- •Правові ознаки інформаційного суспільства, вироблені вітчизняною та міжнародною практикою
- •Нормативно-правові акти, що регламентують розвиток інформаційного суспільства в Україні
- •Організаційно-правові основи розвитку інформаційного суспільства в Україні
- •1.4. Повноваження державних органів у сфері розбудови інформаційного суспільства
- •Зміст поняття «інформатизація».
- •Концепція Національної програми інформатизації
- •Основні напрями інформатизації в Україні
- •Поняття інформаційної діяльності
- •Основні напрями та види інформаційної діяльності
- •Висвітлення діяльності органів державної влади та органів місцевого самоврядування в Україні
- •Поняття і правовий статус преси в Україні
- •Процедура реєстрації друкованих засобів масової інформації в Україні
- •Правові основи редакційно-видавничої та іншої інформаційної діяльності преси в Україні
- •Державна підтримка засобів масової інформації та соціальний захист журналістів
- •Поняття і особливості створення інформаційних агентств в Україні
- •Процедури і умови реєстрації інформаційних агентств
- •Створення і поширення продукції інформаційного агентства
- •Загальні засади бібліотечної справи
- •Бібліотечна система України
- •Обов’язки та права читачів і бібліотек
- •Національний архівний фонд України
- •Система архівних установ
- •Зберігання і користування архівними документами
- •Структура національного телебачення і радіомовлення України
- •Національна рада України з питань телебачення і радіомовлення
- •Ліцензування мовлення
- •Права і обов’язки телерадіоорганізацій, їх працівників, телеглядачів і радіослухачів
- •Організаційні засади кінематографії, створення і розповсюдження фільмів
- •Організація і здійснення видавничої справи
- •Суб’єкти видавничої справи. Книжкова палата України
- •9.3. Державна реєстрація суб’єктів видавничої справи.
- •Інформаційна діяльність у сфері державної статистики
- •Права і обов’язки органів державної статистики
- •Доступ до статистичної інформації
- •Загальні вимоги до реклами
- •Особливості рекламування деяких окремих товарів
- •Контроль за дотриманням законодавства про рекламу
- •Правові ознаки електронних документів
- •Суб’єкти електронного документообігу
- •Забезпечення електронного документообігу
- •Основні положення законодавства України щодо телекомунікацій
- •Суб’єкти ринку телекомунікацій
- •Особливості розвитку національної складової глобальної інформаційної мережі Інтернет
Суб’єкти електронного документообігу
Суб’єкти електронного документообігу – автор, підписувач, адресат та посередник, які набувають передбачених законом або договором прав і обов’язків у процесі електронного документообігу.
Суб’єктами правових відносин у сфері послуг електронного цифрового підпису є:
підписувач;
користувач;
центр сертифікації ключів;
акредитований центр сертифікації ключів;
центральний засвідчувальний орган;
засвідчувальний центр органу виконавчої влади або іншого державного органу (далі – засвідчувальний центр);
контролюючий орган.
Автор електронного документа – фізична або юридична особа, яка створила електронний документ.
Послуги електронного цифрового підпису відповідно до Закону України «Про електронний цифровий підпис» – це надання у користування засобів електронного цифрового підпису, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування, розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені Законом України «Про електронні документи та електронний документообіг».
Надійний засіб електронного цифрового підпису – засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
Суб’єкти електронного документообігу, які здійснюють його на договірних засадах, самостійно визначають режим доступу до електронних документів, що містять конфіденційну інформацію, та встановлюють для них систему (способи) захисту. В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які забезпечують обмін електронними документами, що містять інформацію, яка є власністю держави, або інформацію з обмеженим доступом, повинен забезпечуватися захист цієї інформації відповідно до законодавства.
Суб’єкти електронного документообігу користуються правами та мають обов’язки, які встановлено для них законодавством. Якщо в процесі організації електронного документообігу виникає необхідність у визначенні додаткових прав та обов’язків суб’єктів електронного документообігу, що не визначені законодавством, такі права та обов’язки можуть встановлюватися цими суб’єктами на договірних засадах.
Підписувач має право:
вимагати скасування, блокування або поновлення свого сертифіката ключа;
оскаржити дії чи бездіяльність центру сертифікації ключів у судовому порядку.
Підписувач зобов’язаний:
зберігати особистий ключ у таємниці;
надавати центру сертифікації ключів дані для засвідчення чинності відкритого ключа;
своєчасно надавати центру сертифікації ключів інформацію про зміну даних, відображених у сертифікаті ключа.
Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб’єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі. Обслуговування фізичних та юридичних цсіб здійснюється центром сертифікації ключів на договірних засадах.
Центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифіката ключа безпосередньо у юридичної або фізичної особи чи у її уповноваженого представника.
Центр сертифікації ключів зобов’язаний:
забезпечувати захист інформації в автоматизованих системах відповідно до законодавства;
забезпечувати захист персональних даних, отриманих від підписувача, згідно з законодавством;
встановлювати під час формування сертифіката ключа належність відкритого ключа та відповідного особистого ключа підписувану;
своєчасно скасовувати, блокувати та поновлювати сер тифікати ключів у передбачених Законом;
своєчасно попереджувати підписувана та додавати в сертифікат відкритого ключа підписувача інформацію про обмеження використання електронного цифрового підпису, які встановлюються для забезпечення можливості відшкодування збитків сторін у разі заподіяння шкоди з боку центру сертифікації ключів;
перевіряти законність звернень про скасування, блокування та поновлення сертифікатів ключів та зберігати документи, на підставі яких були скасовані, блоковані та поновлені сертифікати ключів;
цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів;
забезпечувати цілодобово доступ користувачів до сертифікатів ключів та відповідних електронних переліків сертифікатів через загальнодоступні телекомунікаційні канали;
забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері;
надавати консультації з питань, пов’язаних з електронним цифровим підписом.
Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняються. Центр сертифікації ключів, акредитований в установленому порядку, є ак редитованим центром сертифікації ключів.
Акредитований центр сертифікації ключів має право:
надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів;
отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника.
Акредитований центр сертифікації ключів має виконувати усі зобов’язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов’язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису.
Порядок акредитації центру сертифікації ключів затверджений постановою Кабінету Міністрів України від 13 липня 2004 р. № 903. Цей Порядок визначає процедуру акредитації центру сертифікації ключів (далі – центр), умови надання центром послуг електронного цифрового підпису, вимоги до його персоналу та захисту інформації.
Акредитація центру здійснюється на добровільних засадах. Інформація про акредитацію центру сертифікації ключів та припинення його діяльності оприлюднюється центральним засвідчу- вальним органом на власному веб-сайті та у друкованих засобах масової інформації.
До проведення акредитації центр вносить на спеціальний рахунок, відкритий у банківській установі, кошти у розмірі стократної мінімальної заробітної плати для забезпечення відшкодування збитків, які можуть бути завдані підписувачам, користувачам або третім особам внаслідок неналежного виконання акредитованим центром своїх зобов’язань. Наявність спеціального рахунка не обов’язкова для акредитованого центру, який надає пов’язані з електронним цифровим підписом послуги виключно органам державної влади.
Для проведення акредитації центр, що засвідчив свій відкритий ключ у центральному засвідчувальному органі та вніс кошти на спеціальний рахунок, подає до нього заяву разом із документами:
Копії установчих документів, засвідчені в установленому порядку (для юридичної особи).
Копія свідоцтва про державну реєстрацію суб’єкта підприємницької діяльності, засвідчена в установленому порядку.
Копія довідки про внесення юридичної особи до ЄДРПОУ, засвідчена в установленому порядку.
Копії паспорта або іншого документа, що підтверджують повноваження фізичної особи на представлення інтересів суб’єкта підприємницької діяльності.
Копія документа, що підтверджує право власності центру сертифікації ключів на окреме приміщення або оренду такого приміщення, засвідчена в установленому порядку.
Копія документа про внесення на спеціальний рахунок коштів для забезпечення відшкодування збитків, які можуть бути завдані акредитованим центром підписувачам, користувачам або третім особам внаслідок неналежного виконання своїх зобов’язань.
Документ, що підтверджує внесення плати за проведення акредитації.
Копія атестата відповідності комплексної системи захисту інформації вимогам нормативних документів у сфері захисту інформації.
Копії сертифікатів відповідності або позитивних експертних висновків за результатами державної експертизи у сфері криптографічного захисту інформації.
Список посадових осіб центру сертифікації ключів та засвідчені в установленому порядку копії документів про рівень освіти і кваліфікації керівника центру сертифікації ключів та посадових осіб, обов’язки яких безпосередньо пов’язані з наданням послуг електронного цифрового підпису та обслуговуванням посилених сертифікатів відкритих ключів.
Регламент роботи центру сертифікації ключів, затверджений керівником та погоджений контролюючим органом.
Положення, яким визначаються посадові обов’язки, кваліфікаційні вимоги та відповідальність посадових осіб центру сертифікації ключів.
Положення про службу захисту інформації центру сертифікації ключів, затверджене його керівником.
План-схема приміщень центру сертифікації ключів та порядок доступу до спеціальних приміщень.
Порядок зберігання окремих резервних копій посилених сертифікатів ключів та списків відкликаних сертифікатів, сформованих акредитованим центром.
Порядок синхронізації з Всесвітнім координованим часом (UTC).
Відомості про ліцензії на право провадження господарської діяльності в галузі криптографічного або технічного захисту інформації (у разі наявності).
У заяві зазначаються:
повне найменування юридичної особи, посада, прізвище, ім’я та по батькові її керівника (прізвище, ім’я та по батькові фізичної особи – суб’єкта підприємницької діяльності, серія і номер паспорта, ким і коли виданий);
організаційно-правова форма;
код згідно з ЄДРПОУ (ідентифікаційний номер фізичної особи – платника податків та інших обов’язкових платежів);
номер поточного рахунка та найменування банківської установи;
місцезнаходження (місце проживання);
номери телефонів;
електронна адреса електронного інформаційного ресурсу;
відомості про реєстрацію відкритого ключа в центральному засвідчувальному органі.
Центр вважається акредитованим від дня внесення до Реєстру суб’єктів, які надають послуги, пов’язані з електронним цифровим підписом (далі – Реєстр), що ведеться центральним засвідчувальним органом. Рішення про скасування акредитації центральний засвідчувальний орган приймає у разі:
повідомлення контролюючим органом про порушення акредитованим центром законодавства;
неукладення протягом року жодного договору про надання послуг цифрового підпису;
непоповнення спеціального рахунка для забезпечення відшкодування збитків;
невиконання акредитованим центром встановлених вимог;
прийняття акредитованим центром рішення про припинення діяльності.
Акредитований центр:
забезпечує виконання вимог щодо надання послуг електронного цифрового підпису згідно із законом;
інформує підписувача про обмеження використання електронного цифрового підпису та порядок відшкодування збитків;
виконує приписи контролюючого органу;
надає допомогу підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживає заходів щодо забезпечення безпеки інформації під час генерації;
забезпечує розташування засобів програмно-технічного комплексу, за допомогою яких здійснюється надання послуг сертифікації та відкликання, в спеціальних приміщеннях та їх охорону;
забезпечує збереження програмно-технічного комплексу, іншого майна та запобігання безконтрольному проникненню в приміщення акредитованого центру сторонніх осіб;
використовує програмно-технічний комплекс, засоби криптографічного захисту інформації, в тому числі засоби електронного цифрового підпису, та формати даних, які ними використовуються, відповідно до вимог спеціально уповноваженого органу у сфері криптографічного та технічного захисту інформації.
Центр сертифікації ключів припиняє свою діяльність відповідно до законодавства. Про рішення щодо припинення діяльності центр сертифікації ключів повідомляє підписувачів за три місяці, якщо інші строки не визначено законодавством. Підписувані мають право обирати за власним бажанням будь-який центр сертифікації ключів для подальшого обслуговування, якщо інше не передбачено законодавством. Після повідомлення про припинення діяльності центр сертифікації ключів не має права видавати нові сертифікати ключів. Усі сертифікати ключів, що були видані центром сертифікації ключів, після припинення його діяльності скасовуються.
Центр сертифікації ключів, що повідомив про припинення своєї діяльності, зобов’язаний забезпечити захист прав споживачів шляхом повернення грошей за послуги, що не можуть надаватися в подальшому, якщо вони були попередньо оплачені.
Акредитований центр сертифікації ключів додатково повідомляє про рішення щодо припинення діяльності центральний засвідчувальний орган або відповідний засвідчувальний центр.
Акредитований центр сертифікації ключів протягом доби, визначеної як дата припинення його діяльності, передає посилені сертифікати ключів, відповідні реєстри посилених сертифікатів ключів та документовану інформацію, яка підлягає обов’язковій передачі, відповідному засвідчувальному центру або центральному засвідчувальному органу.
Акредитований центр під час надання послуг електронного цифрового підпису фізичним та юридичним особам, фізичним особам-підприємцям зобов’язаний дотримуватися таких вимог:
встановлювати відповідно до законодавства фізичну особу, фізичну особу-підприємця, юридичну особу та уповноваженого представника юридичної особи, які звернулися до акредитованого центру з метою формування сертифіката;
перевіряти дані, обов’язкові для формування сертифіката, і дані, які вносяться до нього на вимогу підписувача;
реєструвати та вести облік звернень фізичних та юридичних осіб, на підставі яких були сформовані сертифікати;
встановлювати належність підписувану особистого ключа та його відповідність відкритому ключу, якщо їх генерація здійснювалася не в акредитованому центрі.
Акредитований центр під час надання послуги сертифікації фізичним та юридичним особам зобов’язаний:
генерувати відкритий та особистий ключі підписувача;
формувати сертифікат згідно із законом.
Під час формування сертифіката акредитований центр:
присвоює унікальний реєстраційний номер сертифікату;
перевіряє унікальність відкритого ключа підписувача в реєстрі чинних, блокованих та скасованих сертифікатів;
включає дані про обмеження використання електронного цифрового підпису;
включає електронну адресу електронного інформаційного ресурсу, де публікується список відкликаних сертифікатів акредитованого центру;
на вимогу підписувача включає додаткові дані.
Акредитований центр зобов’язаний забезпечити можливість
цілодобового вільного доступу користувачів з використанням телекомунікаційних мереж загального користування до:
сертифікатів підписувачів за їх згодою;
даних про статус сертифікатів ключів;
сертифіката акредитованого центру;
нормативних документів з питань надання послуг електронного цифрового підпису, зокрема до правил посиленої сертифікації та регламенту роботи акредитованого центру, а також поряді-су здійснення перевірки чинності сертифіката.
Надання користувачам достовірних даних про статус сертифікатів здійснюється за їх запитом у реальному часі та/або з використанням списку відкликаних сертифікатів відповідно до регламенту роботи акредитованого центру.
Акредитований центр зобов’язаний забезпечити:
цілодобовий прийом звернень про скасування та блокування сертифікатів;
прийом звернень про поновлення сертифікатів;
перевірку законності звернень про блокування, поновлення та скасування сертифікатів.
Час між отриманням звернення підписувача або його уповноваженого представника про скасування, блокування сертифіката та внесенням змін до списку відкликаних сертифікатів, доступних користувачам, не повинен перевищувати двох годин. Час формування, скасування, блокування та поновлення сертифікатів встановлюється за київським часом і синхронізується з Всесвітнім координованим часом (UTC) з точністю до однієї секунди. Формування, скасування, блокування та поновлення сертифікатів здійснюється за участю або під контролем не менше ніж двох посадових осіб акредитованого центру відповідно до їх посадових обов’язків.
В акредитованому центрі створюється служба захисту інформації, яка забезпечує вирішення питань, пов’язаних із проектуванням, розробленням і модернізацією, введенням в експлуатацію, обслуговуванням і підтримкою працездатності комплексної системи захисту інформації, а також контролем за станом захищеності інформації.
Акредитовані центри сертифікації ключів надають послуги фіксування часу згідно з технічними вимогами до позначки часу, які визначаються у встановленому порядку Адміністрацією Держспецзв’язку, за допомогою особистого ключа, засвідченого в центральному засвідчувальному органі або засвідчувальному центрі. Порядок засвідчення наявності електронного документа (електронних даних) на певний момент часу затверджений постановою Кабінету Міністрів України від 26 травня 2004 р. № 680. Надання послуги фіксування часу включає:
реєстрацію звернень, на підставі яких формується позначка часу;
формування позначки часу за допомогою особистого ключа центру сертифікації;
передачу користувачеві послуги фіксування часу сформованої позначки часу;
реєстрацію та збереження позначки часу, переданої користувачеві послуги фіксування часу.
Час, який використовується в позначці часу, встановлюється надійним засобом електронного цифрового підпису за київським часом на момент її формування, який синхронізований з Всесвітнім координованим часом (UTC) з точністю до однієї секунди.
У процесі фіксування часу позначка часу додається або логічно поєднується з електронними даними таким чином, щоб була виключена можливість вносити до них зміни із збереженням позначки часу після надання послуги фіксування часу. Послуги фіксування часу надаються акредитованими центрами сертифікації ключів або центрами сертифікації ключів. Центри сертифікації ключів надають послуги фіксування часу на договірних засадах.
Перевірка позначки часу проводиться користувачем послуги фіксування часу за допомогою відкритого ключа, наданого акредитованим центром сертифікації ключів. Акредитований центр сертифікації ключів під час надання послуги фіксування часу зобов’язаний:
забезпечити зберігання даних про надані послуги фіксування часу;
забезпечити захист персональних даних користувачів відповідно до законодавства;
подавати консультаційно-методичну допомогу користувачам послуг фіксування часу щодо порядку надання цих послуг;
надсилати відповідно до законодавства контролюючому та центральному засвідчувальному органам інформацію про надання послуги фіксування часу.
Акредитований центр сертифікації ключів забезпечує надання послуги фіксування часу цілодобово. У разі надання користувачеві послуги фіксування часу з порушенням вимог законодавства, зокрема недотримання вимог щодо точності часу, використання скасованого або блокованого посиленого сертифіката ключа, позначка часу вважається недійсною.
Кабінет Міністрів України за необхідності визначає засвідчувальний центр центрального органу виконавчої влади для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям. Інші державні органи за необхідності, за погодженням з Кабінетом Міністрів України, визначають свої засвідчувальні центри, призначені для виконання зазначених вище функцій.
Засвідчувальний центр по відношенню до групи центрів сертифікації ключів, має ті ж функції і повноваження, що й центральний засвідчувальний орган стосовно центрів сертифікації ключів. Засвідчувальний центр відповідає вимогам, встановленим законодавством для акредитованого центру сертифікації ключів. Засвідчувальний центр реєструється, засвідчує свій відкритий ключ і акредитується у центральному засвідчувальному органі.
Центральний засвідчувальний орган:
формує і видає посилені сертифікати ключів засвідчуваль- ним центрам та центрам сертифікації ключів;
блокує, скасовує та поновлює посилені сертифікати ключів засвідчувальних центрів та центрів сертифікації ключів у випадках, передбачених Законом;
веде електронні реєстри чинних, блокованих та скасованих посилених сертифікатів ключів засвідчувальних центрів та центрів сертифікації ключів;
веде акредитацію центрів сертифікації ключів, отримує та перевіряє інформацію, необхідну для їх акредитації;
забезпечує цілодобово доступ засвідчувальних центрів та центрів сертифікації ключів до посилених сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
зберігає посилені сертифікати ключів засвідчувальних центрів та центрів сертифікації ключів;
надає засвідчувальним центрам та центрам сертифікації ключів консультації з питань, пов’язаних з використанням електронного цифрового підпису.
Центральний засвідчувальний орган відповідає вимогам, встановленим законодавством для акредитованого центру сертифікації ключів. Положення про центральний засвідчувальний орган затве- рджене постановою Кабінету Міністрів України від 28 жовтня 2004 р. №1451. Центральний засвідчувальний орган забезпечує в межах своїх повноважень створення умов для функціонування засвідчувальних центрів органів виконавчої влади або інших державних органів та центрів сертифікації ключів (далі – центри). Виконання функцій центрального засвідчувального органу покладено на Міністерство транспорту та зв’язку України.
Центральний засвідчувальний орган має право:
одержувати в установленому порядку від центрів інформацію, документи і матеріали, необхідні для виконання покладених на нього завдань;
залучати в установленому порядку фахівців центральних і місцевих органів виконавчої влади, підприємств, установ та організацій (за погодженням з їх керівниками) до розгляду питань, що належать до його компетенції;
вносити пропозиції щодо удосконалення законодавства у відповідній сфері;
брати участь у підготовці та укладенні міжнародних договорів стосовно взаємного визнання сертифікатів ключів;
проводити в межах своїх повноважень переговори з іноземними організаціями, що надають послуги електронного цифрового підпису, укладати з ними відповідні договори.
Функції контролюючого органу здійснює Державна служба спеціального зв’язку та захисту інформації України. Контролюючий орган перевіряє дотримання вимог законодавства центральним засвідчувальним органом, засвідчувальними центрами та центрами сертифікації ключів.
У разі невиконання або неналежного виконання обов’язків та виявлення порушень вимог, встановлених законодавством для центру сертифікації ключів, засвідчувального центру, контролюючий орган дає розпорядження центральному засвідчувальному органу про негайне вжиття заходів, передбачених законом.