Змінюється Закон про публічні закупівлі, а разом із ним і всі нормативи, що регулюють приналежні до закупівель сфери. Проте іноді, навпаки, змінюється законодавство в іншій сфері, а електронна система закупівель має бути приведена у відповідність до таких нових вимог.
Особливо електронні закупівлі залежні від законодавства про електронний документообіг, адже кожна дія в електронній системі закупівель має бути посвідчена електронним підписом. Це випливає із вимоги Порядку розміщення інформації про публічні закупівлі, яким встановлено, що після внесення інформації в електронні поля на неї накладається кваліфікований електронний підпис посадової особи.
Ми декілька разів на порталі RADNUK.COM.UA писали на тему електронного підпису, зокрема:
- У чергу за токенами: чи можна під час закупівель користуватися електронним підписом, розміщеним не на захищеному носієві?
- Способи підписання документів за допомогою КЕП;
- КЕП для учасника-нерезидента.
Але найближчим часом маємо враховувати нові вимоги законодавства щодо цієї теми.
Прикінцевими та перехідними положеннями Закону України «Про електронні довірчі послуги» встановлено, що електронні дані з накладеним електронним цифровим підписом, який підтверджено з використанням посиленого сертифіката відкритого ключа, визнаються після набрання чинності Законом України «Про електронні довірчі послуги» електронними даними зі створеним кваліфікованим електронним підписом, але не пізніше двох років з дня набрання чинності цим Законом. Закон України «Про електронні довірчі послуги» набрав чинності 07.11.2018, а отже, зазначений вище строк спливає 07.11.2020.
Що ж зміниться з 07.11.2020?
Для початку маємо детально розібрати норму прикінцевих положень:
| електронні дані з накладеним електронним цифровим підписом, який підтверджено з використанням посиленого сертифіката відкритого ключа |
дорівнює
| електронні дані зі створеним кваліфікованим електронним підписом |
Електронний підпис — це електронні дані, які додаються підписувачем до інших електронних даних або логічно з ними пов’язуються і використовуються ним як підпис.
Закон України «Про електронні довірчі послуги» передбачає два види електронних підписів: удосконалений та кваліфікований.
Удосконалений електронний підпис — електронний підпис, створений за результатом криптографічного перетворення електронних даних, з якими пов’язаний цей електронний підпис, з використанням засобу удосконаленого електронного підпису та особистого ключа, однозначно пов’язаного з підписувачем, і який дає змогу здійснити електронну ідентифікацію підписувача та виявити порушення цілісності електронних даних, з якими пов’язаний цей електронний підпис.
Засіб удосконаленого електронного підпису чи печатки — апаратно-програмний або апаратний пристрій чи програмне забезпечення, якіреалізують криптографічні алгоритмигенерації пар ключів та/або створення удосконаленого електронного підпису чи печатки, та/або перевірки удосконаленого електронного підпису чи печатки, та/або зберігання особистого ключа удосконаленого електронного підпису чи печатки.
Отже, удосконалений електронний підпис має криптографічний захист інформації, тобто вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування / відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо (ст. 1 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).
Кваліфікований електронний підпис (КЕП) — удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа.
Кваліфікований сертифікат відкритого ключа — сертифікат відкритого ключа, який видається кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом і відповідає вимогам цього Закону.
Засіб КЕП чи печатки — апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення КЕП чи печатки, та/або перевірки КЕП чи печатки, та/або зберігання особистого ключа КЕП чи печатки, який відповідає вимогам Закону України «Про електронні довірчі послуги».
- КЕП — це той самий удосконалений підпис, але він має відповідати значній кількості вимог до його захисту і, відповідно, має значно вищий рівень захисту використання такого підпису.
Зокрема, відповідно до статті 19 Закону України «Про електронні довірчі послуги» засоби КЕП чи печатки повинні забезпечувати:
- належний рівень унікальності пари ключів, що ними генеруються;
- конфіденційність особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
- захист від доступу до особистих ключів сторонніх осіб.
Засоби КЕП чи печатки не повинні змінювати електронні дані, з якими пов’язаний цей КЕП чи печатка, або перешкоджати доступу до них підписувача чи створювача (уповноваженого представника створювача) електронної печатки.
Такі засоби під час перевірки КЕП чи печатки повинні надавати користувачеві електронних довірчих послуг результат процесу перевірки та виявляти всі події, що стосуються порушень захисту інформації.
Вимоги до засобів КЕП чи печатки встановлюються Кабінетом Міністрів України, зокрема постановою від 07.11.2018 № 992 «Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг» (постанова № 992).
Слід зазначити: відповідно до Закону про електронні довірчі послуги оригіналом електронного документа вважається електронний примірник документа з обов’язковими реквізитами, у тому числі з електронним підписом автора або підписом, прирівняним до власноручного підпису. І універсальний електронний підпис, і КЕП визначають авторство електронного документа і факт внесення в нього змін після підписання. Проте лише КЕП має таку саму юридичну силу, що і власноручний підпис, та має презумпцію його відповідності власноручному підпису.
При накладенні електронного підпису на документ можна переглянути, чий це електронний підпис, ким виданий та на якому типі носія він міститься (див. рисунки 1 та 2).
Водночас при перевірці накладеного електронного підпису можна дізнатися і про тип підпису та рівень його захисту в частині сертифіката (див. рис. 3).
Держспецзв’язку в роз’ясненні з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг зазначає, що Закон України «Про електронні довірчі послуги» розроблено з метою гармонізації законодавства України у сфері електронних довірчих послуг із положеннями Регламенту (ЄС) № 910/2014 Європейського Парламенту та Ради від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій в межах внутрішнього ринку та про скасування Директиви 1999/93/ЄС (Регламент).
Рішенням передбачено перевірку засобів КЕП, які здійснюють генерацію і зберігання ключа, на відповідність профілю захисту для засобів створення захищеного підпису з генерацією ключів, визначеного стандартом EN 419211-2:2013 (прийнятий в Україні як ДСТУ EN 419211-2:2016).
Згідно з положеннями стандарту EN 419211-2:2013 засіб для створення безпечного підпису — це комбінація апаратного та програмного забезпечення, налаштованого для безпечного створення, використання та управління підписом та захисту ключових даних протягом усього їх життєвого циклу (п. 4.3.2). Означений засіб створює електронний підпис за допомогою особистого ключа, що зберігається в засобі та знаходиться під одноосібним контролем підписувача (п.п. 6.3.2–6.3.3).
З метою імплементації означених положень законодавства ЄС вимогами Закону України «Про електронні довірчі послуги» передбачено внесення до кваліфікованого сертифіката відкритого ключа відомостей про те, що особистий ключ підписувача зберігається в засобі КЕП, та підтвердження правового статусу КЕП чи печатки в разі, якщо за допомогою перевірки кваліфікованого сертифіката відкритого ключа отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі КЕП.
Згідно з положеннями Регламенту кваліфікованого надавача електронних довірчих послуг (далі — Регламент), затвердженого ДПСУ від 26.09.2019, який визначає організаційні, технічні та інші умови діяльності Інформаційно-довідкового департаменту ДПС при наданні електронних довірчих послуг (далі — ЕДП), Адміністратор реєстрації приймає рішення про відмову в реєстрації, зокрема в разі відсутності захищених носіїв особистих ключів для генерації особистих ключів у заявника на момент реєстрації (п. 5.3 Регламенту).
Згенерований особистий ключ користувача захищається паролем на захищеному носії особистих ключів. Відповідальність за забезпечення конфіденційності та цілісності особистого ключа несе користувач (п. 6.1 Регламенту).
Захищений носій особистих ключів — засіб КЕП чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання. Поняття захищеного носія особистих ключів визначено в Порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності, затвердженому постановою Кабінету Міністрів України від 19.09.2018 № 749.
Цим самим Порядком встановлено, що державні установи для засвідчення чинності відкритого ключа використовують лише кваліфікований сертифікат відкритого ключа, а для здійснення повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону, здійснення інформаційного обміну з іншими юридичними особами — виключно захищені носії особистих ключів.
Тобто якщо засіб КЕП чи печатки, що призначений для зберігання особистого ключа, має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання, то такий засіб визначають захищеним носієм особистих ключів.
Використання токена
Захищений носій ключової інформації, або, як його називають, токен, зазвичай виглядає як звичайна флешка, проте насправді це апаратно-програмний засіб зберігання КЕП. При використанні токена КЕП генерується всередині токена. Як результат — доступ до нього фактично неможливий, тобто неможливо скопіювати, змінити та видалити КЕП. Підпис накладається так: документи для підпису передаються всередину токена, де вони підписуються і повертаються вже підписаними з відповідним шифруванням.
Слід зважати, що один токен може зберігати лише один КЕП. Отже, декілька осіб не зможуть зберігати КЕП на одному токені, у кожного має бути особистий.
Для виконання операцій із токеном необхідний тільки пароль доступу до цього токена. Тобто при підписанні КЕП документів з токена необхідно вводити тільки пароль до захищеного носія.
Як у ТД прописати вимогу щодо накладення КЕП учасником?
Під час використання електронної системи закупівель з метою подання тендерних пропозицій та їх оцінки документи, що подаються учасником, та дані, які ним створюються та подаються, мають бути надані з урахуванням вимог законів України «Про електронні документи та електронний документообіг» та «Про електронні довірчі послуги».
Ідентифікація особи, яка подає тендерну пропозицію з використанням КЕП, при використанні технічних можливостей авторизованих електронних майданчиків не вимагається.
Створити та підписати електронний документ за допомогою КЕП можна за допомогою загальнодоступних програмних комплексів, наприклад: https://acskidd.gov.ua/sign або https://czo.gov.ua/sign.
Учасники-нерезиденти, країна реєстрації яких є в переліку тих країн, чиї електронні довірчі послуги та іноземні сертифікати відкритих ключів визнані в Україні, повинні дотримуватися вищезазначених вимог. Усі інші учасники-нерезиденти можуть подавати тендерні пропозиції у вигляді паперових документів в електронній формі, отримані шляхом сканування (фотографування) паперового документа.
Не вимагається від учасників засвідчувати документи (матеріали та інформацію), що подаються у складі тендерної пропозиції, печаткою та підписом уповноваженої особи, якщо такі документи (матеріали та інформація) надані у формі електронного документа через електронну систему закупівель із накладанням КЕП.
Коментар редакції. Ми розуміємо наскільки важливо вчасно та з урахуванням усіх змін чинного законодавства проводити закупівлі, тому пропонуємо розроблений нашими експертами із публічних закупівель приклад встановлення вимоги щодо накладення КЕП у тендерній документації.
Приклад встановлення вимоги в тендерній документації від редакції:
Учасники процедури закупівлі подають тендерні пропозиції у формі електронного документа чи скан-копій через електронну систему закупівель. Тендерна пропозиція учасника має відповідати ряду вимог:
1) документи мають бути чіткими та розбірливими для читання;
2) якщо у складі тендерної пропозиції є хоча б один сканований документ, потрібно накласти кваліфікований електронний підпис (КЕП) на пропозицію;
3) якщо ж такі документи надано у формі електронного документа, КЕП накладають на кожен електронний документ тендерної пропозиції окремо;
4) якщо ж пропозиція містить і скановані, і електронні документи, потрібно накласти КЕП на пропозицію в цілому та на кожен електронний документ окремо.
Виняток: якщо електронні документи тендерної пропозиції видано іншою організацією і на них уже накладено КЕП цієї організації, учаснику не потрібно накладати на нього свій КЕП.
Зверніть увагу: документи тендерної пропозиції, які надані не у формі електронного документа (без КЕП на документі), повинні містити підпис уповноваженої особи учасника закупівлі (із зазначенням прізвища, ініціалів та посади особи), а також відбитки печатки учасника (у разі використання) на кожній сторінці такого документа (окрім документів, виданих іншими підприємствами / установами / організаціями).
Замовник не вимагає від учасників засвідчувати документи (матеріали та інформацію), що подаються у складі тендерної пропозиції, печаткою та підписом уповноваженої особи, якщо такі документи (матеріали та інформація) надані у формі електронного документа через електронну систему закупівель із накладанням кваліфікованого електронного підпису.
Замовник перевіряє КЕП учасника на сайті центрального засвідчувального органу за посиланням https://czo.gov.ua/verify
Під час перевірки КЕП повинні відображатися прізвище та ініціали особи, уповноваженої на підписання тендерної пропозиції (власника ключа). У випадку відсутності даної інформації або у випадку не накладення учасником КЕП відповідно до умов тендерної документації учасник вважається таким, що не відповідає встановленим абзацом першим частини третьої статті 22 Закону вимогам до учасника відповідно до законодавства та його пропозицію буде відхилено на підставі абзацу 3 пункту 1 частини 1 статті 31 Закону.
Висновки
З 07.11.2020 електронні підписи більше не прирівнюватимуться до КЕП та відповідно не можуть бути застосовані у випадках, коли законодавством передбачено підписання КЕП. КЕП має бути на захищеному носієві ключової інформації. Водночас вимога щодо формування КЕП на захищеному носієві, по суті, існує з моменту набуття чинності Закону України «Про електронні довірчі послуги», але отримати КЕП досі було можливим як на захищеному носії, так і без нього. Однак можемо припустити, що із останніми змінами зміниться і ця практика, тож, рекомендуємо закупівельникам завчасно отримати КЕП на захищеному носієві.
Працюємо для Вас і з Вами!
Щоби більше розумітись у питанні, варто на порталі RADNUK.COM.UA прочитати статтю «Відповідальність за використання КЕП не на захищеному носієві» та «КЕП та підстава для відхилення: чи існує зв’язок?»
google 