27.11.2018 № 86
|
Зареєстровано в Міністерстві
юстиції України
26 грудня 2018 р.
за № 1462/32914
Голова
|
О. Риженко
|
ПОГОДЖЕНО:
Голова Державної служби спеціального
зв’язку та захисту інформації України
|
Л.О. Євдоченко
|
ЗАТВЕРДЖЕНО
Наказ Державного агентства
з питань електронного
урядування України
27 листопада 2018 року № 86
Зареєстровано в Міністерстві
юстиції України
26 грудня 2018 р.
за № 1462/32914
Директор генерального
департаменту цифрової
трансформації
|
Д. Маковський
|
Додаток 1
до Вимог до засобів електронної
ідентифікації, рівнів довіри
до засобів електронної ідентифікації
для їх використання
у сфері електронного урядування
(пункт 2 розділу III)
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Забезпечення того, що особі відомі умови, пов’язані з використанням засобів електронної ідентифікації.
2. Забезпечення того, що особі відомі рекомендовані заходи безпеки, пов’язані з використанням засобів електронної ідентифікації.
3. Збір відповідних ідентифікаційних даних, необхідних для підтвердження та верифікації тотожності особи
|
Середній
|
Такі самі, як для низького рівня довіри
|
Високий
|
Такі самі, як для низького рівня довіри
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Встановлення особи може здійснюватися віддалено.
2. Підтвердження ідентифікаційних даних особи здійснюється за допомогою даних, отриманих від особи
|
Середній
|
1. Встановлення особи здійснюється віддалено або за особистої присутності.
2. Підтвердження ідентифікаційних даних особи здійснюється за допомогою даних, отриманих від особи.
3. Підтвердження ідентифікаційних даних особи здійснюється за допомогою даних, отриманих із достовірного джерела
|
Високий
|
1. Встановлення особи здійснюється тільки за особистої присутності.
2. Підтвердження ідентифікаційних даних особи здійснюється за допомогою даних, отриманих від особи.
3. Підтвердження ідентифікаційних даних особи здійснюється за допомогою даних, отриманих із достовірного джерела
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Особа володіє інформацією, яка дозволяє відповідно до законодавства України встановити ідентичність фізичної особи та осіб, які представляють заявлену особу.
2. Існує ймовірність, що такі відомості є справжніми або такими, існування яких підтверджено достовірним джерелом.
3. З достовірного джерела відомо, що заявлена особа існує. Існує ймовірність, що особа, яка заявляє про ідентичність з нею, і є цією особою
|
Середній
|
Виконуються вимоги до обов’язкових елементів технічних специфікацій та процедур низького рівня довіри та додатково виконується одна з вимог, зазначених у пунктах 1-4.
1. Фізичну особу встановлено як таку, що володіє відомостями, які відповідно до законодавства України встановлюють ідентичність особи та представляють заявлену особу, та здійснено перевірку відомостей на їх справжність (або з достовірного джерела відомо, що такі відомості існують та належать до реальної особи), а також вжито заходів щодо мінімізації ризиків відсутності ідентичності фізичної особи із заявленою особою з урахуванням ризиків втрати, викрадення, призупинення дії, відкликання чи закінчення терміну дії відомостей про особу.
2. Документ, що посвідчує фізичну особу, пред’являється під час процесу реєстрації і встановлюється, що такий документ належить особі, яка його пред’являє, та вживаються заходи щодо мінімізації ризиків відсутності ідентичності фізичної особи із заявленою особою з урахуванням ризиків втрати, викрадення, призупинення дії, відкликання чи закінчення терміну дії документів, що посвідчують особу.
3. Якщо процедури, що використовувались раніше публічними або приватними суб’єктами для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених у пунктах 1 та 2 для середнього рівня довіри до засобів електронної ідентифікації, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації або призначеним відповідно до законодавства про технічні регламенти та оцінку відповідності.
4. Якщо засоби електронної ідентифікації випускаються з використанням інших засобів електронної ідентифікації, які належать до схеми електронної ідентифікації та мають середній або високий рівень довіри з урахуванням ризиків зміни ідентифікаційних даних, суб’єкт, що реєструє, не повинен повторно виконувати попередні процедури. У разі якщо засоби електронної ідентифікації не належать до схеми електронної ідентифікації, відповідність таких засобів середньому та високому рівням довіри встановлюється органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації або призначеним відповідно до законодавства про технічні регламенти та оцінку відповідності
|
Високий
|
Виконується одна з вимог, зазначених у пунктах 1 та 2.
1. Крім обов’язкових елементів технічних специфікацій та процедур, які відповідають середньому рівню довіри до засобів електронної ідентифікації, додатково виконується одна з вимог, зазначених у підпунктах 1-3:
1) якщо фізичну особу встановлено як таку, що володіє біометричними даними, які відповідно до законодавства України підтверджують ідентичність особи, і ці дані представляють заявлену особу, дійсність таких даних перевіряється за допомогою достовірного джерела. Фізичну особу, яка заявляє про ідентичність, встановлюють шляхом зіставлення однієї або більше біометричних характеристик із даними з достовірного джерела;
2) якщо процедури, що використовувались раніше публічними або приватними суб’єктами для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених вище у цьому пункті для високого рівня довіри до засобів електронної ідентифікації, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації або призначеним відповідно до законодавства про технічні регламенти та оцінку відповідності. Додатково вживаються заходи, що надають змогу підтвердити чинність результатів процедур встановлення ідентичності та підтвердження ідентифікаційних даних фізичної особи для низького та середнього рівнів;
3) якщо засоби електронної ідентифікації випускаються з використанням інших засобів електронної ідентифікації, які належать до схеми електронної ідентифікації та мають високий рівень довіри з урахуванням ризиків зміни ідентифікаційних даних, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що додатково вживаються заходи, які надають змогу підтвердити чинність результатів процедур випуску засобів електронної ідентифікації, що належать до схеми електронної ідентифікації.
2. Якщо фізична особа, яка заявляє про ідентичність, не надає біометричні дані, які відповідно до законодавства України підтверджують ідентичність особи, застосовуються процедури отримання таких даних з достовірних джерел
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Заявлену юридичну особу представлено на основі відомостей, які відповідно до законодавства України встановлюють ідентичність особи та які представляють заявлену особу.
2. Відомості про юридичну особу, ідентичність якої заявляється, є дійсними і можна припустити, що такі відомості є достовірними або такими, існування яких підтверджено достовірним джерелом, якщо внесення відомостей до достовірного джерела є добровільним та регулюється домовленістю між юридичною особою та достовірним джерелом.
3. Існує ймовірність, що такі відомості є достовірними або такими, існування яких підтверджено достовірним джерелом.
4. У достовірному джерелі відсутні дані щодо статусу юридичної особи, який би перешкоджав їй діяти як юридичній особі, ідентичність якої заявляється
|
Середній
|
Виконуються вимоги до обов’язкових елементів технічних специфікацій та процедур низького рівня довіри та додатково виконується одна з вимог, зазначених у пунктах 1-3.
1. Юридичну особу, ідентичність якої заявляється, представлено на основі відомостей, які відповідно до законодавства України встановлюють ідентичність особи та які представляють заявлену особу, у тому числі найменування юридичної особи згідно з Єдиним державним реєстром підприємств та організацій України та ідентифікаційний код юридичної особи згідно з Єдиним державним реєстром підприємств та організацій України, здійснено перевірку відомостей на їх справжність (або з достовірного джерела відомо, що такі відомості існують та належать до реальної юридичної особи), якщо внесення відомостей до достовірного джерела здійснено для підтвердження повноважень юридичної особи в межах сфери її діяльності, а також вжито заходів щодо мінімізації ризиків відсутності ідентичності юридичної особи із заявленою особою з урахуванням ризиків втрати, викрадення, призупинення дії, відкликання чи закінчення терміну дії відомостей (документів) про особу.
2. Якщо процедури, що використовувались раніше публічними або приватними суб’єктами для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених пунктом 1 для середнього рівня довіри до засобів електронної ідентифікації, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації або призначеним відповідно до законодавства про технічні регламенти та оцінку відповідності.
3. Якщо засоби електронної ідентифікації випускаються з використанням інших засобів електронної ідентифікації, які належать до схеми електронної ідентифікації та мають середній або високий рівень довіри, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури. У разі якщо засоби електронної ідентифікації не належать до схеми електронної ідентифікації, відповідність таких засобів до середнього та високого рівнів довіри встановлюється органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації або призначеним відповідно до законодавства про технічні регламенти та оцінку відповідності
|
Високий
|
Виконуються вимоги до обов’язкових елементів технічних специфікацій та процедур середнього рівня довіри та додатково виконується одна з вимог, зазначених у пунктах 1, 2.
1. Юридичну особу, ідентичність якої заявляється, представлено на основі відомостей, які відповідно до законодавства України встановлюють ідентичність особи та які представляють заявлену особу, у тому числі найменування юридичної особи згідно з Єдиним державним реєстром підприємств та організацій України та ідентифікаційний код юридичної особи згідно з Єдиним державним реєстром підприємств та організацій України, здійснено перевірку відомостей на їх справжність за допомогою достовірного джерела.
2. Якщо процедури, що використовувались раніше публічними або приватними суб’єктами для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених у пункті 1 для високого рівня довіри до засобів електронної ідентифікації, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати ці процедури за умови, що їхню рівноцінну надійність підтверджено органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації або призначеним відповідно до законодавства про технічні регламенти та оцінку відповідності.
3. Якщо засоби електронної ідентифікації випускаються з використанням інших засобів електронної ідентифікації, які належать до схеми електронної ідентифікації та мають високий рівень довіри, суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати ці процедури. Додатково вживаються заходи, що надають змогу підтвердити чинність результатів попередніх процедур випуску засобів електронної ідентифікації, що належать до схеми електронної ідентифікації
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Підтвердження ідентифікаційних даних фізичної особи, яка представляє юридичну особу, здійснено за процедурами, які відповідають низькому, середньому або високому рівню довіри.
2. Зв’язок між ідентифікаційними даними фізичної особи та юридичної особи, яку представляє ця фізична особа, встановлюється за допомогою процедур, визначених законодавством (наприклад, про нотаріат, про державну реєстрацію тощо).
3. У достовірному джерелі відсутні дані щодо неможливості фізичній особі представляти юридичну особу
|
Середній
|
Виконуються вимоги, зазначені у пункті 3 обов’язкових елементів технічних специфікацій та процедур низького рівня довіри, а також вимоги, зазначені у пунктах 1-3.
1. Підтвердження ідентифікаційних даних фізичної особи, яка представляє юридичну особу, здійснено за процедурами, які відповідають середньому або високому рівню довіри.
2. Зв’язок між ідентифікаційними даними фізичної особи та юридичної особи, яку представляє ця фізична особа, встановлено за допомогою процедур, визначених законодавством (наприклад, про нотаріат, про державну реєстрацію тощо щодо реєстрації у (реєстрі, інформаційній системі) достовірному джерелі).
3. Зв’язок між ідентифікаційними даними фізичної особи та юридичної особи, яку представляє ця фізична особа, підтверджено за допомогою даних, отриманих із достовірного джерела
|
Високий
|
Виконуються вимоги, зазначені у пункті 3 обов’язкових елементів технічних специфікацій та процедур низького рівня довіри, пункті 2 обов’язкових елементів технічних специфікацій та процедур середнього рівня довіри, а також вимоги, зазначені у пунктах 1, 2.
1. Підтвердження ідентифікаційних даних фізичної особи, яка представляє юридичну особу, здійснено за процедурами, які відповідають високому рівню довіри.
2. Зв’язок між ідентифікаційними даними фізичної особи та юридичної особи, яку представляє ця фізична особа, підтверджено за допомогою даних, отриманих із достовірного джерела, на основі унікального ідентифікатора
|
Додаток 2
до Вимог до засобів електронної
ідентифікації, рівнів довіри
до засобів електронної ідентифікації
для їх використання
у сфері електронного урядування
(пункт 2 розділу III)
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Засоби електронної ідентифікації використовують щонайменше один фактор автентифікації згідно з пунктом 4 розділу І Вимог до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затверджених наказом Державного агентства з питань електронного урядування України від 27 листопада 2018 року № 86.
2. Засоби електронної ідентифікації розроблено так, щоб суб’єкт, який їх видає, міг вживати необхідних заходів для перевірки використання таких засобів під контролем або у межах володіння особи, якій такі засоби належать
|
Середній
|
1. Засоби електронної ідентифікації використовують щонайменше два фактори автентифікації згідно з пунктом 4 розділу І Вимог до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затверджених наказом Державного агентства з питань електронного урядування України від 27 листопада 2018 року № 86.
2. Засоби електронної ідентифікації розроблено так, щоб можна було припустити, що вони використовуються тільки під контролем або у межах володіння особи, якій такі засоби належать
|
Високий
|
Такі самі, як для середнього рівня довіри.
1. Засоби електронної ідентифікації захищено від дублювання та несанкціонованого доступу з боку порушників з високим потенціалом здійснення нападу.
2. Засоби електронної ідентифікації розроблено так, що фізична чи юридична особа, якій вони належать, може надійно захистити їх від несанкціонованого використання іншими особами
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
Після випуску засобів електронної ідентифікації вони доставляються у спосіб, за допомогою якого існує ймовірність, що ці засоби будуть доставлені фізичній чи юридичній особі, яка їх замовила
|
Середній
|
Після випуску засобів електронної ідентифікації вони доставляються у спосіб, за допомогою якого існує ймовірність, що ці засоби передаються у володіння тільки особі, якій вони належать
|
Високий
|
У процесі активації здійснюється підтвердження передання засобів електронної ідентифікації у володіння особі, якій вони належать
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Має бути забезпечена можливість призупинення та (або) відкликання засобу електронної ідентифікації вчасно та ефективно.
2. Мають бути впроваджені заходи із запобігання несанкціонованого призупинення, відкликання та (або) поновлення дії засобів електронної ідентифікації.
3. Поновлення дії засобів електронної ідентифікації має здійснюватися за умови дотримання вимог до обов’язкових елементів технічних специфікацій та процедур, які відповідають початковій видачі засобів електронної ідентифікації
|
Середній
|
Такі самі, як для низького рівня довіри
|
Високий
|
Такі самі, як для низького рівня довіри
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
Процедури поновлення або заміни ідентифікаційних даних мають здійснюватися відповідно до обов’язкових елементів технічних специфікацій та процедур, які відповідають початковій видачі ідентифікаційних даних, опис якої наведено в додатку 1 до Вимог до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування, затверджених наказом Державного агентства з питань електронного урядування України від 27 листопада 2018 року № 86, та цьому додатку
|
Середній
|
Такі самі, як для низького рівня довіри
|
Високий
|
Такі самі, як для низького рівня довіри.
Якщо поновлення та заміна здійснюються з використанням чинного засобу електронної ідентифікації, має бути здійснено встановлення особи з використанням достовірного джерела
|
Додаток 3
до Вимог до засобів електронної
ідентифікації, рівнів довіри
до засобів електронної ідентифікації
для їх використання
у сфері електронного урядування
(пункт 2 розділу III)
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Перед переданням ідентифікаційних даних має здійснюватися надійна верифікація засобів електронної ідентифікації та встановлення їх дійсності.
2. Якщо ідентифікаційні дані зберігаються як частина механізму автентифікації, має здійснюватися захист такої інформації від втрат та компрометації, у тому числі захист від втрат та компрометації у режимі офлайн.
3. Механізм автентифікації має забезпечувати впровадження методів контролю безпеки для верифікації засобів електронної ідентифікації, направлених на якнайбільше зниження ймовірності порушення механізму шляхом реалізації атак підбору, перехоплення, повторного відтворення та підміни порушником з потенціалом здійснення нападу вище ніж базовий
|
Середній
|
Такі самі, як для низького рівня довіри.
1. Перед переданням ідентифікаційних даних мають здійснюватися надійна верифікація засобів електронної ідентифікації та встановлення їх дійсності за допомогою динамічної автентифікації.
2. Механізм автентифікації має забезпечувати впровадження методів контролю безпеки для верифікації засобів електронної ідентифікації, направлених на якнайбільше зниження ймовірності порушення механізму шляхом реалізації атак підбору, перехоплення, повторного відтворення та підміни порушником із середнім потенціалом здійснення нападу
|
Високий
|
Такі самі, як для середнього рівня довіри.
Механізм автентифікації має забезпечувати впровадження методів контролю безпеки для верифікації засобів електронної ідентифікації, направлених на якнайбільше зниження ймовірності порушення механізму шляхом реалізації атак підбору, перехоплення, повторного відтворення та підміни порушником з високим потенціалом здійснення нападу
|
Додаток 4
до Вимог до засобів електронної
ідентифікації, рівнів довіри
до засобів електронної ідентифікації
для їх використання
у сфері електронного урядування
(пункт 2 розділу III)
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Адміністратори систем повинні бути зареєстрованими відповідно до Закону України "Про державну реєстрацію юридичних осіб, фізичних осіб - підприємців та громадських формувань" (755-15)
, мати визначену організаційну структуру та здійснювати діяльність у всіх сегментах, пов’язаних з наданням електронних довірчих послуг.
2. Адміністратори систем повинні мати повноваження витребувати, перевіряти та обробляти ідентифікаційні дані.
3. Адміністратори систем мають відповідати за збитки, а також мати достатні фінансові ресурси для продовження діяльності з видачі засобів електронної ідентифікації та експлуатації інформаційно-телекомунікаційних систем схем електронної ідентифікації.
4. Адміністратори систем відповідають за виконання будь-яких зобов’язань, переданих іншому суб’єкту (представництву), та за дотримання правил функціонування схеми електронної ідентифікації іншими суб’єктами (представництвами).
5. Адміністратори систем повинні мати план припинення діяльності, який має містити належний порядок припинення обслуговування або продовження обслуговування користувачів іншим адміністратором системи, способи повідомлення відповідних державних органів та кінцевих користувачів, а також детальну інформацію про захист, зберігання, знищення записів відповідно до правил функціонування схеми
|
Середній
|
Такі самі, як для низького рівня довіри
|
Високий
|
Такі самі, як для низького рівня довіри
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Має бути забезпечено оприлюднення опису процесів та процедур, пов’язаних із видачею та використанням засобів електронної ідентифікації, який має містити усі правила, умови експлуатації та відомості про платежі, у тому числі будь-які обмеження щодо використання засобів. Опис також має містити правила захисту персональних даних.
2. Має бути впроваджено відповідну політику та процедури з метою своєчасного (та у надійний спосіб) отримання користувачами інформації про будь-які зміни в описі процесів та процедур, пов’язаних із видачею та використанням засобів електронної ідентифікації, правилах, умовах експлуатації та правилах захисту персональних даних.
3. Має бути впроваджено відповідну політику та процедури, які забезпечать надання вичерпних відповідей на запити про надання інформації щодо видачі та використання засобів електронної ідентифікації
|
Середній
|
Такі самі, як для низького рівня довіри
|
Високий
|
Такі самі, як для низького рівня довіри
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
Впроваджена система управління інформаційною безпекою та контролю за ризиками інформаційної безпеки
|
Середній
|
Такі самі, як для низького рівня довіри.
Впроваджена система управління інформаційною безпекою та комплексна система захисту інформації відповідно до вимог законодавства у сфері захисту інформації з урахуванням вимог національних стандартів у сфері управління інформаційної безпеки
|
Високий
|
Такі самі, як для середнього рівня довіри
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Запис та зберігання даних, які обробляються в інформаційно-телекомунікаційній системі схеми електронної ідентифікації, мають здійснюватися із використанням системи управління записами.
2. Зберігання даних, які оброблюються в інформаційно-телекомунікаційній системі схеми електронної ідентифікації, має здійснюватися протягом строків, визначених законодавством у сфері телекомунікацій, захисту інформації та персональних даних, впродовж яких вони будуть необхідні для цілей аудиту та розслідування порушень безпеки.
3. Після закінчення строку зберігання дані, які оброблялись в інформаційно-телекомунікаційній системі схеми електронної ідентифікації, мають знищуватись у гарантований спосіб, який забезпечує відсутність можливості відновлення таких даних
|
Середній
|
Такі самі, як для низького рівня
|
Високий
|
Такі самі, як для низького рівня
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Визначення адміністратором системи процедур, які забезпечують перевірку наявності у працівників належної підготовки, кваліфікації та досвіду, необхідних для виконання ними своїх обов’язків.
2. Наявність кількості працівників, які належно забезпечать функціонування інформаційно-телекомунікаційної системи схеми електронної ідентифікації та випуск засобів електронної ідентифікації відповідно до прийнятих вимог, принципів та процедур.
3. Об’єкти (будівлі та приміщення), які використовуються для забезпечення функціонування інформаційно-телекомунікаційної системи схеми електронної ідентифікації та випуску засобів електронної ідентифікації, підлягають постійному моніторингу та захисту від пошкоджень, спричинених техногенними катастрофами, несанкціонованим доступом та іншими чинниками, які можуть вплинути на безпеку функціонування.
4. На об’єктах (у будівлях та приміщеннях), які використовуються для забезпечення функціонування інформаційно-телекомунікаційної системи схеми електронної ідентифікації та випуску засобів електронної ідентифікації, доступ до зон, у яких зберігаються та оброблюються персональні дані, ключова інформація (криптографічний матеріал) або інша вразлива інформація надається виключно уповноваженим адміністратором системи працівникам
|
Середній
|
Такі самі, як для низького рівня довіри
|
Високий
|
Такі самі, як для низького рівня довіри
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
1. Наявність пропорційного технічного контролю для управління ризиками, які загрожують безпеці обслуговування, захисту конфіденційності, цілісності та доступності інформації, що оброблюється в інформаційно-телекомунікаційній системі.
2. Канали зв’язку, які використовуються для обміну персональними даними та вразливою інформацією, захищено від несанкціонованого ознайомлення, модифікації та повторного відтворення інформації.
3. Доступ до вразливої ключової інформації (криптографічного матеріалу), якщо така (такий) використовується для випуску засобів електронної ідентифікації та в інших сегментах інформаційно-телекомунікаційної системи схеми електронної ідентифікації, обмежено програмами, які чітко вимагають доступу залежно від кола посадових обов’язків. Забезпечується зберігання такого матеріалу у встановленому законодавством порядку.
4. Існують формалізовані процедури, які забезпечують підтримку безпеки впродовж визначеного терміну і можливість реагувати на зміни рівнів ризику, інциденти та порушення безпеки.
5. Усі засоби, що містять персональні дані, ключову інформацію (криптографічний матеріал) або іншу вразливу інформацію, зберігаються, передаються та знищуються у встановлений законодавством спосіб
|
Середній
|
Такі самі, як для низького рівня довіри.
Вразливу ключову інформацію (криптографічний матеріал), якщо така (такий) використовується для випуску засобів електронної ідентифікації та в інших сегментах інформаційно-телекомунікаційної системи схеми електронної ідентифікації, захищено від несанкціонованого доступу та копіювання
|
Високий
|
Такі самі, як для низького рівня довіри.
Вразлива ключова інформація (криптографічний матеріал), яка (який) використовується для випуску засобів електронної ідентифікації та в інших сегментах інформаційно-телекомунікаційної системи схеми електронної ідентифікації, захищається завдяки вбудованим апаратно-програмним засобам, що забезпечують захист записаних на них даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання
|
Рівні довіри до засобів електронної ідентифікації
|
Обов’язкові елементи технічних специфікацій та процедур
|
Низький
|
Проведення внутрішніх аудитів інформаційної безпеки, які охоплюють усі сегменти інформаційно-телекомунікаційної системи схеми електронної ідентифікації, з метою забезпечення дотримання встановлених вимог, принципів та процедур у визначені строки
|
Середній
|
Таки самі, як для низького рівня довіри. Періодичне проведення незалежних зовнішніх аудитів інформаційної безпеки, які охоплюють усі складові інформаційно-телекомунікаційної системи схеми електронної ідентифікації, з метою забезпечення дотримання прийнятих вимог, принципів та процедур
|
Високий
|
1. Систематичне проведення незалежних зовнішніх аудитів інформаційної безпеки, які охоплюють усі складові інформаційно-телекомунікаційної системи схеми електронної ідентифікації, з метою забезпечення дотримання встановлених вимог, принципів та процедур.
2. Проведення заходів державного контролю за станом технічного та криптографічного захисту інформації в інформаційно-телекомунікаційній системі схеми електронної ідентифікації
|