ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 30 листопада 2016 р. № 869
ПОРЯДОК
внесення засобів електронного цифрового підпису до безконтактного електронного носія, що міститься в паспорті громадянина України, та надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм
1. Цей Порядок визначає з урахуванням вимог Законів України “Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус”, “Про електронний цифровий підпис”, законодавства у сфері електронного цифрового підпису та криптографічного захисту інформації (далі - шифрування), міжнародних стандартів та рекомендацій Міжнародної організації цивільної авіації (ІKАО) механізм здійснення операцій із внесення надійних засобів електронного цифрового підпису, в тому числі засобів шифрування, до безконтактного електронного носія, який імплантовано в паспорт громадянина України, їх використання та надання послуг електронного цифрового підпису з використанням паспорта громадянина України у формі картки.
2. Для цілей цього Порядку терміни вживаються у такому значенні:
авторизація - процедура отримання дозволу на здійснення операцій із внесення додаткової змінної інформації, визначеної в Законі України “Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус” до безконтактного електронного носія, інформації до захищених груп даних, а також операцій із зчитування інформації, внесеної до безконтактного електронного носія;
безконтактний електронний носій - безконтактна інтегральна схема, яка імплантована в паспорт громадянина України, призначена для внесення персональних даних, параметрів, у тому числі біометричних, що дає змогу здійснювати комплекс заходів, пов’язаних з верифікацією особи, є захищеним носієм особистих ключів та використовується з метою здійснення комплексу заходів, пов’язаних з ідентифікацією особи та накладенням електронного цифрового підпису, шифруванням;
групи даних - області постійного запам’ятовуючого пристрою безконтактного електронного носія, до яких вноситься інформація, визначена в Законі України “Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус”;
захищені групи даних - області постійного запам’ятовуючого пристрою безконтактного електронного носія, до яких вноситься набір електронних даних, за допомогою яких забезпечується можливість підтвердження цілісності даних безконтактного електронного носія, генерації ключових даних та накладення електронного цифрового підпису, шифрування;
ідентифікація особи - установлення особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, шляхом порівняння наданих даних (параметрів), у тому числі біометричних, з наявною інформацією про особу в реєстрах, картотеках, базах даних тощо;
підписувач - фізична особа, яка на законних підставах володіє особистим ключем, який згенерований та зберігається в захищеній енергонезалежній області пам’яті безконтактного електронного носія, та від свого імені накладає електронний цифровий підпис під час створення електронного документа;
ПАК1 - персональний авторизаційний код, який складається з восьми цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для розблокування ПІН1;
ПАК2 - персональний авторизаційний код, який складається з восьми цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для розблокування ПІН2;
ПІН1 - персональний ідентифікаційний номер, який складається з чотирьох цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для ідентифікації та авторизації доступу до безконтактного електронного носія під час здійснення операцій із внесення додаткової змінної інформації до безконтактного електронного носія;
ПІН2 - персональний ідентифікаційний номер, який складається з чотирьох цифр, відомий лише особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, і призначений для здійснення операцій зчитування із захищених груп даних безконтактного електронного носія.
Інші терміни вживаються в значенні, наведеному в Законі України “Про електронний цифровий підпис”.
3. Послуги електронного цифрового підпису в частині, що стосується обслуговування посилених сертифікатів відкритих ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення) фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, надання інформації щодо чинних, скасованих і блокованих посилених сертифікатів відкритих ключів (далі - сертифікати ключів), послуги фіксування часу, консультації та інші послуги, визначені Законом України “Про електронний цифровий підпис”, надаються акредитованим центром сертифікації ключів МВС (далі - центр).
4. Уповноважені суб’єкти, визначені в Законі України “Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус” як такі, що мають право видачі паспорта громадянина України, здійснюють представництво центру в порядку, передбаченому Цивільним кодексом України, актами МВС та регламентом роботи центру.
5. На уповноважених суб’єктів, що здійснюють представництво центру, покладається відповідальність за невиконання чи неналежне виконання своїх обов’язків згідно із законодавством у сфері електронного цифрового підпису.
6. Регламент роботи центру розробляється, затверджується керівником центру та погоджується контролюючим органом відповідно до вимог законодавства у сфері електронного цифрового підпису.
7. Уповноважені суб’єкти, що здійснюють представництво центру, надають такі послуги електронного цифрового підпису та виконують такі процедури:
приймання від осіб, які досягли вісімнадцятирічного віку та отримують паспорт громадянина України з імплантованим безконтактним електронним носієм, заяв про реєстрацію в центрі як підписувачів та укладання договорів про надання послуг електронного цифрового підпису;
ідентифікація особи;
надання в користування надійних засобів електронного цифрового підпису та засобів шифрування, внесених до паспортів громадянина України з імплантованим безконтактним електронним носієм;
надання допомоги під час генерації ключів.
8. Особливості надання послуг електронного цифрового підпису особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, визначаються регламентом роботи центру.
Особливості надання послуг електронного цифрового підпису особам з інвалідністю та забезпечення їх надійними засобами електронного цифрового підпису та засобами шифрування, що внесені до паспорта громадянина України з імплантованим безконтактним електронним носієм, визначаються регламентом роботи центру та актами МВС.
9. Внесення надійних засобів електронного цифрового підпису та шифрування до безконтактного електронного носія, імплантованого в паспорт громадянина України, здійснюється на етапі виготовлення бланків документів з урахуванням вимог Закону України“Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус”.
10. Надійні засоби електронного цифрового підпису та засоби шифрування, які вносяться до безконтактного електронного носія, імплантованого в паспорт громадянина України, повинні забезпечувати:
генерацію та зберігання в захищеній енергонезалежній області пам’яті безконтактного електронного носія ключових даних (особистий та відкритий ключі) (далі – ключові дані), які використовуються для накладення та перевірки електронного цифрового підпису, і пари ключових даних, які використовуються для протоколу узгодження ключів шифрування;
можливість зберігання в захищеній енергонезалежній області пам’яті безконтактного електронного носія не менше п’яти пар ключових даних, які використовуються для накладення та перевірки електронного цифрового підпису, та п’яти пар ключових даних, які використовуються для протоколу узгодження ключів шифрування;
захист від несанкціонованого доступу до функцій криптографічних перетворень (виклик таких функцій здійснюється після введення ПІН2);
неможливість безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.
11. Центр повинен забезпечувати відповідність сертифікатів ключів вимогам законодавства у сфері електронного цифрового підпису.
12. Генерація першої пари ключових даних, які використовуються для накладення та перевірки електронного цифрового підпису, та першої пари ключових даних, які використовуються для протоколу узгодження ключів шифрування, здійснюється особою, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, в уповноваженого суб’єкта, що здійснює представництво центру, за допомогою програмних засобів робочої станції для оформлення та видачі документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус, з комплектом обладнання для зняття біометричних даних (параметрів) і реєстрації/зняття з реєстрації місць проживання/перебування громадян України, іноземців та осіб без громадянства (далі - робоча станція для оформлення та видачі паспортних документів).
13. Програмні засоби робочої станції для оформлення та видачі паспортних документів повинні забезпечувати виклик функцій криптографічних перетворень, спрямованих на генерацію перших пар ключових даних у надійних засобах електронного цифрового підпису, внесених до паспорта громадянина України з імплантованим безконтактним електронним носієм, лише після зміни початкових значень ПІН1 (ПІН2) та ПАК1 (ПАК2).
14. Зміна початкових значень ПІН1 (ПІН2) та ПАК1 (ПАК2) повинна здійснюватись особисто особою, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, після її ідентифікації працівником уповноваженого суб’єкта, що здійснює представництво центру.
15. Після генерації пар ключових даних програмними засобами робочої станції для оформлення та видачі паспортних документів формуються та автоматично надсилаються до Головного обчислювального центру Єдиного державного демографічного реєстру запити на реєстрацію фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, як підписувача та запити на формування сертифікатів ключів електронного цифрового підпису та шифрування (далі - запити).
16. Запит на реєстрацію фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, як підписувача містить дані про фізичну особу, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, які необхідні для подальшого формування центром сертифікатів ключів.
17. Запит на формування сертифікатів ключів електронного цифрового підпису та шифрування містить відповідні відкриті ключі, що отримані під час генерації пар ключових даних, та формується відповідно до міжнародних рекомендацій у сфері забезпечення інтероперабельності системи електронного цифрового підпису RFC 2986 “PKCS #10: Certification Request Syntax Specification”.
18. Програмними засобами Головного обчислювального центру Єдиного державного демографічного реєстру через програмні засоби віддалених автоматизованих робочих місць забезпечується доступ уповноважених працівників уповноваженого суб’єкта, що здійснює представництво центру, до процесів обробки запитів. Результатом обробки запитів є передача їх до центру для формування відповідних сертифікатів.
19. Інформація про всі події, пов’язані із формуванням та відправкою запитів, вноситься до журналу реєстрації подій Єдиної інформаційно-аналітичної системи управління міграційними процесами ДМС (далі - відомча інформаційна система) із забезпеченням ідентифікації ініціатора події - працівника уповноваженого суб’єкта, що здійснює представництво центру, за допомогою сертифіката ключа, власником якого є зазначений працівник.
20. Після отримання запитів центр автоматично формує відповідне електронне підтвердження та передає його до Головного обчислювального центру Єдиного державного демографічного реєстру, здійснює реєстрацію особи у власному реєстрі підписувачів, проводить перевірку унікальності відкритих ключів та за результатами перевірки, якщо ключі унікальні, формує сертифікати ключів електронного цифрового підпису і шифрування в автоматичному режимі.
21. Результат обробки запитів передається центром до відомчої інформаційної системи у вигляді повідомлення, яке містить відповідно реєстраційний номер підписувача в реєстрі підписувачів центру та відомості про чинність сформованих сертифікатів ключів електронного цифрового підпису та шифрування власника паспорта.
22. Публікація сформованих сертифікатів ключів електронного цифрового підпису та шифрування здійснюються автоматично на електронному інформаційному ресурсі центру.
23. Початком строку дії особистих ключів вважається дата та час формування сертифікатів ключів електронного цифрового підпису та шифрування, що містять відкриті ключі відповідної пари ключових даних. Строк дії особистих ключів дорівнює строку чинності відповідних сертифікатів ключів.
24. Генерація чергових пар особистих та відкритих ключів для електронного цифрового підпису та шифрування здійснюється фізичною особою, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, особисто з використанням надійних засобів електронного цифрового підпису та дотриманням вимог інструкції щодо порядку генерації ключових даних і поводження (облік, зберігання, знищення) з ключовими документами (далі - інструкція).
25. Надійні засоби електронного цифрового підпису разом з інструкціями до них надаються центром шляхом передачі таких засобів на носіях інформації безпосередньо фізичній особі, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, або шляхом надання доступу через електронний інформаційний ресурс центру. Надійні засоби електронного цифрового підпису можуть надаватися у вигляді окремих програмних додатків або програмних модулів (криптобібліотек), що функціонують у складі інших програмних додатків.
26. Центр та уповноважені суб’єкти, що здійснюють представництво центру, можуть надавати допомогу в генерації чергових пар особистих та відкритих ключів електронного цифрового підпису та шифрування безпосередньо в офісах у разі їх особистого відвідування фізичними особами, на ім’я яких оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм.
27. Надійні засоби електронного цифрового підпису, що надаються центром, повинні забезпечувати формування запитів, а також надіслання таких запитів до центру для формування чергових сертифікатів ключів електронного цифрового підпису та шифрування.
Надійні засоби електронного цифрового підпису можуть надаватися фізичним особам, на ім’я яких оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, іншими суб’єктами правових відносин у сфері послуг електронного цифрового підпису за умови, що такі засоби електронного цифрового підпису мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації та є сумісними з програмним забезпеченням центру.
28. Формування чергових сертифікатів ключів електронного цифрового підпису та шифрування за отриманими запитами здійснюється центром автоматично. При цьому здійснюється скасування попередньо сформованих сертифікатів ключів.
29. У разі закінчення строку дії паспорта громадянина України з імплантованим безконтактним електронним носієм, його повернення державі, визнання недійсним та знищення автоматично формується та надсилається до центру з використанням засобів відомчої інформаційної системи запит на скасування чинних сертифікатів ключів електронного цифрового підпису та шифрування фізичної особи, на ім’я якої оформлено паспорт. Після надходження зазначеного запиту центр здійснює скасування відповідних сертифікатів ключів та надсилає до відомчої інформаційної системи повідомлення із зазначенням результату його обробки.
30. У разі тимчасового вилучення паспорта громадянина України з імплантованим безконтактним електронним носієм чинні сертифікати ключів електронного цифрового підпису та шифрування фізичної особи, на ім’я якої оформлено паспорт, можуть бути заблоковані на підставі заяви про блокування сертифікатів ключів, поданої підписувачем до центру в порядку, передбаченому регламентом роботи центру.
З метою забезпечення захисту особистого ключа від компрометації підписувач, на ім’я якого оформлено тимчасово вилучений паспорт громадянина України з імплантованим безконтактним електронним носієм, зобов’язаний не розголошувати та не повідомляти особам, якими вилучено паспорт, пароль доступу до особистого ключа (значення ПІН1 (ПІН2) та ПАК1 (ПАК2) та ключову фразу для голосової автентифікації.
31. Після повернення підписувачу тимчасово вилученого паспорта громадянина України з імплантованим безконтактним електронним носієм поновлення заблокованих сертифікатів ключів, строк чинності яких не закінчився, здійснюється за ініціативою підписувача на підставі поданої до центру заяви на поновлення сертифікатів ключів у порядку, передбаченому регламентом роботи центру.
Якщо строк чинності сертифікатів ключів фізичної особи, на ім’я якої оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, закінчився, генерація чергових пар особистих та відкритих ключів електронного цифрового підпису і шифрування, формування чергових сертифікатів ключів здійснюються відповідно до пунктів 24-28 цього Порядку.
32. Процедури блокування, поновлення та скасування сертифікатів ключів електронного цифрового підпису та шифрування в інших випадках, передбачених Законом України “Про електронний цифровий підпис”, здійснюються відповідно до регламенту роботи центру.
33. Захист персональних даних фізичних осіб, на ім’я яких оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, здійснюється відповідно до законодавства у сфері захисту персональних даних.