Неофициальный перевод. (с) СоюзПравоИнформ

ПРИКАЗ МИНИСТЕРСТВА ЦИФРОВОЙ ТРАНСФОРМАЦИИ УКРАИНЫ, АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ

от 30 сентября 2020 года №140/614

Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем при предоставлении квалифицированных электронных доверительных услуг

Согласно части второй статьи 7, части второй статьи 8 Закона Украины "Об электронных доверительных услугах", абзацу второму пункта 73 требований в сфере электронных доверительных услуг, утвержденных постановлением Кабинета Министров Украины от 7 ноября 2018 года №992, пунктам 4, 8, 10 Положения о Министерстве цифровой трансформации Украины, утвержденного постановлением Кабинета Министров Украины от 18 сентября 2019 года №856, пунктам 4, 10, 12 Положения об Администрации Государственной службы специальной связи и защиты информации Украины, утвержденного постановлением Кабинета Министров Украины от 3 сентября 2014 года №411, с целью обеспечения интероперабельности и технологической нейтральности национальных технических решений, а также недопущения их дискриминации ПРИКАЗЫВАЕМ:

1. Установить, что:

1) технические средства, которые создаются, используются и функционируют в составе информационно-телекоммуникационных систем при предоставлении квалифицированных электронных доверительных услуг, а именно программно-технические комплексы и средства квалифицированной электронной подписи или печати (далее - технические средства), которые применяют алгоритмы криптографической защиты информации, приведенные в национальных стандартах, определенных в пунктах 55 -58 Перечня стандартов, применяемых квалифицированными поставщиками электронных доверительных услуг во время предоставления квалифицированных электронных доверительных услуг, который прилагается к требованиям в сфере электронных доверительных услуг, утвержденным постановлением Кабинета Министров Украины от 7 ноября 2018 года №992 (далее - Перечень), должны соответствовать требованиям национальных стандартов, которые определены в пунктах 1 - 50 и 66 -77 Перечня, в объеме, который касается квалифицированных доверительных услуг, предоставляемых или получаемых с

использованием таких технических средств;

2) технические средства, которые применяют алгоритмы криптографической защиты информации, приведенные в национальных стандартах, определенных в пунктах 51 -53 Перечня, должны соответствовать требованиям национальных стандартов, которые определены в пунктах 1 - 50 и 66 - 77 Перечня, а также ГСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования" и международным рекомендациям RFC 5208 и RFC 2898 в объеме, который касается квалифицированных доверительных услуг, предоставляемых или получаемых с использованием таких технических средств, с учетом особенностей, касающихся идентификации политик сертификата, национальных алгоритмов криптографической защиты информации и других информационных объектов, вычисления соответствующих хеш-функций и создания электронной подписи;

3) документами о соответствии или положительными экспертными заключениями по результатам государственной экспертизы в сфере криптографической защиты информации подтверждается соответствие технических средств требованиям национальных стандартов, которые определены в пунктах 28 - 33 Перечня, в объеме выполняемых функций (по назначению).

Оценка соответствия или государственная экспертиза в сфере криптографической защиты информации технических средств осуществляется с учетом требований стандартов, приведенных в пунктах 59 - 62 Перечня.

2. Квалифицированным поставщикам электронных доверительных услуг, заказчикам, разработчикам и производителям средств квалифицированной электронной подписи или печати, организациям, которые используют электронные доверительные услуги во время электронного взаимодействия физических и юридических лиц, которое требует отправления, получения, использования и постоянного хранения с участием третьих лиц электронных данных, аналоги которых на бумажных носителях должны содержать собственноручную подпись в соответствии с законодательством, а также проверки подлинности в составных частях информационных систем, в которых осуществляется обработка таких электронных данных и владельцами информации в которых являются органы государственной власти, органы местного самоуправления, предприятия, учреждения и организации государственной формы собственности, обеспечить применение требований к техническим средствам, установленных настоящим приказом, и личных ключей, генерация которых осуществлена до вступления в силу этого приказа,

до окончания срока действия соответствующих квалифицированных сертификатов открытых ключей, но не позднее 06 ноября 2020 года.

3. Субъекты отношений в сфере электронных доверительных услуг, использующие в своей деятельности квалифицированные сертификаты открытых ключей, применяют квалифицированную электронную подпись:

1) в пределах страны с целью обеспечения электронного документооборота и электронной аутентификации лиц в соответствии с:

ГСТУ 4145-2002 "Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка" с хеш-функцией по ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования". Эти национальные стандарты применяются для создания квалифицированной электронной подписи до 01 января 2022 года и для создания квалифицированной электронной подписи с целью предоставления информации о статусе сертификатов открытых ключей до завершения срока их действия и для проверки квалифицированной электронной подписи;

ГСТУ 4145-2002 "Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка" с хеш-функцией по ГОСТ 7564-2014 "Информационные технологии. Криптографическая защита информации. Функция хеширования". Эти национальные стандарты применяются для создания квалифицированной электронной подписи с 01 января 2021 года и для проверки квалифицированной электронной подписи;

ГСТУ ISO/IEC 14888-3:2019 "Информационные технологии. Методы защиты. Цифровые подписи с приложением. Часть 3. Механизмы на основе дискретного логарифмирования" с применением алгоритма ECDSA со степенью расширения основного поля эллиптической кривой не менее чем 256 с функциями хеш sha256 или sha512 в соответствии с национальным стандартом, определенного пунктом 55 Перечня";

2) для трансграничного сотрудничества с любой целью в соответствии с требованиями:

установленными национальным стандартом, определенным в пункте 55 Перечня;

указанными в подпункте 1 настоящего пункта.

4. Признать утратившим силу приказ Министерства юстиции Украины, Администрации Государственной службы специальной связи и защиты информации Украины от 18 ноября 2019 года №3563/5/610 "Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем предоставления электронных доверительных услуг", зарегистрированный в Министерстве юстиции Украины 20 ноября 2019 года за №1172/34143.

5. Администратору информационно-телекоммуникационной системы центрального удостоверяющего органа обеспечить:

1) публикацию на официальном вебсайте центрального удостоверяющего органа технических спецификаций с тестовыми примерами для проверки правильности реализации форматов, протоколов и интерфейсов техническими средствами, определенными в подпункте 2 пункта 1 настоящего приказа (квалифицированного сертификата электронной подписи, квалифицированного сертификата электронной печати и квалифицированного сертификата проверки подлинности вебсайта, списков отозванных сертификатов, квалифицированной отметки времени, информации о статусе сертификатов, форматов подписанных данных, перечня объектных идентификаторов), не позднее одного месяца с даты вступления в силу этого приказа;

2) создание на официальном вебсайте центрального удостоверяющего органа функционала для оценки внутренней и трансграничной технологической совместимости технических средств, которые подпадают под действие требований этого приказа, и их способности взаимодействовать между собой не позднее 06 ноября 2021 года.

6. Установить, что объектные идентификаторы алгоритмов криптографической защиты информации, определенные в подпункте 2 пункта 1 этого приказа, публикуются на официальном вебсайте Госспецсвязи до момента их регистрации национальной регистрирующей организацией в соответствии с законодательством.

7. Директорату функционального развития цифровизации Министерства цифровой трансформации Украины (Халеева А.П.) подать этот приказ на государственную регистрацию в соответствии с Указом Президента Украины от 3 октября 1992 года №493 "О государственной регистрации нормативно-правовых актов министерств и других органов исполнительной власти".

8. Этот приказ вступает в силу со дня его официального опубликования.

9. Контроль за исполнением этого приказа возложить на заместителя Министра цифровой трансформации Украины и заместителя Председателя Государственной службы специальной связи и защиты информации Украины согласно распределению функциональных обязанностей.