Про затвердження Регламенту роботи центрального засвідчувального органу

Чинний Наказ

Номер: 115
Прийняття: 27.08.2021
Видавники: Міністерство цифрової трансформації України

МІНІСТЕРСТВО ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ

НАКАЗ

27.08.2021 № 115

Зареєстровано в Міністерстві
юстиції України
07 жовтня 2021 р.
за № 1313/36935

Про затвердження Регламенту роботи центрального засвідчувального органу

{Із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації
№ 23 від 23.02.2023}

Відповідно до частини шостої статті 29 Закону України «Про електронні довірчі послуги», пунктів 4, 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, НАКАЗУЮ:

1. Затвердити Регламент роботи центрального засвідчувального органу, що додається.

2. Визначити державне підприємство «ДІЯ» адміністратором інформаційно-комунікаційної системи центрального засвідчувального органу, що здійснює технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу.

{Пункт 2 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

3. Адміністратору інформаційно-комунікаційної системи центрального засвідчувального органу - державному підприємству «ДІЯ» розмістити цей наказ на офіційному вебсайті центрального засвідчувального органу.

{Пункт 3 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

4. Визнати таким, що втратив чинність, наказ Міністерства цифрової трансформації України від 19 грудня 2019 року № 27 «Про затвердження Регламенту роботи центрального засвідчувального органу», зареєстрований в Міністерстві юстиції України 11 січня 2020 року за № 33/34316 (зі змінами).

5. Департаменту функціонального розвитку цифровізації подати цей наказ на державну реєстрацію в установленому законодавством порядку.

6. Цей наказ набирає чинності з дня його офіційного опублікування.

7. Контроль за виконанням цього наказу покласти на заступника Міністра відповідно до розподілу обов’язків.

Віце-прем’єр-міністр України -
Міністр

М. Федоров

ПОГОДЖЕНО:

Голова Державної служби спеціального зв’язку
та захисту інформації України

Голова Державної регуляторної служби України

Ю. Щиголь

О. Кучер

ЗАТВЕРДЖЕНО
Наказ Міністерства
цифрової трансформації України
27 серпня 2021 року № 115

Зареєстровано в Міністерстві
юстиції України
07 жовтня 2021 р.
за № 1313/36935

РЕГЛАМЕНТ
роботи центрального засвідчувального органу

{У тексті Регламенту: слово «інформаційно-телекомунікаційна» у всіх відмінках та числах замінено словом «інформаційно-комунікаційна» у відповідних відмінках та числах; слово «телекомунікаційних» у всіх відмінках замінено словами «електронних комунікаційних» у відповідних відмінках; слово «ІТС» замінено словом «ІКС» згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

I. Загальні положення

1. Цей Регламент визначає організаційно-методологічні, технічні та технологічні умови діяльності центрального засвідчувального органу (далі - ЦЗО) під час надання ним кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, порядок взаємодії кваліфікованих надавачів електронних довірчих послуг (далі - надавачі) з ЦЗО у процесі надання ним кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, а також внесення юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, до Довірчого списку.

2. Цей Регламент є обов’язковим для юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, та для надавачів.

3. Дія цього Регламенту не поширюється на надавачів електронних довірчих послуг, що не мають наміру надавати кваліфіковані електронні довірчі послуги, а також на надавачів, що мають намір надавати кваліфіковані довірчі послуги в банківській системі та під час здійснення переказу коштів.

4. У цьому Регламенті терміни вжиті в таких значеннях:

адміністратор інформаційно-комунікаційної системи ЦЗО (далі - Адміністратор ІКС ЦЗО) - державне підприємство «ДІЯ» (далі - ДП «ДІЯ»), яке належить до сфери управління головного органу у системі центральних органів виконавчої влади, що забезпечує формування та реалізацію державної політики у сфері електронних довірчих послуг, та здійснює технічне й технологічне забезпечення виконання функцій ЦЗО;

інформаційно-комунікаційна система ЦЗО (далі - ІКС ЦЗО) - сукупність інформаційних та електронних комунікаційних систем ЦЗО, які у процесі обробки інформації діють як єдине ціле та об’єднують програмно-технічний комплекс, що використовується під час надання послуг (далі - програмно-технічний комплекс), фізичне середовище, інформацію, що обробляється в цих системах, а також найманих працівників ЦЗО, які безпосередньо залучені в наданні послуг або обслуговують програмно- технічний комплекс (далі - наймані працівники);

політика сертифіката - перелік усіх правил, що застосовуються Адміністратором ІКС ЦЗО у процесі надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;

положення сертифікаційних практик - перелік усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката ЦЗО.

Інші терміни, що вживаються у цьому Регламенті, застосовуються у значеннях, визначених нормативно-правовими актами, що регулюють відносини у сфері електронних довірчих послуг.

5. Головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг, на який покладено виконання функцій ЦЗО, є Міністерство цифрової трансформації України (далі - Мінцифри):

місцезнаходження (поштова адреса): вул. Ділова, 24, м. Київ, 03150;

код за ЄДРПОУ: 43220851;

телефон: (044) 207-17-39.

Адреса електронного інформаційного ресурсу ЦЗО, доступ до якого забезпечується через електронні комунікаційні мережі загального користування цілодобово (далі - офіційний вебсайт ЦЗО): www.czo.gov.ua.

Адреса електронної пошти для офіційного листування: [email protected]

6. Адміністратор ІКС ЦЗО:

місцезнаходження (поштова адреса): вул. Ділова, 24, м. Київ, 03150;

код за ЄДРПОУ: 43395033;

адреса електронної пошти технічної підтримки: [email protected].

7. Мінцифри виконує функції ЦЗО, визначені підпунктом 20 пункту 4 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856.

Структурним підрозділом, визначеним у Мінцифри відповідальним за виконання функцій ЦЗО, є експертна група розвитку електронної ідентифікації та електронних довірчих послуг директорату розвитку цифровізації.

{Пункт 7 розділу I із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

8. Адміністратор ІКС ЦЗО здійснює технічне та технологічне забезпечення виконання таких функцій ЦЗО:

функціонування програмно-технічного комплексу ЦЗО та захисту інформації, що в ньому обробляється, відповідно до вимог законодавства;

функціонування вебсайту ЦЗО;

ведення Довірчого списку;

ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;

генерація пари ключів та створення самопідписаних сертифікатів ключів електронної печатки ЦЗО;

надання послуг надавачам із використанням самопідписаного сертифіката електронної печатки ЦЗО, що призначений для надання таких послуг;

надання послуги постачання передачі сигналів точного часу, синхронізованого з Державним еталоном одиниць часу і частоти;

технологічне забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації;

використання ІКС ЦЗО для визнання в Україні електронних довірчих послуг, іноземних сертифікатів відкритих ключів, що використовуються під час надання юридично значущих електронних послуг у процесі взаємодії між суб’єктами різних держав;

надання цілодобового доступу до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів ключів через електронні комунікаційні мережі загального користування;

скасування, блокування та поновлення сертифікатів ключів у випадках, передбачених Законом України «Про електронні довірчі послуги» (далі - Закон);

приймання та зберігання документованої інформації, сформованих сертифікатів (у тому числі посилених, кваліфікованих) відкритих ключів, реєстрів чинних, блокованих та скасованих сертифікатів відкритих ключів у разі припинення діяльності надавача.

{Пункт 8 розділу I доповнено новим абзацом згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

9. Робота Мінцифри організована в одну робочу зміну з понеділка по четвер з 09:00 до 18:00, обідня перерва - з 13:00 до 13:45; у п’ятницю - з 09:00 до 16:45, обідня перерва - з 13:00 до 13:45. Заяви та документи для внесення відомостей про юридичних осіб, фізичних осіб - підприємців до Довірчого списку приймаються та розглядаються за адресою: вул. Ділова, 24, м. Київ, 03150.

{Пункт 9 розділу I із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

10. Робота Адміністратора ІКС ЦЗО організована в одну робочу зміну з понеділка по четвер з 09:00 до 18:00, обідня перерва - з 13:00 до 13:45; у п’ятницю - з 09:00 до 16:45, обідня перерва - з 13:00 до 13:45 (за винятком приймання заяв надавачів на блокування, скасування та поновлення їх сертифікатів ключів, що є цілодобовим). Заяви на блокування, скасування та поновлення сертифікатів ключів подаються в паперовій формі за адресою: вул. Ділова, 24, м. Київ, 03150, чи в електронній формі з накладенням кваліфікованого електронного підпису керівника надавача або його уповноваженої особи на адресу електронної пошти: [email protected]. Документована інформація, що передається надавачем до Адміністратора ІКС ЦЗО в разі припинення його діяльності, приймається та розглядається за адресою: вул. Ділова, 24, м. Київ, 03150.

{Пункт 10 розділу I із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

11. Цей Регламент та зміни до нього розміщуються на офіційному вебсайті ЦЗО.

12. Формати, структура та протоколи, що застосовуються під час формування сертифікатів ключів ЦЗО, формування кваліфікованих сертифікатів відкритих ключів надавачів, формування списків відкликаних сертифікатів (далі - СВС) ЦЗО мають відповідати стандартам, які визначені Переліком стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, та вимогам до технічних засобів, у тому числі до алгоритмів, форматів, структури, протоколів та інтерфейсів, які реалізуються такими засобами, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації відповідно до постанови Кабінету Міністрів України від 16 грудня 2015 року № 1057 «Про визначення сфер діяльності, в яких центральні органи виконавчої влади та Служба безпеки України здійснюють функції технічного регулювання» (далі - Постанова).

II. Перелік кваліфікованих електронних довірчих послуг, надання яких забезпечує Адміністратор ІКС ЦЗО

1. Адміністратор ІКС ЦЗО надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачам з урахуванням вимог статті 29 Закону України «Про електронні довірчі послуги» (далі - Закон).

2. Адміністратор ІКС ЦЗО надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки безоплатно для органів державної влади, місцевого самоврядування, інших юридичних осіб публічного права.

3. Адміністратор ІКС ЦЗО надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачам з урахуванням пункту 2 цього розділу відповідно до тарифів, затверджених в установленому законодавством порядку.

III. Посадовий склад та функції найманих працівників Адміністратора ІКС ЦЗО

1. Для виконання технічних та технологічних функцій ЦЗО Адміністратор ІКС ЦЗО створює технічний підрозділ, який складається з:

посадової особи, на яку покладені обов’язки керівника технічного підрозділу;

адміністратора реєстрації;

адміністратора сертифікації;

адміністратора безпеки та аудиту;

системного адміністратора.

Посада адміністратора безпеки та аудиту не має суміщатися з іншими посадами найманих працівників, обов’язки яких безпосередньо пов’язані з наданням послуг.

2. Наймані працівники повинні мати необхідні для надання послуг знання, досвід і кваліфікацію.

На посади адміністратора сертифікації, системного адміністратора, адміністратора безпеки та аудиту може бути призначена особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше 3 років.

3. Керівник та наймані працівники повинні бути ознайомлені з положеннями їх посадових інструкцій та діяти відповідно до своїх посадових функцій та завдань.

4. З метою забезпечення захисту інформації в ІКС ЦЗО шляхом вирішення питань, пов’язаних із проектуванням, розробленням, модернізацією, введенням в експлуатацію та підтримкою працездатності комплексної системи захисту інформації (далі - КСЗІ), та додержання режиму безпеки в ІКС ЦЗО створюється підрозділ служби захисту інформації (далі - СЗІ).

До складу СЗІ входять:

посадова особа, на яку покладені обов’язки керівника СЗІ;

адміністратор безпеки та аудиту;

системний адміністратор.

Основними функціями СЗІ є:

забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;

розроблення розпорядчих документів, згідно з якими Адміністратор ІКС ЦЗО має забезпечувати захист інформації, контроль за їх виконанням;

своєчасне реагування на спроби несанкціонованого доступу до інформаційних ресурсів ІКС ЦЗО, порушення правил експлуатації засобів захисту інформації.

Обов’язки керівника СЗІ покладаються на посадову особу, на яку покладені обов’язки керівника технічного підрозділу.

Керівник СЗІ забезпечує належне виконання СЗІ її функцій.

5. Адміністратор реєстрації забезпечує належну перевірку документів, наданих заявниками, їх заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.

Основними обов’язками адміністратора реєстрації є:

1) ідентифікація та автентифікація заявників;

2) перевірка заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;

3) встановлення належності відкритого ключа та відповідного йому особистого ключа надавачу;

4) ведення обліку надавачів та контроль за розрахунками за надану їм кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;

5) ведення архівів (справи надавачів, документи, на підставі яких Адміністратором ІКС ЦЗО надаються кваліфіковані електронні довірчі послуги та вносяться відомості до Довірчого списку).

6. Адміністратор сертифікації забезпечує належне формування сертифікатів ключів, ведення Довірчого списку та електронного реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, зберігання та використання особистих ключів ЦЗО, а також створення їх резервних копій.

Основними обов’язками адміністратора сертифікації є:

1) участь у генерації пар ключів ЦЗО та створенні резервних копій особистих ключів ЦЗО;

2) зберігання особистих ключів ЦЗО та їх резервних копій;

3) ведення Довірчого списку;

4) забезпечення використання особистих ключів ЦЗО під час формування та обслуговування сертифікатів ключів ЦЗО та кваліфікованих сертифікатів відкритих ключів надавачів, а також внесення відомостей до Довірчого списку;

5) перевірка заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу на відповідність вимогам цього Регламенту;

6) участь у знищенні особистих ключів ЦЗО;

7) ведення, архівування та відновлення баз даних кваліфікованих сертифікатів відкритих ключів надавачів;

8) публікація кваліфікованих сертифікатів відкритих ключів надавачів та СВС на офіційному вебсайті ЦЗО;

9) створення резервних копій сертифікатів ключів ЦЗО та Довірчого списку;

10) зберігання кваліфікованих сертифікатів відкритих ключів надавачів, їх резервних копій, СВС та інших важливих ресурсів ІКС ЦЗО.

7. Адміністратор безпеки та аудиту забезпечує належне функціонування КСЗІ та здійснення перевірок дотримання найманими працівниками вимог внутрішньої організаційно-розпорядчої документації та документації на КСЗІ.

Основними обов’язками адміністратора безпеки та аудиту є:

1) участь у генерації пар ключів та створенні резервних копій особистих ключів ЦЗО;

2) контроль за формуванням, обслуговуванням та створенням резервних копій сертифікатів ключів ЦЗО, кваліфікованих сертифікатів відкритих ключів надавачів та СВС;

3) контроль за зберіганням особистих ключів ЦЗО та їх резервних копій, особистих ключів адміністраторів;

4) участь у знищенні особистих ключів ЦЗО, контроль за правильним і своєчасним знищенням адміністраторами їх особистих ключів;

5) організація розмежування доступу до ресурсів ІКС ЦЗО;

6) спостереження за функціонуванням КСЗІ (реєстрація подій в ІКС ЦЗО, моніторинг подій тощо);

7) організація та проведення заходів із модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІКС ЦЗО;

8) забезпечення режиму доступу до приміщень ЦЗО, в яких розміщена ІКС ЦЗО;

9) ведення журналів обліку адміністратора безпеки та аудиту, передбачених документацією на КСЗІ;

10) здійснення перевірок журналів аудиту подій, що реєструють технічні засоби ІКС ЦЗО;

11) здійснення перевірок відповідності внутрішньої організаційно-розпорядчої документації ЦЗО та документації на КСЗІ;

12) контроль за дотриманням найманими працівниками внутрішньої організаційно-розпорядчої документації та документації на КСЗІ;

13) контроль за веденням баз даних;

14) контроль за веденням архіву.

8. Системний адміністратор забезпечує належне функціонування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби) ІКС ЦЗО.

Основними обов’язками системного адміністратора є:

1) організація експлуатації та технічного обслуговування ІКС ЦЗО і адміністрування її технічних засобів;

2) забезпечення функціонування офіційного вебсайту ЦЗО;

3) участь у впровадженні та забезпеченні функціонування КСЗІ;

4) налаштування ведення журналів аудиту подій, що реєструють технічні засоби ІКС ЦЗО;

5) встановлення, налаштування та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення ІКС ЦЗО;

6) встановлення та налагодження штатної підсистеми резервного копіювання бази даних ІКС ЦЗО;

7) забезпечення актуалізації баз даних, створюваних та оброблюваних в ІКС ЦЗО, після збоїв.

IV. Політика сертифіката

1. Сфера використання кваліфікованих сертифікатів відкритих ключів ЦЗО та надавачів

1. Адміністратор ІКС ЦЗО формує кваліфікований самопідписаний сертифікат відкритого ключа електронної печатки ЦЗО (далі - самопідписаний сертифікат електронної печатки ЦЗО) з обов’язковими реквізитами відповідно до таблиці 2 додатка 1 до цього Регламенту, що містить відкритий ключ, відповідний йому особистий ключ ЦЗО, призначений для формування кваліфікованих сертифікатів відкритих ключів надавачів та СВС.

Для засвідчення інформації в Довірчому списку та даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначаються в режимі реального часу, використовуються окремі спеціально призначені кваліфіковані сертифікати відкритого ключа електронної печатки ЦЗО, засвідчені з використанням самопідписаного сертифіката електронної печатки ЦЗО.

Використання особистих та відповідних їм відкритих ключів за іншим призначенням (сферою використання) здійснюється з урахуванням пункту 1 глави 5 цього розділу.

2. Адміністратор ІКС ЦЗО формує кваліфіковані сертифікати відкритих ключів надавачів, що містять відкриті ключі, відповідні їм особисті ключі, призначені для формування сертифікатів ключів підписувачів, створювачів електронних печаток, СВС, надання інших кваліфікованих електронних довірчих послуг, передбачених частиною другою статті 16 Закону.

Для кожної кваліфікованої електронної довірчої послуги надавачі використовують окремий кваліфікований сертифікат відкритого ключа, сформований Адміністратором ІКС ЦЗО.

Під час розгляду заяви про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу Адміністратор ІКС ЦЗО здійснює перевірку унікальності відкритого ключа надавача в електронному реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів. Засвідчення відкритого ключа, який не пройшов перевірку на унікальність в електронному реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів, забороняється.

2. Порядок розповсюдження інформації ЦЗО

1. На офіційному вебсайті ЦЗО розповсюджується (публікується) така інформація:

Довірчий список;

електронний реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;

сертифікати відкритих ключів ЦЗО;

СВС;

рішення ЦЗО про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку;

відомості про прийняття від надавачів на зберігання документованої інформації в разі припинення їх діяльності;

нормативно-правові акти, що регулюють відносини у сфері електронних довірчих послуг, цей Регламент, форма договору про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки та інших документів, методичні та довідкові матеріали;

інформація щодо поточної діяльності ЦЗО.

2. Публікація чинних кваліфікованих сертифікатів відкритих ключів ЦЗО та надавачів здійснюється відповідно до Порядку ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, затвердженого наказом Міністерства цифрової трансформації 29 липня 2020 року № 112, зареєстрованого в Міністерстві юстиції України 18 серпня 2020 року за № 798/35081.

Доступ до сертифікатів ключів ЦЗО та кваліфікованих сертифікатів відкритих ключів надавачів забезпечується цілодобово.

3. Інформація щодо скасованих та блокованих кваліфікованих сертифікатів відкритих ключів надавачів публікується на офіційному вебсайті ЦЗО у вигляді повного та часткового СВС.

4. Повні СВС публікуються не рідше одного разу на тиждень не пізніше закінчення строку дії попереднього СВС та містять інформацію про всі відкликані сертифікати ключів, які були сформовані Адміністратором ІКС ЦЗО.

5. Часткові СВС публікуються не рідше одного разу на дві години не пізніше закінчення строку дії попереднього СВС та містять інформацію про всі відкликані сертифікати ключів, статус яких був змінений в інтервалі між часом випуску останнього повного СВС та часом формування поточного часткового СВС.

Доступ до СВС забезпечується цілодобово.

3. Порядок ідентифікації та автентифікації надавачів

1. Адміністратор ІКС ЦЗО здійснює ідентифікацію, автентифікацію та перевірку обсягу цивільної правоздатності та дієздатності заявників під час формування, блокування, скасування та поновлення кваліфікованого сертифіката відкритого ключа надавача на підставі відповідної заяви надавача з дотриманням вимог статті 22 Закону.

2. Для надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки Адміністратор ІКС ЦЗО здійснює ідентифікацію заявника шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади.

3. Ідентифікація юридичної особи здійснюється за її установчими документами та даними, одержаними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань.

4. Ідентифікація фізичної особи здійснюється за паспортом громадянина України або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи.

5. Перевірка обсягів повноважень уповноваженого представника юридичної особи здійснюється за документом або даними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, що визначають повноваження представника.

6. Перевірка обсягів повноважень уповноваженого представника колегіального органу юридичної особи здійснюється за документом, в якому визначені повноваження відповідного органу та розподіл обов’язків між його членами.

7. Перевірка обсягів повноважень фізичної особи - підприємця здійснюється за даними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань.

8. Ідентифікація іноземців здійснюється відповідно до законодавства.

9. Підтвердження володіння надавачем особистим ключем, відповідним йому відкритим ключем, який надається для сертифікації, здійснюється шляхом електронної автентифікації з використанням алгоритмів криптографічного захисту інформації, реалізованих засобами ІКС ЦЗО.

10. Механізм підтвердження володіння надавачем особистим ключем являє собою перевірку удосконаленого електронного підпису чи печатки, накладеного(-ї) на запит на формування сертифіката ключа, особистим ключем надавача за допомогою відкритого ключа, що міститься в запиті.

11. Підтвердження володіння надавачем особистим ключем здійснюється без розкриття особистого ключа.

4. Управління та операційний контроль

1. Фізичне середовище:

1) програмно-технічний комплекс ЦЗО розташовується та експлуатується згідно з вимогами до умов експлуатації та за місцезнаходженням, що зазначені в експертному висновку за результатами державної експертизи у сфері технічного захисту інформації, який є невід’ємною частиною атестата відповідності комплексної системи захисту інформації вимогам нормативних документів у сфері захисту інформації;

2) приміщення, в якому розміщено локальну обчислювальну мережу (далі - ЛОМ) управління ІКС ЦЗО, розділені на функціональні зони за рівнями безпеки приміщень відповідно до Вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації, затверджених наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 травня 2020 року № 269, зареєстрованим у Міністерстві юстиції України 16 липня 2020 року за № 668/34951. ЛОМ управління ІКС ЦЗО являє собою об’єднані робочі станції найманих працівників, на яких покладено виконання обов’язків адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та аудиту, системного адміністратора (далі - адміністратори) з використанням комутаційного обладнання, розміщуються відокремлено від серверів і підключаються до ЛОМ серверів ІКС ЦЗО через електронні комунікаційні мережі загального користування. Підключення здійснюється через шлюз захисту мережевих з’єднань, який розміщується на стороні ЛОМ серверів ІКС ЦЗО так, що утворюється єдина віртуальна ЛОМ. Шлюз захисту мережевих з’єднань призначений для автентифікації адміністраторів під час підключення до ЛОМ серверів шляхом встановлення захищеного мережевого з’єднання з робочими станціями адміністраторів;

3) приміщення, в яких розміщено ЛОМ серверів ІКС ЦЗО та Резервне плече ЛОМ серверів ІКС ЦЗО розділені на функціональні зони за рівнями безпеки приміщень відповідно до Вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації, затверджених наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 травня 2020 року № 269, зареєстрованим у Міністерстві юстиції України 16 липня 2020 року за № 668/34951, та обладнуються згідно з вимогами до спеціальних приміщень надавачів, які передбачають проведення заходів щодо пасивного захисту інформації від її витоку каналами побічних електромагнітних випромінювань та наведень, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів (далі - спеціальне приміщення);

4) спеціальне приміщення обладнується автоматичною системою контролю доступу, яка забезпечує фізичний доступ до приміщень тільки особам, визначеним наказом керівника Адміністратора ІКС ЦЗО;

5) фізичний доступ до обладнання програмно-технічного комплексу, що забезпечує сертифікацію, управління статусом сертифіката, генерацію ключів ЦЗО, обмежується та надається тільки визначеному колу осіб з-поміж найманих працівників;

6) Адміністратор ІКС ЦЗО вживає запобіжних заходів щодо недопущення крадіжки, втрати та ушкодження обладнання, крадіжки та знищення (руйнування) інформації або інших дій, що можуть призвести до виведення ІКС ЦЗО зі штатного режиму роботи;

7) спеціальні приміщення використовуються для розташування технічних засобів, за допомогою яких здійснюються генерація та використання особистих ключів ЦЗО, а також обробки інформації, необхідність технічного захисту якої визначена в технічному завданні на створення КСЗІ;

8) технічний захист інформації, в тому числі захист від впливу зовнішніх електромагнітних полів, у спеціальних приміщеннях здійснюється шляхом створення умов для забезпечення електромагнітного екранування технічних засобів та розміщення шаф в один із таких способів:

суцільне екранування усієї внутрішньої поверхні спеціальних приміщень;

розміщення технічних засобів та шаф в окремій екранованій кабіні (декількох кабінах);

розміщення в неекранованих спеціальних приміщеннях лише екранованих шаф і технічних засобів в екранованому виконанні;

9) спеціальні приміщення відокремлюються від зовнішніх стін (з боку оточуючої міської забудови) коридорами тощо;

10) вікна спеціального приміщення обладнуються надійними металевими ґратами, захищаються від зовнішнього спостереження за допомогою скла з матовою чи рельєфною поверхнею (нерівностями назовні), непрозорих штор;

11) спеціальні приміщення обладнуються системою контролю доступу та пожежною сигналізацією. Двері спеціальних приміщень обладнуються кодовим замком або системою доступу;

12) величина ефективності екранування спеціальних приміщень (інших варіантів пасивного захисту) та екранованих шаф для зберігання має становити не менше 20 дБ у діапазоні частот 0,15-1000 МГц щодо захисту від впливів зовнішніх електромагнітних полів;

13) розроблення, виготовлення, монтаж і визначення ефективності екранування спеціальних приміщень проводяться відповідно до вимог нормативних документів із питань технічного захисту інформації, що стосуються екранованих приміщень;

14) спеціальні екрановані приміщення (окрема екранована кабіна (шафа), технічні засоби в екранованому виконанні) оснащуються:

протизавадними фільтрами для захисту вводів мереж електроживлення;

протизавадними фільтрами конструкції типу «позамежний хвильовід» для захисту місць вводу систем опалення, вентиляції та кондиціонування повітря;

іншими відповідними протизавадними фільтрами (в разі необхідності) для захисту вводів оптоволоконних, сигнальних мереж тощо;

15) протизавадні фільтри за своїми характеристиками мають забезпечувати ефективність екранування у всьому діапазоні частот екранування не нижче величин, визначених у підпункті 12 цього пункту;

16) екрануючі поверхні спеціальних приміщень (інші варіанти пасивного захисту) та екранованих шаф не повинні мати гальванічного зв’язку з металоконструкціями будівлі (коробами, екрануючими та захисними оболонками кабелів тощо), що мають вихід за межі контрольованої зони Адміністратора ІКС ЦЗО;

17) для електроживлення технічних засобів, що розміщуються у спеціальних приміщеннях, спільно з протизавадними фільтрами захисту кіл електроживлення встановлюються пристрої безперервного електроживлення;

18) система заземлення спеціальних приміщень та їх складових елементів обладнується відповідно до вимог до спеціальних приміщень.

2. Контроль доступу:

1) Адміністратор ІКС ЦЗО передбачає та впроваджує захист внутрішньої обчислювальної мережі від несанкціонованого доступу з боку користувачів зовнішньої мережі (глобальних мереж), у тому числі надавачів та третіх сторін. Засоби контролю доступу до інформаційних ресурсів ЦЗО здійснюють блокування всіх мережевих протоколів та спроб доступу, що необов’язкові для функціонування ІКС ЦЗО;

2) Адміністратор ІКС ЦЗО забезпечує розмежування доступу найманих працівників до ресурсів системи та надання функцій згідно з їхньою авторизацією так, щоб наймані працівники виконували лише ті функції, що доступні та асоційовані з їх функціями та завданнями;

3) наймані працівники повинні бути успішно ідентифіковані та автентифіковані перед початком виконання процедур, пов’язаних із формуванням сертифіката ключа або зміною його статусу;

4) всі дії найманих працівників, пов’язані з генерацією пар ключів, формуванням сертифікатів відкритих ключів або зміною їх статусу, протоколюються із забезпеченням захисту протоколів від несанкціонованого доступу;

5) резервні копії сертифікатів відкритих ключів та журналів аудиту подій зберігаються в окремому приміщенні Адміністратора ІКС ЦЗО із забезпеченням їх захисту від несанкціонованого доступу;

6) програмно-технічний комплекс має забезпечувати реєстрацію дій найманих працівників;

7) журнали аудиту подій повинні мати захист від несанкціонованого доступу, модифікації або знищення (руйнування) інформації.

3. Процедурний контроль:

1) посадові особи, на яких покладені обов’язки керівника технічного підрозділу, адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та аудиту, системного адміністратора, забезпечують належне виконання своїх обов’язків, нерозголошення конфіденційної інформації, зокрема відомостей про персональні дані надавачів, згідно із Законом;

2) інші обов’язки посадових осіб, зокрема обов’язки керівника технічного підрозділу, адміністратора реєстрації, адміністратора сертифікації, адміністратора безпеки та аудиту, системного адміністратора, визначаються розпорядчими документами Адміністратора ІКС ЦЗО та документацією КСЗІ ІКС ЦЗО.

4. Ведення журналів аудиту подій:

1) у журналах аудиту подій ІКС ЦЗО реєструються дії та події таких типів:

спроби створення, знищення, встановлення паролів, зміни прав доступу в ІКС ЦЗО тощо;

заміна технічних засобів ІКС ЦЗО та пар ключів;

формування, блокування, скасування та поновлення сертифікатів ключів, формування всіх СВС;

спроби несанкціонованого доступу до ІКС ЦЗО;

надання доступу персоналу до ІКС ЦЗО;

зміна системних конфігурацій та технічне обслуговування ІКС ЦЗО;

збої в роботі ІКС ЦЗО;

інші події, відомості про які фіксуються в журналі аудиту подій ІКС ЦЗО;

2) усі записи в журналах аудиту подій в електронній або паперовій формі повинні містити дату та час дії або події, а також ідентифікувати суб’єкта, що її здійснив або ініціював.

Системний адміністратор забезпечує належне ведення журналів аудиту подій, що реєструють технічні засоби ІКС ЦЗО;

3) журнали аудиту подій підлягають перегляду не рідше одного разу на тиждень. Перегляд передбачає перевірку журналу аудиту подій на предмет несанкціонованих модифікацій, вивчення всіх дій та/або подій у журналі аудиту подій зі зверненням особливої уваги на повідомлення про невідповідності та попередження про небезпечні ситуації.

Перегляд журналів аудиту подій ІКС ЦЗО здійснює адміністратор безпеки та аудиту. Результати перегляду адміністратор безпеки та аудиту фіксує у відповідному журналі;

4) система ведення електронного журналу аудиту подій має бути синхронізована із Всесвітнім координованим часом із точністю до секунди та містити механізми його захисту від неавторизованого перегляду, модифікації та знищення.

Журнали аудиту подій в електронній формі резервуються з періодичністю не менше одного разу на тиждень;

5) Адміністратор ІКС ЦЗО зберігає журнали аудиту подій на місці їх створення протягом 10 років, після чого забезпечує їх передавання для архівного зберігання.

5. Ведення архівів ЦЗО:

1) архівування інформації здійснюється згідно із внутрішніми організаційно-розпорядчими документами Адміністратора ІКС ЦЗО;

2) обов’язковому архівуванню підлягають:

сертифікати відкритих ключів ЦЗО та відповідні списки відкликаних сертифікатів;

кваліфіковані сертифікати відкритих ключів надавачів;

запити на формування сертифікатів відкритих ключів в електронній формі;

журнали аудиту подій ІКС ЦЗО;

документована інформація - документи на папері та в електронній формі, що були надані надавачами Адміністратору ІКС ЦЗО, на підставі яких Адміністратором ІКС ЦЗО були надані кваліфіковані електронні довірчі послуги та були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів для надавачів (договори, довіреності, заяви та запити на формування кваліфікованих сертифікатів), а також документи, на підставі яких Адміністратором ІКС ЦЗО були внесені відомості про надавачів та послуги, що ними надаються, до Довірчого списку;

документована інформація (документи на папері та в електронній формі), що була передана надавачами до центрального засвідчувального органу в разі припинення його діяльності з надання кваліфікованих електронних довірчих послуг, а саме:

{Підпункт 2 пункту 5 глави 4 розділу IV доповнено новим абзацом згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

документи в електронній формі - договори, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги, усі сформовані кваліфіковані сертифікати відкритих ключів, реєстри сформованих кваліфікованих сертифікатів відкритих ключів, документи, на підставі яких були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів (якщо такий спосіб передбачений регламентом роботи кваліфікованого надавача електронних довірчих послуг), список відкликаних сертифікатів;

документи на папері - договори, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги, документи, на підставі яких були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, реєстри сформованих кваліфікованих сертифікатів відкритих ключів, а також засвідчені в установленому порядку копії рішень (ухвал) судів щодо відшкодування збитків, завданих унаслідок неналежного виконання кваліфікованим надавачем своїх обов’язків;

{Підпункт 2 пункту 5 глави 4 розділу IV із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

3) документи в паперовій та електронній формах мають зберігатися в порядку, встановленому законодавством у сфері архівної справи;

4) знищення архівних документів має здійснюватися комісією, до складу якої входять керівник Адміністратора ІКС ЦЗО, адміністратор сертифікації, адміністратор безпеки та аудиту. Після завершення процедури знищення архівних документів складається відповідний акт, який затверджує керівник Адміністратора ІКС ЦЗО;

5) сертифікати відкритих ключів ЦЗО, сертифікати відкритих ключів серверів ЦЗО та сертифікати відкритих ключів адміністраторів, кваліфіковані сертифікати відкритих ключів надавачів, а також СВС зберігаються постійно;

6) для зберігання носіїв із резервними та архівними копіями виділяється окреме сховище (сейф чи відсік сейфа) з двома екземплярами ключів і пристроями для опечатування. Один екземпляр ключа від сховища знаходиться в адміністратора безпеки та аудиту, другий в опечатаному вигляді зберігається у сховищі (сейфі) керівника СЗІ ІКС ЦЗО;

7) засоби, що входять до складу центрального сервера автоматизованої системи ЦЗО, забезпечують автоматичне резервне копіювання сертифікатів відкритих ключів. Автоматичне створення резервної копії має виконуватися не рідше одного разу на добу під час найменшого завантаження центрального сервера;

8) додатково може виконуватися резервне копіювання сертифікатів відкритих ключів на оптичні носії або інші з’ємні носії інформації в ручному режимі. Після створення нової резервної копії попередня стає архівною;

9) відновлення сертифікатів відкритих ключів із резервної копії здійснюється засобами центрального сервера комплексу шляхом зчитування сертифікатів відкритих ключів з останньої (актуальної) резервної копії та запису їх у базу даних сервера;

10) з’ємні носії зберігаються в конвертах чи упаковках, що опечатуються печаткою адміністратора сертифікації. Водночас на упаковці зазначається обліковий номер копії. Факти створення та використання копій фіксуються в окремому журналі;

11) резервні копії баз даних та журнали аудиту подій ІКС ЦЗО зберігаються у приміщенні Адміністратора ІКС ЦЗО 10 років. Контроль за здійсненням автоматичного резервного копіювання та виконання резервного копіювання в ручному режимі покладаються на системного адміністратора. Адміністратор безпеки та аудиту періодично контролює процес створення та зберігання резервних копій;

12) архівне приміщення обладнується технічними засобами, які виключають можливість проникнення сторонніх осіб та неконтрольованого доступу до інформації, що підлягає архівуванню;

13) надавач, що засвідчив свій відкритий ключ у ЦЗО, у разі припинення діяльності з надання послуг здійснює передання документованої інформації Адміністратору ІКС ЦЗО;

{Підпункт 13 пункту 5 глави 4 розділу IV із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

14) механізм обов’язкового передання на зберігання Адміністратору ІКС ЦЗО сертифікатів ключів, документованої інформації надавачем у разі припинення його діяльності з надання послуг, а також забезпечення передавання її на архівне зберігання визначаються Порядком зберігання документованої інформації та її передавання центральному засвідчувальному органу в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг, затвердженим постановою Кабінету Міністрів України від 10 жовтня 2018 року № 821.

{Підпункт 14 пункту 5 глави 4 розділу IV із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

5. Управління парами ключів ЦЗО

1. В ІКС ЦЗО використовуються особисті та відповідні їм відкриті ключі з параметрами, що відповідають вимогам пункту 3 наказу Міністерства цифрової трансформації України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 30 вересня 2020 року № 140/614 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг», зареєстрованого в Міністерстві юстиції України 22 жовтня 2020 року за № 1039/35322, та за такими призначеннями (сферою використання):

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 за ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння», затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002). З функцією гешування за ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования» або за ДСТУ 7564-2014 «Інформаційні технології. Криптографічний захист інформації. Функція ґешування»;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на Довірчому списку зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002.

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

особисті та відповідні їм відкриті ключі шлюзів захисту мережевих з’єднань та шифраторів мережевого потоку зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з’єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів, СВС із використанням іменованої еліптичної кривої NIST P-256 (secp256r1) для алгоритму ECDSA згідно з ДСТУ ETSI TS 119 312:2015 «Електронні підписи й інфраструктури (ESI). Криптографічні комплекти» (далі - ДСТУ ETSI EN 119 312:2015);

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, із використанням іменованої еліптичної кривої NIST P-256 (secp256r1) для алгоритму ECDSA згідно з ДСТУ ETSI EN 119 312:2015;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів, СВС із довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до ДСТУ ETSI EN 119 312:2015;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на Довірчому списку з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до ДСТУ ETSI EN 119 312:2015;

особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки електронної печатки ЦЗО на даних про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до ДСТУ ETSI EN 119 312:2015.

2. Процедури генерації особистих та відповідних їм відкритих ключів, що використовуються в ІКС ЦЗО, створення резервних копій, відновлення з резервних копій, використання та знищення особистих ключів, що використовуються в ІКС ЦЗО, здійснюються в частині, що не суперечить вимогам цього Регламенту, а також з урахуванням встановлених Державною службою спеціального зв’язку та захисту інформації України вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації.

3. Генерація особистих та відповідних їм відкритих ключів ЦЗО здійснюється у спеціальному приміщенні ІКС ЦЗО адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

4. Після генерації особистих та відкритих ключів ЦЗО здійснюється формування відповідних сертифікатів ключів.

5. Строки дії особистих ключів ЦЗО відповідають строкам чинності сертифікатів відповідних їм відкритих ключів і становлять:

для особистих ключів ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів надавачів та СВС - не більше 10 років;

для особистих ключів ЦЗО для накладення електронної печатки ЦЗО на дані про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу,- не більше 5 років;

для особистих ключів ЦЗО для накладення електронної печатки ЦЗО на Довірчому списку - не більше 2 років;

для особистих ключів шлюзу захисту мережевих з’єднань - не більше 2 років;

для особистих ключів адміністраторів - не більше 2 років.

6. Планова заміна особистого та відповідного йому відкритого ключа ЦЗО виконується не пізніше ніж за 20 робочих днів до закінчення строку дії відповідного сертифіката ключа на підставі окремого наказу Мінцифри.

7. Під час планової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором сертифікації та адміністратором безпеки та аудиту відповідно до вимог пунктів 2-5 цієї глави здійснюється генерація нового особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката відкритого ключа та створення резервних копій особистого ключа.

8. Після введення в дію нового особистого та відповідного йому відкритого ключа ЦЗО особистий ключ, який належить до пари ключів, для якої завершився термін дії сертифіката відкритого ключа, та всі його резервні копії знищуються способом, що унеможливлює їх відновлення, за участю адміністратора сертифікації та адміністратора безпеки та аудиту.

9. Позапланова заміна особистого та відповідного йому відкритого ключа ЦЗО здійснюється в разі компрометації або підозри на компрометацію особистого ключа ЦЗО та/або особистого ключа одного з адміністраторів.

10. Під час позапланової заміни особистого та відповідного йому відкритого ключа ЦЗО адміністратором сертифікації та адміністратором безпеки та аудиту відповідно до вимог пунктів 2-5 цієї глави здійснюються генерація нового особистого та відповідного йому відкритого ключа ЦЗО, формування відповідного сертифіката відкритого ключа та створення резервних копій особистого ключа.

11. У разі підтвердження факту компрометації особистих ключів ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів та СВС усі попередньо сформовані кваліфіковані сертифікати відкритих ключів надавачів та сертифікат ключа для перевірки електронної печатки ЦЗО на Довірчому списку скасовуються та формується СВС, який підписується з використанням нового особистого ключа ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів надавачів та СВС.

12. Усі особисті ключі ЦЗО та особисті ключі адміністраторів, факт компрометації яких було підтверджено, знищуються способом, що унеможливлює їх відновлення, за участю двох адміністраторів, у тому числі адміністратора безпеки та аудиту.

13. Факти знищення особистих ключів ЦЗО, особистих ключів адміністраторів та їх резервних копій реєструються адміністратором безпеки та аудиту у відповідному журналі обліку.

14. Не пізніше завершення половини строку дії поточного особистого та відповідного йому відкритого ключів ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів та СВС здійснюються генерація нового особистого та відповідного йому відкритого ключа ЦЗО для накладення та перевірки електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів та СВС та формування відповідного сертифіката ключа. Водночас поточний особистий ключ ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів надавачів та СВС стає попереднім, а новий - поточним.

15. Адміністратор ІКС ЦЗО невідкладно інформує надавачів, Мінцифри та контролюючий орган про здійснення планової чи позапланової заміни особистих та відкритих ключів ЦЗО.

6. Забезпечення захисту особистого ключа ЦЗО

1. Особисті ключі ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів та СВС, особисті ключі ЦЗО для накладення електронної печатки ЦЗО на Довірчому списку та особисті ключі ЦЗО для накладення електронної печатки ЦЗО на дані про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, розміщуються в засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, за допомогою якого здійснювалася генерація пари ключів.

2. Для зберігання особистих ключів шлюзів захисту мережевих з’єднань, шифраторів мережевого потоку та особистих ключів адміністраторів застосовують лише засоби кваліфікованого електронного підпису чи печатки, які відповідають вимогам, встановленим частинами першою та другою статті 19 Закону.

3. Поточні особисті ключі ЦЗО для накладення електронної печатки ЦЗО на кваліфікованих сертифікатах відкритих ключів надавачів та СВС мають зберігатися, застосовуватися в засобах кваліфікованого електронного підпису чи печатки, що є апаратно-програмними або апаратними пристроями і входять до складу ІКС ЦЗО, та використовуватися для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів надавачів та СВС.

4. Попередні особисті ключі ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів та СВС мають розміщуватися в засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, за допомогою якого здійснювалася генерація пари ключів, та використовуватися для обслуговування кваліфікованих сертифікатів відкритих ключів надавачів, які були сформовані за допомогою цих ключів.

5. Передавання особистих ключів ЦЗО здійснюється за актом приймання-передавання ключів.

Забороняється:

передавання особистих ключів адміністраторів між адміністраторами;

виносити особисті ключі ЦЗО та їх резервні копії зі спеціального приміщення ІКС ЦЗО.

6. Резервне копіювання та відновлення особистих ключів ЦЗО здійснюються адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

7. Для забезпечення можливості відновлення особистого ключа ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів та СВС, особистого ключа ЦЗО для накладення електронної печатки ЦЗО на Довірчий список, особистого ключа ЦЗО для накладення електронної печатки ЦЗО на дані про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, в разі виходу з ладу засобів кваліфікованого електронного підпису чи печатки, що є апаратно-програмними або апаратними пристроями, виконується резервне копіювання відповідного особистого ключа з такого засобу лише на засоби кваліфікованого електронного підпису чи печатки, які відповідають вимогам, встановленим частинами першою та другою статті 19 Закону.

8. Для забезпечення можливості відновлення особистих ключів шлюзів захисту мережевих з’єднань, шифраторів мережевого потоку та особистих ключів адміністраторів у разі виходу з ладу засобу кваліфікованого електронного підпису чи печатки виконується резервне копіювання особистого ключа з цих засобів на окремі резервні засоби кваліфікованого електронного підпису чи печатки, які відповідають вимогам, встановленим частинами першою та другою статті 19 Закону.

9. Факти генерації та створення резервних копій особистого ключа ЦЗО для накладення електронної печатки ЦЗО на кваліфіковані сертифікати відкритих ключів та СВС, особистого ключа ЦЗО для накладення електронної печатки ЦЗО на Довірчий список, особистого ключа ЦЗО для накладення електронної печатки ЦЗО на дані про статус кваліфікованих сертифікатів відкритих ключів надавачів, що визначається в режимі реального часу, особистих ключів шлюзів захисту мережевих з’єднань, особистих ключів шифраторів мережевого потоку, особистих ключів адміністраторів та відповідних їм відкритих ключів реєструються адміністратором безпеки та аудиту у відповідному журналі обліку.

10. Технічні специфікації форматів, які реалізуються в засобах кваліфікованого електронного підпису чи печатки, встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізацію державної політики у сфері електронних довірчих послуг, спільно зі спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації.

V. Положення сертифікаційних практик

1. Подання запиту на формування кваліфікованого сертифіката відкритого ключа

1. Адміністратор ІКС ЦЗО формує кваліфіковані сертифікати відкритих ключів юридичних осіб або фізичних осіб - підприємців, що мають намір надавати кваліфіковані електронні довірчі послуги, надавачам, які відповідають вимогам, встановленим частинами першою, другою та третьою статті 23 Закону, та забезпечує цілодобовий доступ до інформації про дату та час зміни статусу кваліфікованих сертифікатів відкритих ключів.

2. Формування кваліфікованого сертифіката відкритого ключа надавача здійснюється на підставі заяв про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу, визначених у додатку 2 (для надавача - юридичної особи) та додатку 3 (для надавача - фізичної особи - підприємця) до цього Регламенту, що подаються до Адміністратора ІКС ЦЗО.

3. Заява про формування кваліфікованого сертифіката відкритого ключа подається до Адмініст-ратора ІКС ЦЗО в паперовій чи електронній формі.

Заява в електронній формі, на яку накладається кваліфікований електронний підпис керівника юридичної особи чи його уповноваженої особи або фізичної особи - підприємця, надсилається на електронну пошту Адміністратора ІКС ЦЗО: [email protected].

У паперовій формі зазначена заява подається особисто представником юридичної особи або фізичною особою - підприємцем, що має намір надавати кваліфіковані електронні довірчі послуги, або надавачем, підписується ним або його уповноваженою особою та скріплюється печаткою.

Під час приймання заяви про формування сертифіката відкритого ключа здійснюються ідентифікація, перевірка обсягу цивільної правоздатності та дієздатності представника юридичної особи або фізичної особи - підприємця (або його уповноваженої особи) шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади.

4. Разом із заявою про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки подаються особисто представником юридичної особи або фізичної особи - підприємця (або його уповноваженою особою) або надсилаються на електронну пошту Адміністратора ІКС ЦЗО підписані кваліфікованим електронним підписом керівника юридичної особи чи його уповноваженою особою такі документи:

запит на формування сертифіката;

договір про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.

У паперовій формі подаються два примірники договору про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, підписані надавачем та скріплені печаткою (за наявності) (керівником юридичної особи, що є надавачем, чи його уповноваженою особою або фізичною особою - підприємцем, що є надавачем).

5. Вимоги до запиту:

запит подається у форматі згідно зі специфікацією синтаксису запиту на сертифікацію (PKCS#10), що визначена RFC 2986 «PKCS #10: CertificationRequestSyntaxSpecification»;

запит має містити інформацію про відкритий ключ надавача, що подає такий запит. Зазначена інформація визначається атрибутом «Інформація про відкритий ключ надавача» (subjectPublicKeyInfo), формат якого має відповідати технічним вимогам до технічних засобів та процесів їх використання у сфері електронних довірчих послуг, засобів криптографічного захисту інформації, процесів їх створення та функціонування у складі інформаційно-комунікаційних систем, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації, відповідно до Постанови.

Запит, крім обов’язкових реквізитів надавача в запиті на формування сертифіката ключа, що визначені таблицею 1 додатка 1 до цього Регламенту, та послуг надавача, може містити інші ідентифікаційні дані фізичних або юридичних осіб, необов’язкові додаткові спеціальні атрибути, визначені у стандартах для кваліфікованих сертифікатів відкритих ключів. Ці атрибути не мають впливати на інтероперабельність і визнання кваліфікованих електронних підписів.

Зазначені необов’язкові додаткові спеціальні атрибути визначаються атрибутом «Розширений запит» (extensionRequest), який має такий вигляд:

extensionRequest ATTRIBUTE:: = {
WITH SYNTAX ExtensionRequest
SINGLE VALUE TRUE
ID pkcs-9-at-extensionRequest
}
ExtensionRequest:: = Extensions.

6. Розгляд заяви про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу становить не більше двох робочих днів від дати прийняття заяви.

відповідності даних, внесених до заяви, документам надавача, отриманим від Мінцифри відповідно до встановленого порядку ведення Довірчого списку;

унікальності відкритого ключа послуги за відомостями реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;

належності надавачу відповідного особистого ключа послуги шляхом перевірки удосконаленого електронного підпису чи печатки в запиті;

відповідності запиту вимогам, зазначеним у пункті 6 цієї глави.

7. У разі успішної перевірки Адміністратор ІКС ЦЗО формує кваліфікований сертифікат відкритого ключа надавача. У разі непроходження перевірки надавачу надається вмотивована відмова у формуванні сертифіката ключа та повертається заява про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу разом із додатками до неї.

8. Формування кваліфікованих сертифікатів відкритих ключів надавачів здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

9. Під час формування кваліфікованого сертифіката відкритого ключа додаткові розширення, що можуть міститись у запиті, встановлюються у кваліфікованому сертифікаті відкритого ключа надавача за умови, що вони були визначені як не критичні, а об’єктні ідентифікатори таких розширень зареєстровані у встановленому порядку.

2. Надання сформованого кваліфікованого сертифіката відкритого ключа надавачу

1. Після формування кваліфікованого сертифіката відкритого ключа надавача Адміністратор ІКС ЦЗО надсилає на електронну пошту надавача, зазначену в Довірчому списку та в електронному реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів, документи в електронній формі, на які накладено кваліфікований електронний підпис уповноваженої особи Адміністратора ІКС ЦЗО, а саме:

сформований/ні кваліфікований/ні сертифікат/сертифікати надавача;

акт наданих послуг (для кожного з сертифікатів) про формування кваліфікованого сертифіката;

2. За результатами проведеного формування та передавання кваліфікованого сертифіката відкритого ключа надавача Адміністратор ІКС ЦЗО, в разі отримання від надавача підписаних договорів в паперовій формі, надає уповноваженій особі надавача один підписаний примірник договору про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу

в паперовій формі. В разі отримання від надавача підписаного договору в електронній формі Адміністратор ІКС ЦЗО за результатами проведеного формування та передавання кваліфікованого сертифіката відкритого ключа надавача, надає уповноваженій особі надавача підписаний примірник договору про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу в електронній формі.

3. Умови використання кваліфікованих сертифікатів відкритих ключів та особистих ключів надавачів

1. Надавачі використовують пари ключів (особистих та відкритих) за призначенням (сферою використання) згідно з вимогами до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації, відповідно до Постанови.

2. Під час надання послуг надавачі повинні використовувати пари ключів (особистих та відкритих) із такими параметрами:

зі ступенем розширення основного поля еліптичної кривої не менше 257 за ДСТУ 4145-2002;

зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA за ДСТУ ETSI EN 119 312:2015;

з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до ДСТУ ETSI EN 119 312:2015.

3. Для обчислення значення геш-функції використовуються алгоритми, визначені до технічних вимог до технічних засобів та процесів їх використання у сфері електронних довірчих послуг, засобів криптографічного захисту інформації, процесів їх створення та функціонування у складі інформаційно-комунікаційних систем, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації, відповідно до Постанови.

4. Надавачі використовують особисті ключі тільки за призначенням (сферою використання) в період чинності відповідних кваліфікованих сертифікатів відкритих ключів, сформованих відповідно до цього Регламенту, та за умови, що цей сертифікат не був заблокований або скасований.

5. Надавачі забезпечують використання кваліфікованих сертифікатів відкритих ключів та особистих ключів тільки за призначенням (сферою використання), зазначених у пункті 2 глави 1 розділу IV цього Регламенту.

6. Під час надання кваліфікованих електронних довірчих послуг надавачі забезпечують обов’язковість перевірки строку чинності та статусу сформованих Адміністратором ІКС ЦЗО сертифікатів відкритих ключів.

{Пункт 6 глави 3 розділу V із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

7. Перед використанням будь-якого сертифіката відкритого ключа має забезпечуватись перевірка:

чинності кваліфікованого сертифіката відкритого ключа надавача на момент накладення кваліфікованого електронного підпису чи створення електронної печатки на документ або кваліфікованого електронного підпису чи печатки на документі;

чинності кваліфікованої електронної печатки ЦЗО, що була додана до кваліфікованого сертифіката відкритого ключа надавача за допомогою самопідписаного сертифіката ключа ЦЗО, чинного на момент формування кваліфікованого сертифіката відкритого ключа надавача;

статусу кваліфікованого сертифіката відкритого ключа надавача в режимі реального часу, якщо перевірка здійснюється на момент чинності цього сертифіката ключа або за СВС.

8. Під час перевірки статусу кваліфікованого сертифіката відкритого ключа надавача за СВС здійснюється перевірка автентичності, цілісності та терміну дії СВС.

4. Обставини та порядок зміни статусу (скасування, блокування, поновлення) кваліфікованого сертифіката відкритого ключа

1. Скасування кваліфікованого сертифіката відкритого ключа надавача:

1) скасування кваліфікованих сертифікатів відкритих ключів надавачів здійснюється у випадках, передбачених частинами першою, другою та третьою статті 25 Закону, на підставі заяви про скасування кваліфікованого сертифіката відкритого ключа надавача;

2) форми заяв про скасування кваліфікованого сертифіката відкритого ключа надавача, що подаються до Адміністратора ІКС ЦЗО, визначені в додатку 4 (для надавача - юридичної особи) та додатку 5 (для надавача - фізичної особи - підприємця) до цього Регламенту;

3) заява про скасування кваліфікованого сертифіката відкритого ключа подається надавачем до Адміністратора ІКС ЦЗО в електронній формі, на яку накладено кваліфікований електронний підпис керівника юридичної особи чи його уповноваженої особи або в будь-який інший спосіб, що забезпечує підтвердження особи - надавача відповідно до вимог законодавства;

4) під час приймання заяви про скасування кваліфікованого сертифіката відкритого ключа здійснюється встановлення особи керівника юридичної особи - надавача (фізичної особи - підприємця, що є надавачем) або його уповноваженої особи та перевіряється достатність обсягу цивільної правоздатності та дієздатності шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади;

5) не приймаються до розгляду заяви та документи, які мають пошкодження, що не дають змогу однозначно тлумачити зміст, виправлення або дописки та якщо кваліфікований електронний підпис не пройшов перевірку у разі подання заяви в електронній формі;

6) опрацювання заяви на скасування кваліфікованого сертифіката відкритого ключа та інформування Адміністратором ІКС ЦЗО надавача про скасування сертифіката ключа його послуги здійснюються протягом двох годин від моменту отримання заяви Адміністратором ІКС ЦЗО;

7) скасування кваліфікованого сертифіката відкритого ключа надавача здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту;

8) скасування кваліфікованого сертифіката відкритого ключа надавача набирає чинності з дати та часу здійснення цієї операції;

9) серійний номер скасованого кваліфікованого сертифіката відкритого ключа надавача вноситься до СВС із зазначенням дати та часу здійснення цієї операції.

2. Блокування кваліфікованого сертифіката відкритого ключа надавача:

1) блокування кваліфікованих сертифікатів відкритих ключів надавачів здійснюється у випадках, передбачених частинами шостою та сьомою статті 25 Закону.

У разі блокування кваліфікованого сертифіката відкритого ключа надавача на підставі його заяви такі заяви подаються до Адміністратора ІКС ЦЗО за формами, визначеними у додатку 6 (для надавача - юридичної особи) та у додатку 7 (для надавача - фізичної особи - підприємця) до цього Регламенту;

2) заява про блокування кваліфікованого сертифіката відкритого ключа подається надавачем до Адміністратора ІКС ЦЗО в електронній формі з накладенням кваліфікованого електронного підпису керівника юридичної особи чи його уповноваженої особи або в будь-який інший спосіб, що забезпечує підтвердження особи - надавача відповідно до вимог законодавства;

3) під час приймання заяви про блокування кваліфікованого сертифіката відкритого ключа здійснюється встановлення особи керівника юридичної особи - надавача (фізичної особи - підприємця, що є надавачем) або його уповноваженої особи та перевіряється достатність обсягу цивільної правоздатності та дієздатності шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади;

4) не приймаються до розгляду заяви та документи, які мають пошкодження, що не дають змогу однозначно тлумачити зміст, виправлення або дописки та якщо кваліфікований електронний підпис не пройшов перевірку у разі подання заяви в електронній формі;

5) кваліфікований сертифікат відкритого ключа надавача блокується не пізніше ніж протягом двох годин від моменту отримання заяви про блокування кваліфікованого сертифіката відкритого ключа Адміністратором ІКС ЦЗО;

6) блокування кваліфікованого сертифіката відкритого ключа надавача здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту;

7) блокування кваліфікованого сертифіката відкритого ключа надавача набирає чинності з дати та часу здійснення цієї операції;

8) серійний номер заблокованого кваліфікованого сертифіката відкритого ключа надавача вноситься до СВС із зазначенням дати та часу здійснення цієї операції.

3. Поновлення кваліфікованого сертифіката відкритого ключа надавача:

1) поновлення кваліфікованих сертифікатів відкритих ключів надавачів здійснюється у випадках, передбачених частинами десятою, одинадцятою статті 25 Закону, на підставі заяв про поновлення кваліфікованого сертифіката відкритого ключа за формами, визначеними в додатку 8 (для надавача - юридичної особи) та додатку 9 (для надавача - фізичної особи - підприємця) до цього Регламенту, що подаються до Адміністратора ІКС ЦЗО;

2) заява про поновлення кваліфікованого сертифіката відкритого ключа подається до Адміністратора ІКС ЦЗО в електронній формі з накладенням кваліфікованого електронного підпису керівника юридичної особи чи його уповноваженої особи або в будь-який інший спосіб, що забезпечує підтвердження особи - надавача відповідно до вимог законодавства;

3) під час приймання заяви про поновлення кваліфікованого сертифіката відкритого ключа здійснюється встановлення особи керівника юридичної особи - надавача (фізичної особи - підприємця, що є надавачем) або його уповноваженої особи та перевіряється достатність обсягу цивільної правоздатності та дієздатності шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади;

5) заблокований кваліфікований сертифікат відкритого ключа надавача поновлюється не пізніше ніж протягом двох годин від моменту отримання заяви про поновлення кваліфікованого сертифіката відкритого ключа Адміністратором ІКС ЦЗО;

6) поновлення кваліфікованого сертифіката відкритого ключа надавача здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту;

7) поновлення кваліфікованого сертифіката відкритого ключа надавача набирає чинності з дати та часу здійснення цієї операції;

8) відомості щодо поновлення кваліфікованого сертифіката відкритого ключа надавача вносяться до СВС із зазначенням дати та часу здійснення цієї операції.

4. Розповсюдження інформації про зміну статусу кваліфікованих сертифікатів відкритих ключів надавачів:

1) розповсюдження інформації про статус кваліфікованих сертифікатів відкритих ключів надавачів здійснюється за допомогою публікації повного та часткового СВС на офіційному вебсайті ЦЗО та забезпечення можливості перевірки статусу сертифіката ключа в режимі реального часу через електронні комунікаційні мережі загального користування;

2) публікація наступного СВС здійснюється з періодичністю, зазначеною у пунктах 1-3 глави 2 розділу IV цього Регламенту;

3) Адміністратор ІКС ЦЗО під час формування СВС забезпечує такі умови:

у кожному СВС зазначається граничний термін його дії до видання наступного списку;

новий СВС може бути опублікований до настання граничного терміну його дії для видання наступного списку;

на СВС має бути накладена електронна печатка ЦЗО;

4) інформація про статус кваліфікованого сертифіката відкритого ключа надавача в режимі реального часу розповсюджується за протоколом визначення статусу сертифіката відповідно до технічних вимог до технічних засобів та процесів їх використання у сфері електронних довірчих послуг, засобів криптографічного захисту інформації, процесів їх створення та функціонування у складі інформаційно-комунікаційних систем, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації, відповідно до Постанови.

5. Закінчення строку чинності кваліфікованого сертифіката відкритого ключа надавача

1. Строк чинності кваліфікованого сертифіката відкритого ключа надавача становить не більше ніж п’ять років.

2. Початок строку чинності кваліфікованого сертифіката відкритого ключа надавача обчислюється з дати та часу формування сертифіката у ЦЗО, що відображається в сертифікаті.

3. Не пізніше закінчення половини строку чинності кваліфікованого сертифіката відкритого ключа надавача останній отримує новий кваліфікований сертифікат відкритого ключа в порядку, визначеному у пунктах 1-8 глави 1 розділу V цього Регламенту.

VI. Надання адміністративної послуги внесення юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, до Довірчого списку

1. Надання адміністративної послуги внесення юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, до Довірчого списку здійснюється Мінцифри з урахуванням положень Законів України «Про адміністративні послуги» та «Про електронні довірчі послуги».

2. На адміністративну послугу внесення юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, до Довірчого списку Мінцифри затверджуються інформаційна і технологічна картки.

3. Інформаційна картка розміщується в місці здійснення приймання юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, на офіційному веб-сайті ЦЗО та Єдиному державному вебпорталі електронних послуг.

4. Порядок подання юридичною особою або фізичною особою - підприємцем, що має намір надавати послуги, документів та їх розгляд ЦЗО визначений частиною другою статті 30 Закону, а також вимогами у сфері електронних довірчих послуг, затвердженими в установленому порядку.

5. Для набуття статусу надавача юридична особа або фізична особа - підприємець, що має намір надавати послуги, подає до ЦЗО заяву про внесення відомостей про неї до Довірчого списку та інші документи, визначені частиною другою статті 30 Закону.

6. Заява про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що до неї додаються, можуть бути подані представником юридичної особи або фізичною особою - підприємцем, що має намір надавати кваліфіковані електронні довірчі послуги, в електронній формі через Єдиний державний вебпортал електронних послуг, у тому числі через інтегровану з ним інформаційну систему ЦЗО.

7. Ідентифікацію та автентифікацію заявників для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку здійснюють посадові особи структурного підрозділу Мінцифри, відповідального за етапи надання адміністративної послуги, які зазначаються в технологічній картці адміністративної послуги.

8. Розгляд документів, поданих юридичною особою або фізичною особою - підприємцем, що має намір надавати послуги, здійснюється у строк, визначений частиною четвертою статті 30 Закону.

9. Підставами для прийняття рішення про відмову у внесенні відомостей до Довірчого списку є:

подання не в повному обсязі документів, передбачених частиною другою статті 30 Закону;

виявлення в заявах про внесення до Довірчого списку та документах, що додаються до них, недостовірної інформації, пошкоджень, що не дають змогу однозначно тлумачити зміст, виправлень або дописок.

10. Форми заяв про внесення до Довірчого списку визначені в додатку 10 (для юридичної особи) та додатку 11 (для фізичної особи - підприємця) до цього Регламенту.

11. Внесення відомостей до Довірчого списку, внесення змін, виключення надавача з Довірчого списку здійснюються відповідно до порядку ведення Довірчого списку, затвердженого в установленому порядку.

Директор директорату
функціонального розвитку
цифровізації

А. Халєєва

Додаток 1
до Регламенту роботи
центрального засвідчувального органу
(пункт 1 глави 1 розділу IV)

ОБОВ’ЯЗКОВІ РЕКВІЗИТИ
надавача в запиті на формування сертифіката ключа

Таблиця 1

Назва реквізиту англійською мовою	Назва реквізиту українською мовою	Значення реквізиту
countryName	назва країни	країна, в якій зареєстрована організація, юридична особа або фізична особа - підприємець id-at-countryName AttributeType: : = {id-at 6} X520countryName: : = PrintableString (SIZE (2)) код згідно з міжнародним стандартом ISO 3166 (для України - UA)
organizationName	найменування організації	повне (або офіційне скорочене) найменування організації - юридичної особи або прізвище та ініціали фізичної особи - підприємця за установчими документами або відомостями про державну реєстрацію id-at-organizationName AttributeType: : = {id-at 10} X520organizationName: : = DirectoryString (SIZE (64))
serialNumber	серійний номер	серійний номер надавача id-at-serialNumber AttributeType: : = {id-at 5} serialNumber: : = PrintableString (SIZE (64)) Формується за правилом: для юридичної особи: UA-<код за ЄДРПОУ>-<2-4 цифри (у разі потреби)> для фізичної особи - підприємця: UA-<РНОКПП>-<2-4 цифри (у разі потреби)>
stateOrProvinceName	назва області-1	область, в якій зареєстрована організація, юридична особа або фізична особа - підприємець id-at-stateOrProvinceName AttributeType: : = {id-at 8} X520stateOrProvinceName: : = DirectoryString (SIZE (64))
localityName	назва міста	місто, в якому зареєстрована організація, юридична особа або фізична особа - підприємець id-at-localityName AttributeType: : = {id-at 7} X520localityName: : = DirectoryString (SIZE (64))
commonName	найменування надавача	найменування надавача id-at-commonName AttributeType: : = {id-at 3} X520commonName: : = DirectoryString (SIZE (64))
organizationIdentifier2	ідентифікатор організації-2	унікальний ідентифікатор організації, що є надавачем. Правила заповнення цього реквізиту наведені в пункті 5.1.4 глави 5 ДСТУ ETSI EN 319 412-1:2016 id-at-organizationIdentifier OBJECT IDENTIFIER: : = {id-at 97}
signature	алгоритм кваліфікованого електронного підпису	значення реквізиту для алгоритмів кваліфікованого електронного підпису за ДСТУ 4145-2002 визначається згідно з вимогами, встановленими технічними вимогами до технічних засобів та процесів їх використання у сфері електронних довірчих послуг, засобів криптографічного захисту інформації, процесів їх створення та функціонування у складі інформаційно-комунікаційних систем, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації; значення реквізиту для алгоритму кваліфікованого електронного підпису ECDSA з алгоритмом гешування SHA256: ecdsa-with-SHA256 OBJECT IDENTIFIER: : = {iso(1) member-body(2) us(840) ansi-x962(10045) signatures(4) ecdsa-with-SHA2(3) 2}; значення реквізиту для алгоритму кваліфікованого електронного підпису ECDSA з алгоритмом гешування SHA512: ecdsa-with-SHA512 OBJECT IDENTIFIER: : = {iso(1) member-body(2) us(840) ansi-x962(10045) signatures(4) ecdsa-with-SHA2(3) 4}; значення реквізиту для алгоритму кваліфікованого електронного підпису RSA з алгоритмом гешування SHA256: sha-256WithRSAEncryption OBJECT IDENTIFIER: : = {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 11}; значення реквізиту для алгоритму кваліфікованого електронного підпису RSA з алгоритмом гешування SHA512: sha-512WithRSAEncryption OBJECT IDENTIFIER: : = {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 13}
subjectPublicKeyInfo	інформація про відкритий ключ надавача	у структурі цього реквізиту, крім значення відкритого ключа та параметрів криптоперетворень (для ДСТУ 4145-2002 та ECDSA), має міститися ознака алгоритму обчислення відкритого ключа; значення ознаки алгоритму обчислення відкритого ключа для алгоритмів кваліфікованого електронного підпису за ДСТУ 4145-2002 визначається згідно з вимогами, встановленими технічними вимогами до технічних засобів та процесів їх використання у сфері електронних довірчих послуг, засобів криптографічного захисту інформації, процесів їх створення та функціонування у складі інформаційно-комунікаційних систем, які встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації; значення ознаки алгоритму обчислення відкритого ключа для алгоритму кваліфікованого електронного підпису ECDSA: id-ecPublicKey OBJECT IDENTIFIER: : = {iso(1) member-body(2) us(840) ansi-X9.62(10045) id-publicKeyType(2) 1}; значення ознаки алгоритму обчислення відкритого ключа для алгоритму кваліфікованого електронного підпису RSA: rsaEncryption OBJECT IDENTIFIER: : = {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 1}
signatureAlgorithm	найменування криптоалгоритму, що використовується надавачем	значення реквізиту має бути ідентичним значенню реквізиту signature

__________
-1 Якщо місцем реєстрації юридичної особи або фізичної особи - підприємця є м. Київ або м. Севастополь, то реквізит stateOrProvinceName не заповнюється.
-2 Поле встановлюється у кваліфікованих сертифікатах для відкритих ключів, що згенеровані за криптографічними алгоритмами згідно з ДСТУ ETSI EN 119 312:2015.

Таблиця 2

Обов’язкові реквізити самопідписаного сертифіката електронної печатки ЦЗО

Назва реквізиту англійською мовою	Назва реквізиту українською мовою	Значення реквізиту
countryName	назва країни	код згідно з міжнародним стандартом ISO 3166 для України. Значення: UA
organizationName	найменування державного органу, на який покладено виконання функцій ЦЗО	значення українською мовою: Міністерство цифрової трансформації України. Значення англійською мовою, що застосовується для транскордонної взаємодії: Ministry of Digital Transformation of Ukraine-1
serialNumber	серійний номер	формується за правилом: UA-<код за ЄДРПОУ>-<4 цифри>
localityName	назва міста	значення українською мовою: Київ. Значення англійською мовою, що застосовується для транскордонної взаємодії: Kyiv-1
commonName	загальне найменування органу	значення українською мовою: Центральний засвідчувальний орган. Значення англійською мовою, що застосовується для транскордонної взаємодії: Central certification authority-1
organizationalUnitName	найменування структурного підрозділу, відповідального за технічне та технологічне забезпечення виконання функцій ЦЗО	значення українською мовою: Адміністратор ІКС ЦЗО. Значення англійською мовою, що застосовується для транскордонної взаємодії: Administrator ITS CCA-1
cps-2	положення сертифікаційних практик2	встановлюється в об’єктному ідентифікаторі політики сертифіката iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) qt(2) cps(1) PolicyQualifierId::= OBJECT IDENTIFIER (id-qt-cps \| id-qt-unotice) Qualifier: : = CHOICE {cPSuriCPSuri, userNoticeUserNotice} CPSuri: : = IA5String. Значення: https://czo.gov.ua/cps

__________
-1 Значення встановлюється у кваліфікованих сертифікатах для відкритих ключів, що згенеровані за криптографічними алгоритмами згідно з ДСТУ ETSI EN 119 312:2015.
-2 Поле встановлюється у кваліфікованих сертифікатах для відкритих ключів, що згенеровані за криптографічними алгоритмами згідно з ДСТУ ETSI EN 119 312:2015.

{Додаток 1 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 2
до Регламенту роботи
центрального засвідчувального органу
(пункт 2 глави 1 розділу V)

ЗАЯВА
про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавачу - юридичній особі

{Додаток 2 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 3
до Регламенту роботи
центрального засвідчувального органу
(пункт 2 глави 1 розділу V)

{Додаток 3 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 4
до Регламенту роботи
центрального засвідчувального органу
(підпункт 2 пункту 1 глави 4 розділу V)

ЗАЯВА
про скасування кваліфікованого сертифіката відкритого ключа надавача - юридичної особи

{Додаток 4 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 5
до Регламенту роботи
центрального засвідчувального органу
(підпункт 2 пункту 1 глави 4 розділу V)

ЗАЯВА
про скасування кваліфікованого сертифіката відкритого ключа надавача - фізичної особи - підприємця

{Додаток 5 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 6
до Регламенту роботи
центрального засвідчувального органу
(підпункт 1 пункту 2 глави 4 розділу V)

ЗАЯВА
про блокування кваліфікованого сертифіката відкритого ключа надавача - юридичної особи

{Додаток 6 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 7
до Регламенту роботи
центрального засвідчувального органу
(підпункт 1 пункту 2 глави 4 розділу V)

ЗАЯВА
про блокування кваліфікованого сертифіката відкритого ключа надавача - фізичної особи - підприємця

{Додаток 7 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 8
до Регламенту роботи
центрального засвідчувального органу
(підпункт 1 пункту 3 глави 4 розділу V)

ЗАЯВА
про поновлення кваліфікованого сертифіката відкритого ключа надавача - юридичної особи

{Додаток 8 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 9
до Регламенту роботи
центрального засвідчувального органу
(підпункт 1 пункту 3 глави 4 розділу V)

ЗАЯВА
про поновлення кваліфікованого сертифіката відкритого ключа надавача - фізичної особи - підприємця

{Додаток 9 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 10
до Регламенту роботи
центрального засвідчувального органу
(пункт 10 розділу VI)

ЗАЯВА
про внесення до Довірчого списку юридичної особи

{Додаток 10 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Додаток 11
до Регламенту роботи
центрального засвідчувального органу
(пункт 10 розділу VI)

ЗАЯВА
про внесення до Довірчого списку фізичної особи - підприємця

{Додаток 11 із змінами, внесеними згідно з Наказом Міністерства цифрової трансформації № 23 від 23.02.2023}

Про нас

Конфіденційність

Приєднуйтесь.