Про встановлення вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації

Відповідно до абзацу третього частини другої статті 8 Закону України "Про електронні довірчі послуги", пункту 37 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" та підпункту 2 пункту 3 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 3 вересня 2014 року № 411, НАКАЗУЮ:

1. Затвердити Вимоги з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації (далі - Вимоги), що додаються.

2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України у триденний строк після підписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Кваліфікованим надавачам електронних довірчих послуг забезпечити:

1) приведення їх діяльності у відповідність до Вимог шляхом внесення змін до регламентів їх роботи до 07 листопада 2020 року;

2) виконання пунктів 1 та 2 розділу IV Вимог, до закінчення строку чинності атестатів відповідності на комплексну систему захисту інформації інформаційно-телекомунікаційної системи, що застосовується ними для надання кваліфікованих електронних довірчих послуг, але не пізніше 01 січня 2023 року.

5. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу функціональних обов'язків.

ВИМОГИ
з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації

I. Загальні положення

1. Положення цих Вимог є обов'язковими для кваліфікованих надавачів електронних довірчих послуг (далі - надавач) під час надання ними послуг користувачам електронних довірчих послуг (далі - користувач), а також для відокремлених пунктів реєстрації (далі - ВПР) під час реєстрації користувачів.

2. Ці Вимоги деталізують та визначають спосіб виконання положень Закону України "Про електронні довірчі послуги" та Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992, щодо забезпечення безпеки та захисту інформації надавачів та ВПР.

3. Забезпечення безпеки інформації надавача або ВПР здійснюється шляхом комплексного застосування необхідного набору взаємодоповнюючих заходів щодо захисту інформації в ІКС надавача або ВПР, організаційних (адміністративних) заходів, відповідності приміщень, сховищ, програмно-технічного комплексу та електронних засобів технічним вимогам.

4. Діяльність з безпеки та захисту інформації надавача (ВПР) організовується, постійно підтримується та координується службою захисту інформації (далі - СЗІ) з дотриманням вимог законодавства у сфері захисту інформації, електронних довірчих послуг та регламенту роботи надавача.

5. У цих Вимогах терміни вживаються у таких значеннях:

вразливість - недостатня стійкість активу або заходу нейтралізації протистояти реалізації певній загрозі або сукупності загроз;

загроза - потенційна можливість реалізації вразливості;

критичний компонент - компонент, порушення захисту якого впливає на надання кваліфікованих електронних довірчих послуг;

приміщення - приміщення надавача або ВПР, призначені для розміщення програмно-технічного комплексу (далі - ПТК) або його складових, що використовується під час надання кваліфікованих електронних довірчих послуг та за ступенем обмеження доступу поділяються на рівні безпеки;

службові приміщення (безпечна зона) - приміщення, доступ в які забезпечується із застосуванням організаційно-технічних заходів контролю (фізичний та логічний контроль);

спеціальне приміщення (зона підвищеної безпеки) - приміщення, призначене для розміщення складових програмно-технічного комплексу з метою генерації, використання, зберігання та резервування особистих ключів надавача;

реєстрація - процедура, в рамках якої забезпечуються встановлення особи користувача, збір, перевірка та внесення до реєстру користувачів ідентифікаційних даних, необхідних для надання кваліфікованої електронної довірчої послуги.

Інші терміни вживаються у значеннях, наведених в Законах України «Про електронні довірчі послуги», «Про захист інформації в інформаційно-комунікаційних системах», Вимогах у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992.

II. Вимоги із захисту інформації

1. Інформаційно-комунікаційні системи (далі - ІКС), що використовуються для цілей, встановлених у пункті 1 розділу I цих Вимог, повинні відповідати вимогам із захисту інформації шляхом впровадження комплексної системи захисту інформації (далі - КСЗІ) або системи управління інформаційною безпекою (далі - СУІБ) з підтвердженою відповідністю з дотриманням вимог законодавства у сфері захисту інформації та цих Вимог.

2. КСЗІ створюється відповідно до вимог нормативних документів системи технічного захисту інформації, затверджених Адміністрацією Держспецзв'язку.

СУІБ створюється відповідно до вимог стандартів, що визначають вимоги до інформаційної безпеки, визначених Переліком стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, що додається до Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992.

3. Підтвердження відповідності КСЗІ здійснюється відповідно до вимог Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (із змінами).

Підтвердження відповідності СУІБ здійснюється відповідно до Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 18 грудня 2018 року № 1215.

4. У випадку віднесення відповідно до законодавства у сфері кіберзахисту кваліфікованого надавача електронних довірчих послуг до об'єкта критичної інфраструктури в ІКС надавача повинні бути впровадженні заходи з кіберзахисту відповідно до вимог постанови Кабінету Міністрів України від 19 червня 2019 року № 518 "Про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури".

5. Надання кваліфікованих електронних довірчих послуг та здійснення реєстрації користувачів без чинних документів, що підтверджують відповідність ІКС вимогам законодавства у сфері захисту інформації, забороняються.

III. Організаційні вимоги

1. Загальні організаційні вимоги

1. У регламенті роботи надавача в положеннях політики сертифіката та/або в положеннях з опису процедур і процесів, які виконуються під час надання кваліфікованих електронних довірчих послуг, що не передбачають формування та обслуговування кваліфікованих сертифікатів відкритих ключів, повинно бути визначено необхідність встановлення вимог до процедур з управління ризиками, персоналом, операційною безпекою, інцидентами, доказами та архівами, поводження з персональними даними користувачів, процедур встановлення заявника, ВПР та виїзних адміністраторів реєстрації, опису фізичного середовища з урахуванням цих Вимог та елементів технічних специфікацій та процедур для високого рівня довіри до засобів електронної ідентифікації, встановлених Вимогами до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затвердженими наказом Державного агентства з питань електронного урядування від 27 листопада 2018 року № 86, зареєстрованими Міністерством юстиції України 26 грудня 2018 року за № 1462/32914.

2. Надавач повинен захищати свої активи відповідно до проведеної оцінки ризиків. Процедури з управління ризиками повинні передбачати виконання заходів з оцінки ризиків з урахуванням цих Вимог.

3. Процедури з управління персоналом повинні передбачати:

1) наявність у надавача щонайменше двох посад адміністратора безпеки та аудиту;

2) щорічне проходження адміністратором безпеки та аудиту практичних навчань з інформаційної безпеки, що передбачають вивчення нових загроз інформаційної безпеки та реагування на них;

3) заборону суміщення посадових обов'язків адміністратора безпеки та аудиту з іншими посадовими обов'язками, безпосередньо пов'язаними з наданням кваліфікованих електронних довірчих послуг;

4) встановлення відповідних вимог щодо кваліфікації персоналу, безпосередньо пов'язаного з наданням кваліфікованих електронних довірчих послуг.

2. Управління операційною безпекою

1. Процедури з управління операційною безпекою повинні передбачати:

1) контроль використання носіїв інформації в ІКС, спрямований запобіганню їх викраденню, пошкодженню, використанню понад експлуатаційного терміну, несанкціонованому доступу та використанню;

2) контроль встановлення оновлення комп'ютерних програм та оновлень безпеки;

3) резервне копіювання даних, необхідних для функціонування ІКС, у територіально відокремлених місцях із забезпеченням захисту цих даних від модифікації та несанкціонованого ознайомлення;

4) режим доступу до службових та спеціальних приміщень.

2. Забороняється застосування оновлень безпеки, які містять уразливості та є нестабільними. Причини невикористання оновлень безпеки документуються.

3. Забороняється оновлення комп'ютерних програм, що застосовуються в ІКС, з неідентифікованих та неавтентифікованих джерел.

3. Управління інцидентами

1. Процедури з управління інцидентами повинні передбачати:

1) виконання заходів, визначених Порядком координації діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затвердженим наказом Адміністрації Держспецзв'язку від 10 червня 2008 року № 94, зареєстрованим в Міністерстві юстиції України 07 липня 2008 року за № 603/15294;

2) інформування контролюючого органу про порушення вимог з безпеки та захисту інформації, визначені в абзаці одинадцятому частини другої статті 13 Закону України "Про електронні довірчі послуги", протягом 24 годин після виявлення порушення;

3) інформування користувачів, яким надаються послуги, про порушення безпеки, які спричиняють на них негативний вплив, протягом двох годин після виявлення порушення.

4. Управління доказами та архівами

1. Процедури з управління доказами та архівами повинні передбачати ведення журналів аудиту подій, у яких реєструються події таких типів:

1) спроби створення, знищення, встановлення паролів, зміни прав доступу в ІКС тощо;

2) заміна технічних засобів ІКС та пар ключів;

3) формування, блокування, скасування та поновлення кваліфікованих сертифікатів відкритих ключів, формування списків відкликаних сертифікатів відкритих ключів;

4) спроби несанкціонованого доступу до ІКС;

5) надання доступу персоналу до ІКС;

6) зміни системних конфігурацій та технічне обслуговування ІКС;

7) збої в роботі ІКС;

8) інші події, необхідні для збору доказів.

2. Усі записи в журналах аудиту подій в електронній або паперовій формі повинні містити дату та час події, а також ідентифікувати суб'єкта, що її ініціював або брав у ній участь.

3. Журнали аудиту подій резервуються та переглядаються адміністратором безпеки та аудиту не рідше одного разу на тиждень, в рамках чого перевіряється наявність несанкціонованої модифікації та вивчаються події.

4. Час, що зазначається у журналі аудиту подій, повинен бути синхронізований із Всесвітнім координованим часом з точністю до секунди.

5. Журнали аудиту подій повинні бути захищені від неавторизованого перегляду, модифікації і знищення.

6. Записи подій у журналах аудиту подій у паперовій формі повинні бути завірені і підписані адміністратором безпеки.

7. Надавач зберігає журнали аудиту подій на місці їх створення протягом 10 років, після чого забезпечує їх передачу на архівне зберігання.

5. Вимоги до поводження з персональними даними користувачів

1. Справи підписувачів зберігаються у приміщеннях та сховищах із забезпеченням розмежування доступу персоналу надавача або ВПР відповідно до посадових обов'язків.

2. Дозволяється тимчасове зберігання (протягом робочого дня) справ підписувачів у місці їх реєстрації у разі забезпечення їх захисту від несанкціонованого доступу (зберігання зачиненими у вогнестійкій шафі, сейфі).

3. У разі реалізації механізмів автентифікації підписувачів за ключовою фразою дані фраз ключової автентифікації повинні зберігатися в ІКС надавача із забезпеченням доступу до такої інформації виключно персоналу надавача, відповідального за управління статусами сертифікатів відкритих ключів підписувачів.

6. Вимоги до процедур встановлення заявника, ВПР та виїзних адміністраторів реєстрації

1. Процедури встановлення особи-заявника повинні використовувати наявні сервіси перевірки чинності документів та ідентифікаційної інформації про особу. До таких сервісів можуть належати сервіси "Перевірка за базою недійсних документів" (nd.dmsu.gov.ua) та "Єдиний державний реєстр юридичних осіб, фізичних осіб - підприємців та громадських формувань" (usr.minjust.gov.ua).

2. Верифікація даних ID-картки здійснюється одним із таких способів:

без залучення додаткових пристроїв шляхом візуального зіставлення однакової інформації (значення "УНЗР", "документ № ", "дата народження", "строк дії"), яка надрукована в зоні візуальної перевірки та машинозчитувальній зоні;

шляхом автоматизованого зчитування інформації з використанням апаратних та програмних засобів (зчитувачів), які мають інтерфейс, опублікований на офіційному вебсайті державного підприємства "Поліграфічний комбінат "Україна".

3. Якщо надавач має намір надавати кваліфіковані електронні довірчі послуги через ВПР або застосовувати процедури виїзної реєстрації, у регламенті роботи надавача в положеннях політики сертифіката визначаються вимоги до публікації на офіційному вебсайті надавача ідентифікаційних даних про ВПР та виїзних адміністраторів реєстрації в обсязі, достатньому для однозначного їх встановлення заявником.

IV. Технічні вимоги

1. Вимоги до приміщень надавача

1. Приміщення надавача повинні бути розділені на функціональні зони за рівнями безпеки приміщень, встановленими надавачем.

Для кожного рівня безпеки приміщень визначаються мінімально необхідний набір механізмів безпеки, зокрема: контролю доступу, виявлення вторгнень, пожежної сигналізації та пожежогасіння, альтернативних та резервних джерел електроживлення тощо (далі - механізми безпеки приміщень).

Механізми безпеки приміщень можуть бути змінені на підставі оцінених ризиків та відповідних цим ризикам обраних механізмів їх нейтралізації.

Рекомендації до встановлення рівнів безпеки та механізмів безпеки приміщень, застосування яких забезпечує ці рівні, публікуються Адміністрацією Державної служби спеціального зв'язку та захисту інформації України на офіційному вебсайті.

2. Компоненти, які є критичними для безпечної роботи надавача, мають розташовуватися в захищеному та безпечному середовищі з фізичним захистом від вторгнення, контролем доступу через периметр безпеки та сигналізацією для виявлення вторгнення.

2. Вимоги до безпечного сховища

1. Безпечне сховище, що знаходиться у спеціальному приміщенні, призначене для зберігання носіїв виключно критичної для надання послуг надавачем інформації (атрибути доступу до засобів кваліфікованого електронного підпису чи печатки, в яких зберігаються дані резервних копій особистого ключа надавача, засоби авторизації в ПТК надавача тощо).

2. Конструкція сховища повинна передбачати достатню кількість індивідуальних відсіків для кожної уповноваженої посадової особи, яка згідно з посадовими обов'язками виконує роботи з критичною для надавача інформацією.

3. Доступ до відсіків здійснюється за участі двох уповноважених посадових осіб, які згідно з посадовими обов'язками виконують роботи з критичною для надавача інформацією.

4. Безпечне сховище повинно мати сертифікат про відповідність ДСТУ EN 1143-1 "Засоби безпечного зберігання. Вимоги, класифікація та методи випробування на тривкість щодо зламування. Частина 1: Сховища, двері сховищ, сейфи та АТМ-сейфи".

3. Вимоги до ПТК

1. ПТК, що використовується під час надання електронних довірчих послуг, повинен відповідати вимогам наказу Міністерства цифрової трансформації України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 30 вересня 2020 року № 140/614 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг», зареєстрованого в Міністерстві юстиції України 22 жовтня 2020 року за № 1039/35322.

V. Вимоги до оцінки ризиків

1. Оцінка ризиків

1. Оцінка ризиків здійснюється на основі вимог ДСТУ ISO/IEC 27005:2015 (ISO/IEC 27005:2011, IDT) "Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки" та інших нормативних документів з оцінки ризиків.

Для здійснення оцінки ризиків надавачем вживаються заходи щонайменше передбачені цим розділом.

2. Процедури оцінки ризиків повинні містити заходи з визначення активів, загроз, вразливостей, ймовірності реалізації загроз та оцінки їх наслідків, заходи з нейтралізації. Значення ризиків є відносною величиною, яка дозволяє оцінювати їх вплив на діяльність надавача.

3. Ризики оцінюються за такою формулою:

РИЗИК = ВРАЗЛИВІСТЬ * НАСЛІДКИ РЕАЛІЗАЦІЇ ЗАГРОЗ

де:

"вразливість" має значення від 0 до 2 та обчислюється відповідно до пункту 4 розділу V цих Вимог;

"наслідки реалізації загроз" мають значення від 1 до 5 та обчислюються відповідно до пункту 3 розділу V цих Вимог;

"*" є математичною операцією множення.

4. Ризики, які приймають значення більше/рівно 4, вважаються неприйнятними та потребують обов'язкового вжиття заходів щодо їх нейтралізації.

2. Визначення активів

1. До активів надавача належать матеріальні об'єкти, які надавач може оцінити з точки зору їх вартості, інформація, яку надавач збирає та/або формує і зберігає із забезпеченням належного рівня довіри, а також відповідні процеси.

2. Усі активи повинні бути ідентифіковані та задекларовані. Для кожного активу призначаються особи, відповідальні за його захист і підтримку.

3. Після ідентифікації активів проводиться оцінка їх цінності для надавача. Цінність активу визначається на основі оцінки негативних наслідків можливого інциденту, який впливає на нього. Цінність активу може мати якісні (критичність) і кількісні (вартість) характеристики.

4. Активи повинні бути класифіковані на підставі їхнього типу та характеристик та належати до таких категорій:

1) основні активи, які містять інформаційні активи та процеси;

2) активи підтримки, які містять програмно-апаратні засоби, обладнання, мережу, персонал та місця розташування тощо.

5. До основних активів щонайменше повинні належати такі:

1) інформаційні активи:

особисті ключі надавача;

сертифікати відкритих ключів надавача;

реєстраційні дані заявників;

сертифікати відкритих ключів користувачів;

запити на зміну статусу сертифіката;

списки відкликаних сертифікатів;

журнали аудиту;

архіви;

2) активи процесів:

генерація пар ключів надавача;

використання, резервне копіювання та відновлення ключів надавача;

знищення особистих ключів надавача;

формування сертифікатів відкритих ключів;

розповсюдження сертифікатів відкритих ключів;

управління статусом сертифікатів відкритих ключів;

реєстрація заявників;

функціонування інтегрованої електронної системи безпеки, що забезпечує безперебійну експлуатацію об'єктів і критичних систем надавача в середовищі із загальним високим рівнем безпеки (далі - ЕСБ).

6. До активів підтримки щонайменше повинні належати такі:

1) програмне забезпечення та обладнання ІКС надавача та ВПР:

апаратне забезпечення, на якому базується ПТК надавача;

програмне забезпечення, що використовується в складі ПТК;

апаратне забезпечення ВПР;

програмне забезпечення ВПР;

USB носії та захищені носії інформації, які використовуються в ПТК та ВПР, смарт-карти тощо;

мережева інфраструктура;

обладнання ЕСБ;

обладнання для забезпечення безперебійного електроживлення;

2) активи розміщення:

спеціальне та службові приміщення надавача;

приміщення ВПР;

середовище розміщення вебсайту надавача;

3) активи персоналу:

працівники надавача, посадові обов'язки яких безпосередньо пов'язані з наданням кваліфікованих електронних довірчих послуг;

працівники надавача, що забезпечують виконання функцій, які не пов'язані безпосередньо з наданням кваліфікованих електронних довірчих послуг;

4) загальні активи:

ділова репутація надавача;

дотримання законодавства;

довірчі відносини надавача (відносини з діловими партнерами, постачальниками електроенергії та електронних комунікаційних послуг, контролюючими органами, компаніями, що займаються обслуговуванням та оновленням засобів ПТК, мережі тощо);

клієнтська база надавача.

3. Визначення загроз

1. Процедури визначення загроз повинні передбачати заходи з виявлення загроз, оцінки ймовірності їх виникнення та наслідків. Загрози визначаються для кожного з визначених активів.

2. Надавач повинен сформувати перелік потенційних загроз з оцінкою ймовірності їх виникнення, який відповідає його реальному діловому та операційному середовищу.

Ймовірність виникнення кожної загрози оцінюється на основі:

мотивації суб'єкта загрози за кожною загрозою;

можливості реалізації вразливості з урахуванням існуючих контрзаходів;

аналізу минулих подій.

Щодо кожної загрози оцінюються наслідки її реалізації диференційно за шкалою від 1 до 5.

Значення 1 приймається, коли немає наслідків для діяльності надавача.

Значення 5 приймається, коли є критичні наслідки, які можуть призвести до припинення діяльності надавача.

3. За характером виникнення загрози можуть поділятися на природні, антропогенні, загрози неотримання надавачем необхідних засобів чи сервісів, за місцем виникнення - на внутрішні або зовнішні, бути випадковими або навмисними. Цей перелік загроз не є вичерпним. Загроза належить до певної категорії за її переважаючими характеристиками.

4. Природні загрози та ймовірність їх виникнення визначаються з урахуванням фізичного розташування інфраструктури надавача та статистичного аналізу попередніх подій. До природніх загроз можуть належати:

сейсмічні або гідрологічні події;

пожежі;

пошкодження водою (затоплення) або корозія;

електромагнітні явища (аномалії);

буревії.

5. Загрози неотримання надавачем необхідних засобів чи сервісів визначаються на основі аналізу операцій надавача, проведення яких потребує періодичного чи систематичного отримання певних засобів чи сервісів, а їх неотримання може призвести до зупинки діяльності надавача або його підрозділів. До загроз неотримання надавачем необхідних засобів чи сервісів можуть належати:

електропостачання;

доступ до електронних комунікаційних мереж;

обслуговування систем охолодження;

необхідне для роботи обладнання та/або витратні матеріали.

6. Антропогенні загрози (обумовлені діями людини) визначаються на основі аналізу операцій надавача, у виконанні яких бере участь людина. Антропогенні загрози поділяються на навмисні (викликані суб'єктами загроз) або випадкові.

До антропогенних загроз можуть належати:

крадіжка або втрата обладнання та/або даних;

випадкове знищення обладнання та/або даних;

несанкціонований доступ до обладнання та даних;

шкідливе програмне забезпечення;

витік інформації;

криптоаналіз.

До суб'єктів загроз можуть належати:

зловмисники;

комп'ютерні злочинці;

шпигунські організації;

невдоволені працівники.

У певних випадках природні загрози і загрози неотримання надавачем необхідних засобів чи сервісів також можуть бути викликані суб'єктом загрози (бути навмисними).

4. Визначення вразливостей

1. Можливі вразливості визначаються для встановлення потенційної слабкості активу або групи активів до загроз. Для визначення потенціалу вразливості застосовуються визначені активи, загрози, заходи нейтралізації загроз. При визначенні потенційних вразливостей оцінюються усі активи надавача.

2. Вразливість активу визначається за такою формулою:

ВРАЗЛИВІСТЬ = ЗАГРОЗА / (ЗАХОДИ НЕЙТРАЛІЗАЦІЇ ЗАГРОЗИ + АКТИВ)

де:

"загроза" має значення 0 за її відсутності, 1 при низькій ймовірності або 2 за її наявності;

"заходи нейтралізації загрози" мають значення 0 за відсутності гарантій щодо їх ефективної протидії реалізації загроз щодо певного активу або 2, якщо вони здатні ефективно протидіяти реалізації загроз щодо певного активу;

"актив" має значення 1;

"/" є математичною операцією ділення;

"+" є математичною операцією додавання.

3. Якщо вразливість приймає значення більше або рівне 1, необхідне запровадження додаткових заходів нейтралізації. Якщо вразливість приймає значення менше за 1, вона вважається нейтралізованою або відсутньою (значення 0).

4. Надавач проводить заходи нейтралізації загроз шляхом виконання вимог законодавства у сфері електронних довірчих послуг та вживає інших адекватних заходів відповідно до вимог стандартів у сфері інформаційної безпеки.

До заходів нейтралізації належать ті заходи, що здатні ефективно протидіяти реалізації загрози щодо певного активу.

Одна загроза може бути застосована щодо одного або кількох активів.

Один захід нейтралізації може бути застосований щодо однієї або кількох загроз.

5. При визначенні потенційних вразливостей оцінюються щонайменше такі процеси:

реєстрація заявників, подій, ведення журналів аудиту та архівів;

управління ключами надавача (генерація, резервне копіювання, відновлення, зберігання, використання та знищення);

використання засобів кваліфікованого електронного підпису;

механізми перевірки факту володіння заявником особистим ключем та отримання від заявника відкритого ключа;

автентифікація користувачів при поданні запитів на зміну статусу сертифіката;

забезпечення діяльності надавача (отримання надавачем послуг забезпечення електропостачанням, зв'язком, розхідними матеріалами та обладнанням тощо).

6. До вразливостей процесів реєстрації заявників, подій, ведення журналів аудиту та архівів можуть належати:

неадекватність або відсутність політик підтвердження ідентичності, що може призвести неправильної ідентифікації суб'єкта-заявника;

неадекватність або відсутність політик ведення та зберігання журналів аудиту;

недостатній захист ВПР від шкідливого програмного забезпечення, що може здійснювати несанкціоновані запити на сертифікацію або призвести до несправності ПТК;

недостатній рівень захисту реєстраційних записів та архівів.

7. До вразливостей процесів керування ключами можуть належати:

відсутність резервного копіювання особистих ключів надавача;

недостатній захист резервних копій особистих ключів надавача;

невикористання засобів і заходів, які гарантують неможливість відновлення особистого ключа надавача при його знищенні.

8. До вразливостей процесів використання засобів кваліфікованого електронного підпису можуть належати:

неадекватність або відсутність політик перевірки застосування користувачами засобів кваліфікованого електронного підпису для генерації особистих ключів та їх зберігання;

використання для зберігання особистих ключів засобів кваліфікованого електронного підпису, які не забезпечують захист особистих ключів від несанкціонованого доступу, від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання.

9. До вразливостей механізмів перевірки факту володіння заявником особистим ключем та отримання від заявника відкритого ключа можуть належати:

неадекватність або відсутність політик перевірки володіння заявником особистим ключем;

відсутність перевірки на наявність шкідливого програмного забезпечення носіїв інформації, на яких заявники подають до надавача попередньо сформовані запити на сертифікацію з відкритими ключами, та/або підключення таких носіїв безпосередньо до ПТК надавача.

10. До вразливостей процесів автентифікації користувачів при поданні ними запитів на зміну статусу сертифіката може належати неадекватність або відсутність політик автентифікації користувачів за ключовою фразою.

11. До вразливостей процесів забезпечення діяльності надавача можуть належати:

укладання з постачальником електроенергії договору, який не гарантує усунення перебоїв електропостачання протягом часу можливого забезпечення безперебійного електроживлення системою автономного електроживлення;

відсутність резервування електронних комунікаційних мереж доступу;

відсутність обліку та завчасного замовлення витратних матеріалів, необхідних для роботи надавача;

експлуатація техніки та обладнання понад встановлені експлуатаційні терміни.