Відповідно до частини другої статті 7, частини другої статті 8 Закону України "Про електронні довірчі послуги", абзацу другого пункту 73 вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992, пунктів 4, 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, пунктів 4, 10, 12 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, з метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації НАКАЗУЄМО:

1. Установити, що:

1) технічні засоби, які створюються, використовуються та функціонують у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг, а саме програмно-технічні комплекси та засоби кваліфікованого електронного підпису чи печатки (далі - технічні засоби), що застосовують алгоритми криптографічного захисту інформації, наведені у національних стандартах, визначених у пунктах 55-58 Переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992 (далі - Перелік), мають відповідати вимогам національних стандартів, що визначені в пунктах 1-50 та 66-77 Переліку, в обсязі, що стосується кваліфікованих довірчих послуг, які надаються або отримуються з використанням таких технічних засобів;

2) технічні засоби, які застосовують алгоритми криптографічного захисту інформації, наведені в національних стандартах, визначених у пунктах 51-53 Переліку, мають відповідати вимогам національних стандартів, що визначені в пунктах 1-50 та 66-77 Переліку, а також ДСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования" та міжнародним рекомендаціям RFC 5208 та RFC 2898 в обсязі, що стосується кваліфікованих довірчих послуг, які надаються або отримуються з використанням таких технічних засобів, з урахуванням особливостей, що стосуються ідентифікації політик сертифіката, національних алгоритмів криптографічного захисту інформації та інших інформаційних об’єктів, обчислення відповідних функцій гешування та створення електронного підпису;

3) документами про відповідність або позитивними експертними висновками за результатами державної експертизи у сфері криптографічного захисту інформації підтверджується відповідність технічних засобів вимогам національних стандартів, що визначені в пунктах 28-33 Переліку, в обсязі виконуваних функцій (за призначенням).

Оцінка відповідності або державна експертиза у сфері криптографічного захисту інформації технічних засобів здійснюється з урахуванням вимог стандартів наведених у пунктах 59-62 Переліку .

2. Кваліфікованим надавачам електронних довірчих послуг, замовникам, розробникам та виробникам засобів кваліфікованого електронного підпису чи печатки, організаціям, які використовують електронні довірчі послуги під час електронної взаємодії фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання за участю третіх осіб електронних даних, аналоги яких на паперових носіях мають містити власноручний підпис відповідно до законодавства, а також автентифікації в складових частинах інформаційних систем, в яких здійснюється обробка таких електронних даних та володільцями інформації в яких є органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, забезпечити застосування вимог до технічних засобів, встановлених цим наказом, та особистих ключів, генерацію яких здійснено до набрання чинності цим наказом, до закінчення строку чинності відповідних кваліфікованих сертифікатів відкритих ключів, але не пізніше 06 листопада 2020 року.

3. Суб’єкти відносин у сфері електронних довірчих послуг, що використовують у своїй діяльності кваліфіковані сертифікати відкритих ключів, застосовують кваліфікований електронний підпис:

1) в межах країни з метою забезпечення електронного документообігу та електронної автентифікації осіб відповідно до:

ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння" з функцією гешування за ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования". Ці національні стандарти застосовуються для створення кваліфікованого електронного підпису до 01 січня 2022 року та для створення кваліфікованого електронного підпису з метою надання інформації щодо статусу сертифікатів відкритих ключів до завершення терміну їх дії та для перевірки кваліфікованого електронного підпису;

ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння" з функцією гешування за ДСТУ 7564-2014 "Інформаційні технології. Криптографічний захист інформації. Функція ґешування". Ці національні стандарти застосовуються для створення кваліфікованого електронного підпису з 01 січня 2021 року та для перевірки кваліфікованого електронного підпису;

ДСТУ ISO/IEC 14888-3:2019 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування" із застосуванням алгоритму ECDSA зі ступенем розширення основного поля еліптичної кривої не менше ніж 256 з функціями гешування sha256 або sha512 відповідно до національного стандарту, визначеного пунктом 55 Переліку;

2) для транскордонного співробітництва з будь-якою метою відповідно до вимог:

встановлених національним стандартом, визначеним в пункті 55 Переліку;

зазначених у підпункті 1 цього пункту.

4. Експертній групі розвитку електронних довірчих послуг директорату функціонального розвитку цифровізації Міністерства цифрової трансформації України з метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень у сфері електронних довірчих послуг, а також недопущення їх дискримінації, взаємного визнання українських та іноземних сертифікатів відкритих ключів та електронних підписів, що використовуються під час надання юридично значущих електронних послуг, забезпечити функціонування програмно-технічного комплексу центрального засвідчувального органу та захисту інформації, що в ньому обробляється, відповідно до вимог законодавства, шляхом впровадження на офіційному вебсайті центрального засвідчувального органу: