КАБІНЕТ МІНІСТРІВ УКРАЇНИ

ПОСТАНОВА

від 7 листопада 2018 р. N 992

Київ

Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг

Відповідно до статей 13 (Закон N 2155-VIII), 18 - 21 (Закон N 2155-VIII), 23 (Закон N 2155-VIII), 26 - 28 (Закон N 2155-VIII), 33 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII) Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

вимоги у сфері електронних довірчих послуг;

Порядок перевірки дотримання вимог законодавства у сфері електронних довірчих послуг.

2. Установити, що для надання кваліфікованих електронних довірчих послуг можуть використовуватись надійні засоби електронного цифрового підпису, які отримали позитивні експертні висновки за результатами державної експертизи у сфері криптографічного захисту інформації, видані до набрання чинності Законом України "Про електронні довірчі послуги" (Закон N 2155-VIII), до закінчення строку дії експертних висновків.

3. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.

4. Ця постанова набирає чинності з дня її опублікування, крім пунктів 68 - 72 переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до затверджених цією постановою вимог у сфері електронних довірчих послуг. Зазначені пункти набирають чинності з 1 січня 2019 року.

 

Прем'єр-міністр України

В. ГРОЙСМАН

Інд. 49

 

ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 7 листопада 2018 р. N 992

ВИМОГИ
у сфері електронних довірчих послуг

Загальні положення

1. Ці вимоги визначають організаційно-методологічні, технічні та технологічні умови, яких повинен дотримуватися кваліфікований надавач електронних довірчих послуг (далі - надавач), його відокремлені пункти реєстрації під час надання кваліфікованих електронних довірчих послуг їх користувачам.

2. Центральний засвідчувальний орган надає кваліфіковані електронні довірчі послуги відповідно до цих вимог з урахуванням особливостей, передбачених Законом України "Про електронні довірчі послуги" (Закон N 2155-VIII).

3. Дія цих вимог не поширюється на надання кваліфікованих електронних довірчих послуг у банківській системі України та під час здійснення переказу коштів.

4. У цих вимогах терміни вживаються в такому значенні:

власник веб-сайту - користувач кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту;

геш-значення - фіксовані за обсягом електронні дані, утворені шляхом перетворення електронних даних із застосуванням криптографічного алгоритму;

гешування - перетворення електронних даних будь-якого обсягу в електронні дані фіксованого обсягу шляхом застосування криптографічного алгоритму;

заявник - фізична особа або представник юридичної особи, що звернулись до надавача для отримання кваліфікованих електронних довірчих послуг;

інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем надавача або центрального засвідчувального органу, які у процесі обробки інформації діють як єдине ціле та об'єднують програмно-технічний комплекс, що використовується під час надання кваліфікованих електронних довірчих послуг (далі - програмно-технічний комплекс), фізичне середовище, інформацію, що обробляється в зазначених системах, а також найманих працівників надавача або центрального засвідчувального органу, які безпосередньо задіяні у наданні кваліфікованих електронних довірчих послуг або обслуговують програмно-технічний комплекс (далі - наймані працівники);

кваліфікована електронна довірча послуга - електронна довірча послуга, надання якої забезпечує надавач або центральний засвідчувальний орган, зокрема за допомогою засобу кваліфікованого електронного підпису чи печатки, та яка базується на кваліфікованому сертифікаті відкритого ключа;

користувач - особа, яка на підставі договору або іншого документа отримує у надавача кваліфіковану електронну довірчу послугу;

об'єктний ідентифікатор - унікальний буквено-числовий чи числовий ідентифікатор, зареєстрований у відповідному стандарті Міжнародної організації із стандартизації для конкретних об'єктів або для певного класу об'єктів;

онлайн-операція - будь-яка дія, технологічна схема якої передбачає наявність безперервного телекомунікаційного зв'язку в режимі реального часу під час її проведення;

політика сертифіката - перелік усіх правил, що застосовуються надавачем у процесі надання кваліфікованих електронних довірчих послуг з обслуговування кваліфікованих сертифікатів відкритих ключів, включаючи положення цих вимог;

положення сертифікаційних практик - перелік усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката надавача;

публікація кваліфікованого сертифіката відкритого ключа - надання кваліфікованого сертифіката відкритого ключа користувачеві та у разі його згоди іншим особам шляхом розміщення його на офіційному веб-сайті надавача;

регламент роботи - документ надавача або центрального засвідчувального органу, що визначає організаційно-методологічні, технічні та технологічні умови діяльності надавача або центрального засвідчувального органу під час надання кваліфікованих електронних довірчих послуг, включаючи політику сертифіката та положення сертифікаційних практик;

розповсюдження інформації про статус кваліфікованого сертифіката відкритого ключа - надання вільного доступу до інформації про статус кваліфікованого сертифіката відкритого ключа;

список відкликаних сертифікатів - сформований та опублікований надавачем перелік кваліфікованих сертифікатів відкритих ключів, статус яких змінено на блокований, поновлений або скасований;

статус кваліфікованого сертифіката відкритого ключа - стан кваліфікованого сертифіката відкритого ключа (чинний, блокований, скасований) на певний момент часу;

управління статусом сертифіката - зміна статусу кваліфікованого сертифіката відкритого ключа надавачем.

5. Інші терміни вживаються у значенні, наведеному в Законах України "Про електронні довірчі послуги" (Закон N 2155-VIII), "Про електронні документи та електронний документообіг", "Про телекомунікації", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про основні засади забезпечення кібербезпеки України" (Закон N 2163-VIII).

Вимоги до надавачів

6. Найманими працівниками надавача, посадові обов'язки яких безпосередньо пов'язані з наданням кваліфікованих електронних довірчих послуг, є:

1) адміністратор реєстрації;

2) адміністратор сертифікації;

3) адміністратор безпеки та аудиту;

4) системний адміністратор.

Забороняється суміщення посадових обов'язків адміністратора безпеки та аудиту з іншими посадовими обов'язками, безпосередньо пов'язаними з наданням кваліфікованих електронних довірчих послуг.

7. Наймані працівники надавача повинні мати необхідні для надання кваліфікованих електронних довірчих послуг знання, досвід і кваліфікацію.

Адміністратором сертифікації, адміністратором безпеки та аудиту, системним адміністратором може бути особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше трьох років.

8. Організаційно-правовий статус керівника і найманих працівників надавача, їх завдання та функції, права та обов'язки, відповідальність, а також професійні знання, досвід і кваліфікація визначаються у посадових інструкціях.

Посадові інструкції повинні містити вимоги інформаційної безпеки та методи її забезпечення.

9. Керівник і наймані працівники надавача повинні бути ознайомлені з положеннями їх посадових інструкцій та діяти відповідно до своїх посадових завдань та функцій.

10. Адміністратор реєстрації відповідає за перевірку документів, наданих заявниками, їх заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.

11. Основними обов'язками адміністратора реєстрації є:

1) ідентифікація та автентифікація заявників;

2) перевірка заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;

3) встановлення належності відкритого ключа та відповідного йому особистого ключа заявнику;

4) ведення обліку користувачів.

12. Адміністратор сертифікації відповідає за формування кваліфікованих сертифікатів відкритих ключів, ведення електронного реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, збереження та використання особистих ключів надавача, а також створення їх резервних копій.

13. Основними обов'язками адміністратора сертифікації є:

1) участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;

2) зберігання особистих ключів надавача та їх резервних копій;

3) забезпечення використання особистих ключів надавача під час формування та обслуговування кваліфікованих сертифікатів відкритих ключів надавача та користувачів;

4) перевірка заяв про формування кваліфікованих сертифікатів відкритих ключів надавача на відповідність вимогам регламенту роботи надавача;

5) участь у знищенні особистих ключів надавача;

6) забезпечення ведення, архівування та відновлення баз даних кваліфікованих сертифікатів відкритих ключів користувачів;

7) забезпечення публікації кваліфікованих сертифікатів відкритих ключів користувачів та списків відкликаних сертифікатів на офіційному веб-сайті надавача;

8) створення резервних копій кваліфікованих сертифікатів відкритих ключів користувачів;

9) зберігання кваліфікованих сертифікатів відкритих ключів користувачів, їх резервних копій, списків відкликаних сертифікатів та інших важливих ресурсів інформаційно-телекомунікаційної системи надавача.

14. Адміністратор безпеки та аудиту відповідає за належне функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою.

15. Основними обов'язками адміністратора безпеки та аудиту є:

1) участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;

2) контроль за формуванням, обслуговуванням і створенням резервних копій кваліфікованих сертифікатів відкритих ключів надавача, користувачів та списків відкликаних сертифікатів;

3) контроль за зберіганням особистих ключів надавача та їх резервних копій, особистих ключів адміністраторів;

4) участь у знищенні особистих ключів надавача, контроль за правильним і своєчасним знищенням адміністраторами їх особистих ключів;

5) організація розмежування доступу до ресурсів інформаційно-телекомунікаційної системи надавача;

6) забезпечення спостереження за функціонуванням комплексної системи захисту інформації або системи управління інформаційною безпекою (реєстрація подій в інформаційно-телекомунікаційній системі надавача, моніторинг подій тощо);

7) забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою після збоїв, відмов, аварій інформаційно-телекомунікаційної системи надавача;

8) забезпечення режиму доступу до приміщень надавача, в яких розміщена інформаційно-телекомунікаційна система надавача;

9) ведення журналів обліку адміністратора безпеки та аудиту, визначених документацією на комплексну систему захисту інформації або звітності, що передбачена системою управління інформаційною безпекою;

10) проведення перевірок журналів аудиту подій, що реєструють технічні засоби інформаційно-телекомунікаційної системи надавача;

11) проведення перевірок відповідності положень внутрішньої організаційно-розпорядчої документації надавача та документації на комплексну систему захисту інформації або систему управління інформаційною безпекою;

12) контроль за дотриманням найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;

13) контроль за веденням баз даних надавача;

14) контроль за веденням архіву надавача.

16. Адміністратор безпеки та аудиту відповідає за проведення перевірок дотримання найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою. Надавач встановлює періодичність (у днях, тижнях або місяцях) проведення таких внутрішніх перевірок, але не рідше ніж один раз на рік.

17. Системний адміністратор відповідає за функціонування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби) інформаційно-телекомунікаційної системи надавача.

18. Основними обов'язками системного адміністратора є:

1) організація експлуатації та технічного обслуговування інформаційно-телекомунікаційної системи надавача і адміністрування її технічних засобів;

2) забезпечення функціонування офіційного веб-сайту надавача;

3) участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою;

4) ведення журналів аудиту подій, що реєструють технічні засоби інформаційно-телекомунікаційної системи надавача;

5) встановлення, налаштування та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення інформаційно-телекомунікаційної системи надавача;

6) встановлення та налагодження штатної підсистеми резервного копіювання бази даних інформаційно-телекомунікаційної системи надавача;

7) забезпечення актуалізації баз даних, створюваних та оброблюваних в інформаційно-телекомунікаційній системі надавача, у зв'язку із збоями.

19. Наймані працівники надавача повинні бути повідомлені про зміни в організації процесів надавача, що стосуються їх посадових обов'язків.

20. Керівник надавача зобов'язаний забезпечити створення умов для безперервної особистої освіти та постійне підвищення кваліфікації найманих працівників надавача у сферах інформаційних технологій, захисту інформації або кібербезпеки та захисту персональних даних.

21. Керівником надавача повинна бути встановлена чітка система дисциплінарних стягнень за недотримання найманими працівниками надавача своїх посадових обов'язків, вимог нормативно-правових актів у сфері електронних довірчих послуг і вимог внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою.

22. До працівників відокремлених пунктів реєстрації, на яких покладено обов'язки з реєстрації користувачів, повинні застосовуватись такі ж вимоги, як і до адміністраторів реєстрації.

23. Генерація пари ключів надавача здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

Генерація пари ключів надавача здійснюється виключно за допомогою засобу кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм.

24. Усі події, пов'язані з генерацією, використанням та знищенням пари ключів надавача, повинні протоколюватися.

25. Особисті ключі надавача повинні розміщуватися у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, за допомогою якого здійснювалася генерація пари ключів.

Технологія зберігання особистих ключів надавача повинна унеможливити доступ до них ззовні. Особисті ключі надавача повинні зберігатись у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм.

26. У разі здійснення резервного копіювання особисті ключі надавача повинні бути перенесені на зовнішній засіб кваліфікованого електронного підпису чи печатки, який є апаратно-програмним або апаратним пристроєм у захищеному вигляді, що забезпечує їх цілісність та конфіденційність.

Резервне копіювання та відновлення особистих ключів надавача здійснюються адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

27. Умови забезпечення захисту резервних копій особистих ключів надавача під час їх зберігання повинні бути не гіршими, ніж умови забезпечення захисту особистих ключів, що використовуються.

28. Особисті ключі надавача можуть використовуватися виключно для формування кваліфікованих сертифікатів відкритих ключів (накладення кваліфікованого електронного підпису чи печатки на кваліфікований сертифікат відкритого ключа) та інформації про статус кваліфікованого сертифіката відкритого ключа.

29. Особисті ключі надавача можуть використовуватися виключно у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, розташованим в окремому, спеціально призначеному для цього приміщенні.

30. Після закінчення строку дії кваліфікованого сертифіката відкритого ключа надавача особистий ключ надавача та всі його резервні копії знищуються способом, що не дає змоги їх відновити.

31. Діяльність надавачів здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхування цивільно-правової відповідальності для забезпечення відшкодування збитків, які можуть бути завдані користувачам чи третім особам внаслідок неналежного виконання надавачем своїх зобов'язань.

32. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми визначено частиною третьою статті 16 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

33. Надавач зобов'язаний підтримувати розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми в актуальному стані відповідно до розміру мінімальної заробітної плати, встановленого законом про Державний бюджет України на відповідний рік.

34. У разі відшкодування збитків, завданих користувачам чи третім особам внаслідок неналежного виконання своїх зобов'язань, надавач протягом трьох місяців вживає вичерпних заходів для відновлення розміру внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми.

35. Надавач надає кваліфіковані електронні довірчі послуги відповідно до вимог законодавства у сфері електронних довірчих послуг та регламенту роботи надавача.

36. Регламент роботи надавача розробляється та затверджується до початку роботи надавача.

37. Регламент роботи надавача містить:

1) загальні відомості про надавача (найменування або прізвище, ім'я, по батькові надавача; код за Єдиним державним реєстром підприємств та організацій України; місцезнаходження, номери телефонів, електронна адреса веб-сайту);

2) перелік кваліфікованих електронних довірчих послуг, надання яких забезпечує надавач;

3) перелік посад найманих працівників, обов'язки яких безпосередньо пов'язані з наданням кваліфікованих електронних довірчих послуг, та функції таких працівників;

4) політику сертифіката та положення сертифікаційних практик;

5) опис процедур та процесів, які виконуються під час надання кваліфікованих електронних довірчих послуг, що не передбачають формування та обслуговування кваліфікованих сертифікатів відкритих ключів.

38. У політиці сертифіката визначається кожна кваліфікована електронна довірча послуга, що передбачає формування та обслуговування надавачем кваліфікованих сертифікатів відкритих ключів, окремо або у сукупності.

У положенні сертифікаційних практик визначаються практичні та процедурні засади реалізації всіх політик сертифіката у сукупності.

39. У політиці сертифіката визначаються:

1) перелік сфер, в яких дозволяється використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;

2) обмеження щодо використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;

3) перелік інформації, що розміщується надавачем на своєму офіційному веб-сайті;

4) час і порядок публікації кваліфікованих сертифікатів відкритих ключів та списків відкликаних сертифікатів;

5) механізм підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа;

6) умови встановлення заявника (інформація, що надається заявником під час ідентифікації особи, види документів, на підставі яких встановлюється заявник, вимоги щодо особистої присутності);

7) механізм автентифікації користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем;

8) механізм автентифікації користувачів з питань блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа;

9) опис фізичного середовища (опис приміщень надавача, в яких розміщена інформаційно-телекомунікаційна система надавача, механізми контролю доступу до них);

10) процедурний контроль (система дисциплінарних стягнень за недотримання найманими працівниками надавача своїх посадових обов'язків, вимог нормативно-правових актів у сфері електронних довірчих послуг та вимог внутрішньої організаційно-розпорядчої документації надавача та документації на комплексну систему захисту інформації або систему управління інформаційною безпекою в межах організації з урахуванням режиму роботи надавача);

11) порядок ведення журналів аудиту подій (із зазначенням типів подій, частоти перегляду, строків зберігання журналів аудиту подій, захисту та резервного копіювання журналів аудиту подій, переліку найманих працівників надавача, що можуть здійснювати перегляд журналів аудиту подій);

12) порядок ведення архівів надавача (із зазначенням видів документів та даних, що підлягають архівуванню, строків зберігання архівів, механізму та порядку зберігання і захисту архівів);

13) процес, порядок та умови генерації пар ключів надавача та користувачів;

14) процедури отримання користувачем особистого ключа в результаті надання кваліфікованої електронної довірчої послуги її надавачем;

15) механізм надання відкритого ключа користувача надавачу для формування кваліфікованого сертифіката відкритого ключа;

16) порядок захисту та доступу до особистого ключа надавача;

17) порядок та умови резервного копіювання особистого ключа надавача, збереження, доступу та використання резервної копії.

40. У положеннях сертифікаційних практик зазначаються:

1) процес подання запиту на формування кваліфікованого сертифіката відкритого ключа (перелік суб'єктів, уповноважених здійснювати запит на формування кваліфікованого сертифіката відкритого ключа, порядок подачі та оброблення такого запиту, строки оброблення запиту на формування кваліфікованого сертифіката відкритого ключа);

2) порядок надання сформованого кваліфікованого сертифіката відкритого ключа користувачу;

3) порядок публікації сформованого кваліфікованого сертифіката відкритого ключа користувача на офіційному веб-сайті надавача;

4) умови використання кваліфікованого сертифіката відкритого ключа користувача та його особистого ключа (попередження про можливі наслідки неправильного використання кваліфікованого сертифіката відкритого ключа та особистого ключа);

5) процедура подачі запиту на формування кваліфікованого сертифіката відкритого ключа для користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем;

6) обставини скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; перелік суб'єктів, уповноважених здійснювати запит на скасування (блокування та поновлення) кваліфікованого сертифіката відкритого ключа; процедура подання запиту на скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; час оброблення запиту на скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; частота формування списку відкликаних сертифікатів та строки його дії; можливість та умови надання інформації про статус кваліфікованого сертифіката відкритого ключа у режимі реального часу);

7) строк закінчення дії кваліфікованого сертифіката відкритого ключа користувача.

41. Проект регламенту роботи надавача підлягає обов'язковому погодженню з Адміністрацією Держспецзв'язку, строк якого не може перевищувати 30 календарних днів з дня надходження зазначеного проекту на погодження.

Підставами для відмови у погодженні регламенту роботи надавача є:

недотримання вимог щодо подання зазначеного регламенту, визначених пунктами 35 - 43 цих вимог;

виявлення у проекті регламенту недостовірної інформації, тлумачень, які не дають змоги однозначно розуміти зміст, а також виправлень або дописок.

Процедура погодження регламенту роботи надавача проводиться Адміністрацією Держспецзв'язку безоплатно.

Після погодження з Адміністрацією Держспецзв'язку регламент роботи надавача затверджується його керівником у двох примірниках.

Один примірник погодженого з Адміністрацією Держспецзв'язку та затвердженого керівником надавача регламенту роботи надавача передається до Адміністрації Держспецзв'язку.

42. Погодження та затвердження змін до регламенту роботи надавача здійснюється відповідно до вимог щодо погодження та затвердження регламенту.

Для погодження змін до регламенту роботи надавача до Адміністрації Держспецзв'язку надається текст відповідних змін та порівняльна таблиця.

43. Надавач самостійно визначає обсяг положень регламенту його роботи та інших документів, що підлягають розміщенню на офіційному веб-сайті надавача для ознайомлення.

44. Для набуття статусу надавача юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, подає до центрального засвідчувального органу заяву про внесення відомостей про неї до Довірчого списку та інші документи, визначені частиною другою статті 30 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

Форма заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку встановлюється у регламенті роботи центрального засвідчувального органу.

45. Заява про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що додаються до неї, можуть бути подані представником юридичної особи або фізичною особою - підприємцем, який має намір надавати кваліфіковані електронні довірчі послуги, в електронній формі через Єдиний державний портал адміністративних послуг, у тому числі через інтегровану з ним інформаційну систему центрального засвідчувального органу.

Забезпечення цілісності та конфіденційності інформації, у тому числі персональних даних, під час подання заяви та документів, що додаються до неї, здійснюється з дотриманням вимог законодавства у сфері захисту інформації із застосуванням кваліфікованого електронного підпису представника юридичної особи або фізичної особи - підприємця та з використанням засобів шифрування, що мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

У разі подання заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документів, що додаються до неї, в електронній формі копії документів, які існують виключно в паперовій формі, додаються до заяви у форматі PDF.

Відповідність зазначених копій документів оригіналам засвідчується шляхом накладення кваліфікованого електронного підпису керівника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги.

Представник юридичної особи або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, відповідає за достовірність інформації, зазначеної в документах, що додаються до заяви, для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку.

У разі подання заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документів, що до неї додаються, в електронній формі документи на паперових носіях не подаються.

Уповноважена особа центрального засвідчувального органу перевіряє надходження електронних документів не рідше двох разів на день (у першій та другій половині робочого дня).

Документи для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку, подані в електронній формі, реєструються в інформаційній системі центрального засвідчувального органу після їх надходження, про що автоматично через персональний кабінет на Єдиному державному порталі адміністративних послуг інформується представник юридичної особи або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги.

46. Після вжиття вичерпних заходів для забезпечення ідентифікації та перевірки обсягу цивільної правоздатності та дієздатності представника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги, центральний засвідчувальний орган розглядає заяву про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що до неї додаються, і за результатами їх розгляду приймає рішення в порядку та у строки, що встановлені Законом України "Про електронні довірчі послуги" (Закон N 2155-VIII).

47. На підставі прийнятого центральним засвідчувальним органом рішення про внесення до Довірчого списку юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, засвідчує чинність одного або декількох своїх відкритих ключів (окремо для кожної кваліфікованої електронної довірчої послуги) у центральному засвідчувальному органі відповідно до вимог регламенту роботи центрального засвідчувального органу.

Засвідчення чинності відкритого ключа юридичної особи або фізичної особи - підприємця є умовою внесення до Довірчого списку інформації про кваліфіковані електронні довірчі послуги, які має намір надавати юридична особа або фізична особа - підприємець.

Для засвідчення чинності відкритого ключа юридична особа або фізична особа - підприємець подає до центрального засвідчувального органу:

заяву про формування кваліфікованого сертифіката відкритого ключа та відповідний електронний запит, що формується після генерації пари ключів;

підписаний примірник договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.

48. Юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, набуває статусу надавача з дня внесення відомостей про неї до Довірчого списку.

49. Центральний засвідчувальний орган оприлюднює рішення про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про його прийняття представникові юридичної особи або фізичній особі - підприємцю, що має намір надавати кваліфіковані електронні довірчі послуги, шляхом надсилання листа поштою або в електронній формі через персональний кабінет на Єдиному державному порталі адміністративних послуг.

50. Зміна відомостей про надавача, що містяться в Довірчому списку, є підставою для внесення змін до Довірчого списку, яке здійснюється в порядку та у строки, встановлені Законом України "Про електронні довірчі послуги" (Закон N 2155-VIII).

У разі виникнення змін у відомостях, внесених до Довірчого списку, надавач зобов'язаний протягом п'яти робочих днів з дня виникнення таких змін подати до центрального засвідчувального органу заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.

51. Надавач припиняє діяльність з надання кваліфікованих електронних довірчих послуг з підстав та в порядку, що визначені статтею 31 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

52. У разі припинення надання кваліфікованих електронних довірчих послуг надавач зобов'язаний передати центральному засвідчувальному органу документовану інформацію (документи, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги та були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, а також реєстри сформованих кваліфікованих сертифікатів відкритих ключів) у порядку, визначеному Кабінетом Міністрів України.

53. Передача документованої інформації здійснюється надавачем не пізніше дня, визначеного ним як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, чи дня набрання законної сили відповідним рішенням суду.

54. Центральний засвідчувальний орган скасовує виданий ним кваліфікований сертифікат відкритого ключа надавача у день, визначений надавачем як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, чи у день набрання законної сили відповідним рішенням суду.

Загальні вимоги до надавача під час надання кваліфікованих електронних довірчих послуг

55. Кваліфіковані електронні довірчі послуги надаються користувачам виключно надавачами.

56. Надавач може надавати окремо або в сукупності кваліфіковану електронну довірчу послугу із:

1) створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки;

2) формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;

3) формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту;

4) формування, перевірки та підтвердження кваліфікованої електронної позначки часу;

5) реєстрованої електронної доставки;

6) зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів.

57. Надавач забезпечує вільний доступ до своїх приміщень, в яких здійснюється обслуговування користувачів, у тому числі створення належних умов для доступу до приміщень осіб з обмеженими фізичними можливостями.

Інформація про умови доступності таких приміщень для осіб з обмеженими фізичними можливостями розміщується у місці, доступному для візуального сприйняття користувачів.

58. Для надання кваліфікованої електронної довірчої послуги надавач здійснює ідентифікацію заявника шляхом перевірки ідентифікаційних даних особи з документів, що надаються заявником, та даних, одержаних з інформаційних систем органів державної влади.

59. Ідентифікація заявника та перевірка обсягу його цивільної правоздатності та дієздатності здійснюється відповідно до вимог статті 22 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

60. Ідентифікаційні дані особи, що надаються заявником для отримання кваліфікованої електронної довірчої послуги, повинні бути перевірені надавачем:

1) у присутності заявника;

2) шляхом використання ідентифікаційних даних особи-заявника з чинного кваліфікованого сертифіката відкритого ключа, сформованого тим самим надавачем.

61. Заявник повинен надати визначену регламентом роботи надавача контактну інформацію, що дає змогу зв'язатися з ним.

62. Реєстрація користувачів може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції згідно з регламентом роботи надавача.

63. Центральний засвідчувальний орган надає кваліфіковані електронні довірчі послуги надавачам відповідно до регламенту роботи центрального засвідчувального органу з дотриманням цих вимог.

64. Надавач повинен забезпечити створення можливості для ознайомлення заявників з інформацією про умови отримання кваліфікованої електронної довірчої послуги.

65. До інформації, вільний доступ до якої повинен забезпечити надавач, належать:

1) відомості про надавача;

2) дані про внесення відомостей про надавача до Довірчого списку;

3) кваліфіковані сертифікати відкритих ключів надавача;

4) перелік кваліфікованих електронних довірчих послуг, які надає надавач;

5) дані про засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг;

6) форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги;

7) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;

8) відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів користувачами;

9) дані про порядок перевірки чинності кваліфікованого сертифіката відкритого ключа, у тому числі умови перевірки статусу кваліфікованого сертифіката відкритого ключа;

10) перелік актів законодавства у сфері електронних довірчих послуг.

Надавач забезпечує інформування користувачів про умови отримання кваліфікованих електронних довірчих послуг, зокрема шляхом розміщення відповідної інформації на офіційному веб-сайті надавача.

Інформація на офіційному веб-сайті надавача повинна бути доступною для осіб з обмеженими фізичними можливостями.

66. Кваліфіковані електронні довірчі послуги надаються на підставі укладеного між надавачем і заявником договору про надання кваліфікованої електронної довірчої послуги.

Підставою для надання кваліфікованих електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, інших юридичних особах публічного права може бути відповідне рішення.

67. Надавач обліковує та зберігає протягом строків, визначених законодавством у сфері архівної справи, договори про надання кваліфікованих електронних довірчих послуг, а також документи (засвідчені в установленому порядку копії документів), що використовуються під час ідентифікації та перевірки достатності обсягу цивільної правоздатності та дієздатності заявника.

68. Істотними умовами договору про надання кваліфікованої електронної довірчої послуги є:

1) права та обов'язки сторін;

2) умови використання засобів кваліфікованого електронного підпису чи печатки (у разі коли кваліфікована електронна довірча послуга передбачає використання засобів кваліфікованого електронного підпису чи печатки);

3) умови використання заявником особистого ключа (у разі коли кваліфікована електронна довірча послуга передбачає використання особистого ключа);

4) умови публікації кваліфікованого сертифіката відкритого ключа заявника (у разі коли кваліфікована електронна довірча послуга передбачає формування кваліфікованого сертифіката відкритого ключа);

5) строк дії договору;

6) умови оплати;

7) порядок внесення змін до договору;

8) порядок розірвання договору.

69. Договір про надання кваліфікованої електронної довірчої послуги може бути змінено виключно за взаємною згодою сторін.

70. У разі зміни відомостей, що містяться у договорі про надання кваліфікованої електронної довірчої послуги, заявник у триденний строк з дня настання таких змін повідомляє про це надавачеві та подає документи, що підтверджують відповідні зміни.

71. Підставами для розірвання договору про надання кваліфікованої електронної довірчої послуги є:

1) згода сторін;

2) рішення суду про розірвання договору;

3) виключення надавача з Довірчого списку.

72. У разі коли у договорі про надання кваліфікованої електронної довірчої послуги передбачено формування кваліфікованого сертифіката відкритого ключа, розірвання такого договору є підставою для скасування надавачем кваліфікованого сертифіката відкритого ключа, сформованого відповідно до договору.

73. Надавач має право самостійно обирати, які саме стандарти, зазначені у переліку, що додається, будуть ним застосовуватися під час надання кваліфікованих електронних довірчих послуг.

З метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації Мін'юст разом з Адміністрацією Держспецзв'язку встановлюють вимоги до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг.

74. Контроль за наданням кваліфікованих електронних довірчих послуг здійснює Адміністрація Держспецзв'язку.

75. Надавач зобов'язаний щороку до 15 січня подавати до Адміністрації Держспецзв'язку звіт про діяльність за попередній рік, що містить відомості про:

1) кількість укладених договорів про надання електронних довірчих послуг (окремо з фізичними та юридичними особами);

2) кількість сформованих та скасованих кваліфікованих сертифікатів відкритих ключів за звітний період із зазначенням причин скасування (у разі коли надавач забезпечує надання кваліфікованих електронних довірчих послуг, які передбачають обслуговування кваліфікованих сертифікатів відкритих ключів);

3) факти відшкодування шкоди користувачам електронних довірчих послуг та/або третім особам внаслідок неналежного виконання надавачем своїх зобов'язань (у разі наявності);

4) факти участі надавача як позивача, відповідача або третьої сторони у судових справах з питань надання електронних довірчих послуг, предмет розгляду та прийняте рішення (у разі наявності);

5) факти порушення надавачем вимог законодавства у сфері захисту інформації під час надання електронних довірчих послуг, їх причини та заходи, вжиті для усунення таких порушень.

Вимоги до надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток

76. Кваліфікована електронна довірча послуга із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток включає вчинення дій, передбачених частиною першою статті 18 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

77. Під час надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток надавачем забезпечується:

1) використання підписувачем або створювачем електронної печатки виключно засобу кваліфікованого електронного підпису чи печатки та кваліфікованого сертифіката електронного підпису чи печатки;

2) захист обміну інформацією між підписувачем або створювачем електронної печатки та надавачем засобами телекомунікаційних мереж загального користування;

3) створення умов для генерації пари ключів підписувача або створювача електронної печатки;

4) допомога під час генерації пари ключів підписувача або створювача електронної печатки у спосіб, що не допускає порушення конфіденційності та цілісності особистого ключа, а також ознайомлення із значенням параметрів особистого ключа та їх копіювання;

5) унікальність пари ключів підписувача або створювача електронної печатки;

6) зберігання особистого ключа підписувача або створювача електронної печатки;

7) захист від доступу сторонніх осіб до параметрів особистого ключа підписувача або створювача електронної печатки під час використання засобу кваліфікованого електронного підпису чи печатки.

78. У разі коли пара ключів була згенерована заявником поза приміщенням надавача та/або за відсутності відповідного персоналу, ідентифікація такого заявника, перевірка достатності обсягу його цивільної правоздатності і дієздатності, формування та видача йому кваліфікованого сертифіката відкритого ключа здійснюється надавачем після перевірки факту володіння заявником особистим ключем, який відповідає відкритому ключу, наданому для формування кваліфікованого сертифіката відкритого ключа.

Перевірка факту володіння заявником особистим ключем здійснюється без розкриття його особистого ключа.

79. Генерацію та/або управління парою ключів від імені підписувача або створювача електронної печатки може здійснювати виключно надавач.

80. Надавач, який здійснює управління парою ключів підписувача або створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача або створювача електронної печатки з метою його зберігання за умови дотримання таких вимог:

1) рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;

2) кількість резервних копій не повинна перевищувати мінімального значення, необхідного для забезпечення безперервності послуги.

81. Кваліфікований електронний підпис чи печатка повинні відповідати таким вимогам:

1) встановлювати однозначний зв'язок з підписувачем або створювачем електронної печатки;

2) надавати можливість здійснити електронну ідентифікацію підписувача або створювача електронної печатки;

3) забезпечувати одноосібний контроль підписувача або створювача електронної печатки за відповідним особистим ключем;

4) виявляти будь-які зміни пов'язаних електронних даних, на які накладено кваліфікований електронний підпис чи печатку.

82. Перевірка кваліфікованого електронного підпису чи печатки проводиться будь-якою особою з метою отримання інформації про дійсність чи недійсність кваліфікованого електронного підпису чи печатки.

83. У процесі перевірки кваліфікованого електронного підпису чи печатки підтвердження таких підпису чи печатки здійснюється за умови:

1) дотримання вимог, визначених у частині другій статті 18 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII);

2) правильності внесення ідентифікаційних даних особи до відповідного кваліфікованого сертифіката електронного підпису чи печатки підписувача або створювача електронної печатки;

3) встановлення факту, що такі підпис чи печатку створено за допомогою засобу кваліфікованого електронного підпису чи печатки;

4) дотримання вимог, визначених у пункті 79 цих вимог, на момент накладення підпису чи печатки на пов'язані електронні дані.

84. Надання кваліфікованої електронної довірчої послуги з перевірки та підтвердження кваліфікованих електронних підписів чи печаток передбачає, що така послуга:

1) надається виключно надавачем;

2) відповідає всім вимогам до перевірки кваліфікованих електронних підписів чи печаток, визначеним у пункті 83 цих вимог;

3) дає змогу отримувати результати перевірки із застосуванням кваліфікованого електронного підпису чи печатки надавача автоматизованим способом, який є надійним, ефективним та захищеним.

Вимоги до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки

85. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає вчинення дій, передбачених частиною першою статті 20 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

86. Формування кваліфікованого сертифіката електронного підпису чи печатки заявника здійснюється надавачем на основі ідентифікаційних даних особи, одержаних від заявника під час його ідентифікації та перевірки достатності обсягу його цивільної правоздатності і дієздатності.

87. Надавач зобов'язаний забезпечити унікальність серійного номера кваліфікованого сертифіката електронного підпису чи печатки заявника щодо інших кваліфікованих сертифікатів електронного підпису чи печатки, сформованих цим самим надавачем.

88. Надавач зобов'язаний зберігати всі сформовані ним кваліфіковані сертифікати електронного підпису чи печатки, а також їх резервні копії.

89. Під час повторного формування кваліфікованого сертифіката електронного підпису чи печатки користувача надавач повинен перевірити актуальність інформації, що надавалася для попереднього формування кваліфікованого сертифіката електронного підпису чи печатки заявника.

90. Кваліфікований сертифікат електронного підпису чи печатки користувача після його формування надавачем повинен бути доступний користувачу, для якого такий сертифікат був сформований.

91. Доступ інших осіб до сформованого кваліфікованого сертифіката електронного підпису чи печатки користувача надається у разі його згоди на публікацію такого сертифіката.

92. У разі зміни відомостей, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, користувач у триденний строк з дня настання таких змін повідомляє про це надавачеві та надає документи, що підтверджують відповідні зміни.

На підставі наданих користувачем документів, що підтверджують зміни відомостей, які містяться у кваліфікованому сертифікаті електронного підпису чи печатки, надавач здійснює повторне формування такого сертифіката та його публікацію у разі згоди користувача.

Повторне формування кваліфікованого сертифіката електронного підпису чи печатки користувача не продовжує строку його дії.

93. Сформований кваліфікований сертифікат електронного підпису чи печатки користувача скасовується або блокується надавачем у разі наявності підстав, передбачених статтею 25 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

94. Заява про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки подається користувачем надавачеві в будь-який спосіб, що забезпечує підтвердження особи-користувача.

Під час опрацювання заяви про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки надавачем здійснюється ідентифікація та перевірка достатності обсягу цивільної правоздатності і дієздатності користувача з дотриманням вимог щодо підтвердження особи, встановлених у регламенті роботи надавача.

95. Кваліфікований сертифікат електронного підпису чи печатки користувача вважається скасованим або блокованим з моменту зміни надавачем статусу кваліфікованого сертифіката електронного підпису чи печатки користувача на скасований або блокований.

96. Користувач, статус кваліфікованого сертифіката електронного підпису чи печатки якого було змінено на скасований чи блокований, повинен невідкладно бути поінформований про відповідну зміну статусу.

97. Скасований кваліфікований сертифікат електронного підпису чи печатки поновленню не підлягає.

98. Відомості про кваліфіковані сертифікати електронного підпису чи печатки, сформовані надавачем, їх статус та списки відкликаних сертифікатів містяться у реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів.

99. Розповсюдження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки користувачів здійснюється шляхом публікації повного та часткового списків відкликаних сертифікатів на офіційному веб-сайті надавача та забезпечення створення можливості перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача в режимі реального часу через телекомунікаційні мережі загального користування.

Список відкликаних сертифікатів надавача повинен відповідати таким вимогам:

у кожному списку відкликаних сертифікатів зазначається граничний строк його дії до видання нового списку, якщо інше не передбачено регламентом роботи надавача;

новий список відкликаних сертифікатів може бути опубліковано до настання граничного строку його дії до видання наступного списку;

на список відкликаних сертифікатів повинен бути накладений кваліфікований електронний підпис чи печатка надавача.

100. Управління статусом кваліфікованого сертифіката електронного підпису чи печатки та поширення відповідної інформації повинні бути доступні для користувача цілодобово.

101. Заяви про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки фіксуються та зберігаються надавачем протягом строків, визначених законодавством у сфері архівної справи.

102. Надавач повинен забезпечити цілісність та походження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки.

103. Час, що використовується надавачем в процесі обслуговування кваліфікованих сертифікатів електронного підпису чи печатки користувачів, повинен бути синхронізований із Всесвітнім координованим часом (UTC) з точністю до секунди.

Послуги з постачання передачі сигналів точного часу, синхронізованого з Державним еталоном одиниць часу і частоти, надаються центральним засвідчувальним органом.

104. Формування кваліфікованого сертифіката електронного підпису чи печатки здійснюється надавачем за запитом користувача.

105. Надавачі отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки від центрального засвідчувального органу.

Вимоги до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту

106. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту включає вчинення дій, передбачених частиною першою статті 21 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

107. Формування кваліфікованого сертифіката автентифікації веб-сайту здійснюється надавачем за запитом користувача.

108. Кваліфікований сертифікат автентифікації веб-сайту забезпечує:

1) автентифікацію власника веб-сайту;

2) гарантування:

шифрування інформації, обмін якою здійснюється через Інтернет учасником онлайн-операції та веб-сайтом;

належного рівня довіри до власника веб-сайту щодо захисту від шахрайства в Інтернеті;

захисту особистої інформації та персональних даних учасника онлайн-операції під час проведення такої операції.

109. Перевірка кваліфікованого сертифіката автентифікації веб-сайту може проводитися будь-якою особою з метою отримання інформації про власника веб-сайту та чинність кваліфікованого сертифіката автентифікації веб-сайту.

110. Під час перевірки кваліфікованого сертифіката автентифікації веб-сайту особа, що проводить перевірку, вчиняє такі дії:

1) отримує з кваліфікованого сертифіката автентифікації веб-сайту інформацію, що містить ідентифікаційні дані особи, які дають змогу однозначно встановити власника веб-сайту та надавача;

2) перевіряє кваліфікований електронний підпис чи печатку, накладений на кваліфікований сертифікат автентифікації веб-сайту за допомогою чинного (на момент формування кваліфікованого сертифіката автентифікації веб-сайту) кваліфікованого сертифіката відкритого ключа надавача.

111. Кваліфікований сертифікат автентифікації веб-сайту вважається чинним у разі відповідності вимогам, установленим частиною першою статті 24 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

112. Надавачі отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту від центрального засвідчувального органу.

Вимога до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту

113. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження кваліфікованої електронної позначки часу включає вчинення дій, передбачених частиною першою статті 26 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

114. Формування кваліфікованої електронної позначки часу здійснюється надавачем за запитом користувача.

115. Під час формування кваліфікованої електронної позначки часу користувач та надавач за допомогою засобів кваліфікованого електронного підпису чи печатки вчиняють такі дії:

1) користувач обчислює геш-значення електронних даних, на які необхідно сформувати кваліфіковану електронну позначку часу;

2) користувач формує запит на формування кваліфікованої електронної позначки часу, який містить:

обчислене геш-значення;

об'єктний ідентифікатор політики формування позначки часу (необов'язково);

ідентифікатор алгоритму гешування, що використовувався;

унікальний ідентифікатор запиту (необов'язково);

необов'язкові розширення;

3) користувач передає сформований запит до надавача;

4) надавач перевіряє правильність формату запиту та здійснює його обробку, формує кваліфіковану електронну позначку часу та відповідь, що містить кваліфіковану електронну позначку часу, чи відповідь з інформацією про відмову у формуванні кваліфікованої електронної позначки часу;

5) надавач надсилає користувачеві відповідь, що містить кваліфіковану електронну позначку часу, в якій зазначені такі дані:

об'єктний ідентифікатор політики формування кваліфікованої електронної позначки часу, що була використана;

геш-значення електронних даних, для яких було сформовано кваліфіковану електронну позначку часу;

серійний номер кваліфікованої електронної позначки часу;

час формування кваліфікованої електронної позначки часу;

додаткову інформацію про кваліфіковану електронну позначку часу;

кваліфікований електронний підпис чи печатку надавача, накладені на кваліфіковану електронну позначку часу;

6) користувач після отримання відповіді від надавача вчиняє такі дії:

перевіряє результат обробки відповіді;

перевіряє відповідність імені чи найменування суб'єкта, що наклав кваліфікований електронний підпис чи печатку на кваліфіковану електронну позначку часу, імені чи найменуванню надавача;

перевіряє відповідність призначення кваліфікованого сертифіката відкритого ключа надавача (для формування позначки часу);

перевіряє чинність кваліфікованого сертифіката відкритого ключа надавача;

перевіряє кваліфікований електронний підпис чи печатку, що був накладений на кваліфіковану електронну позначку часу;

перевіряє відповідність електронних даних та даних, для яких була сформована кваліфікована електронна позначка часу (шляхом порівняння обчисленого геш-значення електронних даних та геш-значення, що записане у кваліфікованій електронній позначці часу);

додає кваліфіковану електронну позначку часу до електронних даних.

116. Кваліфікована електронна позначка часу повинна забезпечувати:

1) зв'язок дати і часу з електронними даними в такий спосіб, що цілком виключає можливість непомітної зміни електронних даних;

2) точність часу в програмно-технічному комплексі надавача, що синхронізується із Всесвітнім координованим часом (UTC) з точністю до секунди.

117. Перевірка кваліфікованої електронної позначки часу може проводитися будь-якою особою з метою отримання інформації про чинність кваліфікованої електронної позначки часу.

118. Під час перевірки та підтвердження кваліфікованої електронної позначки часу особа, що проводить перевірку, вчиняє такі дії:

1) отримує з кваліфікованої електронної позначки часу інформацію, що містить ідентифікаційні дані особи, які дають змогу однозначно встановити надавача;

2) перевіряє кваліфікований електронний підпис чи печатку, накладений на кваліфіковану електронну позначку часу за допомогою чинного (на момент формування кваліфікованої електронної позначки часу) кваліфікованого сертифіката відкритого ключа надавача;

3) перевіряє відповідність кваліфікованої електронної позначки часу та електронних даних, до яких вона додана (шляхом порівняння обчисленого геш-значення електронних даних та геш-значення, що записане у кваліфікованій електронній позначці часу).

119. Кваліфікована електронна позначка часу вважається недійсною у разі:

1) недотримання вимоги щодо точності часу в програмно-технічному комплексі надавача;

2) використання скасованого або блокованого кваліфікованого сертифіката відкритого ключа надавача на момент формування кваліфікованої електронної позначки часу.

120. Правильність реалізації криптографічних алгоритмів для створення кваліфікованої електронної позначки часу та точність часу в засобі кваліфікованого електронного підпису чи печатки забезпечує протокол фіксування часу.

121. Надавачі отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження кваліфікованої електронної позначки часу від центрального засвідчувального органу.

122. Механізм синхронізації часу із Всесвітнім координованим часом (UTC) в програмно-технічному комплексі надавача та склад технічного обладнання, що застосовується у процесі синхронізації часу (його загальний опис) встановлюється Порядком синхронізації часу із Всесвітнім координованим часом (UTC).

Порядок синхронізації часу із Всесвітнім координованим часом (UTC) розробляється надавачем та погоджується із центральним засвідчувальним органом.

Вимоги до надання кваліфікованої електронної довірчої послуга з реєстрованої електронної доставки

123. Кваліфікована електронна довірча послуга з реєстрованої електронної доставки повинна відповідати вимогам, передбаченим частиною першою статті 27 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII), та включати такі дії:

1) відправку електронних даних із забезпеченням доказів відправки;

2) отримання електронних даних із забезпеченням доказів отримання.

124. Реєстрована електронна доставка здійснюється надавачем за запитом користувача (відправника та/або отримувача електронних даних).

125. Реєстрована електронна доставка повинна забезпечувати:

1) передачу електронних даних між користувачами (відправником та отримувачем електронних даних);

2) автентифікацію відправника та отримувача електронних даних;

3) конфіденційність електронних даних, що доставляються, і персональних даних відправника та отримувача електронних даних;

4) захист цілісності електронних даних, що доставляються;

5) забезпечення точності дати і часу відправки та отримання електронних даних;

6) можливість підтвердження факту доказування відправки та отримання електронних даних.

126. Перевірка електронних даних, що передаються в процесі реєстрованої електронної доставки, проводиться отримувачем електронних даних.

Вимоги до надання кваліфікованої електронної довірчої послуги із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів

127. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів включає вчинення таких дій:

1) передачу кваліфікованих електронних підписів чи печаток, позначок часу та сформованих відповідних сертифікатів;

2) зберігання кваліфікованих електронних підписів чи печаток, позначок часу та сформованих відповідних сертифікатів.

128. Зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів здійснюється надавачем за запитом користувача.

129. Під час надання кваліфікованої електронної довірчої послуги із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів забезпечується:

1) цілісність всіх збережених об'єктів даних;

2) протоколювання подій на предмет зміни, видалення або додавання об'єктів даних;

3) покладення відповідальності за збереження на одну чи кілька конкретних посадових осіб;

4) проведення перевірок дотримання цих вимог.

Вимоги до засобів кваліфікованого електронного підпису чи печатки

130. Засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою (Закон N 2155-VIII) та другою статті 19 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

131. Для надання кваліфікованих електронних довірчих послуг використовуються засоби кваліфікованого електронного підпису чи печатки, які повинні мати документи про відповідність або позитивний експертний висновок за результатами їх державної експертизи у сфері криптографічного захисту інформації.

132. Надання кваліфікованих електронних довірчих послуг надавачем без чинних документів, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг, забороняється.

133. Контроль за дотриманням вимог до засобів кваліфікованого електронного підпису чи печатки здійснюється Адміністрацією Держспецзв'язку.

Вимоги до кваліфікованих сертифікатів відкритих ключів

134. Кваліфіковані сертифікати відкритих ключів, що формуються надавачами або центральним засвідчувальним органом під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою (Закон N 2155-VIII), другою (Закон N 2155-VIII) та третьою статті 23 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

135. Надавач або центральний засвідчувальний орган, який видав кваліфікований сертифікат відкритого ключа, забезпечує доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа.

136. Контроль за дотриманням вимог до кваліфікованих сертифікатів відкритих ключів здійснюється Адміністрацією Держспецзв'язку.

 

Додаток
до вимог у сфері електронних довірчих послуг

ПЕРЕЛІК СТАНДАРТІВ,
що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг

Стандарти, що визначають загальні вимоги до кваліфікованого надавача електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг

1. ДСТУ ETSI TR 119 400:2017 (ETSI TR 119 400:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів провайдерами довірчих послуг, які підтримують цифрові підписи та пов'язані з ними послуги", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

2. ДСТУ ETSI EN 319 401:2016 (ETSI EN 319 401:2016, IDT) "Електронні підписи й інфраструктури (ESI). Загальні вимоги політики для провайдерів довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

3. ДСТУ ETSI EN 319 403:2016 (ETSI EN 319 403:2015, IDT) "Електронні підписи та інфраструктури (ESI). Оцінювання відповідності провайдерів довірчих послуг. Вимоги до органів з оцінювання відповідності, що оцінюють провайдерів довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 р. N 451 (Наказ N 451).

Стандарти, що визначають вимоги до Довірчого списку

4. ДСТУ ETSI TR 119 600:2016 (ETSI TR 119 600:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для провайдерів переліків стану довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 р. N 451 (Наказ N 451).

5. ДСТУ ETSI TS 119 612:2016 (ETSI TS 119 612:2016, IDT) "Електронні підписи та інфраструктури. Довірчі списки", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

Стандарти, що визначають вимоги до надання кваліфікованих електронних довірчих послуг, пов'язаних із створенням, перевіркою та підтвердженням електронних підписів, печаток, а також зберіганням кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів відкритих ключів

6. ДСТУ ETSI TR 119 000:2017 (ETSI TR 119 000:2016, IDT) "Електронні підписи та інфраструктури (ESI). Модель стандартизації підписів. Огляд", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

7. ДСТУ ETSI TR 119 001:2017 (ETSI TR 119 001:2016, IDT) "Електронні підписи та інфраструктури (ESI). Модель стандартизації підписів. Визначення понять та скорочення", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 206 (Наказ N 206).

8. ДСТУ ETSI TR 119 100:2017 (ETSI TR 119 100:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів для створення та валідації підпису", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 206 (Наказ N 206).

9. ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) "Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

10. ДСТУ ETSI EN 319 102-1:2016 (ETSI EN 319 102-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Процедури створення та перевірення цифрового підпису ADES. Частина 1. Створення та перевірення", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

11. ДСТУ ETSI EN 319 122-1:2016 (ETSI EN 319 122-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Цифрові підписи CAdES. Частина 1. Структурні блоки та базові підписи CAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

12. ДСТУ ETSI EN 319 122-2:2016 (ETSI EN 319 122-2:2016, IDT) "Електронні підписи й інфраструктури (ESI). Цифрові підписи CAdES. Частина 2. Розширені підписи CAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

13. ДСТУ ETSI EN 319 132-1:2016 (ETSI EN 319 132-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Цифрові підписи XAdES. Частина 1. Структурні блоки та базові підписи XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

14. ДСТУ ETSI EN 319 132-2:2016 (ETSI EN 319 132-2:2016, IDT) "Електронні підписи й інфраструктури (ESI). Цифрові підписи XAdES. Частина 2. Розширені підписи XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

15. ДСТУ ETSI EN 319 142-1:2016 (ETSI EN 319 142-1:2016, IDT) "Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 1. Структурні елементи та базові PAdES підписи", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

16. ДСТУ ETSI EN 319 142-2:2016 (ETSI EN 319 142-2:2016, IDT) "Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 2. Додаткові профілі підписів PAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

17. ДСТУ ETSI EN 319 162-1:2016 (ETSI EN 319 162-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Контейнери, пов'язані з підписом (ASiC). Частина 1. Структурні блоки та базові контейнери ASiC", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

18. ДСТУ ETSI EN 319 162-2:2016 (ETSI EN 319 162-2:2016, IDT) "Електронні підписи й інфраструктури (ESI). Контейнери, пов'язані з підписом (ASiC). Частина 2. Додаткові контейнери ASiC", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

19. ДСТУ ETSI TS 102 778-1:2015 (ETSI TS 102 778-1:2009, IDT) "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 1. Огляд серії PAdES - базові принципи PAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

20. ДСТУ ETSI TS 102 778-2:2015 (ETSI TS 102 778-2:2009, IDT) "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 2. Базовий PAdES - профілі, що базуються на ISO 32000-1", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

21. ДСТУ ETSI TS 102 778-3:2015 (ETSI TS 102 778-3:2010, IDT) "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 3. Посилений PAdES - профілі PAdES-BES і PadES-EPES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

22. ДСТУ ETSI TS 102 778-4:2015 (ETSI TS 102 778-4:2009, IDT) "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 4. Довгостроковий PAdES - профіль PAdES LTV", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

23. ДСТУ ETSI TS 102 778-5:2015 (ETSI TS 102 778-5:2009, IDT) "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 5. PAdES для XML контенту - профілі для підписів XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

Стандарти, що визначають вимоги до надання кваліфікованих електронних довірчих послуг, пов'язаних з формуванням, перевіркою та підтвердженням чинності кваліфікованих сертифікатів електронного підпису, печатки, автентифікації веб-сайту

24. ДСТУ ETSI EN 319 411-1:2016 (ETSI EN 319 411-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Вимоги політики та безпеки для провайдерів трастових послуг, які видають сертифікати. Частина 1. Загальні вимоги", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

25. ДСТУ ETSI EN 319 411-2:2016 (ETSI EN 319 411-2:2016, IDT) "Електронні підписи й інфраструктури (ESI). Вимоги політики та безпеки для провайдерів трастових послуг, які видають сертифікати. Частина 2. Вимоги до провайдерів трастових послуг, які видають кваліфіковані сертифікати ЄС", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

Стандарти, що визначають вимоги до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження кваліфікованої електронної позначки часу

26. ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) "Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

27. ДСТУ ETSI EN 319 422:2016 (ETSI EN 319 422:2016, IDT) "Електронні підписи та інфраструктури. Протокол мітки часу та профілі токенів мітки часу", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

Стандарти, що визначають вимоги до засобів кваліфікованого електронного підпису чи печатки

28. ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) "Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

29. ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) "Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

30. ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) "Профілі захисту для пристроїв створення безпечного підпису. Частина 3. Пристрій з імпортом ключів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

31. ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) "Профілі захисту для пристроїв створення безпечного підпису. Частина 4. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування генерації сертифікатів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

32. ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) "Профілі захисту для пристроїв створення безпечного підпису. Частина 5. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування створення підпису", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

33. ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) "Профілі захисту для пристроїв створення безпечного підпису. Частина 6. Розширення для пристроїв з імпортом ключів та довіреним каналом для застосування створення підпису", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

34. ДСТУ ISO/IEC 19790:2015 (ISO/IEC 19790:2012, IDT) "Інформаційні технології. Методи захисту. Вимоги безпеки до криптографічних модулів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

Стандарти, що визначають вимоги до кваліфікованих сертифікатів відкритих ключів

35. ДСТУ ISO/IEC 9594-8:2014 (ISO/IEC 9594-8:2014, IDT) "Інформаційні технології. Взаємозв'язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів", затверджений наказом Мінекономрозвитку від 30 грудня 2014 р. N 1493 (Наказ N 1493).

36. ДСТУ ETSI EN 319 412-1:2016 (ETSI EN 319 412-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Профілі сертифікатів. Частина 1. Огляд та типові структури даних", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

37. ДСТУ ETSI EN 319 412-2:2016 (ETSI EN 319 412-2:2016, IDT) "Електронні підписи та інфраструктури. Профілі сертифікатів. Частина 2. Профілі сертифікатів, випущених для фізичних осіб", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

38. ДСТУ ETSI EN 319 412-3:2016 (ETSI EN 319 412-3:2016, IDT) "Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 3. Профіль сертифіката юридичної особи", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 р. N 451 (Наказ N 451).

39. ДСТУ ETSI EN 319 412-4:2016 (ETSI EN 319 412-4:2016, IDT) "Електронні підписи й інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів веб-сайтів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 р. N 183 (Наказ N 183).

40. ДСТУ ETSI EN 319 412-5:2016 (ETSI EN 319 412-5:2016, IDT) "Електронні підписи та інфраструктури. Профілі сертифікатів. Частина 5. Системи контролю якості", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. N 279 (Наказ N 279).

Стандарти, що визначають вимоги до надання кваліфікованої електронної довірчої послуги з реєстрованої електронної доставки

41. ДСТУ ETSI EN 319 522-1:2018 (ETSI EN 319 522-1:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 1. Модель та архітектура", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

42. ДСТУ ETSI EN 319 522-2:2018 (ETSI EN 319 522-2:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 2. Семантика вмісту", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

43. ДСТУ ETSI EN 319 522-3:2018 (ETSI EN 319 522-3:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 3. Формати", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

44. ДСТУ ETSI EN 319 522-4-1:2018 (ETSI EN 319 522-4-1:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив'язки. Секція 1. Прив'язки доставляння повідомлень", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

45. ДСТУ ETSI EN 319 522-4-2:2018 (ETSI EN 319 522-4-2:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив'язки. Секція 2. Прив'язки доказів та ідентифікації", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

46. ДСТУ ETSI EN 319 522-4-3:2018 (ETSI EN 319 522-4-3:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив'язки. Секція 3. Прив'язка можливостей/вимог", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

47. ДСТУ ETSI EN 319 532-1:2018 (ETSI EN 319 532-1:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 1. Модель та архітектура", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

48. ДСТУ ETSI EN 319 532-2:2018 (ETSI EN 319 532-2:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 2. Семантика вмісту", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

49. ДСТУ ETSI EN 319 532-3:2018 (ETSI EN 319 532-3:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 3. Формати", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 24 вересня 2018 р. N 337 (Наказ N 337).

50. ДСТУ ETSI EN 319 532-4:2018 (ETSI EN 319 532-4:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 4. Профілі інтероперабельності" від 24 вересня 2018 р. N 337 (Наказ N 337).

Стандарти, що визначають вимоги до криптографічного захисту інформації

51. ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затверджений наказом Державного комітету з питань технічного регулювання та споживчої політики від 28 грудня 2002 р. N 31.

52. ДСТУ 7564:2014 "Інформаційні технології. Криптографічний захист інформації. Функція ґешування", затверджений наказом Мінекономрозвитку від 2 грудня 2014 р. N 1431 (Наказ N 1431).

53. ДСТУ 7624:2014 "Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення", затверджений наказом Мінекономрозвитку від 29 грудня 2014 р. N 1484 (Наказ N 1484).

54. ДСТУ ETSI TR 119 300:2016 (ETSI TR 119 300:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для криптографічних комплектів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 р. N 451 (Наказ N 451).

55. ДСТУ ETSI TS 119 312:2015 (ETSI TS 119 312:2014, IDT) "Електронні підписи й інфраструктури (ESI). Криптографічні комплекти", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 05 листопада 2015 р. N 145.

56. ДСТУ ISO/IEC 14888-1:2015 (ISO/IEC 14888-1:2008, IDT) "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 1. Загальні положення", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

57. ДСТУ ISO/IEC 14888-2:2015 (ISO/IEC 14888-2:2008, IDT) "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 2. Механізми, що ґрунтуються на факторизації цілих чисел", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

58. ДСТУ ISO/IEC 14888-3:2015 (ISO/IEC 4888-3:2006; Cor 1:2007; Cor 2:2009; Amd 1:2010; Amd 2:2012, IDT) "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми, що ґрунтуються на дискретному логарифмуванні", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

Стандарти, що визначають вимоги до інформаційної безпеки

59. ДСТУ ISO/IEC 18045:2015 (ISO/IEC 18045:2008, IDT) "Інформаційні технології. Методи захисту. Методологія оцінювання безпеки ІТ", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

60. ДСТУ ISO/IEC 15408-1:2017 (ISO/IEC 15408-1:2009, IDT) "Інформаційні технології. Методи захисту. Критерії оцінки. Частина 1. Вступ та загальна модель", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

61. ДСТУ ISO/IEC 15408-2:2017 (ISO/IEC 15408-2:2008, IDT) "Інформаційні технології. Методи захисту. Критерії оцінки. Частина 2. Функціональні вимоги", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

62. ДСТУ ISO/IEC 15408-3:2017 (ISO/IEC 15408-3:2008, IDT) "Інформаційні технології. Методи захисту. Критерії оцінки. Частина 3. Вимоги до гарантії безпеки", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

63. ДСТУ ISO/IEC 27001:2015 (ISO/IEC 27001:2013; Cor 1:2014, IDT) "Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

64. ДСТУ ISO/IEC 27002:2015 (ISO/IEC 27002:2013; Cor 1:2014, IDT) "Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

65. ДСТУ ISO/IEC 27005:2015 (ISO/IEC 27005:2011, IDT) "Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 р. N 193 (Наказ N 193).

Стандарти щодо тестування інтероперабельності

66. ДСТУ ETSI SR 003 186:2017 (ETSI SR 003 186:2016, IDT) "Електронні підписи та інфраструктури (ESI). Тестування інтероперабельності та заходи, необхідні для імплементації та популяризації моделі цифрових підписів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 206 (Наказ N 206).

67. ДСТУ ETSI TS 119 124-4:2017 (ETSI TS 119 124-4:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Перевірка на відповідність і інтероперабельність. Частина 4. Тестування на відповідність базових підписів CAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

68. ДСТУ ETSI TR 119 134-1:2017 (ETSI TR 119 134-1:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 1. Огляд", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 30 листопада 2017 р. N 392 (Наказ N 392).

69. ДСТУ ETSI TR 119 134-2:2017 (ETSI TR 119 134-2:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 2. Набори тестів для тестування інтероперабельності базових підписів XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 30 листопада 2017 р. N 392 (Наказ N 392).

70. ДСТУ ETSI TR 119 134-3:2017 (ETSI TR 119 134-3:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 3. Набори тестів для тестування інтероперабельності посилених підписів XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 30 листопада 2017 р. N 392 (Наказ N 392).

71. ДСТУ ETSI TR 119 134-4:2017 (ETSI TR 119 134-4:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 4. Тестування на відповідність базовим підписам XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 30 листопада 2017 р. N 392 (Наказ N 392).

72. ДСТУ ETSI TR 119 134-5:2017 (ETSI TR 119 134-5:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 5. Тестування на відповідність посилених підписів XAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 30 листопада 2017 р. N 392 (Наказ N 392).

73. ДСТУ ETSI TR 119 144-1:2017 (ETSI TR 119 144-1:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 1. Огляд", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

74. ДСТУ ETSI TS 119 144-2:2017 (ETSI TS 119 144-2:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 2. Набори тестів для тестування інтероперабельності базових підписів PAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

75. ДСТУ ETSI TS 119 144-3:2017 (ETSI TS 119 144-3:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 3. Набори тестів для тестування інтероперабельності додаткових підписів PAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

76. ДСТУ ETSI TS 119 144-4:2017 (ETSI TS 119 144-4:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 4. Тестування відповідності базових підписів PAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

77. ДСТУ ETSI TS 119 144-5:2017 (ETSI TS 119 144-5:2016, IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 5. Тестування відповідності додаткових підписів PAdES", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. N 207 (Наказ N 207).

 

ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 7 листопада 2018 р. N 992

ПОРЯДОК
перевірки дотримання вимог законодавства у сфері електронних довірчих послуг

1. Цей Порядок визначає механізм проведення Адміністрацією Держспецзв'язку заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг, у тому числі обов'язкових умов, яких повинні дотримуватися кваліфіковані надавачі електронних довірчих послуг та їх відокремлені пункти реєстрації (далі - надавачі), центральний засвідчувальний орган, засвідчувальний центр під час надання кваліфікованих електронних довірчих послуг.

Дія цього Порядку не поширюється на відносини, пов'язані із здійсненням державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг надавачами, які є суб'єктами господарювання, крім положень, передбачених пунктами 4 - 10 та 45 - 56 цього Порядку.

2. У цьому Порядку терміни вживаються в такому значенні:

інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем надавача, центрального засвідчувального органу або засвідчувального центру, які у процесі обробки інформації діють як єдине ціле та об'єднують програмно-технічний комплекс, що використовується під час надання кваліфікованих електронних довірчих послуг (далі - програмно-технічний комплекс), фізичне середовище, інформацію, що обробляється в зазначених системах, а також найманих працівників надавача, центрального засвідчувального органу або засвідчувального центру, обов'язки яких безпосередньо пов'язані з наданням кваліфікованих електронних довірчих послуг або обслуговуванням програмно-технічного комплексу (далі - наймані працівники);

кваліфікована електронна довірча послуга - електронна довірча послуга, надання якої забезпечує надавач, засвідчувальний центр або центральний засвідчувальний орган, зокрема за допомогою засобу кваліфікованого електронного підпису чи печатки, та яка базується на кваліфікованому сертифікаті відкритого ключа;

перевірка - виїзний плановий або позаплановий захід державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг, що здійснюється посадовими особами Адміністрації Держспецзв'язку відповідно до їх функціональних обов'язків за місцезнаходженням надавача, центрального засвідчувального органу або засвідчувального центру;

регламент роботи - документ надавача, центрального засвідчувального органу або засвідчувального центру, що визначає організаційно-методологічні, технічні та технологічні умови діяльності надавача, центрального засвідчувального органу або засвідчувального центру під час надання кваліфікованих електронних довірчих послуг, включаючи політику сертифіката та положення сертифікаційних практик;

спеціальні приміщення - нежилі приміщення, які використовуються надавачем, центральним засвідчувальним органом або засвідчувальним центром для розміщення всіх складових програмно-технічного комплексу.

3. Інші терміни вживаються у значенні, наведеному в Законах України "Про електронні довірчі послуги" (Закон N 2155-VIII), "Про електронні документи та електронний документообіг", "Про основні засади державного нагляду (контролю) у сфері господарської діяльності", "Про телекомунікації", "Про захист інформації в інформаційно-телекомунікаційних системах".

4. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг здійснюються Адміністрацією Держспецзв'язку шляхом проведення планових та позапланових перевірок надавачів, центрального засвідчувального органу, засвідчувального центру або подання до органу з оцінки відповідності запиту щодо проведення процедури оцінки відповідності надавача та послуг, що ним надаються, відповідно до вимог статті 32 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

5. Аналіз стану дотримання порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності проводиться Адміністрацією Держспецзв'язку в рамках заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері криптографічного та технічного захисту інформації.

6. Адміністрація Держспецзв'язку здійснює невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг шляхом аналізу:

1) стану роботи офіційного веб-сайту надавача, центрального засвідчувального органу або засвідчувального центру;

2) наповненості офіційного веб-сайту надавача, центрального засвідчувального органу або засвідчувального центру чи факту належного інформування користувачів електронних довірчих послуг про надання електронних довірчих послуг;

3) переліку, порядку надання та змісту електронних довірчих послуг через офіційний веб-сайт надавача, центрального засвідчувального органу або засвідчувального центру;

4) звіту про діяльність надавача, наданого ним відповідно до вимог пункту 75 вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 2018 р. N "Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг";

5) документів про відповідність за результатами проведення процедур оцінки відповідності надавача та послуг, що ним надаються;

6) іншої інформації про функціонування, організацію та надання електронних довірчих послуг надавачем, центральним засвідчувальним органом або засвідчувальним центром.

7. Планові перевірки центрального засвідчувального органу, засвідчувального центру, надавачів, які є органами державної влади, органами місцевого самоврядування та іншими юридичними особами публічного права, проводяться Адміністрацією Держспецзв'язку щороку.

8. Підставами для проведення планової перевірки є річний план здійснення заходів державного нагляду (контролю), затверджений Адміністрацією Держспецзв'язку.

9. Підставами для проведення позапланової перевірки є:

1) подання надавачем заяви щодо проведення перевірки дотримання вимог законодавства у сфері електронних довірчих послуг;

2) виявлення та підтвердження недостовірності даних у документах, поданих надавачем;

3) невиконання вимог Адміністрації Держспецзв'язку протягом строку, визначеного у приписі про усунення порушень вимог законодавства, виданому за результатами проведення планового заходу державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;

4) отримання інформації чи повідомлення про порушення надавачем вимог законодавства у сфері електронних довірчих послуг.

10. Предметом перевірки надавача, центрального засвідчувального органу або засвідчувального центру є стан дотримання ними вимог законодавства у сфері електронних довірчих послуг, у тому числі регламентів їх роботи.

11. Для проведення планової чи позапланової перевірки Адміністрація Держспецзв'язку приймає рішення щодо проведення перевірки.

Рішення щодо проведення перевірки підписується головою Держспецзв'язку або його заступником відповідно до розподілу функціональних обов'язків.

12. Рішення щодо проведення перевірки повинне містити:

1) найменування Адміністрації Держспецзв'язку;

2) найменування (прізвище, ім'я, по батькові) надавача, центрального засвідчувального органу або засвідчувального центру;

3) місцезнаходження або місце проживання надавача, центрального засвідчувального органу або засвідчувального центру;

4) підставу для проведення перевірки;

5) предмет перевірки;

6) дати початку та закінчення перевірки;

7) посадовий та персональний склад комісії з перевірки.

13. Повідомлення про прийняття рішення щодо проведення перевірки надсилається (вручається) надавачеві, центральному засвідчувальному органу або засвідчувальному центру не пізніше ніж за 10 робочих днів до початку перевірки рекомендованим листом та/або за допомогою електронного поштового зв'язку або вручається особисто під розписку керівникові надавача, центрального засвідчувального органу або засвідчувального центру.

14. Для надавачів, які не є суб'єктами господарювання, строки проведення планової чи позапланової перевірки не можуть перевищувати десяти робочих днів.

15. Планова та позапланова перевірки проводяться в робочий час надавача, центрального засвідчувального органу або засвідчувального центру, встановлений його правилами внутрішнього трудового розпорядку.

16. Надавач, центральний засвідчувальний орган або засвідчувальний центр мають право не допускати посадових осіб Адміністрації Держспецзв'язку до проведення планової чи позапланової перевірки в разі неодержання у строк, визначений пунктом 13 цього Порядку, повідомлення про прийняття рішення щодо проведення перевірки.

17. Комісія з перевірки утворюється у складі голови та членів комісії з перевірки.

До складу комісії з перевірки можуть залучатися представники центрального засвідчувального органу (за згодою).

18. На підставі рішення щодо проведення перевірки оформляється посвідчення на проведення перевірки, яке підписується головою Держспецзв'язку або його заступником відповідно до розподілу функціональних обов'язків і засвідчується печаткою.

Форма посвідчення на проведення перевірки встановлюється Адміністрацією Держспецзв'язку.

19. У посвідченні на проведення перевірки зазначаються:

1) найменування Адміністрації Держспецзв'язку;

2) найменування (прізвище, ім'я, по батькові) надавача, центрального засвідчувального органу або засвідчувального центру;

3) місцезнаходження або місце проживання надавача, центрального засвідчувального органу або засвідчувального центру;

4) реквізити рішення щодо проведення перевірки;

5) персональний та посадовий склад комісії з перевірки;

6) дата початку та дата закінчення перевірки;

7) тип перевірки (планова або позапланова);

8) підстави перевірки;

9) перелік питань, що підлягають перевірці;

10) інформація про проведення попередньої перевірки (вид перевірки і строк її проведення).

20. Посвідчення на проведення перевірки є чинним лише протягом зазначеного в ньому строку її проведення.

21. Члени комісії з перевірки зобов'язані:

1) об'єктивно та неупереджено проводити перевірку;

2) дотримуватися вимог законодавства у сферах електронних довірчих послуг, захисту інформації та захисту персональних даних;

3) сумлінно, вчасно та якісно виконувати свої службові обов'язки та доручення голови комісії з перевірки;

4) дотримуватися ділової етики у взаємовідносинах з керівником та працівниками надавача, центрального засвідчувального органу або засвідчувального центру;

5) ознайомити керівника надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника з результатами перевірки;

6) надавати надавачеві, центральному засвідчувальному органу або засвідчувальному центру консультаційну допомогу з питань проведення перевірки;

7) не розголошувати комерційну таємницю та конфіденційну інформацію, яка стала їм відома у зв'язку з виконанням службових обов'язків.

22. Члени комісії з перевірки під час виконання своїх службових обов'язків у процесі проведення перевірки мають право:

1) доступу до спеціальних приміщень, всіх документів та інформації надавача, центрального засвідчувального органу або засвідчувального центру, пов'язаних з наданням кваліфікованих електронних довірчих послуг;

2) вивчати роботу інформаційно-телекомунікаційної системи, а також інших технічних засобів, які використовуються надавачем, центральним засвідчувальним органом або засвідчувальним центром для надання кваліфікованих електронних довірчих послуг;

3) отримувати від працівників надавача, центрального засвідчувального органу або засвідчувального центру інформацію та пояснення (зокрема письмові) щодо їх діяльності, пов'язаної з наданням кваліфікованих електронних довірчих послуг, необхідні для проведення перевірки;

4) отримувати від надавача, центрального засвідчувального органу або засвідчувального центру та долучати до матеріалів перевірки копії документів, зокрема виготовлені методом сканування або створення фотокопій, що можуть свідчити про факти порушення вимог законодавства у сфері електронних довірчих послуг.

23. Керівник надавача, центрального засвідчувального органу або засвідчувального центру зобов'язаний створити необхідні умови для проведення перевірки, а саме:

1) забезпечити на період проведення перевірки голові та членам комісії з перевірки вхід до спеціальних приміщень надавача, центрального засвідчувального органу або засвідчувального центру і вихід з них;

2) надати голові та членам комісії з перевірки у день початку її проведення службове приміщення (окреме робоче місце), яке обладнане необхідними меблями, комп'ютером та сховищем для документів;

3) організувати зустріч голови та членів комісії з перевірки з працівниками надавача, центрального засвідчувального органу або засвідчувального центру, обов'язки яких безпосередньо пов'язані з наданням кваліфікованих електронних довірчих послуг;

4) забезпечити доступ голови та членів комісії з перевірки до всіх документів та інформації про діяльність надавача, центрального засвідчувального органу або засвідчувального центру, які передбачені пунктом 28 цього Порядку;

5) забезпечити надання у строк, необхідний для виконання завдання, але не більший ніж строк, визначений для проведення заходу державного нагляду (контролю), засвідчених копій документів та інформації про діяльність надавача, центрального засвідчувального органу або засвідчувального центру (усних і письмових пояснень керівника та працівників надавача, центрального засвідчувального органу або засвідчувального центру);

6) забезпечити коректну поведінку працівників надавача, центрального засвідчувального органу або засвідчувального центру під час проведення перевірки.

24. Вхід до службового приміщення, обладнаного для роботи комісії з перевірки, сторонніх осіб без дозволу голови комісії з перевірки забороняється.

25. Керівник надавача, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник під час проведення перевірки має право:

1) вимагати від голови та членів комісії з перевірки дотримання вимог законодавства;

2) перевіряти наявність у голови та членів комісії з перевірки службових посвідчень і одержувати копію посвідчення на проведення перевірки;

3) не допускати голову та членів комісії з перевірки до її проведення у разі:

порушення вимог щодо періодичності проведення перевірок, передбачених законодавством;

непред'явлення головою та членами комісії з перевірки службових посвідчень та посвідчень на проведення перевірки, оформлених відповідно до вимог законодавства;

4) бути присутнім під час проведення перевірки;

5) вимагати дотримання вимог щодо нерозголошення комерційної таємниці та конфіденційної інформації надавача, центрального засвідчувального органу або засвідчувального центру;

6) отримувати та ознайомлюватися з актом перевірки;

7) надавати в письмовій формі свої пояснення, зауваження або заперечення до акта перевірки;

8) отримувати від голови комісії з перевірки роз'яснення щодо дій комісії, пов'язаних з перевіркою;

9) у разі незгоди з діями голови та/або членів комісії з перевірки подавати в письмовому вигляді скарги до Адміністрації Держспецзв'язку чи оскаржувати дії комісії з перевірки в судовому порядку;

10) отримувати консультативну допомогу від голови та членів комісії з перевірки з метою запобігання порушенням під час її проведення.

26. Перед початком перевірки голова комісії з перевірки вносить запис до відповідного журналу надавача, центрального засвідчувального органу або засвідчувального центру (у разі наявності).

27. Перевірка проводиться у присутності керівника надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника.

28. Перевірка проводиться шляхом вивчення документів, інформації, що міститься в базах даних, в межах правил розмежування доступом, передбачених комплексною системою захисту інформації, співбесід з працівниками надавача, центрального засвідчувального органу або засвідчувального центру, аналізу стану дотримання вимог законодавства у сфері електронних довірчих послуг та розпорядчих документів, пов'язаних з наданням кваліфікованих електронних довірчих послуг.

29. У разі виявлення порушень вимог законодавства у сфері електронних довірчих послуг, зловживань і недоліків керівництво надавача, центрального засвідчувального органу або засвідчувального центру, зобов'язане до закінчення перевірки вжити заходів до усунення виявлених порушень, зловживань і недоліків, запобігання їм у подальшому.

30. Перевірка проводиться за такими етапами:

1) процес перевірки;

2) оформлення результатів перевірки.

31. Підготовка до проведення перевірки здійснюється шляхом:

1) опрацювання матеріалів попередньої перевірки з метою подальшого контролю за тими напрямами роботи, за якими раніше були виявлені порушення;

2) аналізу інформації, визначеної пунктом 6 цього Порядку;

3) вивчення регламенту роботи надавача, центрального засвідчувального органу або засвідчувального центру.

32. Адміністрація Держспецзв'язку має право письмово запитувати у надавача, центрального засвідчувального органу або засвідчувального центру матеріали та інформацію, необхідні для проведення перевірки.

Надавач, центральний засвідчувальний орган або засвідчувальний центр зобов'язані подати Адміністрації Держспецзв'язку всю запитувану інформацію протягом 15 робочих днів з дня реєстрації відповідного запиту.

33. У період підготовки до проведення перевірки голова комісії з перевірки інформує її членів про завдання (рекомендації, вказівки) перевірки, а також проводить інструктаж щодо порядку взаємодії з працівниками надавача, центрального засвідчувального органу або засвідчувального центру.

34. У день початку проведення перевірки голова та члени комісії з перевірки зобов'язані пред'явити керівникові надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженому ним представнику посвідчення на проведення перевірки та службові посвідчення, що встановлюють голову та членів комісії з перевірки як посадових осіб Адміністрації Держспецзв'язку, і надати копію посвідчення на проведення перевірки.

35. Голова та члени комісії з перевірки не мають права проводити перевірку без пред'явлення службових посвідчень та посвідчення на її проведення.

36. Результати проведення перевірки надавача оформлюються комісією з перевірки шляхом складення акта перевірки, форма якого затверджується Адміністрацією Держспецзв'язку.

37. Результати проведення перевірки центрального засвідчувального органу або засвідчувального центру оформлюються комісією з перевірки шляхом складення акта перевірки у довільній формі, який містить такі відомості:

1) найменування Адміністрації Держспецзв'язку;

2) персональний та посадовий склад комісії з перевірки;

3) прізвище та ініціали керівника центрального засвідчувального органу або засвідчувального центру;

4) вид перевірки (планова або позапланова);

5) реквізити посвідчення на проведення перевірки;

6) дати початку та закінчення проведення перевірки;

7) адресу приміщень центрального засвідчувального органу або засвідчувального центру, пов'язаних з наданням кваліфікованих електронних довірчих послуг, в яких проводилась перевірка;

8) результати попередньої перевірки;

9) причини невиконання встановлених вимог (у разі наявності);

10) назву та короткий зміст документів, наданих під час перевірки;

11) якісні та кількісні показники, встановлені під час перевірки, що характеризують діяльність центрального засвідчувального органу або засвідчувального центру, пов'язану з наданням кваліфікованих електронних довірчих послуг;

12) виявлені під час перевірки порушення і недоліки (у разі наявності);

13) висновки за результатами перевірки;

14) факти протидії проведенню перевірки (у разі наявності);

15) рекомендації щодо усунення виявлених порушень (у разі наявності);

16) дату складення акта перевірки;

17) підписи голови та членів комісії з перевірки;

18) підпис керівника центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника, що підтверджує факт ознайомлення з актом перевірки.

38. До порушень, зазначених в акті перевірки, повинні бути посилання на конкретні положення нормативно-правових актів.

Довільне тлумачення положень нормативно-правових актів не допускається.

Довідкову інформацію або інформацію про порушення і недоліки, яка може бути згрупована за спільним предметом, допускається викладати в додатках до акта перевірки.

Якщо до акта перевірки додаються копії документів, в акті зазначаються їх найменування і реквізити.

39. Акт перевірки складається у двох примірниках та підписується не пізніше останнього дня її проведення головою та всіма членами комісії з перевірки і керівником надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженим ним представником.

40. Член комісії з перевірки, який не погоджується з висновками комісії з перевірки, зазначеними в акті перевірки, зобов'язаний підписати його та письмово викласти свою окрему думку, що долучається до акта перевірки. При цьому перед підписом акта перевірки робиться запис "З окремою думкою, що додається".

41. Якщо керівник надавача, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник має зауваження щодо фактів та висновків, викладених в акті перевірки, перед підписом робиться запис "Із зауваженнями, що додаються".

Зауваження до акта перевірки оформлюються окремим документом та підписуються керівником надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженим ним представником.

Зауваження керівника надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника та окрема думка члена комісії з перевірки є невід'ємною частиною акта перевірки.

42. Якщо керівник надавача, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник відмовився від ознайомлення з актом перевірки або від його підписання після ознайомлення з ним, голова комісії з перевірки перед місцем для підпису керівника надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника робить відповідну позначку, яка засвідчується підписами голови та одного з членів комісії з перевірки.

43. Один примірник акта перевірки вручається керівникові чи уповноваженій особі надавача, центрального засвідчувального органу, засвідчувального центру в останній день перевірки, а другий зберігається в Адміністрації Держспецзв'язку.

44. У разі проведення перевірки надавача копія акта перевірки протягом п'яти робочих днів після її завершення надсилається до центрального засвідчувального органу або засвідчувального центру.

45. За результатами проведення перевірки надавача, центрального засвідчувального органу або засвідчувального центру Адміністрація Держспецзв'язку на підставі акта перевірки вживає таких заходів реагування:

1) вимагає усунення порушень вимог законодавства у сфері електронних довірчих послуг в установлений приписом про усунення порушень строк;

2) приймає рішення про блокування кваліфікованого сертифіката відкритого ключа надавача, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу в разі, коли під час перевірки виявлено факти компрометації особистого ключа;

3) надсилає центральному засвідчувальному органу подання про виключення надавача з Довірчого списку в разі виявлення підстав, передбачених частиною п'ятою статті 33 Закону України "Про електронні довірчі послуги" (Закон N 2155-VIII).

46. У разі коли під час проведення перевірки надавача, центрального засвідчувального органу або засвідчувального центру виявлено порушення вимог законодавства у сфері захисту персональних даних, Адміністрація Держспецзв'язку інформує про такі порушення Уповноваженого Верховної Ради України з прав людини.

47. Припис про усунення порушень складається комісією з перевірки протягом п'яти робочих днів з дня завершення перевірки у двох примірниках. Один примірник зазначеного припису не пізніше п'яти робочих днів з дня складення акта перевірки надається надавачеві, центральному засвідчувальному органу або засвідчувальному центру, а другий примірник з підписом керівника надавача, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника щодо погоджених строків усунення порушень вимог законодавства у сфері електронних довірчих послуг залишається в Адміністрації Держспецзв'язку.

Форма припису про усунення порушень встановлюється Адміністрацією Держспецзв'язку.

Припис про усунення порушень підписується головою та членами комісії з перевірки, які їх проводили.

48. У разі коли керівник надавача, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник відмовився від отримання припису про усунення порушень, він надсилається рекомендованим листом, а на копії припису, який залишається в Адміністрації Держспецзв'язку, проставляються відповідний вихідний номер і дата надсилання.

49. Керівник надавача, центрального засвідчувального органу або засвідчувального центру повинен вжити заходів до усунення недоліків та порушень, зазначених у приписі про усунення порушень, протягом визначеного у приписі строку.

50. Надавач, центральний засвідчувальний орган або засвідчувальний центр зобов'язаний у встановлений у приписі про усунення порушень строк письмово подати Адміністрації Держспецзв'язку інформацію про усунення порушень разом з підтвердними документами.

51. Рішення про блокування кваліфікованого сертифіката відкритого ключа надавача, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу приймається Адміністрацією Держспецзв'язку та в день його прийняття надсилається центральному засвідчувальному органу.

52. Рішення про блокування кваліфікованого сертифіката відкритого ключа надавача, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу повинне містити:

1) найменування Адміністрації Держспецзв'язку;

2) дату прийняття та індекс (порядковий номер);

3) посадовий та персональний склад комісії з перевірки;

4) найменування (прізвище, ім'я, по батькові) надавача, центрального засвідчувального органу або засвідчувального центру;

5) місцезнаходження надавача, центрального засвідчувального органу або засвідчувального центру;

6) прізвище, ім'я та по батькові керівника надавача, центрального засвідчувального органу або засвідчувального центру;

7) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);

8) обґрунтовані підстави прийняття рішення про блокування кваліфікованого сертифіката відкритого ключа надавача, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу;

9) вимогу щодо блокування кваліфікованого сертифіката відкритого ключа надавача, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу;

10) підпис голови Держспецзв'язку або його заступника відповідно до розподілу функціональних обов'язків.

53. Центральний засвідчувальний орган на підставі рішення Адміністрації Держспецзв'язку зобов'язаний змінити статус кваліфікованого сертифіката відкритого ключа надавача, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу на заблокований.

54. Подання про виключення надавача з Довірчого списку готується Адміністрацією Держспецзв'язку та в день його підписання головою Держспецзв'язку або його заступником відповідно до розподілу функціональних обов'язків надсилається центральному засвідчувальному органу.

55. Подання про виключення надавача з Довірчого списку повинне містити:

1) найменування Адміністрації Держспецзв'язку;

2) посадовий та персональний склад комісії з перевірки;

3) найменування (прізвище, ім'я, по батькові) надавача;

4) місцезнаходження або місце проживання надавача;

5) прізвище, ім'я та по батькові керівника надавача;

6) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);

7) обґрунтовані підстави прийняття рішення про виключення надавача з Довірчого списку;

8) вимогу щодо виключення надавача з Довірчого списку;

9) дату підписання;

10) підпис голови Держспецзв'язку або його заступника відповідно до розподілу функціональних обов'язків.

56. У разі виявлення порушень вимог законодавства у сфері електронних довірчих послуг, встановлених для центрального засвідчувального органу, Адміністрація Держспецзв'язку пропонує центральному засвідчувальному органу шляхи їх усунення.

 

ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 7 листопада 2018 р. N 992

ПЕРЕЛІК
постанов Кабінету Міністрів України, що втратили чинність

1. Постанова Кабінету Міністрів України від 26 травня 2004 р. N 680 "Про затвердження Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу" (Офіційний вісник України, 2004 р., N 21, ст. 1428).

2. Пункт 31 змін, що вносяться до актів Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 8 грудня 2006 р. N 1700 (Офіційний вісник України, 2006 р., N 50, ст. 3324).

3. Постанова Кабінету Міністрів України від 27 травня 2013 р. N 371 "Про внесення змін до Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу" (Постанова N 371) (Офіційний вісник України, 2013 р., N 41, ст. 1468).

4. Пункт 2 змін, що вносяться до постанов Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 17 січня 2018 р. N 55 "Деякі питання документування управлінської діяльності" (Постанова N 55) (Офіційний вісник України, 2018 р., N 23, ст. 770).




 
 
Copyright © 2003-2018 document.UA. All rights reserved. При використанні матеріалів сайту наявність активного посилання на document.UA обов'язково. Законодавство-mirror:epicentre.com.ua
RSS канали