Роз’яснення Міністерства цифрової трансформації України щодо КЕП

МІНІСТЕРСТВО ЦИФРОВОЇ ТРАНСФОРМАЦІЇ УКРАЇНИ

Постійно діюча адміністративна колегія Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель

Міністерство цифрової трансформації України за результатами розгляду в межах компетенції листа Постійно діючої адміністративної колегії Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель від 10.02.2021 № 20-29/06-1616-у щодо надання роз’яснення законодавства у сфері електронних довірчих послуг повідомляє.

1.   В чому полягає відмінність між удосконаленим та кваліфікованим електронним підписом?

Згідно з частиною другою статті 18 Закону України «Про електронні довірчі послуги» кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо, серед іншого, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки; під час перевірки підтверджено цілісність електронних даних в електронній формі, з якими пов’язаний цей кваліфікований електронний підпис чи печатка.

Разом з тим засоби кваліфікованого електронного підпису чи печатки повинні забезпечувати, серед іншого, захист від доступу до особистих ключів сторонніх осіб (абзац четвертий частини першої статті 19 Закону України «Про електронні довірчі послуги»).

Відповідно до пункту 12 частини другої статті 23 зазначеного Закону кваліфіковані сертифікати відкритих ключів обов’язково повинні містити, в тому числі, відомості про те, що особистий ключ зберігається в засобі.

кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки).

З метою забезпечення технічного регулювання у сфері захисту інформації на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України 09.09.2019 розміщено роз’яснення з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг за посиланням:

https://cip.gov.ua/ua/news/roz-yasnennya-z-pitan-vikoristannya-zasobiv- elektronnogo-pidpisu-ta-pechatki-pri-nadanni-kvalifikovanikh-elektronnikh- dovirchikh-poslug.

Враховуючи викладене, особистий ключ кваліфікованого електронного підпису може зберігатися виключно в засобі кваліфікованого електронного підпису чи печатки та повинен бути пов’язаним з кваліфікованим сертифікатом електронного підпису.

Слід зауважити, що згідно з постановою Кабінету Міністрів України від 03.03.2020 № 193 «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» забезпечено можливість використання удосконалених електронних підписів чи печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім випадків встановлених законодавством.

Звертаємо увагу на те, що кваліфікований сертифікат відкритого ключа, сформований для удосконаленого електронного підпису чи печатки, не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки; під час перевірки удосконаленого електронного підпису чи печатки за допомогою кваліфікованого сертифіката відкритого ключа надається підтвердження того, що особистий ключ не зберігається в засобі кваліфікованого електронного підпису чи печатки (пункт 3 вимог до удосконалених електронних підписів та печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, і до надання електронних довірчих послуг, пов’язаних з їх створенням, перевіркою, підтвердженням та зберіганням, затверджених постановою Кабінету Міністрів України від 03.03.2020 № 193).

2.    Яка саме інформація має бути відображена на сайті центрального засвідчувального органу, за результатами перевірки електронного підпису для підтвердження наявності саме кваліфікованого електронного підпису (тип носія, алгоритм, тип підпису, сертифікат тощо)?

Згідно з пунктом 82 вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07.11.2018 № 992 (далі – вимоги у сфері електронних довірчих послуг), перевірка кваліфікованого електронного підпису чи печатки проводиться будь-якою особою з метою отримання інформації про дійсність чи недійсність кваліфікованого електронного підпису чи печатки.

Крім того, надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток передбачає, що така послуга: надається виключно надавачем; відповідає всім вимогам до перевірки кваліфікованих електронних підписів чи печаток; дає змогу отримувати результати перевірки із застосуванням кваліфікованого електронного підпису чи печатки надавача автоматизованим способом, який є надійним, ефективним та захищеним (пункт 84 вимог у сфері електронних довірчих послуг).

Слід зазначити, що кваліфіковані надавачі електронних довірчих послуг мають право, зокрема, самостійно обирати, які саме стандарти будуть ними застосовуватися при наданні довірчих послуг з переліку стандартів, визначеного Кабінетом Міністрів України, крім сфери спеціального зв’язку.

Таким стандартом відповідно до пункту 9 переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до вимог у сфері електронних довірчих послуг, зокрема є ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) “Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів”, затверджений наказом державного підприємства “Український науково- дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 23.09.2016 № 279.

Відповідно до пункту 8.2.6 зазначеного стандарту застосунок для перевірки підпису надає: основний результат перевірки (дійсний, недійсний, невизначений), час перевірки та, якщо вимагається, звіт про перевірку. Застосунок для перевірки підпису повинен надавати додаткову інформацію про елементи перевірки підпису, які є підтвердженими або не підтвердженими, та додаткову інформацію, що стосується перевірки підпису (сертифікати, інформація про відкликання та позначки часу).

З огляду на зазначене законодавством у сфері електронних довірчих послуг не визначені вимоги до форми та змісту результату перевірки кваліфікованого електронного підпису.

3.   Якщо при перевірці електронного цифрового підпису на сайті ЦЗО з’являється інформація, що тип носія – незахищений, тип підпису – удосконалений, чи може такий підпис вважатися кваліфікованим електронним підписом?

Якщо за результатом перевірки електронного підпису засіб кваліфікованого електронного підпису чи печатки надає інформацію, що тип підпису «удосконалений», то такий електронний підпис не може вважатися кваліфікованим.

Звертаємо увагу на те, що згідно з абзацом другим пункту 2 Порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності, затвердженого постановою Кабінету Міністрів України від 19.09.2018 № 749, захищений носій особистих ключів – засіб кваліфікованого електронного підпису чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.

Крім того, на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України розміщено Перелік засобів технічного захисту інформації, які мають експертний висновок про відповідність до вимог технічного захисту інформації, за посиланням:

https://cip.gov.ua/ua/news/zasobi-tzi-yaki-mayut-ekspertnii-visnovok-pro- vidpovidnist-do-vimog-tekhnichnogo-zakhistu-informaciyi.

Водночас наголошуємо на можливості до 31.12.2021 використовувати удосконалені електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів, з дотриманням вимог, встановлених постановою Кабінету Міністрів України від 03.03.2020 № 193 «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів».

Заступник Міністра                                                  Людмила РАБЧИНСЬКА