25 листопада 2019

Про встановлення вимог до технічних засобів

МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ

м. Київ

18.11.2019№ 3563/5/610

Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання електронних довірчих послуг Зареєстровано в Міністерстві юстиції України 20 листопада 2019 року за № 1172/34143

Відповідно до частини другої статті 7, частини другої статті 8, пункту 8 розділу VII «Прикінцеві та перехідні положення» Закону України «Про електронні довірчі послуги», абзацу другого пункту 73 вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992, з метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації

НАКАЗУЄМО:

  1. Установити, що:

    1) технічні засоби, які створюються, використовуються та функціонують у складі інформаційно-комунікаційних систем під час надання електронних довірчих послуг, а саме програмно-технічні комплекси та засоби кваліфікованого електронного підпису чи печатки (далі – технічні засоби), що застосовують алгоритми криптографічного захисту інформації, наведені у національних стандартах, визначених у пунктах 55 – 58 Переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992 (далі – Перелік), мають відповідати вимогам національних стандартів, що визначені в пунктах 1 – 50 та 66 – 77 Переліку, у повному обсязі;

    2) технічні засоби, які застосовують алгоритми криптографічного захисту інформації, наведені в національних стандартах, визначених у пунктах 51 – 53 Переліку, мають відповідати вимогам національних стандартів, що визначені в пунктах 1 – 50 та 66 – 77 Переліку, а також ДСТУ ГОСТ 28147:2009 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования» та міжнародним рекомендаціям RFC 5208 та RFC 2898 у повному обсязі з урахуванням особливостей, що стосуються ідентифікації політик сертифіката, національних алгоритмів криптографічного захисту інформації та інших інформаційних об’єктів, обчислення відповідних функцій гешування та створення електронного підпису;

    3) документами про відповідність або позитивними експертними висновками за результатами державної експертизи у сфері криптографічного захисту інформації підтверджується відповідність технічних засобів вимогам національних стандартів, що визначені в пунктах 28 – 33 Переліку, в обсязі виконуваних функцій (за призначенням).

  2. Кваліфікованим надавачам електронних довірчих послуг, замовникам, розробникам та виробникам засобів кваліфікованого електронного підпису чи печатки, організаціям, які використовують електронні довірчі послуги під час електронної взаємодії фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання за участю третіх осіб електронних даних, аналоги яких на паперових носіях мають містити власноручний підпис відповідно до законодавства, а також автентифікації в складових частинах інформаційних систем, в яких здійснюється обробка таких електронних даних та володільцями інформації в яких є органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, забезпечити застосування вимог до технічних засобів, встановлених цим наказом, та особистих ключів, генерацію яких здійснено до набрання чинності цим наказом, до закінчення строку чинності відповідних кваліфікованих сертифікатів відкритих ключів, але не пізніше 06 листопада 2020 року.

  3. Суб’єкти правових відносин у сфері електронних довірчих послуг, що використовують у своїй діяльності кваліфіковані сертифікати відкритих ключів, застосовують кваліфікований електронний підпис:

    1) в межах країни з метою забезпечення електронного документообігу та електронної автентифікації осіб відповідно до:

    ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння» з функцією гешування за ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации.

    Функция хэширования». Ці національні стандарти застосовуються для створення кваліфікованого електронного підпису до 01 січня 2022 року та для створення кваліфікованого електронного підпису з метою надання інформації щодо статусу сертифікатів відкритих ключів до завершення терміну їх дії та для перевірки кваліфікованого електронного підпису;

    ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння» з функцією гешування за ДСТУ 7564-2014 «Інформаційні технології. Криптографічний захист інформації. Функція ґешування». Ці національні стандарти застосовуються для створення кваліфікованого електронного підпису з 01 січня 2021 року та для перевірки кваліфікованого електронного підпису;

    ДСТУ ISO/IEC 14888-3:2019 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування» із застосуванням алгоритму ECDSA зі ступенем розширення основного поля еліптичної кривої не менше ніж 256 з функціями гешування sha256 або sha512 відповідно до FIPS PUB 180-4 «Secure Hash Standard»;

    2) для транскордонного співробітництва з будь-якою метою відповідно до вимог:

    ДСТУ ETSI EN 119 312:2015 «Електронні підписи й інфраструктури (ESI). Криптографічні комплекти» та в межах країни з іншою метою, ніж зазначена у підпункті 1 цього пункту та цьому підпункті, шляхом застосовування алгоритмів електронного підпису;

    RSA відповідно до RFC 3447 «Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1» з довжиною ключа не менше ніж 4096 бітів з функціями гешування sha256 відповідно до FIPS PUB 180-4;

    зазначених у підпункті 1 цього пункту.

  4. Визнати такими, що втратили чинність, накази Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України:

    1) від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису», зареєстрований у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710;

    2) від 27 грудня 2013 року № 2782/5/689 «Про затвердження вимог до алгоритмів, форматів та інтерфейсів, що реалізуються у засобах шифрування та надійних засобах електронного цифрового підпису», зареєстрований у Міністерстві юстиції України 27 грудня 2013 року за № 2227/24759.

  5. Адміністратору інформаційно-комунікаційної системи центрального засвідчувального органу забезпечити:

    1) публікацію на офіційному вебсайті центрального засвідчувального органу технічних специфікацій з тестовими прикладами для перевірки правильності реалізації форматів, протоколів та інтерфейсів технічними засобами, визначеними в підпункті 2 пункту 1 цього наказу, не пізніше одного місяця з дати набрання чинності цим наказом;

    2) створення на офіційному вебсайті центрального засвідчувального органу тестового середовища (портал розробника і тестувальника) для оцінки внутрішньої і транскордонної технологічної сумісності технічних засобів, які підпадають під дію вимог цього наказу, та їх здатності взаємодіяти між собою не пізніше 06 листопада 2020 року.

  6. Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України (Пушкарьов А.І.) забезпечити публікацію на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України об’єктних ідентифікаторів алгоритмів криптографічного захисту інформації, визначених у підпункті 2 пункту 1 цього наказу, не пізніше одного місяця з дати набрання чинності цим наказом.

  7. Департаменту приватного права Міністерства юстиції України (Ференс О.М.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року № 493 «Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади».

  8. Цей наказ набирає чинності 01 січня 2020 року, але не раніше дня його офіційного опублікування.

  9. Контроль за виконанням цього наказу покласти на заступника Міністра юстиції України та заступника Голови Державної служби спеціального зв’язку та захисту інформації України відповідно до розподілу функціональних обов’язків.

Міністр юстиції України Голова Державної служби
спеціального зв’язку та
захисту інформації України
Денис МАЛЮСЬКА Валентин ПЕТРОВ