Міністерство цифрової трансформації України надало роз’яснення з питань застосування кваліфікованого електронного підпису (далі — КЕП), виклавши їх у формі запитання − відповідь.
Кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо, серед іншого, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі КЕП чи печатки; під час перевірки підтверджено цілісність електронних даних в електронній формі, з якими пов’язаний цей КЕП чи печатка. Разом з тим засоби КЕП чи печатки повинні забезпечувати, серед іншого, захист від доступу до особистих ключів сторонніх осіб.
Таким чином, особистий ключ КЕП може зберігатися лише в засобі КЕП чи печатки та повинен бути пов’язаним з кваліфікованим сертифікатом електронного підпису. Водночас кваліфікований сертифікат відкритого ключа, сформований для удосконаленого електронного підпису чи печатки, не містить відомостей про те, що особистий ключ зберігається в засобі КЕП чи печатки; під час перевірки удосконаленого електронного підпису чи печатки за допомогою кваліфікованого сертифіката відкритого ключа надається підтвердження того, що особистий ключ не зберігається в засобі КЕП чи печатки.
Законодавством у сфері електронних довірчих послуг не визначені вимоги до форми та змісту результату перевірки КЕП. Слід зазначити, що кваліфіковані надавачі електронних довірчих послуг мають право, зокрема, самостійно обирати, які саме стандарти будуть ними застосовуватися під час надання довірчих послуг з переліку стандартів, визначеного КМУ, крім сфери спеціального зв’язку.
Таким стандартом, зокрема, є ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) «Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів», затверджений наказом державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 23.09.2016 р. № 279.
Відповідно до п. 8.2.6 зазначеного стандарту застосунок для перевірки підпису надає: основний результат перевірки (дійсний, недійсний, невизначений), час перевірки та, якщо вимагається, звіт про перевірку. Застосунок для перевірки підпису повинен надавати додаткову інформацію про елементи перевірки підпису, які є підтвердженими або не підтвердженими, та додаткову інформацію, що стосується перевірки підпису (сертифікати, інформація про відкликання та позначки часу).
Якщо за результатом перевірки електронного підпису засіб КЕП чи печатки надає інформацію, що тип підпису «удосконалений», то такий електронний підпис не може вважатися кваліфікованим.
Крім того, на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України розміщено Перелік засобів технічного захисту інформації, які мають експертний висновок про відповідність до вимог технічного захисту інформації.
Джерело: лист Міністерства цифрової трансформації України
від 16.02.2021 р. № 1/06-3-1587