Нормативно-правова база у сфері захисту інформації Тема: Модуль: захист інформації

1. Українське законодавство про електронні документи, електронний цифровий підпис та криптографічний захист інформації. 2. Основні нормативно-правові акти, що регламетують діяльність у сфері криптографічного захисту інформації, із застосуванням електронного цифрового підпису та шифрування. Зміст заняття

Інформаційна безпека - стан інформаційоного середовища, що забезпечує задоволення інформаційних потреб суб'єктів і захист об'єктів. Захист інформації - діяльність по запобіганню несанкціонованих і неумисних внутрішніх або зовнішніх дій на інформацію та її втрати.

Про захист інформації в автоматизованих системах від р. Про електронні документи та електронний документообіг 851/IV від р. Про інформацію 2657/XII від р. Про електронний цифровий підпис 852/IV від р. Закони України Укази Президента України Про Положення про порядок здійснення КЗІ в Україні 505 від р. Питання ДСТСЗІ СБ України 1120/2000 від р. Постанови Кабінету Міністрів України Про затвердження Порядку засвід- чення наявності електронного доку- мента (електронних даних) на певний момент часу 680 от р. Про затвердження Положення про центральний засвідчувальний орган 1451 від р. Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності 1452 від р. Про затвердження Типового порядку здійснення електронного документообігу в органах виконавчої влади 1453 від р. Про затвердження Порядку обов'язкової передачі документованої інформації 1454 від р. Постанови Кабинету Міністрів України щодо ТЗІ та КСЗІ Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту інформації, що є власністю держави 45 від р. Про затвердження Тимчасової інструкції про порядок забезпечення та використання ключів у засобах КЗІ 708/156 від р. Про затвердженння Положення про державну експертизу у сфері КЗІ 62 від р. Накази СБУ та ДССЗЗІ України Про затвердження Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації… 8/216 від р. Про затвердження Правил посиленої сертифікації 3 від р. (в редакції Наказу ДСТСЗІ СБУ 50 від р.) Основні нормативно-правові акти, про електронні документи, електронний цифровий підпис та криптографічний захист інформації Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису 143 від р. Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису 141 від р. Про затвердження Інструкції про порядок забезпечення та викорисиання ключів до засобів криптографічного захисту інформації 114 від р. Про Державну службу спеціального звязку та захисту інформації України 3475-IV від р.

Стандарти ГОСТ Системы обработки информации. Защита криптографическая. Алгоритм криптографического превращения ДСТУ ISO/IEС (1 та 3 частини) Інформаційні технології. Методи захисту. Криптографічні методи,, що ґрунтуються на еліптичних кривих. ГОСТ Информационная технология. Криптографическая защита информации. Функция хеширования. ДСТУ Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевірка. Основні нормативно-правові акти, про електронні документи, електронний цифровий підпис та криптографічний захист інформації Державний комітет України з питань технічного регулювання та споживчої політики. НАКАЗ Про затвердження національних стандартів України та відміни нормативних документів 374 від Державний комітет України з питань технічного регулювання та споживчої політики. НАКАЗ Про затвердження національних стандартів України та внесення змін до наказів Держспоживстандарту України 294 від р. Департамент спеціальних телекомунікаційних систем та захисту інформації СБУ Державний департамент з питань звязку та інформатизації міністерства транспорту та звязку України НАКАЗ Про затвердження Технічних специфікацій форматів представлення базових обєктів національної системи електронного цифрового підпису 99/166 від Державні Стандарти ДСТУ Інформаційні технології. Електронний документообіг. Архітектура cлужбових документів (ODA) та обмінний формат. Частини ДСТУ Інформаційні технології. Електронний документообіг. Файлування та відбирання документів (DFR). Частини 1-2. ДСТУ Інформаційні технології. Електронний документообіг. Стандартна мова узагальненої розмітки (SGML). ДСТУ-Н ПМГ 48:2007. Порядок обміну документами в електронному форматі (ПМГ , IDT) Галузеві Стандарти ГСТУ Інформаційні технології. Система електронного документообігу. Основні положення ГСТУ Інформаційні технології. Система електронного документообігу. Надання юридичної сили електронним документам

ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р. Цей Закон закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності. Грунтуючись на Декларації про державний суверенітет України та Акті проголошення її незалежності, Закон стверджує інформаційний суверенітет України і визначає правові форми міжнародного співробітництва в галузі інформації.

ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р. Стаття 1. Визначення інформації Під інформацією цей Закон розуміє документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі. Стаття 2. Мета і завдання Закону Закон встановлює загальні правові основи одержання, використання, поширення та зберігання інформації, закріплює право особи на інформацію в усіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації та забезпечує її охорону, захищає особу та суспільство від неправдивої інформації. Стаття 3. Сфера дії Закону Дія цього Закону поширюється на інформаційні відносини, які виникають у всіх сферах життя і діяльності суспільства і держави при одержанні, використанні, поширенні та зберіганні інформації.

Стаття 18. Види інформації Основними видами інформації є: - статистична інформація; - адміністративна інформація (дані); - масова інформація; - інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування; - правова інформація; - інформація про особу; - інформація довідково-енциклопедичного характеру; - соціологічна інформація. Стаття 19. Статистична інформація Статистична інформація - це офіційна документована державна інформація, яка дає кількісну характеристику масових явищ та процесів, що відбуваються в економічній, соціальній, культурній та інших сферах життя. Державна статистична інформація підлягає систематичному відкритому публікуванню. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 18. Види інформації Основними видами інформації є: - статистична інформація; - адміністративна інформація (дані); - масова інформація; - інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування; - правова інформація; - інформація про особу; - інформація довідково-енциклопедичного характеру; - соціологічна інформація. Стаття 19. Статистична інформація Статистична інформація - це офіційна документована державна інформація, яка дає кількісну характеристику масових явищ та процесів, що відбуваються в економічній, соціальній, культурній та інших сферах життя. Державна статистична інформація підлягає систематичному відкритому публікуванню. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

ЗАКОН УКРАЇНИ Про державну статистику N 2615-XII від Стаття 21. Гарантії органів державної статистики щодо забезпечення конфіденційності статистичної інформації Первинні дані, отримані органами державної статистики від респондентів під час проведення статистичних спостережень, а також адміністративні дані щодо респондентів, отримані органами державної статистики від органів, що займаються діяльністю, пов'язаною із збиранням та використанням адміністративних даних, є конфіденційною інформацією, яка охороняється Законом і використовується виключно для статистичних цілей у зведеному знеособленому вигляді. Поширення статистичної інформації, на підставі якої можна визначити конфіденційну статистичну інформацію щодо конкретного респондента, забороняється. Стаття 22. Статистична інформація, на яку не розповсюджується заборона стосовно її поширення органами державної статистики Статистична інформація, яка дозволяє прямо чи опосередковано встановити конкретного респондента або визначити первинні дані щодо нього, може бути поширена за згодою цього респондента і відповідно до погоджених з ним умов, або якщо вона отримана із загальнодоступних джерел. Заборона стосовно поширення статистичної інформації не розповсюджується на: знеособлену статистичну інформацію у незведеному вигляді, яка не дозволяє визначити конфіденційну статистичну інформацію щодо конкретного респондента; інформацію щодо назв, адрес, номерів телефонів і видів діяльності підприємств, установ і організацій, якщо інше не передбачено законодавством;

Стаття Адміністративна інформація (дані) Адміністративна інформація (дані) - це офіційні документовані дані, що дають кількісну характеристику явищ та процесів, що відбуваються в економічній, соціальній, культурній, інших сферах життя і збираються, використовуються, поширюються та зберігаються органами державної влади (за винятком органів державної статистики), органами місцевого самоврядування, юридичними особами відповідно до законодавства з метою виконання адміністративних обов'язків та завдань, що належать до їх компетенції. Стаття 20. Масова інформація та її засоби Масова інформація - це публічно поширювана друкована та аудіовізуальна інформація. Друкованими засобами масової інформації є періодичні друковані видання (преса) - газети, журнали, бюлетені тощо і разові видання з визначеним тиражем. Аудіовізуальними засобами масової інформації є: радіомовлення, телебачення, кіно, звукозапис, відеозапис тощо. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 21. Інформація державних органів та органів місцевого і регіонального самоврядування Інформація державних органів та органів місцевого і регіонального самоврядування - це офіційна документована інформація, яка створюється в процесі поточної діяльності законодавчої, виконавчої та судової влади, органів місцевого і регіонального самоврядування. Стаття 22. Правова інформація Правова інформація - це сукупність документованих або публічно оголошених відомостей про право, його систему, джерела, реалізацію, юридичні факти, правовідносини, правопорядок, правопорушення і боротьбу з ними та їх профілактику тощо. Стаття 23. Інформація про особу Інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу. Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження. Забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом. Кожна особа має право на ознайомлення з інформацією, зібраною про неї. Інформація про особу охороняється Законом. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Рішення Конституційного Суду України у справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України «Про інформацію» та статті 12 Закону України «Про прокуратуру» 1. Частину четверту статті 23 Закону України "Про інформацію" треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини. До конфіденційної інформації, зокрема, належать свідчення про особу (освіта, сімейний стан, релігійність, стан здоров'я, дата і місце народження, майновий стан та інші персональні дані).

Стаття 24. Інформація довідково-енциклопедичного характеру Інформація довідково-енциклопедичного характеру - це систематизовані, документовані або публічно оголошені відомості про суспільне, державне життя та навколишнє природне середовище. Система цієї інформації, доступ до неї регулюються бібліотечним, архівним та іншим галузевим законодавством. Стаття 25. Соціологічна інформація Соціологічна інформація - це документовані або публічно оголошені відомості про ставлення окремих громадян і соціальних груп до суспільних подій та явищ, процесів, фактів. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 26. Джерела інформації Джерелами інформації є передбачені або встановлені Законом носії інформації: документи та інші носії інформації, які являють собою матеріальні об'єкти, що зберігають інформацію, а також повідомлення засобів масової інформації, публічні виступи. Стаття 27. Документ в інформаційних відносинах Документ - це передбачена законом матеріальна форма одержання, зберігання, використання і поширення інформації шляхом фіксації її на папері, магнітній, кіно-, відео, фотоплівці або на іншому носієві. Первинний документ - це документ, що містить в собі вихідну інформацію. Вторинний документ - це документ, що являє собою результат аналітико-синтетичної та іншої переробки одного або кількох документів. Стаття 28. Режим доступу до інформації Режим доступу до інформації - це передбачений правовими нормами порядок одержання, використання, поширення і зберігання інформації. За режимом доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом. Держава здійснює контроль за режимом доступу до інформації. Завдання контролю за режимом доступу до інформації полягає у забезпеченні додержання вимог законодавства про інформацію всіма державними органами, підприємствами, установами та організаціями, недопущенні необгрунтованого віднесення відомостей до категорії інформації з обмеженим доступом. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 29. Доступ до відкритої інформації Доступ до відкритої інформації забезпечується шляхом: - систематичної публікації її в офіційних друкованих виданнях (бюлетенях, збірниках); - поширення її засобами масової комунікації; - безпосереднього її надання заінтересованим громадянам, державним органам та юридичним особам. Порядок і умови надання громадянам, державним органам, юридичним особам і представникам громадськості відомостей за запитами встановлюються цим Законом або договорами (угодами), якщо надання інформації здійснюється на договірній основі. Обмеження права на одержання відкритої інформації забороняється законом. Переважним правом на одержання інформації користуються громадяни, яким ця інформація необхідна для виконання своїх професійних обов'язків. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 30. Інформація з обмеженим доступом Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну. Конфіденційна інформація - це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов. Стосовно інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ - надано статус конфіденційної. До конфіденційної інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, не можуть бути віднесені відомості: - про стан довкілля, якість харчових продуктів і предметів побуту; - про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян; - про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально- демографічні показники, стан правопорядку, освіти і культури населення; - стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх порушень; - про незаконні дії органів державної влади, органів місцевого самоврядування, їх посадових та службових осіб; ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 30. Інформація з обмеженим доступом Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту. Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої являє загрозу життю і здоровюлюдей. До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі. Віднесення інформації до категорії таємних відомостей, які становлять державну таємницю, і доступ до неї громадян здійснюється відповідно до закону про цю інформацію. Інформація з обмеженим доступом може бути поширена без згоди її власника, якщо ця інформація є суспільно значимою, тобто якщо вона є предметом громадського інтересу і якщо право громадськості знати цю інформацію переважає право її власника на її захист. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 37. Документи та інформація, що не підлягають наданню для ознайомлення за запитами Не підлягають обов'язковому наданню для ознайомлення за інформаційними запитами офіційні документи, які містять у собі: - інформацію, визнану у встановленому порядку державною таємницею; - конфіденційну інформацію; - інформацію про оперативну і слідчу роботу органів прокуратури, МВС, СБУ, роботу органів дізнання та суду у тихвипадках, коли її розголошення може зашкодити оперативним заходам,розслідуванню чи дізнанню, порушити право людини на справедливий та об'єктивний судовий розгляд її справи, створити загрозу життю або здоров'ю будь-якої особи; - інформацію, що стосується особистого життя громадян; - документи, що становлять внутрівідомчу службову кореспонденцію (доповідні записки, переписка між підрозділами та інше), якщо вони пов'язані з розробкою напряму діяльності установи, процесом прийняття рішень і передують їх прийняттю; - інформацію, що не підлягає розголошенню згідно з іншими законодавчими або нормативними актами. Установа, до якої звернуто запит, може не надавати для ознайомлення документ, якщо він містить інформацію, яка не підлягає розголошенню на підставі нормативного акта іншої державної установи, а та державна установа, яка розглядає запит, не має права вирішувати питання щодо її розсекречення; - інформацію фінансових установ, підготовлену для контрольно-фінансових відомств. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 38. Право власності на інформацію Право власності на інформацію - це врегульовані законом суспільні відносини щодо володіння, користування і розпорядження інформацією. Інформація є об'єктом права власності громадян, організацій (юридичних осіб) і держави. Підставами виникнення права власності на інформацію є: - створення інформації своїми силами і за свій рахунок; - договір на створення інформації; - договір, що містить умови переходу права власності на інформацію до іншої особи. Інформація, створена організаціями (юридичними особами) або придбана ними іншим законним способом, є власністю цих організацій. Інформація, створена на кошти державного бюджету, є державною власністю. Інформацію, створену на правах індивідуальної власності, може бути віднесено до державної власності у випадках передачі її на зберігання у відповідні банки даних, фонди або архіви на договірній основі. Власник інформації має право призначати особу, яка здійснює володіння, використання і розпорядження інформацією, і визначати правила обробки інформації та доступ до неї, а також встановлювати інші умови щодо інформації. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 39. Інформація як товар Інформаційна продукція та інформаційні послуги громадян та юридичних осіб, які займаються інформаційною діяльністю, можуть бути об'єктами товарних відносин, що регулюються чинним цивільним та іншим законодавством. Ціни і ціноутворення на інформаційну продукцію та інформаційні послуги встановлюються договорами, за винятком випадків, передбачених Законом. Стаття 40. Інформаційна продукція Інформаційна продукція - це матеріалізований результат інформаційної діяльності, призначений для задоволення інформаційних потреб громадян, державних органів, підприємств, установ і організацій. Стаття 41. Інформаційна послуга Інформаційна послуга - це здійснення у визначеній законом формі інформаційної діяльності по доведенню інформаційної продукції до споживачів з метою задоволення їх інформаційних потреб. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 46. Неприпустимість зловживання правом на інформацію Не підлягають розголошенню відомості, що становлять державну або іншу передбачену законодавством таємницю. Не підлягають розголошенню відомості, що стосуються лікарської таємниці, грошових вкладів, прибутків від підприємницької діяльності, усиновлення (удочеріння), листування, телефонних розмов і телеграфних повідомлень, крім випадків, передбачених законом. Стаття 47. Відповідальність за порушення законодавства про інформацію (СКОРОЧЕНО) Порушення законодавства України про інформацію тягне за собою дисциплінарну, цивільно- правову, адміністративну або кримінальну відповідальність згідно з законодавством України. Відповідальність за порушення законодавства про інформацію несуть особи, винні у вчиненні таких порушень, як: - надання інформації, що не відповідає дійсності; - використання і поширення інформації стосовно особистого життя громадянина без його згоди особою, яка є власником відповідної інформації внаслідок виконання своїх службових обов'язків; - розголошення державної або іншої таємниці, що охороняється законом, особою, яка повинна охороняти цю таємницю; - порушення порядку зберігання інформації; - навмисне знищення інформації; - необгрунтоване віднесення окремих видів інформації до категорії відомостей з обмеженим доступом; - порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави. ЗАКОН УКРАЇНИ «Про інформацію» N 2658-XII від р.

Стаття 302. Право на інформацію 1. Фізична особа має право вільно збирати, зберігати, використовувати і поширювати інформацію. Збирання, зберігання, використання і поширення інформації про особисте життя фізичної особи без її згоди не допускаються, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. ЦИВІЛЬНИЙ КОДЕКС УКРАЇНИ

Основні нормативно-правові акти у сфері КЗІ відносно використання засобів электронного цифрового подпису, електронного документообігу та шифрування Про електронний цифровий підпис 852/IV від р. Про порядок здійснення КЗІ в Україні 505 від р. Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису 141 від р. Про затвердження Положення про державну експертизу у сфері КЗІ 62 від р. Про затвердження Правил посиленої сертифікації 3 від р. (зі змінами та доповненнями внесенними Наказом ДСТСЗІ СБУ 50 від р.) Закон України Указ Президента України Наказ ДСТСЗІ СБ України

Основні нормативно-правові акти у сфері КЗІ відносно використання засобів электронного цифрового подпису, електронного документообігу та шифрування Про Положення про технічний захист інформації в Україні Про Положення про порядок здійснення криптографічного захисту інформації в Україні, від «Про захист інформації в інформаційно-телекомунікаційних системах», N 2594-IV від Указ Президента України Закон України «Про електронні документи та електронний документообіг», N 2599-IV від Закон України

Закон України Про электронний цифровий підпис 852/IV від р. Цей Закон визначає правовий статус електронного цифрового підпису та регулює відносини, що виникають при використанні електронного цифрового підпису. Дія цього Закону не поширюється на відносини, що виникають під час використання інших видів електронного підпису, в тому числі переведеного у цифрову форму зображення власноручного підпису.

Закон України Про електронний цифровий підпис Термини які вживаються у законі: електронний підпис - дані в електронній формі, які додаются до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних. електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. засіб електронного цифрового підпису - програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки електронного цифрового підпису. особистий ключ - параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу.

відкритий ключ - параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису. сертифікат відкритого ключа - документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача. посилений сертифікат відкритого ключа - сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом. Закон України Про електронний цифровий підпис Терміни, що вживаються у законі : засвідчення чинності відкритого ключа - процедура формування сертифіката відкритого ключа. Акредитація - процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених сертифікатів ключів.

Закон України Про електронний цифровий підпис компрометація особистого ключа - будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа. блокування сертифіката ключа - тимчасове зупинення чинності сертифіката ключа. послуги електронного цифрового підпису - надання у користування засобів електронного цифрового підпису, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені цим Законом. надійний засіб електронного цифрового підпису - засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації. Терміни, що вживаються у законі (продовження) підписувач - особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа

Стаття 2. Субєкти правових відносин у сфері послуг ЕЦП: Підписувач Користувач Центр сертифікації ключів Акредитований центр сертифікації ключів Центральний засвідчувальний орган Засвідчувальний центр органу виконавчої влади або іншого державного органу Контролюючий орган Стаття 3. Правовой статус ЕЦП: Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо: ЕЦП підтверджено з використанням посиленого сертифіката ключа за допормогою надійних засобів цифрового підпису; Під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладання електронного цифрового підпису; Особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті. Стаття 4. Призначення ЕЦП: ЕЦП призначений для забезпечення діяльності фіцзичних та юридичних осіб, яка здійснюється з використанням електронних документів Використання ЕЦП не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі Нотаріальні дії із засвідченням справжності ЕЦП на електронних документах вчиняються відповідно до порядку, встановленого Законом. Стаття 4. Особливості застосування електронного цифрового підпису : Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа. Інші юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, сформованим центром сертифікації ключів, а також використовувати електронний цифровий підпис без сертифіката ключа. У випадках, коли відповідно до законодавства необхідне засвідчення дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один електронний цифровий підпис юридичної особи, спеціально призначений для таких цілей. Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності визначається Кабінетом Міністрів України. Порядок застосування цифрового підпису в банківській діяльності визначається Національним банком України. Закон України Про електронний цифровий підпис

Стаття 6. Вимоги до сертифіката ключа Сертифікат ключа містить такі обов'язкові дані: - найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру); - зазначення, що сертифікат виданий в Україні;унікальний реєстраційний номер сертифіката ключа; - основні дані (реквізити) підписувача - власника особистого ключа;дату і час початку та закінчення строку чинності сертифіката; - відкритий ключ; - найменування криптографічного алгоритму, що використовується власником особистого ключа; - інформацію про обмеження використання підпису. Посилений сертифікат ключа, крім обов'язкових даних, які містяться в сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа. Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника. Закон України Про електронний цифровий підпис

Стаття 8. Центр сертифікації ключів (скорочено) Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог статті 6 цього Закону. Центр сертифікації ключів має право: - надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів; - отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника. Центр сертифікації ключів зобов'язаний: - забезпечувати захист інформації в автоматизованих системах відповідно до законодавства; - забезпечувати захист персональних даних, отриманих від підписувача. Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняються. Закон України Про електронний цифровий підпис

Стаття 9. Акредитований центр сертифікації ключів (скорочено) Центр сертифікації ключів, акредитований в установленому порядку, є акредитованим центром сертифікації ключів. Акредитований центр сертифікації ключів має право: -надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів; -отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника. Акредитований центр сертифікації ключів має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису. Закон України Про електронний цифровий підпис

Стаття 10. Засвідчувальний центр (скорочено) Кабінет Міністрів України за необхідності визначає засвідчувальний центр центрального органу виконавчої влади для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям. Інші державні органи за необхідності, за погодженням з Кабінетом Міністрів України, визначають свої засвідчувальні центри, призначені для виконання функцій, зазначених у частині першій цієї статті. Засвідчувальний центр по відношенню до групи центрів сертифікації ключів, зазначених у частині першій цієї статті, має ті ж функції і повноваження, що й центральний засвідчувальний орган стосовно центрів сертифікації ключів. Засвідчувальний центр відповідає вимогам, встановленим законодавством для акредитованого центру сертифікації ключів. Засвідчувальний центр реєструється, засвідчує свій відкритий ключ і акредитується у центральному засвідчувальному органі. Закон України Про електронний цифровий підпис

Закон УкраїниПро електронні документи та електронний документообіг 36 від 2003 р. Цей Закон встановлює основні організаційно-правові засади електронного документообігу та використання електронних документів

Закон України Про електронні документи та електронний документообіг Терміни, що вживаються у законі: адресат - фізична або юридична особа, якій адресується електронний документ дані - інформація, яка подана у формі, придатній для її оброблення електронними засобами обов'язковий реквізит електронного документа - обов'язкові дані в електронному документі, без яких він не може бути підставою для його обліку і не матиме юридичної сили суб'єкти електронного документообігу - автор, підписувач, адресат та посередник, які набувають передбачених законом або договором прав і обов'язків у процесі електронного документообігу

Закон України Про електронні документи та електронний документообіг Стаття 5. Електронний документ Електронний документ - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа. Склад та порядок розміщення обов'язкових реквізитів електронних документів визначається законодавством. Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму. Візуальною формою подання електронного документа є відображення даних, які він містить, електронними засобами або на папері у формі, придатній для приймання його змісту людиною. Стаття 6. Електронний підпис Електронний підпис є обов'язковим реквізитом електронного документа, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного документообігу. Накладанням електронного підпису завершується створення електронного документа. Відносини, пов'язані з використанням електронних цифрових підписів, регулюються законом. Використання інших видів електронних підписів в електронному документообігу здійснюється суб'єктами електронного документообігу на договірних засадах.

Закон України Про електронні документи та електронний документообіг Стаття 7. Оригінал електронного документа Оригіналом електронного документа вважається електронний примірник документа з обов'язковими реквізитами, у тому числі з електронним цифровим підписом автора. У разі надсилання електронного документа кільком адресатам або його зберігання на кількох електронних носіях інформації кожний з електронних примірників вважається оригіналом електронного документа. Якщо автором створюються ідентичні за документарною інформацією та реквізитами електронний документ та документ на папері, кожен з документів є оригіналом і має однакову юридичну силу. Оригінал електронного документа повинен давати змогу довести його цілісність та справжність у порядку, визначеному законодавством; у визначених законодавством випадках може бути пред'явлений у візуальній формі відображення, в тому числі у паперовій копії. Електронна копія електронного документа засвідчується у порядку, встановленому законом. Копією документа на папері для електронного документа є візуальне подання електронного документа на папері, яке засвідчене в порядку, встановленому законодавством.

Закон України Про електронні документи та електронний документообіг Стаття 8. Правовий статус електронного документа та його копії Юридична сила електронного документа не може бути заперечена виключно через те, що він має електронну форму. Допустимість електронного документа як доказу не може заперечуватися виключно на підставі того, що він має електронну форму. Електронний документ не може бути застосовано як оригінал: 1)свідоцтва про право на спадщину; 2)документа, який відповідно до законодавства може бути створений лише в одному оригінальному примірнику, крім випадків існування централізованого сховища оригіналів електронних документів; 3)в інших випадках, передбачених законом. Нотаріальне посвідчення цивільно-правової угоди, укладеної шляхом створення електронного документа (електронних документів), здійснюється у порядку, встановленому законом.

Закон України Про електронні документи та електронний документообіг Стаття 9. Електронний документообіг Електронний документообіг (обіг електронних документів) - сукупність процесів створення, оброблення, відправлення, передавання, одержання, зберігання, використання та знищення електронних документів, які виконуються із застосуванням перевірки цілісності та у разі необхідності з підтвердженням факту одержанная таких документів. Порядок електронного документообігу визначається державними органами, органами місцевого самоврядування, підприємствами, установами та організаціями всіх форм власності згідно з законодавством. Стаття 12. Перевірка цілісності електронного документа Перевірка цілісності електронного документа проводиться шляхом перевірки електронного цифрового підпису.

Закон України Про електронні документи та електронний документообіг Стаття 13. Зберігання електронних документів та архіви електронних документів (скорочено) Суб'єкти електронного документообігу повинні зберігати електронні документи на електронних носіях інформації у формі, що дає змогу перевірити їх цілісність на цих носіях. При зберіганні електронних документів обов'язкове додержання таких вимог: 1)інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання; 2)має бути забезпечена можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний; 3)у разі наявності повинна зберігатися інформація, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання. Стаття 15. Обіг електронних документів, що містять інформацію з обмеженим доступом Суб'єкти електронного документообігу, які здійснюють його на договірних засадах, самостійно визначають режим доступу до електронних документів, що містять конфіденційну інформацію, та встановлюють для них систему (способи) захисту. В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які забезпечують обмін електронними документами, що містять інформацію, яка є власністю держави, або інформацію з обмеженим доступом, повинен забезпечуватися захист цієї інформації відповідно до законодавства.

Указ Президента України Про Положення про порядок здiйснення криптографiчного захисту iнформацiї в Українi 505 от г. ДСТСЗІ СБ України Орган державного управління, котрий реалізує даржавну політику у сфері захисту державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації Проводить : Ліцензування діяльності у сфері КЗІ Сертифікацію криптосистем та засобів КЗІ Державну експертизу у сфері КЗІ Затверджує: Положення у сфері КЗІ Інструкцію, що регламентує діяльність у сфері КЗІ Надає: Дозволи на експлуатацію засобів КЗІ

Наказ ДССЗ З І України Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису 141 від р. Зареєстровано у Міністерстві юстиції України 30 липня 2007 р за 868/4161

ДСТСЗИ СБ Украины Заказчик Разработчик Производитель Пользователи Положение Про порядок разработки изготовления и эксплуатации средств криптографической защиты конфиденциальной информации Действие этого Положения не распространяется на средства, которые предназначены для криптографической защиты конфиденциальной информации, являющиеся государственной собственностью Субъекты правовых отношений: Этапы создания средств криптографической защиты конфиденциальной информации: Разработка технического задания (ТЗ) Согласование ТЗ с разработчиком Согласование ТЗ с ДСТСЗИ СБ Украины Использование лицензионного ПО Разработка технических условий (ТУ) и конструкторской документации Согласование ТУ с ДСТСЗИ СБ Украины Изготовление опытного образца Разработка эксплуатационной документации Испытание опытного образца Направление отчета в ДСТСЗИ СБУ об испытании Получение сертификата соответствия (экспертного вывода) Производство Эксплуатация Состав технического задания: Сведенья про Заказчика и Исполнителя Сведенья про тип и класс средства и сведенья про его использование Требования к криптоалгоритму и его реализации Требования к ключевой системе и ее организации Требования к управлению ключевыми данными Требования к ЭМС и помехозащищенности Сведенья про типы технических средств, которые взаимодействуют с средствами КЗИ Требования к каналам связи Организация связи Перечень документации на средство КЗИ, которое разрабатывается

Наказ ДСТСЗІ СБ України ПОЛОЖЕННЯ про державну експертизу у сфері криптографічного захисту інформації 62 від р. Зареєстровано у Міністерстві юстиції України 12 січня 2001 р. 9/5200

Положення Про державну експертизу у сфері КЗІ Субєкти експертизи: Замовник експертизи Організатор експертизи Експертний заклад Експерт Експертиза (обовязкова чи добровільна) включає: Объекти експертизи: Засоби та методи Звіти про наукові дослідження і розробки Криптографічні алгоритми та протоколи Криптографічні системи, засоби та обладнання КЗІ Системи і засоби генерації, тестування та розподілу ключів Підстави для проведення експертизи: Рішення органів вико-навчої влади та органів місцевого самоврядування, прийняті в межах їх повноважень Договори на проведення експертизи Мета проведення експертизи: Підготовка висновків і надання рекомендацій для прийняття рішення про використання (застосування) об`єктів експертизи та яка включає перевірку відповідності об`єктів експертизи вимогам нормативних документів, оцінку рівня захисту інформації об`єктами експертизи або науково- технічного рівня об`єктів експертизи Порядок організації та проведення експертизи: Подання та розгляд заявки Розгляд в місячний термін з дня отримання заявки з метою визначення можливості проведення експертизи Аналіз наданих документів і матеріалів Оформлення рішення, у якому визначаються умови проведення експертизи. Між суб`єктами експертизи укладається договір (договори) на проведення державної експертизи. Експертні роботи здійснюються за програмами та методиками, розробленими експертними закладами (експертами) та погодженими ДСТСЗІ СБ України. Проведення експертизи Експертні заклади (експерти) готують та затверджують (підписують) висновки державної експертизи і видають замовнику Висновок державної експертизи є обов`язковим для урахування замовником при здійсненні своєї діяльності

Наказ ДСТСЗІ СБ України Про затвердження Правил посиленої сертифікації 3 від р. Затверждено наказ ДСТСЗІ СБУ (в редакції наказу ДСТСЗІ СБУ від ) Зареєстровано у Міністерстві юстиції України 17 травня 2006 р. 568/12442

Правила посиленої сертифікації У цих Правилах організаційні, технічні і технологічні умови діяльності акредитованих центрів під час обслуговування ними сертифікатів мають назву політика сертифікації. Дія цих Правил поширюється на акредитовані центри. Особливості застосування цих Правил у сфері банківської діяльності визначає Національний банк України за погодженням з контролюючим органом. Ідентифікатором для політики сертифікації, що визначена у цих Правилах, є iso(1) member-body(2) Ukraine(804) root(2) security(1)cryptography(1)pik(1) pik-cp(2) правила посиленої сертифікації(2). Центр сертифікації ключів, що успішно пройшов процедуру акредитації, у процесі якої підтверджено відповідність діяльності центру вимогам, зазначеним у цих Правилах,повинен включати зазначений ідентифікатор у всі посилені сертифікати, що ним формуються для підписувачів. реєстрацію заявника; сертифікацію (формування сертифіката, повторне формування сертифіката); розповсюдження ; управління статусом сертифіката ; розповсюдження інформації про статус сертифіката. Додатково акредитований центр може надавати засоби ЕЦП Обслуговування сертифікатів передбачає:

Акредитований центр повинен зобов'язати заявника виконувати такі основні вимоги : Правила посиленої сертифікації Акредитований центр повинен мати Регламент роботи, що визначає порядок та процедури обслуговування сертифікатів підписувачів відповідно до вимог, визначених у цих Правилах Регламент роботи розробляється до початку прове- дення процедури акредитації центру сертифікації клю- чів та затверджується керівником центру після його погодження з контролюючим органом. Після зат- вердження Регламенту роботи один його примірник надсилається до контролюючого органу У разі внесення змін до Регламенту роботи у ньому окремо зазначаються положення (розділи, пункти), до яких внесено зміни, текст змін, а також дата їх внесення Акредитований центр через електронний інформаційний ресурс або в інший спосіб забезпечує ознайомлення користувачів з положеннями Регла- менту роботи або з іншим документами, що підтверд- жують відповідність його діяльності політиці сертифі- кації, що визначена у цих Правилах. Акредитований центр визначає обсяг положень Регламенту роботи або інших документів, з якими необхідно ознайомлювати користувачів Вимоги до діяльності акредитованого центру під час обслуговування сертифікатів : надавати повну та дійсну інформацію під час реєстрації, необхідну для формування сертифіката використовувати особистий ключ виключно для ЕЦП, а також додержуватися інших вимог щодо його використання, визначених акредитованим центром зберігати особистий ключ у таємниці, не допускати використання особистого ключа іншими особами використовувати надійні засоби ЕЦП для генерації особистих та відкритих ключів, формування та перевірки ЕЦП негайно інформувати акредитований центр про події, що трапилися до закінчення строку чинності сертифіката, а саме: втрату або компрометацію особистого ключа; втрату контролю щодо особистого ключа через компрометацію паролю, коду доступу до нього тощо; виявлену неточність або зміну даних, зазначених у сертифікаті не використовувати особистий ключ у разі його компрометації

ЦЕНТРАЛЬНИЙ ЗАСВІДЧУВАЛЬНИЙ ОРГАН АЦСК ТОВУСЦ АЦСК ДПУСС АЦСК ТОВ НВФУНІС АЦСК ЗАТІВК АЦСК АРТ-Мастер Національна система Електронного цифрового підпису Засвідчувальний центр Національного банку України ЦСК АРТ-Мастер ЦСК ВАТ МФС ЦСК ФБ Перспектива ЦСК НДУ ЦСК Укр.заліз ниці ЦСК ДЦЗ ЦСК ДКУ Інші ЦСК КОРИСТУВАЧІ ПОСЛУГ ЕЦП

X.500Каталог: огляд концепцій, моделей та послуг X.509Каталог: структура автентифікації X.509аФормат сертифіката (v3) X.208 (ISO/IEC 8825) Абстрактна синтаксична нотація (ASN.1) X.209Основні правила кодування (ASN.1) ISO/IEC 8824Ідентифікатори обєктів ISO/IEC Основні положення сертифікації відкритого ключа та сертифікації атрибутів Базові міжнародні стандарти

RFC 2510 Certificate Management Protocols CMPПротоколи управління сертифікатами RFC 2511 Certificate Request ProtocolФормат повідомлень запитів на сертифікати RFC 2527 (3647) Certificate Policy and Certification Practices Framework Основи політики застосування сертифіката та практики сертификації RFC 2559 LDAP v2 Operational ProtocolsОпераційні протоколи - LDAPv2 RFC 2560 Online Certificate Status Protocol (OCSP) Онлайновий протокол статуса сертифіката RFC 2585 HTTP/FTP OperationsОпераційні протоколи: FTP и HTTP RFC 2528 Representation of KEA Keys in Internet X.509 PKI Представлення алгоритма обміну ключами (KEA) в сертифікатах інфраструктури відкритого ключа RFC 3039 (3739) Qualified Certificates ProfileПрофіль придатного сертифіката Стандарти PKIX RFC 3379 Delegated Path Validation and Delegated Path Discovery Protocol Requirement Вимоги до протоколу перевірки делегованого шляху та до протоколу знаходження делегованого шляху RFC 3161 PKIX Time Stamp Protocols (TSP) Протоколи відмітки часу RFC 2587 LDAP v2 SchemaСхема LDAP v2 RFC 2797 Certificate Management Massages over CMS Повідомлення управління сертифікатами над CMS RFC 2875 DH POP AlgorithmАлгоритм Доказу Володіння Діффі Гелмана RFC 3029 Date Validation and Certification Server Protocols Протоколи Серверу сертифікації та Перевірки дати RFC 3279 Algorithms and Identifiers for the Internet X.509 PKI Certificate and CRL Profile Алгоритми та Ідентифікатори для профілю ССС та Сертифіката X.509 RFC 3280 Certificate and CRL ProfileПрофілі ССС та Сертифіката RFC 3628 Policy Requirements for Time-Stamping Authorities Вимоги до політики для Уповноваженого на відмітку часу RFC 3281 An Internet Attribute Certificate Profile for Authorization Інтернет Профіль Сертифіката Атрибутів для авторизації

PKCS #1 RSA CryptographyRSA криптографія PKCS #5 Password-Based CryptographyКриптографія основана на паролі PKCS #7 Cryptographic Massage SyntaxСинтаксис криптографічного повідомлення PKCS #9 Selected Attribute TypesТипи обраних атрибутів PKCS #11 Cryptoki PKCS #13 Elliptic Curve CryptographyКриптографія на еліптичних кривих PKCS #3 DH Key AgreementУзгодження Ключів по Діффі Гелману PKCS #6 Extended Certificate SyntaxРозширений синтаксис сертифіката PKCS #8 Private-Key Information SyntaxСинтаксис інформації особистого ключа PKCS #10 Certificate Request SyntaxСинтаксис запиту на сертифікат PKCS #12 Personal Information Exchange Syntax Синтаксис обміну особистою інформацією PKCS #15 Cryptography Token Information Format Формат інформації криптографічного токену Промислові стандарти

Х.509PKIX PKCS Програмний код та файли, завірені ЕЦП Електронна пошта Групова робота Обмін даними S/MIMESSL TLSIPSec PPTP VPN Онлайновий Банківські операції Електронна торгівля Додатки Стандарти, що опираються на PKI Стандарти, що визначають PKI Взаємодія стандартів в галузі ІВК

X.509 Каталог: структура автентифікації X.509аФормат сертифіката (v3) X.208 (ISO/IEC 8825)Абстрактна синтаксична нотація (ASN.1) ISO/IEC Основні положення сертифікації відкритого ключа та сертифікації атрибутів RFC 2459PKIX X.509 Profile Стандарти підтримки IEEE P1363, ISO/IEC 9796, ISO/OEC 14888, FIPS 186-2, PKCS#1, ISO/IEC 10118, FIPS та інші Стандарти формату сертифіката

RFC 2510 Certificate Management Protocols (CMP) Визначає операції: -створення ЦС; -ініціалізації обєктів; -сертифікації; -поновлення сертифікатів та Списків скасування сертифікатів; -операції поновлення працездатності ЦС та інші. RFC 2511 Certificate Request Protocol Перспектива ISO/IEC Стандарти протоколів управління сертифікатами

X.509Каталог: структура автентифікації X.509аФормат сертифіката (v3) ISO/IEC Основні положення сертифікації відкритого ключа та сертифікації атрибутів RFC 2559LDAP v2 Operational Protocols Протоколи доступу до сертифікатів X.509Формат списка скасування сертификатів (v2) RFC 2560Онлайновий протокол статусу сертифіката (OCSP) RFC 2459Профіль ССС для PKIX Скасування та визначення статусу сертифіката

Міжнародні стандарти Діючі (гармонізовані в Україні) Заплановані до гармонізації Основні положення сертифікації відкритого ключа та сертифікації атрибутів ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. Автентифікація обєктів ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. Геш-функції ISO/IEC ДСТУ ISO/IEC затверджені ISO/IEC ДСТУ ISO/IEC затверджені ISO/IEC ДСТУ ISO/IEC розробка закінчується в листопаді 2004р. ISO/IEC Стан стандартизації в галузі ІВК

Управління ключами ISO/IEC ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC ISO/IEC Керівництво з управління безпекою інформацією ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC розробка закінчується в листопаді 2004р. ISO/IEC ДСТУ ISO/IEC розробка закінчується в листопаді 2004р. Неспростовність ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. ISO/IEC ДСТУ ISO/IEC Стан стандартизації в галузі ІВК (продовження таблиці)

Керівництво для використання та управління службами третіх довірених сторін ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. Цифрові підписи з доповненням ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC ISO/IEC ДСТУ ISO/IEC Послуги фіксування часу ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. ISO/IEC ДСТУ ISO/IEC розробка запланована на 2005 р. Стан стандартизації в галузі ІВК (закінчення таблиці)

Загальна архітектура ІВК у США

Федеральний ІВК-профіль Федеральний профіль сертифіката Федеральний профіль ССС Формат CRL X.509 v.2 PKIX профіль Формат X.509 v.3

PMA CA CCF Клієнти CA Клієнти LRA Приватний сектор ІВК інших урядів Основні елементи ІВК Уряду Канади

Схема взаємодії ЄС в галузі ЕЦП

Розподіл напрямків роботи робочих груп Формат та синтаксис підпису Процес генерації підпису Процес перевірки підпису Пристрій генерації Позначка часу Вимоги до ППС Чинний сертифікат Система, якій довіряють Користувач / підписувач ITSI ESI CEN E-SIGN Сторона, що довіряє / перевіряючий Постачальник Послуг Сертифікації

Схема побудові федеральної ІВК

Еквівалентна стійкість криптоперетворень (NIST SP , США, Рекомендації для управління ключами Частина 1 : Загальні положення) п/п Симетричний шифр / довжина ключа Геш- функція колізійно стійка / довжина Геш-функції колізійно не стійкі / довжина DSA, DH, MQV RSAEС 1Skipjach / 80SHA-1 l p = 1024 l q = 160 l N = 1024l n = DES/112 l p = 2048 l q = 224 l N = 2048l n = 224 3СШ/128SHA-2/256 l p = 3072 l q = 256 l N = 3072l n = 256 4СШ/160SHA-1/160 5СШ/192SHA-2/384 l p = 7680 l q = 384 l N = 7680l n = 384 6СШ/256SHA-2/512SHA-256 l p = l q = 512 l N = 15360l n = 512 7SHA-2/384 8SHA-2/512

Роки Симетричні шифри / довжина ключа Геш-функція / довжина h Геш-функцій безкалізій / довжина h DSA, DH, MQVRSAEС pp 2 DES/112 3DES/158 СШ/128, 192, 256 SHA-1/160 SHA-2/256 SHA-2/384 SHA-2/512 SHA-1/160 SHA-2/256 SHA-2/384 SHA-2/512 min l p = 1024 q = 160 min l N = 1024 Min l n = pp 3 DES/168 СШ/128, 192, 256 SHA-2/256 SHA-2/384 SHA-2/512 SHA-1/160 SHA-2/256, 384, 512 min l p = 2048 q = 224 min l N = 2048 Min l n = XXXXp p СШ/128, 192, 256 SHA-2/256, 384, 512 SHA-1/160 SHA-2/256,384, 512 min l p = 3072 q = 256 mіn l N = 3072 Min l n = 256 Рекомендовані криптоперетворення та мінімальні розміри ключів (США, NIST SP ) Еквівалентна стійкість криптоперетворень (Германія, мінімальна/максимальна довжини) Роки RSA (l N )1024/ / / /2048 DSA (l p, q)1024/2048, /2048, /2048, , 224 E (F p ) (P/n)-/160192/180 -/224 E (F 2 m)-/160191/180 -/224

Законодавчого та нормативно- правового врегулювання взаємовідносин сторін, що приймають участь у функціонуванні ІВК: - замовники; - розробники; - постачальники; - користувачі; - довірені сторони. Підготовка, перепідготовка та атестація обслуговуючого персоналу. Загальносистемного рівня – обґрунтування та висунення вимог щодо загальної архітектури ІВК, складу основних обєктів та субєктів ІВК, їх взаємодії з урахуванням завдань, що розвязуються на національному рівні, рівні державних органів влади, міністерств та відомств, державних установ та закладів, приватних підприємств, громадських організацій та обєднань, окремих громадян. Процедурно- функціональний рівень: -основні функціональні вимоги до системи сертифікації; -загальні функціональні вимоги до ІВК; -вимоги до генерування та розподілення ключі; -вимоги до адміністраторів реєстрації та сертифікації; -вимоги до довідника (реєстру) сертифікатів; -вимоги до сертифікатів та до управління сертифікатами; -вимоги до користувачів (власників) сертифікатів. Функціонально- технічний рівень: -основні вимоги та функціональна структура ЦЗО, ЗЦ, АЦСК, ЦСК; -вимоги безпеки ЦЗО, ЗЦ, АЦСК, ЦСК; -вимоги доступності (надійності) з необхідним рівнем гарантій; -основні вимоги до обслуговуючого персоналу; -вимоги спостережливості. Програмно-технічний рівень: -вимоги до операційних середовищ, апаратних та апаратно-програмних засобів; -вимоги до криптографічних примітивів; -вимоги до методів та засобів генерування ключів; -вимоги до парольних систем; -вимоги до ключової інформації. Основні проблеми створення інфраструктури відкритих ключів в Україні

Центральний засвідчувальний орган Керується: - Конституцією України, Законами України; -Актами Президента України; -Кабінету Міністрів України; -Контролюючого органу; -Положенням про ЦЗО ( 1415 від ). Постійно діюча комісія з питань акредитації центрів -здійснення акредитації центрів; - видача, переоформлення та анулювання свідоцтв; - розгляд заяв та скарг АЦСК; - підготовка пропозицій КО; - повідомлення КО про форс-мажорні обставини ЦЗО. Служба Комплексного захисту інформації -визначення вимог з ЗІ в IBK; - участь в проектуванні, розробленні та модернізації IBK; - контроль за питанням захищеності; - управління ключовими даними; - адміністрування безпеки; - взаємодія (замовник, розробник, постачальник, користувачі); - дослідження технології ЗІ; - розроблення проектів нормативних та розпорядчих документів; - створення та використання КСЗІ; - підготовка та підвищення кваліфікації персоналу; - міжнародні звязки та координація дій Програмно-технічний комплекс ЦЗО: - основний ПТК ЦЗО; - резервний ПТК ЦЗО. Основні функції: -реєстрація ЗЦ, АЦСК, ЦСК; - формування та видання центрам сертифікатів ключів; - ведення електронних реєстрів сертифікатів, у т.ч. блокованих та скасованих; - збереження сертифікатів; - доступ до сертифікатів Служба розвитку та планування IBK -науково-технічна діяльність; - удосконалення нормативно-правової бази; - взаємодія з контролюючим органом; - міжнародні та міждержавні звязки; - підготовка та перепідготовка кадрів; - впровадження перспективних технологій; - розроблення та гармонізація стандартів з міжнародними. Служба архівування: -документів на папері; - Електронні сертифікати; - електронні реєстри; - електронні документи; - список відкликаних сертифікатів. Взаємодія з ЗУ, АЦСК та ЦСК, що припиняють діяльність. Взаємодія з КО, клієнтами тощо.