Требования минкомсвязи к удостоверяющему центру. Удостоверяющие центры
МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
23.11.2011 №320
Об аккредитации удостоверяющих центров
Во исполнение пункта 3 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880)
кадровая документация, включая копии трудовых договоров работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей (с приложением должностных регламентов) и копии документов работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);
необходимые для осуществления предусматриваемой Федеральным законом об электронной подписи деятельности лицензии и иные разрешительные документы.
15. При проведении документарной проверки уполномоченный орган не вправе требовать у проверяемого УЦ сведения и документы, не относящиеся к предмету документарной проверки, а также сведения и документы, которые могут быть получены этим органом от иных органов государственного контроля (надзора), в том числе федерального органа исполнительной власти в области обеспечения безопасности, органов муниципального контроля.
V. Проведение выездной проверки
16. Предметом выездной проверки являются содержащиеся в документах УЦ сведения, а также соответствие их работников и технических средств УЦ, оказываемых УЦ услуг требованиям, установленным Федеральным законом об электронной подписи.
17. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения аккредитованного УЦ, и (или) по месту фактического осуществления деятельности УЦ.
18. Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений, содержащихся в документах УЦ, указанных в пункте 14 настоящего Порядка, подтверждающих его соответствие требованиям Федерального закона об электронной подписи или проверить выполнение УЦ требований предписания уполномоченного органа.
19. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами уполномоченного органа, обязательного ознакомления руководителя или иного должностного лица УЦ с приказом руководителя уполномоченного органа о назначении выездной проверки и с полномочиями проводящих выездную проверку лиц, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, составом экспертов, представителями экспертных организаций и, привлекаемых к выездной проверке, со сроками и с условиями ее проведения.
20. Руководитель, иное должностное лицо или уполномоченный представитель УЦ, обязаны предоставить должностным лицам уполномоченного органа, проводящим выездную проверку, возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц и участвующих в выездной проверке экспертов, представителей экспертных организаций на территорию, в используемые УЦ при осуществлении деятельности здания, строения, сооружения, помещения, к используемым УЦ техническим средствам и программному обеспечению.
21. Уполномоченный орган вправе привлекать к проведению выездной проверки аккредитованных УЦ экспертов, экспертные организации, не состоящие в гражданско-правовых и трудовых отношениях с юридическим лицом, индивидуальным предпринимателем, в отношении которых проводится проверка, и не являющиеся аффилированными лицами проверяемых лиц. К проведению выездной проверки аккредитованных УЦ могут также привлекаться сотрудники иных органов государственной власти в пределах их компетенции.
С целью подтверждения соответствия использования аккредитованным УЦ средств электронной подписи и средств удостоверяющего центра, требованиям технической и эксплуатационной документации, к проведению выездной проверки аккредитованных УЦ привлекаются сотрудники федерального органа исполнительной власти в области обеспечения безопасности.
VI. Итоги проведения проверки
22. По результатам проверки должностными лицами уполномоченного органа, составляется акт по установленной форме в двух экземплярах.
В акте проверки указываются:
1) дата, время и место составления акта проверки;
2) наименование уполномоченного органа;
3) дата и номер приказа руководителя уполномоченного органа;
4) фамилии, имена, отчества (при наличии) и должности должностного лица или должностных лиц, проводивших проверку;
5) наименование проверяемого аккредитованного УЦ, а также фамилия, имя, отчество и должность руководителя, иного должностного лица или уполномоченного представителя юридического лица, присутствовавших при проведении проверки;
6) дата, время, продолжительность и место (места) проведения проверки;=
7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований и требований, установленных муниципальными правовыми актами, об их характере и о лицах, допустивших указанные нарушения;
8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного должностного лица или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у юридического лица, индивидуального предпринимателя указанного журнала;
9) подписи должностного лица или должностных лиц, проводивших проверку.
23. Акт проверки оформляется непосредственно после ее завершения в двух экземплярах, один из которых с копиями приложений вручается руководителю, иному должностному лицу или уполномоченному представителю УЦ под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки.
В случае отсутствия руководителя, иного должностного лица или уполномоченного представителя УЦ, а также в случае отказа проверяемого лица дать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки акт направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле уполномоченного органа.
24. В случае выявления несоблюдения аккредитованными УЦ требований Федерального закона об электронной подписи уполномоченный орган по окончании проведения проверки выдает УЦ предписание об устранении нарушений в установленный срок и приостанавливает действие аккредитации УЦ на данный срок с внесением информации об этом в перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена.
25. В случае выявления неустранения нарушений УЦ в установленный в предписании срок, уполномоченный орган аннулирует аккредитацию УЦ, вносит соответствующую информацию в перечень удостоверяющих центров, аккредитация которых аннулирована и направляет в УЦ уведомление об аннулировании аккредитации с указанием причин.
В соответствии с подпунктом 1 части 2 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880).
В соответствии с пунктом 5 статьи 12 Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст. 3601; № 48, ст. 5711; № 52, ст. 6441; 2010, № 17, ст. 1988; № 18, ст. 21424 3 31, ст. 4160, ст. 4193, ст. 4196; № 32, ст. 4298; 2011, № 1, ст. 20; № 17, ст. 2310, № 23, ст. 3263; № 27, ст. 3880; № 30, ст. 4590; № 48, ст. 6728).
Федеральный закон от 30 декабря 2015 года № 445-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи»» ужесточил требования к деятельности удостоверяющих центров.
Эти изменения ожидались давно, поскольку вопросов к деятельности УЦ накопилось много. Можно выделить три группы изменений:
- Более подробно регламентирована процедура выпуска УЦ сертификата ключа проверки подписи;
- Уточнено содержание информации в сертификатах;
- Значительно увеличены требования к чистым активам УЦ и их финансовому обеспечению за убытки, причиненные третьим лицам.
Одновременно УЦ «осуществляет в соответствии с правилами подтверждения владения ключом электронной подписи подтверждение владения заявителем ключом электронной подписи, соответствующим ключу проверки электронной подписи, указанному им для получения сертификата ключа проверки электронной подписи».
Мой комментарий: Насколько эти требования усложнят работу удостоверяющих центров, реально можно будет оценить только после утверждения подзаконных нормативно-правовых актов и установления соответствующих требований к этой работе.
Обязанности удостоверяющего центра в этой связи расширены, и теперь он должен отказать заявителю в создании сертификата ключа проверки электронной подписи в случае:
- Если не было подтверждено то, что он владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному им для получения сертификата;
- Отрицательного результата проверки в реестре сертификатов уникальности ключа проверки электронной подписи, указанного им для получения сертификата.
Мой комментарий: Интересно, это только мне одной данная формулировка кажется непонятной?
Определен еще один важный момент. Теперь удостоверяющий центр вправе наделить третьих лиц (далее - доверенные лица) полномочиями только по вручению сертификатов от имени этого удостоверяющего центра (ранее УЦ имел право наделить полномочиями создавать сертификаты - Н.Х. ). При вручении сертификата доверенное лицо обязано установить личность получателя либо полномочия лица, выступающего от его имени.
Уточнено содержание сертификата ключа проверки электронной подписи (ст. 14), в котором должны быть указаны:
- Уникальный номер сертификата ключа проверки электронной подписи, даты начала и окончания срока действия такого сертификата;
- Уникальный ключ проверки электронной подписи.
- Не подтверждено, что владелец сертификата владеет ключом ЭП, соответствующим ключу проверки электронной подписи, указанному в таком сертификате;
- Установлено, что содержащийся в таком сертификате ключ проверки ЭП уже содержится в ином ранее созданном сертификате;
- Вступило в силу решение суда, которым, в частности, установлено, что сертификат содержит недостоверную информацию.
В статье 15. установлены новые требования к аккредитованным удостоверяющим центрам. Аккредитованный удостоверяющий центр:
- Для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром (п.2.1.).
- Обязан выполнять установленный порядок реализации функций и исполнения обязанностей в соответствии с утвержденными уполномоченным федеральным органом требованиями (п.5);
- Не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от его имени (п.6);
- Несет гражданско-правовую и/или административную ответственность в соответствии с законодательством РФ за неисполнение установленных обязанностей (п.7).
- Стоимость чистых активов удостоверяющего центра должна составлять 7 миллионов рублей (ранее требовалось - не менее чем 1 миллион рублей);
- Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки ЭП, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ – от 30 до 100 миллионов рублей . (ранее - не менее чем 1,5 миллиона рублей);
- Наличия у УЦ средств, позволяющих при обращении участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа и имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности (вступает в силу с 31 декабря 2016 года);
- Наличие у удостоверяющего центра порядка реализации функций удостоверяющего центра и исполнения его обязанностей;
Мой комментарий: Таким образом, все аккредитованные удостоверяющие центры будут обязаны подключиться к системе СМЭВ. Без этого они просто не смогут начать работу.
В статье 17 уточнено, какую информацию о владельце должен содержать квалифицированный сертификат.
- Для физического лица - фамилия, имя и отчество (если имеется);
- Для индивидуального предпринимателя - фамилия, имя, отчество (если имеется) и основной государственный регистрационный номер индивидуального предпринимателя - владельца квалифицированного сертификата;
- Для российского юридического лица - наименование, место нахождения и основной государственный регистрационный номер;
- Для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) - либо наименование, место нахождения, а также идентификационный номер налогоплательщика (при наличии).
Законом установлен запрет операторам следующих информационных систем требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах:
- Государственных и муниципальных информационных систем;
- Информационных систем, использование которых предусмотрено нормативными правовыми актами;
- Информационных систем общего пользования не вправе.
В статье 18 «Выдача квалифицированного сертификата» изменена процедура представления документов и информации в УЦ. После того, как заявитель предоставит в УЦ информацию, документы или их надлежащим образом заверенные копии. аккредитованный удостоверяющий центр с использованием инфраструктуры осуществляет проверку достоверности документов и сведений, представленных заявителем. Для заполнения квалифицированного сертификата аккредитованный УЦ запрашивает и получает из государственных информационных ресурсов:
- Выписку из единого государственного реестра юридических лиц в отношении заявителя - юридического лица;
- Выписку из единого государственного реестра индивидуальных предпринимателей в отношении заявителя - индивидуального предпринимателя;
- Выписку из Единого государственного реестра налогоплательщиков в отношении заявителя - иностранной организации.
Мой комментарий: Процедура выдачи сертификатов напрямую завязана на проверке и подтверждении достоверности информации и документов заявителей. Следует учитывать, что УЦ придется не только проводить проверки, но и тщательно документировать все процедуры, поскольку наверняка этот вопрос будет контролироваться, и за его нарушение УЦ будут привлекаться к ответственности.
Удостоверяющие центры, имеющие действующую аккредитацию на день вступления в силу новых законодательных норм, обязаны в течение одного года обеспечить соответствие новым требованиям, предъявляемым к аккредитованным удостоверяющим центрам (ст.2).
Чтобы получить неквалифицированный и квалифицированный сертификат электронной подписи, необходимо обратиться в один из удостоверяющих центров. Какие функции выполняют удостоверяющие центры и сколько времени займет получение сертификата?
Удостоверяющий центр (УЦ) - доверенная организация, которая имеет право выпускать сертификаты электронной подписи юридическим и физическим лицам. Работа УЦ лежит на пересечении юриспруденции, информационной безопасности и IT-технологий.
В обязанности УЦ входят следующее:
- удостоверить личность человека, который обратился за сертификатом электронной подписи,
- изготовить и выдать сертификат, в который включены данные о владельце сертификата и его открытый ключ проверки,
- управлять жизненным циклом сертификата (выпуск, приостановление, возобновление, окончание срока действия).
Какие виды подписей выдает УЦ?
Определены три вида подписи:
- простая,
- усиленная неквалифицированная,
Получать в УЦ необходимо последние две:
- за квалифицированной подписью нужно обращаться только в аккредитованный Минкомсвязью РФ удостоверяющий центр.
- за неквалифицированной — в УЦ, который связан с той информационной системой, где планируется применять подпись. Например, выдавать неквалифицированные сертификаты для торгов могут только УЦ, аккредитованные шестью федеральными электронными торговыми площадками. При этом УЦ может и не быть аккредитован в Минкомсвязи.
Требования к УЦ
От корректной работы УЦ зависит доверие ко всем сферам бизнеса, где применяются электронные подписи : электронные торги, информационные системы, отчетности. Поэтому ко всем УЦ накладываются серьезные технические и юридические требования.
Существует ряд показателей, по которым можно оценить удостоверяющий центр. Надежный УЦ:
- аккредитован Минкомсвязи РФ,
- является доверенным центром ФНС, ПФР, Росстата,
- имеет лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации,
- лицензию Центра по лицензированию, сертификации и защите государственной тайны ФСБ России,
- аккредитован на всех электронных торговых площадках госзакупок,
- долго работает
- имеет представителей в различных регионах России
- оказывает круглосуточную техподдержку
Сколько времени занимает получение сертификата подписи?
Сроки выпуска сертификата зависят от обеих сторон:
- от того, насколько быстро клиент подготовит все необходимые документы и оплатит выпуск сертификата,
- насколько быстро специалисты УЦ обработают заявку, проверят документы и удостоверят его личность.
В среднем получение сертификата занимает 1 рабочий день. В УЦ СКБ Контур есть услуга по срочному выпуску электронной подписи за 1 час после получения нужных документов.