Відповідно до абзацу третього частини другої статті 8 Закону України "Про електронні довірчі послуги", пункту 37 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" та підпункту 2 пункту 3 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 3 вересня 2014 року № 411, НАКАЗУЮ:

1. ЗатвердитиВимоги з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації (далі - Вимоги), що додаються.

2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України у триденний строк після підписання цього наказу в установленому порядку забезпечити його подання на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Кваліфікованим надавачам електронних довірчих послуг забезпечити:

1) приведення їх діяльності у відповідність до Вимог шляхом внесення змін до регламентів їх роботи до 07 листопада 2020 року;

2) виконання пунктів 1 та 2 розділу IV Вимог, до закінчення строку чинності атестатів відповідності на комплексну систему захисту інформації інформаційно-телекомунікаційної системи, що застосовується ними для надання кваліфікованих електронних довірчих послуг, але не пізніше 01 січня 2023 року.

5. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу функціональних обов'язків.

1. Положення цих Вимог є обов'язковими для кваліфікованих надавачів електронних довірчих послуг (далі - надавач) під час надання ними послуг користувачам електронних довірчих послуг (далі - користувач), а також для відокремлених пунктів реєстрації (далі - ВПР) під час реєстрації користувачів.

2. Ці Вимоги деталізують та визначають спосіб виконання положень Закону України "Про електронні довірчі послуги" та Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992, щодо забезпечення безпеки та захисту інформації надавачів та ВПР.

3. Забезпечення безпеки інформації надавача або ВПР здійснюється шляхом комплексного застосування необхідного набору взаємодоповнюючих заходів щодо захисту інформації в ІКС надавача або ВПР, організаційних (адміністративних) заходів, відповідності приміщень, сховищ, програмно-технічного комплексу та електронних засобів технічним вимогам.

4. Діяльність з безпеки та захисту інформації надавача (ВПР) організовується, постійно підтримується та координується службою захисту інформації (далі - СЗІ) з дотриманням вимог законодавства у сфері захисту інформації, електронних довірчих послуг та регламенту роботи надавача.

5. У цих Вимогах терміни вживаються у таких значеннях:

вразливість - недостатня стійкість активу або заходу нейтралізації протистояти реалізації певній загрозі або сукупності загроз;

загроза - потенційна можливість реалізації вразливості;

критичний компонент - компонент, порушення захисту якого впливає на надання кваліфікованих електронних довірчих послуг;

приміщення - приміщення надавача або ВПР, призначені для розміщення програмно-технічного комплексу (далі - ПТК) або його складових, що використовується під час надання кваліфікованих електронних довірчих послуг та за ступенем обмеження доступу поділяються на рівні безпеки;

службові приміщення (безпечна зона) - приміщення, доступ в які забезпечується із застосуванням організаційно-технічних заходів контролю (фізичний та логічний контроль);

спеціальне приміщення (зона підвищеної безпеки) - приміщення, призначене для розміщення складових програмно-технічного комплексу з метою генерації, використання, зберігання та резервування особистих ключів надавача;

реєстрація - процедура, в рамках якої забезпечуються встановлення особи користувача, збір, перевірка та внесення до реєстру користувачів ідентифікаційних даних, необхідних для надання кваліфікованої електронної довірчої послуги.

Інші терміни вживаються у значеннях, наведених в Законах України "Про електронні довірчі послуги", "Про захист інформації в інформаційно-комунікаційних системах", Вимогах у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992.

1. Інформаційно-комунікаційні системи (далі - ІКС), що використовуються для цілей, встановлених у пункті 1 розділу I цих Вимог, повинні відповідати вимогам із захисту інформації шляхом впровадження комплексної системи захисту інформації (далі - КСЗІ) або системи управління інформаційною безпекою (далі - СУІБ) з підтвердженою відповідністю з дотриманням вимог законодавства у сфері захисту інформації та цих Вимог.

2. КСЗІ створюється відповідно до вимог нормативних документів системи технічного захисту інформації, затверджених Адміністрацією Держспецзв'язку.

СУІБ створюється відповідно до вимог стандартів, що визначають вимоги до інформаційної безпеки, визначених Переліком стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, що додається до Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992.

3. Підтвердження відповідності КСЗІ здійснюється відповідно до вимог Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (із змінами).

Підтвердження відповідності СУІБ здійснюється відповідно до Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 18 грудня 2018 року № 1215.

4. У випадку віднесення відповідно до законодавства у сфері кіберзахисту кваліфікованого надавача електронних довірчих послуг до об'єкта критичної інфраструктури в ІКС надавача повинні бути впровадженні заходи з кіберзахисту відповідно до вимог постанови Кабінету Міністрів України від 19 червня 2019 року № 518 "Про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури".

5. Надання кваліфікованих електронних довірчих послуг та здійснення реєстрації користувачів без чинних документів, що підтверджують відповідність ІКС вимогам законодавства у сфері захисту інформації, забороняються.

1. У регламенті роботи надавача в положеннях політики сертифіката та/або в положеннях з опису процедур і процесів, які виконуються під час надання кваліфікованих електронних довірчих послуг, що не передбачають формування та обслуговування кваліфікованих сертифікатів відкритих ключів, повинно бути визначено необхідність встановлення вимог до процедур з управління ризиками, персоналом, операційною безпекою, інцидентами, доказами та архівами, поводження з персональними даними користувачів, процедур встановлення заявника, ВПР та виїзних адміністраторів реєстрації, опису фізичного середовища з урахуванням цих Вимог та елементів технічних специфікацій та процедур для високого рівня довіри до засобів електронної ідентифікації, встановлених Вимогами до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затвердженими наказом Державного агентства з питань електронного урядування від 27 листопада 2018 року № 86, зареєстрованими Міністерством юстиції України 26 грудня 2018 року за № 1462/32914.

2. Надавач повинен захищати свої активи відповідно до проведеної оцінки ризиків. Процедури з управління ризиками повинні передбачати виконання заходів з оцінки ризиків з урахуванням цих Вимог.

3. Процедури з управління персоналом повинні передбачати:

1) наявність у надавача щонайменше двох посад адміністратора безпеки та аудиту;

2) щорічне проходження адміністратором безпеки та аудиту практичних навчань з інформаційної безпеки, що передбачають вивчення нових загроз інформаційної безпеки та реагування на них;

3) заборону суміщення посадових обов'язків адміністратора безпеки та аудиту з іншими посадовими обов'язками, безпосередньо пов'язаними з наданням кваліфікованих електронних довірчих послуг;

4) встановлення відповідних вимог щодо кваліфікації персоналу, безпосередньо пов'язаного з наданням кваліфікованих електронних довірчих послуг.

1. Процедури з управління операційною безпекою повинні передбачати:

1) контроль використання носіїв інформації в ІКС, спрямований запобіганню їх викраденню, пошкодженню, використанню понад експлуатаційного терміну, несанкціонованому доступу та використанню;

2) контроль встановлення оновлення комп'ютерних програм та оновлень безпеки;

3) резервне копіювання даних, необхідних для функціонування ІКС, у територіально відокремлених місцях із забезпеченням захисту цих даних від модифікації та несанкціонованого ознайомлення;

4) режим доступу до службових та спеціальних приміщень.

2. Забороняється застосування оновлень безпеки, які містять уразливості та є нестабільними. Причини невикористання оновлень безпеки документуються.

3. Забороняється оновлення комп'ютерних програм, що застосовуються в ІКС, з неідентифікованих та неавтентифікованих джерел.

1. Процедури з управління інцидентами повинні передбачати:

1) виконання заходів, визначених Порядком координації діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затвердженим наказом Адміністрації Держспецзв'язку від 10 червня 2008 року № 94, зареєстрованим в Міністерстві юстиції України 07 липня 2008 року за № 603/15294;

2) інформування контролюючого органу про порушення вимог з безпеки та захисту інформації, визначені в абзаці одинадцятому частини другої статті 13 Закону України "Про електронні довірчі послуги", протягом 24 годин після виявлення порушення;

3) інформування користувачів, яким надаються послуги, про порушення безпеки, які спричиняють на них негативний вплив, протягом двох годин після виявлення порушення.

1. Процедури з управління доказами та архівами повинні передбачати ведення журналів аудиту подій, у яких реєструються події таких типів:

1) спроби створення, знищення, встановлення паролів, зміни прав доступу в ІКС тощо;

2) заміна технічних засобів ІКС та пар ключів;

3) формування, блокування, скасування та поновлення кваліфікованих сертифікатів відкритих ключів, формування списків відкликаних сертифікатів відкритих ключів;

4) спроби несанкціонованого доступу до ІКС;

5) надання доступу персоналу до ІКС;

6) зміни системних конфігурацій та технічне обслуговування ІКС;

7) збої в роботі ІКС;

8) інші події, необхідні для збору доказів.

2. Усі записи в журналах аудиту подій в електронній або паперовій формі повинні містити дату та час події, а також ідентифікувати суб'єкта, що її ініціював або брав у ній участь.

3. Журнали аудиту подій резервуються та переглядаються адміністратором безпеки та аудиту не рідше одного разу на тиждень, в рамках чого перевіряється наявність несанкціонованої модифікації та вивчаються події.

4. Час, що зазначається у журналі аудиту подій, повинен бути синхронізований із Всесвітнім координованим часом з точністю до секунди.

5. Журнали аудиту подій повинні бути захищені від неавторизованого перегляду, модифікації і знищення.

6. Записи подій у журналах аудиту подій у паперовій формі повинні бути завірені і підписані адміністратором безпеки.

7. Надавач зберігає журнали аудиту подій на місці їх створення протягом 10 років, після чого забезпечує їх передачу на архівне зберігання.

1. Справи підписувачів зберігаються у приміщеннях та сховищах із забезпеченням розмежування доступу персоналу надавача або ВПР відповідно до посадових обов'язків.

2. Дозволяється тимчасове зберігання (протягом робочого дня) справ підписувачів у місці їх реєстрації у разі забезпечення їх захисту від несанкціонованого доступу (зберігання зачиненими у вогнестійкій шафі, сейфі).

3. У разі реалізації механізмів автентифікації підписувачів за ключовою фразою дані фраз ключової автентифікації повинні зберігатися в ІКС надавача із забезпеченням доступу до такої інформації виключно персоналу надавача, відповідального за управління статусами сертифікатів відкритих ключів підписувачів.

1. Процедури встановлення особи-заявника повинні використовувати наявні сервіси перевірки чинності документів та ідентифікаційної інформації про особу. До таких сервісів можуть належати сервіси "Перевірка за базою недійсних документів" (nd.dmsu.gov.ua) та "Єдиний державний реєстр юридичних осіб, фізичних осіб - підприємців та громадських формувань" (usr.minjust.gov.ua).

2. Верифікація даних ID-картки здійснюється одним із таких способів:

без залучення додаткових пристроїв шляхом візуального зіставлення однакової інформації (значення "УНЗР", "документ № ", "дата народження", "строк дії"), яка надрукована в зоні візуальної перевірки та машинозчитувальній зоні;

шляхом автоматизованого зчитування інформації з використанням апаратних та програмних засобів (зчитувачів), які мають інтерфейс, опублікований на офіційному вебсайті державного підприємства "Поліграфічний комбінат "Україна".

3. Якщо надавач має намір надавати кваліфіковані електронні довірчі послуги через ВПР або застосовувати процедури виїзної реєстрації, у регламенті роботи надавача в положеннях політики сертифіката визначаються вимоги до публікації на офіційному вебсайті надавача ідентифікаційних даних про ВПР та виїзних адміністраторів реєстрації в обсязі, достатньому для однозначного їх встановлення заявником.