Действует

Неофициальный перевод. (с) СоюзПравоИнформ

Зарегистрирован

Министерством юстиции Украины

22 октября 2020 года

№1039/35322

ПРИКАЗ МИНИСТЕРСТВА ЦИФРОВОЙ ТРАНСФОРМАЦИИ УКРАИНЫ, АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ

от 30 сентября 2020 года №140/614

Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем при предоставлении квалифицированных электронных доверительных услуг

(В редакции Приказов Министерства цифровой трансформации Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 29.04.2021 г. №60/260, 01.10.2021 г. №133/592)

Согласно части второй статьи 7, части второй статьи 8 Закона Украины "Об электронных доверительных услугах", абзацу второму пункта 73 требований в сфере электронных доверительных услуг, утвержденных постановлением Кабинета Министров Украины от 7 ноября 2018 года №992, пунктам 4, 8, 10 Положения о Министерстве цифровой трансформации Украины, утвержденного постановлением Кабинета Министров Украины от 18 сентября 2019 года №856, пунктам 4, 10, 12 Положения об Администрации Государственной службы специальной связи и защиты информации Украины, утвержденного постановлением Кабинета Министров Украины от 3 сентября 2014 года №411, с целью обеспечения интероперабельности и технологической нейтральности национальных технических решений, а также недопущения их дискриминации ПРИКАЗЫВАЕМ:

1. Установить, что:

1) технические средства, которые создаются, используются и функционируют в составе информационно-телекоммуникационных систем при предоставлении квалифицированных электронных доверительных услуг, а именно программно-технические комплексы и средства квалифицированной электронной подписи или печати (далее - технические средства), которые применяют алгоритмы криптографической защиты информации, приведенные в национальных стандартах, определенных в пунктах 55 -58 Перечня стандартов, применяемых квалифицированными поставщиками электронных доверительных услуг во время предоставления квалифицированных электронных доверительных услуг, который прилагается к требованиям в сфере электронных доверительных услуг, утвержденным постановлением Кабинета Министров Украины от 7 ноября 2018 года №992 (далее - Перечень), должны соответствовать требованиям национальных стандартов, которые определены в пунктах 1 - 50 и 66 -77 Перечня, в объеме, который касается квалифицированных доверительных услуг, предоставляемых или получаемых с

использованием таких технических средств;

2) технические средства, которые применяют алгоритмы криптографической защиты информации, приведенные в национальных стандартах, определенных в пунктах 51 -53 Перечня, должны соответствовать требованиям национальных стандартов, которые определены в пунктах 1 - 50 и 66 - 77 Перечня, а также ГСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования" и международным рекомендациям RFC 5208 и RFC 2898 в объеме, который касается квалифицированных доверительных услуг, предоставляемых или получаемых с использованием таких технических средств, с учетом особенностей, касающихся идентификации политик сертификата, национальных алгоритмов криптографической защиты информации и других информационных объектов, вычисления соответствующих хеш-функций и создания электронной подписи;

3) документами о соответствии или положительными экспертными заключениями по результатам государственной экспертизы в сфере криптографической защиты информации подтверждается соответствие технических средств требованиям национальных стандартов, которые определены в пунктах 28 - 33 Перечня, в объеме выполняемых функций (по назначению).

Оценка соответствия или государственная экспертиза в сфере криптографической защиты информации технических средств осуществляется с учетом требований стандартов, приведенных в пунктах 59 - 62 Перечня.

2. Квалифицированным поставщикам электронных доверительных услуг, заказчикам, разработчикам и производителям средств квалифицированной электронной подписи или печати, организациям, которые используют электронные доверительные услуги во время электронного взаимодействия физических и юридических лиц, которое требует отправления, получения, использования и постоянного хранения с участием третьих лиц электронных данных, аналоги которых на бумажных носителях должны содержать собственноручную подпись в соответствии с законодательством, а также проверки подлинности в составных частях информационных систем, в которых осуществляется обработка таких электронных данных и владельцами информации в которых являются органы государственной власти, органы местного самоуправления, предприятия, учреждения и организации государственной формы собственности, обеспечить применение требований к техническим средствам, установленных настоящим приказом, и личных ключей, генерация которых осуществлена до вступления в силу этого приказа,

до окончания срока действия соответствующих квалифицированных сертификатов открытых ключей, но не позднее 06 ноября 2020 года.

3. Субъекты отношений в сфере электронных доверительных услуг, использующие в своей деятельности квалифицированные сертификаты открытых ключей, применяют квалифицированную электронную подпись:

1) в пределах страны с целью обеспечения электронного документооборота и электронной аутентификации лиц в соответствии с:

ГСТУ 4145-2002 "Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка" с хеш-функцией по ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования". Эти национальные стандарты применяются для создания квалифицированной электронной подписи до 01 января 2022 года и для создания квалифицированной электронной подписи с целью предоставления информации о статусе сертификатов открытых ключей до завершения срока их действия и для проверки квалифицированной электронной подписи;

ГСТУ 4145-2002 "Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка" с хеш-функцией по ГОСТ 7564-2014 "Информационные технологии. Криптографическая защита информации. Функция хеширования". Эти национальные стандарты применяются для создания квалифицированной электронной подписи с 01 января 2021 года и для проверки квалифицированной электронной подписи;

ГСТУ ISO/IEC 14888-3:2019 "Информационные технологии. Методы защиты. Цифровые подписи с приложением. Часть 3. Механизмы на основе дискретного логарифмирования" с применением алгоритма ECDSA со степенью расширения основного поля эллиптической кривой не менее чем 256 с функциями хеш sha256 или sha512 в соответствии с национальным стандартом, определенного пунктом 55 Перечня";

2) для трансграничного сотрудничества с любой целью в соответствии с требованиями:

установленными национальным стандартом, определенным в пункте 55 Перечня;

указанными в подпункте 1 настоящего пункта.

(В пункт 3 внесены изменения в соответствии с Приказом Министерства цифровой трансформации Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 29.04.2021 №60/260)
(см. предыдущую редакцию)

4. Экспертной группе развития электронных доверительных услуг директората функционального развития цифровизации Министерства цифровой трансформации Украины с целью обеспечения интероперабельности и технологической нейтральности национальных технических решений в сфере электронных доверительных услуг, а также недопущения их дискриминации, взаимного признания украинских и иностранных сертификатов открытых ключей и электронных подписей, используемых при предоставлении юридически значимых электронных услуг, обеспечить функционирование программно-технического комплекса центрального удостоверяющего органа и защиты информации, которая в нем обрабатывается, в соответствии с требованиями законодательства, путем внедрения на официальном вебсайте центрального удостоверяющего органа:

1) программного обеспечения для создания и проверки унифицированных форматов усовершенствованных электронных подписей (CAdES, PAdES, XAdES), а также контейнеров электронных документов (ASiC), соответствующего требованиям национальных стандартов, определенным в пунктах 11 - 23 Перечня (далее - инструмент создания и проверки усовершенствованных электронных подписей).

Функционал инструмента создания и проверки усовершенствованных электронных подписей обеспечивает:

создание контейнеров электронных документов (ASiC), проверку электронных документов, созданных в результате построения контейнеров электронных документов (ASiC);

создание и проверку усовершенствованной электронной подписи CAdES;

создание и проверку усовершенствованной электронной подписи PAdES;

создание и проверку усовершенствованной электронной подписи XAdES;

интеграцию технических решений с информационно-телекоммуникационной системой центрального удостоверяющего органа, интегрированной системой электронной идентификации и иными информационно-телекоммуникационными системами;

2) программного обеспечения системы мониторинга предоставления и использования электронных доверительных услуг, которое будет способствовать повышению уровня безопасности электронных доверительных услуг и интероперабельности технических средств, которые подпадают под действие требований этого приказа (далее - инструмент мониторинга сферы электронных доверительных услуг).

Функционал инструмента мониторинга сферы электронных доверительных услуг обеспечивает:

распространение и своевременное обновление квалифицированных сертификатов открытых ключей центрального удостоверяющего органа и квалифицированных поставщиков электронных доверительных услуг в информационно-телекоммуникационных системах пользователей электронных доверительных услуг;

представление сообщений об изменениях в Доверительном списке и заявлений на получение электронных доверительных услуг от центрального удостоверяющего органа;

обмен тестовыми примерами для проверки правильности реализации форматов, протоколов и интерфейсов технических средств, которые подпадают под действие требований этого приказа, между квалифицированными поставщиками электронных доверительных услуг и разработчиками таких технических средств (в частности, интеграция с тестовым программно-техническим комплексом, созданным на официальном вебсайте центрального удостоверяющего органа, для формирования тестовых сертификатов открытых ключей);

автоматизированный обмен статистическими данными относительно предоставления электронных доверительных услуг, в том числе, связанными с формированием электронных меток времени и тестовых сертификатов открытых ключей, между квалифицированными поставщиками электронных доверительных услуг и центральным удостоверяющим органом;

мониторинг в режиме реального времени действующих квалифицированных сертификатов открытых ключей пользователей электронных доверительных услуг с соответствующими данными (атрибутами), которые содержатся в таких квалифицированных сертификатах, сформированных для подписчиков или создателей электронных печатей;

невозможность формирования квалифицированными поставщиками электронных доверительных услуг новых квалифицированных сертификатов открытых ключей по запросам на формирование таких сертификатов, которые уже были обработаны ранее.

(Пункт 4 введен в соответствии с Приказом Министерства цифровой трансформации Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 01.10.2021 №133/592)

5. С целью предотвращения использования тестовых сертификатов не по назначению квалифицированные поставщики электронных доверительных услуг принимают меры по реализации положений подпункта 6.9.2 пункта 6.9 раздела 6 национального стандарта ГСТУ ETSI EN 319 411-1:2019 (ETSI EN 319 411-1 V1.2.2 (2018-04), IDT) "Электронные подписи и инфраструктуры (ESI). Требования по безопасности для поставщиков доверительных услуг, которые выдают сертификаты. Часть 1. Общие требования", утвержденного приказом государственного предприятия "Украинский научно-исследовательский и учебный центр проблем стандартизации, сертификации и качества" от 27 декабря 2019 года №515.

(Пункт 5 введен в соответствии с Приказом Министерства цифровой трансформации Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 01.10.2021 №133/592)

6. Признать утратившим силу приказ Министерства юстиции Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 18 ноября 2019 года №3563/5/610 "Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем предоставления электронных доверительных услуг", зарегистрированный в Министерстве юстиции Украины 20 ноября 2019 года за №1172/34143.

7. Администратору информационно-телекоммуникационной системы центрального удостоверяющего органа обеспечить:

1) публикацию на официальном вебсайте центрального удостоверяющего органа технических спецификаций с тестовыми примерами для проверки правильности реализации форматов, протоколов и интерфейсов техническими средствами, определенными в подпункте 2 пункта 1 настоящего приказа (квалифицированного сертификата электронной подписи, квалифицированного сертификата электронной печати и квалифицированного сертификата проверки подлинности вебсайта, списков отозванных сертификатов, квалифицированной отметки времени, информации о статусе сертификатов, форматов подписанных данных, перечня объектных идентификаторов), не позднее одного месяца с даты вступления в силу этого приказа;

2) создание на официальном вебсайте центрального удостоверяющего органа функционала для оценки внутренней и трансграничной технологической совместимости технических средств, которые подпадают под действие требований этого приказа, и их способности взаимодействовать между собой путем введения и осуществления технической поддержки до 01 января 2022 года:

инструмента создания и проверки усовершенствованных электронных подписей;

инструмента мониторинга в сфере электронных доверительных услуг.

(В пункт 7 внесены изменения в соответствии с Приказом Министерства цифровой трансформации Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 01.10.2021 №133/592)
(см. предыдущую редакцию)

8. Установить, что объектные идентификаторы алгоритмов криптографической защиты информации, определенные в подпункте 2 пункта 1 этого приказа, публикуются на официальном вебсайте Госспецсвязи до момента их регистрации национальной регистрирующей организацией в соответствии с законодательством.

9. Директорату функционального развития цифровизации Министерства цифровой трансформации Украины (Халеева А.П.) подать этот приказ на государственную регистрацию в соответствии с Указом Президента Украины от 3 октября 1992 года №493 "О государственной регистрации нормативно-правовых актов министерств и других органов исполнительной власти".

10. Этот приказ вступает в силу со дня его официального опубликования.

11. Контроль за исполнением этого приказа возложить на заместителя Министра цифровой трансформации Украины и заместителя Председателя Государственной службы специальной связи и защиты информации Украины согласно распределению функциональных обязанностей.

Вице-премьер-министр Украины-Министр цифровой трансформации Украины

М.Федоров

Председатель Государственной службы специальной связи и защиты информации Украины

Ю.Щегол

Согласовано:

Председателем Национальной комиссии, осуществляющей государственное регулирование в сфере связи и информатизации

 

А.Животовский

 

Приказ Министерства цифровой трансформации Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 30 сентября 2020 года №140/614
"Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем при предоставлении квалифицированных электронных доверительных услуг"

О документе

Номер документа:140/614
Дата принятия: 30/09/2020
Состояние документа:Действует
Регистрация в МинЮсте: № 1039/35322 от 22/10/2020
Начало действия документа:10/11/2020
Органы эмитенты: Государственные органы и организации

Опубликование документа

Официальный вестник Украины от 10 ноября 2020 года №88, стр. 142, статья 2841, код акта 101497/2020

Примечание к документу

В соответствии с пунктом 8 настоящий Приказ вступает в силу со дня его официального опубликования - с 10 ноября 2020 года.

Редакции документа

Текущая редакция принята: 01/10/2021  документом  Приказ Министерства цифровой трансформации Украины О внесении изменений в приказ Министерства цифровой трансформации Украины, Администрации... № 133/592 от 01/10/2021
Вступила в силу с: 26/11/2021


Редакция от 29/04/2021, принята документом Приказ Министерства цифровой трансформации Украины О внесении изменений в приказ Министерства цифровой трансформации Украины, Администрации... № 60/260 от 29/04/2021
Вступила в силу с: 04/06/2021


Первоначальная редакция от 30/09/2020