....................................................... 35

7.2.10 Kriptoqrafik modulun səviyyəsi ...................................................................... 35 7.3 İmza cütünün idarə olunmasının digər məqamları .................................................. 35

7.3.1 Yoxlanılmış imzanın arxivləşdirilməsi ............................................................ 35

7.3.2 Sertifikatın və imza cütünün istifadə müddətləri ............................................. 35

7.4 Aktivləşdirmə məlumatı .......................................................................................... 36 7.4.1 Aktivləşdirmə məlumatının yaradılması və ilkin quraşdırılması ..................... 36 7.4.2 Aktivləşdirmə məlumatının mühafizəsi ........................................................... 36

7.4.3 Aktivləşdirmə məlumatları ilə bağlı digər məqamlar ...................................... 36 7.5 Vaxt göstəricisi ........................................................................................................ 36

8 Sertifikat və CRL profilləri ............................................................................................ 37 8.1 Sertifikat profilləri ................................................................................................... 37

8.1.1 Versiya nömrəsi ................................................................................................ 37

8.1.2 Sertifikat genişlənmələri .................................................................................. 37 8.1.3 ASXM-in CRL profile ..................................................................................... 38 8.1.4 ASXM-in delta CRL-i...................................................................................... 38

9 Uyğunluq auditi və digər yoxlamalar ............................................................................ 40 10 Digər işlər və hüquqi məsələlər ..................................................................................... 41

10.1 Ödənişlər .............................................................................................................. 41


_____.2013 5/44

10.1.1 Sertifikatın idarə olunması haqqı ..................................................................... 41 10.1.2 Sertifikatın etibarlılığının yoxlanılması haqqı ................................................. 41

10.2 Maliyyə məsuliyyəti ............................................................................................ 41 10.3 Fəaliyyətlə bağlı məlumatların konfidensiallığı .................................................. 41

10.3.1 Konfidensial saxlanılan məlumat növləri ........................................................ 41

10.3.2 Konfidensial sayılmayan məlumat növləri ...................................................... 42 10.3.3 Sertifikatın ləğvi məlumatlarının açıqlanması ................................................. 42 10.3.4 Hüquq-mühafizə orqanına çıxarışın verilməsi ................................................. 42 10.3.5 Mülki iş üzrə sübut və ya araşdırma məqsədilə çıxarışın verilməsi ................ 42

10.4 Fərdi məlumatların konfidensiallığı .................................................................... 42

10.4.1 Konfidensial saxlanılan məlumatlar ................................................................ 42 10.4.2 Konfidensial sayılmayan məlumatlar .............................................................. 43 10.4.3 Konfidensial məlumatların mühafizəsi ............................................................ 43 10.4.4 Konfidensial məlumatlardan istifadə barədə xəbərdarlıq və razılıq ................ 43

10.4.5 Məhkəmə və inzibati proseslə bağlı açıqlama ................................................. 43 10.5 Müəlliflik hüquqları ............................................................................................. 43 10.6 Təmsilçilik və zəmanətlər .................................................................................... 43 10.7 Məsuliyyət və məsuliyyətdən azad olma ............................................................. 43

10.8 Təzminat .............................................................................................................. 44 10.9 Qüvvədə olma və qüvvədən düşmə ..................................................................... 44

10.9.1 Qüvvədə olma .................................................................................................. 44

10.9.2 Qüvvədən düşmə .............................................................................................. 44 10.10 Dəyişikliklər ........................................................................................................ 44

10.10.1 ASXM-in Sertifikat Siyasətinin dəyişdirilməsi proseduru .......................... 44

10.10.2 Məlumatlandırma mexanizmi və müddət ..................................................... 44 10.10.3 OİD-də dəyişikliklər ..................................................................................... 44

10.11 Qaydaların iyerarxiyası ........................................................................................ 44 10.12 Qanunvericilik ..................................................................................................... 44

1 Giriş Asan Sertifikat Xidmətləri Mərkəzi (ASXM VN) "Elektron imza və elektron sənəd

haqqında" Azərbaycan Respublikasının Qanununa əsasən müxtəlif sertifikat xidmətləri, o

cümlədən elektron imza üçün sertifikat verən, həmçinin imzaların istifadəsi üzrə xidmətləri

təqdim edən və Vergilər Nazirliyi tabeliyində fəaliyyət göstərən Mərkəzdir.

Elektron imzaların həqiqiliyinə etibar etmək məqsədilə etibar edən tərəflər Təkmil

sertifikatları təqdim edən Sertifikat Xidməti Provayderinin (Vergilər Nazirliyinin) elektron

imzaların yaradılması zamanı düzgün qaydada müəyyən olunmuş prosedur və təhlükəsizlik

qaydalarına riayət etməsinə inanmalıdırlar.

“Sertifikatın tətbiqi qaydaları” (bundan sonra - Qaydalar) adlandırılmış bu

sənəd RFC 3647 və ETSI TS 101 456 sənədlərinin və Azərbaycan

Respublikasının qanunvericiliyinin tələblərinə müvafiq olaraq VN ASXM

tərəfindən hazırlanmışdır və sertifikat xidmətlərinin göstərilməsi ilə bağlı

olan inzibati, texniki və hüquqi məsələləri (fəaliyyəti) tənzimləyir.

VN ASXM gücləndirilmiş elektron imza yaradılması üçün yararlı olan imza

yaratma və yoxlama məlumatları əsasında Təkmil Sertifikatların verilməsini

və onların idarə olunmasını təmin edir.

VN ASXM-in sertifikat xidmətləri üzrə fəaliyyəti ISO/IEC 27001

Information Security Management System və ISO 9001 Quality Management

System uyğun olaraq hazırlanmış daxili təlimatlar əsasında həyata keçirilir.


_____.2013 7/44

2 Anlayışlar

Bu VN ASXM-in “Sertifikatın Tətbiqi Qaydaları”nda istifadə olunmuş söz və ifadələr

aşağıdakı mənaları ifadə edir:

- Akkreditə edilmiş Sertifikatlaşma Mərkəzi - təkmil sertifikat vermək hüququ

Azərbaycan Respublikasının Rabitə və Yüksək Texnologiyalar Nazirliyi tərəfindən

şəhadətnamə ilə təsdiqlənmiş Sertifikatlaşma Mərkəzi;

- Elektron imza - digər verilənlərə əlavə edilən və ya onlarla məntiqi əlaqəli olan, imza

sahibini eyniləşdirməyə imkan verən verilənlər;

- Elektron imza vasitələri (bundan sonra - imza vasitələri) - elektron imza yaradılması və

yoxlanılması, eləcə də imza yaratma və yoxlama məlumatları yaratmaq üçün istifadə edilən

proqram və texniki vasitələr;

- Elektron imza yaratma məlumatları (bundan sonra - gizli açar) - elektron imza yaratmaq

üçün istifadə edilən və ancaq imza sahibinə bəlli olan kod və ya kriptoqrafik açardan ibarət

təkrarolunmaz verilənlər;

- Elektron imzanı yoxlama məlumatları - elektron imzanın həqiqiliyini yoxlamaq üçün

istifadə edilən kod və ya kriptoqrafik açardan ibarət olan və elektron imza yaratma

məlumatlarına uyğun təkrarolunmaz verilənlər;

- Elektron imzanın həqiqiliyi - elektron imzanı yoxlama məlumatları vasitəsilə yoxlanılan

elektron imzanın sahibinə məxsus olmasının, imzanın əlaqəli olduğu məlumat bildirişinin

bütövlüyünün, dəyişdirilmədiyinin və təhrif edilmədiyinin təsdiqi;

- Elektron sənəd - informasiya sistemində istifadə üçün elektron formada təqdim edilən və

elektron imza ilə təsdiq olunmuş sənəd;

- Eyniləşdirmə - imza sahibini dəqiq eyniləşdirmək;

- Gücləndirilmiş elektron imza - imza sahibinin nəzarəti altında olan elektron imza

vasitələri ilə yaradılan və yalnız imza sahibinə məxsus olmaqla onu eyniləşdirən, əlaqəli

olduğu məlumat bildirişinin bütövlüyünü, dəyişməzliyini, təhrif olunmadığını və

saxtalaşdırılmadığını müəyyən etməyə imkan verən elektron imza;

- Heş funksiya - qiymətləri böyük (mümkün qədər böyük) sahədən daha kiçik sahəyə

çevirən riyazi funksiya;

- Məlumat bildirişi - məlumatın verilənlər daşıyıcısında yazılmış forması;

- VN ASXM-in Sertifikatın Tətbiqi Qaydaları - sertifikatın ümumi təhlükəsizlik tələbləri

olan konkret cəmiyyətə və/və ya sinfə tətbiq edilməsinin mümkünlüyünü göstərən müəyyən

edilmiş qaydalar toplusu;

- Sertifikat yolu - sahənin məlumat ağacında başlanğıc obyektin yoxlanılmış imzası ilə

sonuncu obyektin yoxlanılmış imzasını əldə etmək üçün istifadə olunan obyektlərin

yoxlanılmış imza sertifikatlarının nizamlanmış ardıcıllığı;

- Sertifikatın etibarlılığının yoxlanılması - sertifikat yolunun qurulması və hazırlanması

daxil olmaqla sertifikatın və həmin sertifikat yolunda olan bütün sertifikatların hazırki

vaxtda etibarlı olmasının (yəni vaxtı bitməyib və ya ləğv edilməyib) təsdiq edilməsi prosesi;

- VN ASXM-in Sertifikat Siyasəti – ASXM və onun Qeydiyyat Mərkəzlərinin sertifikatları

verərkən istifadə etdikləri qaydalar;

- Vaxt göstəricisi - müəyyən vaxt anında məlumat bildirişinin ona təqdim edilməsi barədə

akkreditə edilmiş mərkəzin elektron qeydi;

- Təhlükəsizlik siyasəti - təhlükəsizlik xidmətləri və vasitələrinin istifadəsini və

təmin edilməsini idarə edən, təhlükəsizlik üzrə struktur bölmə tərəfindən

müəyyən edilmiş qaydalar toplusu;

Təkmil sertifikat - akkreditə edilmiş SM tərəfindən gücləndirilmiş elektron

imzanı yoxlama məlumatları barəsində verilən sertifikat;

Vaxt göstəricisi - müəyyən vaxt anında məlumat bildirişinin ona təqdim

edilməsi barədə akkreditə edilmiş mərkəzin elektron qeydi;

Bu Qaydalarda istifadə olunmuş qısaltmalar aşağıdakı mənaları ifadə edir:

CRL - Ləğv edilmiş sertifikatların reyestri;

ASXM – Vergilər Nazirliyinin Asan Sertifikat Xidmətləri Mərkəzi;

OCSP - Sertifikatların vəziyyətinin real vaxt rejimində yoxlanılması protokolu;

OID - Obyekt eyniləşdirmə nömrəsi;

PKCS-Yoxlanılmış imza kriptoqrafiya standartı;

2.1 İstifadəçilər və tətbiq sahəsi

Bu Qaydalar ASXM-in fəaliyyətini, həmçinin aşağıdakı sertifikatların fəaliyyət dövrünün

idarə edilməsi ilə bağlı məsələləri əhatə edir:

Verilmiş sertifikatlar reyestrini və CRL-i imzalamaq üçün ASXM-in sertifikatını;

ASXM-in etibarlı OCSP-responderinin sertifikatını;

Təhlükəsiz imza yaratmaq üçün imza sahibinin təkmil sertifikatını.

Bu Qaydaların istifadəçiləri ASXM-in verdiyi sertifikatlarla əlaqəli olan bütün tərəflərdir.

2.2 Sənədin adı və identifikasiyası

Bu Qaydalar VN ASXM-ə aiddir və cari versiyası, həmçinin digər əlaqəli

sənədlər http:// www.asxm.gov.az/ ünvanında yerləşir.

Adı: VN ASXM-in Sertifikatın Tətbiqi Qaydaları

Versiyası: Versiya 1.0

Tarixi: _______ 2013

Etibarlılığı: Sənədin cari versiyası növbəti buraxılışa

qədər qüvvədədir.


_____.2013 9/44

OID: 1.3.6.1.4.1.41565.1.2.1.0

Bu Qaydalar VN ASXM tərəfindən _____ 2013-cü il tarixində təsdiqlənmişdir. Sənədin adı,

təsdiqlənmə tarixi, versiyası sənədin üz qabığında əks edilir.

2.3 Tərəflər

Tərəflər olaraq bu sənəddə hüquq və öhdəlikləri təsvir olunan VN ASXM-in Qeydiyyat

Mərkəzləri, sertifikat xidmətlərinin istehlakçıları və istifadəçiləri hesab edilir.

2.3.1 VN ASXM-in strukturu

VN ASXM-in tərkibinə sertifikatı təsdiq edən qurum və QM-ləri daxildir. ASXM sertifikatın

verilməsini bu Qaydalara və “ASXM-in Sertifikat Siyasəti”nə uyğun olaraq həyata keçirir.

2.3.1.1 Sertifikat verən qurum

Sertifikat verən qurum Sertifikat xidmətlərinin göstərilməsi ilə bağlı olaraq Sertifikatların

hazırlanması və verilməsinə məsuldur.

2.3.1.2 İmza sahibi

İmza sahibi VN ASXM-ə müraciət etmiş, identifikasiya və autentifikasiya olunmuş,

Sertifikat almış fiziki şəxsdir.

2.3.1.3 Üçüncü tərəf

Üçüncü tərəf ASXM tərəfindən verilmiş sertifikata müvafiq yaradılmış imza ilə

imzalanmış sənədi almış və aidiyyəti sertifikatı yoxlamış şəxsdir.

2.4 Sertifikatların istifadəsi

2.4.1 Düzgün istifadə halları

VN ASXM-in Sertifikatları təyinatına və istifadə sahələrinə müvafiq olaraq tətbiq

edilməlidir. VN ASXM-in təkmil Sertifikatları əl imzası tələb olunan hallarda gücləndirilmiş

elektron imza yaratmaq məqsədilə istifadə edilir. Elektron Hökumət, elektron ticarət və digər

bu kimi sahələrdə sənəd və formaları, işgüzar müqavilə və sazişlər kimi rəsmi sənədləri,

elektron məktubları, İnternet vasitəsilə həyata keçirilən əməliyyatları (tranzaksiyaları)

imzalamaq, şəbəkə mühitində autentifikasiya vasitələri ilə şəxsin kimliyini təsdiq etmək

Sertifikatların düzgün istifadə halları sayılır. İnfrastruktur Sertifikatları avadanlıqların

(serverlərin) etibarlı işinin təmin edilməsi məqsədilə avadanlığın tanınmasını həyata

keçirmək və etibarlı istifadə kanalının yaradılması üçün istifadə edilir.

2.4.2 Qadağan olunmuş istifadə halları

VN ASXM-in təkmil Sertifikatlarının Azərbaycan Respublikasının qanunvericiliyinə uyğun

olaraq təkmil Sertifikatlardan və onlara əsaslanan gücləndirilmiş elektron imzalardan

istifadənin məhdudlaşdırıldığı hallarda tətbiqi qadağandır.

2.5 Fəaliyyət sahələri

VN ASXM Sertifikat xidmətlərini təmin edən mərkəz olaraq bu Qaydaların Sertifikat

siyasətinə müvafiq müəyyənləşdirilməsinə və həyata keçirilməsinə məsuldur.

2.5.1 Qaydaların işlənilməsinə məsul mərkəz

Bu Qaydaların müəyyənləşdirilməsi, əlavə və dəyişikliklərin edilməsi üzrə bütün hüquq və

öhdəliklər VN ASXM-ə aiddir.

2.5.2 Əlaqə məlumatları

Sertifikat xidmətləri, o cümlədən sertifikat və qeydiyyat mərkəzlərinin fəaliyyətləri ilə

əlaqədar daha ətraflı məlumat əldə etmək üçün aşağıdakı əlaqə vasitələrindən istifadə edə

bilərsiniz:

Azərbaycan Respublikası Vergilər Nazirliyinin Asan Sertifikat Xidmətləri Mərkəzi

Bakı şəhəri AZ1073, Landau küçəsi 16

AZ1073

[email protected]

“195” Çağrı Mərkəzi

[email protected]

mailto:info(at)asxm.gov.az


_____.2013 11/44

3 Yayımlanma və saxlama məsuliyyəti

3.1 Sahə və sertifikatın yoxlanılması xidmətləri

3.1.1 Sahə xidmətləri

VN ASXM-in sahə xidmətləri LDAP və HTTP vasitəsilə aşağıdakılara real vaxt rejimində

giriş təmin edilən xidmətlərdir:

- ASXM tərəfindən verilmiş yayımlanan sertifikatlar;

- ASXM-in CRL-ləri.

VN ASXM tərəfindən imza sahiblərinə verilən sertifikatlar LDAP və HTTP vasitəsilə

yayımlanır. Sertifikatların yayımlanması yalnız imza sahibinin razılığı olduqda mümkündür.

3.1.1.1 Sertifikatların saxlanma müddəti

Sertifikatlar VN ASXM-in sahə xidmətləri tərəfindən sertifikatların müddəti başa çatdıqdan

sonra 15 (on beş) il ərzində saxlanılır və bu bu müddət ərzində imza sahibinin kimliyini

müəyyən etməyə imkan verir. Bütün sənədlər və məlumatlar kağız və elektron formada VN

ASXM-in mərkəzləşdirilmiş arxivində Azərbaycan Respublikasının müvafiq

qanunvericiliyinin tələblərinə uyğun olaraq saxlanılır.

3.1.1.2 CRL-in saxlanma müddəti

ASXM-in CRL verilənləri sertifikatların qüvvədə olma müddətinin başa

çatmasından sonrakı 15 (on beş) il ərzində saxlanılır və bu müddət ərzində sertifikatın

etibarlılığını yoxlamaq mümkündür.

3.1.2 Sertifikatın etibarlılığının yoxlanması xidmətləri

VN ASXM tərəfindən verilən sertifikatın etibarlılığının yoxlanması OCSP-responder

vasitəsilə təmin edilir. Bütün sertifikatlar OCSP-responder tərəfindən istənilən vaxt

yoxlanıla bilər. Sertifikatların etibarlılığının yoxlanılması xidmətlərindən istifadə fasiləsiz

olaraq 24 saat 7 gün (24x7) ərzində mümkündür. Sertifikatın statusu “aktiv”dən “ləğv

edilmiş”ə dəyişdirildikdə müvafiq olaraq sertifikat rəsmi ləğv edilmiş və ya qüvvəsi

dayandırılmış hesab olunur. Bu, sertifikatın qüvvəsinin dayandırılması və ya ləğv edilməsi

sorğusundan sonra baş verir. Sertifikatın cari vəziyyəti OCSP-responder vasitəsilə yoxlanıla

bilər. Şübhə yarandıqda üçüncü tərəf sertifikatın statusu barədə ən düzgün informasiyanı VN

ASXM-in etibarlı OCSP-responderi vasitəsilə əldə etməlidir.

3.1.2.1 Yoxlanılma xidmətlərinin növləri

Sertifikatların OCSP-dən yoxlanılması CRL vasitəsilə yoxlanılmadan daha əlverişlidir,

çünki OCSP sertifikatın ləğvi (dayandırılması) barədə vaxta müvafiq daha dəqiq məlumat

verə bilər.

Ləğv və ya dayandırma haqqında sorğunun və hesabatın qəbulu ilə sertifikatın statusu

haqqında üçüncü tərəfə açıq olan məlumata edilən dəyişiklik arasında maksimum gecikmə

sertifikatın etibarlılığının yoxlanılması metodundan asılıdır:

ASXM-in etibarlı OCSP-responderindən istifadə edərək sertifikatın etibarlılığı 24 (iyirmi

dörd) saat müddətində yenilənir;

Delta CRL-dən istifadə edərək sertifikatın etibarlılığı 3 (üç) saat müddətində yenilənir.

3.1.2.2 Sertifikatın etibarlılığının yoxlanılması haqqında məlumatın təsviri

Sertifikatın etibarlılığının yoxlanılması haqqında məlumatın təsviri aşağıdakı bölmələrdə

verilmişdir:

CRL (CRL səbəb kodlarının təsviri): bölmə 5.7.5

OCSP (OCSP-responderin cavablarının təsviri): bölmə 5.8.2

3.2 İnformasiyanın yayımlanması

Ərizəçilər, imza sahibləri və üçüncü tərəflər ərizə, sertifikatların verilməsi, həmçinin ASXM

barədə məlumat almaq üçün fasiləsiz olaraq 24 (iyirmi dörd) saat 7 (yeddi) gün (24x7)

fəaliyyətdə olan http:// http://www.asxm.gov.az/ internet səhifəsindən istifadə edə bilərlər.

VN ASXM internet səhifədə aşağıdakı sənədlərin cari versiyasının yerləşdirilməsini təmin

edəcəkdir:

- VN ASXM-in Sertifikat Siyasəti;

- Sertifikatın tətbiqi qaydaları;

- Vaxt möhürü siyasəti;

- Vaxt möhürünün tətbiqi qaydaları.

Bundan əlavə internet səhifədən aşağıdakı məlumatlar da əldə edilə bilər:

- Sertifikatın alınması üçün zəruri sənədlər. Bura daxildir:

Ərizələr və onların doldurulma qaydaları;

Müqavilə formaları;

Bildiriş formaları;

Etibarnamələr;

Yaddaş.

Bundan əlavə internet səhifədən aşağıdakı məlumatları da əldə etmək mümkündür:

- VN ASXM barədə məlumat: ünvanı və əlaqə məlumatları;

- Xidmət Mərkəzləri;

- Sertifikatlarla bağlı prosedurlar;

- AsanDoc proqram təminatı;

- Xəbərlər.

3.3 Yayımlanma vaxtı və mütəmadiliyi

İnternet səhifəsində məlumatların yayımlanması üçün vaxt və mütəmadilik ilə bağlı

aşağıdakı tələblərə riayət edilməlidir:


_____.2013 13/44

ASXM-in CRL-i Baza CRL (hər gün), delta CRL (3(üç)

saatdan bir

Siyasət, Təlimat Siyasət və Təlimatlar təsdiq olunduqdan

sonra saytda yerləşdiriləcək

3.4 Sahəyə daxilolmaya nəzarət

ASXM sahə xidmətləri tərəfindən dərc edilən məlumatlar daxilolma növünə görə

açıq informasiyadır. ASXM səlahiyyəti olmayan şəxslər tərəfindən əlavə etmə, silmə və ya

saxlanılan qeydlərin dəyişdirilməsinin qarşısını almaq üçün müvafiq təhlükəsizlik tədbirləri

tətbiq edir.

Sertifikatların mötəbərliyi informasiya bazasında dəyişiklik etmək hüquqları və sistemə

girişin məhdudlaşdırılması ilə təmin olunur.

4 İmza sahibinin eyniləşdirilməsi və kimliyinin təsdiqlənməsi

4.1 Adlandırma

4.1.1 Ad növləri

ASXM tərəfindən verilən bütün sertifikatların “Issuer” sahəsi X.509 standartındakı məxsusi

adlara malikdir. Aşağıdakı atributlardan istifadə olunur:

Ölkə Adı (C) AZ

Təşkilat Adı (O) Azərbaycan Respublikası Vergilər Nazirliyi

Təşkilat bölməsinin Adı (OU) Asan Sertifikat Xidmətləri Mərkəzi

Ümumi Ad (CN) AZ Root Authority (RCA)

ASXM tərəfindən verilən bütün sertifikatların “Subject” sahəsi X.509 standartındakı

məxsusi adlara malikdir. Aşağıdakı atributlardan istifadə olunur:

Ölkə adı (C) İmza sahibinin ölkəsi (ISO 3166 kodu

Təşkilat adı (O) İmza sahibinin təşkilatı

Təşkilat bölməsinin adı (OU) İmza sahibinin təşkilatının bölməsi

Ümumi ad (CN) Adı, soyadı, ata adı

Soyad (SN) Soyadı (şəxsiyyət vəsiqəsində yazıldığı

kimi)

Ad (G) Adı (şəxsiyyət vəsiqəsində yazıldığı kimi)

Seriya nömrəsi Unikal İD nömrə (şəxsi kod)

İnterfeysdəki “Şəxsi kod” şəxsiyyət vəsiqəsində istifadə olunan koddur. Təkmil Sertifikatda

“Subject Alternative Name” genişlənməsində imza sahibinin istəyi ilə sertifikat ərizəsinə

baxılma prosesində müəyyənləşdirilmiş elektron poçt ünvanı da (Type RFC822 Name)

göstərilir.

“Soyad”, “Ad”, “Seriya nömrəsi”, “Ümumi ad”, “Təşkilat adı” və “Təşkilat bölməsinin

adı”nın hər biri üçün sətrin maksimal uzunluğu 64 simvoldur.

“Ümumi ad”, “Ad”, “Soyad”, “Təşkilat adı”, “Təşkilat bölməsinin adı” və “Titul” atributları

UTF-8 kod cədvəlinə uyğun olaraq yazılır. Bu atributlarda UTF-8 kod cədvəlinə uyğun

xüsusi simvollar da ola bilər.

Təkmil sertifikatlar üçün imza sahibi təxəllüs seçə bilər.


_____.2013 15/44

4.1.2 Adların mənalı olması zərurəti

Sertifikatdakı “Subject” və “İssuer” sahələrindəki adlar mənalı olmalıdır ki, bu adlar və

onların aid olduğu qurumlar arasında mövcud əlaqə ASXM-ə aşkar olsun.

4.1.3 Müxtəlif ad formalarının şərhi qaydaları

Sertifikatlarda qeyd olunan adlar X500 standartına uyğun olmalıdır.

4.1.4 Adların unikallığı

Hər bir elektron sertifikat məxsusi ad atributlarının unikal dəstinə malikdir və buna görə də

unikal olmayan hər hansı elektron sertifikat sorğusu ASXM tərəfindən imtina edilir.

4.1.5 Müəlliflik hüququ

4.1.5.1 İmzanın yaradılması və yoxlanılması

İmzanın yaradılmasının və yoxlanılmasının bütün müəlliflik hüquqları ASXM-ə məxsusdur.

4.1.5.2 Sertifikat

Ərizəçinin sertifikat ərizəsində digər şəxslərin müəlliflik hüquqlarını pozanadlardan istifadə

etməsi qadağandır. Bununla belə ASXM ərizəçinin sertifikat ərizəsində göstərdiyi adın

müəlliflik hüquqlarının olmasını yoxlamır. ASXM hər hansı domen adı, əmtəə nişanı və ya

xidmət markasına sahibliklə bağlı mübahisələrdə qərar vermir, vasitəçilik etmir və ya

onların həllində iştirak etmir. ASXM bu Qaydalarda müəyyən edilmiş prosedur və siyasətə

uyğun olaraq hər hansı sertifikatın qüvvəsini istənilən vaxt dayandıra və ya ləğv edə bilər.

4.2 İlkin eynilik yoxlaması

ASXM və ya onun QM-i ərizəçinin düzgün eyniləşdirilməsi və kimliyinin təsdiqlənməsini,

həmçinin onun sertifikat sorğusunun tam, dəqiq və lazımi qaydada tərtibinin təsdiqlənməsini

təmin edir.

ASXM ərizəçini eyniləşdirmək üçün bütün müvafiq məlumatları, münasib olarsa, onun

yoxlanması üçün istifadə olunan sənədlərdəki hər hansı istinad nömrələri və etibarlıq

müddəti ilə bağlı məhdudiyyətlər də daxil olmaqla ərizəçinin istənilən məxsusi

məlumatlarını qeydə alır.

4.2.1 Fərdin eyniləşdirilməsi

Fərdin eyniləşdirilməsi ərizəçinin və ya səlahiyyətli nümayəndənin şəxsən (fiziki olaraq)

QM-də iştirakı ilə təmin edilir. Ərizəçi özünün kimliyini qüvvədə olan qanunvericiliyə

uyğun olaraq şəxsiyyətini təsdiq edən sənədlə təsdiq etməlidir.

4.2.2 Təşkilatın eyniləşdirilməsi

Ərizəçi hüquqi şəxslə və ya digər təşkilatı qurumla əlaqədə eyniləşdirilən şəxs olduqda

aşağıdakı şəkildə eyniləşdirmə aparılır:

Ərizəçinin tam adı (adı və soyadı);

Şəxsiyyət vəsiqəsində istifadə olunan kod və ya eyni adlı digər şəxslərdən mümkün qədər

çox fərqləndirmək üçün istifadə olunan başqa atributlar;

Əlaqəli olduğu hüquqi şəxsin və digər qurumun adı və hüquqi statusu;

Əlaqəli hüquqi şəxsin və ya digər qurumun dövlət qeydiyyatı barədə məlumat;

Ərizəçinin hüquqi şəxs və ya digər qurumla bağlılığını təsdiq edən sənəd.

Ərizəçi hər dəfə sertifikata müəyyən bir təşkilat haqqında məlumatın daxil edilməsini tələb

etdikdə, həmin təşkilatdan bununla bağlı yazılı əsas təqdim etməlidir. Bütün hallarda

məlumatı təsdiqləyən hüquqi sənədlər ayrıca təqdim olunmalıdır.

4.2.3 Səlahiyyətin yoxlanılması

Əgər sertifikatda imza sahibi vəzifəli şəxs kimi qeyd edilirsə, şəxsin iş yeri və onun

təşkilatın adından çıxış etmək səlahiyyəti təsdiq olunmalıdır və bu barədə ərizəçi ASXM-ə

müvafiq sənəd təqdim etməlidir.

4.2.4 Məlumatın yoxlanılması

Ərizəçi tərəfindən təqdim olunmuş məlumatlar “Giriş-çıxış və qeydiyyat” İdarələrarası

Avtomatlaşdırılmış Məlumat Axtarış Sistemi (İAMAS) vasitəsilə yoxlanılır. Yoxlamanın

nəticələri və ilkin eynilik yoxlaması prosedurunun düzgünlüyü ASXM-in məsul əməkdaşı

tərəfindən yoxlanılır. Ərizəçinin elektron poçt ünvanı ilkin eynilik yoxlaması zamanı

yoxlanılmır (“yoxlanılmayan ərizəçi məlumatı” adlandırılır).

4.2.5 Yaradılmış imza sahibini müəyyənləşdirmək metodu

ASXM-ə təhlükəsiz olaraq göndərilməsi üçün sertifikat sorğusu PKCS#10-yə uyğun

olmalıdır. PKCS#10 sertifikat sorğusundakı imzanın yoxlanılması müvafiq yaradılmış

imzanın əldə edilməsi üçün yetərli əsas verir.

4.3 Yeni imza sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi

QM-ə müraciət etmiş şəxsin kimliyinin qüvvədə olan qanunvericiliyə uyğun olaraq

şəxsiyyətini təsdiq edən sənədlə üzləşdirilməsi metodudur.

4.4 Ləğvetmə sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi

ASXM sertifikatın ləğvini imza sahibinin yazılı müraciəti vasitəsilə onun sorğusu və

eyniliyinin təsdiqi əsasında həyata keçirir.

4.5 Sertifikatın statusunun dəyişdirilməsi barədə sorğu

ASXM müvafiq qaydada sertifikatın qüvvəsinin dayandırılması, bərpa edilməsi və

sertifikatın ləğv edilməsi xidmətlərini həyata keçirir.

Sertifikat qüvvəsinin dayandırılması onun müvəqqəti olaraq etibarsız sayılmasına səbəb

olur. Bu sertifikatın statusu yenidən bərpa oluna (aktivləşdirilə) bilər.

Sertifikat ləğv edildikdə isə onun qüvvədə olmasına xitam verilir və bərpası mümkün deyil.

Sertifikatın statusunun dəyişdirilməsi üçün müvafiq sorğu ilə müraciət olunmalıdır.

4.5.1 İmza sahibinin sertifikatının qüvvəsinin dayandırılması barədə sorğusu

İmza sahibi sertifikatın qüvvəsinin dayandırılması sorğusunu aşağıdakı üsullarla təqdim edə

bilər:


_____.2013 17/44

- VN ASXM-in “195” Çağrı Mərkəzinə zəng edərək. “195” Çağrı Mərkəzi fasiləsiz olaraq 5

gün saat 09:00-dan saat 18:00-dək fəaliyyət göstərir.

- ASXM-ə və onun Qeydiyyat Mərkəzlərinə yazılı müraciətlə.

- Qanunvericiliklə müəyyənləşdirilmiş səlahiyyətli şəxs (orqan) tərəfindən sorğu verilməklə.

Telefonla müraciət zamanı imza sahibinin eyniləşdirilməsi üçün müvafiq gizli sözün

bildirilməsi tələb olunur. Bu gizli söz sertifikat sorğusu yaradılarkən imza sahibi tərəfindən

müəyyənləşdirilir.

Yazılı müraciət zamanı QM-də imza sahibinin eyniləşdirilməsi şəxsiyyətini təsdiq edən

sənədə əsasən aparılır və onun adı, soyadı, atasının adı, şəxsi kodu, müqavilənin nömrəsi və

müraciətin səbəbi müəyyənləşdirilir.

4.5.2 İmza sahibinin sertifikatını ləğv etmək barədə sorğu

Qanunvericiliklə müəyyən edilmiş şəxslər ASXM və onun Qeydiyyat Mərkəzlərinə

sertifikatın ləğvi barədə yazılı sorğu ilə müraciət edə bilərlər. VN ASXM-in Qeydiyyat

Mərkəzlərinin əlaqə məlumatları haqqında məlumatı http://www.asxm.gov.az/ internet

səhifəsindən əldə etmək olar.

Yazılı müraciət zamanı QM imza sahibinin eyniləşdirilməsini şəxsiyyətini təsdiq edən

sənədə əsasən aparır və onun adı, soyadı, atasının adı, şəxsi kodu, sertifikatın nömrəsi,

müqavilənin nömrəsi, müraciətin səbəbi müəyyənləşdirilir.

4.5.3 İmza sahibinin sertifikatının qüvvəsini bərpa etmək barədə sorğu

Qanunvericiliklə müəyyən edilmiş şəxslər ASXM və onun Qeydiyyat Mərkəzlərinə

sertifikatın bərpa edilməsi barədə yazılı sorğu ilə müraciət edə bilərlər. VN ASXM-in

Qeydiyyat Mərkəzlərinin əlaqə məlumatları haqqında məlumatı http://www.asxm.gov.az/

internet səhifəsindən əldə etmək olar.

Yazılı müraciət zamanı QM imza sahibinin eyniləşdirilməsini şəxsiyyətini təsdiq edən

sənədə əsasən aparır və onun adı, soyadı, atasının adı, şəxsi kodu, sertifikatın nömrəsi,

müqavilənin nömrəsi, müraciətin səbəbi müəyyənləşdirilir.

4.5.4 ASXM-in Sertifikatının ləğvi barədə sorğu

ASXM-in sertifikatı əvvəlcədən məlumatlandırılmadan dayandırıla bilməz. Lazım gəldikdə

bu sertifikat onun etibarlılıq müddəti başa çatmamış da ləğv edilə bilər. Etibarlı SM

sertifikatının ləğvi barədə sorğu yazılı formada kağız üzərində təqdim edilməlidir.

Bütün ləğvetmə sorğuları etibarlı olmalıdır. SM-in təhlükəsizlik səlahiyyətlisi ASXM-in

sertifikatının ləğvi barədə sorğunun tam, düzgün və lazımi qaydada eyniləşdirildiyini təsdiq

etməlidir. Belə etibarlılıq yoxlaması sorğuların, onları verə bilən şəxsin səlahiyyəti barədə

məlumatlar daxil olmaqla, bu sertifikatın tədbiqi qaydaları prosedurları ilə uyğun olmasını

müəyyən edir.

ASXM-in sertifikatının ləğvi ASXM-in rəhbəri və SM-in təhlükəsizlik səlahiyyətlisi ilə

əlaqə yaradıldıqdan sonra həyata keçiriləcəkdir.

5 Sertifikatlarla bağlı fəaliyyət tələbləri

5.1 Sertifikat Ərizəsi

5.1.1 Sertifikat ərizəsini kimlər təqdim edə bilər

Öz adından və ya qanunvericilikdə nəzərdə tutulmuş qaydada ona səlahiyyət vermiş hüquqi

şəxs adından çıxış edən fiziki şəxslər sertifikat verilməsi üçün ərizə ilə ASXM-ə müraciət

edə bilərlər.

5.2 Sertifikat Ərizəsinin Emalı

Sertifikat ərizəsinin emalı prosesi ərizələrin təqdim edilməsini, ərizəçinin eyniləşdirməsi və

kimliyinin təsdiqlənməsini, müraciətlər barədə qərarın qəbul edilməsini əhatə edir.

5.2.1 Sertifikat ərizəsinin təqdim edilməsi

Ərizəçi Sertifikatın verilməsi üçün ASXM-in Qeydiyyat Mərkəzinə gələrək yazılı müraciət

etməli və Ərizədə müvafiq məlumatlar doldurulmalıdır.

Ərizəçinin Sertifikatın verilməsi üçün müraciət Ərizəsində olan bütün məlumatlar ASXM-in

İnformasiya sistemində Azərbaycan Respublikasının müvafiq qanunvericiliyinə əsasən

saxlanılacaq, mühafizə ediləcək və arxivləşdiriləcəkdir.

Qeydiyyat Mərkəzinə müraciət zamanı fərdin və təşkilatın autentifikasiyası, səlahiyyətin

yoxlanılması kimi ilkin identiklik yoxlaması həyata keçirilir. Ərizəçi tərəfindən imzalanmış

qeydiyyat məlumatları olan Ərizəyə əsasən sertifikatın verilməsi prosesi başlanır.

Ərizə hüquqi və ya fiziki şəxsin nümayəndəsi tərəfindən verildiyi təqdirdə nümayəndənin

Ərizəçi adından müraciət etmək səlahiyyəti notarial qaydada təsdiq olunmuş etibarnamə ilə

müəyyən olunur.

Qeydiyyat operatoru sertifikatın, açarların istifadəsi, lazımi təhlükəsizlik tədbirləri barədə

Ərizəçini məlumatlandırır. Bundan sonra Ərizə barədə məlumatlar İnformasiya sistemi

vasitəsilə müəyyən prosedura uyğun növbəti emal mərhələsinə göndərilir.

ASXM tərəfindən sorğu sertifikatlaşdırıldıqdan sonra sertifikatın əldə edilməsi ilə bağlı

mügavilə forması iki nüsxədə çap olunur. Müqavilənin hər iki nüsxəsi Mərkəz tərəfindən

imzalanaraq və möhürlə təsdiq edilərək Ərizəçiyə təqdim olunur. İstifadəçidən hər iki

nüsxənin imzalanması tələb olunur. Müqavilənin bir nüsxəsini İstifadəçi özündə saxlayır.

QM təmsilçisi tərəfindən sertifikat kağız formada çap olunur, imzalanır, möhürlənir və

istifadəçiyə təqdim edilir. Sertifikatın aktivləşdirilməsi barədə bildiriş hazırlanır və bir

nüsxədə çap edilərək Ərizəçiyə təqdim edilir.

5.2.2 Sertifikat ərizəsinin təsdiqi və ya ondan imtina edilməsi

QM operatoru daxil olmuş ərizəni təsdiq və ya ondan imtina edə bilər. Ərizə yoxlanılır və

sertifikat sorğusunda olan məlumatların düzgünlüyünə əmin olduqdan sonra QM-in

operatoru sertifikat sorğusunu ASXM-ə göndərir, əks halda isə sertifikatın alınması üçün

yenidən müraciət proseduru həyata keçirilməlidir.


_____.2013 19/44

5.2.3 Sertifikat ərizəsinin emal müddəti

Sertifikat ərizəsi ərizəçinin iştrakı ilə yoxlanılır. Lazım gəldikdə ərizəçi üçün müəyyən vaxt

təyin oluna bilər. Bütün sənədlər təqdim edildiyi tarixdən 1 (bir) iş günü ərzində yoxlanılır

və sertifikat İstifadəçiyə təqdim edilir.

5.3 Sertifikatların verilməsi

5.3.1 Sertifikatın verilməsi zamanı ASXM-in fəaliyyəti

ASXM-də sertifikatın verilməsi prosesi təhlükəsiz olaraq həyata keçirilir.

5.3.2 Sertifikatın təqdim edilmə proseduru

Ərizəçi sertifikatı almaq üçün şəxsən (və ya onun sertifikat ərizəsində göstərdiyi şəxs) QM-ə

gəlməli və özünün eyniləşdirmə sənədini təqdim etməlidir. QM-də ərizəçinin

eyniləşdirilməsi, sertifikatın və imza vasitələrinin istifadə qaydaları və ASXM-lə bağlı

məlumatlandırılma, müqavilə bağlanılması həyata keçirilir.

5.3.3 Sertifikatın ASXM tərəfindən yayımlanması

Verilmiş sertifikatlar ASXM-in sahə xidmətlərində aktivləşdirilərək yayımlanır.

Sertifikatların yayımlanması ərizəçinin razılığı əsasında həyata keçirilir.

5.4 İmza cütü və sertifikatdan istifadə

5.4.1 İmza sahibinin yaradılmış imza və sertifikatdan istifadəsi

İmza sahibi malik olduğu yaradılmış imzadan istifadə zamanı Azərbaycan Respublikasının

mövcud qanunvericiliyinə, bu “ASXM-in Sertifikatın tədbiqi Qayadaları”na, imzalanmış

müqaviləyə riayət etməli və aşağıdakılar təmin olunmalıdır:

Yaradılmış imzadan və imza yaratma vasitələrindən təyinatına görə istifadə edilməlidir;

İmza sahibinin müqavilə ilə razılaşması və sertifikatın məzmununu qəbul etməsindən

sonra yaradılmış imzadan istifadəsinə icazə verilir;

İmza sahibi yaradılmış imza daşıyıcısını şəxsən təhlükəsiz saxlamalı və yaradılmış

imzadan başqasının istifadəsinə yol verməməlidir;

Müqavilə tələblərinə uyğun olaraq, yaradılmış imzanın konfidensiallığının pozulması,

onun sui-istifadəsi bəlli olduqda və ya buna şübhə yarandıqda 3 (üç) saat ərzində bu haqda

QM-ə və ya ASXM-ə məlumat verməlidir.

5.4.2 Üçüncü tərəfin yoxlanılmış imzadan və sertifikatdan istifadəsi

Üçüncü tərəf etibar etməsi üçün özü aşağıdakıları yoxlamalıdır:

Sertifikatın bu Qaydaları ilə məhdudlaşdırılmayan istifadə sahələrinə müvafiq olaraq

tətbiq olunmasını (bu müəyyənləşdirmənin nəticəsinə görə ASXM məsuliyyət daşımır);

Sertifikatın və sertifikat yolundakı bütün SM-lərin sertifikatlarının statusunu (əgər bu

sertifikatlardan hər hansı biri ləğv edilmişdirsə, üçüncü tərəf imza sahibinin sertifikatına və

ya sertifikat yolundakı ləğv olunmuş, dayandırılmış sertifikata etibar etməməlidir).

5.5 Sertifikatın yenilənməsi

Sertifikatın yenilənməsi yeni açar cütünün yaradılması və yeni yoxlanılmış imzanı təsdiq

edən yeni sertifikatın verilməsidir.

Sertifikatın qüvvədən düşməsinə 30 (otuz) gün qalmış imza sahibi ASXM tərəfindən telefon

və ya e-poçtla məlumatlandırılır. Sertifikat qüvvədən düşdükdə imza sahibi bu “ASXM-in

Sertifikatın tədbiqi Qaydaları”na əsasən yeni sertifikatın alınması üçün müraciət edə bilər.

5.6 Sertifikatın dəyişdirilməsi

ASXM mövcud sertifikata heç bir dəyişiklik etmir, çünki sertifikata ediləcək dəyişikliklər

onun etibardan düşməsinə və sertifikatın yoxlanılması zamanı mənfi nəticəyə səbəb ola

bilər.

Sertifikat məlumatlarından hər hansı biri dəyişdikdə ASXM dəyişdirilmiş məlumatları

özündə əks etdirən yeni sertifikat verir. Məsələn, imza sahibinin soyadı dəyişdikdə onu əks

etdirən yeni sertifikat verilməlidir. Sertifikatdakı məlumatlar dəyişdikdə imza sahibi mövcud

sertifikatın ləğvi və yeni sertifikatın alınması üçün müraciət etməlidir.

5.7 Sertifikatın qüvvəsinin dayandırılması və ləğvi

Dayandırma və ləğv sorğuları “ASXM-in Sertifikatın tətbiqi Qaydaları”ndakı prosedur və

tələblərə uyğun olmalıdır.

5.7.1 Kimlər dayandırma və ya ləğvetmə sorğusu verə bilər

Aşağıdakılar bu “ASXM-in Sertifikat Siyasəti”nin tələblərinə uyğun olaraq sertifikatın

qüvvəsinin dayandırılması və ya ləğvi barədə müraciət edə bilər:

- İmza sahibi;

- Qanunvericiliklə müəyyənləşmiş səlahiyyətli şəxs (orqan);

- ASXM.

Bu prosedurlar ASXM-in dayandırma və ya ləğvetmə səlahiyyətliləri tərəfindən

qanunvericiliyin və “ASXM-in Sertifikatın tətbiqi Qaydaları”nın tələblərinə müvafiq şəkildə

həyata keçirilir.

5.7.2 Dayandırma

5.7.2.1 Dayandırma halları

ASXM aşağıdakı hallarda dərhal sertifikatın qüvvəsini dayandırır:

- Müvafiq sorğu alındıqda;

- Məhkəmə qərarı olduqda.

ASXM tərəfindən verilmiş sertifikatın qüvvəsinin dayandırılma sorğusu təsdiq olunduqdan

sonra dərhal icra olunur.

5.7.2.2 Dayandırma sorğusu proseduru

Sertifikatın qüvvəsinin dayandırılma sorğusu imza sahibinin QM-ə yazılı və ya telefonla

müraciəti əsasında icra edilir.


_____.2013 21/44

5.7.2.3 Sertifikatın qüvvəsinin dayandırılma sorğusunun yerinə yetirilmə müddəti

Sertifikatın qüvvəsinin dayandırılma sorğusunun qəbulu ilə sertifikatın statusu haqqında

üçüncü tərəfə açıq olan məlumatlara dəyişiklik edilməsi müddəti sertifikatın etibarlılığının

yoxlanması metodundan asılı olaraq ən geci aşağıdakı kimidir:

- ASXM-in etibarlı OCSP-responderi – real vaxt rejimində;

- Baza CRL ilə yoxlanma – hər gün;

- Delta CRL ilə yoxlama – 3 (üç) saat.

Üçüncü tərəf sertifikatın statusu barədə ən aktual məlumatı ASXM-in etibarlı OCSP-

responderindən əldə edə bilər.

5.7.2.4 Dayandırma müddətinə məhdudiyyətlər

Sertifikatın verilməsi üçün əsas olan məlumatların düzgünlüyünə və ya imza sahibinin

yaradılmış imzanın təhlükəsizliyinə ASXM-in əsaslı şübhələri olduqda sertifikat 48 (qırx

səkkiz) saatdan artıq olmamaq şərti ilə dayandırıla bilər.

5.7.2.5 Qüvvəsi dayandırılmış sertifikatların CRL-də dərci

- Qüvvəsi dayandırılmış sertifikat barədə CRL-dəki qeydlər sertifikatın qüvvədə olma

müddəti başa çatanadək dəyişilməz qalır (OCSP responder sertifikatın qüvvədə olması

barədə sorğunu mənfi cavablandırır);

- Qüvvəsi dayandırılmış sertifikat üçün CRL-dəki qeydlər həmin sertifikatın ləğvetmə

məlumatları ilə əvəz olunur və yenilənmiş CRL dərc olunur (OCSP responder sertifikatın

qüvvədə olması barədə sorğunu mənfi cavablandırır);

- Qüvvəsi dayandırılmış sertifikat bərpa olunur, onun barəsindəki qeydlər CRL-dən silinir və

yeni CRL dərc olunur (OCSP responder sertifikatın qüvvədə olması barədə sorğunu müsbət

cavablandırır);

5.7.2.6 Bərpa sorğusunun yerinə yetirilmə müddəti

Sertifikat bərpa edildikdən sonra 3 (üç) saat ərzində delta CRL-də yerləşdirilməlidir.

5.7.3 Ləğvetmə

5.7.3.1 Ləğv edilmə halları

Sertifikatı ləğvetmə sorğusu aşağıdakı hallarda yaradılır:

- İmza sahibinin sorğusu əsasında;

- Qanunvericiliyə əsasən səlahiyyətli şəxsin (orqanın) qərarı və ya sorğusu əsasında;

- İmza sahibinin yaradılmış imza üzərində nəzarəti itirildikdə (sertifikat daşıyıcısı itdikdə,

konfidensiallıq pozulduqda);

- ASXM və imza sahibi arasındakı müqavilə şərtlərinə riayət olunmadıqda və ya müqaviləyə

xitam verildikdə;

- İmza yaratmaq üçün tətbiq olunan alqoritm, parametr və vasitələrin imzaların təhlükəsiz

istifadəsini təmin edə bilməyəcəyi barədə əsaslı şübhə yarandıqda;

- Qanunvericiliklə müəyyən edilmiş digər hallarda.

5.7.3.2 Sertifikatı ləğvetmə sorğusu proseduru

Sertifikatı ləğvetmə sorğusu verən imza sahibi QM-ə yazılı müraciət etməlidir. Bu

prosedurun yerinə yetirilmə ardıcıllığı aşağıdakı kimidir:

- İmza sahibindən şəxsiyyəti təsdiq edən sənəd tələb olunur və surəti çıxarılır.

- İmza sahibinin şəxsiyyəti təsdiq edən sənədi yoxlanılır.

-İmza sahibinin şəxsiyyəti təsdiq edən sənədin məlumatları sistemə daxil edilərək yoxlanılır.

- Ləğv edilməli olan sertifikatlar seçilir.

- Sistemdə sertifikatın ləğv edilməsi ilə bağlı forma hazırlanır və iki nüsxədə çap edilir.

- İmza sahibindən hər iki nüsxənin imzalanması xahiş olunur. Nüsxələrdən biri İmza

sahibində saxlanılır.

- Sertifikat ləğv edilir.

5.7.3.3 ASXM tərəfindən sertifikatı ləğvetmə sorğusunun yerinə yetirilmə müddəti

Sertifikatın ləğvetmə sorğusunun qəbulu ilə sertifikatın statusu haqqında üçüncü tərəfə açıq

olan məlumatlara dəyişiklik edilməsi müddəti sertifikatın etibarlılığının yoxlanması

metodundan asılı olaraq ən geci aşağıdakı kimidir:

ASXM-in etibarlı OCSP responderi – real vaxt rejimində;

- Baza CRL ilə yoxlanma – hər gün;

- Delta CRL ilə yoxlama – 3 (üç) saat;

Üçüncü tərəf sertifikatın statusu barədə ən aktual məlumatı ASXM-in etibarlı OCSP

responderindən əldə edə bilər.

5.7.4 Üçüncü tərəf üçün ləğvetmənin yoxlanması tələbi

Üçüncü tərəf əmin olmaq istədiyi sertifikatın statusunu yoxlaya bilər. Sertifikatın statusunun

yoxlanılması üçün üçüncü tərəf ASXM-in sahə xidmətləri vasitəsi ilə baza CRL-dən istifadə

edə bilər.

Nəzərə almaq lazımdır ki, qüvvəsi dayandırılmış və ya ləğv edilmiş sertifikatın statusu

barədə məlumatlar baza CRL-də hər gün dərc olunur.

Üçüncü tərəf sertifikatın statusunun yoxlanılması üçün OCSP responderdən istifadə edərsə,

ASXM-in daxili sertifikat bazasından sertifikat statusuna dair ən aktual məlumatı əldə edə

bilər.

5.7.5 CRL səbəb kodları

Sertifikat ləğv olunduqda ASXM bunun səbəbini göstərir. Bu məqsədlə RFC 3280-də

müəyyənləşdirilmiş aşağıdakı səbəblər istifadə edilmişdir:

CRL səbəb kodu İzahı

Unspecified Sertifikat səbəb kodu olmadan və ya müəyyən

olunmamış səbəblə ləğv olunub.

Key compromise İmza sahibinin sertifikatla bağlı yaradılmış imzasının

konfidensiallığı pozulub. Bu o deməkdir ki, ya

sertifikat daşıyıcısı, ya da parol avtorizə edilməmiş

şəxsin sərəncamındadır

CA compromise SM-in yaradılmış imzasının saxlandığı kriptoqrafik

modulun (HSM) konfidensiallığı pozulub və o,

avtorizə edilməmiş şəxsin sərəncamındadır.


_____.2013 23/44

Affiliation changed Bu səbəb kodu hər iki halda istifadə olunacaq:

- İmza sahibinin sertifikatındakı hər hansı

əhəmiyyətli məlumat dəyişsə;

- İmza sahibi sertifikatın məxsusi ad atributunda

göstərilmiş təşkilatla əlaqəsini kəssə

Superseded İmza sahibinin sertifikatı bərpa edilib (səbəb

yuxarıda göstərilən səbəblərdən fərqli olduqda).

ASXM sertifikat dəyişdirilməsi xidmətini

göstərmədiyi üçün tətbiq edilmir.

Cessation of operation

İmza sahibinin ASXM-lə əlaqəsi hər hansı səbəbdən

kəsilib.

Certificate hold Sertifikatın qüvvəsi dayandırılıb. ASXM dayanma

zamanı sertifikata zamin durmayacaq

Remove from CRL Əgər sertifikatın qüvvəsi „certificateHold‟ səbəb

kodu ilə dayandırılsa, sertifikatı („reactivate‟) bərpa

etmək mümkündür. Bərpa prosesi zamanı sertifikat

hələ də CRL-də qalacaq, amma „removeFromCRL‟

səbəb kodu ilə göstəriləcək.

Qeyd: bu, „certificateHold‟ səbəbinə xasdır və ancaq

delta CRL-lər tərəfindən istifadə olunur.

5.7.6 CRL-in dərc mütəmadiliyi

Yaradılıb və

imzalanıb

Növ Məzmun Qüvvədə olma

müddəti (dərc

vaxtı da

daxildir)

Dərc vaxtı

ASXM

Baza ASXM tərəfindən ləğv

edilmiş sertifikatlar

hər gün 1 (bir) gün

ASXM tərəfindən ləğv

edilmiş sertifikatlar

3 (üç) saat hər 3 (üç) saat

Qüvvədə olma müddəti və növbəti təzələnmə vaxtı arasındakı müddət CRL-in qüvvədə

olmasını göstərir. Texniki səbəblərdən (CRL-in yaradılması vaxt tələb edir) növbəti CRL

göstərilən müddətdən əvvəl (dərc vaxtı ərzində) dərc oluna bilər, lakin gec dərc

olunmamalıdır.

CRL-də olan sertifikat qüvvədən düşdükdə, o, növbəti dərc olunan CRL-dən silinəcək və

sertifikatlar bu Qaydaların 6.5.2-ci bəndində müəyyən olunmuş müddətə

arxivləşdiriləcəkdir.

5.7.7 CRL üçün maksimal ləngimə

CRL yaradıldıqdan sonra münasib vaxt ərzində müvafiq sahəyə göndərilir. Bu adətən

yaradıldıqdan sonra avtomatik olaraq baş verir.

5.7.8 Sertifikatın statusunun real vaxt rejimində yoxlanması imkanı

ASXM-in sertifikat yoxlama xidmətləri OCSP-responder vasitəsilə ASXM tərəfindən

verilmiş sertifikatların statusunun real vaxt rejimində yoxlanılmasını təmin edir.

5.7.9 Ləğvetmənin real vaxt rejimində yoxlanılması tələbləri

Sertifikat statusundakı dəyişikliklərin OCSP-də dərhal yerinə yetirildiyini nəzərə alaraq,

OCSP cavabları ASXM-in daxili sertifikat məlumat bazasındakı sertifikat statusuna

əsaslanır. ASXM üçüncü tərəflərə cari statusu ASXM-in etibarlı OCSP- responderindən

istifadə edərək yoxlamağı tövsiyə edir. Digər bir mexanizm isə ASXM sahə xidmətləri ilə

yüklənə bilən CRL vasitəsilə sertifikat statusunun oflayn yoxlanılmasıdır.

5.7.10 İmzanın konfidensiallığının pozulması ilə bağlı xüsusi tələblər

Yaradılmış imzadan istifadənin, yaradılma üçün istifadə olunan alqoritm, parametr və

qurğuların təhlükəsizliyinə şübhə yarandıqda ASXM-in təhlükəsizlik səlahiyyətlisi tədqiqata

başlayır. ASXM-in yaradılmış imzasının konfidensiallığı pozulduqda onun sertifikatı dərhal

ləğv edilməlidir. Bu halda ASXM xidmət göstərdiyi imza sahiblərini, əlaqədə olduğu SM-

ləri və üçüncü tərəfi məlumatlandırır və onlara verilmiş sertifikatların dəyişdirilməsini

ödənişsiz təmin edir.

5.8 Sertifikat statusu xidmətləri

ASXM-in sertifikat yoxlama xidməti OCSP-responder vasitəsilə ASXM tərəfindən verilmiş

sertifikatlar üzrə RFC 2560-yə uyğun olaraq sertifikatların statusunun real vaxt rejimində

yoxlanılmasını təmin edir.

OCSP-responderə http://va.asxm.e-taxes.gov.az/ocsp ünvanında müraciət etmək

mümkündür.

5.8.1 Əməliyyat xüsusiyyətləri

Sertifikatın statusunu yoxlamaq üçün OCSP-responderə müraciətə məhdudiyyət yoxdur və

eyniləşdirmə tələb olunmur. Statusu yoxlamaq üçün ASXM-in etibarlı OCSP-responderində

yerinə yetirilən əməliyyatların ardıcıllığı bu Qaydalarda nəzərdə tutulur.

5.8.2 OCSP-responderin cavabları

OCSP-responder sertifikatın statusu haqqında sorğuları cavablandırdıqda aşağıdakı

variantlardan istifadə edir:

OCSP cavabı İzahı

Aktiv Sorğunun müsbət nəticəsi halında verilən cavabdır. Bu cavab sertifikatın

qüvvəsinin dayandırılmadığını və ya ləğv olunmadığını göstərir

Ləğv olunub Sertifikatın ləğv olunduğunu (dayandırıldığını) göstərir.

Naməlum Sertifikat informasiya bazasında tapılmayıb. Status sorğusu ASXM

tərəfindən verilməyən və ya “ASXM-in Sertifikat Siyasəti”nin 2.2-ci

bəndinə uyğun olaraq silinmiş sertifikat barəsində verilmişdir.


_____.2013 25/44

5.9 Sertifikatın etibarlılığının yoxlanması

ASXM-in verdiyi sertifikatların etibarlılığı OCSP-responderi və qüvvədə olan CRL

vasitəsilə yoxlanıla bilər.

OCSP-responderdən istifadə etmək imkanı və qüvvədə olan CRL yoxdursa, onda sertifikatın

etibarlılığı yoxlanıla bilməz.

5.10 Sertifikata xidmətin başa çatması

İmza sahibi ASXM-in sertifikat xidmətlərindən istifadəni aşağıdakı hallarda bitirə bilər:

- Yeni sertifikat almayaraq, verilmiş sertifikatın qüvvəsinin başa çatmasını gözləmək;

- Yeni sertifikat almayaraq, verilmiş sertifikatın qüvvədə olması müddəti bitməmiş onu ləğv

etdirmək.

5.11 İmzanı saxlamaq üçün başqasına verilməsi

İmza sahibi ASXM tərəfindən verilmiş sertifikat daşıyıcısını, onda olan yaradılmış imzanı

və yaradılmış imza daşıyıcısından istifadə üçün giriş kodlarını başqasına verməməlidir.

6 Vasitələrə, idarəetməyə və fəaliyyətə nəzarət

ASXM bu Qaydalarla müəyyənləşən və İnformasiya təhlükəsizliyi AZS 324-

2008 (ISO/IEC 27002:2005) Beynəlxalq Standartına əsaslanan təhlükəsizlik

tələblərinə riayət edir. Buna uyğun olaraq, ASXM-in müstəqil audit tələbləri 9-cu

hissədə təsvir olunmuşdur. ASXM-in təhlükəsizlik təlimatındakı həssas təhlükəsizlik

məlumatları yalnız ASXM ilə razılaşma nəticəsində əldə edilə bilər. Bu tələblərin

xülasəsi aşağıda verilmişdir:

6.1 Fiziki təhlükəsizlik nəzarəti

ASXM dəyişdirilə bilməz etibarlı sistem və məhsullardan istifadə edir və onlar

vasitəsilə həyata keçirilən proseslərdə texniki və kriptoqrafik təhlükəsizlik təmin

edilir. ASXM-in bu Qaydaları təhlükəsizlik tələblərini dəstəkləyən fiziki təhlükəsizlik

tələblərini müəyyən edir. Fiziki təhlükəsizlik qaydaları və proseduru həssas

təhlükəsizlik məlumatlarına malikdir və yalnız ASXM ilə razılaşma nəticəsində əldə

edilə bilər.

6.1.1 ASXM-in yerləşdiyi yer

ASXM fiziki olaraq mühafizə olunan mühitdə yerləşməlidir. ASXM-in

informasiya sistemlərinin, o cümlədən onlardakı məlumatların açıq və ya gizli yolla

icazəsiz istifadəsinin, ələ keçirilməsinin, habelə onlara hər hansı müdaxilənin aşkara

çıxarılması və qarşısının alınması üçün təhlükəsizlik tədbirləri görülməlidir.

6.1.2 Fiziki giriş

ASXM-ə və onun informasiya sistemlərinə fiziki giriş daimi nəzarət altındadır.

6.1.3 Enerji və hava təchizatı

Etibarlı və davamlı fəaliyyəti təmin etmək üçün ASXM elektrik enerjisi ilə fasiləsiz

qidalandırma vasitələri və havanın istilik və rütubətinin tənzimlənməsi üçün avadanlıqlarla

təchiz edilmişdir.

6.1.4 Su sızması

ASXM su sızması nəticəsində fəaliyyətinə dəyə biləcək təsirləri minimuma endirmək üçün

müvafiq tədbirləri həyata keçirmişdir.

6.1.5 Yanğının qarşısının alınması və mühafizə

ASXM yanğının qarşısını almaq və onu söndürmək üçün müvafiq tədbirləri görür.

6.1.6 İnformasiya daşıyıcıları

İnformasiya mənbələri və daşıyıcıları kimi ASXM-in informasiya sistemində

istifadə edilən proqram təminatı, verilənlər (məlumatlar), audit-loqlar və onların

ehtiyat nüsxələri, sənəd arxivləri ASXM-də təsadüfi zədələnmə (məsələn, su, yanğın,

elektromaqnit təsirindən) və icazəsiz fiziki müdaxilədən mühafizə edilir.


_____.2013 27/44

6.1.7 Tullantıların məhv edilməsi

ASXM-də tullanılması nəzərdə tutulan kağız və elektron informasiya daşıyıcıları, həmçinin

qurğular onlarda olan məlumatların həssaslıq səviyyəsinə uyğun və onların bərpa olunmasını

istisna edən üsullarla məhv edilir.

6.1.8 Kənar ehtiyat surət

ASXM-in kritik sistem məlumatlarının, audit-loqların və digər həssas məlumatların

müntəzəm olaraq ehtiyat nüsxələri yaradılır, təhlükəsiz saxlanılması və müvafiq hallarda

istifadəsi təmin edilir.

6.2 Prosedurların idarə olunması

6.2.1 Məsul şəxslər

ASXM-in bütün fəaliyyəti ASXM-in təşkilati təsvirində əks olunmuş şəxslərlə bağlıdır.

Məsul şəxslərə aşağıdakılar aiddir:

Təhlükəsizlik inzibatçısı: təhlükəsizlik tədbirlərinin həyata keçirilməsinə ümumi

cavadehlik daşıyır.

Sistem inzibatçısı: ASXM-in informasiya sisteminin gündəlik işinə cavabdehdir.

Sistemin ehtiyat surətinin yaradılmasını və bərpasını yerinə yetirmək səlahiyyəti vardır.

Qeydiyyat, sertifikatın yaradılması, qurğu təchizatı və ləğvetmə üçün ASXM-in

sistemlərinin ilkin quraşdırılması, konfiqurasiyası və saxlanması üçün məsuldur.

Sistem operatoru: ASXM informasiya bazasının, əməliyyat sisteminin ehtiyat

surətlərinin yaradılmasına və onların bərpa edilməsinə məsul olunur.

Sistem auditorları: ASXM-in informasiya sisteminin arxivləri və audit-loqlara

baxmağa məsuldur.

Burada qeyd olunan şəxslər ASXM-in məsul şəxsləri kateqoriyasına aiddir və təşkilatda

informasiya təhlükəsizliyi siyasətinin tətbiq edilməsi və həyata keçirməsinə cavabdehdirlər.

6.2.2 Tapşırıqlar üzrə tələb olunan şəxslərin sayı

ASXM işlərin yerinə yetirilməsi üçün vəzifə bölgüsü və həssas tapşırıqların müxtəlif məsul

şəxslər tərəfindən icrasını təmin etmək məqsədilə ciddi nəzarət prosedurları tətbiq edir.

Aşağıdakı qurğulara və onların yerləşdiyi yerə ən azı iki məsul şəxsin birgə girişi tələb

olunur:

HSM-lər, sistem kartları və fərdiləşdirilməmiş sertifikat daşıyıcılarına məntiqi və ya fiziki

giriş;

Məlumat arxivlərinə fiziki giriş;

ASXM-in mərkəzi, alt-sistemlərinə, onların ehtiyat surətlərinə giriş.

6.2.3 Hər rol üçün eyniləşdirmə və kimliyini təsdiqi

Şəxslərin mühafizə olunan yerlərə, informasiya sistemlərinə girişi sertifikat daşıyıcısı

vasitəsilə həyata keçirilir. Sertifikat daşıyıcıları təhlükəsizlik sisteminə əvvəlcədən tanıdılır,

istifadə zamanı ilkin olaraq şəxsin kimliyinin təsdiqi həyata keçirilir və müsbət olan halda

əməliyyata icazə verilir.

6.2.4 Vəzifə bölgüsü

Vəzifə bölgüsü aşağıdakılara əsaslanır:

aparıcı vəzifəli şəxslərə əməliyyat məsələləri və ya təşkilati işlər tapşırıla bilməz;

qərarverici və məsləhətçi vəzifəli şəxslərə (xüsusən daxili və xarici audit) əməliyyat

məsələləri və ya təşkilati işlər tapşırıla bilməz;

inzibati vəzifəli şəxslərə əməliyyat məsələləri tapşırıla bilməz.

Məsuliyyətlərin bölgüsü zamanı aşağıdakılar qadağandır:

ASXM-in yerləşdiyi yerə giriş hüququ verən şəxslər inzibati vəzifə tuta bilməzlər;

tətbiqi-proqram təminatının və şəbəkənin inzibatçılığı müxtəlif şəxslər vasitəsilə həyata

keçirilir;

sertifikat ərizəçilərini eyniləşdirən və kimliyini təsdiq edən şəxslər onlara sertifikat verə

bilməz.

6.3 Kadrların idarə olunması

Məsul şəxs olmağa namizədlərin kimliyinin təsdiqlənməsi onların şəxsən iştirakı ilə

şəxsiyyət vəsiqəsi əsasında aparılır. Vəzifəyə uyğunluq bu Qaydaların 6.3.1-ci bəndində

təsvir olunmuş yoxlamanın nəticəsində müəyyənləşdirilir. Namizəd məsul şəxs təyin

edildikdən sonra vəzifələrinin icrasına başlamadan ona qurğularla işləmək və onların

yerləşdiyi yerə daxil olmaq üçün səlahiyyətləri müəyyənləşdirilməlidir.

6.3.1 Kadrlara aid tələblər

ASXM fəaliyyətinin təmini üçün bilikli, təcrübəli və səriştəli, həmçinin öhdəliklərini yerinə

yetirmək bacarığına malik işçi heyətə malik olmalıdır. Vəzifəyə namizədlər bilik, təcrübə və

səriştəsini təsdiq edən müvafiq sənədləri təqdim etməlidir. Namizədlər ən azı təhlükəsizlik

texnologiyası, kriptoqrafiya, elektron imzanın idarə edilmə infrastrukturu, təhlükəsizliyin

qiymətləndirilməsi üzrə texniki normalar, informasiya sistemləri üzrə təcrübəyə malik

olmalıdırlar. Namizədi vəzifəyə uyğun olub-olmamasını müəyyənləşdirmək üçün

qabaqcadan yoxlama aparılır.

6.3.2 Kadrların yoxlanması proseduru

Namizədin vəzifəyə uyğunluğu onun müvafiq qanunvericilik, etik davranış qaydaları,

fəaliyyət tələbləri, üzərinə götürdüyü öhdəliklərə əsasən müəyyənləşdirilir. Məsul şəxslərin

fəaliyyətinin bu Qaydaların tələblərinə uyğunluğu ASXM tərəfindən vaxtaşırı

yoxlanılacaqdır.

6.3.3 Təlim tələbləri

ASXM-in işçi heyətinə vəzifələrinin icrasına başlamadan əvvəl aşağıdakı sahələrdə təlim

keçirilməlidir:

Fəaliyyət və təhlükəsizlik prinsipləri;

İnformasiya sisteminin proqram təminatından istifadə qaydaları;

Vəzifə təlimatları;

Qəza hallarında işin bərpası və davamlığı proseduru.


_____.2013 29/44

6.3.4 Hazırlıq üzrə təkrar təlimlər

ASXM-in işçi heyətinə ilkin təlimlərdən sonra bu Qaydaların 6.3.3-cü bəndində

nəzərdə tutulmuş sahələr üzrə növbəti təlimlər mütəmadi olaraq, lakin ildə 1 (bir)

dəfədən az olmayaraq keçirilməlidir.

6.3.5 İşçi heyətə verilən sənədlər

ASXM işçi heyətə (məsul şəxslər də daxil olmaqla) vəzifələrini bacarıqla və lazımi

səviyyədə yerinə yetirmək üçün tələb olunan zəruri təlimlər keçməli və onları müvafiq

sənədlərlə təmin etməlidir.

6.4 Audit-loqların aparılma proseduru

Jurnala daxil edilən bütün qeydlər aşağıdakı elementlərə malik olmalıdır:

Qeydin tarixi və zamanı;

Qeydin seriya və sıra nömrəsi (avtomatik jurnal qeydləri üçün);

Qeydin növü;

Qeydin mənbəyi (məsələn: terminal, port, məkanı, istehlakçı və s.);

Qeyd aparanın eyniləşdirmə nömrəsi.

6.4.1 Qeydə alınan hadisələrin növləri

Aşağıdakılar da daxil olmaqla bütün qeydiyyat məlumatları qeydə alınır.

6.4.1.1 Qeydiyyat məlumatı

Qeydiyyat üçün ərizəçinin təqdim etdiyi sənədlərin növü;

Unikal eyniləşdirmə məlumatı;

İmzalanmış müqavilə də daxil olmaqla ərizənin və şəxsiyyət vəsiqələrinin nüsxələrinin

ehtiyat saxlama yeri;

İmza sahibinin ərizəsindəki hər hansı spesifik seçimlər (məsələn, sertifikatın

yayımlanmasına razılıq);

Ərizəni qəbul edən qurumun eyniləşdirilməsi;

Qəbul edən QM-in adı.

6.4.1.2 Sertifikatın yaradılması

ASXM-in açarlarının fəaliyyət dövrü ilə bağlı bütün hadisələrin audit-loqlarını aparır;

ASXM tərəfindən verilən sertifikatların fəaliyyət dövrü ilə bağlı bütün hadisələrin audit-

loqlarını aparır.

6.4.1.3 SSCD-nin idarə olunması

ASXM tərəfindən yaradılan açarların fəaliyyət dövrü ilə bağlı bütün hadisələrin audit

loqlarını aparır;

ASXM SSCD-lərin (sertifikat daşıyıcısı və HSM-lərə aid) fəaliyyət dövrü ilə bağlı bütün

hadisələrin, o cümlədən onların hazırlanması, paylanılması və məhv edilməsinin audit-

loqlarını aparır.

6.4.1.3 Ləğvetmənin idarə olunması

ASXM dayandırma, bərpa və ləğvetmə ilə bağlı bütün hadisələrin auditloqlarını aparır.

6.4.2 Audit-loqların aparılma mütəmadiliyi

Audit-loqlar ASXM-in müvafiq məsul şəxsi tərəfindən həftədə ən azı 1 (bir) dəfə

yoxlanılır və bütün mühüm hadisələr audit-loqun icmalında şərh olunur. Bu yoxlama

loqa müdaxilə edilmədiyinə əmin olmaq, bütün loq qeydlərini nəzərdən keçirmək, hər hansı

xəbərdarlıq və ya pozuntuları daha ətraflı araşdırmaq üçün aparılır. Yoxlamadan

sonrakı bütün addımlar sənədləşdirilir.

6.4.3 Audit-loqun saxlanma müddəti

Audit-loq ən azı 2 (iki) ay saxlanılır və sonra bu Qaydaların 6.5.2-ci bəndinə müvafiq

qaydada arxivləşdirilir.

6.4.4 Audit-loqun mühafizəsi

Audit-loq faylları icazəsiz daxilolma, dəyişdirilmə, məhv edilmə və müdaxilədən qoruma

mexanizminə malik elektron audit-loq sistemi ilə mühafizə olunur. Elektron audit-loq

sistemi vaxt göstəricisinin qoyulmasını da əhatə edir. Kağız audit məlumatları da icazəsiz

daxilolma, dəyişdirilmə, məhv edilmədən mühafizə edilməlidir.

6.4.5 Audit-loqun ehtiyat surətlərinin yaradılma proseduru

Audit-loqun artan (incremental) ehtiyat nüsxəsi hər gün və tam (ful) nüsxəsi isə hər həftə

yaradılır.

6.4.6 Audit sistemi

Audit məlumatları avtomatik olaraq proqram, şəbəkə və əməliyyat sistemi səviyyələrində

yaranır və qeyd edilir. Yaradılmış qeyri-elektron audit məlumatları isə ASXM-in məsul şəxsi

tərəfindən qeydə alınır.

6.4.7 Hadisə barədə bildiriş

Audit sistemi tərəfindən qeydə alınmış hadisələr barədə səbəbkar şəxsə və/və ya təşkilata

bildiriş göndərilmir.

Müntəzəm olaraq çatışmazlıqların qiymətləndirilməsi jurnalda qeyd edilmiş hadisələrin

təhlükəsizliyinin müəyyənləşdirilməsini və lazımi tədbirlərin görülməsini təmin edir.

6.4.8 Çatışmazlığın qiymətləndirilməsi

Hadisələrin audit-loqlarından sistemin çatışmazlıqlarının monitorinqi üçün istifadə edilir.

Aşkar edilən çatışmazlıqlar təhlükəsizlik baxımından yoxlanılır, qiymətləndirilir və aradan

qaldırılır. Bu, real vaxt rejimində avtomatik aparılan loq məlumatları əsasında gündəlik,

aylıq və illik olaraq yerinə yetirilir.


_____.2013 31/44

6.5 Sertifikat xidmətləri ilə bağlı qeydlərin arxivləşdirilməsi

6.5.1 Arxivləşdirilmiş qeydlərin növü

ASXM-in sertifikat xidmətləri ilə bağlı qeydləri arxivləşdirilir və bu Qaydaların 6.5.2-ci

bəndində göstərilən müddətdə saxlanılır.

6.5.2 Arxivin saxlanma müddəti

ASXM-in sertifikat xidmətləri ilə bağlı qeydlər 15 (on beş) il müddətinə saxlanılır. Bu

müddət xüsusi sənəd və məlumatlar üçün artırıla bilər.

6.5.3 Arxivin qorunması

Arxivlər daxilolmaya nəzarət sistemləri ilə mühafizə olunan ayrıca yerdə yerləşdirilir. Bu

Qaydaların 6.5.2-ci bəndində müəyyən olunmuş müddət ərzində saxlanılan arxiv

məlumatlarından istifadə edilə bilməsi üçün arxiv məlumatlarının məlumat daşıyıcıları və

onların emal proqramları işlək vəziyyətdə saxlanmalıdır.

6.5.4 Arxivlərin ehtiyat surətlərinin yaradılma proseduru

Arxivin oflayn ehtiyat surətlərinin yaradılması proseduru ilkin arxivlər itirildikdə

və ya məhv olduqda qısa müddət ərzində onu tam bərpa etmək üçün istifadə edilə

biləcək ehtiyat surətin yaradılmasından ibarətdir.

6.5.5 Vaxt göstəricisi ilə bağlı tələblər

Verilənlər bazasına daxil edilən yazılar dəqiq tarix və zaman məlumatına malik olmalıdır. Bu

vaxt göstəricisi şifrlənməməlidir.

6.5.6 Arxiv sistemi

ASXM daxili arxiv sistemindən istifadə edir.

6.5.7 Arxivdən məlumatların əldə edilməsi və yoxlanılması

Yalnız səlahiyyətli məsul şəxslər arxivə giriş əldə edə bilərlər. Arxivdən əldə edilmiş sənəd

və məlumatlar geri qaytarılarkən onların tamlığı yoxlanılır.

6.6 Konfidensiallığın pozulması və qəza hallarında bərpa

6.6.1 Hadisələrin və konfidensiallığın pozulmasının idarə olunma proseduru

ASXM ayrıca yerdə saxlanılan aşağıdakı məlumatların ehtiyat surətlərindən

konfidensiallığın pozulması və qəza hallarında istifadə edəcəkdir:

Sertifikat ərizələrinin məlumatları, audit məlumatları və bütün verilmiş sertifikatların

verilənlər bazası.

İnformasiya təhlükəsizliyi hadisələri və ASXM-in yaradılmış imzalarının konfidensiallığının

pozulması hallarının idarə olunması proseduru ASXM-in qəza hallarında bərpa planında

göstərilir. Bu planda hadisələrə uyğun olaraq onların idarə olunması proseduru və

məsuliyyət əks etdirilir. Bu planın əsas məqsədi sertifikat xidmətlərinin dərhal bərpa

olunması və təhlükəsizliyin davamlı olaraq təmin edilməsidir.

6.6.2 Korlanmış hesablama resurslarının bərpası

Resursların, proqram təminatının və verilənlərin güman edilən və ya faktiki

konfidensiallığının pozulması hallarında müvafiq bərpa proseduru (bu Qaydaların 6.6.4-cü

bəndinə müvafiq olaraq) həyata keçirilir.

6.6.3 ASXM-in konfidensiallığı pozulmuş yaradılmış imzası ilə bağlı prosedurlar

ASXM-in yaradılmış imzasının konfidensiallığı pozulduqda və ya buna şübhə yarandıqda

ASXM aşağıdakıları təmin edir:

İmza sahiblərini, əlaqədə olduğu SM-ləri və üçüncü tərəfi məlumatlandırır;

Konfidensiallığı pozulmuş imzadan istifadə edilməsinin qarşısını almaq üçün

sertifikatların verilməsi və CRL-in yayımlanması üzrə göstərilən xidmətləri dayandırır.

ASXM-in işçi heyəti tərəfindən istifadə edilən yaradılmış imzalardan hər hansının

konfidensiallığı pozulduqda və ya buna şübhə yarandıqda bu barədə dərhal məsul şəxs

məlumatlandırılmalı və sertifikatın ləğvetmə sorğusu verilməlidir. İmza sahibinə məxsus

yaradılmış imzanın konfidensiallığı pozulduqda və ya buna şübhə yarandıqda bu barədə

dərhal ASXM və üçüncü tərəf məlumatlandırılmalı və sertifikatın ləğvetmə sorğusu

verilməlidir.

6.6.4 Qəzadan sonra işin davamlığı imkanları

İnformasiya sistemlərinin qaynar ilkin quraşdırılmasının həyata keçirilməsi ilə ASXM-in

sertifikat xidmətləri göstərməsi imkanı yüksək səviyyədə təmin olunur.

Hesablama resursları, proqram təminatı və məlumatları itirildikdə və ya korlandıqda ASXM

qəza hallarında bərpa planına müvafiq tədbirlər görür. Bu planda ASXM-in bu Qaydalara

uyğun xidmətlər göstərməsi üçün digər coğrafi ərazidə yerləşən əməliyyat vasitələri də

nəzərdə tutula bilər.

Sertifikatın qüvvəsinin dayandırılması və ya ləğvi, sertifikatın etibarlılığının yoxlanması və

CRL-lərin dərci kimi əsas xidmətlər ən geci 4 (dörd) saat ərzində bərpa edilir. Tam

funksionallıq 72 (yetmiş iki) saat ərzində təmin olunacaqdır. Planda bu vasitələrin

hazırlığının tam və ya vaxtaşırı sınaqdan keçirilməsi imkanı nəzərdə tutulmalıdır. Planda

müvafiq sənədlərə istinad edilir və o, səlahiyyətli şəxslər tərəfindən təftiş edilə bilər.

6.7 ASXM-in fəaliyyətinə xitam verilməsi

ASXM-in fəaliyyətinə xitam vermək zəruriyyəti yarandıqda, qüvvədə olan sertifikatlara

malik imza sahiblərinə, Milli Sertifikat Xidməti Mərkəzinə bu barədə xəbər verilir və onlara

göstərilən xidmətlərdə fasilənin minimuma endirilməsi üçün xüsusi xitam planı hazırlanır.

Bu planda əsasən aşağıdakılar nəzərdə tutulur:

İmza sahiblərinə və Milli Sertifikat Xidməti Mərkəzinə orqanına bildiriş göndərilməsi;

ASXM-in sertifikatının ləğvi;

Verilmiş sertifikatlar, onlarla və sertifikat sorğuları ilə bağlı məlumatların, onların

arxivlərinin başqa SM-ə və ya müvafiq icra hakimiyyəti orqanına təhvil verməsi;

İmza sahiblərinə dəstək xidmətlərinin davam etdirilməsi;

CRL-lərin dərci kimi ləğvetmə xidmətlərinin və ya statusun real vaxt rejimində

yoxlanılması xidmətlərinin davam etdirilməsi;

Fərdi məlumatların konfidensiallığının mühafizə olunması.


_____.2013 33/44

7 Texniki təhlükəsizlik nəzarəti

7.1 İmza cütünün yaradılması və ilkin quraşdırılması

7.1.1 İmza cütünün yaradılması

ASXM-də imza cütü səlahiyyətli və səriştəli məsul şəxslər tərəfindən təhlükəsiz informasiya

sistemi və proseslərdən istifadə edərək, konfidensiallıq və şifrlənmə səviyyəsi təmin

olunaraq yaradılır.

ASXM imzasının yaradılması və yadda saxlanılması üçün nəzərdə tutulan LUNA SA.

SAFENET 3 ilə sertifikatlaşdırılmış HSM-də (texniki avadanlığın təhlükəsizlik modulu)

hazırlanacaq və saxlanılacaqdır.

ASXM-də ərizəçilər üçün yaradılan açar cütü təhlükəsizlik tələblərinə cavab verən sertifikat

daşıyıcılarına yazılır.

7.1.2 Yaradılmış imzanın imza sahibinə verilməsi

İmza cütü yazılmış sertifikat daşıyıcısı sahibinə müvafiq QM-də verilir. ASXM-də bu

prosesin qeydiyyatı aparılır və audit-loqlarda müvafiq qeydlər edilir. Sertifikat daşıyıcısı

QM operatoru tərəfindən imza sahibinə (və ya onun notarial və ya notarial qaydaya bərabər

tutulan qaydada təsdiq edilmiş nümayəndəsinə) şəxsən təqdim edilir.

7.1.3 Yoxlanılmış imzanın üçüncü tərəfə çatdırılması

ASXM bütün yoxlanılmış imzaları sahə xidməti vasitəsilə yayımlanaraq imza sahibinə

çatdırılır. İmza yaradılması zamanı ASXM-in informasiya sistemi imza sahibinin

sertifikatının mərkəzin yoxlanılmış imzasından istifadə edilərək təsdiq olunma imkanını

yoxlayır. İmza sahibinin razılığı ilə onun sertifikatı yüklənmək üçün sertifikat bazasında

yerləşdirilə bilər.

7.1.4 İmzaların ölçüsü

Açar Ölçü

ASXM-in Gizli açarı 2048 bit

İmza sahibinin Gizli açarı 2048 bit

İmza sahibinin autentifikasiya açarı 2048 bit

RSA 1024Bit/2048 Bit (PKCS#1) kriptoqrafik alqoritmindən istifadə olunmuşdur.

7.2 Yaradılmış imzanın mühafizəsi

7.2.1 Kriptoqrafik modul üçün standartlar

ASXM tərəfindən istifadə olunan HSM FIPS 140-2, 3-cü səviyyə göstəricilərinə cavab verir.

İmza sahiblərinin imza cütünün daşıyıcısı və SSCD kimi istifadə olunan sertifikat daşıyıcısı

EAL4+ və ümumi meyarlarla (ISO/IEC 15408) qiymətləndirilən təhlükəsizlik tələblərinə

uyğundur.

7.2.2 Yaradılmış imzaya bir neçə şəxsin nəzarəti

ASXM həssas kriptoqrafik əməliyyatları yerinə yetirmək üçün bir neçə məsul şəxsin

iştirakını tələb edən texniki və prosedur mexanizmlərini tətbiq edir. Bu şəxslərdən heç biri

təklikdə hər hansı yaradılmış imzadan istifadə etmək üçün lazım olan giriş kodlarına tam

sahib deyil. ASXM-in yaradılmış imzasına giriş əldə etmək üçün 3 şəxsdən 3-nün mütləq

iştirakı lazımdır.

7.2.3 Yaradılmış imzanı saxlamaq üçün başqasına verilməsi

İmza sahibinin və ya ASXM-in yaradılmış imzası saxlamaq üçün başqasına verilə bilməz.

7.2.4 Yaradılmış imzanın ehtiyat nüsxəsi

Avadanlıqlardakı texniki nasazlıqlar, enerji təchizatının qəza kəsilməsi nəticəsində açarın

itirilməsi hallarının qarşısının alınması üçün ASXM-in yaradılmış imzasının ehtiyat surəti

yaradılır və təhlükəsizlik şəraitində saxlanılır. ASXM-in yaradılmış imzalarının ehtiyat

surətinin konfidensiallığı qorunmalı və onların tamlığı, autentikliyi saxlanılmalıdır.

Yaradılmış imzalar təkrar açar yaratma sertifikat daşıyıcısı dəstindən istifadə edilərək

yaradılır. İmzanın yaradılması fiziki baxımdan təhlükəsiz yerdə iki məsul şəxsin nəzarəti

altında aparılır və prosedur sənədləşdirilir.

İmza sahibinin yaradılmış imzası sertifikat daşıyıcısında yaradılır və saxlanılır. O, sertifikat

daşıyıcısından çıxarılmır və ehtiyat surəti yaradılmır.

7.2.5 Yaradılmış imzanın arxivləşdirilməsi

ASXM-in yaradılmış imzasının arxivləşdirilməsi aparılmır və onun qüvvədə olma müddəti

bitdikdə bu Qaydalara uyğun olaraq təhlükəsizlik təmin edilməklə məhv edilir.

7.2.6 Yaradılmış imzanın kriptoqrafik modula ötürülməsi

ASXM-in açar cütü istifadə olunacağı HSM-də yaradılır. İmza sahibinin sertifikatları 3-cü

növ SSCD olan sertifikat daşıyıcısında yaradılır və heç bir kriptoqrafik modullardan və ya

modullara ötürülmür.

7.2.7 Yaradılmış imzanın kriptoqrafik modulda saxlanması

ASXM-in yaradılmış imzası HSM-də şifrlənmiş formada saxlanılır. İmza sahibinin

sertifikatları sertifikat daşıyıcısında saxlanılır və daşıyıcıdan çıxarılmır.

7.2.8 Yaradılmış imzanı aktivləşdirmə metodu

ASXM-in yaradılmış imzasının aktivləşdirilməsi giriş və PİN-in yoxlanmasını və ya xüsusi

təhlükəsizlik parametrlərinə uyğun giriş frazasını tələb edir.

Sertifikat daşıyıcısında yaradılmış imzadan istifadə PİN-in daxil edilməsini tələb edir:

- Ümumilikdə, təkmil sertifikatlar üçün yaradılmış imza PİN vasitəsilə qorunur.


_____.2013 35/44

Bir imzanın yaradılması məqsədilə PİN-in daxil edilməsi təkmil imza üçün yaradılmış

imzanı aktivləşdirir (imzanın hər yaradılması üçün hər dəfə PİN-in daxil edilməsi tələb

olunur);

- Eyniləşdirmə üçün yaradılmış imza PİN vasitəsilə qorunur. PİN sessiya üçün yaradılmış

imzanı aktivləşdirir.

7.2.9 Yaradılmış imzanın məhv edilmə qaydası

Sertifikatın qüvvədə olma vaxtı başa çatdıqda və ya sertifikat ləğv olunduqda ASXM

tərəfindən yaradılmış imza məhv edilir. Yaradılmış imzalar onların itməsi, oğurlanması,

dəyişdirilməsi, səlahiyyətsiz açıqlanması və ya istifadəsinin qarşısını alan yolla məhv edilir.

Sertifikat daşıyıcısındakı yaradılmış imzanın məhv edilməsi bilavasitə həmin sertifikat

daşıyıcısının fiziki dağıdılması yolu ilə həyata keçirilir. İmza sahibləri malik olduqları

sertifikat daşıyıcısını təhlükəsiz məhv edilmə üçün ASXM-ə qaytara bilərlər.

7.2.10 Kriptoqrafik modulun səviyyəsi

Bu Qaydaların 7.2.1-ci bəndinə baxın.

7.3 İmza cütünün idarə olunmasının digər məqamları

7.3.1 Yoxlanılmış imzanın arxivləşdirilməsi

Bütün verilmiş sertifikatlar ASXM-in ehtiyat surətinin yaradılması proseduru, o cümlədən

arxivləşdirmə vasitəsilə saxlanılmalıdır.

7.3.2 Sertifikatın və imza cütünün istifadə müddətləri

Sertifikatdan qüvvədə olma vaxtı bitənədək və ya ləğv edilənədək istifadə etmək olar. İmza

cütünün istifadəsi əlaqəli olduğu sertifikatın istifadə müddəti ilə məhdudlaşır, lakin

yoxlanılmış imza ilə həmin müddətdən sonra da imza yoxlanılması aparıla bilər.

Sertifikatların maksimum istifadə müddəti aşağıdakı cədvəldə göstərilib:

Sertifikat Etibarlılıq müddəti

ASXM sertifikatı 6 il

İmza sahibinin təkmil sertifikatı 5 il

İmza sahibinin eyniləşdirmə sertifikatı 3 il

OCSP-responderin sertifikatı 10 il

Tətbiq edilən kriptoqrafik alqoritm və parametrlərin uyğunluğuna ASXM tərəfindən daim

nəzarət edilir. Əgər sertifikatın qüvvədə olma müddətində alqoritm və ya imza uzunluğunun

təhlükəsizlik baxımından qənaətbəxş olmaması müəyyənləşdirilərsə, sertifikatın ləğvi və

yeni sertifikatın əldə edilməsi həyata keçirilir.

7.4 Aktivləşdirmə məlumatı

7.4.1 Aktivləşdirmə məlumatının yaradılması və ilkin quraşdırılması

Yaradılmış sertifikat daşıyıcısına giriş kodu kimi PİN istifadə olunur. Giriş kodu və sertifikat

daşıyıcısı imza sahibinə QM tərəfindən təqdim olunur.

7.4.2 Aktivləşdirmə məlumatının mühafizəsi

İmza sahibi yaradılmış imzanın aktivləşdirmə məlumatlarını mühafizə etməli, onların itməsi,

oğurlanması, dəyişdirilməsi, digər şəxslərə bəlli olması və ya səlahiyyətsiz istifadəsinin

qarşısını almalıdır.

Təhlükəsizlik baxımından aktivləşdirmə məlumatlarının hər hansı bir yerə yazılmadan yadda

saxlanılaraq istifadəsi məqsədəuyğundur. Əgər yazıb istifadə edilərsə, bu məlumatlar

kriptoqrafik modulla əlaqəli olan məlumat kimi mühafizə olunmalıdır.

7.4.3 Aktivləşdirmə məlumatları ilə bağlı digər məqamlar

7.4.3.1 Aktivləşdirmə məlumatlarının ötürülməsi

Yaradılmış imzaların aktivləşdirmə məlumatları ötürülərkən onların itməsi, oğurlanması,

dəyişdirilməsi, digər şəxslərə bəlli olması və ya səlahiyyətsiz istifadəsinin qarşısının

alınmasını təmin edən üsullar tətbiq edilməlidir.

7.4.3.2 Aktivləşdirmə məlumatlarının məhv edilməsi

ASXM tərəfindən yaradılmış imzanın aktivləşdirmə məlumatlarının məhvi üçün onların

itməsi, oğurlanması, dəyişdirilməsi, digər şəxslərə bəlli olması və ya səlahiyyətsiz

istifadəsinin qarşısının alınmasını təmin edən üsullar tətbiq edilməlidir.

7.5 Vaxt göstəricisi

ASXM vaxt göstəricilərinin qeyd edilməsini təmin edən vaxt möhürü mərkəzinə malikdir.

Vaxt möhürü mərkəzi TS 101 861 v1.2.1-lə müəyyənləşdirilən profildən və TSP

protokolundan istifadə edir. Ətraflı məlumat üçün ASXM-in vaxt göstəricilərinin qeyd

edilmə siyasəti və vaxt göstəricilərinin qeyd edilmə qaydalarına baxın.


_____.2013 37/44

8 Sertifikat və CRL profilləri

8.1 Sertifikat profilləri

ASXM-in sertifikatında və ASXM tərəfindən verilən təkmil sertifikatlarda aşağıdakı əsas

sahələr göstərilməlidir:

- X.509 versiyası;

- Sertifikatın seriya nömrəsi;

- İmza alqoritminin identifikatoru;

- Sertifikat verən qurumun adı;

- Sertifikatın etibarlılıq müddəti;

- Subyektin adı;

- Subyektin açıq açarı haqqında məlumat.

Subyekt dedikdə, Açıq açara uyğun Gizli açara nəzarət edən tərəf başa düşülür. Sertifikat

profilləri bu Qaydalarda təsvir olunmuşdur.

ASXM tərəfindən verilən bütün elektron Sertifikatlar RFC 3280-də müəyyən olunmuş

elektron Sertifikat və CRL profillərinə uyğun olmalıdır.

8.1.1 Versiya nömrəsi

ASXM-in Sertifikatında və ASXM tərəfindən verilən təkmil Sertifikatlar “IETF RFC 3280

Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)

Profile, April 2002” tövsiyələrində müəyyənləşdirilmiş X.509 v3 versiyasını dəstəkləyir.

8.1.2 Sertifikat genişlənmələri

ASXM bu Qaydaların tələb etdiyi və RFC 3280 tövsiyələrində təyin olunmuş genişlənmələri

ehtiva etməlidir. Digər istifadə olunan genişlənmələr qeyri-kritik olmalı və bu Qaydalardakı

Setifikat və CRL profilləri ilə ziddiyyət təşkil etməməlidir.

ASXM-in Sertifikatında Genişlənmələrə aşağıdakı sahələr aiddir:

- Açarın istifadəsi;

- Əsas məhdudiyyətlər;

- Subyektin açarının identifikatoru;

- SXM-in versiyası;

- Sertifikat siyasəti;

- Mərkəz açarı identifikatoru;

- CRL paylanma nöqtələri;

- Mərkəz haqqında məlumata müraciət;

- Genişləndirilmiş açar istifadəsi.

ASXM tərəfindən verilən təkmil Sertifikatlarda Genişlənmələrə aşağıdakı sahələr aiddir:

- Açarın istifadəsi;

- Subyektin açarının identifikatoru;

- Sertifikat siyasəti;


- CRL paylanma nöqtələri;

- Mərkəz haqqında məlumata müraciət;

- Genişləndirilmiş açar istifadəsi;

- Subyektin alternativ adı;

- Sertifikat şablonu üzrə məlumatlar;

- Təkmil Sertifikat tələbləri;

- Proqram Siyasətləri.

8.1.3 ASXM-in CRL profile

ASXM-in CRL profilinə aşağıdakı sahələr aiddir:

- X.509 versiyası;


- Qüvvədə olma tarixi;

- Növbəti yenilənmə tarixi;


- Ləğv edilmiş Sertifikatların:

Seriya nömrəsi;

Ləğvetmə tarixi;

CRL səbəb kodu.

8.1.3.1 Versiya nömrəsi

ASXM-in CRL profili “IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate

and Certificate Revocation List (CRL) Profile, April 2002” tövsiyələrində

müəyyənləşdirilmiş X.509 v2 versiyasını dəstəkləyir.

8.1.3.2 CRL genişlənmələri

ASXM-in CRL genişlənmələrinə aşağıdakı sahələr aiddir:



- CRL nömrəsi;

- Növbəti CRL-in dərci;

- Ən yeni CRL.

8.1.4 ASXM-in delta CRL-i

ASXM-in delta CRL profilinə aşağıdakı sahələr aiddir:


_____.2013 39/44

- X.509 versiyası;


- Qüvvədə olma tarixi;

- Növbəti yenilənmə tarixi;


- Ləğv edilmiş Sertifikatların:

Seriya nömrəsi;

Ləğvetmə tarixi;

CRL səbəb kodu.

8.1.4.1 Versiya nömrəsi

ASXM-in delta CRL profili “IETF RFC 3280 Internet X.509 Public Key Infrastructure

Certificate and Certificate Revocation List (CRL) Profile, April 2002” tövsiyələrində

müəyyənləşdirilmiş X.509 v2 versiyasını dəstəkləyir.

8.1.4.2 CRL genişlənmələri

ASXM-in delta CRL profilinin genişlənmələrinə aşağıdakı sahələr aiddir:



- CRL nömrəsi;

- Növbəti CRL-in dərci;

- Delta CRL indikatoru.

9 Uyğunluq auditi və digər yoxlamalar ASXM-in sertifikat xidmətləri göstərməsi üçün informasiya sisteminin təhlükəsizliyinin

auditi keçirilməlidir. Audit qanunvericiliyə və bu Qaydalara uyğun olaraq, ASXM-in

fəaliyyətə başladığı müddət nəzərə alınmaqla, hər il keçirilir.

Audit zamanı aşağıdakı sənədlər nəzərdən keçirilir:

Fiziki təhlükəsizlik;

Texnoloji qiymətləndirmə;

ASXM-in idarəçiliyi (o cümlədən, fiziki və ətraf mühitin təhlükəsizliyi, açar

əməliyyatlarının və sertifikatın fəaliyyət dövrünün idarə olunması);

İşçi heyətin seçilməsi;

Müvafiq ASXM-in Sertifikat Siyasəti və Sertifikatın Tətbiqi Qaydaları;

Müqavilələr;

Məlumatın mühafizəsi və konfidensiallığının qorunması;

Qəza hallarında bərpa planı.

Audit zamanı aşkara çıxarılmış mühüm uyğunsuzluq və ya çatışmazlıqların aradan

qaldırılması üçün ASXM tərəfindən tədbirlər müəyyənləşdirilir. Bu tədbirlərin icra

olunmasına ASXM-in rəhbərliyi cavabdehdir.

Audit barədə məlumat http://www. ünvanında yerləşdirilə bilər.


_____.2013 41/44

10 Digər işlər və hüquqi məsələlər

10.1 Ödənişlər

10.1.1 Sertifikatın idarə olunması haqqı

ASXM sertifikatın verilməsi və yenilənməsini ödəniş əsasında həyata keçirir və bu

xidmətlərin qiymət cədvəli http://www. ünvanında yerləşir.

10.1.2 Sertifikatın etibarlılığının yoxlanılması haqqı

ASXM sertifikatın etibarlılığının yoxlanılmasını ödənişsiz həyata keçirir.

10.2 Maliyyə məsuliyyəti

ASXM-in imza sahibləri qarşısında məsuliyyəti və belə məsuliyyətin yuxarı həddi

imzalanmış müqaviləyə əsasən müəyyənləşdirilir. Bu halda müqavilədə bu qaydalara istinad

edilir.

ASXM imza sahibləri, üçüncü tərəf və digər qurumlar qarşısında yalnız qəbul olunmuş bu

qaydalarda müəyyən edilmiş çərçivədə məsuliyyət daşıyır.

ASXM-in imza sahibləri qarşısındakı məsuliyyətinin yuxarı həddi imza sahiblərinin hamısı

üçün eynidir.

10.3 Fəaliyyətlə bağlı məlumatların konfidensiallığı

10.3.1 Konfidensial saxlanılan məlumat növləri

10.3.1.1 Fəaliyyət və quruluş sənədləri

ASXM fəaliyyəti və quruluşu, həmçinin sertifikatının etibarlılığının yoxlanması ilə bağlı

məqamlar barədə məlumatlar əks olunan həssas daxili sənədləri, məsləhət və audit

məqsədləri üçün istifadə istisna olmaqla, konfidensial saxlayır.

10.3.1.2 Audit məlumatları

ASXM fəaliyyəti və sertifikatın etibarlılığının yoxlanılması ilə bağlı bütün audit məlumatları

qanunvericiliklə müəyyən edilmiş hallar istisna olmaqla konfidensial saxlayır. ASXM öz

qərarına və ya qanunvericiliyin tələblərinə müvafiq olaraq saytında audit barədə qısa icmal

dərc edir.

Qanunvericiliyin tələblərinə əsasən lazım olarsa audit məlumatları haqqında çıxarış tam

şəkildə “ASXM-in Sertifikat Siyasəti”nin 7.1.4 və 7.1.5-ci bəndlərinə uyğun olaraq verilə

bilər.

10.3.1.3 Fərdi məlumatların konfidensiallığı

ASXM tərəfindən toplanan, işlənilən və ya istifadə edilən fərdi məlumatların

konfidensiallığı bu qaydaların 10.4-cü bəndinə müvafiq olaraq təmin olunur.

10.3.2 Konfidensial sayılmayan məlumat növləri

10.3.2.1 Sertifikat və onun statusu haqqında məlumatlar

ASXM tərəfindən nəşr edilmiş bütün sertifikatlar yayımlana bilər. ASXM-in verdiyi

sertifikatların statusu haqqında məlumatlar “ASXM-in Sertifikat Siyasəti”nə, “ASXM-in

Sertifikatın Tətbiqi Qaydaları”na əsasən sertifikatın etibarlılığının yoxlanması xidmətlərinə

müraciət imkanı olan hər kəs üçün açıqdır.

10.3.2.2 ASXM-in sənədləri

ASXM-in aşağıdakı sənədləri konfidensial sayılmır və ictimaiyyətə açıqlanır:

- Təsdiq olunmuş Sertifikat Siyasəti və Sertifikatın Tətbiqi Qaydaları;

- Dərc olunmaq üçün məqbul sayılan digər sənədlər.

10.3.3 Sertifikatın ləğvi məlumatlarının açıqlanması

ASXM-in sertifikatı ləğv edildikdə onun səbəbi açıqlana bilər. Sertifikatın ləğvi və ya

sertifikatın etibarlılığının yoxlanılması haqqında məlumatlar OCSP-responder və CRL-dən

istifadə edərək açıqlanır. ASXM-in yoxlama xidmətləri barəsində sorğu verilmiş sertifikatın

etibarlı olub-olmadığını, ləğv edildiyini və ya qüvvəsinin dayandırıldığını, ya da statusu

barədə məlumatın olmamasını müəyyənləşdirməyə imkan verir. Digər hər hansı məlumat

açıqlanmır.

10.3.4 Hüquq-mühafizə orqanına çıxarışın verilməsi

Aşağıdakı hallar istisna olmaqla, ASXM saxladığı heç bir sənədi və ya qeydi hüquq

mühafizə orqanlarına və ya əməkdaşlarına verə bilməz:

- müvafiq qaydada sorğu verildikdə;

- digər hüquqi prosedurlara əməl edildikdə.

10.3.5 Mülki iş üzrə sübut və ya araşdırma məqsədilə çıxarışın verilməsi

Aşağıdakı hallar istisna olmaqla, konfidensial sənəd və ya qeyd heç kimə verilmir:

- Düzgün (məsələn, bütün hüquqi prosedurlara müvafiq) doldurulmuş sorğu verildikdə;

- Sorğu verən şəxs səlahiyyətli və dəqiq eyniləşdirilən olarsa.

ASXM mülki iş üzrə sübut və ya araşdırma məqsədilə sorğu edilən məlumatları müvafiq

qanunvericilik tələblərinə uyğun prosedurlara riayət edərək təqdim etməlidir. Bunun üçün

qanunvericiliyə müvafiq olan və təsdiq edilmiş daxili prosedurlar işlənilə bilər.

10.4 Fərdi məlumatların konfidensiallığı

ASXM tərəfindən toplanan, işlənilən və ya istifadə edilən fərdi məlumatların

konfidensiallığı “Fərdi məlumatlar haqqında” və “Elektron imza və elektron sənəd

haqqında” Azərbaycan Respublikasının Qanunlarına müvafiq olaraq mühafizə olunur. Fərdi

məlumatlar yalnız qanunvericilikdə nəzərdə tutulmuş hallarda üçüncü tərəfə verilə bilər.

10.4.1 Konfidensial saxlanılan məlumatlar

ASXM fərdi məlumatların toplanması, işlənilməsi və istifadəsini “Fərdi məlumatlar

haqqında” Azərbaycan Respublikasının Qanununa və bu Qaydalara və “ASXM-in Sertifikat

Siyasəti”nin tələblərinə müvafiq olaraq həyata keçirir.


_____.2013 43/44

Məlumatın aid olduğu şəxs və ya qurum tərəfindən açıqlanmasına birbaşa razılıq verilənə

qədər qeydiyyat məlumatları konfidensial məlumat sayılır.

10.4.2 Konfidensial sayılmayan məlumatlar

Qanunvericiliyə, ASXM-lə bağlanmış müqaviləyə uyğun olaraq imza sahibinin razılığı ilə

sertifikat və onun statusu barədə məlumatlar istifadə məqsədilə açıqlana bilər. Bu “ASXM-

in Sertifikat Siyasəti” və “ASXM-in Sertifikatın Tətbiqi Qaydaları”nda başqa hallar

müəyyən edilməmişdirsə, imza sahibi sertifikatı əldə edərkən sertifikatdakı məlumatı və

sertifikat xidmətlərinin göstərilməsi ilə bağlı digər məlumatları yayımlamaq üçün ASXM-ə

icazə verə bilər.

10.4.3 Konfidensial məlumatların mühafizəsi

ASXM-in bütün işçi heyəti və qurumları fərdi məlumatları mühafizə etməli, onların

konfidensiallığının pozulması və ya üçüncü tərəfə bəlli olmasının qarşısını almaq üçün

qanunvericiliyin tələblərinə riayət etməlidir.

10.4.4 Konfidensial məlumatlardan istifadə barədə xəbərdarlıq və razılıq

Bu Qaydalarda başqa hallar nəzərdə tutulmamışdırsa, konfidensial məlumat aid olduğu

şəxsin razılığı olmadan istifadə edilə bilməz.

10.4.5 Məhkəmə və inzibati proseslə bağlı açıqlama

ASXM konfidensial məlumatları məhkəmə sorğuları və məhkəmə qərarları əsasında

açıqlaya bilər.

10.5 Müəlliflik hüquqları

ASXM-in fəaliyyətinin təşkili ilə bağlı olan bütün sənədlərin, o cümlədən sertifikatların,

CRL-lərin, sertifikat statusu mesajlarının, sertifikat sahəsinin, həmçinin müqavilələrin

müəlliflik hüquqları da daxil olmaqla bütün müəlliflik hüquqları ASXM-ə məxsusdur.

10.6 Təmsilçilik və zəmanətlər

Tətbiq edilmir.

10.7 Məsuliyyət və məsuliyyətdən azad olma

ASXM bu Qaydalar əsasında sertifikat xidmətləri göstərəcəkdir. Aşağıdakılar da daxil

olmaqla, bu Qaydalarda əks olunan öhdəliklərdən başqa bütün digər öhdəliklər istisna edilir:

- Sertifikata daxil olan, lakin ASXM tərəfindən verilməyən və ya yoxlanılmayan məlumatın

düzgünlüyü və ya tamlığı;

- Bu Qaydalarda nəzərdə tutulmayan öhdəlik;

- ASXM-in idarəçiliyindən kənar məsələlər.

ASXM xəbərdarlıq edib-etməməsindən və ya onları qabaqcadan görmək imkanından asılı

olmayaraq, aşağıdakılardan irəli gələn hər hansı zərərə görə cavabdeh deyil:

- İmza sahibi və üçüncü tərəf arasındakı əməliyyatlar;

- bu Qaydalar ilə müəyyənləşdirilməmiş istifadə sahələri üzrə və ya məqsədlərlə kriptoqrafik

açarlara, elektron imzalara və ya sertifikat xidmətlərinə etibar edilməsi və onlardan istifadə;

- Üçüncü tərəf məhsulları və ya xidmətləri (proqram və texniki təminat da daxil olmaqla);

- hər hansı dolayı və ya birbaşa zərər.

10.8 Təzminat

ASXM-in fəaliyyəti nəticəsində İmza sahibinə vurulmuş maddi zərərin ödənilməsi imza

sahibi ilə mərkəz arasındakı müqaviləyə əsasən müəyyənləşdirilir. Bu məqsədlə sığortalama

imkanları da nəzərdə tutula bilər.

10.9 Qüvvədə olma və qüvvədən düşmə

10.9.1 Qüvvədə olma

Bu Qaydalar dərc edildiyi tarixdən sonra qüvvəyə minir.

10.9.2 Qüvvədən düşmə

Bu Qaydalar ona edilmiş əlavə və dəyişikliklərlə birgə növbəti versiyanın buraxılışına qədər

qüvvədədir.

10.10 Dəyişikliklər

10.10.1 ASXM-in Sertifikat Siyasətinin dəyişdirilməsi proseduru

Bu Qaydaların aparılması və təsdiqi üçün daxili prosedurlar müəyyən edilir. Bunun

nəticəsində Qaydaların cari fəaliyyətə tam uyğunluğu təmin edilir.

10.10.2 Məlumatlandırma mexanizmi və müddət

Bu Qaydaların cari versiyası ASXM-in İnternet səhifəsində yerləşdirilir.

10.10.3 OİD-də dəyişikliklər

Bu Qaydalara edilən dəyişikliklər zamanı cari versiya ilə ciddi fərqlər yaranarsa, yeni OİD

təyin edilir. Yeni OİD-in təyin edilməsi qərarı bu Qaydalara dəyişikliklərin edilmə prosesinin

tərkib hissəsidir.

10.11 Qaydaların iyerarxiyası

Bu Qaydalar ilə digər siyasətlər, planlar, razılaşmalar, müqavilələr və ya prosedurlar

arasında ziddiyyət yaransa, bu Qaydaların müddəaları əsas götürülür.

10.12 Qanunvericilik

Bu Qaydalar Azərbaycan Respublikasının qüvvədə olan qanunvericiliyinə əsasən

tənzimlənir.

AZ.CA Root Certificate Policy CPS-2019.pdfproqram və texniki vasitələr; - Elektron imza yaratma m...

Documents

Transcript of AZ.CA Root Certificate Policy CPS-2019.pdfproqram və texniki vasitələr; - Elektron imza yaratma m...