ПРИКАЗ МИНИСТРА ЦИФРОВОГО РАЗВИТИЯ, ИННОВАЦИЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН

от 27 октября 2020 года №405/НК

Об утверждении Правил создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре

В соответствии с подпунктом 13-3) пункта 1 статьи 5 Закона Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре.

2. Комитету государственных услуг Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательном порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Утверждены Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года №405/НК

Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре

Глава 1. Общие положения

1. Настоящие Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре (далее- Правила) разработаны в соответствии с Законом Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" (далее - Закон) и определяют порядок создания, использования, и хранения закрытых ключей электронной цифровой подписи в облачных сервисах.

2. В настоящих Правилах применяются следующие понятия:

1) биометрическая аутентификация - комплекс мер, идентифицирующих личность на основании физиологических и неизменных биологических признаков;

2) блокчейн - информационно-коммуникационная технология, обеспечивающая неизменность информации в распределенной платформе данных на базе цепочки взаимосвязанных блоков данных, заданных алгоритмов подтверждения целостности и средств шифрования;

3) многофакторная аутентификация - способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

4) удостоверяющий центр (далее - УЦ) - юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства;

5) владелец регистрационного свидетельства (далее - владелец) - физическое или юридическое лицо, на имя которого выдано регистрационное свидетельство, правомерно владеющее закрытым ключом, соответствующим открытому ключу, указанному в регистрационном свидетельстве;

6) электронная цифровая подпись (далее - ЭЦП) - набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;

7) открытый ключ ЭЦП - последовательность электронных цифровых символов, доступная любому лицу и предназначенная для подтверждения подлинности электронной цифровой подписи в электронном документе;

8) закрытый ключ ЭЦП - последовательность электронных цифровых символов, предназначенная для создания электронной цифровой подписи с использованием средств электронной цифровой подписи;

9) средства электронной цифровой подписи - совокупность программных и технических средств, используемых для создания и проверки подлинности электронной цифровой подписи;

10) облачная ЭЦП - информационная система УЦ позволяющая создавать, использовать и хранить закрытые ключи электронной цифровой подписи владельца в HSM УЦ, где доступ к закрытому ключу осуществляется владельцем посредством не менее двух факторов аутентификации одним из которых является биометрическая;

11) хэш - преобразование массива входных данных произвольной длины в битовую сторону фиксированной длины.

12) аппаратный криптографический модуль (Hardware Security Module) (далее - HSM) - аппаратный криптографический модуль предназначенный для шифрования информации и управления открытыми и закрытыми ключами ЭЦП.

Глава 2. Порядок создания закрытых ключей ЭЦП в удостоверяющем центре

3. Закрытые ключи ЭЦП создаются УЦ:

1) на носителе ключевой информации владельца, которая передается владельцу;

2) в облачной ЭЦП.

4. Закрытые ключи ЭЦП облачной ЭЦП генерируются строго внутри HSM. Закрытый ключ не извлекается из HSM в открытом виде.

При этом HSM:

1) соответствует не ниже третьего уровня безопасности в соответствии с требованиями, установленными СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования";

2) спроектирован с физической защитой периметра (защита от вскрытия корпуса), использующей датчики для определения факта вскрытия корпуса и последующего удаления ключевой информации, необходимой для HSM.

3) соответствует нормам эффективности защиты и методикам оценки защищенности информации и технических средств согласно требованиям действующего законодательства Республики Казахстан.

5. Архивирование ключевой информации с HSM возможно только в зашифрованном виде и только с разделением ключа шифрования по схеме М из N (не менее 3 из 5). Ключи шифрования по схеме М из N хранятся на защищенных токенах. Для государственных УЦ N токенов постоянно хранится в уполномоченном органе в сфере информатизации, в органах национальной безопасности и у УЦ. Защищенные токены используются только при восстановлении архива на резервном HSM.

6. Перед созданием закрытого ключа ЭЦП и выпуском регистрационного свидетельства ЭЦП владелец дает согласие на сбор и обработку персональных данных.

Владелец проходит аутентификацию:

1) удаленно, с использованием многофакторной аутентификации, одним из методов является биометрическая аутентификация;

2) в центре регистрации УЦ с использованием биометрической аутентификации, при необходимости пройдя процедуру сбора биометрических данных, УЦ обеспечивает хранение биометрических данных.

Владелец дает согласие на хранение закрытого ключа ЭЦП в облачной ЭЦП УЦ.

7. После создания, закрытый ключ ЭЦП сохраняется в HSM в зашифрованном виде с использованием стандарта ГОСТ 28147-89. В качестве секретных значений участвуют пароль, заданный владельцем который в УЦ не хранится. УЦ, для проверки пароля от закрытого ключа владельца, хранит хэш пароля в HSM.

Глава 3. Порядок использования закрытых ключей ЭЦП, хранящихся в удостоверяющем центре

8. При использовании закрытых ключей ЭЦП, хранящихся в УЦ, владелец проходит многофакторную аутентификацию, одним из методов является биометрическая аутентификация.

9. Подписание электронных документов осуществляется в памяти HSM путем передачи подписываемого файла или его хэш в HSM.

10. При аутентификации владельца в УЦ, передача пароля от владельца (браузер, мобильное приложение) в HSM производится в зашифрованном виде, при этом шифрование пароля производится на стороне владельца, в персональном компьютере или смартфоне.

11. Восстановление пароля от закрытого ключа ЭЦП в облачной ЭЦП не осуществляется.

12. УЦ предоставляет владельцу закрытого ключа облачной ЭЦП доступ к информации о всех подписанных электронных документах через личный кабинет УЦ. Срок хранения информации обо всех подписанных электронных документах составляет не менее одного года после истечения срока действия регистрационного свидетельства владельца.

13. В случае выявления факта компрометации закрытых ключей электронной подписи владельцев регистрационных свидетельств, УЦ незамедлительно публикует на своем интернет-ресурсе информацию о данном факте и принятых мерах по минимизации нанесенного ущерба.

14. УЦ обеспечивает протоколирование следующих событий:

1) формирование закрытого ключа ЭЦП облачной ЭЦП;

2) использование закрытого ключа ЭЦП облачной ЭЦП;

3) удаление (стирание) закрытого ключа ЭЦП облачной ЭЦП.

Срок хранения протоколов работы составляет один год с даты истечения срока действия регистрационного свидетельства.

При протоколировании действий записывается следующая информация:

1) идентификатор владельца;

2) дата, время;

3) событие.

15. Протоколы событий ежедневно преобразуется в хэш, и данные хэш хранятся в цепочке событий блокчейн. Применяемая для этого блокчейн доступна в Интернет.

Глава 4. Порядок хранения закрытых ключей ЭЦП в удостоверяющем центре

16. УЦ обеспечивает защиту закрытых ключей ЭЦП в УЦ.

17. Срок хранения закрытых ключей ЭЦП в облачной ЭЦП описывается в правилах применения регистрационных свидетельств УЦ утверждаемых УЦ в соответствии подпункта 2-1) пункта 1 статьи 21 Закона.

18. Согласно пункта 92 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года №832 (далее - ЕТ), программно-аппаратное обеспечение облачной ЭЦП размещается на территории Республики Казахстан.

19. Защита закрытых ключей обеспечивается комплексом организационных, программных и технических мероприятий в соответствии с требованиями описанные в ЕТ.

20. УЦ обеспечивает отсутствие возможности подписания электронных документов с использованием закрытых ключей ЭЦП облачной ЭЦП без ведома (аутентификации) владельца.

УЦ, выдавший регистрационное свидетельство, отзывает его на основании соответствующего уведомления в следующих случаях:

1) по требованию владельца регистрационного свидетельства либо его представителя;

2) при установлении факта представления недостоверных сведений либо неполного пакета документов при получении регистрационного свидетельства;

3) смерти владельца регистрационного свидетельства;

4) изменения фамилии, имени или отчества (если оно указано в документе, удостоверяющем личность) владельца регистрационного свидетельства;

5) смены наименования, реорганизации, ликвидации юридического лица - владельца регистрационного свидетельства, смены руководителя юридического лица;

6) предусмотренных соглашением между УЦ и владельцем регистрационного свидетельства;

7) по вступившему в законную силу решению суда.

21. Выполнение требований настоящих Правил является необходимым условием при аккредитации УЦ в соответствии с Правилами проведения аккредитации удостоверяющих центров, утвержденных приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 1 июня 2020 года №224/НК (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №20815).