Презентация в рамках запуска пилотного проекта по реформированию админ услуг, предоставляемых департаментами ХОГА. Проект осуществляется совместно Департаментом по повышению конкурентоспособности Харьковского региона ХОГА, Центром предоставления админ услуг ХГС, общественной инициативой "E-Government в Харькове".
Экспертная группа представила результаты первичного исследования вопроса готовности законодательства Украины к использованию электронной идентификации, а также возможные варианты электронной идентификации, как необходимого условия для перевода взаимодействия граждан и бизнеса с государством.
E-government в Харькове. Электронная аутентификация.
1. Електронна автентифікація
Експертна група:
Керівник – Ольга Сімсон, д.ю.н, директор НДІ Правознавства
Олександр Амстиславський, засновник ГО споживачів
фінансовий адміністративних комунальних послуг
Дмитро Ніколаєвський, адвокат
Артем Сорокін, старший розробник, лідер команд по розробці ІТ
рішень, архітектор ПЗ
2. Американські стандарти
Електронний підпис – це парасольковий термін для опису будь-якого типу
цифрового маркування, який використовується для підтвердження своїх
зобов’язань стороною або для автентифікації.
Це дуже широке поняття, яке може включати в себе будь-який тип
маркування, як то відцифроване зображення паперового підпису, набрані
на комп’ютері позначення, такі як /s/ Olga Simson в нижній частині
електронного документу, або навіть заголовок та нижній колонтитул
електронної пошти. Тобто електронним еквівалентом традиційного підпису
під контрактом та документом.
Впровадження електронного підпису не потребує більшого ступеня
захисту, аніж звичайний пароль. Технологія електронного підпису не
забезпечує автентифікації підписанта документу або самого документу.
Цифровий підпис – це специфічний тип електронного підпису, який з
юридичної точки зору є більш прийнятним оскільки передбачає
автентифікацію як підписанта так і документу самого по собі.
Термінологія:
електронний та цифровий підпис
3.
4. Автентифікація підписанта – це можливість ідентифікувати особу, яка підписала
документ за допомогою цифрового підпису.
Процес створення ЦП виконує ті самі задачі, що і власноручний підпис для наступних
юридичних цілей:
автентифікація підписанта: якщо публічний або приватний ключ пов’язаний з
ідентифікатором підписанта, ЦП автоматично прив’язує повідомлення до
підписанта. ЦП не може бути підроблений якщо тільки підписант не втратив
контроль за приватним ключем.
автентифікація повідомлення: ЦП ідентифікує підписане повідомлення. Перевірка
виявляє будь-які втручання на підставі порівняння хешів при підписанні та під час
перевірки і демонструє чи залишилося повідомлення незмінним з моменту
підписання.
неспростовність: створення ЦП вимагає від підписання застосування його
приватного ключа. Ця дія буде означати, що він здійснює правочин з юридичними
наслідками, або юридично значущу дію.
цілісність: процес створення та перевірки ЦП надає високий ступінь впевненості у
тому, що ЦП дійсно належить підписанту.
У США у 2000 році Національною конференцією уповноважених з уніфікації
федеральних законів був прийнятий Єдиний закон про електронні правочини (UETA)
Автентифікація по американські
5. Європейські стандарти
У 2000 році було були прийняті вимоги дотримання Директиви 1999/93/ЄС про базові положення
Спільноти щодо електронних підписів для країн-членів, а у 2014 році Регламент № 910/2014 Про
електронну ідентифікацію та довірчі послуги для цілей електронних транзакцій на внутрішньому
ринку, який відміняє Директиву 1999/93 / EC
Електронний підпис (ЕП) - це дані в електронній формі, які приєднуються до або логічно
пов’язуються з іншими електронними даними і які використовуються підписантом для підпису
Удосконалений ЕП – це електронний підпис, який відповідає наступним вимогам:
безпосередньо пов’язаний з підписантом;
здатний ідентифікувати підписанта;
створюється з використанням засобів, які підписант може одноособово контролювати;
пов’язується з електронним документом, що автентифікується, з метою гарантувати, що будь-
які подальші зміни в цьому документі буде виявлено.
Термінологія: електронний, удосконалений
та кваліфікований електронний підпис
6. Кваліфікований електронний підпис означає удосконалений електронний
підпис, створений за допомогою кваліфікованого пристрою для створення
електронного підпису, і який оснований на кваліфікованому сертифікаті для
електронних підписів.
Стаття 25 Правові наслідки електронних підписів
1. Електронний підпис не може бути позбавлений юридичної сили та
допустимості в якості доказування у судовому провадженні виключно на
підставі того, що він знаходиться в електронному вигляді, або що він не
відповідає вимогам, пред’явленим до кваліфікованих електронних
підписів.
2. Кваліфікований електронний підпис повинен мати еквівалентну юридичну
силу власноручному підпису.
3. Кваліфікований електронний підпис, оснований на кваліфікованому
сертифікаті, виданому в одному з держав-членів, повинні бути визнаними в
якості кваліфікованого електронного підпису у всіх інших державах членах.
7. REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF
THE COUNCIL Оn electronic identification and trust services for electronic
transactions in the internal market and repealing Directive 1999/93/EC
Автентифікація означає електронний процес, який дозволяє електронну
ідентифікацію фізичної або юридичної особи, або походження та
цілісність даних в електронному вигляді для підтвердження.
Європейська автентифікація
8. Статья 27
1. Якщо держава-член вимагає удосконалені ЕП для використання онлайн-послуг, які пропонуються або
здійснюються від імені органу публічного сектору, держава учасник повинна визнавати удосконалені ЕП,
удосконалені ЕП, що засновані на кваліфікованому сертифікаті для ЕП, та кваліфіковані ЕП у передбачених
форматах або з використанням методів, визначених у виконавчих актах, вказаних у п. 5.
2. Якщо держава-член вимагає удосконалений ЕП, що заснований на кваліфікованому сертифікаті, який
пропонується або здійснюються від імені особи публічного сектору, держава-член повинна визнавати
кваліфікований ЕП у передбачених форматах або з використанням методів, визначених у виконавчих актах,
вказаних у п. 5.
3. Держави-члени не повинні вимагати для трансграничного використання онлайн-послуги, що пропонуються або
здійснюються від імені органу публічного сектору, ЕП з більшим рівнем захисту, ніж кваліфікований ЕП.
4. Комісія має можливість шляхом впровадження актів встановити референтні номери стандартів для
удосконалених ЕП. ЕП відповідає вимогам удосконаленого ЕП , якщо він відповідає п.п. 1 та 2 даної статті, а
також ст. 26. Ці виконавчі акти повинні бути прийняті відповідно до процедури перевірки, загаданої у ст. 48 (2).
5. 5. 18 вересня 2015 року із врахуванням існуючої практики, стандартів та правових актів ЄС, Комісія має шляхом
реалізації актів, визначити орієнтири форматів удосконалених ЕП або еталонних методів, у яких
використовуються альтернативні формати. Ці нормативні акти повинні бути прийняті у відповідності до
процедури перевірки, згаданої у ст. 48 (2).
Електронні підписи в публічних послугах
REGULATION (EU) No 910/2014
9. Нормативно-правова база:
Закон України «Про електронний цифровий підпис» від
22.05.2003 р.
Закон України «Про електронні документи та
електронний документообіг» від 22.05.2003 р.
Постанова Кабінету Міністрів України № 680 від 26
травня 2004 р. «Про затвердження Порядку засвідчення
наявності електронного документа (електронних даних)
на певний момент часу».
Накази, видані різними органами влади, в тому числі ті,
які стосуються технічних питань застосування ЕЦП.
Електронний цифровий підпис
(український варіант)
10. Аналіз показує що:
1) термін «посилений сертифікат» Закону України не відповідає «кваліфікованому
сертифікату» Регламенту;
2) За Законом для набуття юридичної сили відбувається лише на етапі перевірки
підпису, а Регламент вимагає контроль на етапі створення підпису;
3) Визначення «електронний підпис» Закону України звужує визначення, прийняте
в Регламенті і вони є різні за суттю, а «електронний цифровий підпис» за
Законом України – це обмежений термін «електронний підпис» за Регламентом;
4) Термін «удосконалений електронний підпис» за Регламентом, який визнається
еквівалентом власноручного підпису в ЄС, в Законі України відсутній;
Базові визначення Закону України не відповідають визначенням Регламенту , немає
відповідності щодо юридичної сили та правової сутності ЕЦП.
Розходження Закону України про ЕЦП з
Регламентом No 910/2014
11. Внести необхідні правки в Закон України «Про
електронний цифровий підпис» або розробити новий
Закон, в якому забезпечити дотримання вимог
законодавства ЄС в галузі електронних підписів.
Привести у відповідність стандарти в галузі ЕЦП
цифрового підпису до вимог європейських стандартів
Які питання потрібно вирішити?
12. Наказ Мінюста від 10.04.2013 № 668/5 «Про
затвердження Концепції реформування законодавства у
сфері використання інфраструктури відкритих ключів та
надання електронних довірчих послуг»
Проект розпорядження Кабінету Міністрів України «Про
схвалення Концепції розвитку інфраструктури відкритих
ключів та надання послуг електронного цифрового
підпису (кваліфікованих електронних довірчих послуг)»,
оприлюднений03 жовтня 2014 року
Концепції реформування
законодавства
13. 1. Підготовка та внесення на розгляд Кабінету Міністрів України нормативно-правових
актів, що забезпечать функціонування інфраструктури відкритих ключів та надання
кваліфікованих електронних довірчих послуг.
2. Інтеграція Національної системи електронного цифрового підпису (інфраструктури
відкритих ключів) до світової та європейської систем електронного цифрового
підпису і вирішення проблем, пов’язаних із функціональною сумісністю технологічних
систем у різних країнах світу, шляхом створення правової та технічної баз, розробки
стандартів та регламентів, які дозволять забезпечити співпрацю у сфері
інфраструктури відкритих ключів та надання послуг електронного цифрового підпису.
3. Гармонізація національного законодавства у сфері інфраструктури відкритих ключів
та надання транскордонних послуг електронного цифрового підпису із
законодавством Європейського Союзу та інших країн світу, у тому числі з
положеннями Регламенту (ЄС) № 910/2014 Європейського Парламенту та Ради від 23
липня 2014 року щодо електронної ідентифікації та довірчих послуг для цілей
електронних транзакцій на внутрішньому ринку.
4. Забезпечення умов для технічного та нормативно-правового врегулювання
запровадження визнання іноземних кваліфікованих сертифікатів відкритих ключів та
кваліфікованого електронного підпису.
5. Створення безкоштовного Стенда тестування функціональної сумісності засобів
електронного цифрового підпису України та тестування засобів електронного
цифрового підпису Європейського Союзу з метою встановлення інтероперабельності
із засобами електронного цифрового підпису України.
Завдання згідно з Концепцією
14. ЗАТВЕРДЖЕНО
розпорядженням Кабінету Міністрів України
від 4 березня 2015 р. № 213-р
ПЛАН ЗАХОДІВ
з виконання Програми діяльності Кабінету Міністрів України та
Стратегії сталого розвитку “Україна—2020” у 2015 році
72. Електронна ідентифікація та електронний підпис
громадянина (Програма).
Реформування системи електронного цифрового
підпису з метою забезпечення інтероперабельності,
відповідності стандартам застосування електронного
цифрового підпису в ЄС (Угода)
1) розроблення та подання Кабінетові
Міністрів України проекту закону про
електронні довірчі послуги
до 30 квітня Мін’юст
Адміністрація
Держспецзв’язку
Мінрегіон
2) супроводження зазначеного
проекту закону у Верховній Раді
України
до прийняття
відповідного закону
Мін’юст
Адміністрація
Держспецзв’язку
Мінрегіон
3) розроблення та подання Кабінетові
Міністрів України проекту
розпорядження Кабінету Міністрів
України про схвалення Концепції
стандартизації інфраструктури
відкритих ключів та надання послуг
електронного цифрового підпису
до 31 грудня Мін’юст
Адміністрація
Держспецзв’язку
Мінекономрозвитку
Мінфін
4) затвердження вимог до формату
кваліфікованих сертифікатів ключів
підпису чи штампа та строку дії
кваліфікованих сертифікатів ключів
підпису чи штампа
у шестимісячний строк
з дня опублікування
закону про електронні
довірчі послуги
Мін’юст
Адміністрація
Держспецзв’язку
5) розроблення та подання Кабінетові
Міністрів України проектів
нормативно-правових актів щодо:
визначення вимог, яким повинен
у шестимісячний строк
з дня опублікування
закону про електронні
довірчі послуги
Мін’юст
Адміністрація
Держспецзв’язку