Концепція змін до законодавства в сфері електронного цифрового підписуСкачати 191.32 Kb.
Pdf просмотр
Дата конвертації15.07.2017
Розмір191.32 Kb.
ТипКонцепція
reforms.in.ua
1


Концепція
змін до законодавства в сфері електронного цифрового
підпису


Проект до обговорення
1

17.11.2014
Концепція проекту Закону УкраїниПро внесення змін до Закону УкраїниПро
електронний цифровий підпис
та змін до інших актів законодавства.
Summary.
Проблема
: відсутність інтероперабельності (функціональної несумісності - внутрішньої та зовнішньої) як результат історичного розподілу сфер впливу в
інфраструктурі ЕЦП.
Запропонований департаментом Центрального Засвідчувального Органу
Міністерства юстиції
шлях вирішення проблеми зовнішньої
інтероперабельності полягає у створенні Довірчого центру, який буде слугувати шлюзом між Україною та Європою і США.
Дана позиція була озвучена на засіданні Науково-експертної ради з питань розвитку інфраструктури відкритих ключів України при Міністерстві юстиції України та опублікована у складі «Концепції стандартизації та розвитку інфраструктури відкритих ключів та надання послуг електронного цифрового підпису
(кваліфікованих електронних довірчих послуг)».
АПУ пропонує для вирішення проблеми зовнішньої та внутрішньої
інтероперабельності обрати модель вирішення проблеми, яку впроваджують країни-члени ЄС
:
1)
керуватись Регламентом ЄС №910/2014 (загалом, і зокрема в частині
Статті 14 «Міжнародні аспекти»), укласти відповідні угоди з країнами та міжнародними організаціями,
2)
гармонізувати українські стандарти з європейськими і світовими стандартами та сертифікувати в Україні загальновживані криптографічні бібліотеки, що реалізують рекомендовані світовим співтовариством алгоритми ЕЦП.
Запропонований підхід дозволить виконати вимоги Угоди про Асоціацію щодо розвитку електронної торгівлі та сервісів, спростити впровадження і застосування ЕЦП для державного сектора і для обміну інформацією із бізнесом і громадянами (для систем електронних закупівель, для систем електронного документообігу, державних порталів тощо).
Недоцільність створення Довірчого центру та доцільність застосування
європейської практики підтвердили також міжнародні експерти Берге
Самуельсен (Данія) та Тато Урджумелашвілі (Грузія).
1
Підготовлено експетною групою при Адміністрації Президента України
reforms.in.ua
2

Проблема, яка потребує вирішення.
Загальний контекст.
В Україні з 1 січня 2004 року набрав чинності ЗаконПро електронний
цифровий підпис (від 22.05.2003 № 852-IV), який визначає поняття, сферу використання та юридичну силу електронного цифрового підпису (ЕЦП). Закон також визначає суб’єкти правових відносин та архітектуру органів, задіяних у сфері послуг ЕЦП, встановлює їх обов’язки та аспекти взаємодії. Протягом
2004 року були прийняті нормативні акти, що визначають порядок застосування ЕЦП органами державної влади, порядок акредитації центрів сертифікації ключів, деталі щодо роботи Центрального засвідчувального органу.
Станом на вересень 2014 року національна система ЕЦП включає:

Центральний засвідчувальний орган (ЦЗО);

засвідчувальний центр (ЗЦ) національного банку України;

17 акредитованих центрів сертифікації ключів (АЦСК);

7 центрів сертифікації ключів (ЦСК).
Підписувачами (користувачами послуг ЕЦП) на сьогодні є понад 3 млн. фізичних та юридичних осіб. Переважну більшість сертифікатів (1,775 млн.) видав державний акредитований центр сертифікації ключів ІДД Міндоходів;
624 тис. сертифікатів – АЦСК у приватній власності ТОВ “ЦСК Україна” та
485 тис. – АЦСК у приватній власності ТОВ “УСЦ”
2
В Україні з 1980-х років розвивалась наука криптологія (та її складові криптографія та криптоаналіз). Методи криптографічних перетворень описані в

ДСТУ ISO / IEC 15946-1, 3;

ISO / IEC 15946-1, 4;

ISO / IEC 14888-3;

ISO / IEC 9796-3;

ГОСТ Р 10-2001;

ДСТУ 4145-2002.
Національним українським стандартом для цифрового підпису є алгоритм, що базується на еліптичних кривих, описаний в ДСТУ 4145-2002.
На українському ринку розробників засобів ЕЦП лідируючу позицію займає АТ

ІІТ” (Інститут Інформаційних Технологій). На базі їх криптобібліотек та програмного забезпечення видано понад 2 млн. чинних сертифікатів (з них 1,8 млн. – державними АЦСК ІДД Міндоходів та ГІОЦ Укрзалізниці); другу позицію займає ТОВ “БЕСТ-ЗВІТ” (1,1 млн. чинних сертифікатів видано приватними АЦСК); третю позицію займає ТОВ “БІТІС” (14,7 тис. чинних
2
За даними ДП “Інформаційний центр” Міністерства юстиції України
reforms.in.ua
3
сертифікатів, з них 9,4 тис. видано Держказначейством)
3
Електронний цифровий підпис широко застосовується у сфері бізнесу (для внутрішнього використання та врегулювання відносин бізнес-бізнес за домовленістю), у сфері суспільного життя (для автентифікації та перевірки надійності джерел подачі інформації), для взаємовідносин бізнесу і громадян та держави (подача електронної звітності), у сфері державного управління (у відомчих та міжвідомчих системах документообігу, державних реєстрах) та в системах банківського обслуговування.
Застосування електронних цифрових підписів є невід’ємною частиною економічного розвитку, а також важливим інструментом впровадження електронного врядування.
Досвід інших країн показує, що використання системи електронного цифрового підпису допомагає спростити ведення бізнесу. Наприклад, в Південній Кореї система електронного підпису наряду з системою електронної ідентифікації та системою електронного каталогу є невід’ємною частиною архітектури загальноурядових систем (Governmentwide Enterprise Architecture – інтегрована платформа міжурядових сервісів для громадян, бізнесу та урядових установ), що дозволила вирішити питання ідентифікації та проблему кредитної перевірки постачальників, тим самим скоротивши бізнес-процеси з 75 до 15 етапів та зменшивши час обробки з 4 тижнів до 1 тижня (загалом застосування архітектури загальноурядових систем дозволило зменшити видатки на
$240 млн.
між 2009 та 2011 роками).
4
Проблеми законодавчого регулювання
Загалом українське законодавство визначає сферу послуг електронного цифрового підпису.
Водночас на сьогоднішній день існує ряд проблем, що обмежують застосування електронного цифрового підпису та потребують законодавчого вирішення
:
1)
проблема відсутності внутрішньої інтероперабельності
5
в межах України: ключі, видані одним українським ЦСК/АЦСК, не можуть бути перевірені засобами електронного цифрового підпису, що розроблені іншим українським центром сертифікації ключів;
2)
проблема відсутності зовнішньої інтероперабельності, тобто визнання зарубіжних ЕЦП в Україні та українських ЕЦП в інших країнах світу
(
відсутній правовий та технічний механізм регулювання визнання
іноземних сертифікатів ключів в Україні);
3)
неможливість українським розробникам програмного забезпечення користуватись світовими стандартами та напрацюваннями у сфері
3
За даними ДП “Інформаційний центр” Міністерства юстиції України
4
Джерело: http://workspace.unpan.org/sites/Internet/Documents/UNPAN90678.pdf
5
Інтероперабельність – функціональна сумісність компонент системи, від англ.
Interoperability
reforms.in.ua
4
криптографічних алгоритмів і форматів підписів для українських користувачів.
Зокрема, відсутність внутрішньої інтероперабельності є перепоною для побудови системи міжвідомчого документообігу в державному секторі, оскільки відомчі системи документообігу розроблені різними виробниками, та ключі, що в них застосовуються, є неінтероперабельними.
Вирішення проблеми інтероперабельності дозволить покращити рівень співпраці з ЄС, СОТ та ООН у сферах:

розвитку експорту вітчизняних галузей виробництва (в частині обміну електронними документами, засвідченими електронним цифровим підписом);

лібералізації і забезпечення відкритості взаємного доступу до сфер електронної торгівлі та електронних сервісів різних галузей економіки, державного управління та суспільного життя;

спрощення ведення бізнесу та громадського користування сертифікатами через відсутність перепон у визнанні сертифікатів, виданих за кордоном, а також через можливість власників українських сертифікатів застосовувати їх поза межами
України.
В
Європі вже
є позитивний досвід вирішення транскордоної
інтероперабельності: Естонія взаємно визнає підписи Португалії, Бельгії та
Литви без створення додаткових регулюючих органів (довірчих центрів).
Отже, можливість широкого застосування електронного цифрового підпису є важливою з кількох точок зору:

для зростання темпів розвитку електронної економіки, що потребує застосування електронних засобів підтверждення підпису;

для підвищення ефективності роботи публічної адміністрації, включаючи якість послуг електронного урядування;

для розвитку системи електронних закупівель;

для зменшення вартості надання адміністративних послуг та скорочення часу їх надання через переведення в електронну форму;
Причини наявності проблем.
Розглянемо послідовно причини наявності обмежень у використанні ЕЦП.
Причиною відсутності внутрішньої інтероперабельності є: опціональність окремих положень вимог до стандартів, протоколів та алгоритмів ЕЦП. Дану проблему можна вирішити шляхом виконання наступних кроків:
1.
Визначення та фіксування вимог шляхом:

фіксування опціональних положень вимог до стандартів, протоколів та алгоритмів; або

запровадження єдиної методики проведення експертних досліджень засобів
ЕЦП на відповідність вимогам до стандартів, протоколів та алгоритмів ЕЦП, а також створення
єдиного технологічного майданчика
(Стенда) для
reforms.in.ua
5
випробувань на предмет інтероперабельності засобів ЕЦП; або

затвердження світових стандартів для використання в Україні.
2.
Внесення змін до програмних комплексів ЦЗО, ЦСК та АЦСК відповідно до визначених вимог.
3.
Перевипуск ЕЦП для українських користувачів.
Міністерством юстиції для розв’язання проблеми пропонується вибір побудови
Стенда, вартість реалізації якого оцінюється від
200-400 тис. грн. до 1 млн.
євро
, строк реалізації – 4-6 місяців (кінцевий продукт – це розроблена методика проведення експертних досліджень засобів ЕЦП на відповідність вимогам до стандартів, протоколів та алгоритмів ЕЦП, а також онлайн-сервіс для віддаленого тестування засобів та форматів ЕЦП):

“Стенд ЦЗО– апаратно-технічний комплекс до складу якого входить набір програмних тестів, призначених для спеціальних або контрольних випробувань різноманітних об’єктів (від програмних засобів до криптомодулів чи комплексів) з метою досягнення внутрішньої інтероперабельності базових об’єктів НСЦЕП та унормування вимог Європейського законодавства в сфері ЕЦП.

за своїм складом Стенд (за виключенням модуля міні-кластеру та набору тестів)
ідентичний до програмно-технічного комплексу Центрального засвідчувального органу, і, крім дозвільної, тестової і науково-дослідницької функцій, повинен стати резервом програмно-технічного комплексу ЦЗО. Такий підхід забезпечить не тільки можливість домогтися технічної сумісності суб’єктів НСЕЦП, але, що найголовніше, забезпечить стійкість та живучість Національної системи електронного цифрового підпису України.”
6
Естонія розробила та опублікувала для загального безкоштовного користування загальну систему цифрового підпису для створення та валідації документів з цифровим підписом. Система складається з декількох бібліотек та засобів для кінцевого користувача, що застосовують єдиний формат накладеного підпису. В результаті, естонські цифрові підписи є повністю
інтероперабельними не лише в державному секторі, але й в межах країни.
7
Європейська Комісія прийняла 28 листопада 2008 р. “План дій по електронному підпису та електронній ідентифікації для сприяння надання транскордонних публічних послуг в окремих сферах” (Action Plan on eSignatures and eIdentification to facilitate the provision of cross-border public services in the Single
Market)
8
Хоча фокус даного плану дій був на сферу G2G, запроваджені додатки та засоби також можуть використовуватись для B2B, B2C. Програма була завершена в 2009 році.
Причиною відсутності зовнішньої інтероперабельності є: неможливість застосування в Україні світових стандартів, і навпаки, – неможливість застосовувати українські стандарти за межами України. Є 3 варіанти вирішення даної проблеми:
6
За даними, наданими Міністерством юстиції України
7
Джерело: http://ec.europa.eu/idabc/servlets/Docd7a7.pdf?id=32608 8
Джерело: http://ec.europa.eu/idabc/en/document/7768.html
reforms.in.ua
6
Варіант 1. Побудова системи згідно європейської практики:
1.
Виконання заходів щодо легітимізації європейських та глобальних підписів в Україні:

затвердження світових стандартів для використання в Україні,

внесення змін до програмних комплексів ЦЗО, ЦСК та АЦСК відповідно до визначених вимог,

отримання позитивного експертного висновку на надійні засоби ЕЦП.
2.
Виконання заходів щодо легітимізації українських підписів:

Підписання міжнародного договору
, додавання нашого ЦЗО у Trust list,

внесення змін до програмного комплексу ЦЗО.
Варіант 2. Стандартизація української криптобібліотеки у світі (можливе лише після вирішення проблеми внутрішньої інтероперабельності).
Варіант 3. Створення Довірчого центру сертифікації ключів Міністерства юстиції.
Для розв’язання проблеми зовнішньої інтероперабельності Міністерством юстиції пропонується створити Довірчий центр сертифікації ключів
Міністерства юстиції, вартість якого становитиме
2,5-3 млн. євро
, строк реалізації 7-9 місяців, та який повинен забезпечити визнання іноземних сертифікатів ключів в Україні і, навпаки, українських сертифікатів ключів в країнах ЄС та США шляхом:

“випуску перехресних кросс-сертифікатів, обміну і оновлення належним чином сертифікатів з ЦЗО кожного учасника інфраструктури відкритих ключів (PKI);

регулярного розсилання сертифікатів «Списків довіри» членам РКІ;

ведення служби каталогу (репозиторію) випущених головних сертифікатів кожному члену PKI, а також відповідні Списки анулювання сертифікатів, які потрібно регулярно оновлювати;

підтримання веб-вузла, що публікує меморандуми та інші документи щодо політик сертифікації;

on-line квитування статусу сертифікату через OCSP (Online Certificate Status Protocol)

забезпечення технічних інтерфейсів взаємодії з Довірчими Центрами ЄС;

забезпечення базових основ тестування інтерфейсу з вузлом Довірчого Центру, призначених для нових претендентів на підключення.”
9
Є дві складові причини неможливості
розробникам
українського
програмного забезпечення користуватись світовими бібліотеками:
1)
відсутність гармонізованих європейських стандартів;
2)
складність отримання сертифікату відповідності або позитивного експертного висновку на надійний засіб ЕЦП.
Проблему
складності
отримання
сертифікату
відповідності
або
позитивного експертного висновку на надійний засіб ЕЦП, пов’язану з недостатністю інституцій, які проводять таку експертизу в Україні, можна розв’язати шляхом застосування послуг зарубіжних лабораторій, як це практикується у світі.
9
За даними, наданими Міністерством юстиції України
reforms.in.ua
7
Інша додаткова проблема, яка потребує вирішення – це приймання
електронних документів, підписаних електронним підписом, нарівні з
паперовими системою судів та нотаріальних установ.
Регламенти та Директиви ЄС у сфері електронного цифрового підпису.
Актуальність вирішення проблем інтероперабельності в світовому масштабі зростає з розвитком електронної комерції та транскордонної торгівлі.
У Європейському Союзі діє Директива
1999/93/ЄС Європейського
Парламенту та Ради від 13 грудня 1999 р. про електронні підписи, що застосовуються в межах Співтовариства. Вказану директиву з 1 липня 2016 р. відміняє та заміняє Регламент 910/2014 від 23 липня 2014 р. про електронну
ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку.
Директива 1999 року була імплементована державами-членам ЄС шляхом прийняття спеціальних законів, актів чи Президентських указів про електронний цифровий підпис (в окремих випадках поєднано із актами про електронні документи).
Угода про асоціацію між Україною та Європейським Союзом передбачає вжиття Україною комплексу заходів для розвитку електронної торгівлі та сервісів (що визначено статтями 139, 140), у тому числі “визнання сертифікатів електронних підписів, виданих населенню, та сприяння розвитку послуг транскордонної сертифікації”.
Планом заходів з імплементації Угоди про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським Співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони, на 2014—2017 роки передбачені пункти, спрямовані на вирішення описаної проблеми:

Пунктом 88 Плану заходів передбачено створення національного органу стандартизації, що не є органом державної влади (строк виконання – січень 2015 р.).
Цей пункт має непрямий вплив на проблему, але є важливим для її розв’язання.

Пунктом 118 Плану заходів передбачено гармонізацію стандартів, необхідних для забезпечення обміну електронними документами між Україною та державами — членами ЄС, у сфері електронного цифрового підпису (з урахуванням Директиви
№ 1999/93/ЄС Європейського Парламенту та Ради від 13 грудня 1999 р. про електронні підписи, що застосовуються в межах Співтовариства), а також електронного документообігу (строк виконання – 2014-2017 рр.), проте відсутнє посилання на Регламент №910/2014, який відміняє та заміняє вказану директиву з 1 липня 2016 р.

Пунктом 119 Плану заходів передбачено Опрацювання питання визнання в Україні
іноземних сертифікатів ключів та електронних цифрових підписів, що забезпечить активний розвиток транскордонного співробітництва та інтеграцію України у світовий електронний інформаційний простір (строк виконання – вересень 2015 р.).
Проте даний план заходів є неповним, відсутні наступні елементи:

ратифікація нового Регламенту ЄС №910/2014;
reforms.in.ua
8

прийняття збалансованого рішення щодо використання вітчизняної криптографії
(захист державних інформаціних ресурсів);

реформа системи стандартизації;

створення органів оцінки відповідності у сфері довірчих послуг;

входження в міжнародні проекти щодо інтероперабельності ЕЦП та ЕДО.
Аналіз нормативних документів у сфері ЕЦП
ЗаконПро електронний цифровий підпис (від 22.05.2003 № 852-IV) є основоположним документом в сфері електронного цифрового підпису. Закон визначає зокрема, що

Кабінет Міністрів України за необхідності визначає засвідчувальний центр центрального органу виконавчої влади. Інші державні органи за необхідності, за погодженням з КМУ, визначають свої засвідчувальні центри (стаття 10).

Центральний засвідчувальний орган визначається Кабінетом Міністрів України
(стаття 11).
Згідно Указу Президента України 395/2011 від 6 квітня 2011 року та постанові КМУ 228 від 2 липня 2014 року затверджено Положення про
Міністерство юстиції, яке визначає:

Мін’юст є головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику з питань використання електронного цифрового підпису, що забезпечує формування та реалізацію державної політики у сфері архівної справи і діловодства, у сфері захисту персональних даних
(пункт 1).

Основними завданнями
Мін’юсту
є виконання функцій центрального засвідчувального органу шляхом забезпечення створення умов для функціонування суб’єктів правових відносин у сфері електронного цифрового підпису (пункт 3, підпункт 7).

Міністерство юстиції відповідно до покладених на нього завдань (пункт 4): o
виконує функції центрального засвідчувального органу системи електронного цифрового підпису (підпункт 75 постанови та 64 указу);
o забезпечує розроблення норм, стандартів і технічних регламентів у сфері електронного цифрового підпису (підпункт 76 постанови та 65 указу); o
забезпечує здійснення відповідно до законодавства технічного регулювання у сфері електронного цифрового підпису (підпункт 77 постанови та 66 указу); o
здійснює організаційні заходи щодо застосування електронного цифрового підпису (підпункт 78 постанови та 67 указу).
Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається постановою 1452 від
28.10.2004
Кабінету Міністрів України.
Слід зазначити, що в Постанові вказано, що:

установа (органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності) може використовувати ключі лише від одного акредитованого центру сертифікації ключів, а використання підписувачами особистих ключів, відповідні відкриті ключі яких засвідчені іншими
reforms.in.ua
9
акредитованими центрами сертифікації ключів, забороняється.

Також встановлюється обмеження на лише один особистий ключ для підписувача.
Порядок акредитації центру сертификації ключів визначається постановою
Кабинету Міністрів України 903 від 13.07.2004. Постановою, зокрема, визначається:

плата за акредитація встановлюється КМУ;

строк чинності сертифіката підписувача – не більше 2 років;

сертифікат АЦСК дійсний 5 років;

перелік документів, що подаються на акредитацію, серед яких: o
КСЗІ з атестатом відповідності вимогам захисту інформації, o
сертифікат відповідності
АБО позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту
інформації.
Положення про центральний засвідчувальний орган затверждується постановою 1451 КМУ від 28 жовтня 2004 р. Даною постановою також:

покладається виконання функцій ЦЗО на Міністерство юстиції;

технічне та технологічне забезпечення виконання функцій ЦЗО здійснюється визначеним ним в установленому порядку державним підприємством, установою чи організацією.
Регламент роботи центрального засвідчувального органу затверждується наказом Міністерства юстиції 183/5 КМУ від 29.01.2013. В наказі в тому числі визначається:

Міністерство юстиції України відповідно до Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, виконує такі функції ЦЗО (пункт 1.3).

Технічне та технологічне забезпечення виконання функцій ЦЗО здійснюється
Адміністратором ІТС ЦЗО – державним підприємством «Інформаційний центр»
Міністерства юстиції
України.
Функції
Адміністратора
інформаційно- телекомунікаційної системи (ІТС) ЦЗО визначаються Міністерством юстиції України
(пункт 1.4, 1.8).

Вимоги до форматів, структур та протоколів, що застосовуються під час формування сертифікатів ключів ЦЗО, формування сертифікатів ключів Центрів, формування СВС
Центрів (пункт 1.5).

Центри використовують пари (особистих та відкритих) ключів зі ступенем розширення основного поля еліптичної кривої згідно з ДСТУ 4145-2002
«Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих», затвердженим наказом
Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31, не менше 257 (пункт 1.12).

Робота ІТС ЦЗО можлива лише при функціонуючій КСЗІ (пункт 2.2).

Технічні характеристики особистих та відповідних їм відкритих ключів ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС (зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ
4145-2002).

Технічні характеристики інших застосовуваних ключів згідно пункту 1 розділу VII (зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ
4145-2002).
reforms.in.ua
10
Процедури генерації особистих та відповідних їм відкритих ключів та інші дії з ключами здійснюються в частині, що не суперечить вимогам Регламенту ЦЗО, відповідно до положень Інструкцій, передбачених Положенням про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту
інформації, затвердженим наказом Адміністрації Державної
служби
спеціального звязку та захисту інформації України від 20 липня 2007 року
141
(зареєстрованим в Міністерстві юстиції України 30 липня 2007 року за № 862/14129)
Вимоги до форматів, структур та протоколів, що застосовуються під час формування сертифікатів ключів ЦЗО, формування сертифікатів ключів
Центрів, повинні відповідати вимогам наказу Міністерства юстиції України,
Адміністрації Державної служби спеціального звязку та захисту
інформації України від 20 серпня 2012 року 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису»
(зареєстрованого в Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710)
П
орядок застосування електронного підпису, у тому числі електронного цифрового підпису в банківській системі України та суб'єктами переказу коштів визначається Національним банком України.
Стандарти послуг електронного цифрового підпису.
Європейська система стандартів послуг у сфері електронного цифрового підпису за роки свого існування стала складною з ознаками відсутності системності, і зараз триває процесс систематизації стандартів. Систематизацією
європейських стандартів займається
Інститут
Євроейських
Телекомунікаційних стандартів (European Telecommunications Standards
Institute - ETSI), які представили у 2012 році “Обгрунтовану схему стандартизації для електронного цифрового підпису” (Rationalized Framework for Electronic Signature Standardization) та “Стандартизаційний Мандат М460”
10
Схема стандартів електронного підпису в ЄС на 2011 рік
11
:
10
Джерело: http://www.etsi.org
11
Джерело: http://www.etsi.org
reforms.in.ua
11
Серед причин, які слугували початком реформування системи стандартів цифрового підпису в ЄС, виділені наступні:

забагато можливих варіантів впровадження стандартів;

забагато можливих інтерпретацій стандартів;

занадто академічні і не бізнес-орієнтовані стандарти;

стандарти не є зрозумілими;

стандарти містять недостатньо прикладів імплементації;

стандарти мають недостатній зв’язок з законодавством;

комерційне програмне забезпечення не завжди відповідає стандартам.
За звітом ETSI, дані причини спричинили:

відсутність інтероперабельності електронного підпису в існуючих програмних додатках та недостаток довіри до системи;

наявні проблеми взаємного визнання підписів та проблеми із зовнішньою
інтероперабельністю.
ETSI пропонують нову систему стандартизації в сфері електронного підпису:
reforms.in.ua
12
Європейські стандарти сфери довірчих послуг
12
:
12
Джерело: http://www.e-signatures-standards.eu
reforms.in.ua
13

На сьогоднішній день діє 19500 міжнародних стандартів ISO та 19000
європейських стандартів CEN/ETSI. Для членства в ЄС встановлено критерій гармонізації 80% стандартів. На сьогоднішній день в Україні гармонізовано
5000 міжнародних стандартів ДСТУ-ISO (з них мовою оригіналу – 600) та 1800
європейських стандартів ДСТУ- CEN/ETSI (з них мовою оригіналу – 45).
В сфері електронного підпису кількість гармонізованих стандартів – 42.
Разом з тим, 05.12.2013 видано наказ Міністерства юстиції України та
Адміністрації Державної служби спеціального зв'язку та захисту
інформації України 2563/5/645 "Про затвердження переліків стандартів у сфері електронного цифрового підпису, перспективних для перегляду та гармонізації з європейськими та міжнародними стандартами відповідно до встановлених законодавством процедур", в якому визначено перелік 106
європейських та міжнародних стандартів для гармонізації та 78 стандартів в сфері ЕЦП, що підлягаються перегляду. На даний момент виконання наказу не розпочате.
Мета законодавчого регулювання.
Метою законопроекту є розбудова системи електронного цифрового підпису, що відповідатиме регламенту ЄС №910/2014, світовим та європейським стандартам, напряму євроінтеграції та вирішить питання внутрішньої і зовнішньої інтероперабельності для України.
Шляхи вирішення проблеми
reforms.in.ua
14
Для вирішення окреслених проблем необхідно запровадити низку нормативних положень. При цьому варіантами регулювання є видання акту (актів) Кабінету
Міністрів, Президента України чи прийняття змін до законодавчих актів.
Зазначені проблеми не можуть бути повністю вирішені шляхом прийняття актів
Кабінету Міністрів України з таких причин:
1.
відповідно до Конституції України та Закону “Про Кабінет Міністрів
України”, Кабінет Міністрів видає обов’язкові для виконання акти – постанови і розпорядження – на основі та на виконання Конституції і законів України, актів Президента України, постанов Верховної Ради
України, прийнятих відповідно до Конституції та законів України.
Відповідно,
Кабінет
Міністрів
України не має повноважень врегульовувати певну сферу суспільних відносин без належної правової підстави;
2.
акти Кабінету Міністрів України мають обмежену сферу дії – вони не поширюються на органи місцевого самоврядування, суди, Верховну Раду
України, Президента України, інші державні органи, які не є органами виконавчої влади, крім випадків, коли повноваження Кабінету Міністрів
України з прийняття нормативно-правового акта передбачено законом;
3.
питання, які стосуються сфери електронного цифрового підпису, вже врегульовано законом, тому вони не можуть бути змінені підзаконними актами.
Зазначені міркування також роблять неможливим вирішення наведених проблем шляхом прийняття акта Президента України.
Відповідно, для вирішення окреслених вище проблем пропонується підготувати проект Закону України про внесення змін до деяких законодавчих актів
України щодо послуг у сфері електронного цифрового підпису
(“
Законопроект”).
Оскільки в Україні вже діє базовий закон про електронний цифровий підпис, який потребує суттєвого доопрацювання через те, що його положення не відповідають Регламенту №910/2014, а також не вирішують описані вище проблеми, пропонується прийняття нового базового закону, який замінить
Закон України “Про електронний цифровий підпис”.
Законопроект повинен містити такі положення:
1.
Опис сфери електронного цифрового підпису та довірчих послуг, суб’єктів сфери, аспектів взаємовідносин – відповідно до регламенту
№ 910/2014, який потрібно продублювати максимально точно методом перекладу для спрощення подальної інтеграції в європейський законодавчий простір.
2.
Визначати вектор розвитку сфери ЕЦП в Україні, що стосується входження у європейські Списки довіри (Trust list) українських АЦСК та можливості користування західними лабораторіями для проведення експертизи у сфері криптографічного захисту.
reforms.in.ua
15 3.
Визначати зміни до стандартів у сфері електронного цифрового підпису у напрямку гармонізації європейських та світових стандартів.
4.
Визначати зміни до нормативних актів:
1)
Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів
України (Постанова від 28.10.2004 1452) – щодо зміни граничної суми для застосування ЕЦП
2)
Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів
України (Постанова від 28.10.2004 1452) – щодо зняття обмеження на використання ключів лише одного АЦСК
3)
Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів
України (Постанова від 28.10.2004 1452) – щодо передачі Кабінету Міністрів повноваження на встановлення граничних цін на послуги, що надаються державним установам акредитованими центрами сертифікації ключів (зараз установлюються Мін’юстом за погодженням з Мінекономрозвитку).
Додаток 1. Органи в сфері ЕЦП та їх функції:

Мін’юст (нормативне забезпечення, стандартизація, акредитація)

Мінекономрозвитку (стандартизація)

Адміністрація Держспецзв’язку (стандартизація, сертифікація, експертиза)

МВС (ДМС: електронні паспорти)

Укрдержархів (електронний архів)

Державне агентство з питань електронного урядування

МЗС

НКРЗІ

відповідні технічні комітети стандартизації

Міносвіти (підготовка кадрів)
Додаток 2. Витяг з нової директиви по закупівлям:
6. Крім вимог, що містяться в Додатку IV, до засобів і пристроїв для електронної передачі та прийняття тендерних пропозицій і для електронного подання запитів на участь застосовуються такі правила:
(a) заінтересованим особам має надаватися інформація про умови електронного подання тендерних пропозицій і запитів на участь, зокрема щодо шифрування та призначення часових міток;
(b) держави-члени або замовники, які діють в рамках загальних приписів, установлених відповідною державою-членом, зобов’язані вказувати рівень безпеки, який вимагається від засобів електронного зв’язку на різних етапах окремої процедури закупівлі; такий рівень має бути пропорційним супутньому ризику;
(c) якщо держави-члени або замовники, які діють в рамках загальних приписів, установлених відповідною державою-членом, дійдуть висновку, що рівень ризику, оцінений відповідно до пункту
(b) цієї частини, вимагає застосування вдосконалених електронних підписів відповідно до визначення цього терміну в Директиві 1999/93/ЄС Європейського парламенту та Ради,замовники зобов’язані приймати вдосконалені електронні підписи, підтверджені чинним сертифікатом, за умови, що такий сертифікат видано постачальником сертифікаційних послуг, який входить до довірчого списку, що
reforms.in.ua
16
міститься в Рішенні Комісії 2009/767/ЄС, створені з або без використання пристрою створення безпечних підписів, у разі дотримання таких умов:
(i) замовник зобов’язаний встановити необхідний формат удосконалених підписів, керуючись переліком форматів, установлених Рішенням Комісії 2011/130/ЄС, а також вжити необхідні заходи для забезпечення технічної обробки таких форматів; у разі використання іншого формату електронного підпису такий електронний підпис або електронний носій засвідченого ним документа має містити інформацію про наявні можливості його перевірки, що є обов’язком відповідної держави-члена. Такі можливості перевірки мають дозволяти замовнику безкоштовно встановити в режимі онлайн у спосіб, зрозумілий для осіб, що не є носіями мови, що отриманий електронний підпис є вдосконаленим електронним підписом, підтвердженим чинним сертифікатом.
Держави-члени зобов’язані довести інформацію про постачальника послуг перевірки до відома Комісії, яка повинна забезпечити загальний доступ до такої інформації в Інтернеті;
(ii) якщо підпис на заявці підтверджується чинним сертифікатом, внесеним до довірчого списку, замовники не можуть встановлювати додаткові вимоги, які можуть перешкоджати використанню таких електронних підписів учасниками торгів.
Що стосується документів, які використовуються під час процедури закупівлі та містять підпис уповноваженого органу держави-члена або іншої установи, яка їх видала, такий уповноважений орган або установа можуть встановлювати необхідний формат удосконалених електронних підписів відповідно до положень статті 1(2) Рішення 2011/130/ЄС. Вони зобов’язані вжити необхідні заходи для забезпечення технічної обробки таких форматів шляхом внесення до відповідного документа
інформації, необхідної для забезпечення обробки такого підпису. В електронному підписі або електронному носії таких документів має зазначатися інформація про наявні можливості перевірки, які дозволяють безкоштовно перевірити отриманий електронний підпис в режимі онлайн у спосіб, зрозумілий для осіб, що не є носіями мови.


Поділіться з Вашими друзьями:


База даних захищена авторським правом ©divovo.in.ua 2017
звернутися до адміністрації

войти | регистрация
    Головна сторінка


загрузить материал