Про деякі питання діяльності та розвитку у сферах електронної ідентифікації та електронних довірчих послуг

Відповідно до частини першої статті 7, частини першої статті 7-1 Закону України "Про електронну ідентифікацію та електронні довірчі послуги", пунктів 4, 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856,

НАКАЗУЮ:

1. Затвердити Порядок проведення досліджень поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг, здійснення аналізу інформації про діяльність кваліфікованих надавачів електронних довірчих послуг, їхніх відокремлених пунктів реєстрації та засвідчувального центру, надавачів послуг електронної ідентифікації, що додається.

2. Адміністратору інформаційно-комунікаційної системи центрального засвідчувального органу та інтегрованої системи електронної ідентифікації - державному підприємству "ДІЯ" щороку, але не пізніше 01 березня забезпечувати публікацію на офіційному веб-сайті центрального засвідчувального органу щорічних звітів за результатами аналізу інформації про діяльність кваліфікованих надавачів електронних довірчих послуг, їхніх відокремлених пунктів реєстрації та засвідчувального центру, надавачів послуг електронної ідентифікації.

3. Директорату розвитку цифровізації (Халєєва А. П.) подати цей наказ на державну реєстрацію до Міністерства юстиції України в установленому законодавством порядку.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

5. Визнати такими, що втратили чинність:

1) наказ Міністерства цифрової трансформації України від 03 березня 2021 року № 28 "Про затвердження Порядку надання центральному засвідчувальному органу інформації про діяльність надавачів електронних довірчих послуг та засвідчувального центру", зареєстрований в Міністерстві юстиції України 23 березня 2021 року за № 364/35986;

2) наказ Міністерства цифрової трансформації України від 29 листопада 2022 року № 119 "Про затвердження Порядку функціонування Інструменту моніторингу сфери електронних довірчих послуг", зареєстрований в Міністерстві юстиції України 20 січня 2023 року за № 125/39181.

6. Контроль за виконанням цього наказу покласти на першого заступника Міністра Вискуба О. А.

 

 

1. Цей Порядок визначає механізм надання центральному засвідчувальному органу (далі - ЦЗО) інформації про діяльність кваліфікованих надавачів електронних довірчих послуг, їхніх відокремлених пунктів реєстрації (далі - Кваліфіковані надавачі) та засвідчувального центру, надавачів послуг електронної ідентифікації (далі - Надавачі е-ідентифікації), а також взаємодію між розробниками технічних засобів кваліфікованого електронного підпису чи печатки, засобів електронної ідентифікації (далі - Розробники), Кваліфікованими надавачами, Надавачами е-ідентифікації та власниками інформаційно-комунікаційних систем, які використовують електронні довірчі послуги (далі - Розпорядники систем), формування тестових сертифікатів відкритих ключів, з метою проведення дослідження поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг.

2. Цей Порядок є обов'язковим для Кваліфікованих надавачів та засвідчувального центру, Надавачів е-ідентифікації.

3. У цьому Порядку терміни вживаються у таких значеннях:

1) Програмний інтерфейс інформаційно-комунікаційної системи ЦЗО (далі - Програмний інтерфейс) - автоматизована система, призначена для взаємодії між Розробниками, Кваліфікованими надавачами, засвідчувальним центром, Надавачами е-ідентифікації та Розпорядниками систем в електронних довірчих послугах;

2) користувачі Програмного інтерфейсу - Розробники, Кваліфіковані надавачі, засвідчувальний центр, Надавачі е-ідентифікації, Розпорядники систем, ЦЗО (далі - авторизовані користувачі Програмного інтерфейсу).

Інші терміни вживаються у значеннях, визначених Законами України "Про електронну ідентифікацію та електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-комунікаційних системах".

3. Мінцифри здійснює організаційне, методичне та методологічне забезпечення функціонування Програмного інтерфейсу.

4. Державне підприємство "ДІЯ" є технічним адміністратором Програмного інтерфейсу (далі - технічний адміністратор).

1. Кваліфіковані надавачі, засвідчувальний центр та Надавачі е-ідентифікації зобов'язані щороку (до 15 січня) надавати ЦЗО в електронній формі інформацію щодо наданих послуг електронної ідентифікації та кваліфікованих електронних довірчих послуг за попередній рік згідно з вимогами, встановленими в пунктах 2 - 6 цього розділу у формі електронних документів або через Програмний інтерфейс відповідно до статті 13 Закону України "Про електронну ідентифікацію та електронні довірчі послуги".

2. Кваліфіковані надавачі та засвідчувальний центр надають інформацію щодо наданих кваліфікованих електронних довірчих послуг за формою згідно з додатком 1 до цього Порядку:

кількості кваліфікованих сертифікатів електронних підписів та печаток, сформованих (чинних, блокованих, скасованих) за попередній рік та чинних на кінець року;

кількості кваліфікованих електронних позначок часу, сформованих за попередній рік.

При цьому у разі видачі кваліфікованих сертифікатів відкритих ключів з використанням декількох алгоритмів електронного підпису, визначених ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", ДСТУ ISO/IEC 14888-3:2019 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування" та ДСТУ ETSI TS 119 312:2021 (ETSI TS 119 312 V1.4.1 (2021-08), IDT) "Електронні підписи та інфраструктури (ESI). Криптографічні набори" в додатку 1 до цього Порядку зазначається кількість сертифікатів для кожного з таких алгоритмів.

3. Кваліфіковані надавачі та засвідчувальний центр надають інформацію щодо кількості користувачів електронних довірчих послуг, яким видано кваліфіковані сертифікати відкритих ключів, за формою згідно з додатком 2 до цього Порядку:

унікальних підписувачів - фізичних осіб, ідентифікованих за їх унікальним набором ідентифікаційних даних (реєстраційний номер облікової картки платника податків або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті), або унікальний номер запису в Єдиному державному демографічному реєстрі), іноземців та осіб без громадянства, ідентифікованих відповідно до частини четвертої статті 22 Закону України "Про електронну ідентифікацію та електронні довірчі послуги" незалежно від кількості сформованих для таких осіб кваліфікованих сертифікатів електронних підписів чи отриманих ними послуг, а також незалежно від кількості юридичних осіб, яких вони можуть представляти;

унікальних створювачів електронної печатки - юридичних осіб, ідентифікованих за їх кодами згідно з Єдиним державним реєстром підприємств та організацій України або за інформацією з торговельного, банківського, судового реєстрів, які ведуться країною резидентства іноземної юридичної особи, перелік яких публікує на своєму офіційному веб-сайті ЦЗО, або за документом, виданим відповідно до законодавства іноземної держави, легалізованим (консульська легалізація чи проставлення апостиля) в установленому законодавством порядку, якщо інше не встановлено міжнародними договорами, фізичних осіб-підприємців, незалежно від кількості сформованих для таких осіб кваліфікованих сертифікатів електронних печаток чи отриманих ними послуг, а також незалежно від кількості у таких юридичних осіб представників;

інших унікальних користувачів електронних довірчих послуг.

У графі 2 додатка 2 до цього Порядку зазначається кількість користувачів електронних довірчих послуг, яким були сформовані кваліфіковані сертифікати електронних підписів та печаток (чинні, блоковані, скасовані) за попередній рік.

У графі 3 додатка 2 до цього Порядку зазначається кількість користувачів електронних довірчих послуг, які мають чинні кваліфіковані сертифікати електронних підписів та печаток на кінець року.

4. Кваліфіковані надавачі надають інформацію щодо кількості користувачів електронних довірчих послуг, яким надано кваліфіковані електронні довірчі послуги, не пов'язані з видачею кваліфікованих сертифікатів відкритих ключів, за формою згідно з додатком 3 до цього Порядку:

кваліфіковану електронну довірчу послугу реєстрованої електронної доставки;

кваліфіковану електронну довірчу послугу із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів.

5. У разі наявності надається:

Кваліфікованими надавачами - інформація щодо відокремлених пунктів реєстрації та кількості кваліфікованих сертифікатів електронних підписів та печаток, сформованих за заявами, оформленими у відокремлених пунктах реєстрації, за формою згідно з додатком 4 до цього Порядку;

Кваліфікованими надавачами та засвідчувальним центром - інформація щодо інформаційно-комунікаційних систем, в яких використовуються кваліфіковані сертифікати електронного підпису чи печатки, за формою згідно з додатком 5 до цього Порядку.

6. Надавачі е-ідентифікації надають інформацію щодо наданих послуг електронної ідентифікації за формою згідно з додатком 6 до цього Порядку.

7. У разі отримання офіційного запиту ЦЗО Кваліфіковані надавачі, засвідчувальний центр та Надавачі е-ідентифікації зобов'язані протягом 10 робочих днів надати ЦЗО в електронній формі інформацію щодо наданих послуг електронної ідентифікації, кваліфікованих електронних довірчих послуг в обсязі та за період, визначені в запиті, згідно з вимогами, встановленими пунктами 2 - 6 цього розділу.

При цьому Кваліфіковані надавачі надають інформацію за формами згідно з додатками 1 - 5 до цього Порядку, засвідчувальний центр - за формами згідно з додатками 1, 2 і 5 до цього Порядку, а Надавачі е-ідентифікації - за формою згідно з додатком 6 до цього Порядку.

8. Адміністратор інформаційно-комунікаційної системи ЦЗО та інтегрованої системи електронної ідентифікації - державне підприємство "ДІЯ" з метою аналізу поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг щороку:

з 15 січня обробляє та аналізує інформацію про діяльність Кваліфікованих надавачів, їхніх відокремлених пунктів реєстрації та засвідчувального центру, Надавачів е-ідентифікації;

не пізніше 01 березня публікує на офіційному веб-сайті ЦЗО в розділі "Поточний стан та перспективи розвитку у сферах електронної ідентифікації та електронних довірчих послуг" щорічний звіт за результатами аналізу інформації про діяльність Кваліфікованих надавачів, їхніх відокремлених пунктів реєстрації та засвідчувального центру, Надавачів е-ідентифікації, за формою згідно з додатком 7 до цього Порядку.

9. Функціонування програмно-технічного комплексу ЦЗО та захист інформації, що в ньому обробляється, у зв'язку із запровадженням Програмного інтерфейсу, здійснюється відповідно до вимог законодавства у сфері захисту інформації.

1. Авторизовані користувачі Програмного інтерфейсу мають можливість:

1) безоплатно та цілодобово користуватися Програмним інтерфейсом;

2) звертатися до Мінцифри з пропозиціями щодо розвитку та удосконалення функціонування Програмного інтерфейсу.

2. Мінцифри:

1) здійснює моніторинг інформації про діяльність Кваліфікованих надавачів, їхніх відокремлених пунктів реєстрації та засвідчувального центру, Надавачів е-ідентифікації;

2) проводить дослідження поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг;

3) розглядає пропозиції авторизованих користувачів Програмного інтерфейсу щодо перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг, у тому числі розвитку та удосконалення функціонування Програмного інтерфейсу.

3. Технічний адміністратор здійснює:

1) технічне та технологічне супроводження Програмного інтерфейсу;

2) обробку та публікацію результатів аналізу поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг;

3) розроблення, створення, модернізацію, розвиток, впровадження та супроводження програмного забезпечення Програмного інтерфейсу;

4) придбання апаратних засобів, необхідних для функціонування, вдосконалення, актуалізації та розвитку Програмного інтерфейсу;

5) моніторинг роботи Програмного інтерфейсу, його інформаційних та інших ресурсів;

6) захист Програмного інтерфейсу, зокрема захист цілісності його апаратного та програмного забезпечення, захист від несанкціонованого доступу, незаконного використання, незаконного копіювання, безпеки персональних даних.

1. Доступ (підключення) уповноважених представників авторизованих користувачів Програмного інтерфейсу до Програмного інтерфейсу з відповідними правами здійснюється на безоплатній основі на підставі заяви про надання доступу (підключення) до Програмного інтерфейсу інформаційно-комунікаційної системи центрального засвідчувального органу уповноваженим представникам (далі - Заява) (додаток 8 до цього Порядку) авторизованого користувача Програмного інтерфейсу.

2. Заява надсилається на електронну пошту технічного адміністратора support.its@czo.gov.ua з накладенням кваліфікованого електронного підпису керівника організації або уповноваженого представника.

У разі підписання Заяви особою, яка виконує обов'язки керівника організації (уповноваженим представником), разом із Заявою надсилається копія документа, що підтверджує виконання цією особою обов'язків керівника (повноваження особи діяти від імені організації).

3. Запити щодо переліку та статусу / блокування авторизованих користувачів Програмного інтерфейсу або інших даних такого користувача формуються безпосередньо в Програмному інтерфейсі уповноваженим представником, якого було зазначено в Заяві.

4. Автентифікація авторизованих користувачів Програмного інтерфейсу здійснюється за допомогою кваліфікованого електронного підпису.

5. Обробка персональних даних уповноважених представників авторизованих користувачів Програмного інтерфейсу здійснюється з метою їх електронної ідентифікації та автентифікації виключно в Програмному інтерфейсі з дотриманням вимог Закону України "Про захист персональних даних".

1. Забезпечення взаємодії між Кваліфікованими надавачами, засвідчувальним центром, Надавачами е-ідентифікації, ЦЗО та Програмним інтерфейсом здійснюється шляхом використання такого функціоналу:

1) створення заявок про внесення змін до Довірчого списку;

2) створення заявок на формування кваліфікованих сертифікатів відкритих ключів Кваліфікованих надавачів;

3) подання запитів на додавання і зміну статусів кваліфікованих сертифікатів відкритих ключів Кваліфікованих надавачів;

4) внесення даних щодо віддалених пунктів реєстрації Кваліфікованого надавача;

5) подання інформації щодо діяльності Кваліфікованих надавачів, засвідчувального центру та Надавачів е-ідентифікації, з метою проведення досліджень поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг;

6) огляд інформації щодо діяльності Кваліфікованих надавачів, засвідчувального центру та Надавачів е-ідентифікації;

7) формування тестових сертифікатів відкритих ключів;

8) реалізація тестових прикладів форматів електронного підпису, протоколів та інтерфейсів технічних засобів;

9) можливість використання актуальних кваліфікованих сертифікатів відкритих ключів Кваліфікованих надавачів, засвідчувального центру, ЦЗО;

10) реалізація онлайн сервісу створення електронного підпису або печатки (за умови наявності чинного особистого ключа та сертифікатів в межах Програмного інтерфейсу);

11) реалізація онлайн сервісу перевірки електронного підпису чи печатки для електронних документів створених в межах Програмного інтерфейсу;

12) перевірка контролю відхилення часу Кваліфікованого надавача за протоколом OCSP/TSP;

13) перевірка контролю строку чинності SSL сертифікатів веб-сайтів Кваліфікованих надавачів;

14) перевірка контролю запитів синхронізації часу (NTP-запитів) Кваліфікованих надавачів до серверів ЦЗО.

2. Забезпечення взаємодії між Розробниками та Програмним інтерфейсом здійснюється шляхом використання такого функціоналу:

1) формування тестових сертифікатів відкритих ключів;

2) реалізація тестових прикладів форматів електронного підпису, протоколів та інтерфейсів технічних засобів;

3) можливість використання актуальних кваліфікованих сертифікатів відкритих ключів Кваліфікованих надавачів, засвідчувального центру, ЦЗО;

4) реалізація онлайн сервісу створення електронного підпису або печатки (за умови наявності чинного особистого ключа та сертифікатів в межах Програмного інтерфейсу;

5) реалізація онлайн сервісу перевірки електронного підпису чи печатки для електронних документів створених в межах Програмного інтерфейсу;

6) перевірка контролю відхилення часу Кваліфікованого надавача за протоколом OCSP/TSP;

7) перевірка контролю строку чинності SSL сертифікатів веб-сайтів Кваліфікованих надавачів;

8) перевірка контролю запитів синхронізації часу (NTP-запитів) Кваліфікованих надавачів до серверів ЦЗО;

9) подання інформації щодо засобів кваліфікованого електронного підпису чи печатки, сертифікованих органами з оцінки відповідності, акредитованими на проведення сертифікації засобів кваліфікованого електронного підпису чи печатки та переліків засобів кваліфікованого електронного підпису чи печатки, сертифікованих органами з оцінки відповідності.

3. Забезпечення взаємодії між Розпорядниками систем та Програмним інтерфейсом здійснюється шляхом використання такого функціоналу:

1) формування тестових сертифікатів відкритих ключів;

2) реалізація тестових прикладів форматів електронного підпису, протоколів та інтерфейсів технічних засобів;

3) можливість використання актуальних кваліфікованих сертифікатів відкритих ключів Кваліфікованих надавачів, засвідчувального центру, ЦЗО;

4) реалізація онлайн сервісу створення електронного підпису або печатки (за умови наявності чинного особистого ключа та сертифікатів в межах Програмного інтерфейсу;

5) реалізація онлайн сервісу перевірки електронного підпису чи печатки для електронних документів створених в межах Програмного інтерфейсу;

6) перевірка контролю відхилення часу Кваліфікованого надавача за протоколом OCSP/TSP;

7) перевірка контролю строку чинності SSL сертифікатів веб-сайтів Кваліфікованих надавачів;

8) перевірка контролю запитів синхронізації часу (NTP-запитів) Кваліфікованих надавачів до серверів ЦЗО.

Авторизований користувач Програмного інтерфейсу - ЦЗО може здійснювати пошук кваліфікованих сертифікатів відкритих ключів користувачів в архіві Кваліфікованих надавачів, що припинили діяльність.

4. Своєчасне інформування для забезпечення інтероперабельності між Кваліфікованими надавачами та Розпорядниками систем здійснюється шляхом оповіщення всіх авторизованих користувачів Програмного інтерфейсу, електронною поштою та за допомогою месенджерів передачі повідомлень щодо:

1) актуальності кваліфікованих сертифікатів відкритих ключів;

2) зміни в Довірчому списку;

3) проведення регламентних робіт;

4) інформування щодо змін в роботі інформаційно-комунікаційних систем.

5. Доступ авторизованих користувачів Програмного інтерфейсу до функціоналу Програмного інтерфейсу забезпечується методом розподілення ролей.

Кожна роль описує рівень обмежень щодо можливості виконання авторизованим користувачем Програмного інтерфейсу певних дій.

Передбачено наступні ролі: Адміністратор, ЦЗО, Розробник, Кваліфікований надавач, засвідчувальний центр, Надавач е-ідентифікації, Розпорядник систем.

6. У Програмному інтерфейсі забезпечується здійснення інших повноважень у сферах електронної ідентифікації та електронних довірчих послуг, визначених статтями 7 та 7-1 Закону України "Про електронну ідентифікацію та електронні довірчі послуги".

7. Доступність до функціоналу Програмного інтерфейсу забезпечується технічним адміністратором цілодобово, крім проведення регламентних технічних робіт, які можуть тривати максимально - до 5 годин на місяць.

1. Формування тестових сертифікатів відкритих ключів здійснюється Кваліфікованими надавачами, Розробниками та Розпорядниками систем шляхом приєднання до Програмного інтерфейсу.

2. З метою унеможливлення використання тестових сертифікатів відкритих ключів не за призначенням Кваліфіковані надавачі вживають заходи щодо реалізації положень підпункту 6.9.2 пункту 6.9 розділу 6 національного стандарту ДСТУ ETSI EN 319 411-1:2019 (ETSI EN 319 411-1 V1.2.2 (2018-04), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги".