09.09.2015
|
UA
|
Офіційний вісник Європейського Союзу
|
L 235/7
|
(Текст стосується ЄЕП)
Вчинено у Брюсселі 8 вересня 2015 року.
|
За Комісію
Президент
|
Jean-Claude JUNCKER
|
ДОДАТОК
Рівень надійності
|
Необхідні елементи
|
Низький
|
1.Забезпечення того, що заявник знає умови, пов'язані з використанням засобів електронної ідентифікації.
2.Забезпечення того, що заявник знає рекомендовані заходи безпеки, пов'язані з використанням засобів електронної ідентифікації.
3.Збір відповідних ідентифікаційних даних, необхідних для підтвердження та верифікації тотожності особи.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Такі самі, як для низького рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Можна припустити, що особа володіє відомостями, які визнано державою-членом, у якій зроблено заявку на засоби електронного встановлення тотожності особи, та які представляють заявлену особу.
2. Можна припустити, що такі відомості є справжніми або такими, існування яких підтверджено авторитетним джерелом і які виявляються дійсними.
3. Авторитетному джерелу відомо, що заявлена особа існує, і можна припустити, що особа, яка заявляє про тотожність з нею, є цією особою.
|
Істотний
|
Елементи низького рівня та виконання додатково однієї з вимог, зазначених у пунктах 1-4:
1. Особу верифікували, як таку, що володіє відомостями, які визнано державою-членом, в якій зроблено заявку на засоби електронного встановлення тотожності особи, та які представляють заявлену особу,
та
здійснюється перевірка відомостей, щоб визначити, чи вони є справжнім; або відомо, відповідно до авторитетного джерела, що такі відомості існують та відносяться до реальної особи,
та
вжито заходів, щоб мінімізувати ризик відсутності тотожності особи з заявленою особою, беручи до уваги, наприклад, ризик втрати, викрадення, призупинення дії, відкликання чи закінчення терміну дії відомостей;
або
2. Посвідчення особи пред’являють під час процесу реєстрації у державі-члені, у якій його було видано, і виявляється, що таке посвідчення стосується особи, яка його пред’являє,
та
вжито заходів, щоб мінімізувати ризик відсутності тотожності особи з заявленою особою, беручи до уваги, наприклад, ризик втрати, викрадення, призупинення дії, відкликання чи закінчення терміну дії документів;
або
3. Якщо процедури, що використовувались раніше публічними або приватними суб’єктами у тій самій державі-члені для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених у секції 2.1.2 для істотного рівня надійності, то суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом оцінки відповідності, зазначеним у статті 2(13) Регламенту Європейського Парламенту і Ради (ЄС) № 765/2008 (994_938)
(-1), або аналогічним органом;
або
4. Якщо засоби електронної ідентифікації випущено на основі дійсних нотифікованих засобів електронної ідентифікації, які мають істотний або високий рівень надійності, та, беручи до уваги ризики зміни даних персональної ідентифікації, немає необхідності повторно здійснювати процеси підтвердження та верифікації тотожності особи. Якщо засоби електронної ідентифікації, які взято за основу, не було нотифіковано, необхідно, щоб орган оцінки відповідності, зазначений у статті 2(13) Регламенту (ЄС) № 765/2008 (994_938)
, або аналогічний орган підтвердив істотний або високий рівень надійності.
|
Високий
|
Необхідно виконати вимоги пунктів 1 або 2:
1. Елементи істотного рівня та виконання додатково однієї з вимог, зазначених у пунктах (a) - (c):
(a) Якщо особу верифікували, як таку, що володіє фотографічними або біометричними ідентифікаційними відомостями, які визнано державою-членом, в якій зроблено заявку на засоби електронного встановлення тотожності особи, і ці відомості представляють заявлену особу, такі відомості перевіряються для встановлення їх дійсності відповідно до авторитетного джерела;
та
заявника ідентифікують як заявлену особу шляхом зіставлення однієї або більше фізичних характеристик особи з авторитетним джерелом;
або
(b) Якщо процедури, що використовувались раніше публічними або приватними суб’єктами у тій самій державі-члені для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених у секції 2.1.2 для високого рівня надійності, то суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом оцінки відповідності, зазначеним у статті 2(13) Регламенту (ЄС) № 765/2008 (994_938)
, або аналогічним органом
та
вжито заходів, щоб показати, що результати попередніх процедур залишаються дійсними; або
(c) Якщо засоби електронної ідентифікації випущено на основі дійсних нотифікованих засобів електронної ідентифікації, які мають високий рівень надійності, та, беручи до уваги ризики зміни даних персональної ідентифікації, немає необхідності повторно здійснювати процеси підтвердження та верифікації тотожності особи. Якщо засоби електронної ідентифікації, які взято за основу, не було нотифіковано, потрібно, щоб орган оцінки відповідності, зазначений у статті 2(13) Регламенту (ЄС) № 765/2008 (994_938)
, або аналогічний орган підтвердив високий рівень надійності
та
вжито заходів, щоб показати, що результати попередньої процедури випуску нотифікованих засобів електронної ідентифікації залишаються дійсними.
АБО
2. Якщо заявник не надає будь-які визнані фотографічні або біометричні ідентифікаційні відомості, застосовують такі самі процедури, що використовуються на національному рівні державою-членом суб’єкта, відповідального за реєстрацію, щоб отримати такі визнані фотографічні або біометричні ідентифікаційні відомості.
|
__________
(-1) Регламент Європейського Парламенту і Ради (ЄС) № 765/2008 (994_938)
від 9 липня 2008 року щодо вимог до акредитації та ринкового нагляду у сфері реалізації продуктів та про скасування Регламенту (ЄЕС) № 339/93 (ОВ L 218, 13.08.2008, с. 30).
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Заявлену юридичну особу представлено на основі відомостей, визнаних державою-членом, в якій зроблено заявку на засоби електронного встановлення тотожності особи.
2. Відомості виявляються дійсним, і можна припустити, що вони є справжніми або такими, існування яких підтверджено авторитетним джерелом, якщо занесення юридичної особи до авторитетного джерела є добровільним та регулюється домовленістю між юридичною особою та авторитетним джерелом.
3. Авторитетному джерелу не відомо статус юридичної особи, який би перешкоджав їй діяти як зазначеній юридичній особі.
|
Істотний
|
Елементи низького рівня та виконання додатково однієї з вимог, зазначених у пунктах 1-3:
1. Заявлену юридичну особу представлено на основі відомостей, визнаних державою-членом, в якій зроблено заявку на засоби електронного встановлення тотожності особи, у тому числі назва юридичної особи, організаційно-правова форма і (за наявності) її реєстраційний номер,
та
здійснюється перевірка відомостей, щоб визначити, чи вони є справжніми; або відомо, відповідно до авторитетного джерела, що такі відомості існують, якщо занесення юридичної особи до авторитетного джерела необхідно для того, щоб юридична особа діяла у межах свого сектору,
та
вжито заходів, щоб мінімізувати ризик відсутності тотожності особи з заявленою юридичною особою, беручи до уваги, наприклад, ризик втрати, викрадення, призупинення дії, відкликання чи закінчення терміну дії документів;
або
2. Якщо процедури, що використовувались раніше публічними або приватними суб’єктами у тій самій державі-члені для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених у секції 2.1.3 для істотного рівня надійності, то суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом оцінки відповідності, зазначеним у статті 2(13) Регламенту (ЄС) № 765/2008 (994_938)
, або аналогічним органом;
або
3. Якщо засоби електронної ідентифікації випущено на основі дійсних нотифікованих засобів електронної ідентифікації, які мають істотний або високий рівень надійності, немає необхідності повторно здійснювати процеси підтвердження та верифікації тотожності особи. Якщо засоби електронної ідентифікації, які взято за основу, не було нотифіковано, необхідно, щоб орган оцінки відповідності, зазначений у статті 2(13) Регламенту (ЄС) № 765/2008 (994_938)
, або аналогічний орган підтвердив істотний або високий рівень надійності.
|
Високий
|
Елементи істотного рівня та виконання додатково однієї з вимог, зазначених у пунктах 1-3:
1. Заявлену юридичну особу представлено на основі відомостей, визнаних державою-членом, в якій зроблено заявку на засоби електронного встановлення тотожності особи, у тому числі назва юридичної особи, організаційно-правова форма і щонайменше один унікальний ідентифікатор, що представляє юридичну особу та застосовується в національному контексті
та
здійснюється перевірка відомостей, щоб визначити, чи вони є дійсними відповідно до авторитетного джерела; або
2. Якщо процедури, що використовувались раніше публічними або приватними суб’єктами у тій самій державі-члені для цілей, відмінних від випуску засобів електронної ідентифікації, забезпечують надійність, рівноцінну надійності процедур, визначених у секції 2.1.3 для високого рівня надійності, то суб’єкт, відповідальний за реєстрацію, не повинен повторно виконувати попередні процедури за умови, що їхню рівноцінну надійність підтверджено органом оцінки відповідності, зазначеним
та
вжито заходів, щоб показати, що результати попередніх процедур залишаються дійсними; або
3. Якщо засоби електронної ідентифікації випущено на основі дійсних нотифікованих засобів електронної ідентифікації, які мають високий рівень надійності, немає необхідності повторно здійснювати процеси підтвердження та верифікації тотожності особи. Якщо засоби електронної ідентифікації, які взято за основу, не було нотифіковано, потрібно, щоб орган оцінки відповідності, зазначений у статті 2(13) Регламенту (ЄС) № 765/2008 (994_938)
, або аналогічний орган підтвердив високий рівень надійності
та
вжито заходів, щоб показати, що результати попередньої процедури випуску нотифікованих засобів електронної ідентифікації залишаються дійсними.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Підтвердження тотожності фізичної особи, яка діє від імені юридичної особи, верифіковано як таке, що було виконано на низькому або вищому рівні.
2. Зв’язок встановлено на основі національно визнаних процедур.
3. Авторитетному джерелу не відомо статус фізичної особи, який би перешкоджав їй діяти від імені такої юридичної особи.
|
Істотний
|
Пункт 3 необхідних елементів низького рівня, а також:
1. Підтвердження тотожності фізичної особи, яка діє від імені юридичної особи, верифіковано як таке, що було виконано на істотному або високому рівні.
2. Зв’язок встановлено на основі національно визнаних процедур, що привело до його реєстрації в авторитетному джерелі.
3. Встановлення зв’язку верифіковано на основі інформації з авторитетного джерела.
|
Високий
|
Пункт 3 необхідних елементів низького рівня та пункт 2 необхідних елементів істотного рівня, а також:
1. Підтвердження тотожності фізичної особи, яка діє від імені юридичної особи, верифіковано як таке, що було виконано на високому рівні.
2. Встановлення зв’язку було верифіковано на основі унікального ідентифікатора, що представляє юридичну особу та застосовується у національному контексті, та на основі інформації, яка однозначно представляє фізичну особу з авторитетного джерела.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Засоби електронної ідентифікації використовують щонайменше один чинник автентифікації.
2. Засоби електронної ідентифікації розроблено таким чином, щоб орган, який їх випускає, вживав необхідних заходів для перевірки того, чи вони використовуються тільки під контролем або у межах володіння особи, якій такі засоби належать.
|
Істотний
|
1. Засоби електронної ідентифікації використовують щонайменше два чинники автентифікації різних категорій.
2. Засоби електронної ідентифікації розроблено таким чином, щоб можна було припустити, що вони використовуються тільки під контролем або у межах володіння особи, якій такі засоби належать.
|
Високий
|
Істотний рівень, а також:
1. Засоби електронної ідентифікації захищено від дублювання та неправомірного втручання, а також від зловмисників з високою імовірністю здійснення нападу.
2. Засоби електронної ідентифікації розроблено таким чином, що особа, якій вони належать, може надійно захистити їх від використання іншими.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
Після випуску засоби електронної ідентифікації доставляють шляхом застосування механізму, за допомогою якого, можна припустити, вони дістануться тільки призначеній особі.
|
Істотний
|
Після випуску засоби електронної ідентифікації доставляють шляхом застосування механізму, за допомогою якого, можна припустити, вони передаються у володіння тільки особи, якій вони належать.
|
Високий
|
У процесі активації здійснюється верифікація передання засобів електронної ідентифікації тільки у володіння особі, якій вони належать.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Існує можливість призупинення та/або відкликання засобу електронної ідентифікації вчасно та ефективно.
2. Існують заходи для запобігання несанкціонованим призупиненню, відкликанню та/або повторній активації.
3. Повторна активація повинна здійснюватися тільки за умови продовження дотримання тих самих вимог до надійності, які було встановлено перед призупиненням або відкликанням.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Такі самі, як для низького рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
Беручи до уваги ризики зміни даних персональної ідентифікації, необхідно, щоб процеси поновлення або заміни відповідали тим самим вимогам до надійності, що й початковий процес підтвердження та верифікації тотожності особи, або базувались на дійсних засобах електронної ідентифікації того самого або вищого рівня надійності.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Низький рівень, а також:
Якщо поновлення та заміна базується на дійсних засобах електронної ідентифікації, здійснюється верифікація тотожності особи з авторитетним джерелом.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Випуску даних персональної ідентифікації передують надійна верифікація засобів електронної ідентифікації та встановлення їх дійсність.
2. Якщо дані персональної ідентифікації зберігаються як частина механізму автентифікації, захист такої інформації здійснюють для того, щоб запобігти втратам та компрометації, у тому числі аналізу у режимі офлайн.
3. У межах механізму автентифікації впроваджують засоби контролю безпеки для верифікації засобів електронної ідентифікації, тому надзвичайно малоймовірним є те, що такі дії, як вгадування, підслуховування, повторне відтворення повідомленням та маніпулювання ним зловмисником з підвищеною базовою ймовірністю здійснення нападу, зможуть дестабілізувати механізми автентифікації.
|
Істотний
|
Низький рівень, а також:
1. Випуску даних персональної ідентифікації передують надійна верифікація засобів електронної ідентифікації та встановлення їх дійсність за допомогою динамічної автентифікації.
2. У межах механізму автентифікації впроваджують засоби контролю безпеки для верифікації засобів електронної ідентифікації, тому надзвичайно малоймовірним є те, що такі дії, як вгадування, підслуховування, повторне відтворення повідомленням та маніпулювання ним з середньою ймовірністю здійснення нападу, зможуть дестабілізувати механізми автентифікації.
|
Високий
|
Істотний рівень, а також:
У межах механізму автентифікації впроваджують засоби контролю безпеки для верифікації засобів електронної ідентифікації, тому надзвичайно малоймовірним є те, що такі дії, як вгадування, підслуховування, повторне відтворення повідомленням та маніпулювання ним зловмисником з високою ймовірністю здійснення нападу, зможуть дестабілізувати механізми автентифікації.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Постачальники, які забезпечують будь-яке експлуатаційне обслуговування, охоплене цим Регламентом, є публічним органом або юридичною особою, які визнано національним законодавством держави-члена, мають засновану організацію та повною мірою діють у всіх сегментах, пов’язаних з наданням таких послуг.
2. Постачальники відповідають будь-яким законним вимогам, покладеним на них у зв’язку з діяльністю та наданням послуг, у тому числі види інформації, яка може бути затребувана, способи підтвердження тотожності особи, види інформації, яку можна зберігати, та термін зберігання такої.
3. Постачальники можуть продемонструвати свою здатність приймати ризик відповідальності за збитки, а також наявність достатніх фінансових ресурсів для продовження діяльності та надання послуг.
4. Постачальники несуть відповідальність за виконання будь-яких зобов’язань, переданих іншому суб’єкту, та дотримання принципів схеми так, ніби самі постачальники виконували такі обов’язки.
5. Схеми електронної ідентифікації, не передбачені національним законодавством, повинні охоплювати чинний план щодо припинення дії. Такий план повинен містити належний порядок припинення обслуговування або продовження обслуговування іншим постачальником, спосіб повідомлення відповідних органів та кінцевих користувачів, а також детальну інформацію про захист, зберігання, знищення записів відповідно до принципів схеми.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Такі самі, як для низького рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Наявність оприлюдненого означення послуги, яке містить усі застосовні терміни, умови та збори, у тому числі будь-які обмеження щодо її використання.
Означення послуги повинно містити принципи приватності.
2. Необхідно ввести в дію відповідні принципи та процедури, щоб забезпечити, що користувачі послуги отримують своєчасно та у надійний спосіб інформацію про будь-які зміни до означення послуги та до будь-яких застосовних термінів, умов та принципів приватності для зазначеної послуги.
3. Необхідно ввести в дію відповідні принципи та процедури, що забезпечать надання повних та правильних відповідей на запити про надання інформації.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Такі самі, як для низького рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
Існує ефективна система управління інформаційною безпекою для управління ризиками інформаційної безпеки та контролю за такими.
|
Істотний
|
Низький рівень, а також:
Система управління інформаційною безпекою відповідає затвердженим стандартам або принципам управління ризиками інформаційної безпеки та контролю за такими.
|
Високий
|
Такі самі, як для істотного рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Запис та зберігання відповідної інформації шляхом використання ефективної системи управління записами, беручи до уваги застосовне законодавство та належну практику щодо захисту даних та збереження даних.
2. Зберігання, наскільки це дозволяє національне законодавство або інші національні адміністративні домовленості, та захист записів на періоду, протягом якого вони будуть необхідні для цілей аудиту та розслідування порушень безпеки, після чого усі записи безпечно знищуються.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Такі самі, як для низького рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Наявність процедур, які забезпечують, що персонал та субпідрядники мають належну підготовку, кваліфікацію та досвід стосовно умінь, які необхідні для виконання ними своїх ролей.
2. Наявність відповідного персоналу та субпідрядників, які належно працюють та забезпечують надання послуг відповідно до принципів та процедур.
3. Об’єкти, які використовують для надання послуг, підлягають постійному моніторингу та захисту від пошкоджень, спричинених екологічними подіями, несанкціонованим доступом та іншими чинниками, які можуть вплинути на безпеку обслуговування.
4. Об’єкти, які використовують для надання послуг, забезпечують, що доступ до зон, у яких зберігають та обробляють персональну, криптографічну або іншу вразливу інформацію, мають лише уповноважені персонал або субпідрядники.
|
Істотний
|
Такі самі, як для низького рівня.
|
Високий
|
Такі самі, як для низького рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
1. Наявність пропорційного технічного контролю для управління ризиками, які загрожують безпеці обслуговування, захисту конфіденційності, цілісності та доступності інформації, що обробляється.
2. Канали електронного зв’язку, які використовують для обміну особистою та вразливою інформацією, захищено від підслуховування, маніпуляцій та повторного відтворення.
3. Доступ до вразливого криптографічного матеріалу, якщо такий використовується для випуску засобів електронної ідентифікації та автентифікації, обмежено ролями та програмами, які чітко вимагають доступу. Необхідно забезпечити, щоб такий матеріал ніколи не зберігався у формі простого тексту.
4. Існують процедури, які забезпечують підтримку безпеки впродовж певного часу і можливість реагувати на зміни рівнів ризику, інциденти та порушення безпеки.
5. Усі засоби, що містять особисту, криптографічну або іншу вразливу інформацію, зберігаються, передаються та знищуються у безпечний та захищений спосіб.
|
Істотний
|
Такі самі, як для низького рівня.
Вразливий криптографічний матеріал, якщо такий використовується для випуску засобів електронної ідентифікації та автентифікації, захищено від неправомірного втручання.
|
Високий
|
Такі самі, як для істотного рівня.
|
Рівень надійності
|
Необхідні елементи
|
Низький
|
Періодичне проведення внутрішніх аудитів, які охоплюють усі сегменти, пов’язані з постачанням наданих послуг, з метою забезпечення дотримання відповідних принципів.
|
Істотний
|
Періодичне проведення незалежних внутрішніх та зовнішніх аудитів, які охоплюють усі сегменти, пов’язані з постачанням наданих послуг, з метою забезпечення дотримання відповідних принципів.
|
Високий
|
1. Періодичне проведення незалежних зовнішніх аудитів, які охоплюють усі сегменти, пов’язані з постачанням наданих послуг, з метою забезпечення дотримання відповідних принципів.
2. Якщо схемою безпосередньо управляє державний орган, її аудит здійснюється відповідно до національного законодавства.
|