Неофициальный перевод. (с) СоюзПравоИнформ

ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ УКРАИНЫ

от 7 ноября 2018 года №992

Об утверждении требований в сфере электронных доверительных услуг и Порядка проверки соблюдения требований законодательства в сфере электронных доверительных услуг

Согласно статьям 13, 18 - 21, 23, 26 - 28, 33 Закона Украины "Об электронных доверительных услугах" Кабинет Министров Украины постановляет:

1. Утвердить такие, которые прилагаются:

требования в сфере электронных доверительных услуг;

Порядок проверки соблюдения требований законодательства в сфере электронных доверительных услуг.

2. Установить, что для предоставления квалифицированных электронных доверительных услуг могут использоваться надежные средства электронной цифровой подписи, которые получили положительные экспертные заключения по результатам государственной экспертизы в сфере криптографической защиты информации, выданные до вступления в силу Закона Украины "Об электронных доверительных услугах", до окончания срока действия экспертных заключений.

3. Признать утратившими силу постановления Кабинета Министров Украины согласно перечню, который прилагается.

4. Настоящее постановление вступает в силу со дня его опубликования, кроме пунктов 68 - 72 перечня стандартов, применяемых квалифицированными поставщиками электронных доверительных услуг во время предоставления квалифицированных электронных доверительных услуг, который прилагается к утвержденным настоящим постановлением требованиям в сфере электронных доверительных услуг. Указанные пункты вступают в силу с 1 января 2019 года.

Утверждены Постановлением Кабинета Министров Украины от 7 ноября 2018 года №992

Требования в сфере электронных доверительных услуг

Общие положения

1. Эти требования определяют организационно-методологические, технические и технологические условия, которых должен придерживаться квалифицированный поставщик электронных доверительных услуг (далее - поставщик), его обособленные пункты регистрации при предоставлении квалифицированных электронных доверительных услуг их пользователям.

2. Центральный заверительный орган предоставляет квалифицированные электронные доверительные услуги согласно этим требованиям с учетом особенностей, предусмотренных Законом Украины "Об электронных доверительных услугах".

3. Действие настоящих требований не распространяется на предоставление квалифицированных электронных доверительных услуг в банковской системе Украины и во время осуществления перевода средств.

4. В этих требованиях термины употребляются в таком значении:

владелец веб-сайта - пользователь квалифицированной электронной доверительной услуги по формированию, проверке и подтверждению действия квалифицированного сертификата проверки подлинности веб-сайта;

хэш-значение - фиксированные по объему электронные данные, созданные путем преобразования электронных данных с использованием криптографического алгоритма;

хэш - преобразование электронных данных любого объема в электронные данные фиксированного объема путем применения криптографического алгоритма;

заявитель - физическое лицо или представитель юридического лица, которые обратились к поставщику для получения квалифицированных электронных доверительных услуг;

информационно-телекоммуникационная система - совокупность информационных и телекоммуникационных систем поставщика или центрального заверительного органа, которые в процессе обработки информации действуют как единое целое и объединяют программно-технический комплекс, который используется во время предоставления квалифицированных электронных доверительных услуг (далее - программно-технический комплекс), физическую среду, информацию, которая обрабатывается в указанных системах, а также наемных работников поставщика или центрального заверительного органа, которые непосредственно задействованы в предоставлении квалифицированных электронных доверительных услуг или обслуживающих программно-технический комплекс (далее - наемные работники);

квалифицированная электронная доверительная услуга - электронная доверительная услуга, предоставление которой обеспечивает поставщик или центральный заверительный орган, в том числе с помощью средства квалифицированной электронной подписи или печати, и которая базируется на квалифицированном сертификате открытого ключа;

пользователь - лицо, которое на основании договора или иного документа получает у поставщика квалифицированную электронную доверительную услугу;

объектный идентификатор - уникальный буквенно-цифровой или числовой идентификатор, зарегистрированный в соответствующем стандарте Международной организации по стандартизации для конкретных объектов или для определенного класса объектов;

онлайн-операция - любое действие, технологическая схема которого предполагает наличие непрерывной телекоммуникационной связи в режиме реального времени во время ее проведения;

политика сертификата - перечень всех правил, применяемых исполнителем в процессе оказания квалифицированных электронных доверительных услуг по обслуживанию квалифицированных сертификатов открытых ключей, включая положения настоящих требований;

положение сертификационных практик - перечень всех практических действий и процедур, которые применяются для реализации политики сертификата поставщика;

публикация квалифицированного сертификата открытого ключа - предоставление квалифицированного сертификата открытого ключа пользователю и, в случае его согласия, другим лицам путем размещения его на официальном веб-сайте поставщика;

регламент работы - документ поставщика или центрального заверительного органа, который определяет организационно-методологические, технические и технологические условия деятельности поставщика или центрального заверительного органа во время предоставления квалифицированных электронных доверительных услуг, включая политику сертификата и положения сертификационных практик;

распространение информации о статусе квалифицированного сертификата открытого ключа - предоставление свободного доступа к информации о статусе квалифицированного сертификата открытого ключа;

список отозванных сертификатов - сформированный и опубликованный поставщиком перечень квалифицированных сертификатов открытых ключей, статус которых изменен на блокированный, восстановленный или отмененный;

статус квалифицированного сертификата открытого ключа - состояние квалифицированного сертификата открытого ключа (действующий, блокированный, отмененный) на определенный момент времени;

управление статусом сертификата - изменение статуса квалифицированного сертификата открытого ключа поставщиком.

5. Другие термины употребляются в значении, приведенном в Законах Украины "Об электронных доверительных услугах", "Об электронных документах и электронном документообороте", "О телекоммуникациях", "О защите информации в информационно-телекоммуникационных системах", "Об основных принципах обеспечения кибербезопасности Украины".

Требования к поставщикам

6. Наемными работниками поставщика, должностные обязанности которых непосредственно связаны с предоставлением квалифицированных электронных доверительных услуг, являются:

1) администратор регистрации;

2) администратор сертификации;

3) администратор безопасности и аудита;

4) системный администратор.

Запрещается совмещение должностных обязанностей администратора безопасности и аудита с другими должностными обязанностями, непосредственно связанными с предоставлением квалифицированных электронных доверительных услуг.

7. Наемные работники поставщика должны иметь необходимые для предоставления квалифицированных электронных доверительных услуг знания, опыт и квалификацию.

Администратором сертификации, администратором безопасности и аудита, системным администратором может быть лицо, которое имеет высшее образование по специальности в сфере информационных технологий, защиты информации или кибербезопасности, а также стаж работы по специальности в указанных сферах не менее трех лет.

8. Организационно-правовой статус руководителя и наемных работников поставщика, их задачи и функции, права и обязанности, ответственность, а также профессиональные знания, опыт и квалификация определяются в должностных инструкциях.

Должностные инструкции должны содержать требования информационной безопасности и методы ее обеспечения.

9. Руководитель и наемные работники поставщика должны быть ознакомлены с положениями их должностных инструкций и действовать согласно своим должностным задачам и функциям.

10. Администратор регистрации отвечает за проверку документов, представленных заявителями, их заявлений относительно формирования, блокировки, обновления и отмены квалифицированных сертификатов открытых ключей.

11. Основными обязанностями администратора регистрации являются:

1) идентификация и аутентификация заявителей;

2) проверка заявлений относительно формирования, блокировки, обновления и отмены квалифицированных сертификатов открытых ключей;

3) установление принадлежности открытого ключа и соответствующего ему личного ключа заявителю;

4) ведение учета пользователей.

12. Администратор сертификации отвечает за формирование квалифицированных сертификатов открытых ключей, ведение электронного реестра действующих, блокированных и отмененных сертификатов открытых ключей, сохранение и использование личных ключей поставщика, а также создание их резервных копий.

13. Основными обязанностями администратора сертификации являются:

1) участие в генерации пар ключей поставщика и создании резервных копий личных ключей поставщика;

2) хранение личных ключей поставщика и их резервных копий;

3) обеспечение использования личных ключей поставщика при формировании и обслуживание квалифицированных сертификатов открытых ключей поставщика и пользователей;

4) проверка заявлений о формировании квалифицированных сертификатов открытых ключей поставщика на соответствие требованиям регламента работы поставщика;

5) участие в уничтожении личных ключей поставщика;

6) обеспечение ведения, архивирования и восстановления баз данных квалифицированных сертификатов открытых ключей пользователей;

7) обеспечение публикации квалифицированных сертификатов открытых ключей пользователей и списков отозванных сертификатов на официальном веб-сайте поставщика;

8) создание резервных копий квалифицированных сертификатов открытых ключей пользователей;

9) сохранение квалифицированных сертификатов открытых ключей пользователей, их резервных копий, списков отозванных сертификатов и других важных ресурсов информационно-телекоммуникационной системы поставщика.

14. Администратор безопасности и аудита отвечает за надлежащее функционирование комплексной системы защиты информации или системы управления информационной безопасностью.

15. Основными обязанностями администратора безопасности и аудита являются:

1) участие в генерации пар ключей поставщика и создании резервных копий личных ключей поставщика;

2) контроль за формированием, обслуживанием и созданием резервных копий квалифицированных сертификатов открытых ключей поставщика, пользователей и списков отозванных сертификатов;

3) контроль за хранением личных ключей поставщика и их резервных копий, личных ключей администраторов;