_________________________________________________________

^{(повне найменування підприємства із зазначенням підпорядкованості)}

ЗАТВЕРДЖЕНО

Наказ____________________

^{(посада керівника підприємства)}

_____________ № __________

^{(число, місяць, рік)}

 

ПОЛОЖЕННЯ

про отримання, використання, зберігання та анулювання особистих ключів і сертифікатів для роботи з КЕП

 

1. Загальні положення

1.1. Це Положення визначає порядок отримання, використання, зберігання та анулювання особистих ключів і сертифікатів для роботи з КЕП в ТОВ «___________»» (далі – Положення) регламентує порядок отримання Токенів, особистих ключів, кваліфікованих сертифікатів, поводження з Токенами, а також порядок блокування або анулювання кваліфікованих сертифікатів.

1.2. Положення розроблене відповідно до Закону України «Про електронні довірчі послуги» №2155-VIII від 05.10.2017р. (далі - Закон), регламентів роботи акредитованих центрів сертифікації, внутрішніх функціонально-технологічних документів Товариства, та з урахуванням вимог та правил кваліфікованих надавачів електронних довірчих послуг.

1.3. При придбанні сертифікатів у інших кваліфікованих надавачів електронних довірчих послуг, можливі зміни в Положення згідно правил відповідних кваліфікованих надавачів електронних довірчих послуг.

1.3. Актуальний реєстр кваліфікованих надавачів електронних довірчих послуг зазначено на сайті Центрального засвідчуваного органу Міністерства цифрової трансформації України (https://czo.gov.ua/ca-registry).

1.4. Вимоги даного Положення є обов’язковим до виконання при отриманні, використанні та зберіганні особистого ключа, а також при блокуванні або анулюванні кваліфікованих сертифікатів відкритого ключа.

1.5. У даному  Положенні терміни та скорочення вживаються в такому значенні:

Відповідальна особа – працівник підприємства, який призначається Наказом по підприємству  відповідальною особою за роботу із КЕП;

Ініціатор - керівник відповідальної особи;

Компрометація особистого ключа - будь-яка подія, що призвела або може призвести до несанкціонованого доступу до особистого ключа;

Особистий ключ - параметр алгоритму асиметричного криптографічного перетворення, який використовується як унікальні електронні дані для створення електронного підпису чи печатки, доступний тільки підписувачу чи створювачу електронної печатки, а також у цілях, визначених стандартами для кваліфікованих сертифікатів відкритих ключів;

Сертифікат - кваліфікований сертифікат відкритого ключа - сертифікат відкритого ключа, який видається кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом і відповідає вимогам Закону;

Токен (засіб кваліфікованого електронного підпису чи печатки) - апаратний пристрій, який реалізує криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, який відповідає вимогам Закону;

Підприємство – ТОВ «________».

ВІБ –  Відділ інформаційної безпеки.

КЕП - кваліфікований електронний підпис - удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа.

УЕП - електронний підпис, створений за результатом криптографічного перетворення електронних даних, з якими пов’язаний цей електронний підпис, з використанням засобу удосконаленого електронного підпису та особистого ключа, однозначно пов’язаного з підписувачем, і який дає змогу здійснити електронну ідентифікацію підписувача та виявити порушення цілісності електронних даних, з якими пов’язаний цей електронний підпис.

КНЕДП – кваліфікований надавач електронних довірчих послуг.

РНОКПП - реєстраційний номер облікової картки платника податків.

ВП – Відділ персоналу.

ЮВ – Юридичний відділ.

1.7. Для роботи з КЕП Відповідальній особі необхідно отримати сертифікат від КНЕДП. Сертифікат видається до згенерованого на токені особистого ключа, який на ньому (токені) і зберігається.

 

2. Порядок отримання особистих ключів та сертифікатів

2.1. Особисті ключі формуються та зберігаються на Токені. Отримання Токену з особистим ключем та Сертифікату до нього на підприємстві відбувається за наявності відповідного наказу про призначення відповідальних осіб за роботу з КЕП. Ініціатором наказу про призначення Відповідальної особи виступає лише керівник відповідальної особи.

2.2. В наказі обов’язково зазначаються:

-   призначення конкретних Відповідальних осіб підприємства за роботу з КЕП із зазначенням мети отримання/використання КЕП та/або назви процесу, згідно якого необхідно використовувати КЕП;

-   дані по Відповідальним особам: ім’я, прізвище, підрозділ, посада;

-   необхідний строк дії Сертифікату (1-н або 2-а роки);

-   необхідний тип Сертифікату (працівник, директор, бухгалтер або печатка);

-   необхідність ознайомлення Відповідальних осіб з даним Положенням;

-   зазначення, що отримання Токенів, особистих ключів, а також Сертифікатів до них відбувається згідно даного Положення.

2.3. Після підписання наказу Директором підприємства: 

2.3.1. Ініціатор направляє засобами внутрішньої електронної пошти копію наказу на начальників ВІБ, ЮВ, ВП. Для ВІБ та ЮВ додатково у повідомленні вказує дані Відповідальних осіб з Наказу, а саме: паспорт (серія, номер, коли та ким виданий, місце реєстрації) та РНОКПП.

2.3.2. Працівник ЮВ протягом  3 (трьох) робочих днів від дня отримання запиту, готує та передає ініціатору наступні оригінали документів:

-   довіреності згідно Додатку 1 до даного Порядку, на кожну Відповідальну особу;

-   витяг з Єдиного державного реєстру  (копія, засвідчена підписом Директора підприємства);

2.3.3. Працівник Відділу персоналу протягом 3 (трьох) робочих днів готує та передає ініціатору копії наказів про призначення на займану посаду Відповідальних осіб згідно наказу (копія засвідчена підписом Директора підприємства).

2.3.4. Ініціатор передає Відповідальній особі отримані згідно пунктів 2.3.2 та 2.3.3 даного Порядку документи.

2.3.5. Працівник ВІБ після отримання засобами внутрішньої електронної пошти копії наказу протягом 1 робочого дня завантажує рахунок для оплати Сертифікатів в кількості та на строк згідно наказу, ініціює оплату рахунку, копію рахунку направляє ініціатору. Рахунок формується та завантажується на сайті КНЕДП (https://uakey.com.ua/score/ecp/ur).

2.4. Відповідальна особа:

- особисто отримує Токен у ВІБ (за попередньою домовленістю). Відповідальна особа повинна мати при собі паспорт та РНОКПП. Працівник ВІБ засобами ПЗ «М.E.Doc.» формує заяву на формування кваліфікаційних сертифікатів КЕП в електронному вигляді (у форматі .PCK), а також примірник заяви в паперовому вигляді, який передається Відповідальній особі та на якій вона ставить особистий підпис. Працівник ВІБ готує Токен до генерації особистого ключа, Відповідальна особа особисто вводить свій пароль до свого особистого ключа. Токен видається Відповідальній особі згідно акту за формою Додатку 2 до даного Порядку. Один примірник акту зберігається у ВІБ, інший – у Відповідальної особи.

- формує пакет документів згідно Додатку 3 до даного Порядку для відвідування з ним КНЕДП;

- записується до електронної черги на сайті КНЕДП за посиланням: https://uakey.com.ua/page/about#e-queue;

- відвідує особисто КНЕДП з пакетом документів згідно Додатку 3 до даного Порядку, отримує Сертифікат.

2.5. У разі відмови КНЕДП у видачі сертифікату, Відповідальна особа разом з ініціатором виправляють причину відмови (невірно оформлений пакет документів, неякісні копії тощо), після чого Відповідальна особа повторно звертається до КНЕДП для отримання Сертифікату.

2.6. У випадку відсутності технічної можливості генерації ключів та використання КЕП, підприємство має право використовувати УЕП на файловому носії.

2.7. Підприємство має право використовувати електронні довірчі послуги від тих КНЕДП, що забезпечують надання електронних довірчих послуг у штатному режимі.

 

3. Використання КЕП

3.1.  Накладання КЕП Відповідальними особами дозволяється винятково в рамках виконання службових обов’язків та визначених процесів.

3.2.  При накладанні КЕП запитується пароль до Токену, який Відповідальна особа самостійно встановлювала при генерації особистого ключа.

3.3.  При невірному введенні паролю 7 разів поспіль (кількість залежить від виробника Токену та становить від 7 до 14 спроб) Токен блокується.

3.4.  Розблокування можливе працівником ВІБ (за попередньою домовленістю). При собі Відповідальна особа повинна мати паспорт громадянина України.

3.5.  Рекомендації безпеки при виборі паролю:

3.5.1. Довжина паролю до Токену складає не менше 6 (шести) символів.

3.5.2. Рекомендовано використовати знаки верхнього і нижнього регістра, а також числа, цифри та спеціальні символи;

3.5.3. Не рекомендовано використовувати наступні типи Паролів:

-                    в яких міститься особиста інформація (дівоче прізвище матері, прізвиська домашніх тварин, дата народження, номер телефону, документів тощо);

-                    слова або абревіатури, які можна знайти в словнику (наприклад, happiness, goldfinger тощо);

-                    слова або абревіатури, які можна знайти в словнику, написані в зворотному порядку (наприклад, ssenippah, regnifdlog тощо);

-                    схему клавіатури в якості пароля (наприклад qwertyui, q1w2e3r4t5);

-                    «послідовні» шаблони (наприклад, 12345678, abcdefg, 22222222).

 

4. Подовження терміну, блокування та скасування сертифікатів, повернення токенів

4.1.  У випадку компрометації особистого ключа, втрати Токену, підозри на несанкціонований доступ до особистого ключа – Відповідальна особа повинна негайно повідомити про це ВІБ внутрішньою електронною поштою із зазначенням ПІБ, робочого і мобільного номерів телефонів Відповідальної особи  та обставин щодо звернення. ВІБ, в залежності від обставин, приймає рішення по інциденту та, при необхідності, ініціює: блокування Сертифікату відповідальної особи, перевипуск Сертифікату, початок службового розслідування. 

4.2.  При звільненні Відповідальної особи працівник ВІБ ініціює скасування відповідного Сертифікату у КНЕДП.

4.3.  При необхідності скасування Сертифікату до закінчення його терміну дії (у випадку зміни функціоналу, змін у бізнес-процесах, переведення на іншу посаду Відповідальної особи і т.д.) – ініціатор повинен повідомити ВІБ внутрішньою електронною поштою про необхідність скасування Сертифікату із зазначенням ПІБ та посади Відповідальної особи.

4.4.  Відповідальна особа при звільненні з Банку максимум за один робочий день до дати звільнення повинна повернути Токени до ВІБ.

4.5.  При переведенні на іншу посаду або при зміні функціональних обов’язків, що не передбачають використання КЕП на підприємстві, ініціатор повинен ініціювати наказ про звільнення від виконання обов’язків за роботу з КЕП Відповідальної особи та протягом одного робочого дня після дати його підписання Відповідальна особа повинна повернути Токени до ВІБ. При поверненні, Токен обов’язково підлягає деініціалізації.

4.6.  При необхідності подовжити термін дії сертифікату, Відповідальна особа може це зробити самостійно на сайті КНЕДП (https://uakey.com.ua/page/reissue) без відвідування офісу КНЕДП. Умовою самостійної можливості подовження є:

-        термін дії попереднього Сертифіката ще не закінчився;

-        не відбулося змін у даних (юридична адреса, назва підприємства або дані посадової особи), внесених у Сертифікат;

-        Відповідальна особа має дійсний особистий ключ до Сертифікату та пам’ятає пароль до нього (нові заявки потрібно підписати дійсним КЕП);

-        оплачена послуга подовження Сертифікату.

В інших випадках подовження Сертифікату можливе лише через відвідування КНЕДП з повним пакетом документів згідно Додатку 3 до даного Порядку.

4.7.  За своєчасністю подовження терміну дії Сертифікату слідкує Відповідальна особа, яка своєчасно повідомляє ініціатора про необхідність його подовження з відповідними подальшими діями.

 

5. Зберігання Токенів з особистими ключами

5.1.  В приміщенні підприємства особа в неробочий час зберігає Токен з особистим ключем в індивідуальній сейфовій комірці або індивідуальних шафах, що замикаються на ключ та доступ до яких має тільки Відповідальна особа.

5.2.  Відповідальність за збереження та використання Токенів з особистими ключами за призначенням несуть Відповідальні особи згідно чинного Законодавства України та внутрішніх функціонально-технологічних документів підприємства

5.3.  При дистанційній роботі допускається використання Токену з особистим ключем за адресою робочого місця, що зазначила Відповідальна особа в додатковій угоді/трудовому договорі про дистанційну роботу. Відповідальна особа повинна контролювати доступ до Токену з особистим ключем та не допускати третіх осіб до роботи з ним. При першій можливості Токен з особистим ключем необхідно повернути на місце зберігання до офісу підприємства.

 

6.        Обмеження щодо роботи з Токенами

6.1.            Заборонено:

-         зберігання Токенів з особистим ключем в неробочий час на столах, увімкненими в персональний комп’ютер, шафах, що не зачинаються на замок, шухлядах та інших місцях, що можуть бути доступними іншим особам;

-        передавання Токену з особистим ключем іншим особам;

-        передавання паролю до Токену іншим особам;

-        використання Токенів інших Відповідальних осіб;

-        залишати без нагляду Токен в робочий час;

-        в якості паролю до Токену використовувати дати народження та будь які інші дані, що можуть бути тим чи іншим чином пов’язані з Відповідальною особою;

-        в якості паролю до Токену використовувати прості послідовності цифр, символів та інші комбінації, що дозволяють підібрати пароль;

-        вводити пароль до Токену з особистим ключем при візуальному контакті з ним інших осіб;

-        використання Токену з особистим ключем у випадку його компрометації, виявлення факту зберігання або перебування у сторонніх осіб, втрати контролю за його місцезнаходженням.

 

7.        Заключні положення

7.1.  Це Положення набирає чинності на підставі наказу.

7.2.  У разі змін вимог нормативно-правових актів у частині роботи з Токенами, особистими ключами, кваліфікованими сертифікатами, а також порядку блокування або анулювання кваліфікованих сертифікатів, Положення діє в частині вимог, які не суперечать новим вимогам.

7.3.  У разі змін найменувань структурних підрозділів підприємства (при збереженні за ними відповідних функціональних обов’язків) дії, що регламентуються даним Положенням, не змінюються.

7.4.       Питання, які не врегульовані даним Положенням, регулюються іншими нормативно-правовими актами України, внутрішніми функціонально-технологічними документами, окремими рішеннями наказами/розпорядженнями Директора підприємства або уповноважених ним осіб.

 

 

Назва посади особи,

 

Візи, відмітки про ознайомлення з положенням на аркуші ознайомлення

 

Додаток 1 до Положення отримання, використання, зберігання та анулювання особистих ключів і сертифікатів для роботи з КЕП

 

ДОВІРЕНІСТЬ

 

__________________________________________________________________________________________

(повне найменування підприємства, установи чи організації або ПІБ фізичної особи-підприємця)

в особі  __________________________________________________________________________________

що діє на підставі ______________________________________________________  (далі – Довіритель)

(назва документа, на підставі якого діє уповноважена посадова особа - керівник)

уповноважує ___________________________________________________________________________,

паспорт серії ___ № _____, виданий «___» _________   _____ р.  __________________________________________________________________________________________,

                        (відомості про орган, який видав паспорт Представника)

що зареєстрований(на) за адресою: ______________________________ (далі – Представник),

здійснити від імені Довірителя процедуру реєстрації для отримання власного кваліфікованого сертифіката відкритого ключа ЕП (далі – сертифікат), у кваліфікованому надавачі електронних довірчих послуг ТОВ «Центр сертифікації ключів «Україна» (далі - Центр).

 

Для цього Представнику надається право:

 

-                 подати для реєстрації пакет документів, необхідний для отримання власного кваліфікованого сертифіката;

-                 укласти Договір про надання послуг з обробки даних, постачання, видачі та обслуговування кваліфікованих сертифікатів відкритих ключів ЕП або Картку приєднання до нього, а за необхідності Додатки до нього та Додаткові договори, підписати Акт наданих послуг;

-                 засвідчити вірність копій документів, що подаються для реєстрації до Центру;

-                 підписувати та скріплювати печаткою Акти прийому-передачі, листи про призначення платежу та інші бухгалтерські документи;

-                 підписувати заяви, листи та інші документи, необхідні для проходження процедури реєстрації та отримання сертифікатів.

 

Довіреність дійсна до «____» _____________ 20___ року включно без права передоручення.

 

Підпис Представника    __________________    ________________________ посвідчено

 

Довірителя    ___________________        ______________________________________________________          

Додаток 2 до Положення отримання, використання, зберігання та анулювання особистих ключів і сертифікатів для роботи з КЕП

 

АКТ № ____________

ПРИЙМАННЯ-ПЕРЕДАЧІ ЗАПАСІВ МАТЕРІАЛЬНИХ ЦІННОСТЕЙ

 

 

Цим посвідчується, що______________________________________________________

передав(ла), а ______________________________________________________________

прийняв(ла) на відповідальне зберігання наступні матеріальні цінності:

 

ЗДАВ:	ПРИЙНЯВ:
Організація: ТОВ «_________________»	Організація: ТОВ «__________________»
________________________	________________________
_____________________________	_____________________________
Підпис	Підпис
«__» __________________ 20__	«__» _______________ 20__

 

 

Додаток 3 до Положення отримання, використання, зберігання та анулювання особистих ключів і сертифікатів для роботи з КЕП

 

Перелік документів/пристроїв для отримання сертифікату в КНЕДП

 

-            паспорт громадянина України Відповідальної особи (у вигляді книжечки або ID-картки з безконтактним електронним носієм);

-            копія паспорту громадянина України Відповідальної особи або іншого документу, що його замінює, 1-2 сторінок (3-6 за наявності відміток). Копії на кожній сторінці засвідчуються власником документів. Підпис має відповідати зразку підпису в паспорті;

-            копія довідки про присвоєння ідентифікаційного коду або копія зворотної сторони ID- картки, де прописаний РНОКПП. Копія засвідчується власником документів. Підпис має відповідати зразку підпису в паспорті;

-            довіреність на відповідальну особу згідно Додатку 1 до даного Порядку;

-            копія витягу з Єдиного державного реєстру (засвідчена підписом Директора підприємства);

-            копія Картки приєднання до електронного договору про надання довірчих послуг КЕП;

-            копія наказу про призначення на займану посаду відповідальної особи (засвідчена підписом Директора підприємства);

-            підписану підписом Відповідальної особи заявку на формування кваліфікаційних сертифікатів КЕП;

-            копія рахунку (п.2.3.5. даного Порядку);

-            Токен.

 

Копії документів повинні бути якісними (чіткі фото та розбірливий текст).