Евросоюз: Готовится Исполнительный регламент Еврокомиссии, касающийся квалифицированных услуг электронного архивирования (2)

(Окончание, начало см. http://rusrim.blogspot.com/2025/12/1_01624974031.html )

Архивирование и безопасность криптографических средств 

Положения об обеспечении безопасности криптографических средств являются очень детальными и представляют собой, пожалуй, самый «технический» и строгий аспект нового регламента. Установленные требования весьма жёсткие:

• Когда поставщики доверенных услуг электронного архивирования (EATSP-поставщики) подписывают объекты и документы усиленной электронной подписью, то, с целью защиты ключа подписания (закрытого ключа), этот ключ должен храниться и использоваться исключительно внутри устройств, сертифицированных в соответствии с одной из следующих схем:
  
  
• Стандарт Common Criteria (ISO/IEC 15408) с сертификацией уровня EAL4 или выше;
  
  
• Европейская схема EUCC (основанная на Common Criteria) с сертификацией уровня EAL4 или выше;
  
  
• Американский стандарт FIPS 140-3 «Требования безопасности для криптографических модулей» (Security Requirements for Cryptographic Modules, см. https://csrc.nist.gov/pubs/fips/140-3/final ), уровень 3 (временно, до 31 декабря 2030 г.).
  
  
• EATSP-поставщики должны постоянно контролировать надежность используемых криптографических алгоритмов. Если, согласно оценке рисков, алгоритм перестает быть адекватным, то поставщик обязан обновить свои политики хранения или создать новые профили для управления пакетами для хранения информации (архивными информационными AIP-пакетами согласно терминологии OAIS).

Ключевым ориентиром являются согласованные криптографические механизмы, одобренные Европейской группой сертификации по кибербезопасности (European Cybersecurity Certification Group) и опубликованные Европейским агентством по кибербезопасности ENISA (European Network and Information Security Agency) – это документ «Согласованные криптографические механизмы» (Agreed Cryptographic Mechanisms, ACM, см. https://certification.enisa.europa.eu/document/download/a845662b-aee0-484e-9191-890c4cfa7aaa_en?filename=ECCG%20Agreed%20Cryptographic%20Mechanisms%20version%202.pdf ).

Как установить происхождение подлежащих архивированию данных

Требование об установлении происхождения подлежащих архивированию содержится в самом определении понятия «электронное архивирование». Если используются электронные подписи или электронные печати, то они должны быть квалифицированными, обеспечивая тем самым максимальный уровень надежности. В других случаях EATSP-поставщик определяет критерии, используемые для исполнения этого требования. 

Регламент требует проведения регулярных проверок безопасности сетевой инфраструктуры:

• сканирование на уязвимости - не реже одного раза в квартал;
  
  
• тесты на проникновение - не реже одного раза в год;
  
  
• настройка межсетевого экрана - он должен блокировать все протоколы и попытки доступа, не являющиеся необходимыми для работы сервиса.

Различные компоненты системы перед взаимодействием должны взаимно аутентифицировать друг друга с использованием криптографических методов.

Должна быть обеспечена надёжность времени событий архивирования. Если используются отметки времени, то должны использоваться квалифицированные подтверждения, выданные доверенными поставщиками в соответствии со стандартом ETSI EN 319 421 «Электронные подписи и инфраструктуры доверия - Требования политики и требования по безопасности к поставщикам услуг доверия, выдающим электронные отметки времени» (Electronic Signatures and Trust Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps).

EATSP-поставщики должны внедрить системы отслеживания и протоколирования событий, соответствующие стандарту ETSI EN 319 401 «Электронные подписи и инфраструктуры доверия: Общие требования к политике поставщиков доверенных услуг» (Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers) - как для критических, так и для некритических событий. Это обеспечивает возможность восстановления последовательности событий и проверки соответствия требованиям оперативной деятельности с течением времени, в том числе с учётом требований европейской директивы NIS2 (это Директива №2022/2555 Европейского парламента и Совета от 14 декабря 2022 года о мерах по обеспечению высокого общего уровня кибербезопасности во всем Евросоюзе - Н.Х.).

Часто упускаемым из виду, но очень важным элементом является план прекращения оказания услуг. Регламент требует от EATSP-поставщиков подготовки подробного плана, соответствующего требованиям подзаконных нормативных (имплементационных) актов, упомянутых в пункте 5 статьи 24 закона eIDAS. Тем самым обеспечивается, что даже в случае прекращения оказания услуг поставщиком хранимые данные могут быть безопасно переданы и сохранят свою целостность.

Последствия Исполнительного регламента

Данный Исполнительный регламент представляет собой всеобъемлющую и строгую концептуальную структуру, устанавливающую высокие стандарты безопасности и надежности для квалифицированных услуг электронного архивирования. Европейский подход отдаёт предпочтение сертификации на соответствие признанным международным стандартам, особенно выделяя «Общие критерии» и европейские схемы сертификации.

Исполнение всех этих требований требует от поставщиков услуг значительных инвестиций в сертифицированную инфраструктуру, квалифицированный персонал и в процессы непрерывного мониторинга. Такой уровень строгости, однако, необходим для обеспечения безопасного и надежного хранения электронных документов в течение длительного времени, с сохранением их доказательной силы и поддержания соответствия законодательно-нормативным требованиям.

Когда новый Регламент вступит в силу?

Документ будет опубликован в Официальном журнале Европейского Союза (Official Journal of the European Union) после перевода на национальные языки, и вступит в силу через 20 дней после публикации.

Данное обстоятельство должно послужить поводом для обновления разработанного итальянским агентством «Электронная Италия» (L'Agenzia per l'Italia Digitale, AgID) «Руководство по созданию, управлению и обеспечению сохранности электронных документов» (Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, см. https://www.agid.gov.it/sites/agid/files/2024-05/linee_guida_sul_documento_informatico.pdf ). Обновления должны учесть новые требования по кибербезопасности, предписываемые Директивой NIS2, согласованные с законом eIDAS, а также новые эксплуатационные требования, которые должны быть обновлены в приложениях к Руководству. Необходимо также обновить требования к поставщикам квалифицированных услуг доверия, в частности, требование к минимальному акционерному капиталу в размере 5 миллионов евро для подачи заявки на аккредитацию любого доверенного сервиса.

Запланированные обновления итальянского «Кодекса электронного правительства» (Codice dell’Amministrazione Digitale) также будут способствовать гармонизации норм Евросоюза и национального законодательства.

Джованни Манка (Giovanni Manca)

Источник: Онлайн-издание Agenda Digitale EU
https://www.agendadigitale.eu/documenti/archiviazione-elettronica-qualificata-europea-cosa-sapere-sul-regolamento-di-esecuzione/