Kontakter      Om nettstedet
hjem Kontantløst

Krav fra departementet for tele- og massekommunikasjon til et sertifiseringssenter. Sertifiseringsmyndigheter

DEN RUSSISKE FØDERASJONS KOMMUNIKASJONSMINISTERIET OG MASSEKOMMUNIKASJON

REKKEFØLGE

23.11.2011 №320

Om akkreditering av sertifiseringssentre

I henhold til paragraf 3 i del 4 av artikkel 8 i den føderale loven av 6. april 2011 nr. 63-FZ "Om elektroniske signaturer" (Den russiske føderasjonens innsamlede lovgivning, 2011, nr. 15, art. 2036; nr. 27 , Art. 3880)

personaldokumentasjon, inkludert kopier av ansettelseskontrakter til ansatte som er direkte involvert i opprettelse og utstedelse av sertifikater av nøkler for verifisering av elektroniske signaturer (med vedlegg av stillingsbestemmelser) og kopier av dokumenter til ansatte som er direkte involvert i opprettelse og utstedelse av nøkkelsertifikater for verifisering av elektroniske signaturer på høyere profesjonell utdanning innen informasjonsteknologi eller informasjonssikkerhet (et standard statlig vitnemål) eller kopier av dokumenter som bekrefter omskolering eller avansert opplæring om bruk av en elektronisk signatur (et standardsertifikat);

lisenser og andre tillatelser som er nødvendige for å utføre aktivitetene fastsatt av den føderale loven om elektroniske signaturer.

15. Ved gjennomføring av dokumentkontroll har det autoriserte organet ikke rett til å kreve fra den inspiserte CA opplysninger og dokumenter som ikke er relatert til gjenstanden for dokumentkontrollen, samt opplysninger og dokumenter som kan mottas av dette organet. fra andre statlige kontrollorganer (tilsynsorganer), inkludert det føderale utøvende organet innen sikkerhet, kommunale kontrollorganer.

V.Gjennomføre en inspeksjon på stedet

16. Emnet for inspeksjonen på stedet er informasjonen i dokumentene til CA, samt overholdelse av deres ansatte og tekniske midler til CA, tjenestene levert av CA med kravene fastsatt av føderal lov på elektroniske signaturer.

17. En inspeksjon på stedet (både planlagt og ikke-planlagt) utføres på stedet til den akkrediterte CA, og (eller) på stedet for faktisk gjennomføring av CAs aktiviteter.

18. En inspeksjon på stedet utføres hvis det under en dokumentinspeksjon ikke er mulig å verifisere fullstendigheten og nøyaktigheten til informasjonen i CA-dokumentene spesifisert i paragraf 14 i denne prosedyren, og bekrefter at den er i samsvar med kravene i den føderale loven om elektroniske signaturer eller for å verifisere CAs overholdelse av kravene i instruksjonene til det autoriserte organet.

19. En inspeksjon på stedet begynner med fremvisning av en offisiell identifikasjon av tjenestemenn fra det autoriserte organet, obligatorisk kjennskap til lederen eller annen tjenestemann i CA med ordre fra lederen av det autoriserte organet om utnevnelse av en på -inspeksjon på stedet og myndighetene til personene som utfører inspeksjonen på stedet, samt mål, mål og grunnlag for å gjennomføre en stedlig inspeksjon, typer og volum av kontrolltiltak, sammensetning av eksperter, representanter for ekspertorganisasjoner og de som er involvert i inspeksjonen på stedet, med vilkår og betingelser for oppførselen.

20. Lederen, annen offisiell eller autorisert representant for CA er forpliktet til å gi tjenestemenn i det autoriserte organet som gjennomfører inspeksjonen på stedet muligheten til å gjøre seg kjent med dokumenter knyttet til målene, målene og emnet for inspeksjonen på stedet , samt gi tilgang til tjenestemenn som utfører inspeksjon på stedet og deltar i inspeksjon på stedet av eksperter, representanter for ekspertorganisasjoner til territoriet, til bygninger, strukturer, strukturer, lokaler som brukes av CA for å utføre sine aktiviteter , til de tekniske midlene og programvaren som brukes av CA.

21. Det autoriserte organet har rett til å involvere i gjennomføringen av en inspeksjon på stedet eksperter akkreditert av CA, ekspertorganisasjoner som ikke er i sivilrett og arbeidsforhold med den juridiske enheten, individuell entreprenør som inspeksjonen utføres for ut, og er ikke tilknyttede personer til de inspiserte personene. Ansatte i andre offentlige organer innenfor deres kompetanse kan også være involvert i å gjennomføre inspeksjoner på stedet av akkrediterte CAer.

For å bekrefte samsvar med bruken av elektroniske signaturverktøy og sertifiseringssenterverktøy av en akkreditert CA med kravene til teknisk og operasjonell dokumentasjon, er ansatte i det føderale utøvende organet innen sikkerhet involvert i å gjennomføre en inspeksjon på stedet av akkrediterte CAer.

VI. Resultater av kontrollen

22. Basert på resultatene av inspeksjonen av tjenestemenn fra det autoriserte organet, utarbeides en handling i den foreskrevne formen i to eksemplarer.

Inspeksjonsrapporten skal angi:

1) dato, klokkeslett og sted for utarbeidelse av inspeksjonsrapporten;

2) navnet på det autoriserte organet;

3) dato og nummer på ordren til lederen av det autoriserte organet;

4) etternavn, fornavn, patronymer (hvis noen) og posisjoner til tjenestemannen eller tjenestemennene som utførte inspeksjonen;

5) navnet på den akkrediterte CA som inspiseres, samt etternavn, fornavn, patronym og stilling til lederen, annen offisiell eller autorisert representant for den juridiske enheten til stede under inspeksjonen;

6) dato, klokkeslett, varighet og sted(er) for inspeksjonen;=

7) informasjon om resultatene av inspeksjonen, inkludert om identifiserte brudd på obligatoriske krav og krav fastsatt av kommunale rettsakter, om deres art og om personene som har begått disse bruddene;

8) informasjon om kjennskap til eller nektelse av å gjøre seg kjent med inspeksjonsrapporten til lederen, annen offisiell eller autorisert representant for en juridisk enhet, individuell gründer, hans autoriserte representant til stede under inspeksjonen, tilstedeværelsen av deres signaturer eller nektelse av å signere, også som informasjon om å føre en oppføring i revisjonsloggen om inspeksjonen som er utført eller om umuligheten av å gjøre en slik oppføring på grunn av fraværet av den spesifiserte loggen hos den juridiske enheten eller den enkelte gründeren;

9) underskrifter fra tjenestemannen eller tjenestemennene som utførte inspeksjonen.

23. Inspeksjonsrapporten utarbeides umiddelbart etter utfylling i to eksemplarer, hvorav det ene med kopier av vedleggene overleveres til lederen, annen tjenestemann eller autorisert representant for CA mot kvittering for kjennskap eller nektelse av kjennskap til inspeksjonsrapport.

Ved fravær av en leder, annen offisiell eller autorisert representant for CA, samt i tilfelle den inspiserte nekter å gi kvittering for kjennskap eller nekter å gjøre seg kjent med inspeksjonsrapporten, sendes handlingen pr. post med forespurt returkvittering, som er vedlagt kopi av inspeksjonsrapporten som er lagret i tilfelle av autorisert organ.

24. Hvis det oppdages at akkrediterte CAer ikke overholder kravene i den føderale loven om elektroniske signaturer, gir det autoriserte organet, etter fullført inspeksjon, til CA en ordre om å eliminere brudd innen en spesifisert periode og suspenderer akkrediteringen av CA for denne perioden, med informasjon om dette inkludert i listen over akkrediterte sertifiseringssentre hvis akkreditering er suspendert.

25. Hvis det oppdages at brudd fra CA ikke har blitt eliminert innen tidsperioden fastsatt i bestillingen, vil det autoriserte organet kansellere akkrediteringen av CA, legge inn relevant informasjon i listen over sertifiseringssentre hvis akkreditering er kansellert og send CA en melding om kansellering av akkreditering som angir årsakene.

I samsvar med første ledd i del 2 av artikkel 8 i den føderale loven av 6. april 2011 nr. 63-FZ "Om elektronisk signatur" (Samlet lovgivning i Den russiske føderasjonen, 2011, nr. 15, art. 2036; nr. 27, art. 3880).

I samsvar med paragraf 5 i artikkel 12 i den føderale loven av 26. desember 2008 nr. 294-FZ "Om beskyttelse av rettighetene til juridiske personer og individuelle entreprenører under utøvelse av statlig kontroll (tilsyn) og kommunal kontroll" (Samlet Lovgivningen, 2008, art. 4263; , Art. 4590;

Føderal lov nr. 445-FZ av 30. desember 2015 "Om endringer i den føderale loven "om elektroniske signaturer"" har skjerpet kravene til sertifiseringssentres aktiviteter.

Disse endringene har vært forventet i lang tid, siden mange spørsmål har samlet seg angående CAs virksomhet. Tre grupper av endringer kan skilles:

  • Prosedyren for å utstede et signaturverifiseringsnøkkelsertifikat av en CA er regulert mer detaljert;

  • Innholdet i opplysninger i sertifikater er avklart;

  • Kravene til CAs netto eiendeler og deres økonomiske støtte for tap forårsaket av tredjeparter er betydelig økt.
Først av alt, artikkel 13 "Sertifiseringsinstans" klargjør at CA ikke bare "oppretter sertifikater for verifiseringsnøkler for elektronisk signatur og utsteder slike sertifikater til personer som søker om dem (søkere)" - den gjør dette "underlagt mottakerens identifikasjon av sertifikatet (søkeren) eller myndigheten til en person som handler på vegne av søkeren til å søke om dette sertifikatet."

Samtidig «utfører CA, i samsvar med reglene for bekreftelse av eierskap til en elektronisk signaturnøkkel, bekreftelse av søkerens besittelse av en elektronisk signaturnøkkel tilsvarende den elektroniske signaturverifiseringsnøkkelen spesifisert av ham for å få en elektronisk signatur bekreftelsesnøkkelsertifikat."

Min kommentar: I hvilken grad disse kravene vil komplisere arbeidet til sertifiseringssentre kan kun vurderes realistisk etter godkjenning av vedtekter og etablering av hensiktsmessige krav for dette arbeidet.

Ansvaret til sertifiseringssenteret i denne forbindelse er utvidet, og nå må det nekte søkeren å opprette et verifikasjonsnøkkelsertifikat for elektronisk signatur i følgende tilfeller:

  • Hvis det ikke er bekreftet at han eier den elektroniske signaturnøkkelen, som tilsvarer den elektroniske signaturverifiseringsnøkkelen spesifisert av ham for å få sertifikatet;

  • Et negativt resultat av å sjekke i sertifikatregisteret unikheten til den elektroniske signaturverifiseringsnøkkelen spesifisert av ham for å få sertifikatet.
Det er forbudt å angi i sertifikatet opprettet av CA den elektroniske signaturverifiseringsnøkkelen, "som er inneholdt i det elektroniske signaturverifiseringsnøkkelsertifikatet utstedt til dette sertifiseringssenteret av et annet sertifiseringssenter" (klausul 2.1).

Min kommentar: Jeg lurer på om jeg er den eneste som synes denne formuleringen er uforståelig?

Et annet viktig punkt er identifisert. Nå har sertifiseringssenteret rett til å gi tredjeparter (heretter kalt fullmakter) fullmakter kun ved fremvisning av attester på vegne av denne sertifiseringsmyndigheten ( Tidligere hadde CA rett til å tildele fullmakter skape sertifikater - N.H.). Ved levering av sertifikat plikter den autoriserte personen å fastslå identiteten til mottakeren eller myndigheten til den som handler på hans vegne.

Innholdet i det elektroniske signaturverifiseringsnøkkelsertifikatet er avklart (artikkel 14), som må angi:

  • Det unike nummeret til det elektroniske signaturverifiseringsnøkkelsertifikatet, start- og sluttdatoene for et slikt sertifikat;

  • Unik verifiseringsnøkkel for elektronisk signatur.
Sertifiseringssenteret tilbakekaller nøkkelsertifikatet for elektronisk signaturverifisering i tilfeller der (klausul 6.1):
  • Det er ikke bekreftet at eieren av sertifikatet eier den digitale signaturnøkkelen som tilsvarer den elektroniske signaturverifiseringsnøkkelen spesifisert i et slikt sertifikat;

  • Det er fastslått at den elektroniske signaturverifiseringsnøkkelen i et slikt sertifikat allerede er inneholdt i et annet tidligere opprettet sertifikat;

  • En rettsavgjørelse trådte i kraft, som særlig slo fast at attesten inneholdt falske opplysninger.
Perioden CA skal legge inn opplysninger om oppsigelse av sertifikatet er redusert. Hvis tidligere opplysninger måtte føres inn i registeret innen én virkedag fra datoen for inntreffet av omstendighetene som førte til oppsigelse av sertifikatet, må opplysningene nå legges inn " innen tolv timer fra tidspunktet for inntreffet av omstendighetene spesifisert i del 6 og 6.1 i denne artikkelen, eller innen tolv timer fra det øyeblikket da sertifiseringssenteret ble oppmerksom på eller burde ha blitt oppmerksom på at slike omstendigheter inntrådte» (klausul 7).

Artikkel 15 etablerer nye krav til akkrediterte sertifiseringssentre. Akkreditert sertifiseringssenter:

  • For å signere kvalifiserte sertifikater på egne vegne, må han bruke en kvalifisert elektronisk signatur basert på et kvalifisert sertifikat utstedt til ham av hovedsertifiseringsmyndigheten (klausul 2.1.).

  • Forpliktet til å følge den etablerte prosedyren for å implementere funksjoner og utføre oppgaver i samsvar med kravene godkjent av det autoriserte føderale organet (klausul 5);

  • Har ikke rett til å gi tredjeparter fullmakt til å opprette nøkler for kvalifiserte elektroniske signaturer og kvalifiserte sertifikater på hans vegne (klausul 6);

  • Bærer sivilt og/eller administrativt ansvar i samsvar med lovgivningen i Den russiske føderasjonen for manglende oppfyllelse av etablerte plikter (klausul 7).
Betingelsene for CA-akkreditering er betydelig endret, som vil bli utført i henhold til følgende nye krav:
  • Nettoaktivaverdien til sertifiseringsmyndigheten må være 7 millioner rubler(tidligere var det nødvendig - ikke mindre enn 1 million rubler);

  • Tilgjengelighet av økonomisk sikkerhet for ansvar for tap forårsaket av tredjeparter som følge av deres tillit til informasjonen spesifisert i sertifikatet for elektronisk signaturverifiseringsnøkkel utstedt av en slik CA, eller informasjon i sertifikatregisteret som vedlikeholdes av en slik CA – fra 30 til 100 millioner rubler. (tidligere - ikke mindre enn 1,5 millioner rubler);

  • Tilgjengelighet ved CA av midler som gjør det mulig, ved søknad til en deltaker i elektronisk interaksjon, å etablere og bekrefte gyldigheten av et kvalifisert sertifikat på tidspunktet for signering av et elektronisk dokument med en elektronisk signatur og ha bekreftelse på samsvar med kravene fastsatt av det føderale utøvende organet innen sikkerhet (i kraft fra 31. desember 2016);

  • Sertifiseringssenteret har en prosedyre for å implementere funksjonene til sertifiseringssenteret og utføre sine oppgaver;
Etter å ha mottatt et akkrediteringssertifikat, er CA forpliktet til å koble informasjonssystemet sitt til informasjonsteknologien og kommunikasjonsinfrastrukturen på den måten som er etablert i samsvar med del 4 av artikkel 19 i den føderale loven av 27. juli 2010 nr. 210-FZ “På organiseringen av ytingen av statlige og kommunale tjenester» . Og først etter dette vil det autoriserte føderale organet utstede til CA et kvalifisert sertifikat opprettet ved hjelp av midlene til hovedsertifiseringssenteret (Del 5).

Min kommentar: Dermed vil alle akkrediterte sertifiseringssentre være pålagt å koble seg til SMEV-systemet. Uten dette vil de rett og slett ikke kunne begynne å jobbe.

Artikkel 17 klargjør hvilke opplysninger om eieren som skal finnes i et kvalifisert sertifikat.

  • For en person - etternavn, fornavn og patronym (hvis noen);

  • For en individuell gründer - etternavn, fornavn, patronym (hvis noen) og hovedregistreringsnummeret til den enkelte gründer - eieren av det kvalifiserte sertifikatet;

  • For en russisk juridisk enhet - navn, plassering og hovedstatens registreringsnummer;

  • For en utenlandsk organisasjon (inkludert filialer, representasjonskontorer og andre separate divisjoner av en utenlandsk organisasjon) - enten navn, beliggenhet og skattebetalers identifikasjonsnummer (hvis tilgjengelig).
Min kommentar: Hvis det tidligere bare ble etablert krav for innehavere av et kvalifisert sertifikat for enkeltpersoner og juridiske enheter, er det nå krav separat etablert for individuelle gründere, russiske juridiske enheter og utenlandske organisasjoner

Loven forbyr operatører av følgende informasjonssystemer å kreve at et kvalifisert sertifikat inneholder informasjon som begrenser bruken i andre informasjonssystemer:

  • Statlige og kommunale informasjonssystemer;

  • Informasjonssystemer, hvis bruk er fastsatt i regulatoriske rettsakter;

  • Offentlige informasjonssystemer er ikke berettiget.
Min kommentar: På lovnivå er det forsøkt å ensrette kvalifiserte sertifikater slik at elektroniske signaturer kan brukes i alle informasjonssystemer uten begrensninger. Kun rettshåndhevelsespraksis vil vise i hvilken grad dette kravet vil bli oppfylt.

Artikkel 18 "Utstedelse av et kvalifisert sertifikat" endrer prosedyren for å sende inn dokumenter og informasjon til CA. Etter at søkeren gir CA informasjon, dokumenter eller behørig bekreftede kopier av disse. Et akkreditert sertifiseringssenter, ved hjelp av infrastruktur, verifiserer nøyaktigheten av dokumenter og informasjon gitt av søkeren. For å fylle ut et kvalifisert sertifikat ber en akkreditert CA om og mottar fra statlige informasjonsressurser:

  • Et utdrag fra det enhetlige statlige registeret over juridiske personer i forhold til søkeren - en juridisk enhet;

  • Et utdrag fra det enhetlige statlige registeret over individuelle gründere i forhold til søkeren - individuell gründer;

  • Et utdrag fra Unified State Register of Taxpayers i forhold til søkeren - en utenlandsk organisasjon.
Hvis informasjonen som mottas bekrefter nøyaktigheten av informasjonen som er gitt av søkeren, og CA har etablert identiteten til søkeren - en enkeltperson eller mottatt bekreftelse på myndighetene til personen som handler på vegne av søkeren - en juridisk enhet, CA utfører prosedyren for å opprette og utstede et kvalifisert sertifikat. Ellers nekter CA å utstede det.

Min kommentar: Prosedyren for å utstede sertifikater er direkte knyttet til å kontrollere og bekrefte nøyaktigheten av informasjon og dokumenter fra søkere. Det bør tas i betraktning at CA ikke bare må utføre inspeksjoner, men også nøye dokumentere alle prosedyrer, siden dette problemet mest sannsynlig vil bli overvåket, og CA vil bli holdt ansvarlig for brudd.

Sertifiseringssentre som har gyldig akkreditering den dagen de nye lovnormene trer i kraft, er forpliktet innen ett år sikre overholdelse av de nye kravene for akkrediterte sertifiseringssentre (artikkel 2).

For å få et ukvalifisert og kvalifisert elektronisk signatursertifikat må du kontakte et av sertifiseringssentrene. Hvilke funksjoner utfører sertifiseringsmyndighetene og hvor lang tid vil det ta å få et sertifikat?

Certification Authority (CA) er en pålitelig organisasjon som har rett til å utstede elektroniske signatursertifikater lovlig Og fysisk personer. Arbeidet til CA ligger i skjæringspunktet mellom rettsvitenskap, informasjonssikkerhet og IT-teknologi.

CAs ansvar inkluderer følgende:

  • bekrefte identiteten til personen som søkte om et elektronisk signatursertifikat,
  • produsere og utstede et sertifikat som inneholder informasjon om sertifikateieren og hans offentlige bekreftelsesnøkkel,
  • administrere sertifikatets livssyklus (utstedelse, suspensjon, fornyelse, utløp).

Hvilke typer signaturer utsteder CA?

Tre typer signatur er definert:

  • enkel,
  • forsterket ufaglærte,

Du må motta de to siste fra CA:

  • For en kvalifisert signatur må du kun søke til et sertifiseringssenter akkreditert av departementet for telekom og massekommunikasjon i den russiske føderasjonen.
  • for ukvalifiserte - i CA, som er koblet til informasjonssystemet der det er planlagt å bruke signaturen. For eksempel kan bare CAer akkreditert av seks føderale elektroniske handelsplattformer utstede ukvalifiserte sertifikater for handel. Samtidig kan CA ikke være akkreditert av departementet for tele- og massekommunikasjon.

Krav til CA

Tillit på alle områder av virksomheten der de brukes avhenger av korrekt drift av CA. elektroniske signaturer: elektronisk handel, informasjonssystemer, rapportering. Derfor stilles det alvorlige tekniske og juridiske krav til alle CAer.

Det finnes en rekke indikatorer som du kan bruke til å evaluere et sertifiseringssenter. Pålitelig CA:

  • akkreditert av departementet for telekom og massekommunikasjon i den russiske føderasjonen,
  • er et pålitelig senter for Federal Tax Service, Pensjonsfondet i Russland, Rosstat,
  • har lisens fra FSTEC for aktiviteter knyttet til teknisk beskyttelse av konfidensiell informasjon,
  • lisens fra Senter for lisensiering, sertifisering og beskyttelse av statshemmeligheter til FSB i Russland,
  • akkreditert på alle elektroniske handelsplattformer for offentlige anskaffelser,
  • fungerer lenge
  • har representanter i ulike regioner i Russland
  • gir 24/7 teknisk støtte

Hvor lang tid tar det å motta et signeringssertifikat?

Tidspunktet for sertifikatutstedelsen avhenger av begge parter:

  • om hvor raskt klienten forbereder alle nødvendige dokumenter og betaler for utstedelse av sertifikatet,
  • Hvor raskt vil CA-spesialister behandle søknaden, sjekke dokumenter og bekrefte identiteten hans.

I gjennomsnitt tar det 1 virkedag å motta et sertifikat. SKB Kontur opplæringssenter har en tjeneste for hasteutstedelse av elektronisk signatur innen 1 time etter mottak av nødvendige dokumenter.

Del med venner eller spar selv:

Laster inn...
Vi anbefaler artikler om emnet
Stillingsbeskrivelse for en merchandiser Hva en merchandiser bør gjøre
Stillingsbeskrivelse for en merchandiser Hva en merchandiser bør gjøre
Logistikkkostnader og deres refleksjon i regnskap
Logistikkkostnader og deres refleksjon i regnskap
Utvikling av boktrykk i Russland
Utvikling av boktrykk i Russland