Про затвердження Регламенту роботи центрального засвідчувального органу

Відповідно до частини шостої статті 29 Закону України "Про електронні довірчі послуги", пунктів 4, 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, НАКАЗУЮ:

1. Затвердити Регламент роботи центрального засвідчувального органу, що додається.

2. Визначити державне підприємство "ДІЯ" адміністратором інформаційно-комунікаційної системи центрального засвідчувального органу, що здійснює технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу.

3. Адміністратору інформаційно-комунікаційної системи центрального засвідчувального органу - державному підприємству "ДІЯ" розмістити цей наказ на офіційному вебсайті центрального засвідчувального органу.

4. Визнати таким, що втратив чинність, наказ Міністерства цифрової трансформації України від 19 грудня 2019 року № 27 "Про затвердження Регламенту роботи центрального засвідчувального органу", зареєстрований в Міністерстві юстиції України 11 січня 2020 року за № 33/34316 (зі змінами).

5. Департаменту функціонального розвитку цифровізації подати цей наказ на державну реєстрацію в установленому законодавством порядку.

6. Цей наказ набирає чинності з дня його офіційного опублікування.

7. Контроль за виконанням цього наказу покласти на заступника Міністра відповідно до розподілу обов’язків.

1. Цей Регламент визначає організаційно-методологічні, технічні та технологічні умови діяльності центрального засвідчувального органу (далі - ЦЗО) під час надання ним кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, порядок взаємодії кваліфікованих надавачів електронних довірчих послуг (далі - надавачі) з ЦЗО у процесі надання ним кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, а також внесення юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, до Довірчого списку.

2. Цей Регламент є обов’язковим для юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, та для надавачів.

3. Дія цього Регламенту не поширюється на надавачів електронних довірчих послуг, що не мають наміру надавати кваліфіковані електронні довірчі послуги, а також на надавачів, що мають намір надавати кваліфіковані довірчі послуги в банківській системі та під час здійснення переказу коштів.

4. У цьому Регламенті терміни вжиті в таких значеннях:

адміністратор інформаційно-комунікаційної системи ЦЗО (далі - Адміністратор ІКС ЦЗО) - державне підприємство "ДІЯ" (далі - ДП "ДІЯ"), яке належить до сфери управління головного органу у системі центральних органів виконавчої влади, що забезпечує формування та реалізацію державної політики у сфері електронних довірчих послуг, та здійснює технічне й технологічне забезпечення виконання функцій ЦЗО;

інформаційно-комунікаційна система ЦЗО (далі - ІКС ЦЗО) - сукупність інформаційних та електронних комунікаційних систем ЦЗО, які у процесі обробки інформації діють як єдине ціле та об’єднують програмно-технічний комплекс, що використовується під час надання послуг (далі - програмно-технічний комплекс), фізичне середовище, інформацію, що обробляється в цих системах, а також найманих працівників ЦЗО, які безпосередньо залучені в наданні послуг або обслуговують програмно- технічний комплекс (далі - наймані працівники);

політика сертифіката - перелік усіх правил, що застосовуються Адміністратором ІКС ЦЗО у процесі надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;

положення сертифікаційних практик - перелік усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката ЦЗО.

Інші терміни, що вживаються у цьому Регламенті, застосовуються у значеннях, визначених нормативно-правовими актами, що регулюють відносини у сфері електронних довірчих послуг.

5. Головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг, на який покладено виконання функцій ЦЗО, є Міністерство цифрової трансформації України (далі - Мінцифри):

місцезнаходження (поштова адреса): вул. Ділова, 24, м. Київ, 03150;

код за ЄДРПОУ: 43220851;

телефон: (044) 207-17-39.

Адреса електронного інформаційного ресурсу ЦЗО, доступ до якого забезпечується через телекомунікаційні мережі загального користування цілодобово (далі - офіційний вебсайт ЦЗО): www.czo.gov.ua.

Адреса електронної пошти для офіційного листування: inbox@czo.gov.ua

6. Адміністратор ІКС ЦЗО:

місцезнаходження (поштова адреса): вул. Ділова, 24, м. Київ, 03150;

код за ЄДРПОУ: 43395033;

адреса електронної пошти технічної підтримки: support.its@czo.gov.ua.

7. Мінцифри виконує функції ЦЗО, визначені підпунктом 20 пункту 4 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856.

Структурним підрозділом, визначеним у Мінцифри відповідальним за виконання функцій ЦЗО, є експертна група розвитку електронної ідентифікації та електронних довірчих послуг директорату розвитку цифровізації.

8. Адміністратор ІКС ЦЗО здійснює технічне та технологічне забезпечення виконання таких функцій ЦЗО:

функціонування програмно-технічного комплексу ЦЗО та захисту інформації, що в ньому обробляється, відповідно до вимог законодавства;

функціонування вебсайту ЦЗО;

ведення Довірчого списку;

ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;

генерація пари ключів та створення самопідписаних сертифікатів ключів електронної печатки ЦЗО;

надання послуг надавачам із використанням самопідписаного сертифіката електронної печатки ЦЗО, що призначений для надання таких послуг;

надання послуги постачання передачі сигналів точного часу, синхронізованого з Державним еталоном одиниць часу і частоти;

технологічне забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації;

використання ІКС ЦЗО для визнання в Україні електронних довірчих послуг, іноземних сертифікатів відкритих ключів, що використовуються під час надання юридично значущих електронних послуг у процесі взаємодії між суб’єктами різних держав;

надання цілодобового доступу до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів ключів через телекомунікаційні мережі загального користування;

скасування, блокування та поновлення сертифікатів ключів у випадках, передбачених Законом України "Про електронні довірчі послуги" (далі - Закон);

приймання та зберігання документованої інформації, сформованих сертифікатів (у тому числі посилених, кваліфікованих) відкритих ключів, реєстрів чинних, блокованих та скасованих сертифікатів відкритих ключів у разі припинення діяльності надавача.

9. Робота Мінцифри організована в одну робочу зміну з понеділка по четвер з 09:00 до 18:00, обідня перерва - з 13:00 до 13:45; у п’ятницю - з 09:00 до 16:45, обідня перерва - з 13:00 до 13:45. Заяви та документи для внесення відомостей про юридичних осіб, фізичних осіб - підприємців до Довірчого списку приймаються та розглядаються за адресою: вул. Ділова, 24, м. Київ, 03150.

10. Робота Адміністратора ІКС ЦЗО організована в одну робочу зміну з понеділка по четвер з 09:00 до 18:00, обідня перерва - з 13:00 до 13:45; у п’ятницю - з 09:00 до 16:45, обідня перерва - з 13:00 до 13:45 (за винятком приймання заяв надавачів на блокування, скасування та поновлення їх сертифікатів ключів, що є цілодобовим). Заяви на блокування, скасування та поновлення сертифікатів ключів подаються в паперовій формі за адресою: вул. Ділова, 24, м. Київ, 03150, чи в електронній формі з накладенням кваліфікованого електронного підпису керівника надавача або його уповноваженої особи на адресу електронної пошти: support.its@czo.gov.ua. Документована інформація, що передається надавачем до Адміністратора ІКС ЦЗО в разі припинення його діяльності, приймається та розглядається за адресою: вул. Ділова, 24, м. Київ, 03150.

11. Цей Регламент та зміни до нього розміщуються на офіційному вебсайті ЦЗО.

12. Формати, структура та протоколи, що застосовуються під час формування сертифікатів ключів ЦЗО, формування кваліфікованих сертифікатів відкритих ключів надавачів, формування списків відкликаних сертифікатів (далі - СВС) ЦЗО мають відповідати стандартам, які визначені Переліком стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, та вимогам до технічних засобів, у тому числі до алгоритмів, форматів, структури, протоколів та інтерфейсів, які реалізуються такими засобами, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації відповідно до постанови Кабінету Міністрів України від 16 грудня 2015 року № 1057 "Про визначення сфер діяльності, в яких центральні органи виконавчої влади та Служба безпеки України здійснюють функції технічного регулювання" (далі - Постанова).

1. Адміністратор ІКС ЦЗО надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачам з урахуванням вимог статті 29 Закону України "Про електронні довірчі послуги" (далі - Закон).

2. Адміністратор ІКС ЦЗО надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки безоплатно для органів державної влади, місцевого самоврядування, інших юридичних осіб публічного права.

3. Адміністратор ІКС ЦЗО надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачам з урахуванням пункту 2 цього розділу відповідно до тарифів, затверджених в установленому законодавством порядку.

1. Для виконання технічних та технологічних функцій ЦЗО Адміністратор ІКС ЦЗО створює технічний підрозділ, який складається з:

посадової особи, на яку покладені обов’язки керівника технічного підрозділу;

адміністратора реєстрації;

адміністратора сертифікації;

адміністратора безпеки та аудиту;

системного адміністратора.

Посада адміністратора безпеки та аудиту не має суміщатися з іншими посадами найманих працівників, обов’язки яких безпосередньо пов’язані з наданням послуг.

2. Наймані працівники повинні мати необхідні для надання послуг знання, досвід і кваліфікацію.

На посади адміністратора сертифікації, системного адміністратора, адміністратора безпеки та аудиту може бути призначена особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше 3 років.

3. Керівник та наймані працівники повинні бути ознайомлені з положеннями їх посадових інструкцій та діяти відповідно до своїх посадових функцій та завдань.

4. З метою забезпечення захисту інформації в ІКС ЦЗО шляхом вирішення питань, пов’язаних із проектуванням, розробленням, модернізацією, введенням в експлуатацію та підтримкою працездатності комплексної системи захисту інформації (далі - КСЗІ), та додержання режиму безпеки в ІКС ЦЗО створюється підрозділ служби захисту інформації (далі - СЗІ).

До складу СЗІ входять:

посадова особа, на яку покладені обов’язки керівника СЗІ;

адміністратор безпеки та аудиту;

системний адміністратор.

Основними функціями СЗІ є:

забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;

розроблення розпорядчих документів, згідно з якими Адміністратор ІКС ЦЗО має забезпечувати захист інформації, контроль за їх виконанням;

своєчасне реагування на спроби несанкціонованого доступу до інформаційних ресурсів ІКС ЦЗО, порушення правил експлуатації засобів захисту інформації.

Обов’язки керівника СЗІ покладаються на посадову особу, на яку покладені обов’язки керівника технічного підрозділу.

Керівник СЗІ забезпечує належне виконання СЗІ її функцій.

5. Адміністратор реєстрації забезпечує належну перевірку документів, наданих заявниками, їх заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.

Основними обов’язками адміністратора реєстрації є:

1) ідентифікація та автентифікація заявників;

2) перевірка заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;

3) встановлення належності відкритого ключа та відповідного йому особистого ключа надавачу;

4) ведення обліку надавачів та контроль за розрахунками за надану їм кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;

5) ведення архівів (справи надавачів, документи, на підставі яких Адміністратором ІКС ЦЗО надаються кваліфіковані електронні довірчі послуги та вносяться відомості до Довірчого списку).

6. Адміністратор сертифікації забезпечує належне формування сертифікатів ключів, ведення Довірчого списку та електронного реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, зберігання та використання особистих ключів ЦЗО, а також створення їх резервних копій.

Основними обов’язками адміністратора сертифікації є:

1) участь у генерації пар ключів ЦЗО та створенні резервних копій особистих ключів ЦЗО;

2) зберігання особистих ключів ЦЗО та їх резервних копій;

3) ведення Довірчого списку;

4) забезпечення використання особистих ключів ЦЗО під час формування та обслуговування сертифікатів ключів ЦЗО та кваліфікованих сертифікатів відкритих ключів надавачів, а також внесення відомостей до Довірчого списку;

5) перевірка заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу на відповідність вимогам цього Регламенту;

6) участь у знищенні особистих ключів ЦЗО;

7) ведення, архівування та відновлення баз даних кваліфікованих сертифікатів відкритих ключів надавачів;

8) публікація кваліфікованих сертифікатів відкритих ключів надавачів та СВС на офіційному вебсайті ЦЗО;

9) створення резервних копій сертифікатів ключів ЦЗО та Довірчого списку;

10) зберігання кваліфікованих сертифікатів відкритих ключів надавачів, їх резервних копій, СВС та інших важливих ресурсів ІКС ЦЗО.

7. Адміністратор безпеки та аудиту забезпечує належне функціонування КСЗІ та здійснення перевірок дотримання найманими працівниками вимог внутрішньої організаційно-розпорядчої документації та документації на КСЗІ.

Основними обов’язками адміністратора безпеки та аудиту є:

1) участь у генерації пар ключів та створенні резервних копій особистих ключів ЦЗО;

2) контроль за формуванням, обслуговуванням та створенням резервних копій сертифікатів ключів ЦЗО, кваліфікованих сертифікатів відкритих ключів надавачів та СВС;

3) контроль за зберіганням особистих ключів ЦЗО та їх резервних копій, особистих ключів адміністраторів;

4) участь у знищенні особистих ключів ЦЗО, контроль за правильним і своєчасним знищенням адміністраторами їх особистих ключів;

5) організація розмежування доступу до ресурсів ІКС ЦЗО;

6) спостереження за функціонуванням КСЗІ (реєстрація подій в ІКС ЦЗО, моніторинг подій тощо);

7) організація та проведення заходів із модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІКС ЦЗО;

8) забезпечення режиму доступу до приміщень ЦЗО, в яких розміщена ІКС ЦЗО;

9) ведення журналів обліку адміністратора безпеки та аудиту, передбачених документацією на КСЗІ;

10) здійснення перевірок журналів аудиту подій, що реєструють технічні засоби ІКС ЦЗО;

11) здійснення перевірок відповідності внутрішньої організаційно-розпорядчої документації ЦЗО та документації на КСЗІ;

12) контроль за дотриманням найманими працівниками внутрішньої організаційно-розпорядчої документації та документації на КСЗІ;

13) контроль за веденням баз даних;

14) контроль за веденням архіву.

8. Системний адміністратор забезпечує належне функціонування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби) ІКС ЦЗО.

Основними обов’язками системного адміністратора є:

1) організація експлуатації та технічного обслуговування ІКС ЦЗО і адміністрування її технічних засобів;

2) забезпечення функціонування офіційного вебсайту ЦЗО;

3) участь у впровадженні та забезпеченні функціонування КСЗІ;

4) налаштування ведення журналів аудиту подій, що реєструють технічні засоби ІКС ЦЗО;

5) встановлення, налаштування та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ІКС ЦЗО;

6) встановлення та налагодження штатної підсистеми резервного копіювання бази даних ІКС ЦЗО;

7) забезпечення актуалізації баз даних, створюваних та оброблюваних в ІКС ЦЗО, після збоїв.

1. Адміністратор ІКС ЦЗО формує кваліфікований самопідписаний сертифікат відкритого ключа електронної печатки ЦЗО (далі - самопідписаний сертифікат електронної печатки ЦЗО) з обов’язковими реквізитами відповідно до таблиці 2 додатка 1 до цього Регламенту, що містить відкритий ключ, відповідний йому особистий ключ ЦЗО, призначений для формування кваліфікованих сертифікатів відкритих ключів надавачів та СВС.

Для засвідчення інформації в Довірчому списку та даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначаються в режимі реального часу, використовуються окремі спеціально призначені кваліфіковані сертифікати відкритого ключа електронної печатки ЦЗО, засвідчені з використанням самопідписаного сертифіката електронної печатки ЦЗО.

Використання особистих та відповідних їм відкритих ключів за іншим призначенням (сферою використання) здійснюється з урахуванням пункту 1 глави 5 цього розділу.

2. Адміністратор ІКС ЦЗО формує кваліфіковані сертифікати відкритих ключів надавачів, що містять відкриті ключі, відповідні їм особисті ключі, призначені для формування сертифікатів ключів підписувачів, створювачів електронних печаток, СВС, надання інших кваліфікованих електронних довірчих послуг, передбачених частиною другою статті 16 Закону.

Для кожної кваліфікованої електронної довірчої послуги надавачі використовують окремий кваліфікований сертифікат відкритого ключа, сформований Адміністратором ІКС ЦЗО.

Під час розгляду заяви про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу Адміністратор ІКС ЦЗО здійснює перевірку унікальності відкритого ключа надавача в електронному реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів. Засвідчення відкритого ключа, який не пройшов перевірку на унікальність в електронному реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів, забороняється.

1. На офіційному вебсайті ЦЗО розповсюджується (публікується) така інформація:

Довірчий список;

електронний реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;

сертифікати відкритих ключів ЦЗО;

СВС;

рішення ЦЗО про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку;

відомості про прийняття від надавачів на зберігання документованої інформації в разі припинення їх діяльності;

нормативно-правові акти, що регулюють відносини у сфері електронних довірчих послуг, цей Регламент, форма договору про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки та інших документів, методичні та довідкові матеріали;

інформація щодо поточної діяльності ЦЗО.

2. Публікація чинних кваліфікованих сертифікатів відкритих ключів ЦЗО та надавачів здійснюється відповідно до Порядку ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, затвердженого наказом Міністерства цифрової трансформації 29 липня 2020 року № 112, зареєстрованого в Міністерстві юстиції України 18 серпня 2020 року за № 798/35081.

Доступ до сертифікатів ключів ЦЗО та кваліфікованих сертифікатів відкритих ключів надавачів забезпечується цілодобово.

3. Інформація щодо скасованих та блокованих кваліфікованих сертифікатів відкритих ключів надавачів публікується на офіційному вебсайті ЦЗО у вигляді повного та часткового СВС.

4. Повні СВС публікуються не рідше одного разу на тиждень не пізніше закінчення строку дії попереднього СВС та містять інформацію про всі відкликані сертифікати ключів, які були сформовані Адміністратором ІКС ЦЗО.

5. Часткові СВС публікуються не рідше одного разу на дві години не пізніше закінчення строку дії попереднього СВС та містять інформацію про всі відкликані сертифікати ключів, статус яких був змінений в інтервалі між часом випуску останнього повного СВС та часом формування поточного часткового СВС.

Доступ до СВС забезпечується цілодобово.

1. Адміністратор ІКС ЦЗО здійснює ідентифікацію, автентифікацію та перевірку обсягу цивільної правоздатності та дієздатності заявників під час формування, блокування, скасування та поновлення кваліфікованого сертифіката відкритого ключа надавача на підставі відповідної заяви надавача з дотриманням вимог статті 22 Закону.

2. Для надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки Адміністратор ІКС ЦЗО здійснює ідентифікацію заявника шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади.

3. Ідентифікація юридичної особи здійснюється за її установчими документами та даними, одержаними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань.

4. Ідентифікація фізичної особи здійснюється за паспортом громадянина України або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи.

5. Перевірка обсягів повноважень уповноваженого представника юридичної особи здійснюється за документом або даними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, що визначають повноваження представника.

6. Перевірка обсягів повноважень уповноваженого представника колегіального органу юридичної особи здійснюється за документом, в якому визначені повноваження відповідного органу та розподіл обов’язків між його членами.

7. Перевірка обсягів повноважень фізичної особи - підприємця здійснюється за даними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань.

8. Ідентифікація іноземців здійснюється відповідно до законодавства.

9. Підтвердження володіння надавачем особистим ключем, відповідним йому відкритим ключем, який надається для сертифікації, здійснюється шляхом електронної автентифікації з використанням алгоритмів криптографічного захисту інформації, реалізованих засобами ІКС ЦЗО.

10. Механізм підтвердження володіння надавачем особистим ключем являє собою перевірку удосконаленого електронного підпису чи печатки, накладеного(-ї) на запит на формування сертифіката ключа, особистим ключем надавача за допомогою відкритого ключа, що міститься в запиті.

11. Підтвердження володіння надавачем особистим ключем здійснюється без розкриття особистого ключа.

1. Фізичне середовище:

1) програмно-технічний комплекс ЦЗО розташовується та експлуатується згідно з вимогами до умов експлуатації та за місцезнаходженням, що зазначені в експертному висновку за результатами державної експертизи у сфері технічного захисту інформації, який є невід’ємною частиною атестата відповідності комплексної системи захисту інформації вимогам нормативних документів у сфері захисту інформації;

2) приміщення, в якому розміщено локальну обчислювальну мережу (далі - ЛОМ) управління ІКС ЦЗО, розділені на функціональні зони за рівнями безпеки приміщень відповідно до Вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації, затверджених наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 травня 2020 року № 269, зареєстрованим у Міністерстві юстиції України 16 липня 2020 року за № 668/34951. ЛОМ управління ІКС ЦЗО являє собою об’єднані робочі станції найманих працівників, на яких покладено виконання обов’язків адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та аудиту, системного адміністратора (далі - адміністратори) з використанням комутаційного обладнання, розміщуються відокремлено від серверів і підключаються до ЛОМ серверів ІКС ЦЗО через телекомунікаційні мережі загального користування. Підключення здійснюється через шлюз захисту мережевих з’єднань, який розміщується на стороні ЛОМ серверів ІКС ЦЗО так, що утворюється єдина віртуальна ЛОМ. Шлюз захисту мережевих з’єднань призначений для автентифікації адміністраторів під час підключення до ЛОМ серверів шляхом встановлення захищеного мережевого з’єднання з робочими станціями адміністраторів;

3) приміщення, в яких розміщено ЛОМ серверів ІКС ЦЗО та Резервне плече ЛОМ серверів ІКС ЦЗО розділені на функціональні зони за рівнями безпеки приміщень відповідно до Вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації, затверджених наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 травня 2020 року № 269, зареєстрованим у Міністерстві юстиції України 16 липня 2020 року за № 668/34951, та обладнуються згідно з вимогами до спеціальних приміщень надавачів, які передбачають проведення заходів щодо пасивного захисту інформації від її витоку каналами побічних електромагнітних випромінювань та наведень, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів (далі - спеціальне приміщення);

4) спеціальне приміщення обладнується автоматичною системою контролю доступу, яка забезпечує фізичний доступ до приміщень тільки особам, визначеним наказом керівника Адміністратора ІКС ЦЗО;

5) фізичний доступ до обладнання програмно-технічного комплексу, що забезпечує сертифікацію, управління статусом сертифіката, генерацію ключів ЦЗО, обмежується та надається тільки визначеному колу осіб з-поміж найманих працівників;

6) Адміністратор ІКС ЦЗО вживає запобіжних заходів щодо недопущення крадіжки, втрати та ушкодження обладнання, крадіжки та знищення (руйнування) інформації або інших дій, що можуть призвести до виведення ІКС ЦЗО зі штатного режиму роботи;

7) спеціальні приміщення використовуються для розташування технічних засобів, за допомогою яких здійснюються генерація та використання особистих ключів ЦЗО, а також обробки інформації, необхідність технічного захисту якої визначена в технічному завданні на створення КСЗІ;

8) технічний захист інформації, в тому числі захист від впливу зовнішніх електромагнітних полів, у спеціальних приміщеннях здійснюється шляхом створення умов для забезпечення електромагнітного екранування технічних засобів та розміщення шаф в один із таких способів:

суцільне екранування усієї внутрішньої поверхні спеціальних приміщень;

розміщення технічних засобів та шаф в окремій екранованій кабіні (декількох кабінах);

розміщення в неекранованих спеціальних приміщеннях лише екранованих шаф і технічних засобів в екранованому виконанні;

9) спеціальні приміщення відокремлюються від зовнішніх стін (з боку оточуючої міської забудови) коридорами тощо;

10) вікна спеціального приміщення обладнуються надійними металевими ґратами, захищаються від зовнішнього спостереження за допомогою скла з матовою чи рельєфною поверхнею (нерівностями назовні), непрозорих штор;

11) спеціальні приміщення обладнуються системою контролю доступу та пожежною сигналізацією. Двері спеціальних приміщень обладнуються кодовим замком або системою доступу;

12) величина ефективності екранування спеціальних приміщень (інших варіантів пасивного захисту) та екранованих шаф для зберігання має становити не менше 20 дБ у діапазоні частот 0,15-1000 МГц щодо захисту від впливів зовнішніх електромагнітних полів;

13) розроблення, виготовлення, монтаж і визначення ефективності екранування спеціальних приміщень проводяться відповідно до вимог нормативних документів із питань технічного захисту інформації, що стосуються екранованих приміщень;

14) спеціальні екрановані приміщення (окрема екранована кабіна (шафа), технічні засоби в екранованому виконанні) оснащуються:

протизавадними фільтрами для захисту вводів мереж електроживлення;

протизавадними фільтрами конструкції типу "позамежний хвильовід" для захисту місць вводу систем опалення, вентиляції та кондиціонування повітря;

іншими відповідними протизавадними фільтрами (в разі необхідності) для захисту вводів оптоволоконних, сигнальних мереж тощо;

15) протизавадні фільтри за своїми характеристиками мають забезпечувати ефективність екранування у всьому діапазоні частот екранування не нижче величин, визначених у підпункті 12 цього пункту;

16) екрануючі поверхні спеціальних приміщень (інші варіанти пасивного захисту) та екранованих шаф не повинні мати гальванічного зв’язку з металоконструкціями будівлі (коробами, екрануючими та захисними оболонками кабелів тощо), що мають вихід за межі контрольованої зони Адміністратора ІКС ЦЗО;

17) для електроживлення технічних засобів, що розміщуються у спеціальних приміщеннях, спільно з протизавадними фільтрами захисту кіл електроживлення встановлюються пристрої безперервного електроживлення;

18) система заземлення спеціальних приміщень та їх складових елементів обладнується відповідно до вимог до спеціальних приміщень.

2. Контроль доступу:

1) Адміністратор ІКС ЦЗО передбачає та впроваджує захист внутрішньої обчислювальної мережі від несанкціонованого доступу з боку користувачів зовнішньої мережі (глобальних мереж), у тому числі надавачів та третіх сторін. Засоби контролю доступу до інформаційних ресурсів ЦЗО здійснюють блокування всіх мережевих протоколів та спроб доступу, що необов’язкові для функціонування ІКС ЦЗО;

2) Адміністратор ІКС ЦЗО забезпечує розмежування доступу найманих працівників до ресурсів системи та надання функцій згідно з їхньою авторизацією так, щоб наймані працівники виконували лише ті функції, що доступні та асоційовані з їх функціями та завданнями;

3) наймані працівники повинні бути успішно ідентифіковані та автентифіковані перед початком виконання процедур, пов’язаних із формуванням сертифіката ключа або зміною його статусу;

4) всі дії найманих працівників, пов’язані з генерацією пар ключів, формуванням сертифікатів відкритих ключів або зміною їх статусу, протоколюються із забезпеченням захисту протоколів від несанкціонованого доступу;

5) резервні копії сертифікатів відкритих ключів та журналів аудиту подій зберігаються в окремому приміщенні Адміністратора ІКС ЦЗО із забезпеченням їх захисту від несанкціонованого доступу;

6) програмно-технічний комплекс має забезпечувати реєстрацію дій найманих працівників;

7) журнали аудиту подій повинні мати захист від несанкціонованого доступу, модифікації або знищення (руйнування) інформації.

3. Процедурний контроль:

1) посадові особи, на яких покладені обов’язки керівника технічного підрозділу, адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та аудиту, системного адміністратора, забезпечують належне виконання своїх обов’язків, нерозголошення конфіденційної інформації, зокрема відомостей про персональні дані надавачів, згідно із Законом;

2) інші обов’язки посадових осіб, зокрема обов’язки керівника технічного підрозділу, адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та аудиту, системного адміністратора, визначаються розпорядчими документами Адміністратора ІКС ЦЗО та документацією КСЗІ ІКС ЦЗО.

4. Ведення журналів аудиту подій:

1) у журналах аудиту подій ІКС ЦЗО реєструються дії та події таких типів:

спроби створення, знищення, встановлення паролів, зміни прав доступу в ІКС ЦЗО тощо;

заміна технічних засобів ІКС ЦЗО та пар ключів;

формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;

спроби несанкціонованого доступу до ІКС ЦЗО;

надання доступу персоналу до ІКС ЦЗО;

зміна системних конфігурацій та технічне обслуговування ІКС ЦЗО;

збої в роботі ІКС ЦЗО;

інші події, відомості про які фіксуються в журналі аудиту подій ІКС ЦЗО;

2) усі записи в журналах аудиту подій в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб’єкта, що її здійснив або ініціював.

Системний адміністратор забезпечує належне ведення журналів аудиту подій, що реєструють технічні засоби ІКС ЦЗО;

3) журнали аудиту подій підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку журналу аудиту подій на предмет несанкціонованих модифікацій, вивчення всіх дій та/або подій у журналі аудиту подій зі зверненням особливої уваги на повідомлення про невідповідності та попередження про небезпечні ситуації.

Перегляд журналів аудиту подій ІКС ЦЗО здійснює адміністратор безпеки та аудиту. Результати перегляду адміністратор безпеки та аудиту фіксує у відповідному журналі;

4) система ведення електронного журналу аудиту подій має бути синхронізована із Всесвітнім координованим часом із точністю до секунди та містити механізми його захисту від неавторизованого перегляду, модифікації та знищення.

Журнали аудиту подій в електронній формі резервуються з періодичністю не менше одного разу на тиждень;

5) Адміністратор ІКС ЦЗО зберігає журнали аудиту подій на місці їх створення протягом 10 років, після чого забезпечує їх передавання для архівного зберігання.

5. Ведення архівів ЦЗО:

1) архівування інформації здійснюється згідно із внутрішніми організаційно-розпорядчими документами Адміністратора ІКС ЦЗО;

2) обов’язковому архівуванню підлягають:

сертифікати відкритих ключів ЦЗО та відповідні списки відкликаних сертифікатів;

кваліфіковані сертифікати відкритих ключів надавачів;

запити на формування сертифікатів відкритих ключів в електронній формі;

журнали аудиту подій ІКС ЦЗО;

документована інформація - документи на папері та в електронній формі, що були надані надавачами Адміністратору ІКС ЦЗО, на підставі яких Адміністратором ІКС ЦЗО були надані кваліфіковані електронні довірчі послуги та були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів для надавачів (договори, довіреності, заяви та запити на формування кваліфікованих сертифікатів), а також документи, на підставі яких Адміністратором ІКС ЦЗО були внесені відомості про надавачів та послуги, що ними надаються, до Довірчого списку;

документована інформація (документи на папері та в електронній формі), що була передана надавачами до центрального засвідчувального органу в разі припинення його діяльності з надання кваліфікованих електронних довірчих послуг, а саме:

документи в електронній формі - договори, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги, усі сформовані кваліфіковані сертифікати відкритих ключів, реєстри сформованих кваліфікованих сертифікатів відкритих ключів, документи, на підставі яких були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів (якщо такий спосіб передбачений регламентом роботи кваліфікованого надавача електронних довірчих послуг), список відкликаних сертифікатів;

документи на папері - договори, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги, документи, на підставі яких були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, реєстри сформованих кваліфікованих сертифікатів відкритих ключів, а також засвідчені в установленому порядку копії рішень (ухвал) судів щодо відшкодування збитків, завданих унаслідок неналежного виконання кваліфікованим надавачем своїх обов’язків;

3) документи в паперовій та електронній формах мають зберігатися в порядку, встановленому законодавством у сфері архівної справи;

4) знищення архівних документів має здійснюватися комісією, до складу якої входять керівник Адміністратора ІКС ЦЗО, адміністратор сертифікації, адміністратор безпеки та аудиту. Після завершення процедури знищення архівних документів складається відповідний акт, який затверджує керівник Адміністратора ІКС ЦЗО;

5) сертифікати відкритих ключів ЦЗО, сертифікати відкритих ключів серверів ЦЗО та сертифікати відкритих ключів адміністраторів, кваліфіковані сертифікати відкритих ключів надавачів, а також СВС зберігаються постійно;

6) для зберігання носіїв із резервними та архівними копіями виділяється окреме сховище (сейф чи відсік сейфа) з двома екземплярами ключів і пристроями для опечатування. Один екземпляр ключа від сховища знаходиться в адміністратора безпеки та аудиту, другий в опечатаному вигляді зберігається у сховищі (сейфі) керівника СЗІ ІКС ЦЗО;

7) засоби, що входять до складу центрального сервера автоматизованої системи ЦЗО, забезпечують автоматичне резервне копіювання сертифікатів відкритих ключів. Автоматичне створення резервної копії має виконуватися не рідше одного разу на добу під час найменшого завантаження центрального сервера;

8) додатково може виконуватися резервне копіювання сертифікатів відкритих ключів на оптичні носії або інші з’ємні носії інформації в ручному режимі. Після створення нової резервної копії попередня стає архівною;

9) відновлення сертифікатів відкритих ключів із резервної копії здійснюється засобами центрального сервера комплексу шляхом зчитування сертифікатів відкритих ключів з останньої (актуальної) резервної копії та запису їх у базу даних сервера;

10) з’ємні носії зберігаються в конвертах чи упаковках, що опечатуються печаткою адміністратора сертифікації. Водночас на упаковці зазначається обліковий номер копії. Факти створення та використання копій фіксуються в окремому журналі;

11) резервні копії баз даних та журнали аудиту подій ІКС ЦЗО зберігаються у приміщенні Адміністратора ІКС ЦЗО 10 років. Контроль за здійсненням автоматичного резервного копіювання та виконання резервного копіювання в ручному режимі покладаються на системного адміністратора. Адміністратор безпеки та аудиту періодично контролює процес створення та зберігання резервних копій;

12) архівне приміщення обладнується технічними засобами, які виключають можливість проникнення сторонніх осіб та неконтрольованого доступу до інформації, що підлягає архівуванню;

13) надавач, що засвідчив свій відкритий ключ у ЦЗО, у разі припинення діяльності з надання послуг здійснює передання документованої інформації Адміністратору ІКС ЦЗО;

14) механізм обов’язкового передання на зберігання Адміністратору ІКС ЦЗО сертифікатів ключів, документованої інформації надавачем у разі припинення його діяльності з надання послуг, а також забезпечення передавання її на архівне зберігання визначаються Порядком зберігання документованої інформації та її передавання центральному засвідчувальному органу в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг, затвердженим постановою Кабінету Міністрів України від 10 жовтня 2018 року № 821.

1. В ІКС ЦЗО використовуються особисті та відповідні їм відкриті ключі з параметрами, що відповідають вимогам пункту 3 наказу Міністерства цифрової трансформації України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 30 вересня 2020 року № 140/614 "Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг", зареєстрованого в Міністерстві юстиції України 22 жовтня 2020 року за № 1039/35322, та за такими призначеннями (сферою використання):

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 за ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002). З функцією гешування за ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования" або за ДСТУ 7564-2014 "Інформаційні технології. Криптографічний захист інформації. Функція ґешування";

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на Довірчому списку зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002.

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

особисті та відповідні їм відкриті ключі шлюзів захисту мережевих з’єднань та шифраторів мережевого потоку зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з’єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів, СВС із використанням іменованої еліптичної кривої NIST P-256 (secp256r1) для алгоритму ECDSA згідно з ДСТУ ETSI TS 119 312:2015 "Електронні підписи й інфраструктури (ESI). Криптографічні комплекти" (далі - ДСТУ ETSI EN 119 312:2015);

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, із використанням іменованої еліптичної кривої NIST P-256 (secp256r1) для алгоритму ECDSA згідно з ДСТУ ETSI EN 119 312:2015;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів, СВС із довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до ДСТУ ETSI EN 119 312:2015;