О внесении изменения в приказ Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года № 1187 "Об утверждении Правил проверки подлинности электронной цифровой подписи"

Приказ Министра информации и коммуникаций Республики Казахстан от 30 декабря 2016 года № 316. Зарегистрирован в Министерстве юстиции Республики Казахстан 2 февраля 2017 года № 14759.

      В соответствии с пунктом 2 статьи 50 Закона Республики Казахстан от 6 апреля 2016 года "О правовых актах" ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года № 1187 "Об утверждении Правил проверки подлинности электронной цифровой подписи" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 12864, опубликованный 26 января 2016 года в информационно-правовой системе "Әділет") следующее изменение:

      Правила проверки подлинности электронной цифровой подписи, утвержденные указанным приказом, изложить в новой редакции согласно приложению к настоящему приказу.

      2. Департаменту информатизации Министерства информации и коммуникаций Республики Казахстан (Жахметова Ж.З.) обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) направление копии настоящего приказа на официальное опубликование в периодические печатные издания в течение десяти календарных дней после дня его государственной регистрации в Министерстве юстиции Республики Казахстан;

      3) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его копии в печатном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонном контрольном банке нормативных правовых актов Республики Казахстан;

      4) размещение настоящего приказа на интернет-ресурсе Министерства информации и коммуникаций Республики Казахстан;

      5) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства информации и коммуникаций Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2), и 3) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра информации и коммуникаций Республики Казахстан (Сарсенова С. С.).

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр информации и коммуникаций Республики Казахстан

А. Абаев

	Приложение к приказу Министра информации и коммуникаций Республики Казахстан от 30 декабря 2016 года № 316
	Утвержден приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года № 1187

Правила проверки подлинности электронной цифровой подписи

Глава 1. Общие положения

      1. Настоящие Правила проверки подлинности электронной цифровой подписи (далее – Правила) разработаны в соответствии с подпунктом 10) статьи 5 Закона Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" (далее – Закон) и определяют порядок проверки подлинности электронной цифровой подписи информационной системой на этапе создания и функционирования информационной системы.

      2. В настоящих Правилах применяются следующие понятия:

      1) средство криптографической защиты информации (далее – СКЗИ) – средство, реализующее алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами;

      2) список отозванных регистрационных свидетельств (далее – СОРС) – часть регистра регистрационных свидетельств, содержащая сведения о регистрационных свидетельствах, действие которых прекращено, их серийные номера, дату и причину отзыва (аннулирования);

      3) удостоверяющий центр – юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства;

      4) регистрационное свидетельство – документ на бумажном носителе или электронный документ, выдаваемый удостоверяющим центром для подтверждения соответствия электронной цифровой подписи требованиям, установленным Законом;

      5) электронный документ – документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи;

      6) электронная цифровая подпись (далее – ЭЦП) – набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;

      7) средства ЭЦП – совокупность программных и технических средств, используемых для создания и проверки подлинности электронной цифровой подписи;

      8) хеш - преобразование массива входных данных произвольной длины в битовую сторону фиксированной длины;

      9) хеш-функция - функция отображения последовательности байт в последовательность байт фиксированного размера.

Глава 2. Порядок проверки подлинности электронной цифровой подписи

      3. На этапе создания и функционирования информационной системы, при получении электронного документа, содержащего регистрационное свидетельство подписывающей стороны, в информационной системе реализуется функционал проверки подлинности ЭЦП, осуществляющий следующие проверки:

      1) проверку ЭЦП в электронном документе;

      2) проверку регистрационного свидетельства подписывающей стороны.

      4. Информационная система проверяет ЭЦП на электронном документе, путем использования открытого ключа ЭЦП, который содержится в регистрационном свидетельстве подписывающей стороны. Электронный документ должен содержать регистрационное свидетельство подписывающей стороны.

      5. Проверка ЭЦП осуществляется в обратном порядке, по которому производилась подпись документа, по следующей схеме:

      1) с помощью открытого ключа ЭЦП отправителя дешифруется хэш сообщения (подпись отправителя);

      2) с помощью хэш-функции вычисляется контрольная сумма оригинального сообщения.

      На данном этапе производится сверка двух контрольных сумм, если они равны, то ЭЦП считается верной (определен положительный результат проверки ЭЦП), если не равны, то ЭЦП считается не действительной (определен отрицательный результат проверки ЭЦП).

      6. Информационная система в случае, если определен положительный результат проверки ЭЦП проверяет регистрационные свидетельства подписывающей стороны путем выполнения следующих проверок с использованием СКЗИ и средств ЭЦП удостоверяющего центра:

      1) проверка срока действия регистрационного свидетельства. Проверка сроков действия от проверяемого регистрационного свидетельства до доверенного корневого регистрационного свидетельства удостоверяющего центра, с учетом промежуточных регистрационных свидетельств удостоверяющих центров;

      2) проверка регистрационного свидетельства на отозванность (аннулирование). Проверка регистрационного свидетельства на отозванность (аннулирование) осуществляется одним из следующих методов:

      на основе СОРС удостоверяющего центра. Данный метод проверки подтверждает, аннулировано ли проверяемое регистрационное свидетельство на момент начала срока действия СОРС удостоверяющего центра;

      онлайн проверка регистрационного свидетельства на аннулирование, основанная на протоколе On-line Certificate Status Protocol (далее – OCSP). Данный метод проверки подтверждает аннулировано ли проверяемое регистрационное свидетельство на момент формирования квитанции OCSP;

      на основе дополнительного СОРС. Данный сервис используется совместно с сервисом СОРС. Данный метод проверки подтверждает, аннулировано ли проверяемое регистрационное свидетельство на момент начала срока действия дополнительного СОРС удостоверяющего центра;

      3) проверка области использования ЭЦП регистрационного свидетельства. Проверка заключается в проверке значения поля регистрационного свидетельства "использование ключа" (KeyUsage). Значения "Цифровая подпись" и "Неотрекаемость", содержащиеся в поле "использование ключа", означают что, это регистрационное свидетельство используется для ЭЦП. Значения "Цифровая подпись" и "Шифрование ключей", содержащиеся в поле "использование ключа", означают что, это регистрационное свидетельство используется для аутентификации;

      4) проверка номера политики регистрационного свидетельства и разрешенных способах его использования. Политика проверяемого регистрационного свидетельства содержит разрешенные и запрещенные способы использования регистрационного свидетельства (например: регистрационное свидетельство используется в информационной системе "Казначейство-клиент"), это означает, что данное регистрационное свидетельство не может использоваться в других информационных системах, за исключением информационной системы "Казначейство-клиент";

      5) проверка построения корректной цепочки от проверяемого регистрационного свидетельства до доверенного корневого регистрационного свидетельства удостоверяющего центра, с учетом промежуточных регистрационных свидетельств удостоверяющих центров;

      6) проверка метки времени. Проверка квитанции метки времени осуществляется для электронных документов долговременного хранения. Квитанция метки времени формируется в момент подписания электронного документа при определении положительного результата проверки ЭЦП, тем самым являясь доказательством подписания документа в указанный момент времени.

      Метка времени является доказательством наличия ЭЦП в указанный в квитанции момент времени;

      7) проверка полномочий лица подписавшего документ. Механизмы проверки полномочий осуществляются информационной системой. Проверка полномочий осуществляется при наличии информации об этом в регистрационном свидетельстве.

      При несоответствии ЭЦП или регистрационного свидетельства требованиям одной из вышеуказанных проверок, за исключением подпункта 6) и 7) настоящего пункта, ЭЦП или регистрационное свидетельство считается недействительным (определен отрицательный результат проверки ЭЦП и регистрационного свидетельства).

      7. Техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на информационную систему.

      8. При удостоверении (установлении) подлинности ЭЦП с использованием СКЗИ удостоверяющего центра после проведения процедуры проверки ЭЦП (определен положительный результат проверки ЭЦП и регистрационного свидетельства), а также при соответствии условиям согласно подпунктам 2), 3) и 4) пункта 1 статьи 10 Закона, электронный документ, полученный посредством информационной системы, признается равнозначным документу, подписанному собственноручной подписи с одинаковыми юридическими последствиями.

      9. При выявлении несоответствия ЭЦП (определен отрицательный результат проверки ЭЦП) после проведения процедуры проверки подлинности ЭЦП с использованием СКЗИ, а также при несоответствии условиям согласно подпунктам 2), 3) и 4) пункта 1 статьи 10 Закона, электронный документ, полученный посредством информационной системы, не признается равнозначным документу, подписанному собственноручной подписи.

"Электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 9 желтоқсандағы № 1187 бұйрығына өзгеріс енгізу туралы

Қазақстан Республикасы Ақпарат және коммуникациялар министрінің 2016 жылғы 30 желтоқсандағы № 316 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2017 жылғы 2 ақпанда № 14759 болып тіркелді.

      "Құқықтық актілер туралы" 2016 жылғы 6 сәуірдегі Қазақстан Республикасының Заңы 50-бабының 2-тармағына сәйкес БҰЙЫРАМЫН:

      1. "Электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 9 желтоқсандағы № 1187 бұйрығына (Нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 12864 болып тіркелген, "Әділет" ақпараттық-құқықтық жүйесінде 2016 жылғы 26 қантар жарияланған) мынадай өзгеріс енгізілсін:

      көрсетілген бұйрықпен бекітілген Электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидалары осы бұйрыққа қосымшаға сәйкес жаңа редакцияда жазылсын.

      2. Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің Ақпараттандыру департаментіне (Жахметова Ж. З.):

      1) осы бұйрықтың Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін;

      2) осы бұйрықтың көшірмелерін Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде мерзімді баспа басылымдарында ресми жариялауға жіберуді;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін күнтізбелік он күннің ішінде бұйрықтың баспа және электрондық түрдегі көшірмесін ресми жариялауға және Қазақстан Республикасы нормативтік-құқықтық актілерінің эталондық бақылау банкіне енгізу үшін қазақ және орыс тілдерінде Қазақстан Республикасы Әділет министрлігінің "Республикалық құқықтық акпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберу;

      4) осы бұйрықты Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің интернет-ресурсында орналастыруды;

      5) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің Заң департаментіне осы тармақтың 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Ақпарат және коммуникациялар вице-министріне жүктелсін (Сарсенов С. С.).

      4. Осы бұйрық оның алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Ақпарат және коммуникациялар министрі

А. Абаев

	Қазақстан Республикасы Ақпарат және коммуникациялар министрінің 2016 жылғы 30 желтоқсандағы № 316 бұйрығына қосымша
	Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 9 желтоқсандағы № 1187 бұйрығымен бекітілген

Электрондық цифрлық қолтаңбаның түпнұсқалығын тексеру қағидалары

1-тарау. Жалпы ережелер

      1. Осы Электрондық цифрлық қолтаңбаның түпнұсқалығын тексеру қағидалары (бұдан әрі – Қағидалар) "Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 жылғы 7 қаңтардағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 5-бабының 10) тармақшасына сәйкес әзірленді және ақпараттық жүйені құру мен жұмыс істеуі кезеңінде ақпараттық жүйенің электрондық цифрлық қолтаңбаның түпнұсқалығын тексеру тәртібін айқындайды.

      2. Осы Қағидаларда мынадай ұғымдар пайдаланылады:

      1) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, кілттерді өндіруді, қалыптастыруды, бөлуді және басқаруды жүзеге асыратын құрал;

      2) кері қайтарып алынған тіркеу куәліктерінің тізімі (бұдан әрі – КТКТ) – әрекеті тоқтатылған тіркеу куәліктері, олардың сериялық нөмірлері, кері қайтару (жою) себебі мерзімі және туралы мәліметтер қамтылған тіркеу куәліктері тіркелімінің бөлігі;

      3) куәландырушы орталық – электрондық цифрлық қолтаңба ашық кілтінің электрондық цифрлық қолтаңбаның жабық кілтіне сәйкестігін куәландыратын, сондай-ақ тіркеу куәлігінің дұрыстығын растайтын заңды тұлға;

      4) тіркеу куәлігі – электрондық цифрлық қолтаңбаның Заңмен белгіленген талаптарға сәйкестігін растау үшін куәландырушы орталық беретін қағаз тасығыштағы құжат немесе электрондық құжат;

      5) электрондық құжат – өзіндегі ақпарат электрондық-цифрлық нысанда ұсынылған және электрондық цифрлық қолтаңба арқылы куәландырылған құжат;

      6) электрондық цифрлық қолтаңба (бұдан әрі – ЭЦҚ) – электрондық цифрлық қолтаңба құралдарымен жасалған және электрондық құжаттың дұрыстығын, оның тиесілілігін және мазмұнының өзгермейтіндігін растайтын электрондық цифрлық нышандар терілі;

      7) ЭЦҚ құралдары – электрондық цифрлық қолтаңбаны жасау және түпнұсқалығын тексеру үшін пайдаланылатын бағдарламалық және техникалық құралдардың жиынтығы;

      8) еркін ұзындығымен кіріс деректердің массивін ұзындығы тіркелген биталық жағына хэш-түрлендіру;

      9) хэш-функция – байт реттілігін тіркелген өлшемдегі байт реттілігінде бейнелеу функциясы.

2-тарау. Электрондық цифрлық қолтаңбаның түпнұсқалығын тексеру тәртібі

      3. Ақпараттық жүйені құру мен жұмыс істеуі кезеңінде қол қоюшы тараптың тіркеу куәлігін қамтитын электрондық құжатты алған кезде ақпараттық жүйеде мына тексерулерді жүзеге асыратын ЭЦҚ түпнұсқалығын тексеру функционалы іске асырылады:

      1) электрондық құжаттағы ЭЦҚ тексеру;

      2) қол қоюшы тараптың тіркеу куәлігін тексеру.

      4. Ақпараттық жүйе электрондық құжаттағы ЭЦҚ-ны қол қоюшы тараптың тiркеу куәлiгіндегі ЭЦҚ ашық кілтін пайдалану арқылы тексереді. Электрондық құжатта қол қоюшы тараптың тiркеу куәлiгі болуға тиіс.

      5. ЭЦҚ-ны тексеру құжатқа қол қойылған тәртіптің кері тәртібімен мынадай схема бойынша жүзеге асырылады:

      1) жөнелтушiнiң ЭЦҚ ашық кiлтiнің көмегімен хабарлама хэшінің (жiберушiнiң қолы) мәні ашылады;

      2) хэш – функциясының көмегімен түпнұсқалық хабарламаның бақылау сомасы есептеледі.

      Екі бақылау соманы салыстыру жүргізіледі, егер олар тең болса, ЭЦҚ дұрыс (ЭЦҚ тексерудің жағымды нәтижесі айқындалды) болып есептеледі, егер тең болмаса, ЭЦҚ дұрыс емес (ЭЦҚ тексерудің жағымсыз нәтижесі айқындалды) болып есептеледі.

      6. ЭЦҚ тексерудің жағымды нәтижесі анықталған жағдайда, ақпараттық жүйе АКҚҚ мен куәландырушы орталықтың ЭЦҚ құралдарын пайдалана отырып, мынадай тексерулерді орындау арқылы қол қоюшы тараптың тіркеу куәліктерін тексереді:

      1) тіркеу куәлігінің жарамдылық мерзімін тексеру. Куәландырушы орталықтардың аралық тіркеу куәліктерін ескере отырып, тексерiлетiн тiркеу куәлiгінен куәландырушы орталығының сенім білдірілген негізгі тiркеу куәлігіне дейін қолданыс мерзімдерін тексеру;

      2) тіркеу куәлігін кері қайтаруға (жоюға) қатысты тексеру. Тіркеу куәлігін кері қайтарылуға (жойюға) қатысты тексеру мынадай әдістердің бірімен жүзеге асырылады:

      куәландырушы орталықтың ҚТКТ негізінде. Осы тексеру әдісі тексеріліп отырған тіркеу куәлігі куәландырушы орталығының ҚТКТ қолдану мерзімі басталған сәттен жойылғандығын растайды;

      On-line Certificate Status Protocol (бұдан әрі – OCSP) хаттамасына негізделген тіркеу куәлігінің жойылғандығына қатысты онлайн тексеру. Осы тексеру әдісі тексеріліп отырған тіркеу куәлігі OCSP түбіртегінде қалыптастырылған сәтінде жойылғандығын растайды;

      қосымша ҚТКТ негізінде. Аталған сервис ҚТКТ сервисімен бірге пайдаланады, бұл ҚТКТ сервисіне қарағанда барынша өзектілендірілген ақпаратты алуға мүмкіндік береді. Осы тексеру әдісі тексеріліп отырған тіркеу куәлігі куәландырушы орталығының қосымша ҚТКТ қолдану мерзімі басталған сәттен жойылғандығын растайды;

      3) тіркеу куәлігінің ЭЦҚ пайдалану саласын тексеру. Тексеру "кілтті пайдалану" (KeyUsage) тiркеу куәлiгі жолының мәнiн тексеруді қамтиды. "Кілтті пайдалану" өрісі қамтитын "Цифрлық қолтаңба" мен "Бастартпаушылық" мәндері тіркеу куәлігі ЭЦҚ үшін пайдаланылатынын білдіреді. "Кілтті пайдалану" жолы "Цифрлық қолтаңба" мен "Кілттерді шифрлау" мәндері бұл тіркеу куәлігі аутентификация үшін пайдаланылатынын білдіреді;

      4) тiркеу куәлiгі саясатының нөмiрiн және оны пайдаланудың рұқсат етілген әдiстерiн тексеру. Тексерiліп отырған тiркеу куәлігінің саясаты тіркеу куәлігін пайдаланудың рұқсат етілген және тыйым салынған әдістерін қамтиды (мәселен: тіркеу куәлігі "Қазынашылық-клиент" ақпараттық жүйесінде пайдаланылады), бұл осы тіркеу куәлігін "Қазынашылық-клиент" ақпараттық жүйесінен басқа ақпараттық жүйелерде пайдалануға жол берілмейтінін білдіреді;

      5) куәландырушы орталықтардың аралық тіркеу куәліктерін ескере отырып, куәландырушы орталықтың тексеріліп отырған тіркеу куәлігінен негізгі сенім білдірілген тіркеу куәлігіне дейінгі дұрыс тізбектің құрылуын тексеру;

      6) уақыт белгісін тексеру. Уақыт белгісінің түбіртегін тексеру ұзақ мерзім сақталатын электрондық құжаттар үшiн жүргізіледі. Уақыт белгісінің түбіртегі ЭЦҚ тексерудің жағымды нәтижесі анықталған кезде электрондық құжатқа қол қойылған сәтте қалыптастырылып, уақыттың көрсетілген кезеңінде құжатқа қол қоюдың дәлелі болып табылады.

      Уақыт белгісі түбіртекте көрсетілген уақытта ЭЦҚ болғанының дәлелі болып табылады;

      7) құжатқа қол қойған тұлғаның өкілеттігін тексеру. Өкілеттіктерді тексеру механизмдерін ақпараттық жүйе жүзеге асырады. Өкілеттіктерді тексеру тіркеу куәлігінде бұл туралы ақпарат қамтылған кезде жүзеге асырылады.

      Осы тармақтың 6) жне 7) тармақшаларын қоспағанда, ЭЦҚ немесе тіркеу куәлігі жоғарыда аталған тексерулердің ең болмаса біреуінің талаптарына сәйкес келмеген кезде ЭЦҚ немесе тіркеу куәлігі жарамсыз (ЭЦҚ және тіркеу куәлігін тексрудің жағымсыз нәтижесі айқындалды) болып есептеледі.

      7. ЭЦҚ мен тіркеу куәлігінің түпнұсқалығын тексеруді техникалық іске асыру ақпараттық жүйеге жүктеледі.

      8. ЭЦҚ тексеру процедурасын жүргізгеннен кейін КО АКҚҚ пайдалана отырып ЭЦҚ түпнұсқалығын растау (белгілеу) кезінде (ЭЦҚ және тіркеу куәлігін тексерудің жағымды нәтижесі айқындалды), сондай-ақ Заңның 10-бабы 1-тармағының 2), 3) және 4) тармақшалары бойынша шарттарға сәйкес келген кезде ақпараттық жүйе арқылы алынған электрондық құжат бірдей құқықтық салдарымен жеке қол қойылған құжатқа тең болып танылады.

      9. АКҚҚ пайдалана отырып, ЭЦҚ түпнұсқалығын тексеру процедурасын жүргізгеннен кейін ЭЦҚ сәйкессіздігі (ЭЦҚ тексерудің жағымсыз нәтижесі айқындалды) айқындалған кезде, сондай-ақ Заңның 10-бабы 1-тармағының 2), 3) және 4) тармақшалары бойынша шарттарға сәйкес келмеген кезде ақпараттық жүйе арқылы алынған электрондық құжат жеке қол қойылған құжатқа тең болып танылмайды.