09. Нормативно-правові акти з криптографії та електронного цифрового підпису

Криптографія є одним з найбільш потужних засобів забезпечення конфіденційності і контролю цілісності інформації. У багатьох відношеннях вона займає центральне місце серед програмно-технічних регуляторів інформаційної безпеки. Наприклад, для портативних комп'ютерів, фізично захистити які вкрай важко, тільки криптографія дозволяє гарантувати конфіденційність інформації навіть у випадку крадіжки.

Криптографічні системи (або шифри) класифікуються таким чином: симетричні та асиметричні криптосистеми. Під симетричними криптографічними розуміються такі системи, в яких для шифрування й розшифрування використовується один і той же ключ, що зберігається в секреті.

Симетричне шифрування має таку перевагу як швидкість криптографічних операцій. Воно особливо корисно для шифрування даних, що залишаються у нас. Однак, симетричне шифрування, використане саме по собі як засіб захисту цінних даних, що пересилаються, є досить витратним через складність передачі секретного ключа.

Симетричні алгоритми шифрування були єдиними загально відомими до липня 1976 року, коли новий асиметричний алгоритм запропонували американські вчені У.Діффі і М.Хеллман.

Новим класом криптографічних систем є асиметричні або двохключеві системи (на вдіміну від одноключових симетричних систем). Ці системи характеризуються тим, що для шифрування і для розшифрування використовуються різні ключі, зв'язані між собою деякою залежністю. Застосування таких шифрів стало можливим завдяки Клоду Шеннону, який запропонував будувати шифр таким способом, щоб його розкриття було еквівалентно рішенню математичної задачі, що вимагає виконання обсягів обчислень, що перевершують можливості сучасних ЕОМ.

Один з ключів (наприклад, ключ шифрування) може бути зроблений загальнодоступним, і в цьому випадку проблема отримання загального секретного ключа для зв'язку відпадає. Оскільки один ключ з пари стає загальнодоступним або публічним, такі системи отримали також назву криптосистем з відкритим ключем. Перший ключ не є секретним і може бути опублікований для використання всіма користувачами системи, які зашифровують дані. Розшифрування даних за допомогою відкритого ключа неможливо.

Для розшифрування даних одержувач зашифрованої інформації використовує другий ключ, який є секретним. Зрозуміло, ключ розшифрування не може бути визначений з ключа зашифрування.

Центральним поняттям в асиметричних криптографічних системах є поняття односторонньої функції. Під односторонньої функцією розуміється ефективно обчислювана функція, для звернення якої (тобто для пошуку хоча б одного значення аргументу по заданому значенню функції) не існує ефективних алгоритмів.

У асиметричній криптографії використовуються так звані хеш-функції. Хеш-функції - це односторонні функції, які призначені для контролю цілісності даних. При передачі інформації під час пересилання вона хешується, хеш передається одержувачу разом із повідомленням, і одержувач визначає його хеш цієї інформації повторно. Якщо обидва хеша співпали, то це означає, що інформація була передана без спотворень.

Додаткова перевага від використання криптосистем з відкритим ключем полягає в тому, що вони надають можливість створення електронних цифрових підписів (далі - ЕЦП). ЕЦП дозволяє одержувачу повідомлення переконатися в автентичності джерела інформації (іншими словами, у тім, хто є автором інформації), а також перевірити, чи була інформація змінена (перекручена), поки знаходилася в шляху.

Таким чином, ЕЦП є засобом авторизації і контролю цілісності даних. Крім того, ЕЦП забезпечує принцип незречення, що означає, що відправник не може відмовитися від факту свого авторства підписаної ним інформації. Ці можливості настільки ж важливі для криптографії, як і таємність.

ЕЦП служить тієї ж мети, що печатка або власноручний автограф на паперовому листі. Однак внаслідок своєї цифрової природи ЕЦП перевершує ручний підпис і печатку в ряді дуже важливих аспектів. ЕЦП не тільки підтверджує особистість що підписала, але також допомагає визначити, чи був зміст підписаної інформації змінений. Власноручний підпис і печатка не мають подібної якості, крім того, їх набагато легше підробити.

У той же час, ЕЦП аналогічний фізичній печатці у тому плані, що, як печатка може бути проставлена будь-якою людиною, що одержала в розпорядження печатку, так і цифровий підпис може бути згенерований ким завгодно з копією потрібного закритого ключа.

На даний час в Україні діє державний стандарт ЕЦП ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевірка», який установлює механізм цифрового підписування, оснований на властивостях груп точок еліптичних кривих, та правила застосування цього механізму до повідомлень, що пересилаються каналами зв’язку та/або обробляються у комп’ютеризованих системах загального призначення. Застосування цього стандарту гарантує цілісність підписаного повідомлення, автентичність його автора та неспростовність авторства.

Крім того, використовуються радянський стандарт ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», який у 2009 році був прийнятий в Україні як національний, і російський стандарт ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования».

З метою вирішення питань криптографічного захисту інформаціїще 22 травня 1998 року Указом Президента України № 505 було затверджено «Положення про порядок здійснення криптографічного захисту інформації в Україні» (далі - Положення), яке визначає порядок здійснення криптографічного захисту інформації з обмеженим доступом, розголошення якої може завдати шкоди державі, суспільству або особі.

Згідно п.3 Положення державну політику у сфері криптографічного захисту інформації (далі - КЗІ) відповідно до закону реалізує Державна служба спеціального зв'язку та захисту  інформації України (далі - Держспецзв'язку).

Згідно п.5 Положення державні органи, підприємства, установи і організації придбавають, вивозять з України, використовують криптосистеми і засоби КЗІ за погодженням з Адміністрацією Держспецзв'язку.

Згідно п.6 Положення з метою визначення рівня захищеності від несанкціонованого доступу до інформації з обмеженим доступом проводяться сертифікаційні випробування криптосистем і засобів криптографічного захисту.

Згідно п.11 Положення діяльність, пов'язану з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із КЗІ, можуть здійснювати суб'єкти підприємницької діяльності, зареєстровані в порядку, встановленому законодавством.

Крім того, в українському законодавстві щодо КЗІ є Закон «Про електронний цифровий підпис», прийнятий у 2003 році. Він визначає правовий статус ЕЦП та регулює відносини, що виникають при використанні ЕЦП.

У цьому Законі наведені нижче терміни вживаються в такому значенні:
- електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних;
- ЕЦП - вид електронного підпису, отриманого за результатом криптографічного перетворення набору даних, який додається до цього набору або логічно з ним поєднується. ЕЦП дає змогу підтвердити цілісність даних та ідентифікувати підписувача. ЕЦП накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;
- засіб ЕЦП - програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки ЕЦП;
- особистий ключ - параметр криптографічного алгоритму формування ЕЦП, доступний тільки підписувачу;
- відкритий ключ - параметр криптографічного алгоритму перевірки ЕЦП, доступний суб'єктам відносин у сфері використання ЕЦП;
- засвідчення чинності відкритого ключа - процедура формування його сертифіката;
- сертифікат відкритого ключа (далі - сертифікат ключа) - документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача;
- посилений сертифікат відкритого ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом;
- акредитація - процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених сертифікатів ключів;
- компрометація особистого ключа - будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа
- блокування сертифіката ключа - тимчасове зупинення чинності сертифіката ключа;
- підписувач - особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає ЕЦП під час створення електронного документа;
- послуги ЕЦП - надання у користування засобів ЕЦП, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування,  розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені цим Законом;
- надійний засіб ЕЦП - засіб ЕЦП, що має позитивний експертний висновок за результатами державної експертизи у сфері КЗІ. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюється у порядку, визначеному законодавством.

Згідно статті 2 Закону суб'єктами правових відносин у сфері послуг ЕЦП є:
- підписувач;
- користувач;
- центр сертифікації ключів (далі - ЦСК);
- акредитований центр сертифікації ключів (далі - АЦСК);
- центральний засвідчувальний орган (далі - ЦЗО);
- засвідчувальний центр органу виконавчої влади або іншого державного органу (далі - засвідчувальний центр);
- контролюючий орган.

Згідно статті 3 Закону ЕЦП за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:
- ЕЦП підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів ЕЦП;
- під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення ЕЦП;
- особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.

Згідно статті 4 Закону ЕЦП призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.

ЕЦП використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Стаття 5 Закону визначає деякі особливості застосування ЕЦП.

Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа. Інші юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, сформованим центром сертифікації ключів, а також використовувати електронний цифровий підпис без сертифіката ключа.

Розподіл ризиків збитків, що можуть бути заподіяні підписувачам,  користувачам та третім особам, які користуються ЕЦП без сертифіката ключа, визначається суб'єктами правових відносин у сфері послуг ЕЦП на договірних засадах. У випадках, коли відповідно до законодавства необхідне засвідчення дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один ЕЦП юридичної особи, спеціально призначений для таких цілей.

Порядок застосування ЕЦП органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів України. Порядок застосування електронного підпису, у тому числі ЕЦП в банківській системі України та суб'єктами переказу коштів визначається Національним банком України.

Згідно статті 6 Закону сертифікат ключа містить такі обов'язкові дані:
- найменування та реквізити ЦСК (ЦЗО, засвідчувального центру);
- зазначення, що сертифікат виданий в Україні;
- унікальний реєстраційний номер сертифіката ключа;
- основні дані (реквізити) підписувача - власника особистого ключа;
- дату і час початку та закінчення строку чинності сертифіката;
- відкритий ключ;
- найменування криптографічного алгоритму, що використовується власником особистого ключа;
- інформацію про обмеження використання підпису.

Посилений сертифікат ключа, крім обов'язкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа. Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника.

Згідно статті 7 Закону підписувач має право:
- вимагати скасування, блокування або поновлення свого сертифіката ключа;
- оскаржити дії чи бездіяльність ЦСК у судовому порядку.

Підписувач зобов'язаний:
- зберігати особистий ключ у таємниці;
- надавати ЦСК дані згідно з вимогами статті 6 цього Закону для засвідчення чинності відкритого ключа;
- своєчасно надавати ЦСК інформацію про зміну даних, відображених у сертифікаті ключа.

Згідно статті 8 Закону ЦСК може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги ЕЦП та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог статті 6 цього Закону. Обслуговування фізичних та юридичних осіб здійснюється ЦСК на договірних засадах.

ЦСК має право:
- надавати послуги ЕЦП та обслуговувати сертифікати ключів;
- отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника.

ЦСК зобов'язаний:
- забезпечувати захист інформації в автоматизованих системах відповідно до законодавства;
- забезпечувати захист персональних даних, отриманих від підписувача, згідно з законодавством;
- встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувачу;
- своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених цим Законом;
- своєчасно попереджувати підписувача та додавати в  сертифікат відкритого ключа підписувача інформацію про обмеження використання ЕЦП, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів;
- перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
- цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
- вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів;
- забезпечувати цілодобово доступ користувачів до сертифікатів ключі та відповідних електронних переліків сертифікатів через загальнодоступні телекомунікаційні канали;
- забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
- надавати консультації з питань, пов'язаних з ЕЦП.

Згідно статті 9 Закону ЦСК, акредитований в установленому порядку, є акредитованим ЦСК. Зберігання особистих ключів підписувачів та ознайомлення з ними в ЦСК забороняються.

АЦСК має право:
- надавати послуги ЕЦП  та обслуговувати виключно посилені сертифікати ключів;
- отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.

АЦСК має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати для надання послуг ЕЦП надійні засоби ЕЦП. Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються Кабінетом Міністрів України.

Згідно статті 10 Закону Кабінет Міністрів України за необхідності визначає засвідчувальний центр центрального органу виконавчої влади для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги ЕЦП цьому органу і підпорядкованим йому підприємствам, установам та організаціям.

Засвідчувальний центр по відношенню до групи центрів сертифікації ключів, зазначених у частині першій цієї статті, має ті ж функції і повноваження, що й ЦЗО стосовно ЦСК. Засвідчувальний центр реєструється, засвідчує свій відкритий ключ і акредитується у ЦЗО.

Положення про засвідчувальний центр центрального органу виконавчої влади затверджується Кабінетом Міністрів України. Національний банк України має право створити Засвідчувальний центр для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації центрів сертифікації ключів.

Згідно статті 11 Закону ЦЗО:
- формує і видає посилені сертифікати ключів засвідчувальним центрам та ЦСК з дотриманням вимог статті 6 цього Закону;
- блокує, скасовує та поновлює посилені сертифікати ключів засвідчувальних центрів та ЦСК у випадках, передбачених цим Законом;
- веде електронні реєстри чинних, блокованих та скасованих посилених сертифікатів ключів засвідчувальних центрів та ЦСК;
- веде акредитацію ЦСК, отримує та перевіряє інформацію, необхідну для їх акредитації;
- забезпечує цілодобово доступ засвідчувальних центрів та ЦСК до посилених сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
- зберігає посилені сертифікати ключів засвідчувальних центрів та ЦСК;
- надає засвідчувальним центрам та ЦСК консультації з питань, пов'язаних з використанням електронного цифрового підпису.

Згідно статті 12 Закону функції контролюючого органу здійснює спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації (Адміністрація Держспецзв'язку). Контролюючий орган перевіряє дотримання вимог цього Закону ЦЗО, засвідчувальними центрами та ЦСК.

Згідно статті 13 Закону АЦСК негайно скасовує сформований ним посилений сертифікат ключа у разі:
- закінчення строку чинності сертифіката ключа;
- подання заяви власника ключа або його уповноваженого представника;
- припинення діяльності юридичної особи - власника ключа;
- смерті фізичної особи - власника ключа або оголошення його померлим за рішенням суду;
- визнання власника ключа недієздатним за рішенням суду;
- надання власником ключа недостовірних даних;
- компрометації особистого ключа.

ЦЗО негайно скасовує посилений сертифікат ключа центру сертифікації ключів, засвідчувального центру у разі:
- припинення діяльності з надання послуг ЕЦП;
- компрометації особистого ключа.

ЦЗО, засвідчувальний центр, акредитований центр сертифікації ключів негайно блокують посилений сертифікат ключа:
- у разі подання заяви власника ключа або його уповноваженого представника;
- за рішенням суду, що набрало законної сили;
- у разі компрометації особистого ключа.

Скасування і блокування посиленого сертифіката ключа набирає чинності з моменту внесення до реєстру чинних, скасованих і блокованих посилених сертифікатів із зазначенням дати та часу здійснення цієї операції. ЦЗО, засвідчувальний центр, акредитований ЦСК негайно повідомляють про скасування або блокування посиленого сертифіката ключа його власника.

Блокований посилений сертифікат ключа поновлюється:
- у разі подання заяви власника ключа або його уповноваженого представника;
- за рішенням суду, що набрало законної сили;
- у разі встановлення недостовірності даних про компрометацію особистого ключа.

Головним органом у системі центральних органів виконавчої влади з формування та забезпечення реалізації державної політики у сфері ЕЦП є Міністерство юстиції України (далі - Мін'юст), що здійснює свою діяльність згідно вимог «Положення про Мін'юст» (далі - Положення), затвердженого постановою Кабінету Міністрів України від 2 липня 2014 року № 228.

Згідно вимог Положення Мін’юст відповідно до покладених на нього завдань виконує функції ЦЗО системи ЕЦП, а саме:
- проводить реєстрацію, акредитацію засвідчувальних центрів та центрів сертифікації ключів, повторну акредитацію та скасування акредитації засвідчувальних центрів та акредитованих центрів сертифікації ключів, отримує та перевіряє інформацію, необхідну для цього; видає, переоформлює, анулює відповідні свідоцтва та видає дублікати;
- забезпечує діяльність постійно діючої комісії з акредитації засвідчувальних центрів та центрів сертифікації ключів;
- генерує пари ключів (особистий та відкритий ключі) центрального засвідчувального органу;
- формує і видає посилені сертифікати відкритих ключів засвідчувальним центрам та центрам сертифікації ключів;
- формує посилені сертифікати власних відкритих ключів центрального засвідчувального органу;
- блокує, скасовує та поновлює сертифікати відкритих ключів засвідчувальних центрів та центрів сертифікації ключів у випадках, передбачених законом, про що інформує контролюючий орган;
- зберігає посилені сертифікати відкритих ключів засвідчувальних центрів, центрів сертифікації ключів, акредитованих центрів сертифікації ключів, що припинили діяльність;
- надає послугу з постачання передачі сигналів точного часу для формування та проведення перевірки позначки часу; погоджує розроблені центрами сертифікації ключів, акредитованими центрами сертифікації ключів порядки синхронізації часу із Всесвітнім координованим часом (UTC);
- веде електронні реєстри чинних, блокованих та скасованих посилених сертифікатів відкритих ключів засвідчувальних центрів, центрів сертифікації ключів, акредитованих центрів сертифікації ключів та здійснює їх розповсюдження (публікацію);
- веде Реєстр суб’єктів, які надають послуги, пов’язані з електронним цифровим підписом;
- забезпечує цілодобово доступ засвідчувальних центрів та центрів сертифікації ключів до посилених сертифікатів ключів і відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
- надає засвідчувальним центрам та центрам сертифікації ключів консультації з питань, пов’язаних з використанням електронного цифрового підпису;
- розглядає заяви і скарги щодо неналежного функціонування центрів та подає відповідні пропозиції контролюючому органу;
- повідомляє контролюючому органу про обставини, які перешкоджають діяльності центрального засвідчувального органу;
- здійснює інші визначені законом повноваження, необхідні для забезпечення функціонування центрального засвідчувального органу.

28 жовтня 2004 року постановою Кабінету Міністрів України № 1451 функції ЦЗО були покладені на Міністерство юстиції України та було затверджене «Положення про ЦЗО».

Організаційно-методологічні, технічні та технологічні умови діяльності ЦЗО під час обслуговування посилених сертифікатів відкритих ключів центрів, проведення реєстрації, акредитації ЦСК, а також порядок взаємодії ЦСК із ЦЗО у процесі надання послуг ЕЦП визначаються «Регламентом роботи ЦЗО» (далі - Регламент), затвердженимнаказом Міністерства юстиції України від 29 січня 2013 року  № 183/5, зареєстрованим у Міністерстві юстиції України 30 січня 2013 року за № 191/22723. Офіційний сайт ЦЗО знаходиться тут.

Згідно п.3.1 Регламенту на офіційному веб-сайті ЦЗО розповсюджується (публікується) така інформація:
- перелік зареєстрованих Центрів, що надають (припинили надання) послуги ЕЦП;
- перелік акредитованих Центрів, що надають (припинили надання) послуги ЕЦП;
- сертифікати ключів ЦЗО;
- електронні реєстри чинних, блокованих та скасованих сертифікатів ключів Центрів;
- відомості про прийняття від АЦСК на зберігання документованої інформації у разі припинення діяльності АЦСК.

Реалізація положень Законів України визначається постановами Кабінету Міністрів України. Так, 28 жовтня 2004 року постановою Кабінету Міністрів України № 1452 був затверджений «Порядок застосування ЕЦП органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності», затверджений постановою Кабінету Міністрів України № 1452, який визначає такі вимоги.

2. Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності (далі - установи) застосовують ЕЦП лише за умови використання надійних засобів ЕЦП, що повинне бути підтверджено позитивним висновком за результатами державної  експертизи у сфері КЗІ, отриманим на ці засоби від Адміністрації Держспецзв'язку, та наявності посилених сертифікатів відкритих ключів у своїх працівників - підписувачів.

3. Установи застосовують ЕЦП для вчинення правочинів за участю інших юридичних та фізичних осіб лише за наявності у них посилених сертифікатів відкритих ключів.

4. Установи не застосовують ЕЦП:
- для складання електронних документів, які не можуть бути оригіналами у випадках, передбачених законодавством;
- для вчинення правочинів на суму, що перевищує 1 млн. гривень.

5. Установи отримують на договірних засадах послуги, пов'язані з ЕЦП, від АЦСК. При цьому установа може отримувати такі послуги лише від одного АЦСК. Використання підписувачами особистих ключів, відповідні відкриті ключі яких засвідчені іншими АЦСК, забороняється.

7. Установа здійснює обмін інформацією з АЦСК через телекомунікаційні мережі.

8. Відповідальність за організацію застосування ЕЦП в установі несе її керівник, якщо інше не встановлено законодавством.

9. Застосування ЕЦП в установі забезпечує підрозділ інформаційних технологій, а у разі відсутності такого - підрозділ, що виконує відповідні функції (далі - відповідальний підрозділ), або працівник, спеціально визначений наказом керівника цієї установи.

Зазначений підрозділ (працівник) забезпечує:
- підготовку та надання акредитованому центру сертифікації ключів інформації, необхідної для формування посилених сертифікатів відкритих ключів підписувачів;
- надання допомоги підписувачам під час генерації їх особистих та відкритих ключів;
- подання до АЦСК звернень про скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів;
- доступ підписувачів через телекомунікаційні мережі до акредитованих центрів сертифікації ключів у разі неможливості здійснення ними такого доступу із своїх робочих місць;
- ведення обліку засобів ЕЦП, що використовуються в установі;
- ведення обліку носіїв особистих ключів підписувачів;
- зберігання документів, на підставі яких було сформовано посилені сертифікати відкритих ключів підписувачів;
- контроль за використанням підписувачами засобів ЕЦП та зберіганням ними особистих ключів.

10. Порядок надання працівникам установи права застосування ЕЦП, ведення обліку, зберігання та знищення їх особистих ключів, а також надання АЦСК інформації, необхідної для формування, скасування, блокування або поновлення посилених сертифікатів відкритих ключів підписувачів установи, визначається наказом її керівника, якщо інше не становлено законодавством.

11. Генерація особистого та відкритого ключів здійснюється підписувачем безпосередньо в установі або в АЦСК, що її обслуговує. У разі потреби під час генерації ключів підписувачеві надається допомога персоналом відповідального підрозділу (спеціально визначеним працівником) або персоналом АЦСК.

12. У посиленому сертифікаті відкритого ключа підписувача додатково зазначається його належність до установи та посада, яку він займає.

13. У разі коли згідно із законодавством необхідне засвідчення печаткою справжності підпису на документах та відповідності копій документів оригіналам,  установа застосовує спеціально призначений для таких цілей ЕЦП (далі - електронна печатка). Установа застосовує електронну печатку лише за наявності у неї відповідної печатки, що застосовується для документів на папері.

У посиленому сертифікаті відкритого ключа, що використовується установою для електронної печатки, додатково зазначається спеціальне призначення ЕЦП та сфера його застосування, а також відтворюється текстова інформація, розміщена на відповідній печатці.

14. Право проставлення електронної печатки на електронних документах надається лише тому працівнику установи, який проставляє відповідну печатку на документах на папері. Отримання в АЦСК посиленого сертифіката відкритого ключа для забезпечення застосування електронної печатки, а також генерація відповідних ключів здійснюється в тому ж порядку, що й для ЕЦП.

15. Підписувач може застосовувати ЕЦП лише після отримання установою від АЦСК посиленого сертифіката його відкритого ключа. Після звільнення підписувача установа звертається до АЦСК для скасування посиленого сертифіката його відкритого ключа, а особистий ключ треба знищити методом, що не допускає можливості його відновлення.

16. Підписувач використовує у процесі виконання своїх функцій лише особистий ключ, отриманий в установі. Використання особистого ключа у випадках, не пов'язаних з діяльністю установи, забороняється.

17. Підписувач на один і той самий момент часу може мати і використовувати лише один особистий ключ, якому відповідає відкритий ключ з чинним посиленим сертифікатом, отриманим установою. Це обмеження не стосується електронної печатки.

18. Підписувач несе відповідальність за зберігання особистого ключа. 19. Копіювання особистих ключів або передача їх іншим особам забороняється.

20. Справжність ЕЦП, накладеного на електронний документ, та цілісність цього документа перевіряється з дотриманням таких вимог:
- ЕЦП повинен бути підтверджений з використанням посиленого сертифіката ключа за допомогою надійних засобів ЕЦП;
- під час перевірки повинен використовуватися посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
- особистий ключ підписувача повинен відповідати відкритому ключу, зазначеному у сертифікаті;
- на час перевірки повинен бути чинним посилений сертифікат відкритого ключа АЦСК та/або посилений сертифікат відкритого ключа відповідного засвідчувального центру.

21. Контроль за виконанням в установах вимог цього Порядку здійснює Адміністрація  Держспецзв'язку.

13 липня 2004 року постановою Кабінету Міністрів України № 903 був прийнятий «Порядок акредитації центру сертифікації ключів», який визначає процедуру акредитації ЦСК, умови надання центром послуг ЕЦП, вимоги до його персоналу та захисту інформації.

20. АЦСК забезпечує:
- виконання вимог щодо надання послуг ЕЦП згідно із законом;
- інформування підписувача про обмеження використання ЕЦП та порядок відшкодування збитків;
- виконання приписів контролюючого органу;
- надання допомоги підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживає заходів щодо забезпечення безпеки інформаці під час генерації;
- розташування засобів програмно-технічного комплексу, за допомогою яких здійснюється надання послуг сертифікації та відкликання, в спеціальних приміщеннях та їх охорону;
- збереження програмно-технічного комплексу, іншого майна та запобігання безконтрольному проникненню в приміщення акредитованого ЦСК сторонніх осіб;
- використовання надійних засобів ЕЦП, програмно-технічний комплекс, засоби криптографічного захисту інформації відповідно до вимог Адміністрації Держспецзв'язку та Мін'юсту.

27. АЦСК під час надання послуги сертифікації фізичним та юридичним особам зобов'язаний:
- генерувати ключі підписувача;
- формувати сертифікат згідно із законом.

13 січня 2005 року наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації (далі - ДСТСЗІ) СБУ № 3 (у редакції наказу ДСТСЗІ СБУ від 10 травня 2006 року № 50), зареєстрованим у Міністерстві юстиції України 27 січня 2005 року за № 104/10384, були затверджені «Правила посиленої сертифікації», які визначають організаційні, технічні і технологічні вимоги до АЦСК під час обслуговування ними посилених сертифікатів відкритих ключів (далі - сертифікат) та забезпечення їх використання.

У Правилах організаційні, технічні і технологічні умови діяльності акредитованих центрів під час обслуговування ними сертифікатів мають назву політика сертифікації. Сертифікати, сформовані відповідно до вимог політики сертифікації, використовуються для підтримки ЕЦП, який задовольняє вимогам щодо підпису, застосованого до даних в електронній формі, у такий же спосіб, як власноручні підписи задовольняють вимогам стосовно документа на папері.

Правила складаються з таких розділів:
- обов'язки акредитованого ЦСК;
- вимоги до діяльності АЦСК під час обслуговування сертифікатів;
- управління ключами в АЦСК;
- обслуговування сертифікатів;
- забезпечення безпеки інформаційних ресурсів в АЦСК.

Крім того, окремий додаток до Правил визначає вимоги до спеціальних приміщень акредитованого центру, які передбачають проведення заходів щодо пасивного захисту інформації від її витоку каналами побічних електромагнітних випромінювань та наведень, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів.

20 серпня 2012 року спільним наказом Адміністрації Держспецзв'язку та Міністерства юстиції України № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах ЕЦП», зареєстрованим у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710, були затверджені:

- вимоги до формату посиленого сертифіката відкритого ключа;
- вимоги до структури об'єктних ідентифікаторів для криптоалгоритмів, що є державними стандартами;
- вимоги до формату списку відкликаних сертифікатів;
- вимоги до формату підписаних даних;
- вимоги до протоколу фіксування часу;
- вимоги до протоколу визначення статусу сертифіката.

18 грудня 2012 наказом Адміністрації Держспецзв'язку № 739, зареєстрованим у Міністерстві юстиції України 14 січня 2013 року за № 108/22640, були затверджені «Вимоги до форматів криптографічних повідомлень».

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика