Закон україни про внесення змін до Закону України "Про електронний цифровий підпис"




Сторінка1/4
Дата конвертації15.07.2017
Розмір0.66 Mb.
ТипЗакон
  1   2   3   4

ПРОЕКТ
Вноситься
Кабінетом Міністрів України
Ю
А. ЯЦЕНЮК
“ ”
2014 р.
ЗАКОН УКРАЇНИ
Про внесення змін до Закону України
“Про електронний цифровий підпис”
__________________________________
Верховна Рада України п о с т а н о в л я є :
І. Внести до Закону України “Про електронний цифровий підпис”
(Відомості Верховної Ради України, 2003 р., № 36, ст. 276; 2013 р., № 37,
ст. 488) такі зміни:
1. Статтю 1 викласти в такій редакції:
“Стаття 1. Визначення термінів
У цьому Законі терміни вживаються у такому значенні:
автентифікація — електронний процес, який дає змогу підтвердити належність ідентифікаційних даних фізичній або юридичній особі,
інформаційній системі, походження та цілісність електронних даних під час доступу до інформаційної системи;
автоматичний засіб електронного цифрового підпису — засіб електронного цифрового підпису, який реалізує в автоматизованих
інформаційних системах криптографічні алгоритми накладення та/або перевірки електронного цифрового підпису без участі фізичної особи;
акредитація — процедура документального засвідчення компетентності центру сертифікації ключів здійснювати діяльність,
пов’язану з обслуговуванням посилених сертифікатів ключів;
блокування сертифіката ключа — тимчасове зупинення чинності
сертифіката ключа;
відкритий ключ електронного цифрового підпису (далі — відкритий ключ) — параметр асиметричного алгоритму криптографічного перетворення, який використовується для перевірки електронного цифрового підпису, доступний користувачу;
електронний підпис — дані в електронній формі, які додаються до
інших електронних даних або логічно з ними пов’язані та призначені для
ідентифікації підписувача цих даних;
електронний цифровий підпис — вид електронного підпису,
отриманого в результаті криптографічного перетворення електронних даних, які додаються підписувачем до інших електронних даних або логічно з ними пов’язуються, з метою ідентифікації підписувача,
підтвердження цілісності цих даних, та/або для автентифікації
інформаційних систем та їх користувачів. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;засвідчення чинності відкритого ключа —
процедура формування сертифіката відкритого ключа;
засіб електронного цифрового підпису — апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів, накладення та/або перевірки електронного цифрового підпису;
компрометація особистого ключа — будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа; користувач — фізична або юридична особа, яка використовує
електронний цифровий підпис для перевірки цілісності електронних даних та ідентифікації підписувача, ідентифікації та автентифікації інформаційної
системи;
надійний засіб електронного цифрового підпису — засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері
криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюється у порядку,
визначеному законодавством;
особистий ключ електронного цифрового підпису (далі — особистий ключ) — параметр асиметричного алгоритму криптографічного перетворення, який використовується для накладення електронного цифрового підпису, доступний тільки підписувачу;
пара ключів — особистий та відповідний йому відкритий ключі, що є
взаємопов’язаними параметрами асиметричного криптографічного
2
алгоритму, який використовується для накладення електронного цифрового підпису;
підписувач — фізична особа або уповноважений представник юридичної особи, які на законних підставах володіють особистим ключем та від свого імені або за дорученням особи, яку вони представляють, або юридична особа, фізична особа — підприємець, які на законних підставах володіють особистим ключем, що використовується в автоматичному засобі електронного цифрового підпису, та від свого імені, накладають електронний цифровий підпис;
позначка часу — сукупність електронних даних, засвідчена електронним цифровим підписом, яка підтверджує наявність інших електронних даних або електронних документів на певний момент часу;
політика сертифікації — нормативно-правовий акт, що визначає
організаційні, технічні і технологічні вимоги до акредитованих центрів сертифікації ключів та центрального засвідчувального органу під час обслуговування посилених сертифікатів відкритих ключів, який затверджується центральним засвідчувальним органом та контролюючим органом;
посилений сертифікат відкритого ключа (далі — посилений сертифікат ключа) — сертифікат ключа, який відповідає вимогам цього
Закону та виданий відповідно до правил посиленої сертифікації, що встановлюються центральним засвідчувальним органом та контролюючим органом;
послуга фіксування часу — процедура засвідчення наявності
електронного документа на певний момент часу шляхом додавання до нього або логічного поєднання з ним позначки часу; послуги електронного цифрового підпису — надання у користування засобів електронного цифрового підпису, допомога під час генерації пар ключів, обслуговування сертифікатів ключів (їх формування,
розповсюдження, скасування, блокування, поновлення), надання
інформації про чинні, блоковані та скасовані сертифікати ключів, послуги фіксування часу, консультації та інші послуги, визначені цим Законом, що надаються на договірних засадах;
реєстрація — процедура внесення до Реєстру суб’єктів, які надають послуги електронного цифрового підпису, відповідної інформації про центр сертифікації ключів, засвідчувальний центр;
сертифікат відкритого ключа (далі — сертифікат ключа) —
електронний документ, виданий центром сертифікації ключів,
засвідчувальним центром чи центральним засвідчувальним органом, який засвідчує чинність і належність відкритого ключа підписувачу. На сертифікат ключа накладається електронний цифровий підпис центру
3
сертифікації ключів, засвідчувального центру чи центрального засвідчувального органу, що його видав;
сертифікат власного відкритого ключа центрального засвідчувального органу — сформований центральним засвідчувальним органом посилений сертифікат відкритого ключа з використанням відповідного йому особистого ключа центрального засвідчувального органу.”.
2. Абзац сьомий частини першої статті 2 викласти в такій редакції:
“засвідчувальний центр Національного банку України (далі —
засвідчувальний центр);”.
3. Статтю 3 викласти в такій редакції:
“Стаття 3. Правовий статус електронного цифрового підпису
Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) підписувача у разі, якщо: електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів електронного цифрового підпису;
електронний цифровий підпис накладено підписувачем, у тому числі
за допомогою автоматичного засобу електронного цифрового підпису;
під час накладення електронного цифрового підпису використовувався особистий ключ підписувача, посилений сертифікат відповідного йому відкритого ключа, сертифікат ключа центру сертифікації ключів,
сертифікат ключа засвідчувального центру чи сертифікат власного відкритого ключа центрального засвідчувального органу на момент накладення електронного цифрового підпису були чинні;
особистий ключ підписувача відповідає відкритому ключу,
зазначеному у сертифікаті ключа;
під час перевірки підтверджено цілісність електронних даних, на які
накладено електронний цифровий підпис.
Юридична особа, фізична особа — підприємець — власник автоматичного засобу електронного цифрового підпису визначає
уповноваженого представника, умови та порядок використання автоматичного засобу електронного цифрового підпису.
Електронний підпис не може бути визнаний недійсним лише через те,
що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.”.
4. Доповнити Закон статтею 3 1
такого змісту:
“Стаття 3 1
. Чинність сертифіката ключа
Сертифікат ключа вважається чинним, якщо:
4
під час його формування був чинним сертифікат ключа центру сертифікації ключів (сертифікат ключа засвідчувального центру чи сертифікат власного відкритого ключа центрального засвідчувального органу), що його сформував;
строк дії, зазначений у ньому, не закінчився;
його статус не змінено на блокований чи скасований з підстав,
визначених цим Законом.”.
5. Частину другу статті 4 викласти в такій редакції:
“Електронний цифровий підпис використовується фізичними та юридичними особами:
для електронної ідентифікації підписувачів — суб’єктів електронного документообігу;
для підтвердження цілісності інформації в електронних документах суб’єктів електронного документообігу;
для автентифікації інформаційних систем державної форми власності
(власником, володільцем, розпорядником яких є органи державної влади,
органи місцевого самоврядування). Власники (володільці, розпорядники)
інших інформаційних систем приймають рішення щодо використання електронного цифрового підпису для автентифікації цих систем. Власники
(володільці, розпорядники) інформаційних систем самостійно приймають рішення щодо використання електронного цифрового підпису для автентифікації осіб, що використовують ці системи, якщо інше не передбачено законодавством.”.
6. Доповнити Закон статтею 4 1
такого змісту:
“Стаття 4 1
. Послуги фіксування часу
Послуги фіксування часу надають центри сертифікації ключів.
Надання послуги фіксування часу включає:
реєстрацію звернень, на підставі яких формується позначка часу;
формування позначки часу в інформаційно-телекомунікаційній системі, що використовується під час надання послуг електронного цифрового підпису;
передачу користувачеві послуги фіксування часу сформованої
позначки часу;
реєстрацію та збереження позначки часу, переданої користувачеві
послуги фіксування часу.
Час, який використовується в позначці часу, встановлюється центром сертифікації ключів за київським часом з точністю до однієї секунди на момент її формування.
5

Центри сертифікації ключів отримують послугу постачання сигналів точного часу для формування та перевірки позначки часу, надання якої
забезпечується центральним засвідчувальним органом або засвідчувальним центром для зареєстрованих чи акредитованих ними центрів сертифікації
ключів відповідно.
Особливості надання послуги з постачання передачі сигналів точного часу засвідчувальним центром для зареєстрованих та акредитованих ним центрів сертифікації ключів та джерело синхронізації визначаються
Національним банком України.
Порядок синхронізації часу із сигналом точного часу розробляється центром сертифікації ключів та погоджується з центральним засвідчувальним органом або засвідчувальним центром відповідно.
Акредитований центр сертифікації ключів забезпечує надання послуги фіксування часу цілодобово та надає її з використанням особистого ключа акредитованого центру сертифікації ключів, посилений сертифікат відповідного йому відкритого ключа засвідчено центральним засвідчувальним органом або засвідчувальним центром відповідно.
У разі надання користувачеві послуги фіксування часу з порушенням вимог щодо точності часу, використання нечинного посиленого сертифіката ключа позначка часу вважається недійсною.”.
7. Частину першу статті 5 Закону замінити трьома частинами такого змісту:
“Органи державної влади, органи місцевого самоврядування,
підприємства, установи та організації державної форми власності для
ідентифікації їх уповноважених представників та підтвердження цілісності
електронних даних, ідентифікації фізичних осіб чи представників юридичних осіб у відносинах, що здійснюються в електронній формі,
зобов’язані використовувати лише посилений сертифікат ключа.
Автентифікація з використанням електронного цифрового підпису фізичних осіб чи представників юридичних осіб під час доступу до створених органами державної влади, органами місцевого самоврядування,
підприємствами, установами та організаціями державної форми власності
інформаційно-телекомунікаційних систем здійснюється з використанням лише посилених сертифікатів ключів.
Органи державної влади, органи місцевого самоврядування,
підприємства, установи та організації державної форми власності можуть отримувати послугу фіксування часу лише від акредитованих центрів сертифікації ключів.”.
У зв’язку з цим частини другу — сьому вважати відповідно частинами четвертою — дев’ятою.
6

8. У статті 6:
1) абзаци другий, п’ятий, шостий, восьмий та дев’ятий частини першої викласти в такій редакції:
“повне (або офіційне скорочене) найменування центру сертифікації
ключів, засвідчувального центру, центрального засвідчувального органу,
що видав цей сертифікат, та країну, область та місто, в якому він зареєстрований;”;
“ідентифікаційні дані підписувача;
дату і час початку та закінчення строку дії сертифіката;”;
“найменування криптографічного алгоритму, що використовувався під час формування сертифіката;
інформацію про обмеження використання відкритого ключа.”;
2) доповнити статтю частиною такого змісту:
“Вимоги до форматів та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, дотримання яких є обов’язковим,
базуються на національних та/або міжнародних стандартах та встановлюються головним органом у системі центральних органів виконавчої влади з формування та забезпечення реалізації державної
політики з питань використання електронного цифрового підпису разом з головним органом у системі центральних органів виконавчої влади з формування і забезпечення реалізації державної політики у сферах організації спеціального зв’язку та захисту інформації, телекомунікацій,
користування радіочастотним ресурсом України.”.
9. Доповнити Закон статтями 6 1
—6 3
такого змісту:
“Стаття 6 1
. Ідентифікаційні дані підписувача
Ідентифікаційними даними підписувачів — фізичних осіб є:
прізвище, ім’я та по батькові підписувача;
унікальний реєстраційний номер підписувача, що надається центром сертифікації ключів, засвідчувальним центром чи центральним засвідчувальним органом під час реєстрації підписувача;
країна, область та місто, в якому зареєстроване місце проживання підписувача.
У разі формування сертифіката ключа для фізичної особи —
працівника підприємства, установи та організації у сертифікаті ключа на підставі відповідної заяви підприємства, установи та організації додатково зазначаються найменування підприємства, установи та організації,
працівником якого (якої) є фізична особа — підписувач, та її посада.
Ідентифікаційними даними підписувачів — власників автоматичного засобу електронного цифрового підпису є:
7
повне (або офіційне скорочене) найменування підписувача;
унікальний реєстраційний номер підписувача, що надається центром сертифікації ключів, засвідчувальним центром чи центральним засвідчувальним органом під час реєстрації підписувача;
країна, область та місто, в якому зареєстрований підписувач.
Стаття 6 2
. Строки дії сертифікатів ключів
Строк дії сертифіката ключа підписувача, посилених сертифікатів ключів центру сертифікації ключів, акредитованого центру сертифікації
ключів, засвідчувального центру, сертифікатів власних відкритих ключів центрального засвідчувального органу встановлюється політикою сертифікації.
Стаття 6 3
. Регламент роботи центру сертифікації ключів
Організаційно-методологічні, технічні та технологічні умови діяльності центру сертифікації ключів під час обслуговування сертифікатів ключів підписувачів визначаються регламентом роботи центру сертифікації
ключів.
Регламент роботи затверджується керівником юридичної особи або фізичною особою — підприємцем, що є центром сертифікації ключів.
Центр сертифікації ключів до проходження процедури акредитації
погоджує регламент роботи з центральним засвідчувальним органом та контролюючим органом.
Вимоги до регламенту роботи встановлюються центральним засвідчувальним органом та контролюючим органом.”.
10. Абзаци перший — дванадцятий частини четвертої статті 8
замінити абзацами такого змісту:
“Центр сертифікації ключів зобов’язаний: забезпечувати захист інформації в інформаційно-телекомунікаційній системі, що використовується ним під час надання послуг електронного цифрового підпису, відповідно до законодавства;
встановлювати відповідно до законодавства фізичну особу та перевіряти повноваження представника юридичної особи, що звернулися з метою засвідчення чинності відкритого ключа;
забезпечувати захист персональних даних, отриманих від підписувача,
згідно із законодавством;
встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувачу;
8
своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених цим Законом; своєчасно попереджати підписувача та додавати в сертифікат відкритого ключа підписувача інформацію про обмеження використання електронного цифрового підпису, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів; розглядати звернення про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів; цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
вести електронний реєстр виданих сертифікатів ключів та реєстр блокованих і скасованих сертифікатів ключів шляхом формування та публікування списку відкликаних сертифікатів ключів;
забезпечувати цілодобово доступ користувачів до сертифікатів ключів та реєстру блокованих і скасованих сертифікатів ключів через загальнодоступні телекомунікаційні канали;
зберігати документи на паперових та електронних носіях, що створюються або надходять до центру сертифікації ключів, а також під час припинення ним діяльності забезпечувати їх передачу центральному засвідчувальному органу;
забезпечувати зберігання сформованих сертифікатів ключів та електронного реєстру скасованих і блокованих сертифікатів ключів до їх передачі центральному засвідчувальному органу відповідно до вимог цього
Закону;
своєчасно надавати засвідчувальному центру чи центральному засвідчувальному органу інформацію про зміну даних, відображених у власному сертифікаті ключа;
надавати консультації з питань, пов’язаних з електронним цифровим підписом.”.
11. У статті 9:
1) після частини другої доповнити новою частиною такого змісту:
“Акредитований центр сертифікації ключів зобов’язаний:
забезпечити наявність коштів на спеціальному рахунку, відкритому у банківській установі, у розмірі не менше ста мінімальних заробітних плат для забезпечення відшкодування збитків, які можуть бути завдані
підписувачам, користувачам або третім особам внаслідок неналежного виконання акредитованим центром своїх зобов’язань;
9
наймати працівників, що володіють необхідними для надання послуг електронного цифрового підпису знаннями, досвідом і кваліфікацією, у тому числі у сферах інформаційних технологій та захисту інформації, та визначати їх права та обов’язки як керівника, адміністратора реєстрації,
адміністратора сертифікації, адміністратора безпеки та системного адміністратора.”.
У зв’язку з цим частини третю і четверту вважати відповідно частинами четвертою і п’ятою;
2) частину четверту після слів “цифрового підпису” доповнити словами “, у тому числі автоматичні засоби електронного цифрового підпису, що мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації, підтвердження відповідності та проведення державної
експертизи яких здійснюється у порядку, визначеному законодавством.”.
12. Статті 10 і 11 викласти в такій редакції:
“Стаття 10. Засвідчувальний центр Національного банку України
Національний банк України має право створити засвідчувальний центр для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації центрів сертифікації ключів.
Засвідчувальний центр стосовно центрів сертифікації ключів,
зазначених у частині першій цієї статті, має такі самі функції і
повноваження, що і центральний засвідчувальний орган стосовно центрів сертифікації ключів.
Засвідчувальний центр повинен відповідати вимогам, встановленим законодавством для акредитованого центру сертифікації ключів.
Засвідчувальний центр реєструється та засвідчує свій відкритий ключ у центральному засвідчувальному органі.
Засвідчувальний центр надає послуги електронного цифрового підпису, за винятком надання у користування засобів електронного цифрового підпису, допомоги під час генерації пар ключів,
підписувачам — зареєстрованим чи акредитованим ним центрам сертифікації ключів.
Під час надання послуг електронного цифрового підпису в частині
обслуговування сертифікатів ключів засвідчувальний центр має такі самі
права та обов’язки стосовно підписувачів — зареєстрованих чи акредитованих ним центрів сертифікації ключів, що і акредитований центр сертифікації ключів.
Порядок передачі акредитованим у засвідчувальному центрі центром сертифікації ключів посилених сертифікатів ключів, відповідних реєстрів посилених сертифікатів ключів та документованої інформації, яка підлягає
10
обов’язковій передачі засвідчувальному центру, встановлюється
Національним банком України.
Організаційно-методологічні, технічні та технологічні умови діяльності засвідчувального центру під час обслуговування посилених сертифікатів ключів, проведення реєстрації, акредитації, а також порядок взаємодії із засвідчувальним центром зареєстрованих чи акредитованих ним центрів сертифікації ключів у процесі надання послуг електронного цифрового підпису визначаються регламентом роботи засвідчувального центру, що затверджується Національним банком України.
Регламент роботи засвідчувального центру погоджується з центральним засвідчувальним органом та контролюючим органом.
Регламент роботи засвідчувального центру є обов’язковим для підписувачів — зареєстрованих чи акредитованих ним центрів сертифікації
ключів під час надання засвідчувальним органом послуг електронного цифрового підпису та проведення ним реєстрації центрів сертифікації
ключів чи їх акредитації.
Стаття 11. Центральний засвідчувальний орган
Функції центрального засвідчувального органу здійснює головний орган у системі центральних органів виконавчої влади з формування та забезпечення реалізації державної політики з питань використання електронного цифрового підпису.
Центральний засвідчувальний орган:
проводить реєстрацію центрів сертифікації ключів та засвідчувального центру відповідно до вимог цього Закону;
проводить акредитацію центрів сертифікації ключів та її скасовує,
видає, переоформляє, видає дублікати та анулює свідоцтво про акредитацію відповідно до вимог цього Закону;
веде Реєстр суб’єктів, які надають послуги електронного цифрового підпису;
генерує пари ключів та формує сертифікати власних відкритих ключів;
надає послуги електронного цифрового підпису;
надає послугу з постачання передачі сигналів точного часу центрам сертифікації ключів, акредитованим центрам сертифікації ключів,
синхронізованого з Державним еталоном одиниць часу і частоти;
приймає рішення про скасування сертифікатів центрів сертифікації
ключів відповідно до вимог цього Закону;
зберігає посилені сертифікати ключів центрів сертифікації ключів,


Поділіться з Вашими друзьями:
  1   2   3   4


База даних захищена авторським правом ©divovo.in.ua 2017
звернутися до адміністрації

войти | регистрация
    Головна сторінка


загрузить материал