МІНІСТЕРСТВО ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ
НАКАЗ
| 12.12.2023 № 178 |
Зареєстровано в Міністерстві
юстиції України
30 січня 2024 р.
за № 158/41503
Про затвердження Методики перевірки дотримання вимог, зокрема обов’язкових елементів технічних специфікацій та процедур організаційних, методологічних, технічних та технологічних умов використання засобів електронної ідентифікації залежно від рівнів довіри до них
Відповідно до абзацу третього пункту 7 Порядку проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування, затвердженого постановою Кабінету Міністрів України від 28 квітня 2023 року № 417, пунктів 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, НАКАЗУЮ:
1. Затвердити Методику перевірки дотримання вимог, зокрема обов’язкових елементів технічних специфікацій та процедур організаційних, методологічних, технічних та технологічних умов використання засобів електронної ідентифікації залежно від рівнів довіри до них, що додається.
2. Директорату розвитку цифровізації (Халєєва А.П.) подати цей наказ на державну реєстрацію до Міністерства юстиції України в установленому законодавством порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на першого заступника Міністра Вискуба О.А.
| Віце-прем’єр-міністр України з інновацій, розвитку освіти, науки та технологій - Міністр | М. Федоров |
| ПОГОДЖЕНО: Заступник Голови Державної служби спеціального зв’язку та захисту інформації України | О. Потій |
ЗАТВЕРДЖЕНО
Наказ Міністерства
цифрової трансформації України
12 грудня 2023 року № 178
Зареєстровано в Міністерстві
юстиції України
30 січня 2024 р.
за № 158/41503
МЕТОДИКА
перевірки дотримання вимог, зокрема обов’язкових елементів технічних специфікацій та процедур організаційних, методологічних, технічних та технологічних умов використання засобів електронної ідентифікації залежно від рівнів довіри до них
I. Загальні положення
1. Ця Методика визначає основні вимоги, сукупність процедур, послідовність дій та етапів проведення оцінки відповідності у сфері електронної ідентифікації (далі - оцінка відповідності).
2. У цій Методиці терміни вживаються в таких значеннях:
вимоги - вимоги у сфері електронних довірчих послуг, затверджені постановою Кабінету Міністрів України від 07 листопада 2018 року № 992;
компоненти послуг електронної ідентифікації (далі - компоненти послуг) - складові частини (окремі етапи) надання послуг електронної ідентифікації, що провадяться персоналом надавача послуг з електронної ідентифікації та/або партнерами та підрядниками (відокремленими пунктами реєстрації) надавача послуг електронної ідентифікації;
критерії оцінки відповідності - чіткі та однозначні умови, яким повинні відповідати замовники оцінки відповідності та послуги, які ними надаються, визначені Законом України "Про електронну ідентифікацію та електронні довірчі послуги" та законодавчими актами, прийнятими на його виконання, а також національними стандартами, що застосовуються надавачами послуг електронної ідентифікації під час надання послуг електронної ідентифікації;
методологія оцінки відповідності - сукупність заходів, які вживаються, а також принципів та способів діяльності (методів), що використовуються під час оцінки відповідності органом з оцінки відповідності;
наглядові органи - центральний засвідчувальний орган та контролюючий орган, що здійснюють свої повноваження відповідно до Закону України "Про електронну ідентифікацію та електронні довірчі послуги";
об’єкти оцінки відповідності - замовники оцінки відповідності, інформаційно-комунікаційна система, засоби електронної ідентифікації, засоби кваліфікованого електронного підпису, а також послуги електронної ідентифікації.
Інші терміни, що вживаються у цій Методиці, застосовуються у значеннях, визначених у Законі України "Про електронну ідентифікацію та електронні довірчі послуги", вимогах у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992, Порядку проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування, затвердженому постановою Кабінету Міністрів України від 28 квітня 2023 року № 417.
3. Орган з оцінки відповідності під час оцінки відповідності перевіряє дотримання вимог, зокрема обов’язкових елементів технічних специфікацій та процедур організаційних, методологічних, технічних та технологічних умов використання засобів електронної ідентифікації залежно від рівнів довіри до них, замовником оцінки відповідності та послугами, які ним надаються, визначеними Законом України "Про електронну ідентифікацію та електронні довірчі послуги" та законодавчими актами, прийнятими на його виконання, а також національними стандартами, що застосовуються надавачами послуг електронної ідентифікації під час надання послуг електронної ідентифікації, враховуючи вимоги цієї Методики.
4. Оцінка відповідності повинна включати два етапи:
1) перший етап оцінки відповідності (далі - етап 1) передбачає проведення оцінки відповідності документації з метою планування другого етапу шляхом визначення структури та обсягу послуг електронної ідентифікації, що надаються замовником оцінки відповідності;
2) другий етап оцінки відповідності (далі - етап 2) передбачає виїзний плановий або позаплановий захід, що здійснюється за місцезнаходженням об’єкта оцінки відповідності та передбачає підтвердження результатів попереднього аудиторського звіту та завершення оцінки відповідності перевірених послуг.
5. За результатами етапів 1 та 2 оцінки відповідності складається відповідний аудиторський звіт, який містить висновки про відповідність (у повному обсязі) або невідповідність об’єкта оцінки відповідності вимогам до надавачів послуг електронної ідентифікації, а також послуг, що ними надаються. Під час встановлення інтервалу між етапами 1 та 2 оцінки відповідності необхідно враховувати потреби замовника оцінки відповідності для вирішення виправлення недоліків, виявлених під час проведення етапу 1.
Орган з оцінки відповідності повинен інформувати замовника оцінки відповідності про всі висновки описані в аудиторському звіті із зазначенням їх впливу на безпеку та/або здатність надавати послуги електронної ідентифікації.
II. Основні вимоги щодо оцінки документації (етап 1)
6. Документація, яка підлягає оцінці відповідності, повинна включати документи, що описують замовника оцінки відповідності; організацію надання послуг електронної ідентифікації; договори (накази), на підставі яких надаються послуги (виконуються роботи) партнерами, підрядниками (відокремленими пунктами реєстрації тощо); договори з користувачами послуг електронної ідентифікації та третіми сторонами; документи, що описують відповідність надавача послуг електронної ідентифікації, критеріям оцінки відповідності; документи, що визначають політику та практику, що використовуються для надання послуг електронної ідентифікації, а також перелік документів, пов’язаних із технічним впровадженням та управлінням надання послуг електронної ідентифікації, включаючи відповідні плани, політики, процеси, процедури, а також робочі інструкції, зокрема записи та/або журнали, що підтверджують їх виконання.
7. Відповідно до наданої документації, яка підлягає оцінці відповідності, етап 1 має включати перевірку записів щодо замовника оцінки, механізмів покриття відповідальності, договірних відносин між замовником оцінки відповідності та його партнерами, підрядниками (відокремленими пунктами реєстрації), які експлуатують або забезпечують надання компонентів послуг, внутрішні/зовнішні аудити або оцінки відповідності, перевірка управління безпекою.
8. Орган з оцінки відповідності відображає результати етапу 1 в аудиторському звіті відповідно до ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) "Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг", затвердженого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 16 грудня 2021 року № 512.
III. Основні вимоги щодо оцінки за місцем провадження діяльності (етап 2)
9. Після завершення всіх заходів етапу 1 орган з оцінки відповідності розпочинає етап 2.
10. На етапі 2 підтверджується відповідність замовника оцінки відповідності та послуг, які ним надаються, його власним політикам і процедурам, а також критеріям оцінки відповідності.
11. Критерії оцінки відповідності встановлюються в частині:
1) окремих властивостей функцій, що впливають на надання послуг електронної ідентифікації (схеми електронної ідентифікації), а саме:
управління інформаційною безпекою;
ведення документації;
приміщення та персонал;
технічні заходи;
2) способів ідентифікації особи, що означає певні властивості засобу електронної ідентифікації, а саме:
подання заявки та реєстрація;
підтвердження та верифікація тотожності особи;
характеристика та дизайн засобів електронної ідентифікації;
випуск, доставка та активація;
призупинення, відкликання та повторна активація;
відновлення та заміна;
механізми автентифікації.
12. Під час оцінки відповідності оцінюється відповідність засобів електронної ідентифікації, що видаються надавачами послуг електронної ідентифікації та надавачами електронних довірчих послуг в процесі надання ними відповідних послуг.
Відповідність засобів електронної ідентифікації та послуг, в процесі яких вони видаються надавачами послуг електронної ідентифікації та надавачами електронних довірчих послуг, оцінюється за загальними критеріями, наведеними у Контрольному списку загальних критеріїв оцінки відповідності засобів електронної ідентифікації та послуг, в процесі яких вони видаються надавачами послуг електронної ідентифікації, надавачами електронних довірчих послуг, за формою згідно з додатком до цієї Методики.
13. На основі переданих замовником оцінки відповідності доказів, записів та журналів аудиту подій щодо надання послуг електронної ідентифікації орган з оцінки відповідності підтверджує відповідність:
впровадження законодавчих вимог до послуг електронної ідентифікації;
процесів та процедур, пов’язаних з наданням послуг електронної ідентифікації;
продуктів, пов’язаних з наданням послуг електронної ідентифікації;
заходів інформаційної безпеки щодо надання послуг електронної ідентифікації;
фізичної безпеки відповідних приміщень за місцем провадження діяльності замовника оцінки відповідності.
14. За результатами етапу 2 орган з оцінки відповідності надає аудиторський звіт з усіма результатами та іншими відповідними деталями оцінки відповідності.
ІV. Основні вимоги щодо оформлення результатів оцінки відповідності
15. Після завершення етапів 1 та 2 орган з оцінки відповідності видає замовнику оцінки відповідності аудиторський звіт, що повинен містити відомості, зазначені в абзацах п’ятому - сімнадцятому пункту 7 Порядку проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування, затвердженого постановою Кабінету Міністрів України від 28 квітня 2023 року № 417.
16. Основою для прийняття рішення щодо відповідності вимогам до надавачів послуг електронної ідентифікації, що ними надаються, є звіти, підготовлені органом з оцінки відповідності.
Зазначені звіти повинні надавати необхідну інформацію, що є підставою для:
1) прийняття органом з оцінки відповідності рішення щодо оцінки відповідності;
2) проведення перевірки контролюючим органом для підтвердження відповідності вимогам до надавачів послуг електронної ідентифікації та послуг, що ними надаються, встановленим у Законі України "Про електронну ідентифікацію та електронні довірчі послуги" та законодавчих актів, прийнятих на його виконання.
17. За результатами проведення оцінки відповідності органом з оцінки відповідності приймається одне з таких рішень:
1) про відповідність об’єкта оцінки відповідності у повному обсязі;
2) про невідповідність об’єкта оцінки відповідності.
18. Орган з оцінки відповідності повинен розділяти висновки за результатами етапу 1 та етапу 2 на:
невідповідність критеріям оцінки відповідності, що унеможливлює прийняття органом з оцінки відповідності рішення про надання документа про відповідність;
рекомендації щодо покращення (вдосконалення) діяльності замовника оцінки відповідності, які не перешкоджають прийняттю органом з оцінки відповідності рішення про надання документа про відповідність.
19. У разі виявлення під час оцінки відповідності невідповідностей критеріям оцінки відповідності орган з оцінки відповідності оцінює корекційні дії та часові витрати на них, а також інформує замовника оцінки відповідності про додаткові завдання оцінки відповідності, необхідні для підтвердження того, що невідповідності були виправлені.
20. Корекційні дії при незначній невідповідності, тобто невиконанні вимог, які не мають впливу на безпеку та здатність замовника оцінки відповідності надавати послуги електронної ідентифікації, повинні бути розглянуті протягом:
3 місяців після інформування замовника оцінки відповідності про невідповідність аудиторського звіту;
6 місяців після інформування замовника оцінки відповідності про невідповідність аудиторського звіту у разі документального підтвердження органу з оцінки відповідності, що корекційні дії потребують більш довгого періоду часу у зв’язку з їх складністю.
V. Основні вимоги щодо оформлення документа про оцінку відповідності
21. Видача документа про відповідність залежить від:
1) укладеного між замовником оцінки відповідності та органом з оцінки відповідності договору, відповідно до якого на орган з оцінки відповідності покладаються зобов’язання щодо проведення оцінки відповідності та надання документа про відповідність за результатами проведеної оцінки відповідності;
2) виконання вимог оцінки відповідності, які включають висновки за результатами оцінки відповідності щодо невиявлення жодної невідповідності критеріям оцінки відповідності; та інші вимоги, що є додатковими умовами встановлення або підтримки оцінки відповідності (наприклад, укладення договору про оцінку відповідності, сплата вартості оцінки відповідності, надання повідомлень про зміни щодо надання послуг електронної ідентифікації, щодо яких проводилася оцінка відповідності, надання доступу до послуг електронної ідентифікації, щодо яких проводилася оцінка відповідності для проведення періодичного нагляду);
3) рішення про надання або розширення сфери оцінки відповідності, прийнятого органом з оцінки відповідності.
22. Документ про відповідність повинен містити відомості, зазначені в абзацах п’ятому - сімнадцятому пункту 7 Порядку проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування, затвердженого постановою Кабінету Міністрів України від 28 квітня 2023 року № 417.
23. Документ про відповідність повинен бути виданий українською або англійською мовою та опублікований на офіційному вебсайті органу з оцінки відповідності та постійно оновлюватися.
У разі проведення оцінки відповідності повинно бути стільки документів про відповідність та відповідних аудиторських висновків, скільки було визначено критеріїв оцінки відповідності (наприклад, окремо щодо відповідності вимогам Закону України "Про електронну ідентифікацію та електронні довірчі послуги" та законодавчим актам, прийнятим на його виконання).
VI. Основні вимоги щодо періодичного нагляду та повторної оцінки
24. Орган з оцінки відповідності має визначити програму періодичного нагляду і повторної оцінки відповідності, яка включатиме перевірку на місці, огляд будь-яких змін в документації, що підлягає оцінці відповідності, та операціях, пов’язаних з наданням послуг електронної ідентифікації, та їх окремих компонентів, огляд обробки скарг, внутрішніх аудитів та системи управління інформаційною безпекою, для підтвердження того, що замовник оцінки відповідності та послуги, що ним надаються, продовжують відповідати критеріям оцінки відповідності.
25. У разі отримання від замовника оцінки відповідності інформації про будь-які зміни, які можуть вплинути на результат проведеної оцінки відповідності, орган з оцінки відповідності визначає та повідомляє замовника оцінки відповідності про перелік заходів, які необхідно вжити для підтвердження того, що замовник оцінки відповідності та послуги, що ним надаються, продовжують відповідати критеріям оцінки відповідності.
26. Повторна оцінка відповідності попередньо оцінених замовника оцінки відповідності та послуг, які ним надаються, проводиться так само, як і для первинної оцінки відповідності, з урахуванням результатів попередньої оцінки відповідності.
| Директор директорату розвитку цифровізації | А. Халєєва |
Додаток
до Методики перевірки дотримання вимог,
зокрема обов’язкових елементів
технічних специфікацій та процедур
організаційних, методологічних,
технічних та технологічних умов
використання засобів
електронної ідентифікації
залежно від рівнів довіри до них
(пункт 12 розділу III)
КОНТРОЛЬНИЙ СПИСОК
загальних критеріїв оцінки відповідності засобів електронної ідентифікації та послуг, в процесі яких вони видаються надавачами послуг електронної ідентифікації, надавачами електронних довірчих послуг
| № з/п | Критерій оцінки відповідності | Відмітка органу з оцінки відповідності про відповідність/ невідповідність критерію | Висновки та рекомендації органу з оцінки відповідності | Примітки та пояснення замовника процедури оцінки відповідності (за наявності) |
| 1 | 2 | 3 | 4 | 5 |
| 1 | Характеристика засобів електронної ідентифікації; механізм автентифікації | |||
| 1.1 | Засіб електронної ідентифікації використовує принаймні два фактори автентифікації з різних категорій факторів автентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.2 | Фактори автентифікації не залежать один від одного (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.3 | Під час проєктування засобів електронної ідентифікації враховуються різні типи загроз, спрямовані на різні фактори автентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.4 | Секретна інформація, пов’язана із засобами електронної ідентифікації, недоступна для персоналу або підрядників (відокремлених пунктів реєстрації) надавача послуг електронної ідентифікації, надавача електронних довірчих послуг (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.5 | Фактори автентифікації підтверджуються як пов’язані з користувачем (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.6 | Механізм автентифікації розроблено таким чином, що кожна подія ідентифікації має унікальне електронне підтвердження (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.7 | Електронне підтвердження кожної ідентифікаційної події базується на факторах автентифікації, пов’язаних з користувачем (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.8 | Користувач може надійно захистити власні засоби електронної ідентифікації та свої фактори автентифікації від використання іншими (для засобів електронної ідентифікації високого рівня довіри) | |||
| 1.9 | Жодні ідентифікаційні дані не передаються надавачу послуг електронної ідентифікації (не виконується ідентифікаційна подія), перш ніж засіб ідентифікації буде перевірено за допомогою динамічної автентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.10 | Ідентифікаційні дані (персональні дані), що зберігаються в ідентифікаційній події, захищені (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.11 | Заходи безпеки, які використовуються в засобах електронної ідентифікації, забезпечують захист від атак середнього ступеня тяжкості (для засобів електронної ідентифікації середнього рівня довіри) | |||
| 1.12 | Заходи безпеки, які використовуються в засобах електронної ідентифікації, забезпечують захист від атак високого ступеня тяжкості (для засобів електронної ідентифікації високого рівня довіри) | |||
| 1.13 | Механізм автентифікації відповідає обов’язковим вимогам шифрування між надавачем послуг електронної ідентифікації, надавачем електронних довірчих послуг та посередником ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.14 | Механізм автентифікації відповідає обов’язковим вимогам шифрування між послугою електронної ідентифікації, електронною довірчою послугою та електронною послугою, для отримання якої ініційовано ідентифікацію користувача (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.15 | Механізм автентифікації відповідає обов’язковим вимогам шифрування в інтерфейсі користувача (браузер, мобільний пристрій) (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 1.16 | Метод автентифікації відповідає рекомендованим жорстким/високим вимогам до шифрування між послугою посередника електронної ідентифікації та посередництвом ідентифікації, між послугою електронної ідентифікації, електронною довірчою послугою та електронною послугою, для отримання якої ініційовано ідентифікацію користувача, та в інтерфейсі користувача (браузер, мобільний пристрій) (для засобів електронної ідентифікації високого рівня довіри) | |||
| 2 | Інтероперабельність | |||
| 2.1 | Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг пропонує принаймні один інтерфейс у довірчій мережі, який відповідає загальноприйнятому стандарту (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 2.2 | Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг пропонує необхідну інформацію (атрибути) для ідентифікації користувачів - фізичних осіб (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 2.3 | Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг має необхідну заплановану потужність для надання необов’язкових даних для ідентифікації користувачів - фізичних осіб (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 2.4 | Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг пропонує необхідну інформацію (атрибути) для ідентифікації користувачів - юридичних осіб (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 2.5 | Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг має необхідну заплановану потужність для надання додаткових даних для ідентифікації користувачів - юридичних осіб (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3 | Вимоги до технічної безпеки інформації | |||
| 3.1 | Безпека передачі даних | |||
| 3.1.1 | З’єднання для передачі даних, з’єднання для управління та процеси та їх політики безпеки ідентифікуються та документуються. Зонування комунікаційної мережі та правила фільтрації, що використовуються в схемі електронної ідентифікації, повинні відповідати принципам найменших прав і глибокого захисту (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.2 | Обладнання для передачі даних і системи схеми ідентифікації (існуючі активи) повинні бути ідентифіковані та задокументовані (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.3 | Виробнича мережа повинна бути відокремлена від мережі управління та обслуговування. Мережа управління та обслуговування повинна бути відокремлена від офісних мереж. Середовище розробки повинно бути відокремлене від середовища виробництва (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.4 | З’єднання для передачі даних схеми ідентифікації фільтруються на основі принципу найменших прав (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.5 | Посилання з робочої мережі на загальнодоступну мережу мають бути засновані на ризиках і використовуватися лише для забезпечення функціональності послуги (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.6 | Криптографічні ключові матеріали та метадані безпечно обмінюються між послугою електронної ідентифікації, електронною довірчою послугою та довіреними сторонами (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.7 | Добре організовано управління систем фільтрації та контролю мережевих з’єднань, які використовуються в схемі електронної ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.1.8 | Загрози інформаційній безпеці від електронної пошти та перегляду вебсторінок, а також загрози інформаційній безпеці, спричинені іншими функціями, окрім тих, які є важливими для керування в терміналі, який використовується для керування, оцінюються та мінімізуються за допомогою віддаленої роботи та адміністрування схеми ідентифікації (для засобів електронної ідентифікації середнього рівня довіри) | |||
| 3.1.9 | Загрози інформаційній безпеці від електронної пошти та перегляду вебсторінок, а також загрози інформаційній безпеці, спричинені іншими функціями, окрім тих, які є важливими для роботи терміналу, який використовується для керування, запобігають віддаленій роботі та адмініструванню схеми ідентифікації (виробничої мережі) (для засобів електронної ідентифікації високого рівня довіри) | |||
| 3.2 | Безпека інформаційної системи | |||
| 3.2.1 | Інформаційні системи та процеси схеми ідентифікації (включаючи процеси, пов’язані з виробництвом та адмініструванням послуги електронної ідентифікації, електронної довірчої послуги які використовують ці інформаційні системи) ідентифікуються та документуються. Інформаційні системи схеми ідентифікації класифікуються на основі інформації, яка обробляється системами, і дій, які вони дозволяють. Під час класифікації систем необхідно брати до уваги весь життєвий цикл захищеної інформації. Середовище обробки даних, що використовується для операцій керування, має бути відокремлене від інших середовищ (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.2 | Права доступу до схеми ідентифікації визначені та задокументовані. Права доступу базуються на класифікації інформаційних систем і завданнях кожної особи/користувача. Доступ має бути надано лише на основі завдань, які відповідають принципу найменших прав (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.3 | Користувачі інформаційних систем схем електронної ідентифікації ідентифікуються за допомогою техніки або методу, який відомий і вважається безпечним (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.4 | Права доступу контролюються та підтримуються, щоб вони були актуальними (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.5 | Необхідно визначити обов’язки та функції персоналу, щоб запобігти ситуації, коли одна особа може спричинити серйозний інцидент із безпекою своїми власними діями, навмисно чи випадково (поєднання роботи з високим ризиком) (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.6 | Забезпечується зміцнення схеми ідентифікації; існує процедура для систематичного встановлення систем, що призводить до надійного встановлення. Схема ідентифікації використовує лише послуги, функції, процеси, обладнання та компоненти, які спеціально необхідні для її функціонування. Їх використання визначено таким чином, що всі непотрібні права доступу та функції/елементи видаляються з установок (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.7 | Забезпечується ідентифікація, запобігання та усунення негативного впливу та загроз, спричинених шкідливим програмним забезпеченням (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.8 | Схема ідентифікації використовує повністю рекомендовані рішення шифрування (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.2.9 | Криптографічні матеріали захищені протягом усього життєвого циклу (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.3 | Безпека оператора | |||
| 3.3.1 | Управління змінами схеми ідентифікації є спланованим і ретельним (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.3.2 | Управління вразливістю програмного забезпечення схеми ідентифікації є плановим і систематичним. У схемі ідентифікації забезпечується виявлення, запобігання та виправлення несприятливих впливів і загроз, спричинених уразливістю програмного забезпечення (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 3.3.3 | Організовано планове та систематичне створення резервних копій схеми ідентифікації. Процедури резервного копіювання враховують категорії інформації (особиста інформація, криптографічна інформація тощо), можливість відновлення системи та зберігання резервних копій (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4 | Можливість спостереження за інцидентами безпеки; управління інцидентами безпеки; сповіщення про порушення | |||
| 4.1 | Існують можливості та попередньо визначені процеси для спостереження за відхиленнями в схемі ідентифікації. Такі процеси враховують важливість/критичність/класифікацію зв’язків передачі даних схеми, компонентів інформаційної системи та здатність відстежувати інциденти, пов’язані з безпекою, також у ретроспективі. Схема ідентифікації збирає та зберігає журнали подій про роботу схеми та будь-які події та порушення, які впливають або пов’язані з інформаційною безпекою (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4.2 | Контрольні журнали схеми ідентифікації визначені та відокремлені від інших даних журналу. Їх цілісність забезпечена (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4.3 | Робота, зміни та події в схемі ідентифікації контролюються для виявлення будь-яких порушень та порушень інформаційної безпеки. Невідповідності та збої в схемі ідентифікації обробляються та аналізуються, а їх вплив/серйозність класифікується систематично та організовано (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4.4 | Коригувальні дії, яких вимагають невідповідності та збої в схемі ідентифікації, є систематичними та ефективними. Планування безперервності операцій включає запобіжні та коригувальні дії, які використовуються для мінімізації впливу значних несправностей або виняткових подій (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4.5 | Процеси управління інцидентами містять вимогу повідомляти інших надавачів послуг електронної ідентифікації, надавачів електронних довірчих послуг в межах довірчої мережі (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4.6 | Процес управління інцидентами містить вимогу сповіщати користувачів і довіряючі сторони (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 4.7 | Процес управління інцидентами містить вимогу сповіщати наглядові органи (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 5 | Зберігання та обробка даних | |||
| 5.1 | Управління інформацією, пов’язаною зі схемою ідентифікації, і самою ідентифікацією, є організованим і систематичним і базується на класифікації інформації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 5.2 | Планування управління інформацією враховує весь життєвий цикл інформації. Визначено час збереження інформації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 5.3 | Забезпечується дотримання конкретних вимог щодо зберігання даних, визначених Законом України "Про електронну ідентифікацію та електронні довірчі послуги" та нормативно-правовими актами, прийнятими на його виконання (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 5.4 | Вживаються технічні заходи для забезпечення цілісності та конфіденційності інформації, яка обробляється та зберігається в схемі ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 5.5 | Під час обробки та зберігання даних дотримуються суворих вимог щодо шифрування/шифрування значного рівня (для засобів електронної ідентифікації високого рівня довіри) | |||
| 5.6 | Усі носії, що містять особисту, криптографічну чи іншу конфіденційну інформацію, зберігаються, транспортуються та утилізуються безпечним і захищеним способом (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 6 | Охорона фізичних приміщень | |||
| 6.1 | Об’єкти схеми ідентифікації поділяються на зони безпеки за ступенем конфіденційності та критичності інформації, що обробляється (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 6.2 | Апаратне забезпечення, яке використовується для надання послуги електронної ідентифікації, електронної довірчої послуги, захищене від злому, вандалізму, вогню, тепла, газу, пилу, вібрації, води та відключень електроенергії. Периметри охорони враховуються в класифікації безпеки. Усі об’єкти мають відповідні засоби контролю доступу, які гарантують, що вхід можливий лише для відповідних осіб. Системи безпеки та обладнання для фізичного захисту інформації відповідають універсальним технічним стандартам або мінімальним вимогам (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 6.3 | Периметри безпеки використовуються, щоб гарантувати, що не використовується несанкціоноване обладнання або підключення (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 7 | Достатність і компетентність людських ресурсів | |||
| 7.1 | Виробнича організація послуг електронної ідентифікації, електронних довірчих послуг повинна мати достатній досвід і людські ресурси для забезпечення інформаційної безпеки та конфіденційності (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 7.2 | Послуги підрядника (відокремленого пункту реєстрації), які використовуються в схемі ідентифікації, визначаються та документуються. Забезпечується компетентність і наявність кадрового потенціалу підрядників (відокремлених пунктів реєстрації) (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8 | Управління інформаційною безпекою | |||
| 8.1 | Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг має ефективну систему управління інформаційною безпекою (включаючи організаційно-технічні заходи) для управління та моніторингу ризиків інформаційної безпеки (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.2 | Система управління інформаційною безпекою базується на універсально застосовуваному стандарті або наборі стандартів (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.3 | Система управління інформаційною безпекою охоплює всі істотні внутрішні та зовнішні технічні, правові та адміністративні вимоги та потреби, що впливають на схему ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.4 | Система управління інформаційною безпекою охоплює управління, організацію та підтримку процедур управління. Діє актуальна політика інформаційної безпеки, затверджена керівництвом організації. Принципи та політики безпеки є достатньо розширеними та відповідають організації та об’єктам, що підлягають захисту. Визначено обов’язки персоналу та підрядників (відокремлених пунктів реєстрації) щодо інформаційної безпеки (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.5 | Система управління інформаційною безпекою охоплює управління ризиками інформаційної безпеки, пов’язаними з пропозицією отримати послугу електронної ідентифікації, електронну довірчу послугу. Управління ризиками є регулярним, безперервним і задокументованим процесом. Виявлені ризики класифікуються та впорядковуються за пріоритетністю. Процес управління ризиками здатний виявити ризики для конфіденційності, цілісності та доступності інформації. Процес управління ризиками та його результати використовуються для розробки заходів безпеки послуги електронної ідентифікації, електронної довірчої послуги/схеми ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.6 | Система управління інформаційною безпекою охоплює ресурси, виділені для інформаційної безпеки, вимоги до компетенції, обізнаність персоналу щодо інформаційної безпеки, комунікації, документування та управління документованою інформацією. Сучасні інструкції та політики інформаційної безпеки доступні кожному, хто працює із завданнями, пов’язаними з електронною ідентифікацією. Навчання персоналу з інформаційної безпеки є регулярним і задокументованим. Контролюється ефективність навчання (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.7 | Система управління інформаційною безпекою гарантує, що пропозиція щодо отримання послуги електронної ідентифікації, електронної довірчої послуги планується та керується таким чином, щоб відповідати вимогам інформаційної безпеки, встановленим для послуг електронної ідентифікації, електронних довірчих послуг (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 8.8 | Система управління інформаційною безпекою передбачає регулярну оцінку ефективності та функціональності інформаційної безпеки (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 9 | Підтвердження особи та верифікація заявника (первинна ідентифікація) | |||
| 9.1 | Первинна ідентифікація, яка ґрунтується на пред ’явленні документа, що посвідчує особу | |||
| 9.1.1 | Встановлення особи здійснюється на основі документів, що посвідчують особу, визначених Законом України "Про електронну ідентифікацію та електронні довірчі послуги" (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 9.1.2 | Документ, що посвідчує особу, пред’являється, а його дійсність перевіряється на місці. Співробітники знайомі з факторами автентичності документів, що посвідчують особу, і мають можливість їх перевірити. Переконується, що документ, що посвідчує особу, належить особі, яка пред’являє документ (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 9.1.3 | Документ, що посвідчує особу, пред’являється, а його дійсність забезпечується за допомогою віддаленого підключення. Співробітники знайомі з факторами автентичності документів, що посвідчують особу, і мають можливість їх перевірити. Переконується, що документ, що посвідчує особу, належить особі, яка пред’являє документ. Вимоги до надійності віддаленого з’єднання враховують потенціал атаки значного рівня (для засобів електронної ідентифікації середнього рівня довіри) | |||
| 9.1.4 | Документ, що посвідчує особу, пред’являється, а його дійсність забезпечується за допомогою віддаленого підключення. Автентичність документа, що посвідчує особу, перевіряється на основі електронного підпису, зчитаного з чіпа (безконтактного електронного носія), імплантованого в документ, що посвідчує особу. Належність документа, що посвідчує особу, перевіряється шляхом порівняння фізичних властивостей особи з порівняльними даними з електронним підписом, зчитаними з документа, що посвідчує особу. Вимоги до надійності для віддаленого з’єднання враховують потенціал атаки високого рівня (для засобів електронної ідентифікації високого рівня довіри) | |||
| 9.1.5 | Дійсність паспорта або посвідчення особи перевіряється за допомогою наявних інформаційних систем органів державної влади або надійних міжнародних органів (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 9.1.6 | Існування особи підтверджується реєстром населення (демографічним реєстром) (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 9.2 | Первинна ідентифікація за допомогою засобів електронної ідентифікації | |||
| 9.2.1 | Підтвердження особи базується на надійних засобах електронної ідентифікації відповідно до Закону України "Про електронну ідентифікацію та електронні довірчі послуги" та нормативно-правових актів, прийнятих на його виконання (для засобів електронної ідентифікації середнього рівня довіри) | |||
| 9.2.2 | Підтвердження особи базується на надійних засобах електронної ідентифікації відповідно до Закону України "Про електронну ідентифікацію та електронні довірчі послуги" та нормативно-правових актів, прийнятих на його виконання. Видача засобів електронної ідентифікації, що використовуються для високого рівня надійності на основі електронної ідентифікації, можлива лише для засобів електронної ідентифікації з високим рівнем гарантії (для засобів електронної ідентифікації високого рівня довіри) | |||
| 9.3 | Первинна ідентифікація на основі ідентифікації, проведеної з іншою метою | |||
| 9.3.1 | Перевірка ідентифікації базується на процедурі, коли особу було доведено та підтверджено раніше для цілей, відмінних від видачі засобів електронної ідентифікації. Процедура ґрунтується на нормативних актах, відмінних від Закону України "Про електронну ідентифікацію та електронні довірчі послуги", і контролюється відповідним органом. Процедура пропонує гарантії, подібні до процедури, яка базується на пред’явленні документа, що посвідчує особу, або ідентифікації за допомогою засобів електронної ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 10 | Життєвий цикл засобів електронної ідентифікації | |||
| 10.1 | Ідентифікація не пов’язана з особою (не персоналізована) до первинної ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 10.2 | Персональна інформація фізичної особи перевіряється з інформаційної системи населення (демографічного реєстру) під час видачі засобу електронної ідентифікації, а потім регулярно протягом терміну дії засобу електронної ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 10.3 | Процедура видачі використовується для забезпечення того, щоб засіб електронної ідентифікації не потрапив незаконно у володіння третьої сторони під час видачі засобу електронної ідентифікації (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 10.4 | Процедура видачі використовується для того, щоб засоби електронної ідентифікації не опинилися незаконним шляхом у володінні третьої сторони (для засобів електронної ідентифікації високого рівня довіри) | |||
| 10.5 | Надавач послуг з електронної ідентифікації, надавач електронних довірчих послуг забезпечує цілодобову доступність для користувачів послуг відкликання, список відкликань, доступний повіряючим сторонам, і здатність технічно запобігти використанню будь-яких засобів електронної ідентифікації, про які користувач повідомляє як про втрату або викрадення (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 10.6 | У разі поновлення та заміни засобу електронної ідентифікації беруться до уваги ризики зміни ідентифікаційних даних особи, тому поновлення або заміна повинні відповідати тим самим вимогам гарантій, що й початкове підтвердження та перевірка особи, або базуватися на дійсних засобах електронної ідентифікації того самого або вищого рівня довіри (для засобів електронної ідентифікації високого та середнього рівнів довіри) | |||
| 10.7 | У разі поновлення та заміни засобу електронної ідентифікації беруться до уваги ризики зміни ідентифікаційних даних особи, тому поновлення або заміна повинні відповідати тим самим вимогам гарантій, що й початкове підтвердження та перевірка особи, або базуватися на дійсних засобах електронної ідентифікації того самого або вищого рівня довіри. Якщо поновлення або заміна базується на дійсних засобах електронної ідентифікації, ідентифікаційні дані додатково перевіряються за допомогою авторитетного джерела (для засобів електронної ідентифікації високого рівня довіри) | |||
