ЗАТВЕРДЖЕНО
Наказ Міністерства внутрішніх
справ України
27.03.2018 № 238
Зареєстровано в Міністерстві
юстиції України
19 квітня 2018 р.
за № 475/31927
ПОРЯДОК
взаємодії акредитованого центру сертифікації ключів Міністерства внутрішніх справ України та Державної міграційної служби України під час надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм
І. Загальні положення
1. Цей Порядок розроблено відповідно до постанови Кабінету Міністрів України від 30 листопада 2016 року № 869 «Про затвердження Порядку внесення засобів електронного цифрового підпису до безконтактного електронного носія, що міститься в паспорті громадянина України, та надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм» у частині здійснення Державною міграційною службою України представництва акредитованого центру сертифікації ключів Міністерства внутрішніх справ України (далі - Центр).
2. Цей Порядок визначає умови, підстави та процедуру взаємодії Центру з ДМС під час надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм, обов'язки суб'єктів, які є учасниками зазначеної процедури.
3. У цьому Порядку терміни вживаються у таких значеннях:
автентифікація - процес, у тому числі електронний, який дає змогу підтвердити належність ідентифікаційних даних фізичній особі;
ідентифікаційні дані особи - унікальний набір даних, який дає змогу однозначно встановити фізичну особу;
реєстрація - встановлення особи підписувача та перевірка наданих даних, що включаються в посилені сертифікати відкритих ключів.
Інші терміни вживаються у значеннях, наведених у Законі України «Про електронний цифровий підпис», Порядку внесення засобів електронного цифрового підпису до безконтактного електронного носія, що міститься в паспорті громадянина України, та надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм, затвердженому постановою Кабінету Міністрів України від 30 листопада 2016 року № 869, та Правилах посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3, зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384 (із змінами).
4. Взаємодія Центру з ДМС полягає у:
запровадженні та підтримці спеціального програмного забезпечення для взаємодії Центру з ДМС щодо реалізації функцій надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм;
відкритті в Головному обчислювальному центрі Єдиного державного демографічного реєстру відокремленого пункту реєстрації Центру;
забезпеченні здійснення уповноваженими працівниками ДМС представництва Центру під час надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм;
запровадженні формування та надсилання з ДМС до Центру запитів на скасування чинних посилених сертифікатів відкритих ключів електронного цифрового підпису в разі закінчення строку дії паспорта громадянина України з імплантованим безконтактним електронним носієм, його повернення державі, визнання недійсним та знищення;
обслуговуванні Центром посилених сертифікатів відкритих ключів, сформованих для підписувачів - володільців паспорта громадянина України з імплантованим безконтактним електронним носієм.
5. Представництво Центру під час надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм здійснюють:
1) працівники територіальних органів та територіальних підрозділів ДМС, які здійснюють оформлення та видачу паспорта громадянина України;
2) працівники Головного обчислювального центру Єдиного державного демографічного реєстру.
6. Центр забезпечує проведення на безоплатній основі інструктажу з питань надання послуг електронного цифрового підпису працівників ДМС, зазначених у підпункті 1 пункту 5 цього розділу, а також навчання роботі зі спеціальним програмним забезпеченням для взаємодії Центру та ДМС відповідно до функціональних обов’язків адміністратора реєстрації відокремленого пункту реєстрації Центру (далі - віддалений адміністратор реєстрації) та проведення інструктажу з питань надання послуг електронного цифрового підпису працівників ДМС, зазначених у підпункті 2 пункту 5 цього розділу.
7. Списки працівників ДМС, уповноважених здійснювати представництво Центру під час надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм, у тому числі працівників, які виконуватимуть обов’язки керівника відокремленого пункту реєстрації та відповідального за захист інформації на відокремленому пункті реєстрації, затверджуються наказом ДМС та надсилаються до Центру для складання графіків проведення їх інструктажу з питань надання послуг електронного цифрового підпису та навчання роботі зі спеціальним програмним забезпеченням для взаємодії Центру та ДМС відповідно до функціональних обов’язків віддаленого адміністратора реєстрації. Зазначені графіки погоджуються з ДМС у триденний строк з дня отримання Центром відповідних списків.
8. Проходження працівниками ДМС інструктажу з питань надання послуг електронного цифрового підпису та навчання роботі зі спеціальним програмним забезпеченням для взаємодії Центру та ДМС відповідно до функціональних обов’язків віддаленого адміністратора реєстрації підтверджується письмовим повідомленням керівника Центру до ДМС.
Такі працівники ДМС уповноважуються виконувати визначені цим Порядком функції віддалених адміністраторів реєстрації під час надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм та здійснювати відповідно до законодавства процедури, визначені цим Порядком та нормативно-технічними документами, що регулюють діяльність Центру, зокрема регламентом роботи Центру (далі - регламент).
9. Керівник та відповідальний за захист інформації на відокремленому пункті реєстрації призначаються наказом ДМС з числа працівників, уповноважених на виконання функцій віддалених адміністраторів реєстрації, Головного обчислювального центру Єдиного державного демографічного реєстру.
10. Уповноважені на виконання функцій віддалених адміністраторів реєстрації працівники ДМС, зазначені в підпункті 2 пункту 5 цього розділу, самостійно виконують генерацію особистих ключів віддалених адміністраторів реєстрації на робочих станціях адміністраторів реєстрації в службових приміщеннях Центру.
Запити на формування посилених сертифікатів відкритих ключів віддалених адміністраторів реєстрації, що містять відкриті ключі, передаються до Центру. Відомості про генерацію особистих ключів віддалених адміністраторів реєстрації заносяться до журналу роботи з ключовими даними.
У процесі генерації особистий ключ віддаленого адміністратора реєстрації зберігається на виданому Центром відповідному працівникові ДМС, уповноваженому на виконання функцій віддаленого адміністратора реєстрації, захищеному носії особистих ключів, що має позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
11. Облік Центром та експлуатація працівниками ДМС, уповноваженими на виконання функцій віддаленого адміністратора реєстрації, засобів криптографічного захисту інформації, зазначених у пункті 10 цього розділу, здійснюються відповідно до вимог, визначених у розділі IV Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованого у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (зі змінами).
12. Взаємодія програмного комплексу віддаленого адміністратора реєстрації Центру, розміщеного в Головному обчислювальному центрі Єдиного державного демографічного реєстру, з Центром здійснюється телекомунікаційними мережами загального користування із застосуванням спеціалізованих захищених протоколів передачі даних.
13. Під час обробки та обміну даними Центр та ДМС забезпечують захист інформації з обмеженим доступом, що передається, у тому числі персональних даних осіб, які виявили бажання отримувати послуги електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм (далі - заявники-підписувачі), згідно із Законами України «Про захист інформації в інформаційно-телекомунікаційних системах» та «Про захист персональних даних».
14. Працівники ДМС, уповноважені на виконання функцій віддаленого адміністратора реєстрації Центру, відповідають за належне виконання своїх обов’язків щодо надання послуг електронного цифрового підпису, нерозголошення конфіденційної інформації, зокрема персональних даних заявників-підписувачів Центру, згідно із законодавством у сферах надання послуг електронного цифрового підпису та захисту персональних даних.
15. Надання послуг електронного цифрового підпису особам з інвалідністю в разі неможливості надання їм таких послуг у приміщеннях територіальних підрозділів ДМС здійснюється за їх місцезнаходженням з використанням програмних засобів мобільної робочої станції для оформлення та видачі паспортних документів.
ІІ. Виконання працівниками ДМС, уповноваженими на виконання функцій віддаленого адміністратора реєстрації, процедур, необхідних для надання послуг електронного цифрового підпису з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм
1. У межах представництва Центру основними обов'язками працівників територіальних органів та територіальних підрозділів ДМС, які здійснюють оформлення та видачу паспорта громадянина України, як віддалених адміністраторів реєстрації є:
1) приймання від заявників-підписувачів заяв про реєстрацію в Центрі як підписувачів, що містять підтвердження укладення ними з Центром договору про надання послуг електронного цифрового підпису шляхом приєднання до нього;
2) проведення ідентифікації та автентифікації заявників-підписувачів;
3) облік бланків паспортів громадянина України із внесеними до імплантованого безконтактного електронного носія засобами електронного цифрового підпису та засобами шифрування, наданих заявникам-підписувачам;
4) надання заявникам-підписувачам допомоги під час генерації ключів з використанням паспорта громадянина України з імплантованим безконтактним електронним носієм;
5) участь у підготовці та передачі до Центру заяв про реєстрацію в Центрі як підписувачів та запитів на формування сертифікатів відкритих ключів у форматі XML;
6) облік та зберігання прийнятих у паперовому вигляді заяв про реєстрацію в Центрі як підписувачів;
7) надсилання прийнятих у паперовому вигляді заяв про реєстрацію в Центрі як підписувачів до Центру не рідше одного разу на 3 місяці відповідно до акта приймання-передавання;
8) участь у підготовці та передачі до Центру запитів на скасування сертифікатів відкритих ключів у форматі XML.
2. У межах представництва Центру основними обов'язками працівників Головного обчислювального центру Єдиного державного демографічного реєстру як віддалених адміністраторів реєстрації є:
1) участь у веденні реєстру підписувачів Центру;
2) проведення автентифікації заявників-підписувачів;
3) участь у підготовці та передачі до Центру даних у форматі XML, необхідних для проведення реєстрації особи, яка отримала паспорт громадянина України з імплантованим безконтактним електронним носієм, як підписувача Центру та для формування посилених сертифікатів відкритих ключів електронного цифрового підпису й шифрування;
4) участь у підготовці та передачі до Центру заяв на скасування сертифікатів відкритих ключів у форматі XML.
3. Працівники територіальних органів та територіальних підрозділів ДМС, які здійснюють оформлення та видачу паспорта громадянина України, повідомляють осіб, які досягли вісімнадцятирічного віку, під час отримання ними паспорта громадянина України з імплантованим безконтактним електронним носієм про можливість отримувати послуги електронного цифрового підпису з використанням цього паспорта.
4. Працівник територіального органу чи територіального підрозділу ДМС як віддалений адміністратор реєстрації здійснює ідентифікацію заявника-підписувача за такими ідентифікаційними даними:
1) прізвище, ім’я, по батькові;
2) унікальний номер запису в Єдиному державному демографічному реєстрі;
3) реєстраційний номер облікової картки платника податків (за наявності).
Автентифікація заявника-підписувача здійснюється за даними паспорта громадянина України з імплантованим безконтактним електронним носієм та даними Єдиного державного демографічного реєстру.
5. Процедура генерації ключових даних (особистого та відкритого ключів) (далі - ключові дані), які використовуються для накладення та перевірки електронного цифрового підпису, і пари ключових даних, які використовуються для протоколу узгодження ключів шифрування, здійснюється з використанням програмних засобів робочої станції для оформлення та видачі паспортних документів.
Згенеровані ключові дані зберігаються в захищеній енергонезалежній області пам'яті безконтактного електронного носія, імплантованого в паспорт громадянина України.
6. Після завершення процедури генерації ключових даних програмними засобами робочої станції для оформлення та видачі паспортних документів на підставі отриманих з паспорта громадянина України з імплантованим безконтактним електронним носієм відкритого ключа електронного цифрового підпису, відкритого ключа шифрування, а також інформації про заявника-підписувача відбувається автоматичне створення файла у форматі XML (далі - файл «Заява XML до Центру»), що включає:
1) два запити на формування посилених сертифікатів відкритих ключів електронного цифрового підпису та шифрування (у форматі згідно з міжнародними рекомендаціями RFC 2986 «PKCS #10: Certification Request Syntax Specification»);
2) персональні дані особи заявника-підписувача, необхідні для його реєстрації в Центрі;
3) відомості про зміст ключової фрази для голосової автентифікації підписувача для блокування посиленого сертифіката відкритого ключа.
7. Запис ключової фрази для голосової автентифікації підписувача для блокування посилених сертифікатів відкритих ключів відбувається засобами робочої станції для оформлення та видачі паспортних документів та вноситься до заяви про реєстрацію в Центрі як підписувача.
8. Оформлення заяви про реєстрацію в Центрі як підписувача здійснюється після завершення процедури генерації ключових даних програмними засобами робочої станції для оформлення та видачі паспортних документів. Заповнена на робочій станції для оформлення та видачі паспортних документів заява роздруковується на папері та надається заявнику-підписувачу для перевірки правильності внесених даних, підписується ним та повертається працівникові територіального органу чи територіального підрозділу ДМС, уповноваженому на виконання функцій віддаленого адміністратора реєстрації.
9. Для засвідчення факту прийняття заяви про реєстрацію в Центрі як підписувача працівник територіального органу чи територіального підрозділу ДМС як віддалений адміністратор реєстрації проставляє на ній номер заяви, що містить ідентифікатор відповідного територіального органу чи територіального підрозділу ДМС та включається до назви відповідного файла «Заява XML до Центру», дату та час прийняття такої заяви, підписує її із зазначенням свого прізвища та ініціалів. Зазначені заяви працівники територіального органу чи територіального підрозділу ДМС як віддалені адміністратори реєстрації зберігають в окремому сейфі.
10. Підписаний особистим ключем працівника територіального органу чи територіального підрозділу ДМС, уповноваженого на виконання функцій віддаленого адміністратора реєстрації, файл «Заява XML до Центру» з даними, необхідними для проведення реєстрації особи, яка отримує паспорт громадянина України з імплантованим безконтактним електронним носієм, як підписувача Центру та для формування посилених сертифікатів відкритих ключів електронного цифрового підпису та шифрування, автоматично передається до спеціальної бази даних Єдиного державного демографічного реєстру для подальшої обробки уповноваженими працівниками Головного обчислювального центру Єдиного державного демографічного реєстру.
11. Працівник Головного обчислювального центру Єдиного державного демографічного реєстру, уповноважений на виконання функцій віддаленого адміністратора реєстрації, кожного робочого дня здійснює обробку за допомогою програмного комплексу віддаленого адміністратора реєстрації Центру файлів «Заява XML до Центру», переданих до спеціальної бази даних Єдиного державного демографічного реєстру.
Після розгляду файлів «Заява XML до Центру» та проведення автентифікації заявників-підписувачів за даними Єдиного державного демографічного реєстру працівник Головного обчислювального центру Єдиного державного демографічного реєстру, уповноважений на виконання функцій віддаленого адміністратора реєстрації, здійснює підтвердження даних цих файлів шляхом підписання їх своїм особистим ключем віддаленого адміністратора реєстрації.
12. Файли «Заява XML до Центру», підписані працівником Головного обчислювального центру Єдиного державного демографічного реєстру, уповноваженим на виконання функцій віддаленого адміністратора реєстрації, автоматично обробляються програмним комплексом віддаленого адміністратора реєстрації Центру з виконанням таких процедур:
1) перевірка щодо перебування особи, яка отримує паспорт громадянина України з імплантованим безконтактним електронним носієм, у реєстрі підписувачів Центру;
2) формування запиту до Центру про реєстрацію особи, яка отримує паспорт громадянина України з імплантованим безконтактним електронним носієм, у реєстрі підписувачів Центру, до складу даних якого включаються відомості про зміст ключової фрази для голосової автентифікації підписувача;
3) послідовне створення запитів до Центру на формування посилених сертифікатів відкритих ключів електронного цифрового підпису та шифрування;
4) перевірка унікальності відкритих ключів, згенерованих з використанням програмних засобів робочої станції, для оформлення та видачі паспортних документів;
5) передача до спеціальної бази даних Єдиного державного демографічного реєстру сформованих Центром посилених сертифікатів відкритих ключів, записаних у файл «Відповідь XML від Центру», для подальшої їх обробки в ДМС.
У випадку виникнення помилок під час реєстрації особи, яка отримує паспорт громадянина України з імплантованим безконтактним електронним носієм, у реєстрі підписувачів Центру та під час формування її посилених сертифікатів відкритих ключів файл «Відповідь XML від Центру» формується та надсилається із зазначенням інформації про тип помилки, що виникла.
13. Обробка файла «Заява XML до Центру» здійснюється працівником Головного обчислювального центру Єдиного державного демографічного реєстру, уповноваженим на виконання функцій віддаленого адміністратора реєстрації, не пізніше наступного робочого дня з дня формування такого файла.
14. Файли «Заява XML до Центру» та «Відповідь XML від Центру» зберігаються ДМС три роки після закінчення строку дії сертифікатів відкритих ключів електронного цифрового підпису та шифрування або з дня отримання ДМС відповідного файла, що відповідає строкам, установленим для відповідних документів на папері Переліком типових документів, що створюються під час діяльності державних органів та органів місцевого самоврядування, інших установ, підприємств та організацій, із зазначенням строків зберігання документів, затвердженим наказом Міністерства юстиції України від 12 квітня 2012 року № 578/5, зареєстрованим у Міністерстві юстиції України 17 квітня 2012 року за № 571/20884.
15. Структура файлів «Заява XML до Центру» та «Відповідь XML від Центру» визначається спільним рішенням ДМС та Міністерства внутрішніх справ України, яке оформляється протоколом, підготовленим відповідно до цього Порядку.
ІІІ. Порядок подання працівниками ДМС заяв про скасування сертифікатів відкритих ключів
1. У разі встановлення фактів закінчення строку дії паспорта громадянина України з імплантованим безконтактним електронним носієм, що використовується як засіб електронного цифрового підпису, або його повернення державі, визнання недійсним чи знищення працівники, відповідальні за внесення інформації про недійсні документи до Єдиного державного демографічного реєстру, проводять перевірку на предмет отримання в Центрі особою, на ім’я якої оформлено цей паспорт, послуги електронного цифрового підпису у зв’язку з генерацією перших пар ключових даних з використанням цього паспорта.
2. Якщо заявник-підписувач особисто звернувся до територіального органу чи територіального підрозділу ДМС з приводу закінчення строку дії паспорта громадянина України з імплантованим безконтактним електронним носієм, що використовується ним як засіб електронного цифрового підпису, або його втрати, в заяві-анкеті для внесення інформації до Єдиного державного демографічного реєстру він ставить відмітку про повідомлення, що ця заява є підставою для скасування Центром його сертифікатів відкритих ключів електронного цифрового підпису та шифрування, що відповідають особистим ключам, які були згенеровані програмними засобами робочої станції для оформлення та видачі паспортних документів та зберігаються в захищеній енергонезалежній області пам'яті безконтактного електронного носія, імплантованого в паспорт громадянина України.
3. Якщо паспорт громадянина України з імплантованим безконтактним електронним носієм визнається недійсним за інших умов, ніж вказані в пункті 2 цього розділу, перевірка на предмет отримання в Центрі послуг електронного цифрового підпису у зв’язку з генерацією перших пар ключових даних з використанням цього паспорта проводиться шляхом автоматичного надсилання програмними засобами робочої станції для оформлення та видачі паспортних документів запиту до спеціальної бази даних Єдиного державного демографічного реєстру сформованих Центром посилених сертифікатів відкритих ключів.
4. За результатом проведення перевірки програмними засобами робочої станції для оформлення та видачі паспортних документів при внесенні працівниками ДМС інформації про визнання недійсним паспорта громадянина України з імплантованим безконтактним електронним носієм до Єдиного державного демографічного реєстру з використанням засобів відомчої інформаційної системи автоматично створюється файл запитів на скасування сертифікатів відкритих ключів у форматі XML (далі - файл «Заява XML на скасування сертифікатів»), що включає:
1) реєстраційні номери сертифікатів відкритих ключів електронного цифрового підпису та шифрування;
2) унікальний номер запису в Єдиному державному демографічному реєстрі заявника-підписувача, на ім’я якого оформлено паспорт громадянина України з імплантованим безконтактним електронним носієм, що використовується як засіб електронного цифрового підпису.
5. Підписаний особистим ключем працівника територіального органу чи територіального підрозділу ДМС, уповноваженого на виконання функцій віддаленого адміністратора реєстрації, файл «Заява XML на скасування сертифікатів» автоматично передається до спеціальної бази даних Єдиного державного демографічного реєстру для його подальшої обробки уповноваженими працівниками Головного обчислювального центру Єдиного державного демографічного реєстру.
6. Обробка файла «Заява XML на скасування сертифікатів» здійснюється працівником Головного обчислювального центру Єдиного державного демографічного реєстру, уповноваженим на виконання функцій віддаленого адміністратора реєстрації, невідкладно у день формування такого файла.
Файли «Заява XML на скасування сертифікатів» підписуються особистим ключем віддаленого адміністратора реєстрації та автоматично передаються до Центру.
7. Після отримання від ДМС файла «Заява ХML на скасування сертифікатів» Центр здійснює скасування відповідних сертифікатів ключів у визначеному регламентом порядку та надсилає до відомчої інформаційної системи ДМС файл «Відповідь XML щодо скасування сертифікатів» із зазначенням результату його обробки.
У випадку виникнення помилок під час обробки запитів на скасування сертифікатів файл «Відповідь XML щодо скасування сертифікатів» формується та надсилається із зазначенням інформації про тип помилки, що виникла.
8. Структура файлів «Заява ХML на скасування сертифікатів» та «Відповідь XML щодо скасування сертифікатів» визначається спільним рішенням ДМС та Міністерства внутрішніх справ України, яке оформляється протоколом, підготовленим відповідно до цього Порядку.
9. Тривалість обробки Центром запитів на скасування сертифікатів відкритих ключів не повинна перевищувати 2 годин з часу отримання від ДМС файла «Заява ХML на скасування сертифікатів».
Директор Департаменту
інформатизації
І.П. Бондаренко