КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 19 червня 2019 р. № 546 Київ |
Про затвердження Положення про інтегровану систему електронної ідентифікації
( Із змінами, внесеними згідно з Постановою КМ № 1068 від 11.12.2019 )
Відповідно до частини другої статті 6 Закону України "Про електронні довірчі послуги" Кабінет Міністрів України
постановляє:
Затвердити Положення про інтегровану систему електронної ідентифікації, що додається.
Прем'єр-міністр України | В.ГРОЙСМАН |
Інд. 49 |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 19 червня 2019 р. № 546
ПОЛОЖЕННЯ
про інтегровану систему електронної ідентифікації
Загальні питання
1. Це Положення визначає порядок призначення, визначення структури, функціонування інтегрованої системи електронної ідентифікації, її створення та використання.
2. У цьому Положенні терміни вживаються у такому значенні:
електронна комунікація - процес здійснення обміну інформацією між підприємствами, установами та організаціями незалежно від форми власності та інформаційними ресурсами за допомогою електронних засобів зв’язку і обробки інформації;
електронний сервіс (сервіс) - ідентифіковане за веб-адресою програмне забезпечення, що здійснює взаємодію інформаційних систем під час обміну даними, необхідними для надання електронних послуг, і має стандартизовані інтерфейси;
інтегрована система електронної ідентифікації (далі - система) -інформаційно-телекомунікаційна система, яка призначена для технологічного забезпечення зручної, доступної та безпечної електронної ідентифікації та автентифікації користувачів системи, сумісності та інтеграції схем електронної ідентифікації, їх взаємодії з офіційними веб-сайтами (веб-порталами), інформаційними системами органів державної влади, органів місцевого самоврядування, юридичних осіб і фізичних осіб - підприємців, забезпечення захисту інформації та персональних даних з використанням єдиних вимог, форматів, протоколів та класифікаторів, а також задоволення інших потреб, визначених актами законодавства;
користувачі системи - фізичні та юридичні особи, фізичні особи - підприємці, які звертаються до інформаційно-телекомунікаційних систем суб’єктів взаємодії та проходять електронну ідентифікацію за допомогою системи з використанням засобів електронної ідентифікації, функціонування яких забезпечується системою, та у визначеному законодавством порядку надали згоду на обробку своїх персональних даних;
маркер (ідентифікатор) доступу - об’єкт з унікальним атрибутом, що визначає повноваження суб’єкта взаємодії для доступу до інформаційного ресурсу;
постачальник послуг з електронної ідентифікації - юридична особа, фізична особа - підприємець, що виготовляє засоби електронної ідентифікації, за якими здійснюється електронна ідентифікація;
програмний інтерфейс - набір визначених підпрограм та протоколів обміну інформацією для взаємодії різних програмних компонентів;
проміжні вузли електронної ідентифікації (хаби) - об’єкти інфраструктури послуг з електронної ідентифікації та їх інформаційно-телекомунікаційні системи, які створюються кваліфікованими надавачами електронних довірчих послуг та іншими суб’єктами для схем електронної ідентифікації, що затверджуються Кабінетом Міністрів України;
протокол визначення статусу сертифіката - протокол обміну інформацією під час інтерактивного визначення статусу сертифіката відкритого ключа за запитами користувачів системи;
протокол обміну інформацією - перелік форматів переданих блоків даних, набір правил їх обробки і правил взаємодії інформаційно-телекомунікаційних систем на одному рівні;
протокол управління сертифікатом - протокол обміну інформацією під час інтерактивного отримання сертифіката та відомостей про його статус за запитами користувачів системи;
транскордонна електронна ідентифікація - електронна ідентифікація користувачів системи, які розташовані в іншій країні, ніж постачальник послуг з електронної ідентифікації;
прикладний програмний інтерфейс - інтерфейс програмування, призначений для підключення інформаційно-телекомунікаційних систем суб’єктів взаємодії до інтегрованої системи електронної ідентифікації.
Інші терміни вживаються у значенні, наведеному в Законах України "Про інформацію", "Про Національну програму інформатизації", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про телекомунікації", "Про захист персональних даних", "Про електронні довірчі послуги", "Про основні засади забезпечення кібербезпеки України", вимогах у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 7 листопада 2018 р. № 992 (Офіційний вісник України, 2018 р., № 98, ст. 3227).
3. Метою системи є забезпечення відповідно до схем електронної ідентифікації доступу користувачів системи до електронних послуг, які надаються органами державної влади, органами місцевого самоврядування, юридичними особами і фізичними особами - підприємцями, та їх сервісів, функціонування електронного документообігу, провадження іншої діяльності із застосуванням електронної ідентифікації.
4. Система є складовою частиною інформаційно-телекомунікаційної інфраструктури, що забезпечує електронну взаємодію суб’єктів взаємодії з користувачами системи та забезпечує:
проведення регламентних процедур та електронної ідентифікації користувачів системи для отримання ними електронних послуг, доступу до сервісів;
взаємодію та сумісність з інформаційно-телекомунікаційними системами, які реалізують схеми електронної ідентифікації, та інформаційно-телекомунікаційними системами;
дотримання вимог законодавства щодо захисту інформації та персональних даних;
розвиток системи у напрямі інтеграції до інформаційно-телекомунікаційних систем для транскордонної електронної ідентифікації;
інтеграцію інформаційно-телекомунікаційних систем суб’єктів взаємодії до системи.
5. Власником системи є держава.
Держателем та замовником системи є Мінцифри (далі - держатель системи).
( Абзац другий пункту 5 із змінами, внесеними згідно з Постановою КМ № 1068 від 11.12.2019 )
Володільцем інформації, що обробляється в системі, є держатель системи.
Держатель системи:
забезпечує створення, модернізацію системи, впровадження комплексної системи захисту інформації з підтвердженою відповідністю та приймає взаємоузгоджені управлінські рішення стосовно її подальшого розвитку та вдосконалення;
затверджує порядок обробки інформації в системі, інтеграції інформаційно-телекомунікаційних систем до системи, регламент роботи системи та примірний договір про приєднання до системи;
здійснює контроль за дотриманням суб’єктами взаємодії вимог законодавства щодо використання інформаційних ресурсів;
здійснює методичне та методологічне забезпечення функціонування системи;
проводить систематичний моніторинг та аналіз ефективності функціонування системи;
організовує інтеграцію державних інформаційних систем до системи;
проводить аналіз структури та змісту інформаційних ресурсів системи з метою підвищення рівня інформаційної взаємодії її суб’єктів.
6. Технічним адміністратором системи (далі - технічний адміністратор) є державне підприємство "ДІЯ".
( Пункт 6 в редакції Постанови КМ № 1068 від 11.12.2019 )
7. Технічний адміністратор:
1) забезпечує:
адміністрування, технічну підтримку та безперебійне функціонування системи;
електронну інформаційну взаємодію користувачів системи, суб’єктів та об’єктів взаємодії;
здійснення заходів щодо захисту системи;
доступ суб’єктів взаємодії до системи відповідно до цього Положення та регламенту роботи системи;
збереження інформації, що обробляється в системі;
2) здійснює:
позбавлення доступу суб’єктів взаємодії до системи відповідно до законодавства;
ведення електронного обліку суб’єктів взаємодії, які приєднані до системи, з фіксуванням відомостей про дату і час отримання доступу, обсяг інформації, до якої отримано доступ;
технічну та інформаційну підтримку суб’єктів взаємодії та користувачів системи за допомогою веб-ресурсів, телефонного інформаційного центру тощо;
3) проводить:
постійний моніторинг технічного стану системи;
навчання суб’єктів взаємодії та користувачів системи під час її функціонування та удосконалення;
4) бере участь у модернізації програмного забезпечення системи;
5) здійснює інші заходи, пов’язані з функціонуванням системи.
8. Суб’єктами взаємодії є:
органи державної влади, органи місцевого самоврядування, їх посадові особи;
юридичні особи і фізичні особи - підприємці;
надавачі електронних довірчих послуг та постачальники послуг електронної ідентифікації;
адміністратори проміжних вузлів електронної ідентифікації (хабів);
технічний адміністратор;
держатель системи.
9. Об’єктами взаємодії є:
засоби електронної ідентифікації, що підпадають під схеми електронної ідентифікації, які використовують користувачі системи для здійснення процедур електронної ідентифікації;
інформаційно-телекомунікаційні системи органів державної влади, органів місцевого самоврядування;
інформаційно-телекомунікаційні системи юридичних осіб і фізичних осіб - підприємців;
інформаційно-телекомунікаційні системи, які реалізують схеми електронної ідентифікації;
інформаційно-телекомунікаційні системи, які реалізують схеми електронної ідентифікації в рамках транскордонної електронної ідентифікації.
10. Система функціонує цілодобово сім днів на тиждень.
11. Доступ до системи здійснюється через відкритий інформаційний ресурс, який має офіційну адресу в Інтернеті (https://id.gov.ua).
12. Регламент роботи системи повинен визначати організаційно-методологічні, технічні та технологічні умови функціонування системи, вимоги щодо ідентифікації та автентифікації суб’єктів взаємодії під час підключення до системи, процедури захищеного обміну та управління інформаційними потоками під час транскордонної електронної ідентифікації.
13. Обробка та захист інформації в системі здійснюються відповідно до вимог Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах", а також інших нормативно-правових актів.
Завдання та функціональні можливості системи
14. Завданнями системи є:
створення сучасної інфраструктури електронної ідентифікації в Україні та забезпечення її сталого розвитку;
забезпечення інтероперабельності (сумісності) засобів, проміжних вузлів електронної ідентифікації (хабів) та схем електронної ідентифікації;
створення довірчого середовища у кіберпросторі України та мотивування суб’єктів взаємодії та користувачів системи до використання електронних послуг;
захист інформаційних ресурсів, які обробляються в системі.
15. Функціональні можливості системи забезпечують:
захист даних від несанкціонованого доступу, знищення, модифікації шляхом здійснення організаційних і технічних заходів, упровадження засобів та методів технічного захисту інформації;
розмежування та здійснення контролю за доступом користувачів та суб’єктів взаємодії до інформації;
реєстрацію подій, що стосуються безпеки системи;
наявність зрозумілих для суб’єктів взаємодії та користувачів системи програмних інтерфейсів;
електронну ідентифікацію та автентифікацію користувачів та суб’єктів взаємодії, створення та перевірку кваліфікованого електронного підпису;
отримання та передачу даних про керівника юридичної особи, інших осіб, які можуть вчиняти дії від імені юридичної особи, фізичну особу - підприємця, осіб, які можуть вчиняти дії від імені фізичної особи - підприємця, а також про наявність обмежень щодо представництва юридичної особи і фізичної особи - підприємця, що містяться в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань.
16. Доступ суб’єктів взаємодії до системи надається відповідно до регламенту роботи системи на підставі договору, укладеного з держателем системи.
17. Суб’єкти взаємодії використовують прикладні програмні інтерфейси, доступ до яких надає технічний адміністратор.
18. Система має функціональні можливості для електронної комунікації в режимі реального часу користувачів та суб’єктів взаємодії.
Структура системи
19. Система розміщується на програмно-апаратному комплексі держателя системи.
Програмно-апаратні комплекси (основний та резервний) і технічні засоби системи розміщуються у приміщеннях держателя системи, технічного адміністратора або іншому приміщенні на підставі договору, укладеного з власником приміщення, з дотриманням вимог щодо захисту інформації.
20. Система створюється із забезпеченням сумісності та взаємодії з іншими інформаційними системами та мережами і забезпечує можливість отримання ідентифікаційних даних із засобів електронної ідентифікації, виданих у різних схемах електронної ідентифікації.
21. Система складається з:
підсистеми взаємодії із схемами електронної ідентифікації кваліфікованих надавачів електронних довірчих послуг;
підсистем взаємодії із схемами електронної ідентифікації;
підсистеми верифікації відомостей щодо юридичних осіб і фізичних осіб - підприємців;
підсистеми управління;
комплексної системи захисту інформації.
Функції підсистем
22. Підсистема взаємодії із схемами електронної ідентифікації кваліфікованих надавачів електронних довірчих послуг забезпечує виконання таких функцій:
автентифікацію інформаційно-телекомунікаційних систем суб’єктів взаємодії;
автентифікацію кваліфікованих надавачів електронних довірчих послуг;
автентифікацію користувачів системи, які звертаються до інформаційно-телекомунікаційних систем, з використанням особистих ключів та кваліфікованих сертифікатів відкритих ключів за запитами інформаційно-телекомунікаційних систем;
захищений обмін інформацією з інформаційно-телекомунікаційними системами кваліфікованих надавачів електронних довірчих послуг;
передачу ідентифікаційних даних користувачів системи, які успішно пройшли автентифікацію, до інформаційно-телекомунікаційних систем;
взаємодію з кваліфікованими надавачами електронних довірчих послуг за протоколами визначення статусу сертифікатів відкритих ключів та додатково за протоколом управління сертифікатами.
23. Підсистеми взаємодії із схемами електронної ідентифікації забезпечують виконання таких функцій:
автентифікацію інформаційно-телекомунікаційних систем суб’єктів взаємодії;
автентифікацію інформаційно-телекомунікаційних систем схем електронної ідентифікації;
автентифікацію користувачів системи, які звертаються до інформаційно-телекомунікаційних систем, з використанням засобів електронної ідентифікації за запитами інформаційно-телекомунікаційних систем;
захищений обмін інформацією із схемами електронної ідентифікації;
передачу ідентифікаційних даних користувачів системи, які успішно пройшли автентифікацію за допомогою схем електронної ідентифікації, до інформаційно-телекомунікаційних систем надання електронних послуг;
взаємодію з кваліфікованими надавачами електронних довірчих послуг.
24. Підсистема верифікації відомостей щодо юридичних осіб і фізичних осіб - підприємців забезпечує отримання та передачу відомостей з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань про керівника юридичної особи, інших осіб, які можуть вчиняти дії від імені юридичної особи, фізичну особу - підприємця, осіб, які можуть вчиняти дії від імені фізичної особи - підприємця, а також про наявність обмежень щодо представництва юридичної особи і фізичної особи - підприємця в осіб, які звертаються до інформаційно-телекомунікаційних систем суб’єктів взаємодії з використанням особистих ключів та кваліфікованих сертифікатів відкритих ключів за запитами інформаційно-телекомунікаційних систем з метою проведення перевірки повноважень таких осіб.
25. Підсистема управління забезпечує виконання таких функцій:
надання програмних інтерфейсів взаємодії, маркерів (ідентифікаторів) доступу та забезпечення управління потоками цифрових даних між суб’єктами взаємодії відповідно до регламенту роботи системи;
управління технічними ресурсами системи відповідно до регламенту роботи системи;
управління засобами електроживлення та життєзабезпечення;
реєстрацію подій в системі та сповіщення про виникнення аварійної ситуації.
Вимоги до захисту інформації, яка обробляється в системі
26. Інформація, яка обробляється в системі, повинна бути захищена відповідно до вимог законодавства у сфері захисту інформації.
27. Захист інформації, яка оброблюється в системі, забезпечується комплексною системою захисту інформації системи з підтвердженою відповідністю.
28. Комплексна система захисту інформації системи повинна забезпечувати виконання таких основних функцій:
розмежування доступу користувачів системи та суб’єктів взаємодії до захищених ресурсів системи;
регламентацію дій користувачів системи та суб’єктів взаємодії під час доступу та обробки захищених ресурсів системи;
ідентифікацію та автентифікацію користувачів системи та суб’єктів взаємодії, у тому числі під час транскордонної електронної ідентифікації;
перевірку повноважень користувачів системи та суб’єктів взаємодії і надання їм права на виконання певних дій з обробки захищених ресурсів;
реєстрацію подій, пов’язаних з доступом до захищених ресурсів системи, результатів ідентифікації та автентифікації користувачів системи та суб’єктів взаємодії, фактів зміни повноважень користувачів системи та суб’єктів взаємодії, результатів перевірки цілісності засобів захисту інформації, транскордонної електронної ідентифікації тощо;
блокування несанкціонованих дій щодо захищених ресурсів системи;
захист захищених ресурсів системи під час їх передачі через незахищене середовище;
захист системи від мережевих атак з Інтернету;
антивірусний захист інформації, яка обробляється в системи;
цілісність програмного забезпечення, яке використовується для обробки захищених ресурсів системи.
29. Робоча документація щодо комплексу засобів захисту від несанкціонованого доступу повинна містити описи таких процедур:
інсталяції та ініціалізації комплексу;
налагодження всіх механізмів розмежування доступу користувачів системи та суб’єктів взаємодії до інформації та апаратних ресурсів системи;
здійснення контролю за діями користувачів системи та суб’єктів взаємодії;
формування та актуалізації баз даних захисту;
здійснення контролю за цілісністю програмного забезпечення і баз даних захисту.
30. Забезпечення конфіденційності, цілісності і доступності інформації, яка обробляється в системі, розмежування доступу користувачів системи та суб’єктів взаємодії до захищених ресурсів системи здійснюється згідно з планом захисту інформації в системі.
31. Організація та проведення робіт із захисту інформації в системі здійснюються службою захисту інформації, яка визначає вимоги до захисту інформації в системі, проектує, розробляє та модернізує комплексну систему захисту інформації, а також виконує роботи з її експлуатації та контролює стан захищеності інформації.
32. Функції служби захисту інформації покладаються на технічного адміністратора.
33. Фінансове забезпечення заходів, пов’язаних із створенням, модернізацією, розвитком системи, а також адмініструванням, супроводженням та технічним обслуговуванням, здійснюється за рахунок коштів державного бюджету, що передбачаються для держателя системи, а також коштів міжнародної технічної допомоги та інших джерел, не заборонених законодавством.
34. Інтеграція інформаційно-телекомунікаційних систем органів державної влади, органів місцевого самоврядування до системи здійснюється за рахунок коштів державного і місцевих бюджетів, а також інших джерел, не заборонених законодавством.
Інтеграція інформаційно-телекомунікаційних систем суб’єктів взаємодії, крім тих, що зазначені в абзаці першому пункту 34 цього Положення, до системи здійснюється за рахунок власних коштів таких суб’єктів.