МІНІСТЕРСТВО ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
30.09.2020 № 140/614 |
Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг
{Із змінами, внесеними згідно з Наказами Міністерства цифрової трансформації
№ 60/260 від 29.04.2021
№ 133/592 від 01.10.2021}
Відповідно до частини другої статті 7, частини другої статті 8 Закону України «Про електронні довірчі послуги», абзацу другого пункту 73 вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992, пунктів 4, 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, пунктів 4, 10, 12 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, з метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації НАКАЗУЄМО:
1) технічні засоби, які створюються, використовуються та функціонують у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг, а саме програмно-технічні комплекси та засоби кваліфікованого електронного підпису чи печатки (далі - технічні засоби), що застосовують алгоритми криптографічного захисту інформації, наведені у національних стандартах, визначених у пунктах 55-58 Переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992 (далі - Перелік), мають відповідати вимогам національних стандартів, що визначені в пунктах 1-50 та 66-77 Переліку, в обсязі, що стосується кваліфікованих довірчих послуг, які надаються або отримуються з використанням таких технічних засобів;
2) технічні засоби, які застосовують алгоритми криптографічного захисту інформації, наведені в національних стандартах, визначених у пунктах 51-53 Переліку, мають відповідати вимогам національних стандартів, що визначені в пунктах 1-50 та 66-77 Переліку, а також ДСТУ ГОСТ 28147:2009 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования» та міжнародним рекомендаціям RFC 5208 та RFC 2898 в обсязі, що стосується кваліфікованих довірчих послуг, які надаються або отримуються з використанням таких технічних засобів, з урахуванням особливостей, що стосуються ідентифікації політик сертифіката, національних алгоритмів криптографічного захисту інформації та інших інформаційних об’єктів, обчислення відповідних функцій гешування та створення електронного підпису;
3) документами про відповідність або позитивними експертними висновками за результатами державної експертизи у сфері криптографічного захисту інформації підтверджується відповідність технічних засобів вимогам національних стандартів, що визначені в пунктах 28-33 Переліку, в обсязі виконуваних функцій (за призначенням).
Оцінка відповідності або державна експертиза у сфері криптографічного захисту інформації технічних засобів здійснюється з урахуванням вимог стандартів наведених у пунктах 59-62 Переліку.
2. Кваліфікованим надавачам електронних довірчих послуг, замовникам, розробникам та виробникам засобів кваліфікованого електронного підпису чи печатки, організаціям, які використовують електронні довірчі послуги під час електронної взаємодії фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання за участю третіх осіб електронних даних, аналоги яких на паперових носіях мають містити власноручний підпис відповідно до законодавства, а також автентифікації в складових частинах інформаційних систем, в яких здійснюється обробка таких електронних даних та володільцями інформації в яких є органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, забезпечити застосування вимог до технічних засобів, встановлених цим наказом, та особистих ключів, генерацію яких здійснено до набрання чинності цим наказом, до закінчення строку чинності відповідних кваліфікованих сертифікатів відкритих ключів, але не пізніше 06 листопада 2020 року.
3. Суб’єкти відносин у сфері електронних довірчих послуг, що використовують у своїй діяльності кваліфіковані сертифікати відкритих ключів, застосовують кваліфікований електронний підпис:
1) в межах країни з метою забезпечення електронного документообігу та електронної автентифікації осіб відповідно до:
ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння» з функцією гешування за ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования». Ці національні стандарти застосовуються для створення кваліфікованого електронного підпису до 01 січня 2022 року та для створення кваліфікованого електронного підпису з метою надання інформації щодо статусу сертифікатів відкритих ключів до завершення терміну їх дії та для перевірки кваліфікованого електронного підпису;
ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння» з функцією гешування за ДСТУ 7564-2014 «Інформаційні технології. Криптографічний захист інформації. Функція ґешування». Ці національні стандарти застосовуються для створення кваліфікованого електронного підпису з 01 січня 2021 року та для перевірки кваліфікованого електронного підпису;
ДСТУ ISO/IEC 14888-3:2019 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування» із застосуванням алгоритму ECDSA зі ступенем розширення основного поля еліптичної кривої не менше ніж 256 з функціями гешування sha256 або sha512 відповідно до національного стандарту, визначеного пунктом 55 Переліку;
{Підпункт 1 пункту 3 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 60/260 від 29.04.2021}
2) для транскордонного співробітництва з будь-якою метою відповідно до вимог:
встановлених національним стандартом, визначеним в пункті 55 Переліку;
зазначених у підпункті 1 цього пункту.
{Підпункт 2 пункту 3 в редакції Наказу Міністерства цифрової трансформації № 60/260 від 29.04.2021}
4. Експертній групі розвитку електронних довірчих послуг директорату функціонального розвитку цифровізації Міністерства цифрової трансформації України з метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень у сфері електронних довірчих послуг, а також недопущення їх дискримінації, взаємного визнання українських та іноземних сертифікатів відкритих ключів та електронних підписів, що використовуються під час надання юридично значущих електронних послуг, забезпечити функціонування програмно-технічного комплексу центрального засвідчувального органу та захисту інформації, що в ньому обробляється, відповідно до вимог законодавства, шляхом впровадження на офіційному вебсайті центрального засвідчувального органу:
1) програмного забезпечення для створення та перевірки уніфікованих форматів удосконалених електронних підписів (CAdES, PAdES, XAdES), а також контейнерів електронних документів (ASiC), що відповідають вимогам національних стандартів, визначених у пунктах 11-23 Переліку (далі - інструмент створення та перевірки удосконалених електронних підписів).
Функціонал інструменту створення та перевірки удосконалених електронних підписів забезпечує:
створення контейнерів електронних документів (ASiC), перевірку електронних документів, створених у результаті побудови контейнерів електронних документів (ASiC);
створення та перевірку удосконаленого електронного підпису CAdES;
створення та перевірку удосконаленого електронного підпису PAdES;
створення та перевірку удосконаленого електронного підпису XAdES;
інтеграції технічних рішень з інформаційно-телекомунікаційною системою центрального засвідчувального органу, інтегрованою системою електронної ідентифікації та іншими інформаційно-телекомунікаційними системами;
2) програмного забезпечення системи моніторингу надання та використання електронних довірчих послуг, що сприятиме підвищенню рівня безпеки електронних довірчих послуг та інтероперабельності технічних засобів, які підпадають під дію вимог цього наказу (далі - інструмент моніторингу сфери електронних довірчих послуг).
Функціонал інструменту моніторингу сфери електронних довірчих послуг забезпечує:
розповсюдження та своєчасне оновлення кваліфікованих сертифікатів відкритих ключів центрального засвідчувального органу та кваліфікованих надавачів електронних довірчих послуг в інформаційно-телекомунікаційних системах користувачів електронних довірчих послуг;
подання повідомлень про зміни в Довірчому списку та заяв на отримання електронних довірчих послуг від центрального засвідчувального органу;
обмін тестовими прикладами для перевірки правильності реалізації форматів, протоколів та інтерфейсів технічних засобів, які підпадають під дію вимог цього наказу, між кваліфікованими надавачами електронних довірчих послуг та розробниками таких технічних засобів (зокрема, інтеграція з тестовим програмно-технічним комплексом, створеним на офіційному вебсайті центрального засвідчувального органу, для формування тестових сертифікатів відкритих ключів);
автоматизований обмін статистичними даними щодо надання електронних довірчих послуг, в тому числі, пов’язаними з формуванням електронних позначок часу та тестових сертифікатів відкритих ключів, між кваліфікованими надавачами електронних довірчих послуг та центральним засвідчувальним органом;
моніторинг у режимі реального часу чинних кваліфікованих сертифікатів відкритих ключів користувачів електронних довірчих послуг за відповідними даними (атрибутами), що містяться в таких кваліфікованих сертифікатах, сформованих для підписувачів або створювачів електронних печаток;
неможливість формування кваліфікованими надавачами електронних довірчих послуг нових кваліфікованих сертифікатів відкритих ключів за запитами на формування таких сертифікатів, які вже були оброблені раніше.
{Наказ доповнено пунктом 4 згідно з Наказом Міністерства цифрової трансформації № 133/592 від 01.10.2021}
5. З метою унеможливлення використання тестових сертифікатів не за призначенням кваліфіковані надавачі електронних довірчих послуг вживають заходи щодо реалізації положень підпункту 6.9.2 пункту 6.9 розділу 6 національного стандарту ДСТУ ETSI EN 319 411-1:2019 (ETSI EN 319 411-1 V1.2.2 (2018-04), IDT) «Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги», затвердженого наказом державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 27 грудня 2019 року № 515.
{Наказ доповнено пунктом 5 згідно з Наказом Міністерства цифрової трансформації № 133/592 від 01.10.2021}
6. Визнати таким, що втратив чинність, наказ Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 18 листопада 2019 року № 3563/5/610 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання електронних довірчих послуг», зареєстрований у Міністерстві юстиції України 20 листопада 2019 року за № 1172/34143.
7. Адміністратору інформаційно-телекомунікаційної системи центрального засвідчувального органу забезпечити:
1) публікацію на офіційному вебсайті центрального засвідчувального органу технічних специфікацій з тестовими прикладами для перевірки правильності реалізації форматів, протоколів та інтерфейсів технічними засобами, визначеними в підпункті 2 пункту 1 цього наказу (кваліфікованого сертифіката електронного підпису, кваліфікованого сертифіката електронної печатки та кваліфікованого сертифіката автентифікації вебсайту, списків відкликаних сертифікатів, кваліфікованої позначки часу, інформації про статус сертифікатів, форматів підписаних даних, переліків об’єктних ідентифікаторів), не пізніше одного місяця з дати набрання чинності цим наказом;
2) створення на офіційному вебсайті центрального засвідчувального органу функціонала для оцінки внутрішньої та транскордонної технологічної сумісності технічних засобів, які підпадають під дію вимог цього наказу, та їх здатності взаємодіяти між собою шляхом запровадження та здійснення технічної підтримки до 01 січня 2022 року:
інструменту створення та перевірки удосконалених електронних підписів;
інструменту моніторингу сфери електронних довірчих послуг.
{Підпункт 2 пункту із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 60/260 від 29.04.2021; в редакції Наказу Міністерства цифрової трансформації № 133/592 від 01.10.2021}
8. Установити, що об’єктні ідентифікатори алгоритмів криптографічного захисту інформації, визначених у підпункті 2 пункту 1 цього наказу, публікуються на офіційному вебсайті Держспецзв’язку до моменту їх реєстрації національною реєструючою організацією відповідно до законодавства.
9. Директорату функціонального розвитку цифровізації Міністерства цифрової трансформації України (Халєєва А.П.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року № 493 «Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади».
10. Цей наказ набирає чинності з дня його офіційного опублікування.
11. Контроль за виконанням цього наказу покласти на заступника Міністра цифрової трансформації України та заступника Голови Державної служби спеціального зв’язку та захисту інформації України відповідно до розподілу функціональних обов’язків.