КАБІНЕТ МІНІСТРІВ УКРАЇНИ ПОСТАНОВА від 28 квітня 2023 р. № 417 Київ Деякі питання затвердження схем електронної ідентифікації З метою забезпечення дотримання визначених статтею 15 Закону України “Про електронні довірчі послуги” критеріїв рівнів довіри до засобів електронної ідентифікації, можливості затвердження схем електронної ідентифікації Кабінет Міністрів України постановляє: 1. Затвердити Порядок проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування, що додається. 2. Установити, що до утворення органу з оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації, акредитованого відповідно до законодавства у сфері акредитації, оцінку відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації вимогам до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування проводить Державний науково-дослідний інститут технологій кібербезпеки та захисту інформації, що належить до сфери управління Адміністрації Державної служби спеціального зв’язку та захисту інформації. 3. Міністерству цифрової трансформації забезпечити: 1) подання на розгляд Кабінету Міністрів України в установленому порядку проектів актів Кабінету Міністрів України про затвердження схем електронної ідентифікації, що повинні містити загальну інформацію про постачальника послуг з електронної ідентифікації, схему електронної ідентифікації та рівень довіри до засобів електронної ідентифікації, у разі прийняття рішення про відповідність засобів електронної ідентифікації в контексті схем електронної ідентифікації вимогам до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затвердженим відповідно до статті 10 Закону України “Про електронні довірчі послуги”; 2) протягом п’яти робочих днів з дня набрання чинності актами Кабінету Міністрів України про затвердження схем електронної ідентифікації публікацію на власному офіційному веб-сайті загальних відомостей про постачальника послуг з електронної ідентифікації, набору ідентифікаційних даних відповідно до відомостей про засоби електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування та інформації про рівні довіри до засобів електронної ідентифікації, використаних у схемах електронної ідентифікації; 3) можливість міжнародного визнання державами — членами Європейського Союзу схем електронної ідентифікації, затверджених Кабінетом Міністрів України, які мають середній або високий рівень довіри. 4. Центральним органам виконавчої влади забезпечити використання затверджених Кабінетом Міністрів України схем електронної ідентифікації у сфері електронного урядування, а також захист інформації та персональних даних, що обробляються під час електронної ідентифікації у власних інформаційно-комунікаційних системах відповідно до вимог Законів України “Про захист інформації в інформаційно-комунікаційних системах” та “Про захист персональних даних”. Прем’єр-міністр України Д. ШМИГАЛЬ Інд. 49 ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 28 квітня 2023 р. № 417 ПОРЯДОК проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування 1. Цей Порядок визначає механізм проведення оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування (далі — оцінка відповідності). Дія цього Порядку не поширюються на іноземні органи з оцінки відповідності, акредитовані іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA). 2. У цьому Порядку терміни вживаються у такому значенні: декларативний (реєстраційний, заявницький) принцип — спосіб розгляду документів постачальників послуг з електронної ідентифікації, який не передбачає проведення їх перевірки по суті; електронне урядування — форма організації державного управління, яка сприяє підвищенню ефективності, відкритості та прозорості діяльності державних органів та органів місцевого самоврядування з використанням інформаційно-комунікаційних систем, електронних сервісів, за допомогою яких надаються електронні публічні послуги, здійснюється надсилання і отримання електронних даних, зокрема для отримання електронного відображення інформації, що міститься у документах; замовник оцінки відповідності — фізична особа — підприємець, юридична особа, які мають намір надавати послуги з електронної ідентифікації, постачальник послуг з електронної ідентифікації; підтвердження електронної ідентифікації — процес проведення перевірки належності ідентифікаційних даних фізичній особі, фізичній особі — підприємцю та юридичній особі або уповноваженому представнику юридичної особи; послуга з електронної ідентифікації — послуга, яка надається для підтвердження електронної ідентифікації; постачальник послуг з електронної ідентифікації — фізична особа — підприємець, юридична особа незалежно від організаційно-правової форми та форми власності, які надають послугу з електронної ідентифікації. Інші терміни вживаються у значенні, наведеному в Законах України “Про електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах” та прийнятих відповідно до них нормативно-правових актах. 3. Засоби електронної ідентифікації повинні відповідати вимогам до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затвердженим відповідно до статті 10 Закону України “Про електронні довірчі послуги” (далі — вимоги). 4. З метою затвердження схем електронної ідентифікації для їх використання у сфері електронного урядування постачальники послуг з електронної ідентифікації: самостійно проводять оцінку відповідності засобів електронної ідентифікації вимогам, за результатами якої формують відомості про засоби електронної ідентифікації в контексті схем електронної ідентифікації для їх використання у сфері електронного урядування (далі — відомості) за формою, затвердженою Мінцифри; проходять оцінку відповідності, крім засобів електронної ідентифікації, що плануються до застосування в схемах електронної ідентифікації з високим рівнем довіри, які використовують для електронної ідентифікації кваліфіковані електронні підписи чи печатки, та засобів електронної ідентифікації, які плануються до застосування в схемах електронної ідентифікації з низьким рівнем довіри, щодо відповідності вимогам в органі з оцінки відповідності, за результатами якої отримують аудиторський звіт; подають Мінцифри відомості, а також у разі наявності аудиторський звіт (крім постачальників послуг з електронної ідентифікації, що мають засоби електронної ідентифікації та планують їх використання в схемах електронної ідентифікації з високим рівнем довіри, які використовують для електронної ідентифікації кваліфіковані електронні підписи чи печатки або мають засоби електронної ідентифікації та планують їх використання в схемах електронної ідентифікації з низьким рівнем довіри), інформаційно-довідкові матеріали, зокрема експертні висновки, регламенти роботи, атестати відповідності, сертифікати, листи, які підтверджують відомості (далі — інформаційно-довідкові матеріали, що підтверджують достовірність відомостей), для прийняття рішення. Постачальники послуг з електронної ідентифікації протягом одного місяця від дати видачі аудиторського звіту надсилають через систему електронного документообігу або на адресу електронної пошти Мінцифри відомості та аудиторський звіт. 5. Замовники оцінки відповідності можуть пройти таку оцінку та отримати аудиторський звіт в іноземному органі з оцінки відповідності, акредитованому іноземним органом з акредитації, що може проводити оцінку відповідності у сферах електронних довірчих послуг та електронної ідентифікації та є підписантом багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA). Аудиторський звіт іноземного органу з оцінки відповідності, викладений іноземною мовою, повинен бути перекладений на державну мову із засвідченням вірності перекладу або справжності підпису перекладача в установленому законодавством порядку. 6. Оцінка відповідності вимогам проводиться за рахунок її замовників. Вартість робіт з проведення оцінки відповідності вимогам визначається на договірних засадах. Зміст договору між замовником оцінки відповідності та органом з оцінки відповідності повинен містити умови щодо вартості робіт з проведення оцінки відповідності вимогам, строків його виконання та інших істотних умов відповідно до цивільного законодавства. 7. Для проходження оцінки відповідності замовники такої оцінки самостійно укладають з органом з оцінки відповідності договір та надають йому відомості та інформаційно-довідкові матеріали, що підтверджують достовірність відомостей. Органи з оцінки відповідності та замовники оцінки відповідності під час проведення такої оцінки вимогам повинні дотримуватися положень, визначених у ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг” та ДСТУ ETSI TS 119 403-2:2021 (ETSI TS 119 403-2 V1.2.4 (2020-11), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 2. Додаткові вимоги до органів оцінювання відповідності, що перевіряють постачальників довірчих послуг, які видають довірчі сертифікати”, затверджених наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 16 грудня 2021 р. № 512, та ДСТУ EN ISO/IEC 17065:2019 “Оцінка відповідності. Вимоги до органів з сертифікації продукції, процесів та послуг” (EN ISO/IEC 17065:2012, IDT; ISO/IEC 17065:2012, IDT), затвердженому наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 21 грудня 2019 р. № 466. Орган з оцінки відповідності перевіряє дотримання вимог, зокрема обов’язкових елементів технічних специфікацій та процедур організаційних, методологічних, технічних та технологічних умов використання засобів електронної ідентифікації залежно від рівнів довіри до них за методикою, визначеною Мінцифри, з дотриманням положень, визначених у ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг” та ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги”, затверджених наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 8 вересня 2022 р. № 185. За результатами проведення оцінки відповідності вимогам орган з оцінки відповідності видає замовнику аудиторський звіт. Аудиторський звіт повинен містити такі відомості: найменування органу з оцінки відповідності; інформацію про акредитацію органу з оцінки відповідності (дата та номер атестата про акредитацію); прізвище, власне ім’я та по батькові (у разі наявності) осіб, що проводили оцінку відповідності; строк проведення оцінки відповідності; найменування або прізвище, власне ім’я та по батькові (у разі наявності) замовника оцінки відповідності, його ідентифікаційні дані та контактна інформація; дані про сферу оцінки відповідності; перелік послуг з електронної ідентифікації, які має намір надавати або надає замовник оцінки відповідності; найменування інформаційно-комунікаційної системи; найменування засобів електронної ідентифікації, які будуть використовуватися або використовуються під час надання послуг з електронної ідентифікації; перелік вимог до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, національних стандартів та/або технічних специфікацій, щодо відповідності яким проводилася оцінка відповідності; висновок щодо відповідності засобу електронної ідентифікації вимогам; строк дії аудиторського звіту. 8. Відомості про засоби електронної ідентифікації, які мають низький рівень довіри, а також про засоби електронної ідентифікації, що плануються до застосування в схемах електронної ідентифікації з високим рівнем довіри, які використовують для електронної ідентифікації кваліфіковані електронні підписи чи печатки, та інформаційно-довідкові матеріали, що підтверджують достовірність відомостей, розглядаються Мінцифри із застосуванням декларативного (реєстраційного, заявницького) принципу, що є достатнім для прийняття Кабінетом Міністрів України рішення про затвердження схем електронної ідентифікації. 9. Мінцифри за результатами розгляду поданих відомостей, інформаційно-довідкових матеріалів, що підтверджують достовірність відомостей, аудиторського звіту (крім аудиторського звіту для засобів електронної ідентифікації, що плануються до застосування в схемах електронної ідентифікації з високим рівнем довіри, які використовують для електронної ідентифікації кваліфіковані електронні підписи чи печатки, та засобів електронної ідентифікації, які плануються до застосування в схемах електронної ідентифікації з низьким рівнем довіри) протягом 15 робочих днів з дня реєстрації відповідного листа приймає рішення про відповідність засобів електронної ідентифікації вимогам. Мінцифри надає обґрунтовану відповідь постачальнику послуг з електронної ідентифікації про неможливість затвердження схеми електронної ідентифікації у разі: невідповідності засобів електронної ідентифікації вимогам; порушення строку подання відомостей та аудиторського звіту; подання аудиторського звіту про невідповідність засобів електронної ідентифікації вимогам. ____________________ |