У службовій записці начальника відділу електронної ідентифікації Департаменту підтримки інтегрованих систем Анастасії Компанієць від 04.08.2022 № СЗ-117/10-05 зазначено наступне.
З метою забезпечення повноцінного та безперебійного функціонування інформаційних систем, технічним адміністратором яких призначено ДП «ДІЯ», зокрема, інтегрованої системи електронної ідентифікації, що функціонує відповідно до Положення про інтегровану систему електронної ідентифікації, затверджену постановою Кабінету Міністрів України від 19 червня 2019 р. № 546, центрального засвідчувального органу, що функціонує відповідно до Регламенту роботи центрального засвідчувального органу, затверджений наказом Міністерства цифрової трансформації України від 27.08.2021 № 115, зареєстрованого в Міністерстві юстиції України 07.10.2021 за № 1313/36935, та Єдиного державного веб-порталу електронних послуг (Портал Дія) та його складових, визначених постановою Кабінету Міністрів України від 4 грудня 2019 р. № 1137 «Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг», а також з урахуванням вимог постанови Кабінету Міністрів України від 17 березня 2022 р. № 300 «Деякі питання забезпечення безперебійного функціонування системи надання електронних довірчих послуг», а також створення тесових середовищ зазначених систем, складовими частинами яких є засоби криптографічного захисту інформації (апаратно-програмні пристрої) типу «Гряда-301», «Гряда-301 (міні-пристрій)», «Бар’єр-301», IP-шифратор «Канал-301», IP-шифратор «Канал-401» та ключ електронний «Алмаз-1К».
Вирішення згаданого питання вбачається можливим за таких умов:
1. Наявність у апаратно-програмного пристрою експертного висновку за результатами державної експертизи у сферах криптографічного та технічного захисту інформації, у тому числі як засобу кваліфікованого електронного підпису;
2. Висока швидкість формування електронного підпису (не менше 6000 формувань/сек) та спільного секрету (не менше 750 формувань/сек) для кваліфікованого надавача електронних довірчих послуг «Дія» та не менше 1560 формувань/сек для інтегрованої системи електронної ідентифікації.
3. Автентифікація клієнтів захисту при підключенні до сервера, встановлення захищеного TCP-з'єднання з клієнтом в разі успішної автентифікації, встановлення відкритого TCP-з'єднання з сервером, прийом та розшифрування даних TCP-з'єднання від клієнта та передачі їх на сервер, прийом та шифрування даних TCP-з'єднання від сервера та передачі їх клієнту.
4. Підтримка кластерної архітектури, у тому числі, у територіально розподілених мережах.
5. Технічна сумісність з програмно-технічним комплексом кваліфікованого надавача електронних довірчих послуг «Дія» та інтегрованої системи електронної ідентифікації.
Згідно частини третьої статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
На етапі введення в експлуатацію програмно-технічного комплексу ІТС кваліфікованого надавача електронних довірчих послуг «Дія» (далі – Надавач), ІТС центрального засвідчувального органу (далі – ЦЗО) та інтегрованої системи електронної ідентифікації (далі – ІСЕІ) були чинними експертні висновки за результатами експертиз з галузях криптографічного захисту інформації (КЗІ) та технічного захисту інформації (ТЗІ), якими підтверджено коректність реалізації функцій КЗІ з урахуванням (направленого шифрування та електронного підпису) передбачених проектною документацією на системи визначеними засобам КЗІ.
Варто зазначити, що склад програмно-технічних комплексів Надавача та ІСЕІ у частині апаратних та програмних засобів передбачає засоби криптографічного захисту інформації (апаратно-програмні пристрої) типу «Гряда-301», «Гряда-301 (міні-пристрій)», «Бар’єр-301», IP-шифратор «Канал-301», IP-шифратор «Канал-401» та ключ електронний «Алмаз-1К», що зафіксовано в експлуатаційній документації на комплексні системи захисту інформації в ІТС Надавача (лист Науково-дослідного інституту «Автопром» про видачу атестата відповідності КСЗІ ІТС Надавача №11В від 14.04.2022), ІСЕІ (Атестат відповідності №23352 від 14.09.2021), ЦЗО (Атестат відповідності №23726 від 23.12.2021), Єдиного державний вебпортал електронних послуг «Портал Дія» (Атестат відповідності № 23064 від 10.06.2021). Відтак, модернізація систем передбачає повну технологічну сумісність із раніше прийнятими технологічними рішеннями.
Так, встановлення засобів криптографічного захисту інформації, не визначених експлуатаційною документацією на комплексні системи захисту інформації в ІТС Надавача, потребуватиме здійснення ряду заходів з внесення змін до самої експлуатаційної документації та подальшого проведення додаткових експертиз у сфері технічного захисту інформації комплексних систем захисту інформації ІТС Надавача.
Водночас, встановлення засобів криптографічного захисту інформації, не визначених експлуатаційною документацією, та використання ІТС до отримання нових атестатів відповідності за результатами додаткових експертиз у сфері технічного захисту інформації комплексної системи захисту інформації ІТС Надавача становить ризик несумісності роботи нових програмних засобів та витоку персональних даних ІТС Надавача.
Відповідно до вимог законодавства щодо здійснення криптографічного захисту інформації в державі, розробка засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів і національних стандартів у сфері КЗІ, а також державних стандартів розроблення та поставлення продукції на виробництво.
При цьому кожний засіб КЗІ створюється з чітко визначеною метою (гриф обмеження доступу до інформації, яка захищається, реалізація тих чи інших криптографічних алгоритмів та криптографічних протоколів, функціональне призначення тощо). Як правило, засоби КЗІ різних виробників не призначені для спільного (зустрічного) застосування, за винятком засобів КЗІ, що створюються за єдиними вимогами для використання в національній інфраструктурі відкритих ключів.
На теперішній час до таких вимог належать:
1) Постанова Кабінету Міністрів України від 07.11.2018 № 992 «Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг»;
2) Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 № 141 «Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації»;
3) Наказ Міністерства цифрової трансформації України та Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 30.09.2020 № 140/614, зареєстрований в Міністерстві юстиції України 22 жовтня 2020 р. за № 1039/35322 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг»;
4) Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 27.10.2020 № 687 «Про затвердження переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації», Зареєстровано в Міністерстві юстиції України 21 грудня 2020 р. за № 1272/35555.
Варто зазначити, що до єдиних вимог в контексті розробки апаратно-програмних модулів для забезпечення генерації та зберігання особистих ключів можна віднести лише Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 № 141 «Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації», який визначає єдині засади стосовно такої розробки та не висуває вимог щодо сумісності таких засобів, обов’язкових алгоритмів, протоколів та форматів.
У зв’язку з цим, було проведено порівняльний аналіз інформації про апаратно-програмні засоби КЗІ, які мають експертні висновки за результатами державної експертизи у галузі КЗІ, які представлено на офіційному веб-ресурсі Адміністрації Держспецзв’язку.
В ході аналізу будо визначено, що окрім обладнання, яке натепер входить до складу ІТС Надавача, ІТС ЦЗО та ІСЕІ виробництва ПрАТ «Інститут інформаційних технологій» (далі – АТ «ІІТ») «Гряда-301», «Гряда-301 (міні-пристрій)», «Бар’єр-301», IP-шифратор «Канал-301», IP-шифратор «Канал-401» та електронний ключ «Алмаз-1К» потенційними аналогами за цільовим та функціональним призначенням можуть розглядатись апаратно-програмні засоби КЗІ виробництва ТОВ «Автор» типу CryptoLine 3x8.
Проведено аналіз технічної документації та опису апаратно-програмних засобів КЗІ виробництва АТ «ІІТ» та ТОВ «Автор», найбільш близьких за призначенням та функціональними можливостями, наведених на офіційних сайтах виробників.
За результатами аналізу інформації, встановлено, що зазначені засоби КЗІ розроблені відповідно до різних технічних завдань та технічних умов:
- для Криптомодуля мережевого «Гряда-301»: технічне завдання ЄААД.469535.049 ТЗ, ТУ У 30.0-22723472-003:2008;
- для шлюзу захисту «Бар’єр-301»: технічне завдання ЄААД.469535.095, ТУ У 26.2-22723472-010:2020;
- для IP-шифратора «Канал-301»: технічне завдання ЄААД. 469535.090, ТУ У 26.2-22723472-010:2018;
- для IP-шифратора «Канал-401»: технічне завдання ЄААД. 469535.091, ТУ У 26.2-22723472-010:2018;
- для Модуля безпеки «CryptoLine 358»: технічне завдання АЧСА.467759.009, ТУ У 30.0-32248356-005:2006.
Функції генерації ключових даних та їх використання реалізовані за різними методиками, які проходять окреме погодження із Адміністрацією Держспецзв`язку під час розробки апаратно-програмних засобів КЗІ:
- для Криптомодуля мережевого «Гряда-301»: Методика генерації ключових даних, погоджена з Адміністрацією Держспецзв’язку (ЄААД.468244.020 Д1.05).
- для Модуля безпеки «CryptoLine 358»: Методика вироблення сеансового ключа, автентифікації, генерування випадкових послідовностей та контролю засобів криптографічного захисту інформації, погоджена з Адміністрацією Держспецзв’язку (АЧСА.460709.001).
У Таблиці 1 наведено дані щодо призначення та функціональних можливостей апаратно-програмних засобів КЗІ, які потенційно можуть використовуватись для модернізації програмно-технічного комплексу ІТС Надавача для забезпечення генерації та зберігання особистих ключів, забезпечення реалізації онлайн сервісів таких як обробка запитів користувачів на визначення статусу сертифіката (OCSP) та обробки запитів користувачів на формування позначки часу (TSP).

Таблиця 1
(таблиця наведена у файлі "Повідомлення про намір укласти договір ППЗ Криптозасоби.docx")

(також враховуючи обмеження по кількості символів для даного поля, більш розширена технічна інформація щодо обладнання, що буде закуплено в рамках даної закупівлі, наведена у файлі "Повідомлення про намір укласти договір ППЗ Криптозасоби.docx").

Документальне підтвердження обставин застосування переговорної процедури закупівлі:
1. Службова записка начальника відділу електронної ідентифікації Департаменту підтримки інтегрованих систем Анастасії Компанієць від 04.08.2022 № СЗ-117/10-05;
2. Експертний висновок Адміністрації Держспецзв’язку від 26.12.2017 № 04-3507 на криптомодуль мережний «Гряда-301»;
3. Експертний висновок Адміністрації Держспецзв’язку від 30.06.2020 № 1132 на криптомодуль мережний «Гряда-301»;
4. Експертний висновок Адміністрації Держспецзв’язку від 14.04.2021 № 04/05/02-997 на криптомодуль мережний «Гряда-301»;
5. Експертний висновок Харківської торгово-промислової палати від 12.01.2022 № 20/22 на криптомодуль мережний «Гряда-301».
6. Експертний висновок Адміністрації Держспецзв’язку від 15.05.2020 № 04/03/02-1191 на шлюз захисту «Бар’єр-301»;
7. Експертний висновок на шлюз Харківської Торгово-промислової палати від 01.02.2021 № 217-2/21 на шлюз захисту «Бар’єр-301»;
8. Експертний висновок Адміністрації Держспецзв’язку від 21.12.2018 № 04/03/02-4980 на ІР-шифратори «Канал-301» та «Канал-401»;
9. Експертний висновок Харківської торгово-промислової палати від 01.02.2021 № 217-4/21 на IP-шифратор «Канал-301»;
10. Експертний висновок Харківської торгово-промислової палати від 12.10.2021 № 2523/21 на IP-шифратор «Канал-401»;
11. Експертний висновок Адміністрації Держспецзв’язку від 30.06.2020 № 1131 на електронний ключ «Алмаз-1К»;
12. Експертний висновок Адміністрації Держспецзв’язку від 14.04.2021 № 04/05/02-995 на Ключ електронний «Алмаз-1К»;
13. Експертний висновок Адміністрації Держспецзв’язку від 14.04.2021 № 04/05/02-996 на Ключ електронний «Алмаз-1К»;
14. Експертний висновок на шлюз Харківської Торгово-промислової палати від 09.11.2021 № 2834-5/21 на ключ електронний «Алмаз-1К»;
15. Лист Науково-дослідного інституту «Автопром» про видачу атестата відповідності КСЗІ ІТС Надавача №11В від 14.04.2022;
16. Атестат відповідності КСЗІ ІСЕІ № 23352 від 14.09.2021;
17. Атестат відповідності КСЗІ ЦЗО № 23726 від 23.12.2021;
18. Атестат відповідності Портал Дія № 23064 від 10.06.2021;
19. Довідка заступника начальника відділу електронної ідентифікації Департаменту підтримки інтегрованих системи А.Костенка від 15.07.2022 щодо відсутності чинного експертного висновку на апаратно-програмний засіб CryptoLine 358.