.png)
КАБIНЕТ МIНIСТРIВ УКРАЇНИ
ПОСТАНОВА
Київ
| вiд 7 листопада 2018 р. | N 992 |
|---|
Про затвердження вимог у сферi електронних
довiрчих послуг та Порядку перевiрки дотримання
вимог законодавства у сферi електронних довiрчих
послуг
Вiдповiдно до статей 13, 18 - 21, 23, 26 - 28, 33 Закону України "Про електроннi довiрчi послуги" Кабiнет Мiнiстрiв України постановляє:
1. Затвердити такi, що додаються:
вимоги у сферi електронних довiрчих послуг;
Порядок перевiрки дотримання вимог законодавства у сферi електронних довiрчих послуг.
2. Установити, що для надання квалiфiкованих електронних довiрчих послуг можуть використовуватись надiйнi засоби електронного цифрового пiдпису, якi отримали позитивнi експертнi висновки за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, виданi до набрання чинностi Законом України "Про електроннi довiрчi послуги", до закiнчення строку дiї експертних висновкiв.
3. Визнати такими, що втратили чиннiсть, постанови Кабiнету Мiнiстрiв України згiдно з перелiком, що додається.
4. Ця постанова набирає чинностi з дня її опублiкування, крiм пунктiв 68 - 72 перелiку стандартiв, що застосовуються квалiфiкованими надавачами електронних довiрчих послуг пiд час надання квалiфiкованих електронних довiрчих послуг, який додається до затверджених цiєю постановою вимог у сферi електронних довiрчих послуг. Зазначенi пункти набирають чинностi з 1 сiчня 2019 року.
| Прем'єр-мiнiстр України | В. ГРОЙСМАН |
Iнд. 49
| ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 7 листопада 2018 р. N 992 |
ВИМОГИ
у сферi електронних довiрчих послуг
Загальнi положення
1. Цi вимоги визначають органiзацiйно-методологiчнi, технiчнi та технологiчнi умови, яких повинен дотримуватися квалiфiкований надавач електронних довiрчих послуг (далi - надавач), його вiдокремленi пункти реєстрацiї пiд час надання квалiфiкованих електронних довiрчих послуг їх користувачам.
2. Центральний засвiдчувальний орган надає квалiфiкованi електроннi довiрчi послуги вiдповiдно до цих вимог з урахуванням особливостей, передбачених Законом України "Про електроннi довiрчi послуги".
3. Дiя цих вимог не поширюється на надання квалiфiкованих електронних довiрчих послуг у банкiвськiй системi України та пiд час здiйснення переказу коштiв.
4. У цих вимогах термiни вживаються в такому значеннi:
власник веб-сайту - користувач квалiфiкованої електронної довiрчої послуги з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката автентифiкацiї веб-сайту;
геш-значення - фiксованi за обсягом електроннi данi, утворенi шляхом перетворення електронних даних iз застосуванням криптографiчного алгоритму;
гешування - перетворення електронних даних будь-якого обсягу в електроннi данi фiксованого обсягу шляхом застосування криптографiчного алгоритму;
заявник - фiзична особа або представник юридичної особи, що звернулись до надавача для отримання квалiфiкованих електронних довiрчих послуг;
iнформацiйно-телекомунiкацiйна система - сукупнiсть iнформацiйних та телекомунiкацiйних систем надавача або центрального засвiдчувального органу, якi у процесi обробки iнформацiї дiють як єдине цiле та об'єднують програмно-технiчний комплекс, що використовується пiд час надання квалiфiкованих електронних довiрчих послуг (далi - програмно-технiчний комплекс), фiзичне середовище, iнформацiю, що обробляється в зазначених системах, а також найманих працiвникiв надавача або центрального засвiдчувального органу, якi безпосередньо задiянi у наданнi квалiфiкованих електронних довiрчих послуг або обслуговують програмно-технiчний комплекс (далi - найманi працiвники);
квалiфiкована електронна довiрча послуга - електронна довiрча послуга, надання якої забезпечує надавач або центральний засвiдчувальний орган, зокрема за допомогою засобу квалiфiкованого електронного пiдпису чи печатки, та яка базується на квалiфiкованому сертифiкатi вiдкритого ключа;
користувач - особа, яка на пiдставi договору або iншого документа отримує у надавача квалiфiковану електронну довiрчу послугу;
об'єктний iдентифiкатор - унiкальний буквено-числовий чи числовий iдентифiкатор, зареєстрований у вiдповiдному стандартi Мiжнародної органiзацiї iз стандартизацiї для конкретних об'єктiв або для певного класу об'єктiв;
онлайн-операцiя - будь-яка дiя, технологiчна схема якої передбачає наявнiсть безперервного телекомунiкацiйного зв'язку в режимi реального часу пiд час її проведення;
полiтика сертифiката - перелiк усiх правил, що застосовуються надавачем у процесi надання квалiфiкованих електронних довiрчих послуг з обслуговування квалiфiкованих сертифiкатiв вiдкритих ключiв, включаючи положення цих вимог;
положення сертифiкацiйних практик - перелiк усiх практичних дiй та процедур, якi застосовуються для реалiзацiї полiтики сертифiката надавача;
публiкацiя квалiфiкованого сертифiката вiдкритого ключа - надання квалiфiкованого сертифiката вiдкритого ключа користувачевi та у разi його згоди iншим особам шляхом розмiщення його на офiцiйному веб-сайтi надавача;
регламент роботи - документ надавача або центрального засвiдчувального органу, що визначає органiзацiйно-методологiчнi, технiчнi та технологiчнi умови дiяльностi надавача або центрального засвiдчувального органу пiд час надання квалiфiкованих електронних довiрчих послуг, включаючи полiтику сертифiката та положення сертифiкацiйних практик;
розповсюдження iнформацiї про статус квалiфiкованого сертифiката вiдкритого ключа - надання вiльного доступу до iнформацiї про статус квалiфiкованого сертифiката вiдкритого ключа;
список вiдкликаних сертифiкатiв - сформований та опублiкований надавачем перелiк квалiфiкованих сертифiкатiв вiдкритих ключiв, статус яких змiнено на блокований, поновлений або скасований;
статус квалiфiкованого сертифiката вiдкритого ключа - стан квалiфiкованого сертифiката вiдкритого ключа (чинний, блокований, скасований) на певний момент часу;
управлiння статусом сертифiката - змiна статусу квалiфiкованого сертифiката вiдкритого ключа надавачем.
5. Iншi термiни вживаються у значеннi, наведеному в Законах України "Про електроннi довiрчi послуги", "Про електроннi документи та електронний документообiг", "Про телекомунiкацiї", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах", "Про основнi засади забезпечення кiбербезпеки України".
Вимоги до надавачiв
6. Найманими працiвниками надавача, посадовi обов'язки яких безпосередньо пов'язанi з наданням квалiфiкованих електронних довiрчих послуг, є:
1) адмiнiстратор реєстрацiї;
2) адмiнiстратор сертифiкацiї;
3) адмiнiстратор безпеки та аудиту;
4) системний адмiнiстратор.
Забороняється сумiщення посадових обов'язкiв адмiнiстратора безпеки та аудиту з iншими посадовими обов'язками, безпосередньо пов'язаними з наданням квалiфiкованих електронних довiрчих послуг.
7. Найманi працiвники надавача повиннi мати необхiднi для надання квалiфiкованих електронних довiрчих послуг знання, досвiд i квалiфiкацiю.
Адмiнiстратором сертифiкацiї, адмiнiстратором безпеки та аудиту, системним адмiнiстратором може бути особа, яка має вищу освiту за спецiальнiстю у сферах iнформацiйних технологiй, захисту iнформацiї або кiбербезпеки, а також стаж роботи за фахом у зазначених сферах не менше трьох рокiв.
8. Органiзацiйно-правовий статус керiвника i найманих працiвникiв надавача, їх завдання та функцiї, права та обов'язки, вiдповiдальнiсть, а також професiйнi знання, досвiд i квалiфiкацiя визначаються у посадових iнструкцiях.
Посадовi iнструкцiї повиннi мiстити вимоги iнформацiйної безпеки та методи її забезпечення.
9. Керiвник i найманi працiвники надавача повиннi бути ознайомленi з положеннями їх посадових iнструкцiй та дiяти вiдповiдно до своїх посадових завдань та функцiй.
10. Адмiнiстратор реєстрацiї вiдповiдає за перевiрку документiв, наданих заявниками, їх заяв про формування, блокування, поновлення та скасування квалiфiкованих сертифiкатiв вiдкритих ключiв.
11. Основними обов'язками адмiнiстратора реєстрацiї є:
1) iдентифiкацiя та автентифiкацiя заявникiв;
2) перевiрка заяв про формування, блокування, поновлення та скасування квалiфiкованих сертифiкатiв вiдкритих ключiв;
3) встановлення належностi вiдкритого ключа та вiдповiдного йому особистого ключа заявнику;
4) ведення облiку користувачiв.
12. Адмiнiстратор сертифiкацiї вiдповiдає за формування квалiфiкованих сертифiкатiв вiдкритих ключiв, ведення електронного реєстру чинних, блокованих та скасованих сертифiкатiв вiдкритих ключiв, збереження та використання особистих ключiв надавача, а також створення їх резервних копiй.
13. Основними обов'язками адмiнiстратора сертифiкацiї є:
1) участь у генерацiї пар ключiв надавача та створеннi резервних копiй особистих ключiв надавача;
2) зберiгання особистих ключiв надавача та їх резервних копiй;
3) забезпечення використання особистих ключiв надавача пiд час формування та обслуговування квалiфiкованих сертифiкатiв вiдкритих ключiв надавача та користувачiв;
4) перевiрка заяв про формування квалiфiкованих сертифiкатiв вiдкритих ключiв надавача на вiдповiднiсть вимогам регламенту роботи надавача;
5) участь у знищеннi особистих ключiв надавача;
6) забезпечення ведення, архiвування та вiдновлення баз даних квалiфiкованих сертифiкатiв вiдкритих ключiв користувачiв;
7) забезпечення публiкацiї квалiфiкованих сертифiкатiв вiдкритих ключiв користувачiв та спискiв вiдкликаних сертифiкатiв на офiцiйному веб-сайтi надавача;
8) створення резервних копiй квалiфiкованих сертифiкатiв вiдкритих ключiв користувачiв;
9) зберiгання квалiфiкованих сертифiкатiв вiдкритих ключiв користувачiв, їх резервних копiй, спискiв вiдкликаних сертифiкатiв та iнших важливих ресурсiв iнформацiйно-телекомунiкацiйної системи надавача.
14. Адмiнiстратор безпеки та аудиту вiдповiдає за належне функцiонування комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою.
15. Основними обов'язками адмiнiстратора безпеки та аудиту є:
1) участь у генерацiї пар ключiв надавача та створеннi резервних копiй особистих ключiв надавача;
2) контроль за формуванням, обслуговуванням i створенням резервних копiй квалiфiкованих сертифiкатiв вiдкритих ключiв надавача, користувачiв та спискiв вiдкликаних сертифiкатiв;
3) контроль за зберiганням особистих ключiв надавача та їх резервних копiй, особистих ключiв адмiнiстраторiв;
4) участь у знищеннi особистих ключiв надавача, контроль за правильним i своєчасним знищенням адмiнiстраторами їх особистих ключiв;
5) органiзацiя розмежування доступу до ресурсiв iнформацiйно-телекомунiкацiйної системи надавача;
6) забезпечення спостереження за функцiонуванням комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою (реєстрацiя подiй в iнформацiйно-телекомунiкацiйнiй системi надавача, монiторинг подiй тощо);
7) забезпечення органiзацiї та проведення заходiв з модернiзацiї, тестування, оперативного вiдновлення функцiонування комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою пiсля збоїв, вiдмов, аварiй iнформацiйно-телекомунiкацiйної системи надавача;
8) забезпечення режиму доступу до примiщень надавача, в яких розмiщена iнформацiйно-телекомунiкацiйна система надавача;
9) ведення журналiв облiку адмiнiстратора безпеки та аудиту, визначених документацiєю на комплексну систему захисту iнформацiї або звiтностi, що передбачена системою управлiння iнформацiйною безпекою;
10) проведення перевiрок журналiв аудиту подiй, що реєструють технiчнi засоби iнформацiйно-телекомунiкацiйної системи надавача;
11) проведення перевiрок вiдповiдностi положень внутрiшньої органiзацiйно-розпорядчої документацiї надавача та документацiї на комплексну систему захисту iнформацiї або систему управлiння iнформацiйною безпекою;
12) контроль за дотриманням найманими працiвниками надавача положень внутрiшньої органiзацiйно-розпорядчої документацiї надавача та документацiї щодо комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою;
13) контроль за веденням баз даних надавача;
14) контроль за веденням архiву надавача.
16. Адмiнiстратор безпеки та аудиту вiдповiдає за проведення перевiрок дотримання найманими працiвниками надавача положень внутрiшньої органiзацiйно-розпорядчої документацiї надавача та документацiї щодо комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою. Надавач встановлює перiодичнiсть (у днях, тижнях або мiсяцях) проведення таких внутрiшнiх перевiрок, але не рiдше нiж один раз на рiк.
17. Системний адмiнiстратор вiдповiдає за функцiонування засобiв та обладнання програмно-технiчного комплексу (далi - технiчнi засоби) iнформацiйно-телекомунiкацiйної системи надавача.
18. Основними обов'язками системного адмiнiстратора є:
1) органiзацiя експлуатацiї та технiчного обслуговування iнформацiйно-телекомунiкацiйної системи надавача i адмiнiстрування її технiчних засобiв;
2) забезпечення функцiонування офiцiйного веб-сайту надавача;
3) участь у впровадженнi та забезпеченнi функцiонування комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою;
4) ведення журналiв аудиту подiй, що реєструють технiчнi засоби iнформацiйно-телекомунiкацiйної системи надавача;
5) встановлення, налаштування та забезпечення пiдтримки працездатностi загальносистемного та спецiального програмного забезпечення iнформацiйно-телекомунiкацiйної системи надавача;
6) встановлення та налагодження штатної пiдсистеми резервного копiювання бази даних iнформацiйно-телекомунiкацiйної системи надавача;
7) забезпечення актуалiзацiї баз даних, створюваних та оброблюваних в iнформацiйно-телекомунiкацiйнiй системi надавача, у зв'язку iз збоями.
19. Найманi працiвники надавача повиннi бути повiдомленi про змiни в органiзацiї процесiв надавача, що стосуються їх посадових обов'язкiв.
20. Керiвник надавача зобов'язаний забезпечити створення умов для безперервної особистої освiти та постiйне пiдвищення квалiфiкацiї найманих працiвникiв надавача у сферах iнформацiйних технологiй, захисту iнформацiї або кiбербезпеки та захисту персональних даних.
21. Керiвником надавача повинна бути встановлена чiтка система дисциплiнарних стягнень за недотримання найманими працiвниками надавача своїх посадових обов'язкiв, вимог нормативно-правових актiв у сферi електронних довiрчих послуг i вимог внутрiшньої органiзацiйно-розпорядчої документацiї надавача та документацiї щодо комплексної системи захисту iнформацiї або системи управлiння iнформацiйною безпекою.
22. До працiвникiв вiдокремлених пунктiв реєстрацiї, на яких покладено обов'язки з реєстрацiї користувачiв, повиннi застосовуватись такi ж вимоги, як i до адмiнiстраторiв реєстрацiї.
23. Генерацiя пари ключiв надавача здiйснюється адмiнiстратором сертифiкацiї пiд контролем адмiнiстратора безпеки та аудиту.
Генерацiя пари ключiв надавача здiйснюється виключно за допомогою засобу квалiфiкованого електронного пiдпису чи печатки, що є апаратно-програмним або апаратним пристроєм.
24. Усi подiї, пов'язанi з генерацiєю, використанням та знищенням пари ключiв надавача, повиннi протоколюватися.
25. Особистi ключi надавача повиннi розмiщуватися у засобi квалiфiкованого електронного пiдпису чи печатки, що є апаратно-програмним або апаратним пристроєм, за допомогою якого здiйснювалася генерацiя пари ключiв.
Технологiя зберiгання особистих ключiв надавача повинна унеможливити доступ до них ззовнi. Особистi ключi надавача повиннi зберiгатись у засобi квалiфiкованого електронного пiдпису чи печатки, що є апаратно-програмним або апаратним пристроєм.
26. У разi здiйснення резервного копiювання особистi ключi надавача повиннi бути перенесенi на зовнiшнiй засiб квалiфiкованого електронного пiдпису чи печатки, який є апаратно-програмним або апаратним пристроєм у захищеному виглядi, що забезпечує їх цiлiснiсть та конфiденцiйнiсть.
Резервне копiювання та вiдновлення особистих ключiв надавача здiйснюються адмiнiстратором сертифiкацiї пiд контролем адмiнiстратора безпеки та аудиту.
27. Умови забезпечення захисту резервних копiй особистих ключiв надавача пiд час їх зберiгання повиннi бути не гiршими, нiж умови забезпечення захисту особистих ключiв, що використовуються.
28. Особистi ключi надавача можуть використовуватися виключно для формування квалiфiкованих сертифiкатiв вiдкритих ключiв (накладення квалiфiкованого електронного пiдпису чи печатки на квалiфiкований сертифiкат вiдкритого ключа) та iнформацiї про статус квалiфiкованого сертифiката вiдкритого ключа.
29. Особистi ключi надавача можуть використовуватися виключно у засобi квалiфiкованого електронного пiдпису чи печатки, що є апаратно-програмним або апаратним пристроєм, розташованим в окремому, спецiально призначеному для цього примiщеннi.
30. Пiсля закiнчення строку дiї квалiфiкованого сертифiката вiдкритого ключа надавача особистий ключ надавача та всi його резервнi копiї знищуються способом, що не дає змоги їх вiдновити.
31. Дiяльнiсть надавачiв здiйснюється за умови внесення коштiв на поточний рахунок iз спецiальним режимом використання у банку (рахунок в органi, що здiйснює казначейське обслуговування бюджетних коштiв) або страхування цивiльно-правової вiдповiдальностi для забезпечення вiдшкодування збиткiв, якi можуть бути завданi користувачам чи третiм особам внаслiдок неналежного виконання надавачем своїх зобов'язань.
32. Розмiр внеску на поточному рахунку iз спецiальним режимом використання у банку (рахунку в органi, що здiйснює казначейське обслуговування бюджетних коштiв) або страхової суми визначено частиною третьою статтi 16 Закону України "Про електроннi довiрчi послуги".
33. Надавач зобов'язаний пiдтримувати розмiр внеску на поточному рахунку iз спецiальним режимом використання у банку (рахунку в органi, що здiйснює казначейське обслуговування бюджетних коштiв) або страхової суми в актуальному станi вiдповiдно до розмiру мiнiмальної заробiтної плати, встановленого законом про Державний бюджет України на вiдповiдний рiк.
34. У разi вiдшкодування збиткiв, завданих користувачам чи третiм особам внаслiдок неналежного виконання своїх зобов'язань, надавач протягом трьох мiсяцiв вживає вичерпних заходiв для вiдновлення розмiру внеску на поточному рахунку iз спецiальним режимом використання у банку (рахунку в органi, що здiйснює казначейське обслуговування бюджетних коштiв) або страхової суми.
35. Надавач надає квалiфiкованi електроннi довiрчi послуги вiдповiдно до вимог законодавства у сферi електронних довiрчих послуг та регламенту роботи надавача.
36. Регламент роботи надавача розробляється та затверджується до початку роботи надавача.
37. Регламент роботи надавача мiстить:
1) загальнi вiдомостi про надавача (найменування або прiзвище, iм'я, по батьковi надавача; код за Єдиним державним реєстром пiдприємств та органiзацiй України; мiсцезнаходження, номери телефонiв, електронна адреса веб-сайту);
2) перелiк квалiфiкованих електронних довiрчих послуг, надання яких забезпечує надавач;
3) перелiк посад найманих працiвникiв, обов'язки яких безпосередньо пов'язанi з наданням квалiфiкованих електронних довiрчих послуг, та функцiї таких працiвникiв;
4) полiтику сертифiката та положення сертифiкацiйних практик;
5) опис процедур та процесiв, якi виконуються пiд час надання квалiфiкованих електронних довiрчих послуг, що не передбачають формування та обслуговування квалiфiкованих сертифiкатiв вiдкритих ключiв.
38. У полiтицi сертифiката визначається кожна квалiфiкована електронна довiрча послуга, що передбачає формування та обслуговування надавачем квалiфiкованих сертифiкатiв вiдкритих ключiв, окремо або у сукупностi.
У положеннi сертифiкацiйних практик визначаються практичнi та процедурнi засади реалiзацiї всiх полiтик сертифiката у сукупностi.
39. У полiтицi сертифiката визначаються:
1) перелiк сфер, в яких дозволяється використання квалiфiкованих сертифiкатiв вiдкритих ключiв, сформованих надавачем;
2) обмеження щодо використання квалiфiкованих сертифiкатiв вiдкритих ключiв, сформованих надавачем;
3) перелiк iнформацiї, що розмiщується надавачем на своєму офiцiйному веб-сайтi;
4) час i порядок публiкацiї квалiфiкованих сертифiкатiв вiдкритих ключiв та спискiв вiдкликаних сертифiкатiв;
5) механiзм пiдтвердження володiння заявником особистим ключем, вiдповiдний якому вiдкритий ключ надається для формування квалiфiкованого сертифiката вiдкритого ключа;
6) умови встановлення заявника (iнформацiя, що надається заявником пiд час iдентифiкацiї особи, види документiв, на пiдставi яких встановлюється заявник, вимоги щодо особистої присутностi);
7) механiзм автентифiкацiї користувачiв, якi мають чинний квалiфiкований сертифiкат вiдкритого ключа, сформований надавачем;
8) механiзм автентифiкацiї користувачiв з питань блокування, скасування або поновлення квалiфiкованого сертифiката вiдкритого ключа;
9) опис фiзичного середовища (опис примiщень надавача, в яких розмiщена iнформацiйно-телекомунiкацiйна система надавача, механiзми контролю доступу до них);
10) процедурний контроль (система дисциплiнарних стягнень за недотримання найманими працiвниками надавача своїх посадових обов'язкiв, вимог нормативно-правових актiв у сферi електронних довiрчих послуг та вимог внутрiшньої органiзацiйно-розпорядчої документацiї надавача та документацiї на комплексну систему захисту iнформацiї або систему управлiння iнформацiйною безпекою в межах органiзацiї з урахуванням режиму роботи надавача);
11) порядок ведення журналiв аудиту подiй (iз зазначенням типiв подiй, частоти перегляду, строкiв зберiгання журналiв аудиту подiй, захисту та резервного копiювання журналiв аудиту подiй, перелiку найманих працiвникiв надавача, що можуть здiйснювати перегляд журналiв аудиту подiй);
12) порядок ведення архiвiв надавача (iз зазначенням видiв документiв та даних, що пiдлягають архiвуванню, строкiв зберiгання архiвiв, механiзму та порядку зберiгання i захисту архiвiв);
13) процес, порядок та умови генерацiї пар ключiв надавача та користувачiв;
14) процедури отримання користувачем особистого ключа в результатi надання квалiфiкованої електронної довiрчої послуги її надавачем;
15) механiзм надання вiдкритого ключа користувача надавачу для формування квалiфiкованого сертифiката вiдкритого ключа;
16) порядок захисту та доступу до особистого ключа надавача;
17) порядок та умови резервного копiювання особистого ключа надавача, збереження, доступу та використання резервної копiї.
40. У положеннях сертифiкацiйних практик зазначаються:
1) процес подання запиту на формування квалiфiкованого сертифiката вiдкритого ключа (перелiк суб'єктiв, уповноважених здiйснювати запит на формування квалiфiкованого сертифiката вiдкритого ключа, порядок подачi та оброблення такого запиту, строки оброблення запиту на формування квалiфiкованого сертифiката вiдкритого ключа);
2) порядок надання сформованого квалiфiкованого сертифiката вiдкритого ключа користувачу;
3) порядок публiкацiї сформованого квалiфiкованого сертифiката вiдкритого ключа користувача на офiцiйному веб-сайтi надавача;
4) умови використання квалiфiкованого сертифiката вiдкритого ключа користувача та його особистого ключа (попередження про можливi наслiдки неправильного використання квалiфiкованого сертифiката вiдкритого ключа та особистого ключа);
5) процедура подачi запиту на формування квалiфiкованого сертифiката вiдкритого ключа для користувачiв, якi мають чинний квалiфiкований сертифiкат вiдкритого ключа, сформований надавачем;
6) обставини скасування (блокування, поновлення) квалiфiкованого сертифiката вiдкритого ключа; перелiк суб'єктiв, уповноважених здiйснювати запит на скасування (блокування та поновлення) квалiфiкованого сертифiката вiдкритого ключа; процедура подання запиту на скасування (блокування, поновлення) квалiфiкованого сертифiката вiдкритого ключа; час оброблення запиту на скасування (блокування, поновлення) квалiфiкованого сертифiката вiдкритого ключа; частота формування списку вiдкликаних сертифiкатiв та строки його дiї; можливiсть та умови надання iнформацiї про статус квалiфiкованого сертифiката вiдкритого ключа у режимi реального часу);
7) строк закiнчення дiї квалiфiкованого сертифiката вiдкритого ключа користувача.
41. Проект регламенту роботи надавача пiдлягає обов'язковому погодженню з Адмiнiстрацiєю Держспецзв'язку, строк якого не може перевищувати 30 календарних днiв з дня надходження зазначеного проекту на погодження.
Пiдставами для вiдмови у погодженнi регламенту роботи надавача є:
недотримання вимог щодо подання зазначеного регламенту, визначених пунктами 35 - 43 цих вимог;
виявлення у проектi регламенту недостовiрної iнформацiї, тлумачень, якi не дають змоги однозначно розумiти змiст, а також виправлень або дописок.
Процедура погодження регламенту роботи надавача проводиться Адмiнiстрацiєю Держспецзв'язку безоплатно.
Пiсля погодження з Адмiнiстрацiєю Держспецзв'язку регламент роботи надавача затверджується його керiвником у двох примiрниках.
Один примiрник погодженого з Адмiнiстрацiєю Держспецзв'язку та затвердженого керiвником надавача регламенту роботи надавача передається до Адмiнiстрацiї Держспецзв'язку.
42. Погодження та затвердження змiн до регламенту роботи надавача здiйснюється вiдповiдно до вимог щодо погодження та затвердження регламенту.
Для погодження змiн до регламенту роботи надавача до Адмiнiстрацiї Держспецзв'язку надається текст вiдповiдних змiн та порiвняльна таблиця.
43. Надавач самостiйно визначає обсяг положень регламенту його роботи та iнших документiв, що пiдлягають розмiщенню на офiцiйному веб-сайтi надавача для ознайомлення.
44. Для набуття статусу надавача юридична особа або фiзична особа - пiдприємець, що має намiр надавати квалiфiкованi електроннi довiрчi послуги, подає до центрального засвiдчувального органу заяву про внесення вiдомостей про неї до Довiрчого списку та iншi документи, визначенi частиною другою статтi 30 Закону України "Про електроннi довiрчi послуги".
Форма заяви про внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку встановлюється у регламентi роботи центрального засвiдчувального органу.
45. Заява про внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку та документи, що додаються до неї, можуть бути поданi представником юридичної особи або фiзичною особою - пiдприємцем, який має намiр надавати квалiфiкованi електроннi довiрчi послуги, в електроннiй формi через Єдиний державний портал адмiнiстративних послуг, у тому числi через iнтегровану з ним iнформацiйну систему центрального засвiдчувального органу.
Забезпечення цiлiсностi та конфiденцiйностi iнформацiї, у тому числi персональних даних, пiд час подання заяви та документiв, що додаються до неї, здiйснюється з дотриманням вимог законодавства у сферi захисту iнформацiї iз застосуванням квалiфiкованого електронного пiдпису представника юридичної особи або фiзичної особи - пiдприємця та з використанням засобiв шифрування, що мають позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї.
У разi подання заяви про внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку та документiв, що додаються до неї, в електроннiй формi копiї документiв, якi iснують виключно в паперовiй формi, додаються до заяви у форматi PDF.
Вiдповiднiсть зазначених копiй документiв оригiналам засвiдчується шляхом накладення квалiфiкованого електронного пiдпису керiвника юридичної особи або фiзичної особи - пiдприємця, що має намiр надавати квалiфiкованi електроннi довiрчi послуги.
Представник юридичної особи або фiзична особа - пiдприємець, що має намiр надавати квалiфiкованi електроннi довiрчi послуги, вiдповiдає за достовiрнiсть iнформацiї, зазначеної в документах, що додаються до заяви, для внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку.
У разi подання заяви про внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку та документiв, що до неї додаються, в електроннiй формi документи на паперових носiях не подаються.
Уповноважена особа центрального засвiдчувального органу перевiряє надходження електронних документiв не рiдше двох разiв на день (у першiй та другiй половинi робочого дня).
Документи для внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку, поданi в електроннiй формi, реєструються в iнформацiйнiй системi центрального засвiдчувального органу пiсля їх надходження, про що автоматично через персональний кабiнет на Єдиному державному порталi адмiнiстративних послуг iнформується представник юридичної особи або фiзична особа - пiдприємець, що має намiр надавати квалiфiкованi електроннi довiрчi послуги.
46. Пiсля вжиття вичерпних заходiв для забезпечення iдентифiкацiї та перевiрки обсягу цивiльної правоздатностi та дiєздатностi представника юридичної особи або фiзичної особи - пiдприємця, що має намiр надавати квалiфiкованi електроннi довiрчi послуги, центральний засвiдчувальний орган розглядає заяву про внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку та документи, що до неї додаються, i за результатами їх розгляду приймає рiшення в порядку та у строки, що встановленi Законом України "Про електроннi довiрчi послуги".
47. На пiдставi прийнятого центральним засвiдчувальним органом рiшення про внесення до Довiрчого списку юридична особа або фiзична особа - пiдприємець, що має намiр надавати квалiфiкованi електроннi довiрчi послуги, засвiдчує чиннiсть одного або декiлькох своїх вiдкритих ключiв (окремо для кожної квалiфiкованої електронної довiрчої послуги) у центральному засвiдчувальному органi вiдповiдно до вимог регламенту роботи центрального засвiдчувального органу.
Засвiдчення чинностi вiдкритого ключа юридичної особи або фiзичної особи - пiдприємця є умовою внесення до Довiрчого списку iнформацiї про квалiфiкованi електроннi довiрчi послуги, якi має намiр надавати юридична особа або фiзична особа - пiдприємець.
Для засвiдчення чинностi вiдкритого ключа юридична особа або фiзична особа - пiдприємець подає до центрального засвiдчувального органу:
заяву про формування квалiфiкованого сертифiката вiдкритого ключа та вiдповiдний електронний запит, що формується пiсля генерацiї пари ключiв;
пiдписаний примiрник договору про надання центральним засвiдчувальним органом квалiфiкованої електронної довiрчої послуги з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката електронного пiдпису чи печатки.
48. Юридична особа або фiзична особа - пiдприємець, що має намiр надавати квалiфiкованi електроннi довiрчi послуги, набуває статусу надавача з дня внесення вiдомостей про неї до Довiрчого списку.
49. Центральний засвiдчувальний орган оприлюднює рiшення про внесення вiдомостей про юридичну особу або фiзичну особу - пiдприємця до Довiрчого списку на своєму офiцiйному веб-сайтi, а також повiдомляє про його прийняття представниковi юридичної особи або фiзичнiй особi - пiдприємцю, що має намiр надавати квалiфiкованi електроннi довiрчi послуги, шляхом надсилання листа поштою або в електроннiй формi через персональний кабiнет на Єдиному державному порталi адмiнiстративних послуг.
50. Змiна вiдомостей про надавача, що мiстяться в Довiрчому списку, є пiдставою для внесення змiн до Довiрчого списку, яке здiйснюється в порядку та у строки, встановленi Законом України "Про електроннi довiрчi послуги".
У разi виникнення змiн у вiдомостях, внесених до Довiрчого списку, надавач зобов'язаний протягом п'яти робочих днiв з дня виникнення таких змiн подати до центрального засвiдчувального органу заяву про внесення змiн до Довiрчого списку разом з документами, що пiдтверджують вiдповiднi змiни.
51. Надавач припиняє дiяльнiсть з надання квалiфiкованих електронних довiрчих послуг з пiдстав та в порядку, що визначенi статтею 31 Закону України "Про електроннi довiрчi послуги".
52. У разi припинення надання квалiфiкованих електронних довiрчих послуг надавач зобов'язаний передати центральному засвiдчувальному органу документовану iнформацiю (документи, на пiдставi яких користувачам надавалися квалiфiкованi електроннi довiрчi послуги та були сформованi, блокованi, поновленi, скасованi квалiфiкованi сертифiкати вiдкритих ключiв, усi сформованi квалiфiкованi сертифiкати вiдкритих ключiв, а також реєстри сформованих квалiфiкованих сертифiкатiв вiдкритих ключiв) у порядку, визначеному Кабiнетом Мiнiстрiв України.
53. Передача документованої iнформацiї здiйснюється надавачем не пiзнiше дня, визначеного ним як дата припинення дiяльностi з надання квалiфiкованих електронних довiрчих послуг, чи дня набрання законної сили вiдповiдним рiшенням суду.
54. Центральний засвiдчувальний орган скасовує виданий ним квалiфiкований сертифiкат вiдкритого ключа надавача у день, визначений надавачем як дата припинення дiяльностi з надання квалiфiкованих електронних довiрчих послуг, чи у день набрання законної сили вiдповiдним рiшенням суду.
Загальнi вимоги до надавача пiд час надання квалiфiкованих електронних довiрчих послуг
55. Квалiфiкованi електроннi довiрчi послуги надаються користувачам виключно надавачами.
56. Надавач може надавати окремо або в сукупностi квалiфiковану електронну довiрчу послугу iз:
1) створення, перевiрки та пiдтвердження квалiфiкованого електронного пiдпису чи печатки;
2) формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката електронного пiдпису чи печатки;
3) формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката автентифiкацiї веб-сайту;
4) формування, перевiрки та пiдтвердження квалiфiкованої електронної позначки часу;
5) реєстрованої електронної доставки;
6) зберiгання квалiфiкованих електронних пiдписiв, печаток, електронних позначок часу та вiдповiдних сертифiкатiв.
57. Надавач забезпечує вiльний доступ до своїх примiщень, в яких здiйснюється обслуговування користувачiв, у тому числi створення належних умов для доступу до примiщень осiб з обмеженими фiзичними можливостями.
Iнформацiя про умови доступностi таких примiщень для осiб з обмеженими фiзичними можливостями розмiщується у мiсцi, доступному для вiзуального сприйняття користувачiв.
58. Для надання квалiфiкованої електронної довiрчої послуги надавач здiйснює iдентифiкацiю заявника шляхом перевiрки iдентифiкацiйних даних особи з документiв, що надаються заявником, та даних, одержаних з iнформацiйних систем органiв державної влади.
59. Iдентифiкацiя заявника та перевiрка обсягу його цивiльної правоздатностi та дiєздатностi здiйснюється вiдповiдно до вимог статтi 22 Закону України "Про електроннi довiрчi послуги".
60. Iдентифiкацiйнi данi особи, що надаються заявником для отримання квалiфiкованої електронної довiрчої послуги, повиннi бути перевiренi надавачем:
1) у присутностi заявника;
2) шляхом використання iдентифiкацiйних даних особи-заявника з чинного квалiфiкованого сертифiката вiдкритого ключа, сформованого тим самим надавачем.
61. Заявник повинен надати визначену регламентом роботи надавача контактну iнформацiю, що дає змогу зв'язатися з ним.
62. Реєстрацiя користувачiв може здiйснюватися через вiдокремленi пункти реєстрацiї, якi виконують свої функцiї згiдно з регламентом роботи надавача.
63. Центральний засвiдчувальний орган надає квалiфiкованi електроннi довiрчi послуги надавачам вiдповiдно до регламенту роботи центрального засвiдчувального органу з дотриманням цих вимог.
64. Надавач повинен забезпечити створення можливостi для ознайомлення заявникiв з iнформацiєю про умови отримання квалiфiкованої електронної довiрчої послуги.
65. До iнформацiї, вiльний доступ до якої повинен забезпечити надавач, належать:
1) вiдомостi про надавача;
2) данi про внесення вiдомостей про надавача до Довiрчого списку;
3) квалiфiкованi сертифiкати вiдкритих ключiв надавача;
4) перелiк квалiфiкованих електронних довiрчих послуг, якi надає надавач;
5) данi про засоби квалiфiкованого електронного пiдпису чи печатки, що використовуються пiд час надання квалiфiкованих електронних довiрчих послуг;
6) форми документiв, на пiдставi яких надаються квалiфiкованi електроннi довiрчi послуги;
7) реєстр чинних, блокованих та скасованих сертифiкатiв вiдкритих ключiв;
8) вiдомостi про обмеження пiд час використання квалiфiкованих сертифiкатiв вiдкритих ключiв користувачами;
9) данi про порядок перевiрки чинностi квалiфiкованого сертифiката вiдкритого ключа, у тому числi умови перевiрки статусу квалiфiкованого сертифiката вiдкритого ключа;
10) перелiк актiв законодавства у сферi електронних довiрчих послуг.
Надавач забезпечує iнформування користувачiв про умови отримання квалiфiкованих електронних довiрчих послуг, зокрема шляхом розмiщення вiдповiдної iнформацiї на офiцiйному веб-сайтi надавача.
Iнформацiя на офiцiйному веб-сайтi надавача повинна бути доступною для осiб з обмеженими фiзичними можливостями.
66. Квалiфiкованi електроннi довiрчi послуги надаються на пiдставi укладеного мiж надавачем i заявником договору про надання квалiфiкованої електронної довiрчої послуги.
Пiдставою для надання квалiфiкованих електронних довiрчих послуг в органах державної влади, органах мiсцевого самоврядування, iнших юридичних особах публiчного права може бути вiдповiдне рiшення.
67. Надавач облiковує та зберiгає протягом строкiв, визначених законодавством у сферi архiвної справи, договори про надання квалiфiкованих електронних довiрчих послуг, а також документи (засвiдченi в установленому порядку копiї документiв), що використовуються пiд час iдентифiкацiї та перевiрки достатностi обсягу цивiльної правоздатностi та дiєздатностi заявника.
68. Iстотними умовами договору про надання квалiфiкованої електронної довiрчої послуги є:
1) права та обов'язки сторiн;
2) умови використання засобiв квалiфiкованого електронного пiдпису чи печатки (у разi коли квалiфiкована електронна довiрча послуга передбачає використання засобiв квалiфiкованого електронного пiдпису чи печатки);
3) умови використання заявником особистого ключа (у разi коли квалiфiкована електронна довiрча послуга передбачає використання особистого ключа);
4) умови публiкацiї квалiфiкованого сертифiката вiдкритого ключа заявника (у разi коли квалiфiкована електронна довiрча послуга передбачає формування квалiфiкованого сертифiката вiдкритого ключа);
5) строк дiї договору;
6) умови оплати;
7) порядок внесення змiн до договору;
8) порядок розiрвання договору.
69. Договiр про надання квалiфiкованої електронної довiрчої послуги може бути змiнено виключно за взаємною згодою сторiн.
70. У разi змiни вiдомостей, що мiстяться у договорi про надання квалiфiкованої електронної довiрчої послуги, заявник у триденний строк з дня настання таких змiн повiдомляє про це надавачевi та подає документи, що пiдтверджують вiдповiднi змiни.
71. Пiдставами для розiрвання договору про надання квалiфiкованої електронної довiрчої послуги є:
1) згода сторiн;
2) рiшення суду про розiрвання договору;
3) виключення надавача з Довiрчого списку.
72. У разi коли у договорi про надання квалiфiкованої електронної довiрчої послуги передбачено формування квалiфiкованого сертифiката вiдкритого ключа, розiрвання такого договору є пiдставою для скасування надавачем квалiфiкованого сертифiката вiдкритого ключа, сформованого вiдповiдно до договору.
73. Надавач має право самостiйно обирати, якi саме стандарти, зазначенi у перелiку, що додається, будуть ним застосовуватися пiд час надання квалiфiкованих електронних довiрчих послуг.
З метою забезпечення iнтероперабельностi та технологiчної нейтральностi нацiональних технiчних рiшень, а також недопущення їх дискримiнацiї Мiн'юст разом з Адмiнiстрацiєю Держспецзв'язку встановлюють вимоги до технiчних засобiв, процесiв їх створення, використання та функцiонування у складi iнформацiйно-телекомунiкацiйних систем пiд час надання квалiфiкованих електронних довiрчих послуг.
74. Контроль за наданням квалiфiкованих електронних довiрчих послуг здiйснює Адмiнiстрацiя Держспецзв'язку.
75. Надавач зобов'язаний щороку до 15 сiчня подавати до Адмiнiстрацiї Держспецзв'язку звiт про дiяльнiсть за попереднiй рiк, що мiстить вiдомостi про:
1) кiлькiсть укладених договорiв про надання електронних довiрчих послуг (окремо з фiзичними та юридичними особами);
2) кiлькiсть сформованих та скасованих квалiфiкованих сертифiкатiв вiдкритих ключiв за звiтний перiод iз зазначенням причин скасування (у разi коли надавач забезпечує надання квалiфiкованих електронних довiрчих послуг, якi передбачають обслуговування квалiфiкованих сертифiкатiв вiдкритих ключiв);
3) факти вiдшкодування шкоди користувачам електронних довiрчих послуг та/або третiм особам внаслiдок неналежного виконання надавачем своїх зобов'язань (у разi наявностi);
4) факти участi надавача як позивача, вiдповiдача або третьої сторони у судових справах з питань надання електронних довiрчих послуг, предмет розгляду та прийняте рiшення (у разi наявностi);
5) факти порушення надавачем вимог законодавства у сферi захисту iнформацiї пiд час надання електронних довiрчих послуг, їх причини та заходи, вжитi для усунення таких порушень.
Вимоги до надання квалiфiкованої електронної довiрчої послуги iз створення, перевiрки та пiдтвердження квалiфiкованих електронних пiдписiв чи печаток
76. Квалiфiкована електронна довiрча послуга iз створення, перевiрки та пiдтвердження квалiфiкованих електронних пiдписiв чи печаток включає вчинення дiй, передбачених частиною першою статтi 18 Закону України "Про електроннi довiрчi послуги".
77. Пiд час надання квалiфiкованої електронної довiрчої послуги iз створення, перевiрки та пiдтвердження квалiфiкованих електронних пiдписiв чи печаток надавачем забезпечується:
1) використання пiдписувачем або створювачем електронної печатки виключно засобу квалiфiкованого електронного пiдпису чи печатки та квалiфiкованого сертифiката електронного пiдпису чи печатки;
2) захист обмiну iнформацiєю мiж пiдписувачем або створювачем електронної печатки та надавачем засобами телекомунiкацiйних мереж загального користування;
3) створення умов для генерацiї пари ключiв пiдписувача або створювача електронної печатки;
4) допомога пiд час генерацiї пари ключiв пiдписувача або створювача електронної печатки у спосiб, що не допускає порушення конфiденцiйностi та цiлiсностi особистого ключа, а також ознайомлення iз значенням параметрiв особистого ключа та їх копiювання;
5) унiкальнiсть пари ключiв пiдписувача або створювача електронної печатки;
6) зберiгання особистого ключа пiдписувача або створювача електронної печатки;
7) захист вiд доступу стороннiх осiб до параметрiв особистого ключа пiдписувача або створювача електронної печатки пiд час використання засобу квалiфiкованого електронного пiдпису чи печатки.
78. У разi коли пара ключiв була згенерована заявником поза примiщенням надавача та/або за вiдсутностi вiдповiдного персоналу, iдентифiкацiя такого заявника, перевiрка достатностi обсягу його цивiльної правоздатностi i дiєздатностi, формування та видача йому квалiфiкованого сертифiката вiдкритого ключа здiйснюється надавачем пiсля перевiрки факту володiння заявником особистим ключем, який вiдповiдає вiдкритому ключу, наданому для формування квалiфiкованого сертифiката вiдкритого ключа.
Перевiрка факту володiння заявником особистим ключем здiйснюється без розкриття його особистого ключа.
79. Генерацiю та/або управлiння парою ключiв вiд iменi пiдписувача або створювача електронної печатки може здiйснювати виключно надавач.
80. Надавач, який здiйснює управлiння парою ключiв пiдписувача або створювача електронної печатки, може здiйснювати резервне копiювання особистого ключа пiдписувача або створювача електронної печатки з метою його зберiгання за умови дотримання таких вимог:
1) рiвень безпеки резервної копiї особистого ключа повинен вiдповiдати рiвню безпеки оригiнального особистого ключа;
2) кiлькiсть резервних копiй не повинна перевищувати мiнiмального значення, необхiдного для забезпечення безперервностi послуги.
81. Квалiфiкований електронний пiдпис чи печатка повиннi вiдповiдати таким вимогам:
1) встановлювати однозначний зв'язок з пiдписувачем або створювачем електронної печатки;
2) надавати можливiсть здiйснити електронну iдентифiкацiю пiдписувача або створювача електронної печатки;
3) забезпечувати одноосiбний контроль пiдписувача або створювача електронної печатки за вiдповiдним особистим ключем;
4) виявляти будь-якi змiни пов'язаних електронних даних, на якi накладено квалiфiкований електронний пiдпис чи печатку.
82. Перевiрка квалiфiкованого електронного пiдпису чи печатки проводиться будь-якою особою з метою отримання iнформацiї про дiйснiсть чи недiйснiсть квалiфiкованого електронного пiдпису чи печатки.
83. У процесi перевiрки квалiфiкованого електронного пiдпису чи печатки пiдтвердження таких пiдпису чи печатки здiйснюється за умови:
1) дотримання вимог, визначених у частинi другiй статтi 18 Закону України "Про електроннi довiрчi послуги";
2) правильностi внесення iдентифiкацiйних даних особи до вiдповiдного квалiфiкованого сертифiката електронного пiдпису чи печатки пiдписувача або створювача електронної печатки;
3) встановлення факту, що такi пiдпис чи печатку створено за допомогою засобу квалiфiкованого електронного пiдпису чи печатки;
4) дотримання вимог, визначених у пунктi 79 цих вимог, на момент накладення пiдпису чи печатки на пов'язанi електроннi данi.
84. Надання квалiфiкованої електронної довiрчої послуги з перевiрки та пiдтвердження квалiфiкованих електронних пiдписiв чи печаток передбачає, що така послуга:
1) надається виключно надавачем;
2) вiдповiдає всiм вимогам до перевiрки квалiфiкованих електронних пiдписiв чи печаток, визначеним у пунктi 83 цих вимог;
3) дає змогу отримувати результати перевiрки iз застосуванням квалiфiкованого електронного пiдпису чи печатки надавача автоматизованим способом, який є надiйним, ефективним та захищеним.
Вимоги до надання квалiфiкованої електронної довiрчої послуги з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката електронного пiдпису чи печатки
85. Квалiфiкована електронна довiрча послуга з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката електронного пiдпису чи печатки включає вчинення дiй, передбачених частиною першою статтi 20 Закону України "Про електроннi довiрчi послуги".
86. Формування квалiфiкованого сертифiката електронного пiдпису чи печатки заявника здiйснюється надавачем на основi iдентифiкацiйних даних особи, одержаних вiд заявника пiд час його iдентифiкацiї та перевiрки достатностi обсягу його цивiльної правоздатностi i дiєздатностi.
87. Надавач зобов'язаний забезпечити унiкальнiсть серiйного номера квалiфiкованого сертифiката електронного пiдпису чи печатки заявника щодо iнших квалiфiкованих сертифiкатiв електронного пiдпису чи печатки, сформованих цим самим надавачем.
88. Надавач зобов'язаний зберiгати всi сформованi ним квалiфiкованi сертифiкати електронного пiдпису чи печатки, а також їх резервнi копiї.
89. Пiд час повторного формування квалiфiкованого сертифiката електронного пiдпису чи печатки користувача надавач повинен перевiрити актуальнiсть iнформацiї, що надавалася для попереднього формування квалiфiкованого сертифiката електронного пiдпису чи печатки заявника.
90. Квалiфiкований сертифiкат електронного пiдпису чи печатки користувача пiсля його формування надавачем повинен бути доступний користувачу, для якого такий сертифiкат був сформований.
91. Доступ iнших осiб до сформованого квалiфiкованого сертифiката електронного пiдпису чи печатки користувача надається у разi його згоди на публiкацiю такого сертифiката.
92. У разi змiни вiдомостей, що мiстяться у квалiфiкованому сертифiкатi електронного пiдпису чи печатки, користувач у триденний строк з дня настання таких змiн повiдомляє про це надавачевi та надає документи, що пiдтверджують вiдповiднi змiни.
На пiдставi наданих користувачем документiв, що пiдтверджують змiни вiдомостей, якi мiстяться у квалiфiкованому сертифiкатi електронного пiдпису чи печатки, надавач здiйснює повторне формування такого сертифiката та його публiкацiю у разi згоди користувача.
Повторне формування квалiфiкованого сертифiката електронного пiдпису чи печатки користувача не продовжує строку його дiї.
93. Сформований квалiфiкований сертифiкат електронного пiдпису чи печатки користувача скасовується або блокується надавачем у разi наявностi пiдстав, передбачених статтею 25 Закону України "Про електроннi довiрчi послуги".
94. Заява про скасування або блокування квалiфiкованого сертифiката електронного пiдпису чи печатки подається користувачем надавачевi в будь-який спосiб, що забезпечує пiдтвердження особи-користувача.
Пiд час опрацювання заяви про скасування або блокування квалiфiкованого сертифiката електронного пiдпису чи печатки надавачем здiйснюється iдентифiкацiя та перевiрка достатностi обсягу цивiльної правоздатностi i дiєздатностi користувача з дотриманням вимог щодо пiдтвердження особи, встановлених у регламентi роботи надавача.
95. Квалiфiкований сертифiкат електронного пiдпису чи печатки користувача вважається скасованим або блокованим з моменту змiни надавачем статусу квалiфiкованого сертифiката електронного пiдпису чи печатки користувача на скасований або блокований.
96. Користувач, статус квалiфiкованого сертифiката електронного пiдпису чи печатки якого було змiнено на скасований чи блокований, повинен невiдкладно бути поiнформований про вiдповiдну змiну статусу.
97. Скасований квалiфiкований сертифiкат електронного пiдпису чи печатки поновленню не пiдлягає.
98. Вiдомостi про квалiфiкованi сертифiкати електронного пiдпису чи печатки, сформованi надавачем, їх статус та списки вiдкликаних сертифiкатiв мiстяться у реєстрi чинних, блокованих та скасованих сертифiкатiв вiдкритих ключiв.
99. Розповсюдження iнформацiї про статус квалiфiкованих сертифiкатiв електронного пiдпису чи печатки користувачiв здiйснюється шляхом публiкацiї повного та часткового спискiв вiдкликаних сертифiкатiв на офiцiйному веб-сайтi надавача та забезпечення створення можливостi перевiрки статусу квалiфiкованого сертифiката електронного пiдпису чи печатки користувача в режимi реального часу через телекомунiкацiйнi мережi загального користування.
Список вiдкликаних сертифiкатiв надавача повинен вiдповiдати таким вимогам:
у кожному списку вiдкликаних сертифiкатiв зазначається граничний строк його дiї до видання нового списку, якщо iнше не передбачено регламентом роботи надавача;
новий список вiдкликаних сертифiкатiв може бути опублiковано до настання граничного строку його дiї до видання наступного списку;
на список вiдкликаних сертифiкатiв повинен бути накладений квалiфiкований електронний пiдпис чи печатка надавача.
100. Управлiння статусом квалiфiкованого сертифiката електронного пiдпису чи печатки та поширення вiдповiдної iнформацiї повиннi бути доступнi для користувача цiлодобово.
101. Заяви про скасування або блокування квалiфiкованого сертифiката електронного пiдпису чи печатки фiксуються та зберiгаються надавачем протягом строкiв, визначених законодавством у сферi архiвної справи.
102. Надавач повинен забезпечити цiлiснiсть та походження iнформацiї про статус квалiфiкованих сертифiкатiв електронного пiдпису чи печатки.
103. Час, що використовується надавачем в процесi обслуговування квалiфiкованих сертифiкатiв електронного пiдпису чи печатки користувачiв, повинен бути синхронiзований iз Всесвiтнiм координованим часом (UTC) з точнiстю до секунди.
Послуги з постачання передачi сигналiв точного часу, синхронiзованого з Державним еталоном одиниць часу i частоти, надаються центральним засвiдчувальним органом.
104. Формування квалiфiкованого сертифiката електронного пiдпису чи печатки здiйснюється надавачем за запитом користувача.
105. Надавачi отримують квалiфiковану електронну довiрчу послугу з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката електронного пiдпису чи печатки вiд центрального засвiдчувального органу.
Вимоги до надання квалiфiкованої електронної довiрчої послуги з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката автентифiкацiї веб-сайту
106. Квалiфiкована електронна довiрча послуга з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката автентифiкацiї веб-сайту включає вчинення дiй, передбачених частиною першою статтi 21 Закону України "Про електроннi довiрчi послуги".
107. Формування квалiфiкованого сертифiката автентифiкацiї веб-сайту здiйснюється надавачем за запитом користувача.
108. Квалiфiкований сертифiкат автентифiкацiї веб-сайту забезпечує:
1) автентифiкацiю власника веб-сайту;
2) гарантування:
шифрування iнформацiї, обмiн якою здiйснюється через Iнтернет учасником онлайн-операцiї та веб-сайтом;
належного рiвня довiри до власника веб-сайту щодо захисту вiд шахрайства в Iнтернетi;
захисту особистої iнформацiї та персональних даних учасника онлайн-операцiї пiд час проведення такої операцiї.
109. Перевiрка квалiфiкованого сертифiката автентифiкацiї веб-сайту може проводитися будь-якою особою з метою отримання iнформацiї про власника веб-сайту та чиннiсть квалiфiкованого сертифiката автентифiкацiї веб-сайту.
110. Пiд час перевiрки квалiфiкованого сертифiката автентифiкацiї веб-сайту особа, що проводить перевiрку, вчиняє такi дiї:
1) отримує з квалiфiкованого сертифiката автентифiкацiї веб-сайту iнформацiю, що мiстить iдентифiкацiйнi данi особи, якi дають змогу однозначно встановити власника веб-сайту та надавача;
2) перевiряє квалiфiкований електронний пiдпис чи печатку, накладений на квалiфiкований сертифiкат автентифiкацiї веб-сайту за допомогою чинного (на момент формування квалiфiкованого сертифiката автентифiкацiї веб-сайту) квалiфiкованого сертифiката вiдкритого ключа надавача.
111. Квалiфiкований сертифiкат автентифiкацiї веб-сайту вважається чинним у разi вiдповiдностi вимогам, установленим частиною першою статтi 24 Закону України "Про електроннi довiрчi послуги".
112. Надавачi отримують квалiфiковану електронну довiрчу послугу з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката автентифiкацiї веб-сайту вiд центрального засвiдчувального органу.
Вимога до надання квалiфiкованої електронної довiрчої послуги з формування, перевiрки та пiдтвердження чинностi квалiфiкованого сертифiката автентифiкацiї веб-сайту
113. Квалiфiкована електронна довiрча послуга з формування, перевiрки та пiдтвердження квалiфiкованої електронної позначки часу включає вчинення дiй, передбачених частиною першою статтi 26 Закону України "Про електроннi довiрчi послуги".
114. Формування квалiфiкованої електронної позначки часу здiйснюється надавачем за запитом користувача.
115. Пiд час формування квалiфiкованої електронної позначки часу користувач та надавач за допомогою засобiв квалiфiкованого електронного пiдпису чи печатки вчиняють такi дiї:
1) користувач обчислює геш-значення електронних даних, на якi необхiдно сформувати квалiфiковану електронну позначку часу;
2) користувач формує запит на формування квалiфiкованої електронної позначки часу, який мiстить:
обчислене геш-значення;
об'єктний iдентифiкатор полiтики формування позначки часу (необов'язково);
iдентифiкатор алгоритму гешування, що використовувався;
унiкальний iдентифiкатор запиту (необов'язково);
необов'язковi розширення;
3) користувач передає сформований запит до надавача;
4) надавач перевiряє правильнiсть формату запиту та здiйснює його обробку, формує квалiфiковану електронну позначку часу та вiдповiдь, що мiстить квалiфiковану електронну позначку часу, чи вiдповiдь з iнформацiєю про вiдмову у формуваннi квалiфiкованої електронної позначки часу;
5) надавач надсилає користувачевi вiдповiдь, що мiстить квалiфiковану електронну позначку часу, в якiй зазначенi такi данi:
об'єктний iдентифiкатор полiтики формування квалiфiкованої електронної позначки часу, що була використана;
геш-значення електронних даних, для яких було сформовано квалiфiковану електронну позначку часу;
серiйний номер квалiфiкованої електронної позначки часу;
час формування квалiфiкованої електронної позначки часу;
додаткову iнформацiю про квалiфiковану електронну позначку часу;
квалiфiкований електронний пiдпис чи печатку надавача, накладенi на квалiфiковану електронну позначку часу;
6) користувач пiсля отримання вiдповiдi вiд надавача вчиняє такi дiї:
перевiряє результат обробки вiдповiдi;
перевiряє вiдповiднiсть iменi чи найменування суб'єкта, що наклав квалiфiкований електронний пiдпис чи печатку на квалiфiковану електронну позначку часу, iменi чи найменуванню надавача;
перевiряє вiдповiднiсть призначення квалiфiкованого сертифiката вiдкритого ключа надавача (для формування позначки часу);
перевiряє чиннiсть квалiфiкованого сертифiката вiдкритого ключа надавача;
перевiряє квалiфiкований електронний пiдпис чи печатку, що був накладений на квалiфiковану електронну позначку часу;
перевiряє вiдповiднiсть електронних даних та даних, для яких була сформована квалiфiкована електронна позначка часу (шляхом порiвняння обчисленого геш-значення електронних даних та геш-значення, що записане у квалiфiкованiй електроннiй позначцi часу);
додає квалiфiковану електронну позначку часу до електронних даних.
116. Квалiфiкована електронна позначка часу повинна забезпечувати:
1) зв'язок дати i часу з електронними даними в такий спосiб, що цiлком виключає можливiсть непомiтної змiни електронних даних;
2) точнiсть часу в програмно-технiчному комплексi надавача, що синхронiзується iз Всесвiтнiм координованим часом (UTC) з точнiстю до секунди.
117. Перевiрка квалiфiкованої електронної позначки часу може проводитися будь-якою особою з метою отримання iнформацiї про чиннiсть квалiфiкованої електронної позначки часу.
118. Пiд час перевiрки та пiдтвердження квалiфiкованої електронної позначки часу особа, що проводить перевiрку, вчиняє такi дiї:
1) отримує з квалiфiкованої електронної позначки часу iнформацiю, що мiстить iдентифiкацiйнi данi особи, якi дають змогу однозначно встановити надавача;
2) перевiряє квалiфiкований електронний пiдпис чи печатку, накладений на квалiфiковану електронну позначку часу за допомогою чинного (на момент формування квалiфiкованої електронної позначки часу) квалiфiкованого сертифiката вiдкритого ключа надавача;
3) перевiряє вiдповiднiсть квалiфiкованої електронної позначки часу та електронних даних, до яких вона додана (шляхом порiвняння обчисленого геш-значення електронних даних та геш-значення, що записане у квалiфiкованiй електроннiй позначцi часу).
119. Квалiфiкована електронна позначка часу вважається недiйсною у разi:
1) недотримання вимоги щодо точностi часу в програмно-технiчному комплексi надавача;
2) використання скасованого або блокованого квалiфiкованого сертифiката вiдкритого ключа надавача на момент формування квалiфiкованої електронної позначки часу.
120. Правильнiсть реалiзацiї криптографiчних алгоритмiв для створення квалiфiкованої електронної позначки часу та точнiсть часу в засобi квалiфiкованого електронного пiдпису чи печатки забезпечує протокол фiксування часу.
121. Надавачi отримують квалiфiковану електронну довiрчу послугу з формування, перевiрки та пiдтвердження квалiфiкованої електронної позначки часу вiд центрального засвiдчувального органу.
122. Механiзм синхронiзацiї часу iз Всесвiтнiм координованим часом (UTC) в програмно-технiчному комплексi надавача та склад технiчного обладнання, що застосовується у процесi синхронiзацiї часу (його загальний опис) встановлюється Порядком синхронiзацiї часу iз Всесвiтнiм координованим часом (UTC).
Порядок синхронiзацiї часу iз Всесвiтнiм координованим часом (UTC) розробляється надавачем та погоджується iз центральним засвiдчувальним органом.
Вимоги до надання квалiфiкованої електронної довiрчої послуга з реєстрованої електронної доставки
123. Квалiфiкована електронна довiрча послуга з реєстрованої електронної доставки повинна вiдповiдати вимогам, передбаченим частиною першою статтi 27 Закону України "Про електроннi довiрчi послуги", та включати такi дiї:
1) вiдправку електронних даних iз забезпеченням доказiв вiдправки;
2) отримання електронних даних iз забезпеченням доказiв отримання.
124. Реєстрована електронна доставка здiйснюється надавачем за запитом користувача (вiдправника та/або отримувача електронних даних).
125. Реєстрована електронна доставка повинна забезпечувати:
1) передачу електронних даних мiж користувачами (вiдправником та отримувачем електронних даних);
2) автентифiкацiю вiдправника та отримувача електронних даних;
3) конфiденцiйнiсть електронних даних, що доставляються, i персональних даних вiдправника та отримувача електронних даних;
4) захист цiлiсностi електронних даних, що доставляються;
5) забезпечення точностi дати i часу вiдправки та отримання електронних даних;
6) можливiсть пiдтвердження факту доказування вiдправки та отримання електронних даних.
126. Перевiрка електронних даних, що передаються в процесi реєстрованої електронної доставки, проводиться отримувачем електронних даних.
Вимоги до надання квалiфiкованої електронної довiрчої послуги iз зберiгання квалiфiкованих електронних пiдписiв, печаток, електронних позначок часу та вiдповiдних сертифiкатiв
127. Квалiфiкована електронна довiрча послуга iз зберiгання квалiфiкованих електронних пiдписiв, печаток, електронних позначок часу та вiдповiдних сертифiкатiв включає вчинення таких дiй:
1) передачу квалiфiкованих електронних пiдписiв чи печаток, позначок часу та сформованих вiдповiдних сертифiкатiв;
2) зберiгання квалiфiкованих електронних пiдписiв чи печаток, позначок часу та сформованих вiдповiдних сертифiкатiв.
128. Зберiгання квалiфiкованих електронних пiдписiв, печаток, електронних позначок часу та вiдповiдних сертифiкатiв здiйснюється надавачем за запитом користувача.
129. Пiд час надання квалiфiкованої електронної довiрчої послуги iз зберiгання квалiфiкованих електронних пiдписiв, печаток, електронних позначок часу та вiдповiдних сертифiкатiв забезпечується:
1) цiлiснiсть всiх збережених об'єктiв даних;
2) протоколювання подiй на предмет змiни, видалення або додавання об'єктiв даних;
3) покладення вiдповiдальностi за збереження на одну чи кiлька конкретних посадових осiб;
4) проведення перевiрок дотримання цих вимог.
Вимоги до засобiв квалiфiкованого електронного пiдпису чи печатки
130. Засоби квалiфiкованого електронного пiдпису чи печатки, що використовуються пiд час надання квалiфiкованих електронних довiрчих послуг, повиннi вiдповiдати вимогам, установленим частинами першою та другою статтi 19 Закону України "Про електроннi довiрчi послуги".
131. Для надання квалiфiкованих електронних довiрчих послуг використовуються засоби квалiфiкованого електронного пiдпису чи печатки, якi повиннi мати документи про вiдповiднiсть або позитивний експертний висновок за результатами їх державної експертизи у сферi криптографiчного захисту iнформацiї.
132. Надання квалiфiкованих електронних довiрчих послуг надавачем без чинних документiв, що пiдтверджують його право власностi та/або право користування засобами квалiфiкованого електронного пiдпису чи печатки, якi використовуються для надання квалiфiкованих електронних довiрчих послуг, забороняється.
133. Контроль за дотриманням вимог до засобiв квалiфiкованого електронного пiдпису чи печатки здiйснюється Адмiнiстрацiєю Держспецзв'язку.
Вимоги до квалiфiкованих сертифiкатiв вiдкритих ключiв
134. Квалiфiкованi сертифiкати вiдкритих ключiв, що формуються надавачами або центральним засвiдчувальним органом пiд час надання квалiфiкованих електронних довiрчих послуг, повиннi вiдповiдати вимогам, установленим частинами першою, другою та третьою статтi 23 Закону України "Про електроннi довiрчi послуги".
135. Надавач або центральний засвiдчувальний орган, який видав квалiфiкований сертифiкат вiдкритого ключа, забезпечує доступ до iнформацiї про дату та час змiни статусу квалiфiкованого сертифiката вiдкритого ключа.
136. Контроль за дотриманням вимог до квалiфiкованих сертифiкатiв вiдкритих ключiв здiйснюється Адмiнiстрацiєю Держспецзв'язку.
| Додаток до вимог у сферi електронних довiрчих послуг |
ПЕРЕЛIК СТАНДАРТIВ,
що застосовуються квалiфiкованими надавачами
електронних довiрчих послуг пiд час надання
квалiфiкованих електронних довiрчих послуг
Стандарти, що визначають загальнi вимоги до квалiфiкованого надавача електронних довiрчих послуг пiд час надання квалiфiкованих електронних довiрчих послуг
1. ДСТУ ETSI TR 119 400:2017 (ETSI TR 119 400:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Настанова з використання стандартiв провайдерами довiрчих послуг, якi пiдтримують цифровi пiдписи та пов'язанi з ними послуги", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
2. ДСТУ ETSI EN 319 401:2016 (ETSI EN 319 401:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Загальнi вимоги полiтики для провайдерiв довiрчих послуг", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
3. ДСТУ ETSI EN 319 403:2016 (ETSI EN 319 403:2015, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Оцiнювання вiдповiдностi провайдерiв довiрчих послуг. Вимоги до органiв з оцiнювання вiдповiдностi, що оцiнюють провайдерiв довiрчих послуг", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 27 грудня 2016 р. N 451.
Стандарти, що визначають вимоги до Довiрчого списку
4. ДСТУ ETSI TR 119 600:2016 (ETSI TR 119 600:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Настанова щодо застосування стандартiв для провайдерiв перелiкiв стану довiрчих послуг", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 27 грудня 2016 р. N 451.
5. ДСТУ ETSI TS 119 612:2016 (ETSI TS 119 612:2016, IDT) "Електроннi пiдписи та iнфраструктури. Довiрчi списки", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
Стандарти, що визначають вимоги до надання квалiфiкованих електронних довiрчих послуг, пов'язаних iз створенням, перевiркою та пiдтвердженням електронних пiдписiв, печаток, а також зберiганням квалiфiкованих електронних пiдписiв, печаток, електронних позначок часу та вiдповiдних сертифiкатiв вiдкритих ключiв
6. ДСТУ ETSI TR 119 000:2017 (ETSI TR 119 000:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Модель стандартизацiї пiдписiв. Огляд", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
7. ДСТУ ETSI TR 119 001:2017 (ETSI TR 119 001:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Модель стандартизацiї пiдписiв. Визначення понять та скорочення", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 206.
8. ДСТУ ETSI TR 119 100:2017 (ETSI TR 119 100:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Настанова з використання стандартiв для створення та валiдацiї пiдпису", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 206.
9. ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) "Електроннi пiдписи та iнфраструктури. Вимоги та полiтики безпеки для додаткiв формування та перевiрки пiдписiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
10. ДСТУ ETSI EN 319 102-1:2016 (ETSI EN 319 102-1:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Процедури створення та перевiрення цифрового пiдпису ADES. Частина 1. Створення та перевiрення", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
11. ДСТУ ETSI EN 319 122-1:2016 (ETSI EN 319 122-1:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Цифровi пiдписи CAdES. Частина 1. Структурнi блоки та базовi пiдписи CAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
12. ДСТУ ETSI EN 319 122-2:2016 (ETSI EN 319 122-2:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Цифровi пiдписи CAdES. Частина 2. Розширенi пiдписи CAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
13. ДСТУ ETSI EN 319 132-1:2016 (ETSI EN 319 132-1:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Цифровi пiдписи XAdES. Частина 1. Структурнi блоки та базовi пiдписи XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
14. ДСТУ ETSI EN 319 132-2:2016 (ETSI EN 319 132-2:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Цифровi пiдписи XAdES. Частина 2. Розширенi пiдписи XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
15. ДСТУ ETSI EN 319 142-1:2016 (ETSI EN 319 142-1:2016, IDT) "Електроннi пiдписи та iнфраструктури. Цифровi пiдписи PAdES. Частина 1. Структурнi елементи та базовi PAdES пiдписи", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
16. ДСТУ ETSI EN 319 142-2:2016 (ETSI EN 319 142-2:2016, IDT) "Електроннi пiдписи та iнфраструктури. Цифровi пiдписи PAdES. Частина 2. Додатковi профiлi пiдписiв PAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
17. ДСТУ ETSI EN 319 162-1:2016 (ETSI EN 319 162-1:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Контейнери, пов'язанi з пiдписом (ASiC). Частина 1. Структурнi блоки та базовi контейнери ASiC", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
18. ДСТУ ETSI EN 319 162-2:2016 (ETSI EN 319 162-2:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Контейнери, пов'язанi з пiдписом (ASiC). Частина 2. Додатковi контейнери ASiC", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
19. ДСТУ ETSI TS 102 778-1:2015 (ETSI TS 102 778-1:2009, IDT) "Електроннi пiдписи та iнфраструктура (ESI). Профiлi розширених електронних пiдписiв PDF. Частина 1. Огляд серiї PAdES - базовi принципи PAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
20. ДСТУ ETSI TS 102 778-2:2015 (ETSI TS 102 778-2:2009, IDT) "Електроннi пiдписи та iнфраструктура (ESI). Профiлi розширених електронних пiдписiв PDF. Частина 2. Базовий PAdES - профiлi, що базуються на ISO 32000-1", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
21. ДСТУ ETSI TS 102 778-3:2015 (ETSI TS 102 778-3:2010, IDT) "Електроннi пiдписи та iнфраструктура (ESI). Профiлi розширених електронних пiдписiв PDF. Частина 3. Посилений PAdES - профiлi PAdES-BES i PadES-EPES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
22. ДСТУ ETSI TS 102 778-4:2015 (ETSI TS 102 778-4:2009, IDT) "Електроннi пiдписи та iнфраструктура (ESI). Профiлi розширених електронних пiдписiв PDF. Частина 4. Довгостроковий PAdES - профiль PAdES LTV", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
23. ДСТУ ETSI TS 102 778-5:2015 (ETSI TS 102 778-5:2009, IDT) "Електроннi пiдписи та iнфраструктура (ESI). Профiлi розширених електронних пiдписiв PDF. Частина 5. PAdES для XML контенту - профiлi для пiдписiв XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
Стандарти, що визначають вимоги до надання квалiфiкованих електронних довiрчих послуг, пов'язаних з формуванням, перевiркою та пiдтвердженням чинностi квалiфiкованих сертифiкатiв електронного пiдпису, печатки, автентифiкацiї веб-сайту
24. ДСТУ ETSI EN 319 411-1:2016 (ETSI EN 319 411-1:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Вимоги полiтики та безпеки для провайдерiв трастових послуг, якi видають сертифiкати. Частина 1. Загальнi вимоги", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
25. ДСТУ ETSI EN 319 411-2:2016 (ETSI EN 319 411-2:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Вимоги полiтики та безпеки для провайдерiв трастових послуг, якi видають сертифiкати. Частина 2. Вимоги до провайдерiв трастових послуг, якi видають квалiфiкованi сертифiкати ЄС", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
Стандарти, що визначають вимоги до надання квалiфiкованої електронної довiрчої послуги з формування, перевiрки та пiдтвердження квалiфiкованої електронної позначки часу
26. ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Полiтика та вимоги безпеки щодо провайдерiв трастових послуг, якi видають часовi штемпелi", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
27. ДСТУ ETSI EN 319 422:2016 (ETSI EN 319 422:2016, IDT) "Електроннi пiдписи та iнфраструктури. Протокол мiтки часу та профiлi токенiв мiтки часу", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
Стандарти, що визначають вимоги до засобiв квалiфiкованого електронного пiдпису чи печатки
28. ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) "Профiлi захисту для пристроїв створення безпечного пiдпису. Частина 1. Огляд", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
29. ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) "Профiлi захисту для пристроїв створення безпечного пiдпису. Частина 2. Пристрiй з генерацiєю ключiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
30. ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) "Профiлi захисту для пристроїв створення безпечного пiдпису. Частина 3. Пристрiй з iмпортом ключiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
31. ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) "Профiлi захисту для пристроїв створення безпечного пiдпису. Частина 4. Розширення для пристроїв з генерацiєю ключiв та довiреним каналом для застосування генерацiї сертифiкатiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
32. ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) "Профiлi захисту для пристроїв створення безпечного пiдпису. Частина 5. Розширення для пристроїв з генерацiєю ключiв та довiреним каналом для застосування створення пiдпису", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
33. ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) "Профiлi захисту для пристроїв створення безпечного пiдпису. Частина 6. Розширення для пристроїв з iмпортом ключiв та довiреним каналом для застосування створення пiдпису", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
34. ДСТУ ISO/IEC 19790:2015 (ISO/IEC 19790:2012, IDT) "Iнформацiйнi технологiї. Методи захисту. Вимоги безпеки до криптографiчних модулiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
Стандарти, що визначають вимоги до квалiфiкованих сертифiкатiв вiдкритих ключiв
35. ДСТУ ISO/IEC 9594-8:2014 (ISO/IEC 9594-8:2014, IDT) "Iнформацiйнi технологiї. Взаємозв'язок вiдкритих систем. Каталог. Частина 8. Основнi положення щодо сертифiкацiї вiдкритих ключiв та атрибутiв", затверджений наказом Мiнекономрозвитку вiд 30 грудня 2014 р. N 1493.
36. ДСТУ ETSI EN 319 412-1:2016 (ETSI EN 319 412-1:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Профiлi сертифiкатiв. Частина 1. Огляд та типовi структури даних", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
37. ДСТУ ETSI EN 319 412-2:2016 (ETSI EN 319 412-2:2016, IDT) "Електроннi пiдписи та iнфраструктури. Профiлi сертифiкатiв. Частина 2. Профiлi сертифiкатiв, випущених для фiзичних осiб", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
38. ДСТУ ETSI EN 319 412-3:2016 (ETSI EN 319 412-3:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Профiлi сертифiкатiв. Частина 3. Профiль сертифiката юридичної особи", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 27 грудня 2016 р. N 451.
39. ДСТУ ETSI EN 319 412-4:2016 (ETSI EN 319 412-4:2016, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Профiлi сертифiкатiв. Частина 4. Профiль сертифiката для сертифiкатiв веб-сайтiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 21 червня 2016 р. N 183.
40. ДСТУ ETSI EN 319 412-5:2016 (ETSI EN 319 412-5:2016, IDT) "Електроннi пiдписи та iнфраструктури. Профiлi сертифiкатiв. Частина 5. Системи контролю якостi", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 23 вересня 2016 р. N 279.
Стандарти, що визначають вимоги до надання квалiфiкованої електронної довiрчої послуги з реєстрованої електронної доставки
41. ДСТУ ETSI EN 319 522-1:2018 (ETSI EN 319 522-1:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 1. Модель та архiтектура", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
42. ДСТУ ETSI EN 319 522-2:2018 (ETSI EN 319 522-2:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 2. Семантика вмiсту", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
43. ДСТУ ETSI EN 319 522-3:2018 (ETSI EN 319 522-3:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 3. Формати", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
44. ДСТУ ETSI EN 319 522-4-1:2018 (ETSI EN 319 522-4-1:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив'язки. Секцiя 1. Прив'язки доставляння повiдомлень", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
45. ДСТУ ETSI EN 319 522-4-2:2018 (ETSI EN 319 522-4-2:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив'язки. Секцiя 2. Прив'язки доказiв та iдентифiкацiї", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
46. ДСТУ ETSI EN 319 522-4-3:2018 (ETSI EN 319 522-4-3:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив'язки. Секцiя 3. Прив'язка можливостей/вимог", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
47. ДСТУ ETSI EN 319 532-1:2018 (ETSI EN 319 532-1:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 1. Модель та архiтектура", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
48. ДСТУ ETSI EN 319 532-2:2018 (ETSI EN 319 532-2:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 2. Семантика вмiсту", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
49. ДСТУ ETSI EN 319 532-3:2018 (ETSI EN 319 532-3:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 3. Формати", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 24 вересня 2018 р. N 337.
50. ДСТУ ETSI EN 319 532-4:2018 (ETSI EN 319 532-4:2018, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 4. Профiлi iнтероперабельностi" вiд 24 вересня 2018 р. N 337.
Стандарти, що визначають вимоги до криптографiчного захисту iнформацiї
51. ДСТУ 4145-2002 "Iнформацiйнi технологiї. Криптографiчний захист iнформацiї. Цифровий пiдпис, що ґрунтується на елiптичних кривих. Формування та перевiряння", затверджений наказом Державного комiтету з питань технiчного регулювання та споживчої полiтики вiд 28 грудня 2002 р. N 31.
52. ДСТУ 7564:2014 "Iнформацiйнi технологiї. Криптографiчний захист iнформацiї. Функцiя ґешування", затверджений наказом Мiнекономрозвитку вiд 2 грудня 2014 р. N 1431.
53. ДСТУ 7624:2014 "Iнформацiйнi технологiї. Криптографiчний захист iнформацiї. Алгоритм симетричного блокового перетворення", затверджений наказом Мiнекономрозвитку вiд 29 грудня 2014 р. N 1484.
54. ДСТУ ETSI TR 119 300:2016 (ETSI TR 119 300:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Настанова щодо застосування стандартiв для криптографiчних комплектiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 27 грудня 2016 р. N 451.
55. ДСТУ ETSI TS 119 312:2015 (ETSI TS 119 312:2014, IDT) "Електроннi пiдписи й iнфраструктури (ESI). Криптографiчнi комплекти", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 05 листопада 2015 р. N 145.
56. ДСТУ ISO/IEC 14888-1:2015 (ISO/IEC 14888-1:2008, IDT) "Iнформацiйнi технологiї. Методи захисту. Цифровi пiдписи з доповненням. Частина 1. Загальнi положення", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
57. ДСТУ ISO/IEC 14888-2:2015 (ISO/IEC 14888-2:2008, IDT) "Iнформацiйнi технологiї. Методи захисту. Цифровi пiдписи з доповненням. Частина 2. Механiзми, що ґрунтуються на факторизацiї цiлих чисел", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
58. ДСТУ ISO/IEC 14888-3:2015 (ISO/IEC 4888-3:2006; Cor 1:2007; Cor 2:2009; Amd 1:2010; Amd 2:2012, IDT) "Iнформацiйнi технологiї. Методи захисту. Цифровi пiдписи з доповненням. Частина 3. Механiзми, що ґрунтуються на дискретному логарифмуваннi", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
Стандарти, що визначають вимоги до iнформацiйної безпеки
59. ДСТУ ISO/IEC 18045:2015 (ISO/IEC 18045:2008, IDT) "Iнформацiйнi технологiї. Методи захисту. Методологiя оцiнювання безпеки IТ", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
60. ДСТУ ISO/IEC 15408-1:2017 (ISO/IEC 15408-1:2009, IDT) "Iнформацiйнi технологiї. Методи захисту. Критерiї оцiнки. Частина 1. Вступ та загальна модель", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
61. ДСТУ ISO/IEC 15408-2:2017 (ISO/IEC 15408-2:2008, IDT) "Iнформацiйнi технологiї. Методи захисту. Критерiї оцiнки. Частина 2. Функцiональнi вимоги", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
62. ДСТУ ISO/IEC 15408-3:2017 (ISO/IEC 15408-3:2008, IDT) "Iнформацiйнi технологiї. Методи захисту. Критерiї оцiнки. Частина 3. Вимоги до гарантiї безпеки", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
63. ДСТУ ISO/IEC 27001:2015 (ISO/IEC 27001:2013; Cor 1:2014, IDT) "Iнформацiйнi технологiї. Методи захисту. Системи управлiння iнформацiйною безпекою. Вимоги", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
64. ДСТУ ISO/IEC 27002:2015 (ISO/IEC 27002:2013; Cor 1:2014, IDT) "Iнформацiйнi технологiї. Методи захисту. Звiд практик щодо заходiв iнформацiйної безпеки", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
65. ДСТУ ISO/IEC 27005:2015 (ISO/IEC 27005:2011, IDT) "Iнформацiйнi технологiї. Методи захисту. Управлiння ризиками iнформацiйної безпеки", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 18 грудня 2015 р. N 193.
Стандарти щодо тестування iнтероперабельностi
66. ДСТУ ETSI SR 003 186:2017 (ETSI SR 003 186:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Тестування iнтероперабельностi та заходи, необхiднi для iмплементацiї та популяризацiї моделi цифрових пiдписiв", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 206.
67. ДСТУ ETSI TS 119 124-4:2017 (ETSI TS 119 124-4:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи CAdES. Перевiрка на вiдповiднiсть i iнтероперабельнiсть. Частина 4. Тестування на вiдповiднiсть базових пiдписiв CAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
68. ДСТУ ETSI TR 119 134-1:2017 (ETSI TR 119 134-1:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи XAdES. Тестування на вiдповiднiсть та iнтероперабельнiсть. Частина 1. Огляд", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 30 листопада 2017 р. N 392.
69. ДСТУ ETSI TR 119 134-2:2017 (ETSI TR 119 134-2:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи XAdES. Тестування на вiдповiднiсть та iнтероперабельнiсть. Частина 2. Набори тестiв для тестування iнтероперабельностi базових пiдписiв XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 30 листопада 2017 р. N 392.
70. ДСТУ ETSI TR 119 134-3:2017 (ETSI TR 119 134-3:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи XAdES. Тестування на вiдповiднiсть та iнтероперабельнiсть. Частина 3. Набори тестiв для тестування iнтероперабельностi посилених пiдписiв XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 30 листопада 2017 р. N 392.
71. ДСТУ ETSI TR 119 134-4:2017 (ETSI TR 119 134-4:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи XAdES. Тестування на вiдповiднiсть та iнтероперабельнiсть. Частина 4. Тестування на вiдповiднiсть базовим пiдписам XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 30 листопада 2017 р. N 392.
72. ДСТУ ETSI TR 119 134-5:2017 (ETSI TR 119 134-5:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи XAdES. Тестування на вiдповiднiсть та iнтероперабельнiсть. Частина 5. Тестування на вiдповiднiсть посилених пiдписiв XAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 30 листопада 2017 р. N 392.
73. ДСТУ ETSI TR 119 144-1:2017 (ETSI TR 119 144-1:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи PAdES. Тестування вiдповiдностi та iнтероперабельностi. Частина 1. Огляд", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
74. ДСТУ ETSI TS 119 144-2:2017 (ETSI TS 119 144-2:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи PAdES. Тестування вiдповiдностi та iнтероперабельностi. Частина 2. Набори тестiв для тестування iнтероперабельностi базових пiдписiв PAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
75. ДСТУ ETSI TS 119 144-3:2017 (ETSI TS 119 144-3:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи PAdES. Тестування вiдповiдностi та iнтероперабельностi. Частина 3. Набори тестiв для тестування iнтероперабельностi додаткових пiдписiв PAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
76. ДСТУ ETSI TS 119 144-4:2017 (ETSI TS 119 144-4:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи PAdES. Тестування вiдповiдностi та iнтероперабельностi. Частина 4. Тестування вiдповiдностi базових пiдписiв PAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
77. ДСТУ ETSI TS 119 144-5:2017 (ETSI TS 119 144-5:2016, IDT) "Електроннi пiдписи та iнфраструктури (ESI). Цифровi пiдписи PAdES. Тестування вiдповiдностi та iнтероперабельностi. Частина 5. Тестування вiдповiдностi додаткових пiдписiв PAdES", затверджений наказом державного пiдприємства "Український науково-дослiдний i навчальний центр проблем стандартизацiї, сертифiкацiї та якостi" вiд 4 серпня 2017 р. N 207.
| ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 7 листопада 2018 р. N 992 |
ПОРЯДОК
перевiрки дотримання вимог законодавства у сферi
електронних довiрчих послуг
1. Цей Порядок визначає механiзм проведення Адмiнiстрацiєю Держспецзв'язку заходiв державного нагляду (контролю) за дотриманням вимог законодавства у сферi електронних довiрчих послуг, у тому числi обов'язкових умов, яких повиннi дотримуватися квалiфiкованi надавачi електронних довiрчих послуг та їх вiдокремленi пункти реєстрацiї (далi - надавачi), центральний засвiдчувальний орган, засвiдчувальний центр пiд час надання квалiфiкованих електронних довiрчих послуг.
Дiя цього Порядку не поширюється на вiдносини, пов'язанi iз здiйсненням державного нагляду (контролю) за дотриманням вимог законодавства у сферi електронних довiрчих послуг надавачами, якi є суб'єктами господарювання, крiм положень, передбачених пунктами 4 - 10 та 45 - 56 цього Порядку.
2. У цьому Порядку термiни вживаються в такому значеннi:
iнформацiйно-телекомунiкацiйна система - сукупнiсть iнформацiйних та телекомунiкацiйних систем надавача, центрального засвiдчувального органу або засвiдчувального центру, якi у процесi обробки iнформацiї дiють як єдине цiле та об'єднують програмно-технiчний комплекс, що використовується пiд час надання квалiфiкованих електронних довiрчих послуг (далi - програмно-технiчний комплекс), фiзичне середовище, iнформацiю, що обробляється в зазначених системах, а також найманих працiвникiв надавача, центрального засвiдчувального органу або засвiдчувального центру, обов'язки яких безпосередньо пов'язанi з наданням квалiфiкованих електронних довiрчих послуг або обслуговуванням програмно-технiчного комплексу (далi - найманi працiвники);
квалiфiкована електронна довiрча послуга - електронна довiрча послуга, надання якої забезпечує надавач, засвiдчувальний центр або центральний засвiдчувальний орган, зокрема за допомогою засобу квалiфiкованого електронного пiдпису чи печатки, та яка базується на квалiфiкованому сертифiкатi вiдкритого ключа;
перевiрка - виїзний плановий або позаплановий захiд державного нагляду (контролю) за дотриманням вимог законодавства у сферi електронних довiрчих послуг, що здiйснюється посадовими особами Адмiнiстрацiї Держспецзв'язку вiдповiдно до їх функцiональних обов'язкiв за мiсцезнаходженням надавача, центрального засвiдчувального органу або засвiдчувального центру;
регламент роботи - документ надавача, центрального засвiдчувального органу або засвiдчувального центру, що визначає органiзацiйно-методологiчнi, технiчнi та технологiчнi умови дiяльностi надавача, центрального засвiдчувального органу або засвiдчувального центру пiд час надання квалiфiкованих електронних довiрчих послуг, включаючи полiтику сертифiката та положення сертифiкацiйних практик;
спецiальнi примiщення - нежилi примiщення, якi використовуються надавачем, центральним засвiдчувальним органом або засвiдчувальним центром для розмiщення всiх складових програмно-технiчного комплексу.
3. Iншi термiни вживаються у значеннi, наведеному в Законах України "Про електроннi довiрчi послуги", "Про електроннi документи та електронний документообiг", "Про основнi засади державного нагляду (контролю) у сферi господарської дiяльностi", "Про телекомунiкацiї", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах".
4. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферi електронних довiрчих послуг здiйснюються Адмiнiстрацiєю Держспецзв'язку шляхом проведення планових та позапланових перевiрок надавачiв, центрального засвiдчувального органу, засвiдчувального центру або подання до органу з оцiнки вiдповiдностi запиту щодо проведення процедури оцiнки вiдповiдностi надавача та послуг, що ним надаються, вiдповiдно до вимог статтi 32 Закону України "Про електроннi довiрчi послуги".
5. Аналiз стану дотримання порядку використання електронних довiрчих послуг в органах державної влади, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях державної форми власностi проводиться Адмiнiстрацiєю Держспецзв'язку в рамках заходiв державного нагляду (контролю) за дотриманням вимог законодавства у сферi криптографiчного та технiчного захисту iнформацiї.
6. Адмiнiстрацiя Держспецзв'язку здiйснює невиїзнi заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферi електронних довiрчих послуг шляхом аналiзу:
1) стану роботи офiцiйного веб-сайту надавача, центрального засвiдчувального органу або засвiдчувального центру;
2) наповненостi офiцiйного веб-сайту надавача, центрального засвiдчувального органу або засвiдчувального центру чи факту належного iнформування користувачiв електронних довiрчих послуг про надання електронних довiрчих послуг;
3) перелiку, порядку надання та змiсту електронних довiрчих послуг через офiцiйний веб-сайт надавача, центрального засвiдчувального органу або засвiдчувального центру;
4) звiту про дiяльнiсть надавача, наданого ним вiдповiдно до вимог пункту 75 вимог у сферi електронних довiрчих послуг, затверджених постановою Кабiнету Мiнiстрiв України вiд 7 листопада 2018 р. N 992 "Про затвердження вимог у сферi електронних довiрчих послуг та Порядку перевiрки дотримання вимог законодавства у сферi електронних довiрчих послуг";
5) документiв про вiдповiднiсть за результатами проведення процедур оцiнки вiдповiдностi надавача та послуг, що ним надаються;
6) iншої iнформацiї про функцiонування, органiзацiю та надання електронних довiрчих послуг надавачем, центральним засвiдчувальним органом або засвiдчувальним центром.
7. Плановi перевiрки центрального засвiдчувального органу, засвiдчувального центру, надавачiв, якi є органами державної влади, органами мiсцевого самоврядування та iншими юридичними особами публiчного права, проводяться Адмiнiстрацiєю Держспецзв'язку щороку.
8. Пiдставами для проведення планової перевiрки є рiчний план здiйснення заходiв державного нагляду (контролю), затверджений Адмiнiстрацiєю Держспецзв'язку.
9. Пiдставами для проведення позапланової перевiрки є:
1) подання надавачем заяви щодо проведення перевiрки дотримання вимог законодавства у сферi електронних довiрчих послуг;
2) виявлення та пiдтвердження недостовiрностi даних у документах, поданих надавачем;
3) невиконання вимог Адмiнiстрацiї Держспецзв'язку протягом строку, визначеного у приписi про усунення порушень вимог законодавства, виданому за результатами проведення планового заходу державного нагляду (контролю) за дотриманням вимог законодавства у сферi електронних довiрчих послуг;
4) отримання iнформацiї чи повiдомлення про порушення надавачем вимог законодавства у сферi електронних довiрчих послуг.
10. Предметом перевiрки надавача, центрального засвiдчувального органу або засвiдчувального центру є стан дотримання ними вимог законодавства у сферi електронних довiрчих послуг, у тому числi регламентiв їх роботи.
11. Для проведення планової чи позапланової перевiрки Адмiнiстрацiя Держспецзв'язку приймає рiшення щодо проведення перевiрки.
Рiшення щодо проведення перевiрки пiдписується головою Держспецзв'язку або його заступником вiдповiдно до розподiлу функцiональних обов'язкiв.
12. Рiшення щодо проведення перевiрки повинне мiстити:
1) найменування Адмiнiстрацiї Держспецзв'язку;
2) найменування (прiзвище, iм'я, по батьковi) надавача, центрального засвiдчувального органу або засвiдчувального центру;
3) мiсцезнаходження або мiсце проживання надавача, центрального засвiдчувального органу або засвiдчувального центру;
4) пiдставу для проведення перевiрки;
5) предмет перевiрки;
6) дати початку та закiнчення перевiрки;
7) посадовий та персональний склад комiсiї з перевiрки.
13. Повiдомлення про прийняття рiшення щодо проведення перевiрки надсилається (вручається) надавачевi, центральному засвiдчувальному органу або засвiдчувальному центру не пiзнiше нiж за 10 робочих днiв до початку перевiрки рекомендованим листом та/або за допомогою електронного поштового зв'язку або вручається особисто пiд розписку керiвниковi надавача, центрального засвiдчувального органу або засвiдчувального центру.
14. Для надавачiв, якi не є суб'єктами господарювання, строки проведення планової чи позапланової перевiрки не можуть перевищувати десяти робочих днiв.
15. Планова та позапланова перевiрки проводяться в робочий час надавача, центрального засвiдчувального органу або засвiдчувального центру, встановлений його правилами внутрiшнього трудового розпорядку.
16. Надавач, центральний засвiдчувальний орган або засвiдчувальний центр мають право не допускати посадових осiб Адмiнiстрацiї Держспецзв'язку до проведення планової чи позапланової перевiрки в разi неодержання у строк, визначений пунктом 13 цього Порядку, повiдомлення про прийняття рiшення щодо проведення перевiрки.
17. Комiсiя з перевiрки утворюється у складi голови та членiв комiсiї з перевiрки.
До складу комiсiї з перевiрки можуть залучатися представники центрального засвiдчувального органу (за згодою).
18. На пiдставi рiшення щодо проведення перевiрки оформляється посвiдчення на проведення перевiрки, яке пiдписується головою Держспецзв'язку або його заступником вiдповiдно до розподiлу функцiональних обов'язкiв i засвiдчується печаткою.
Форма посвiдчення на проведення перевiрки встановлюється Адмiнiстрацiєю Держспецзв'язку.
19. У посвiдченнi на проведення перевiрки зазначаються:
1) найменування Адмiнiстрацiї Держспецзв'язку;
2) найменування (прiзвище, iм'я, по батьковi) надавача, центрального засвiдчувального органу або засвiдчувального центру;
3) мiсцезнаходження або мiсце проживання надавача, центрального засвiдчувального органу або засвiдчувального центру;
4) реквiзити рiшення щодо проведення перевiрки;
5) персональний та посадовий склад комiсiї з перевiрки;
6) дата початку та дата закiнчення перевiрки;
7) тип перевiрки (планова або позапланова);
8) пiдстави перевiрки;
9) перелiк питань, що пiдлягають перевiрцi;
10) iнформацiя про проведення попередньої перевiрки (вид перевiрки i строк її проведення).
20. Посвiдчення на проведення перевiрки є чинним лише протягом зазначеного в ньому строку її проведення.
21. Члени комiсiї з перевiрки зобов'язанi:
1) об'єктивно та неупереджено проводити перевiрку;
2) дотримуватися вимог законодавства у сферах електронних довiрчих послуг, захисту iнформацiї та захисту персональних даних;
3) сумлiнно, вчасно та якiсно виконувати свої службовi обов'язки та доручення голови комiсiї з перевiрки;
4) дотримуватися дiлової етики у взаємовiдносинах з керiвником та працiвниками надавача, центрального засвiдчувального органу або засвiдчувального центру;
5) ознайомити керiвника надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженого ним представника з результатами перевiрки;
6) надавати надавачевi, центральному засвiдчувальному органу або засвiдчувальному центру консультацiйну допомогу з питань проведення перевiрки;
7) не розголошувати комерцiйну таємницю та конфiденцiйну iнформацiю, яка стала їм вiдома у зв'язку з виконанням службових обов'язкiв.
22. Члени комiсiї з перевiрки пiд час виконання своїх службових обов'язкiв у процесi проведення перевiрки мають право:
1) доступу до спецiальних примiщень, всiх документiв та iнформацiї надавача, центрального засвiдчувального органу або засвiдчувального центру, пов'язаних з наданням квалiфiкованих електронних довiрчих послуг;
2) вивчати роботу iнформацiйно-телекомунiкацiйної системи, а також iнших технiчних засобiв, якi використовуються надавачем, центральним засвiдчувальним органом або засвiдчувальним центром для надання квалiфiкованих електронних довiрчих послуг;
3) отримувати вiд працiвникiв надавача, центрального засвiдчувального органу або засвiдчувального центру iнформацiю та пояснення (зокрема письмовi) щодо їх дiяльностi, пов'язаної з наданням квалiфiкованих електронних довiрчих послуг, необхiднi для проведення перевiрки;
4) отримувати вiд надавача, центрального засвiдчувального органу або засвiдчувального центру та долучати до матерiалiв перевiрки копiї документiв, зокрема виготовленi методом сканування або створення фотокопiй, що можуть свiдчити про факти порушення вимог законодавства у сферi електронних довiрчих послуг.
23. Керiвник надавача, центрального засвiдчувального органу або засвiдчувального центру зобов'язаний створити необхiднi умови для проведення перевiрки, а саме:
1) забезпечити на перiод проведення перевiрки головi та членам комiсiї з перевiрки вхiд до спецiальних примiщень надавача, центрального засвiдчувального органу або засвiдчувального центру i вихiд з них;
2) надати головi та членам комiсiї з перевiрки у день початку її проведення службове примiщення (окреме робоче мiсце), яке обладнане необхiдними меблями, комп'ютером та сховищем для документiв;
3) органiзувати зустрiч голови та членiв комiсiї з перевiрки з працiвниками надавача, центрального засвiдчувального органу або засвiдчувального центру, обов'язки яких безпосередньо пов'язанi з наданням квалiфiкованих електронних довiрчих послуг;
4) забезпечити доступ голови та членiв комiсiї з перевiрки до всiх документiв та iнформацiї про дiяльнiсть надавача, центрального засвiдчувального органу або засвiдчувального центру, якi передбаченi пунктом 28 цього Порядку;
5) забезпечити надання у строк, необхiдний для виконання завдання, але не бiльший нiж строк, визначений для проведення заходу державного нагляду (контролю), засвiдчених копiй документiв та iнформацiї про дiяльнiсть надавача, центрального засвiдчувального органу або засвiдчувального центру (усних i письмових пояснень керiвника та працiвникiв надавача, центрального засвiдчувального органу або засвiдчувального центру);
6) забезпечити коректну поведiнку працiвникiв надавача, центрального засвiдчувального органу або засвiдчувального центру пiд час проведення перевiрки.
24. Вхiд до службового примiщення, обладнаного для роботи комiсiї з перевiрки, стороннiх осiб без дозволу голови комiсiї з перевiрки забороняється.
25. Керiвник надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноважений ним представник пiд час проведення перевiрки має право:
1) вимагати вiд голови та членiв комiсiї з перевiрки дотримання вимог законодавства;
2) перевiряти наявнiсть у голови та членiв комiсiї з перевiрки службових посвiдчень i одержувати копiю посвiдчення на проведення перевiрки;
3) не допускати голову та членiв комiсiї з перевiрки до її проведення у разi:
порушення вимог щодо перiодичностi проведення перевiрок, передбачених законодавством;
непред'явлення головою та членами комiсiї з перевiрки службових посвiдчень та посвiдчень на проведення перевiрки, оформлених вiдповiдно до вимог законодавства;
4) бути присутнiм пiд час проведення перевiрки;
5) вимагати дотримання вимог щодо нерозголошення комерцiйної таємницi та конфiденцiйної iнформацiї надавача, центрального засвiдчувального органу або засвiдчувального центру;
6) отримувати та ознайомлюватися з актом перевiрки;
7) надавати в письмовiй формi свої пояснення, зауваження або заперечення до акта перевiрки;
8) отримувати вiд голови комiсiї з перевiрки роз'яснення щодо дiй комiсiї, пов'язаних з перевiркою;
9) у разi незгоди з дiями голови та/або членiв комiсiї з перевiрки подавати в письмовому виглядi скарги до Адмiнiстрацiї Держспецзв'язку чи оскаржувати дiї комiсiї з перевiрки в судовому порядку;
10) отримувати консультативну допомогу вiд голови та членiв комiсiї з перевiрки з метою запобiгання порушенням пiд час її проведення.
26. Перед початком перевiрки голова комiсiї з перевiрки вносить запис до вiдповiдного журналу надавача, центрального засвiдчувального органу або засвiдчувального центру (у разi наявностi).
27. Перевiрка проводиться у присутностi керiвника надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженого ним представника.
28. Перевiрка проводиться шляхом вивчення документiв, iнформацiї, що мiститься в базах даних, в межах правил розмежування доступом, передбачених комплексною системою захисту iнформацiї, спiвбесiд з працiвниками надавача, центрального засвiдчувального органу або засвiдчувального центру, аналiзу стану дотримання вимог законодавства у сферi електронних довiрчих послуг та розпорядчих документiв, пов'язаних з наданням квалiфiкованих електронних довiрчих послуг.
29. У разi виявлення порушень вимог законодавства у сферi електронних довiрчих послуг, зловживань i недолiкiв керiвництво надавача, центрального засвiдчувального органу або засвiдчувального центру, зобов'язане до закiнчення перевiрки вжити заходiв до усунення виявлених порушень, зловживань i недолiкiв, запобiгання їм у подальшому.
30. Перевiрка проводиться за такими етапами:
1) процес перевiрки;
2) оформлення результатiв перевiрки.
31. Пiдготовка до проведення перевiрки здiйснюється шляхом:
1) опрацювання матерiалiв попередньої перевiрки з метою подальшого контролю за тими напрямами роботи, за якими ранiше були виявленi порушення;
2) аналiзу iнформацiї, визначеної пунктом 6 цього Порядку;
3) вивчення регламенту роботи надавача, центрального засвiдчувального органу або засвiдчувального центру.
32. Адмiнiстрацiя Держспецзв'язку має право письмово запитувати у надавача, центрального засвiдчувального органу або засвiдчувального центру матерiали та iнформацiю, необхiднi для проведення перевiрки.
Надавач, центральний засвiдчувальний орган або засвiдчувальний центр зобов'язанi подати Адмiнiстрацiї Держспецзв'язку всю запитувану iнформацiю протягом 15 робочих днiв з дня реєстрацiї вiдповiдного запиту.
33. У перiод пiдготовки до проведення перевiрки голова комiсiї з перевiрки iнформує її членiв про завдання (рекомендацiї, вказiвки) перевiрки, а також проводить iнструктаж щодо порядку взаємодiї з працiвниками надавача, центрального засвiдчувального органу або засвiдчувального центру.
34. У день початку проведення перевiрки голова та члени комiсiї з перевiрки зобов'язанi пред'явити керiвниковi надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженому ним представнику посвiдчення на проведення перевiрки та службовi посвiдчення, що встановлюють голову та членiв комiсiї з перевiрки як посадових осiб Адмiнiстрацiї Держспецзв'язку, i надати копiю посвiдчення на проведення перевiрки.
35. Голова та члени комiсiї з перевiрки не мають права проводити перевiрку без пред'явлення службових посвiдчень та посвiдчення на її проведення.
36. Результати проведення перевiрки надавача оформлюються комiсiєю з перевiрки шляхом складення акта перевiрки, форма якого затверджується Адмiнiстрацiєю Держспецзв'язку.
37. Результати проведення перевiрки центрального засвiдчувального органу або засвiдчувального центру оформлюються комiсiєю з перевiрки шляхом складення акта перевiрки у довiльнiй формi, який мiстить такi вiдомостi:
1) найменування Адмiнiстрацiї Держспецзв'язку;
2) персональний та посадовий склад комiсiї з перевiрки;
3) прiзвище та iнiцiали керiвника центрального засвiдчувального органу або засвiдчувального центру;
4) вид перевiрки (планова або позапланова);
5) реквiзити посвiдчення на проведення перевiрки;
6) дати початку та закiнчення проведення перевiрки;
7) адресу примiщень центрального засвiдчувального органу або засвiдчувального центру, пов'язаних з наданням квалiфiкованих електронних довiрчих послуг, в яких проводилась перевiрка;
8) результати попередньої перевiрки;
9) причини невиконання встановлених вимог (у разi наявностi);
10) назву та короткий змiст документiв, наданих пiд час перевiрки;
11) якiснi та кiлькiснi показники, встановленi пiд час перевiрки, що характеризують дiяльнiсть центрального засвiдчувального органу або засвiдчувального центру, пов'язану з наданням квалiфiкованих електронних довiрчих послуг;
12) виявленi пiд час перевiрки порушення i недолiки (у разi наявностi);
13) висновки за результатами перевiрки;
14) факти протидiї проведенню перевiрки (у разi наявностi);
15) рекомендацiї щодо усунення виявлених порушень (у разi наявностi);
16) дату складення акта перевiрки;
17) пiдписи голови та членiв комiсiї з перевiрки;
18) пiдпис керiвника центрального засвiдчувального органу або засвiдчувального центру чи уповноваженого ним представника, що пiдтверджує факт ознайомлення з актом перевiрки.
38. До порушень, зазначених в актi перевiрки, повиннi бути посилання на конкретнi положення нормативно-правових актiв.
Довiльне тлумачення положень нормативно-правових актiв не допускається.
Довiдкову iнформацiю або iнформацiю про порушення i недолiки, яка може бути згрупована за спiльним предметом, допускається викладати в додатках до акта перевiрки.
Якщо до акта перевiрки додаються копiї документiв, в актi зазначаються їх найменування i реквiзити.
39. Акт перевiрки складається у двох примiрниках та пiдписується не пiзнiше останнього дня її проведення головою та всiма членами комiсiї з перевiрки i керiвником надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженим ним представником.
40. Член комiсiї з перевiрки, який не погоджується з висновками комiсiї з перевiрки, зазначеними в актi перевiрки, зобов'язаний пiдписати його та письмово викласти свою окрему думку, що долучається до акта перевiрки. При цьому перед пiдписом акта перевiрки робиться запис "З окремою думкою, що додається".
41. Якщо керiвник надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноважений ним представник має зауваження щодо фактiв та висновкiв, викладених в актi перевiрки, перед пiдписом робиться запис "Iз зауваженнями, що додаються".
Зауваження до акта перевiрки оформлюються окремим документом та пiдписуються керiвником надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженим ним представником.
Зауваження керiвника надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженого ним представника та окрема думка члена комiсiї з перевiрки є невiд'ємною частиною акта перевiрки.
42. Якщо керiвник надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноважений ним представник вiдмовився вiд ознайомлення з актом перевiрки або вiд його пiдписання пiсля ознайомлення з ним, голова комiсiї з перевiрки перед мiсцем для пiдпису керiвника надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженого ним представника робить вiдповiдну позначку, яка засвiдчується пiдписами голови та одного з членiв комiсiї з перевiрки.
43. Один примiрник акта перевiрки вручається керiвниковi чи уповноваженiй особi надавача, центрального засвiдчувального органу, засвiдчувального центру в останнiй день перевiрки, а другий зберiгається в Адмiнiстрацiї Держспецзв'язку.
44. У разi проведення перевiрки надавача копiя акта перевiрки протягом п'яти робочих днiв пiсля її завершення надсилається до центрального засвiдчувального органу або засвiдчувального центру.
45. За результатами проведення перевiрки надавача, центрального засвiдчувального органу або засвiдчувального центру Адмiнiстрацiя Держспецзв'язку на пiдставi акта перевiрки вживає таких заходiв реагування:
1) вимагає усунення порушень вимог законодавства у сферi електронних довiрчих послуг в установлений приписом про усунення порушень строк;
2) приймає рiшення про блокування квалiфiкованого сертифiката вiдкритого ключа надавача, самопiдписаного сертифiката електронної печатки засвiдчувального центру, самопiдписаного сертифiката електронної печатки центрального засвiдчувального органу в разi, коли пiд час перевiрки виявлено факти компрометацiї особистого ключа;
3) надсилає центральному засвiдчувальному органу подання про виключення надавача з Довiрчого списку в разi виявлення пiдстав, передбачених частиною п'ятою статтi 33 Закону України "Про електроннi довiрчi послуги".
46. У разi коли пiд час проведення перевiрки надавача, центрального засвiдчувального органу або засвiдчувального центру виявлено порушення вимог законодавства у сферi захисту персональних даних, Адмiнiстрацiя Держспецзв'язку iнформує про такi порушення Уповноваженого Верховної Ради України з прав людини.
47. Припис про усунення порушень складається комiсiєю з перевiрки протягом п'яти робочих днiв з дня завершення перевiрки у двох примiрниках. Один примiрник зазначеного припису не пiзнiше п'яти робочих днiв з дня складення акта перевiрки надається надавачевi, центральному засвiдчувальному органу або засвiдчувальному центру, а другий примiрник з пiдписом керiвника надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноваженого ним представника щодо погоджених строкiв усунення порушень вимог законодавства у сферi електронних довiрчих послуг залишається в Адмiнiстрацiї Держспецзв'язку.
Форма припису про усунення порушень встановлюється Адмiнiстрацiєю Держспецзв'язку.
Припис про усунення порушень пiдписується головою та членами комiсiї з перевiрки, якi їх проводили.
48. У разi коли керiвник надавача, центрального засвiдчувального органу або засвiдчувального центру чи уповноважений ним представник вiдмовився вiд отримання припису про усунення порушень, вiн надсилається рекомендованим листом, а на копiї припису, який залишається в Адмiнiстрацiї Держспецзв'язку, проставляються вiдповiдний вихiдний номер i дата надсилання.
49. Керiвник надавача, центрального засвiдчувального органу або засвiдчувального центру повинен вжити заходiв до усунення недолiкiв та порушень, зазначених у приписi про усунення порушень, протягом визначеного у приписi строку.
50. Надавач, центральний засвiдчувальний орган або засвiдчувальний центр зобов'язаний у встановлений у приписi про усунення порушень строк письмово подати Адмiнiстрацiї Держспецзв'язку iнформацiю про усунення порушень разом з пiдтвердними документами.
51. Рiшення про блокування квалiфiкованого сертифiката вiдкритого ключа надавача, самопiдписаного сертифiката електронної печатки засвiдчувального центру, самопiдписаного сертифiката електронної печатки центрального засвiдчувального органу приймається Адмiнiстрацiєю Держспецзв'язку та в день його прийняття надсилається центральному засвiдчувальному органу.
52. Рiшення про блокування квалiфiкованого сертифiката вiдкритого ключа надавача, самопiдписаного сертифiката електронної печатки засвiдчувального центру, самопiдписаного сертифiката електронної печатки центрального засвiдчувального органу повинне мiстити:
1) найменування Адмiнiстрацiї Держспецзв'язку;
2) дату прийняття та iндекс (порядковий номер);
3) посадовий та персональний склад комiсiї з перевiрки;
4) найменування (прiзвище, iм'я, по батьковi) надавача, центрального засвiдчувального органу або засвiдчувального центру;
5) мiсцезнаходження надавача, центрального засвiдчувального органу або засвiдчувального центру;
6) прiзвище, iм'я та по батьковi керiвника надавача, центрального засвiдчувального органу або засвiдчувального центру;
7) обставини, за яких виявленi порушення (вид, строк перевiрки, номер та дата акта перевiрки або посилання на iнше джерело iнформацiї);
8) обґрунтованi пiдстави прийняття рiшення про блокування квалiфiкованого сертифiката вiдкритого ключа надавача, самопiдписаного сертифiката електронної печатки засвiдчувального центру, самопiдписаного сертифiката електронної печатки центрального засвiдчувального органу;
9) вимогу щодо блокування квалiфiкованого сертифiката вiдкритого ключа надавача, самопiдписаного сертифiката електронної печатки засвiдчувального центру, самопiдписаного сертифiката електронної печатки центрального засвiдчувального органу;
10) пiдпис голови Держспецзв'язку або його заступника вiдповiдно до розподiлу функцiональних обов'язкiв.
53. Центральний засвiдчувальний орган на пiдставi рiшення Адмiнiстрацiї Держспецзв'язку зобов'язаний змiнити статус квалiфiкованого сертифiката вiдкритого ключа надавача, самопiдписаного сертифiката електронної печатки засвiдчувального центру, самопiдписаного сертифiката електронної печатки центрального засвiдчувального органу на заблокований.
54. Подання про виключення надавача з Довiрчого списку готується Адмiнiстрацiєю Держспецзв'язку та в день його пiдписання головою Держспецзв'язку або його заступником вiдповiдно до розподiлу функцiональних обов'язкiв надсилається центральному засвiдчувальному органу.
55. Подання про виключення надавача з Довiрчого списку повинне мiстити:
1) найменування Адмiнiстрацiї Держспецзв'язку;
2) посадовий та персональний склад комiсiї з перевiрки;
3) найменування (прiзвище, iм'я, по батьковi) надавача;
4) мiсцезнаходження або мiсце проживання надавача;
5) прiзвище, iм'я та по батьковi керiвника надавача;
6) обставини, за яких виявленi порушення (вид, строк перевiрки, номер та дата акта перевiрки або посилання на iнше джерело iнформацiї);
7) обґрунтованi пiдстави прийняття рiшення про виключення надавача з Довiрчого списку;
8) вимогу щодо виключення надавача з Довiрчого списку;
9) дату пiдписання;
10) пiдпис голови Держспецзв'язку або його заступника вiдповiдно до розподiлу функцiональних обов'язкiв.
56. У разi виявлення порушень вимог законодавства у сферi електронних довiрчих послуг, встановлених для центрального засвiдчувального органу, Адмiнiстрацiя Держспецзв'язку пропонує центральному засвiдчувальному органу шляхи їх усунення.
| ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 7 листопада 2018 р. N 992 |
ПЕРЕЛIК
постанов Кабiнету Мiнiстрiв України, що втратили
чиннiсть
1. Постанова Кабiнету Мiнiстрiв України вiд 26 травня 2004 р. N 680 "Про затвердження Порядку засвiдчення наявностi електронного документа (електронних даних) на певний момент часу" (Офiцiйний вiсник України, 2004 р., N 21, ст. 1428).
2. Пункт 31 змiн, що вносяться до актiв Кабiнету Мiнiстрiв України, затверджених постановою Кабiнету Мiнiстрiв України вiд 8 грудня 2006 р. N 1700 (Офiцiйний вiсник України, 2006 р., N 50, ст. 3324).
3. Постанова Кабiнету Мiнiстрiв України вiд 27 травня 2013 р. N 371 "Про внесення змiн до Порядку засвiдчення наявностi електронного документа (електронних даних) на певний момент часу" (Офiцiйний вiсник України, 2013 р., N 41, ст. 1468).
4. Пункт 2 змiн, що вносяться до постанов Кабiнету Мiнiстрiв України, затверджених постановою Кабiнету Мiнiстрiв України вiд 17 сiчня 2018 р. N 55 "Деякi питання документування управлiнської дiяльностi" (Офiцiйний вiсник України, 2018 р., N 23, ст. 770).
