(До Розділу IV "Торгівля і питання, пов’язані з торгівлею"
Глава 6. Заснування підприємницької діяльності, торгівля послугами та електронна торгівля)
ІМПЛЕМЕНТАЦІЙНИЙ РЕГЛАМЕНТ КОМІСІЇ (ЄС) 2015/1502
від 8 вересня 2015 року
про встановлення мінімальних технічних специфікацій та процедур для рівнів надійності засобів електронної ідентифікації відповідно до статті 8(3) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку
Беручи до уваги Договір про функціонування Європейського Союзу,
Беручи до уваги Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС (-1), зокрема його статтю 8(3),
__________
(-1) OB L257, 28.08.2014, с. 73.
(1) Статтею 8 Регламенту (ЄС) № 910/2014 передбачено, що схема електронної ідентифікації, нотифікована відповідно до статті 9(1), повинна встановлювати низький, істотний та високий рівні надійності засобів електронної ідентифікації, випущених відповідно до такої схеми.
(2) Визначення мінімальних технічних специфікацій, стандартів та процедур є важливим для забезпечення спільного розуміння деталей рівнів надійності та забезпечення інтероперабельності під час встановлення відповідності між національними рівнями надійності нотифікованих схем електронної ідентифікації та рівням надійності, зазначеними у статті 8, як передбачено статтею 12(4)(b) Регламенту (ЄС) № 910/2014.
(3) Міжнародний стандарт ISO/IEC 29115 було взято до уваги для цілей специфікацій і процедур, що викладені у цьому імплементаційному акті, як основний міжнародний стандарт, доступний у сфері рівнів надійності засобів електронної ідентифікації. Однак зміст Регламенту (ЄС) № 910/2014 відрізняється від зазначеного міжнародного стандарту, зокрема щодо вимог до підтвердження та верифікації, а також щодо способу врахування відмінностей між механізмами встановлення тотожності особи держав-членів та наявними в ЄС інструментами для такої цілі. Тому у додатку, який базується на цьому міжнародному стандарті, не повинно бути покликань на будь-який конкретний зміст ISO/IEC 29115.
(4) Цей Регламент було розроблено як орієнтований на результат підхід, який є найбільш доречним, що також відтворено в означеннях, використовуваних для позначення термінів та понять. У них враховано ціль Регламенту (ЄС) № 910/2014 щодо рівнів надійності засобів електронної ідентифікації. Тому, необхідно взяти найвищою мірою до уваги великомасштабний пілотний проект STORK, у тому числі специфікації, розроблені у його межах, а також означення та поняття в ISO/IEC 29115 під час встановлення специфікацій та процедур, викладених у цьому імплементаційному акті.
(5) Залежно від контексту, в якому аспект доказу тотожності особи необхідно верифікувати, авторитетні джерела можуть набувати багатьох форм, зокрема таких як реєстри, документи, органи. У різних державах-членах авторитетні джерела можуть відрізнятися одні від одних навіть у схожому контексті.
(6) Вимоги до підтвердження та верифікації тотожності особи повинні враховувати різні системи та практики, забезпечуючи достатньо високий рівень надійності, щоб встановити необхідну довіру. Тому прийняття процедур, які використовувались раніше з відмінною від випуску засобів електронної ідентифікації метою, необхідно здійснювати умовно після підтвердження відповідності таких процедур вимогам, передбаченим для відповідного рівня надійності.
(7) Зазвичай використовують певні чинники автентифікації, такі як спільний секрет, фізичні пристрої та фізичні атрибути. Однак, необхідно сприяти використанню більшої кількості чинників автентифікації, особливо з різних категорій чинників, для того, щоб посилювати безпеку процесу автентифікації.
(8) Дія цього Регламенту не повинна поширюватися на права представлення юридичних осіб. Однак, у додатку необхідно передбачати вимоги до встановлення зв'язку між засобами електронної ідентифікації фізичних та юридичних осіб.
(9) Необхідно визнавати важливість систем управління інформаційною безпекою та послугами, як і важливість використання визнаних методик та застосування принципів, що містяться в стандартах, таких як стандарти серій ISO/IEC 27000 та ISO/IEC 20000.
(10) Необхідно також брати до уваги належну практику щодо застосування рівнів надійності у державах-членах.
(11) Сертифікація безпеки інформаційних технологій на основі міжнародних стандартів є важливим інструментом для верифікації відповідності безпеки продуктів вимогам цього імплементаційного акту.
(12) Комітет, зазначений у статті 48 Регламенту (ЄС) № 910/2014, не надав висновку впродовж терміну, визначеного його головою,
1. Низький, істотний та високий рівні надійності засобів електронної ідентифікації, випущених відповідно до нотифікованої схеми електронної ідентифікації, встановлюються відповідно до специфікацій та процедур, передбачених у додатку.
2. Специфікації та процедури, передбачені у додатку, необхідно використовувати для визначення рівня надійності засобів електронної ідентифікації, випущених відповідно до нотифікованої схеми електронної ідентифікації, шляхом встановлення надійності та якості таких елементів:
(a) внесення в базу, як передбачено в секції 2.1 додатка до цього Регламенту відповідно до статті 8(3)(a) Регламенту (ЄС) № 910/2014;
(b) управління засобами електронної ідентифікації, як передбачено в секції 2.2 додатка до цього Регламенту відповідно до статті 8(3)(b) та (f) Регламенту (ЄС) № 910/2014;
(c) автентифікація, як передбачено в секції 2.3 додатка до цього Регламенту відповідно до статті 8(3)(c) Регламенту (ЄС) № 910/2014;
(d) управління та організація, як передбачено в секції 2.4 додатка до цього Регламенту відповідно до статті 8(3)(d) та (e) Регламенту (ЄС) № 910/2014.
3. Якщо засоби електронної ідентифікації, випущені відповідно до нотифікованої схеми електронної ідентифікації, відповідають вимогам, передбаченим для високого рівня надійності, то припускають, що ці засоби відповідають аналогічним вимогам до низького рівня надійності.
4. Якщо інше не зазначено у відповідній частині додатка, всі елементи, передбачені у додатку для певного рівня надійності засобів електронної ідентифікації, випущених відповідно до нотифікованої схеми електронної ідентифікації, необхідно виконати, щоб відповідати заявленому рівню надійності.
Цей Регламент набуває чинності на двадцятий день після його публікації в Офіційному віснику Європейського Союзу.
Цей Регламент обов'язковий у повному обсязі та підлягає прямому застосуванню у всіх державах-членах.
Вчинено у Брюсселі 8 вересня 2015 року.
ДОДАТОК
Технічні специфікації та процедури щодо низького, істотного та високого рівнів надійності засобів електронної ідентифікації, випущених відповідно до нотифікованої схеми електронної ідентифікації
1. Застосовні терміни та означення
Для цілей цього додатку застосовують такі терміни та означення:
(1) «авторитетне джерело» означає будь-яке незалежно від його форми джерело, на яке можна покластися як на таке, що надає точні дані, інформацію та/або відомості, які можуть бути використані для доказу тотожності особи.
(2) «чинник автентифікації» означає чинник, який підтверджено як такий, що пов'язаний з особою, та поділяється на такі категорії:
(a) «чинник автентифікації на підставі володіння» означає чинник автентифікації, коли від суб'єкта вимагають продемонструвати свої володіння;
(b) «чинник автентифікації на підставі знання» означає чинник автентифікації, коли від суб'єкта вимагають продемонструвати свої знання;
(c) «чинник автентифікації на підставі властивості» означає чинник автентифікації, що базується на фізичному атрибуті фізичної особи, у межах якого від суб'єкта вимагають продемонструвати, що він має такий фізичний атрибут;
(3) «динамічна автентифікація» означає електронний процес з використанням криптографії та інших методів для забезпечення засобу створення на вимогу електронного доказу, що ідентифікаційні дані знаходяться під контролем суб'єкту або у його володінні та який змінюється за кожної автентифікації між суб'єктом та системою верифікації особи суб'єкту.
(4) «система управління інформаційною безпекою» означає низку процесів і процедур, призначених для управління прийнятними рівнями ризиків, пов'язаних з інформаційною безпекою.
2. Технічні специфікації та процедури
Елементи технічних специфікацій та процедур, наведені у цьому додатку, повинні використовуватись для визначення способів застосування вимог та критеріїв, передбачених у статті 8 Регламенту (ЄС) № 910/2014, до засобів електронної ідентифікації, випущених відповідно до схеми електронної ідентифікації.
2.1.1. Подання заявки та реєстрація
Рівень надійності |
Необхідні елементи |
Низький |
1.Забезпечення того, що заявник знає умови, пов'язані з використанням засобів електронної ідентифікації.
|
Істотний |
Такі самі, як для низького рівня. |
Високий |
Такі самі, як для низького рівня. |
2.1.2. Підтвердження та верифікація тотожності особи (фізичної особи)
Рівень надійності |
Необхідні елементи |
Низький |
1. Можна припустити, що особа володіє відомостями, які визнано державою-членом, у якій зроблено заявку на засоби електронного встановлення тотожності особи, та які представляють заявлену особу.
|
Істотний |
Елементи низького рівня та виконання додатково однієї з вимог, зазначених у пунктах 1-4:
|
Високий |
Необхідно виконати вимоги пунктів 1 або 2:
|
__________
|
2.1.3. Підтвердження та верифікація тотожності особи (фізичної особи)
Рівень надійності |
Необхідні елементи |
Низький |
1. Заявлену юридичну особу представлено на основі відомостей, визнаних державою-членом, в якій зроблено заявку на засоби електронного встановлення тотожності особи.
|
Істотний |
Елементи низького рівня та виконання додатково однієї з вимог, зазначених у пунктах 1-3:
|
Високий |
Елементи істотного рівня та виконання додатково однієї з вимог, зазначених у пунктах 1-3:
|
2.1.4. Встановлення зв'язку між засобами електронної ідентифікації фізичних та юридичних осіб
У відповідних випадках, для встановлення зв'язку між засобами електронної ідентифікації фізичної особи та засобами електронної ідентифікації юридичної особи («встановлення зв'язку») застосовують такі умови:
(1) Необхідно передбачити можливість призупинення та/або відкликання встановлення зв'язку. Управління терміном дії зв'язку (наприклад, активація, призупинення, поновлення, відкликання) здійснюється відповідно до національно визнаних процедур.
(2) Фізична особа, чиї засоби електронної ідентифікації пов'язані з засобами електронної ідентифікації юридичної особи, може делегувати встановлення зв'язку іншій фізичній особі на основі національно визнаних процедур. Однак фізична особа, яка делегує свої повноваження, залишається відповідальною.
(3) Встановлення зв'язку повинно відбуватись у такий спосіб:
Рівень надійності |
Необхідні елементи |
Низький |
1. Підтвердження тотожності фізичної особи, яка діє від імені юридичної особи, верифіковано як таке, що було виконано на низькому або вищому рівні.
|
Істотний |
Пункт 3 необхідних елементів низького рівня, а також:
|
Високий |
Пункт 3 необхідних елементів низького рівня та пункт 2 необхідних елементів істотного рівня, а також:
|
2.2. Управління засобами електронної ідентифікації
2.2.1. Характеристика та дизайн засобів електронної ідентифікації
Рівень надійності |
Необхідні елементи |
Низький |
1. Засоби електронної ідентифікації використовують щонайменше один чинник автентифікації.
|
Істотний |
1. Засоби електронної ідентифікації використовують щонайменше два чинники автентифікації різних категорій.
|
Високий |
Істотний рівень, а також:
|
2.2.2. Випуск, доставка та активація
Рівень надійності |
Необхідні елементи |
Низький |
Після випуску засоби електронної ідентифікації доставляють шляхом застосування механізму, за допомогою якого, можна припустити, вони дістануться тільки призначеній особі. |
Істотний |
Після випуску засоби електронної ідентифікації доставляють шляхом застосування механізму, за допомогою якого, можна припустити, вони передаються у володіння тільки особи, якій вони належать. |
Високий |
У процесі активації здійснюється верифікація передання засобів електронної ідентифікації тільки у володіння особі, якій вони належать. |
2.2.3. Випуск, доставка та активація
Рівень надійності |
Необхідні елементи |
Низький |
1. Існує можливість призупинення та/або відкликання засобу електронної ідентифікації вчасно та ефективно.
|
Істотний |
Такі самі, як для низького рівня. |
Високий |
Такі самі, як для низького рівня. |
Рівень надійності |
Необхідні елементи |
Низький |
Беручи до уваги ризики зміни даних персональної ідентифікації, необхідно, щоб процеси поновлення або заміни відповідали тим самим вимогам до надійності, що й початковий процес підтвердження та верифікації тотожності особи, або базувались на дійсних засобах електронної ідентифікації того самого або вищого рівня надійності. |
Істотний |
Такі самі, як для низького рівня. |
Високий |
Низький рівень, а також:
|
У цій секції розглядаються загрози, пов'язані з використанням механізму автентифікації, та передбачено вимоги до кожного рівня надійності. У цій секції засоби контролю вважаються такими, що відповідають ризикам на зазначеному рівні.
2.3.1. Механізм автентифікації
У наведеній нижче таблиці встановлено вимоги для кожного рівня надійності щодо механізму автентифікації, за допомогою якого фізична або юридична особа використовує засоби електронної ідентифікації для підтвердження своєї тотожності зі стороною-користувачем.
Рівень надійності |
Необхідні елементи |
Низький |
1. Випуску даних персональної ідентифікації передують надійна верифікація засобів електронної ідентифікації та встановлення їх дійсність.
|
Істотний |
Низький рівень, а також:
|
Високий |
Істотний рівень, а також:
|
2.4. Управління та організація
Усі учасники, які надають послугу, пов'язану з електронною ідентифікацією, в транскордонному контексті («постачальники») повинні мати у розпорядженні задокументовані порядок управління інформаційною безпекою, принципи, підходи до управління ризиками та інших визнані засоби контролю для запевнення відповідних органів управління, відповідальних за схеми електронної ідентифікації у відповідній державі-члені, що чинні порядки знаходяться в їхньому розпорядженні. У секції 2.4 усі вимоги та елементи повинні вважатися такими, що відповідають ризикам на зазначеному рівні.
Рівень надійності |
Необхідні елементи |
Низький |
1. Постачальники, які забезпечують будь-яке експлуатаційне обслуговування, охоплене цим Регламентом, є публічним органом або юридичною особою, які визнано національним законодавством держави-члена, мають засновану організацію та повною мірою діють у всіх сегментах, пов’язаних з наданням таких послуг.
|
Істотний |
Такі самі, як для низького рівня. |
Високий |
Такі самі, як для низького рівня. |
2.4.2. Оприлюднені повідомлення та інформація про користувача
Рівень надійності |
Необхідні елементи |
Низький |
1. Наявність оприлюдненого означення послуги, яке містить усі застосовні терміни, умови та збори, у тому числі будь-які обмеження щодо її використання.
|
Істотний |
Такі самі, як для низького рівня. |
Високий |
Такі самі, як для низького рівня. |
2.4.3. Управління інформаційною безпекою
Рівень надійності |
Необхідні елементи |
Низький |
Існує ефективна система управління інформаційною безпекою для управління ризиками інформаційної безпеки та контролю за такими. |
Істотний |
Низький рівень, а також:
|
Високий |
Такі самі, як для істотного рівня. |
Рівень надійності |
Необхідні елементи |
Низький |
1. Запис та зберігання відповідної інформації шляхом використання ефективної системи управління записами, беручи до уваги застосовне законодавство та належну практику щодо захисту даних та збереження даних.
|
Істотний |
Такі самі, як для низького рівня. |
Високий |
Такі самі, як для низького рівня. |
У наведеній нижче таблиці представлено вимоги щодо об’єктів, персоналу і субпідрядників, за наявності таких, які беруть на себе зобов’язання, зазначені у цьому Регламенті. Дотримання всіх вимог здійснюється пропорційно рівню ризику, пов’язаного з передбаченим рівнем надійності.
Рівень надійності |
Необхідні елементи |
Низький |
1. Наявність процедур, які забезпечують, що персонал та субпідрядники мають належну підготовку, кваліфікацію та досвід стосовно умінь, які необхідні для виконання ними своїх ролей.
|
Істотний |
Такі самі, як для низького рівня. |
Високий |
Такі самі, як для низького рівня. |
Рівень надійності |
Необхідні елементи |
Низький |
1. Наявність пропорційного технічного контролю для управління ризиками, які загрожують безпеці обслуговування, захисту конфіденційності, цілісності та доступності інформації, що обробляється.
|
Істотний |
Такі самі, як для низького рівня.
|
Високий |
Такі самі, як для істотного рівня. |
2.4.7. Відповідність вимогам та аудит
Рівень надійності |
Необхідні елементи |
Низький |
Періодичне проведення внутрішніх аудитів, які охоплюють усі сегменти, пов’язані з постачанням наданих послуг, з метою забезпечення дотримання відповідних принципів. |
Істотний |
Періодичне проведення незалежних внутрішніх та зовнішніх аудитів, які охоплюють усі сегменти, пов’язані з постачанням наданих послуг, з метою забезпечення дотримання відповідних принципів. |
Високий |
1. Періодичне проведення незалежних зовнішніх аудитів, які охоплюють усі сегменти, пов’язані з постачанням наданих послуг, з метою забезпечення дотримання відповідних принципів.
|
{Джерело: Урядовий портал (Переклади актів acquis ЄС) https://www.kmu.gov.ua}