КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 30 листопада 2016 р. № 869 Київ |
Про затвердження Порядку внесення засобів кваліфікованого електронного підпису до безконтактного електронного носія, що міститься в паспорті громадянина України, та надання кваліфікованих електронних довірчих послуг з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм
( Назва Постанови із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )( Із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
Відповідно до частини дев’ятої статті 21 Закону України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус" Кабінет Міністрів України
постановляє:
( Пункт 1 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
2. Міністерству внутрішніх справ у місячний строк привести власні нормативно-правові акти у відповідність з цією постановою.
3. Ця постанова набирає чинності через один місяць з дня її опублікування.
Прем'єр-міністр України | В.ГРОЙСМАН |
Інд. 49 |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 30 листопада 2016 р. № 869
ПОРЯДОК
внесення засобів кваліфікованого електронного підпису до безконтактного електронного носія, що міститься в паспорті громадянина України, та надання кваліфікованих електронних довірчих послуг з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм
( Назва Порядку із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )( У тексті Порядку слова "Закон України "Про електронний цифровий підпис" в усіх відмінках замінено словами " Закон України "Про електронні довірчі послуги" у відповідному відмінку; слова "у сфері електронного цифрового підпису" замінено словами "у сфері електронних довірчих послуг"; слова "надійні засоби електронного цифрового підпису" та "Надійні засоби електронного цифрового підпису" в усіх відмінках замінено відповідно словами "засоби кваліфікованого електронного підпису" та "Засоби кваліфікованого електронного підпису" у відповідному відмінку; слова "послуги електронного цифрового підпису" в усіх відмінках замінено словами "кваліфіковані електронні довірчі послуги" у відповідному відмінку; слова "ключових даних" замінено словом "ключів"; слова "ключів електронного цифрового підпису" замінено словами "ключів кваліфікованого електронного підпису" згідно з Постановою КМ № 876 від 23.09.2020 )
1. Цей Порядок визначає з урахуванням вимог Законів України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус", " Про електронні довірчі послуги", законодавства у сфері електронних довірчих послуг та криптографічного захисту інформації (далі - шифрування), міжнародних стандартів та рекомендацій Міжнародної організації цивільної авіації (ІKАО) механізм здійснення операцій із внесення засобів кваліфікованого електронного підпису, до безконтактного електронного носія, який імплантовано в паспорт громадянина України, їх використання та надання кваліфікованих електронних довірчих послуг з використанням паспорта громадянина України у формі картки.
( Пункт 1 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
2. Для цілей цього Порядку терміни вживаються у такому значенні:
авторизація - процедура отримання дозволу на здійснення операцій із внесення додаткової змінної інформації, визначеної в Законі України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус" до безконтактного електронного носія, інформації до захищених груп даних, а також операцій із зчитування інформації, внесеної до безконтактного електронного носія;
безконтактний електронний носій - безконтактна інтегральна схема, яка імплантована в паспорт громадянина України, призначена для внесення персональних даних, параметрів, у тому числі біометричних, що дає змогу здійснювати комплекс заходів, пов’язаних з верифікацією особи, є захищеним носієм особистих ключів, використовується з метою здійснення комплексу заходів, пов’язаних з ідентифікацією особи, генерацією пар ключів та створенням кваліфікованого електронного підпису, шифруванням;
( Абзац третій пункту 2 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
групи даних - області постійного запам’ятовуючого пристрою безконтактного електронного носія, до яких вноситься інформація, визначена в Законі України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус" ;
захищені групи даних - області постійного запам’ятовуючого пристрою безконтактного електронного носія, до яких вноситься набір електронних даних, за допомогою яких забезпечується можливість підтвердження цілісності даних безконтактного електронного носія, генерації пар ключів та створення кваліфікованого електронного підпису, шифрування;
( Абзац п'ятий пункту 2 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
захищений носій особистих ключів - засіб кваліфікованого електронного підпису, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання;
( Пункт 2 доповнено новим абзацом згідно з Постановою КМ № 876 від 23.09.2020 )
ідентифікація особи - процедура однозначного установлення особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, шляхом порівняння наданих даних (параметрів), у тому числі біометричних, з наявною інформацією про особу в реєстрах, картотеках, базах даних тощо;
( Абзац сьомий пункту 2 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
підписувач - фізична особа, яка на законних підставах отримала паспорт громадянина України з імплантованим безконтактним електронним носієм та володіє особистим ключем, який згенерований та зберігається в захищеній енергонезалежній області пам’яті безконтактного електронного носія, та від свого імені застосовує кваліфікований електронний підпис;
( Абзац восьмий пункту 2 в редакції Постанови КМ № 876 від 23.09.2020 )
ПАК1 - персональний авторизаційний код, який складається з восьми цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для розблокування ПІН1;
ПАК2 - персональний авторизаційний код, який складається з восьми цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для розблокування ПІН2;
ПІН1 - персональний ідентифікаційний номер, який складається з чотирьох цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для ідентифікації та авторизації доступу до безконтактного електронного носія під час здійснення операцій із внесення додаткової змінної інформації до безконтактного електронного носія;
ПІН2 - персональний ідентифікаційний номер, який складається з чотирьох цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для здійснення операцій зчитування із захищених груп даних безконтактного електронного носія.
Інші терміни вживаються в значенні, наведеному в Законі України "Про електронні довірчі послуги" .
3. Кваліфіковані електронні довірчі послуги в частині, що стосується обслуговування кваліфікованих сертифікатів відкритих ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення) фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, надання інформації щодо чинних, скасованих і блокованих кваліфікованих сертифікатів відкритих ключів (далі - сертифікати ключів), формування, перевірки та підтвердження кваліфікованої електронної позначки часу, консультації та інші послуги, визначені Законом України "Про електронні довірчі послуги" , надаються кваліфікованим надавачем електронних довірчих послуг - акредитованим центром сертифікації ключів МВС (далі - центр).
( Пункт 3 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
4. Уповноважені суб’єкти, визначені в Законі України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус" як такі, що мають право видачі паспорта громадянина України, здійснюють представництво центру в порядку, передбаченому Цивільним кодексом України, актами МВС та регламентом роботи центру.
5. На уповноважених суб’єктів, що здійснюють представництво центру, покладається відповідальність за невиконання чи неналежне виконання своїх обов’язків згідно із законодавством у сфері електронних довірчих послуг.
6. Регламент роботи центру розробляється, затверджується керівником центру та погоджується контролюючим органом відповідно до вимог законодавства у сфері електронних довірчих послуг.
7. Уповноважені суб’єкти, які здійснюють представництво центру, виконують такі процедури:
приймання від осіб, які досягли вісімнадцятирічного віку та отримали паспорт громадянина України з імплантованим безконтактним електронним носієм, заяв про реєстрацію в центрі як підписувачів та укладання договорів про надання кваліфікованих електронних довірчих послуг;
ідентифікація особи шляхом перевірки ідентифікаційних даних, які однозначно її визначають (прізвище, ім’я, по батькові (за наявності), унікальний номер запису в Єдиному державному демографічному реєстрі, реєстраційний номер облікової картки платника податків (за наявності), а також відомості про місце реєстрації) та містяться у документах, що нею подаються;
надання в користування засобів кваліфікованого електронного підпису, внесених до паспортів громадянина України з імплантованим безконтактним електронним носієм;
створення умов для генерації ключів безпосередньо особою, яка отримала паспорт громадянина України з імплантованим безконтактним електронним носієм;
надання допомоги під час генерації ключів.
( Пункт 7 в редакції Постанови КМ № 876 від 23.09.2020 )
8. Особливості надання кваліфікованих електронних довірчих послуг особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, визначаються регламентом роботи центру.
Особливості надання кваліфікованих електронних довірчих послуг особам з інвалідністю та забезпечення їх засобами кваліфікованого електронного підпису, що внесені до паспорта громадянина України з імплантованим безконтактним електронним носієм, визначаються регламентом роботи центру та актами МВС.
( Абзац другий пункту 8 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
9. Внесення засобів кваліфікованого електронного підпису до безконтактного електронного носія, імплантованого в паспорт громадянина України, здійснюється на етапі виготовлення бланків документів з урахуванням вимог Закону України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус" .
( Пункт 9 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
10. Засоби кваліфікованого електронного підпису, які вносяться до безконтактного електронного носія, імплантованого в паспорт громадянина України, повинні забезпечувати:
( Абзац перший пункту 10 в редакції Постанови КМ № 876 від 23.09.2020 )
генерацію в захищеній енергонезалежній області пам’яті безконтактного електронного носія особистого та відкритого ключів, які використовуються для створення та перевірки кваліфікованого електронного підпису, і особистого та відкритого ключів, які використовуються для протоколу узгодження ключів шифрування;
( Абзац другий пункту 10 в редакції Постанови КМ № 876 від 23.09.2020 )
можливість зберігання в захищеній енергонезалежній області пам’яті безконтактного електронного носія не менше п’яти пар особистих ключів, які використовуються для створення та перевірки кваліфікованого електронного підпису та для протоколу узгодження ключів шифрування;
( Абзац третій пункту 10 в редакції Постанови КМ № 876 від 23.09.2020 )
захист від несанкціонованого доступу до функцій криптографічних перетворень (виклик таких функцій здійснюється після введення ПІН2);
неможливість безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.
11. Центр повинен забезпечувати відповідність сертифікатів ключів вимогам законодавства у сфері електронних довірчих послуг.
12. Генерація першої пари ключів, які використовуються для створення та перевірки кваліфікованого електронного підпису, та першої пари ключів, які використовуються для протоколу узгодження ключів шифрування, здійснюється особою, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, в уповноваженого суб’єкта, що здійснює представництво центру, за допомогою програмних засобів робочої станції для оформлення та видачі документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус, з комплектом обладнання для зняття біометричних даних (параметрів) і реєстрації/зняття з реєстрації місць проживання/перебування громадян України, іноземців та осіб без громадянства (далі - робоча станція для оформлення та видачі паспортних документів).
( Пункт 12 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
13. Програмні засоби робочої станції для оформлення та видачі паспортних документів повинні забезпечувати виклик функцій криптографічних перетворень, спрямованих на генерацію перших пар ключів у засобах кваліфікованого електронного підпису, внесених до паспорта громадянина України з імплантованим безконтактним електронним носієм, лише після зміни початкових значень ПІН1 (ПІН2) та ПАК1 (ПАК2).
14. Зміна початкових значень ПІН1 (ПІН2) та ПАК1 (ПАК2) повинна здійснюватись особисто особою, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, після її ідентифікації працівником уповноваженого суб’єкта, що здійснює представництво центру.
15. Після генерації пар ключів програмними засобами робочої станції для оформлення та видачі паспортних документів формуються та автоматично надсилаються до Головного обчислювального центру Єдиного державного демографічного реєстру запити на реєстрацію фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, як підписувача та запити на формування сертифікатів ключів кваліфікованого електронного підпису та шифрування (далі - запити).
16. Запит на реєстрацію фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, як підписувача містить дані про фізичну особу, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, які необхідні для подальшого формування центром сертифікатів ключів.
17. Запит на формування сертифікатів ключів кваліфікованого електронного підпису та шифрування містить відповідні відкриті ключі, що отримані під час генерації пар ключів, та формується відповідно до міжнародних рекомендацій у сфері забезпечення інтероперабельності системи кваліфікованого електронного підпису RFC 2986 "PKCS #10: Certification Request Syntax Specification".
( Пункт 17 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
18. Програмними засобами Головного обчислювального центру Єдиного державного демографічного реєстру через програмні засоби віддалених автоматизованих робочих місць забезпечується доступ уповноважених працівників уповноваженого суб’єкта, що здійснює представництво центру, до процесів обробки запитів. Результатом обробки запитів є передача їх до центру для формування відповідних сертифікатів ключів.
( Пункт 18 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
19. Інформація про всі події, пов’язані із формуванням та відправкою запитів, вноситься до журналу реєстрації подій Єдиної інформаційно-аналітичної системи управління міграційними процесами ДМС (далі - відомча інформаційна система) із забезпеченням ідентифікації ініціатора події - працівника уповноваженого суб’єкта, що здійснює представництво центру, за допомогою сертифіката ключа, власником якого є зазначений працівник.
20. Після отримання запитів центр автоматично формує відповідне електронне підтвердження та передає його до Головного обчислювального центру Єдиного державного демографічного реєстру, здійснює реєстрацію особи у власному реєстрі підписувачів, проводить перевірку унікальності відкритих ключів та за результатами перевірки, якщо ключі унікальні, формує сертифікати ключів кваліфікованого електронного підпису і шифрування в автоматичному режимі.
21. Результат обробки запитів передається центром до відомчої інформаційної системи у вигляді повідомлення, яке містить відповідно реєстраційний номер підписувача в реєстрі підписувачів центру та відомості про чинність сформованих сертифікатів ключів кваліфікованого електронного підпису та шифрування власника паспорта.
22. Публікація сформованих сертифікатів ключів кваліфікованого електронного підпису та шифрування здійснюються автоматично на електронному інформаційному ресурсі центру.
23. Початком строку дії особистих ключів вважається дата та час формування сертифікатів ключів кваліфікованого електронного підпису та шифрування, що містять відкриті ключі відповідної пари ключів. Строк дії особистих ключів дорівнює строку чинності відповідних сертифікатів ключів.
24. Генерація чергових пар особистих та відкритих ключів для кваліфікованого електронного підпису та шифрування здійснюється фізичною особою, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, особисто з використанням засобів кваліфікованого електронного підпису та дотриманням вимог інструкції щодо порядку генерації ключів і поводження (облік, зберігання, знищення) з ключовими документами (далі - інструкція).
( Пункт 24 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
25. Засоби кваліфікованого електронного підпису разом з інструкціями до них надаються центром шляхом передачі таких засобів на носіях інформації безпосередньо фізичній особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, або шляхом надання доступу через електронний інформаційний ресурс центру. Засоби кваліфікованого електронного підпису можуть надаватися у вигляді окремих програмних додатків або програмних модулів (криптобібліотек), що функціонують у складі інших програмних додатків.
26. Центр та уповноважені суб’єкти, що здійснюють представництво центру, можуть надавати допомогу в генерації чергових пар особистих та відкритих ключів кваліфікованого електронного підпису та шифрування безпосередньо в офісах у разі їх особистого відвідування фізичними особами, на ім’я яких оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм.
27. Засоби кваліфікованого електронного підпису, що надаються центром, повинні забезпечувати формування запитів, а також надіслання таких запитів до центру для формування чергових сертифікатів ключів кваліфікованого електронного підпису та шифрування.
Засоби кваліфікованого електронного підпису можуть надаватися фізичним особам, на ім’я яких оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, іншими суб’єктами правових відносин у сфері електронних довірчих послуг за умови, що такі засоби електронного цифрового підпису мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації та є сумісними з програмним забезпеченням центру.
( Абзац другий пункту 27 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
28. Формування чергових сертифікатів ключів кваліфікованого електронного підпису та шифрування за отриманими запитами здійснюється центром автоматично. При цьому здійснюється скасування попередньо сформованих сертифікатів ключів.
29. У разі закінчення строку дії паспорта громадянина України з імплантованим безконтактним електронним носієм, його повернення державі, визнання недійсним та знищення автоматично формується та надсилається до центру з використанням засобів відомчої інформаційної системи запит на скасування чинних сертифікатів ключів кваліфікованого електронного підпису та шифрування фізичної особи, на ім’я якої оформлено паспорт. Після надходження зазначеного запиту центр здійснює скасування відповідних сертифікатів ключів та надсилає до відомчої інформаційної системи повідомлення із зазначенням результату його обробки.
30. У разі тимчасового вилучення паспорта громадянина України з імплантованим безконтактним електронним носієм чинні сертифікати ключів кваліфікованого електронного підпису та шифрування фізичної особи, на ім’я якої оформлено паспорт, повинні бути заблоковані на підставі заяви про блокування сертифікатів ключів, поданої підписувачем до центру в порядку, передбаченому регламентом роботи центру.
( Абзац перший пункту 30 із змінами, внесеними згідно з Постановою КМ № 876 від 23.09.2020 )
З метою забезпечення захисту особистого ключа від компрометації підписувач, на ім’я якого оформлено тимчасово вилучений паспорт громадянина України з імплантованим безконтактним електронним носієм, зобов’язаний не розголошувати та не повідомляти особам, якими вилучено паспорт, пароль доступу до особистого ключа (значення ПІН1 (ПІН2) та ПАК1 (ПАК2) та ключову фразу для голосової автентифікації.
31. Після повернення підписувачу тимчасово вилученого паспорта громадянина України з імплантованим безконтактним електронним носієм поновлення заблокованих сертифікатів ключів, строк чинності яких не закінчився, здійснюється за ініціативою підписувача на підставі поданої до центру заяви на поновлення сертифікатів ключів у порядку, передбаченому регламентом роботи центру.
Якщо строк чинності сертифікатів ключів фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, закінчився, генерація чергових пар особистих та відкритих ключів кваліфікованого електронного підпису і шифрування, формування чергових сертифікатів ключів здійснюються відповідно до пунктів 24-28 цього Порядку.
32. Процедури блокування, поновлення та скасування сертифікатів ключів кваліфікованого електронного підпису та шифрування в інших випадках, передбачених Законом України "Про електронні довірчі послуги" , здійснюються відповідно до регламенту роботи центру.
33. Захист персональних даних фізичних осіб, на ім’я яких оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, здійснюється відповідно до законодавства у сфері захисту персональних даних.