Приказом Министерства связи и массовых коммуникаций от 5 октября 2011 года № 250 утвержден «Порядок формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров».
Надо сказать, что, среди многочисленных нормативных документов, которые мне приходится изучать, этот приказ я бы отнесла к числу самых странных. Прочитав сей нормативный акт не один раз, мне так и не удалось до конца понять, что же за хитрую штуку удумали в Минкомсвязи.
Итак, ведение реестра квалифицированных сертификатов включает в себя (п.4):
Так что, часть информации предполагается из базы «вычищать»? В таком случае получится, что действующий сертификат физического лица можно будет найти по СНИЛС, а истекший – уже нельзя!
Раздел «квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам» должен содержать десять обязательных полей (п.8), в том числе «идентификационный номер налогоплательщика владельца квалифицированного сертификата», в то время, как раздел «квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам, прекратившие свое действие» (п. 10) –пять обязательных полей, и там нет ИНН. Но если убрать ИНН, то поиск сертификата по названию организации обещает быть увлекательным, и чреватым ошибками.
Вызывают вопросы и положения, регламентирующие порядок внесения информации в соответствующие разделы реестра.
Насчет аннулированных сертификатов вообще полный туман. Во-первых, если в законе «Об электронной подписи» указаны причины прекращения действия сертификата ключа проверки электронной подписи, то аннулирование квалифицированного сертификата увязано с решение суда:
Не менее интересны правила предоставления информации из реестра квалифицированных сертификатов.
Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к реестру квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра (п.19).
Доступ заинтересованных лиц к информационной системе головного удостоверяющего центра с целью получения сведений из реестра квалифицированных сертификатов осуществляется с использованием единого портала государственных и муниципальных услуг (функций) на безвозмездной основе (п.20). Сразу же возникает вопрос о том, насколько это разумно – заставлять идти за этой информацией только через портал?
Аккредитованный удостоверяющий центр обязан предоставлять информацию предоставляется в форме выписки из реестра квалифицированных сертификатов и направлять её как почтовым отправлением, так и с использованием информационно-телекоммуникационных сетей (по выбору лица, обратившегося за получением информации из реестра квалифицированных сертификатов) (п.21).
Срок предоставления указанной информации не может превышать семи дней для направления информации почтовым отправлением и 24 часов для направления выписки посредством информационно-телекоммуникационных сетей. Интересно, на что персонал УЦ потратит эти 24 часа – будет каждый байт тряпочкой протирать? За это время ведь уже выйдет очередной список отозванных сертификатов…
Требования к сохранению информации
Информация, внесенная в реестр квалифицированных сертификатов, подлежит хранению в течение всего срока деятельности аккредитованного удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами Российской Федерации (п.5).
Вот этого я совершенно не понимаю: почему срок хранения информации о сертификатах привязан к сроку деятельности аккредитованного удостоверяющего центра? А если этими сертификатами подписаны документы длительного и постоянного срока хранения? И какой, уж простите за прямоту, дурак способен установить им более короткий срок хранения?
К сохранению информации предъявляются следующие требования:
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=122309
Надо сказать, что, среди многочисленных нормативных документов, которые мне приходится изучать, этот приказ я бы отнесла к числу самых странных. Прочитав сей нормативный акт не один раз, мне так и не удалось до конца понять, что же за хитрую штуку удумали в Минкомсвязи.
Итак, ведение реестра квалифицированных сертификатов включает в себя (п.4):
- внесение изменений в реестр квалифицированных сертификатов в случае изменения сведений;
- внесение в реестр квалифицированных сертификатов сведений о прекращении действия или об аннулировании квалифицированных сертификатов.
6. Реестр квалифицированных сертификатов состоит из следующих разделов:Обязательные поля данных для различных разделов отличаются. Так, раздел «квалифицированные сертификаты ключей проверки электронной подписи, выданные физическим лицам» (п.7) должен содержать восемь обязательных полей, в том числе «страховой номер индивидуального лицевого счета владельца квалифицированного сертификата», а раздел «квалифицированные сертификаты ключей проверки электронной подписи, выданные физическим лицам, прекратившие свое действие» – пять обязательных полей и там уже нет СНИЛС (п.9).
- квалифицированные сертификаты ключей проверки электронной подписи, выданные физическим лицам;
- квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам;
- квалифицированные сертификаты ключей проверки электронной подписи, выданные физическим лицам, прекратившие свое действие;
- квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам, прекратившие свое действие;
- аннулированные сертификаты ключей проверки электронной подписи, выданные физическим лицам;
- аннулированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам.
Так что, часть информации предполагается из базы «вычищать»? В таком случае получится, что действующий сертификат физического лица можно будет найти по СНИЛС, а истекший – уже нельзя!
Раздел «квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам» должен содержать десять обязательных полей (п.8), в том числе «идентификационный номер налогоплательщика владельца квалифицированного сертификата», в то время, как раздел «квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам, прекратившие свое действие» (п. 10) –пять обязательных полей, и там нет ИНН. Но если убрать ИНН, то поиск сертификата по названию организации обещает быть увлекательным, и чреватым ошибками.
Вызывают вопросы и положения, регламентирующие порядок внесения информации в соответствующие разделы реестра.
17. Информация о прекращении действия квалифицированного сертификата должна быть внесена удостоверяющим центром в соответствующий раздел реестра квалифицированных сертификатов в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия квалифицированного сертификата. Действие квалифицированного сертификата прекращается с момента внесения записи об этом в реестр квалифицированных сертификатов.В такой формулировке получается, что в некоторых случаях допускается не обновлять реестр неделю (!), - например, если информация о прекращении действия поступит 31 декабря, то внести её в реестр можно будет и 10 января! Думаю, сообщество киберпреступников должно поставить авторам документа бутылку хорошего коньяка :)
Насчет аннулированных сертификатов вообще полный туман. Во-первых, если в законе «Об электронной подписи» указаны причины прекращения действия сертификата ключа проверки электронной подписи, то аннулирование квалифицированного сертификата увязано с решение суда:
18. Запись об аннулировании квалифицированного сертификата в соответствующий раздел реестра квалифицированных сертификатов должна быть внесена удостоверяющим центром в реестр квалифицированных сертификатов в течение не более чем одного рабочего дня с момента вступления решения суда, явившемся основанием для аннулирования, в законную силу. Квалифицированный сертификат считается аннулированным с момента внесения указанной записи в реестр квалифицированных сертификатов.Если аннулирование сертификата затеять через суд, это случится, вполне вероятно, годика через два, - когда будут пройдены все инстанции, а вопрос уже давно потеряет актуальность.
Не менее интересны правила предоставления информации из реестра квалифицированных сертификатов.
Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к реестру квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра (п.19).
Доступ заинтересованных лиц к информационной системе головного удостоверяющего центра с целью получения сведений из реестра квалифицированных сертификатов осуществляется с использованием единого портала государственных и муниципальных услуг (функций) на безвозмездной основе (п.20). Сразу же возникает вопрос о том, насколько это разумно – заставлять идти за этой информацией только через портал?
Аккредитованный удостоверяющий центр обязан предоставлять информацию предоставляется в форме выписки из реестра квалифицированных сертификатов и направлять её как почтовым отправлением, так и с использованием информационно-телекоммуникационных сетей (по выбору лица, обратившегося за получением информации из реестра квалифицированных сертификатов) (п.21).
Срок предоставления указанной информации не может превышать семи дней для направления информации почтовым отправлением и 24 часов для направления выписки посредством информационно-телекоммуникационных сетей. Интересно, на что персонал УЦ потратит эти 24 часа – будет каждый байт тряпочкой протирать? За это время ведь уже выйдет очередной список отозванных сертификатов…
Требования к сохранению информации
Информация, внесенная в реестр квалифицированных сертификатов, подлежит хранению в течение всего срока деятельности аккредитованного удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами Российской Федерации (п.5).
Вот этого я совершенно не понимаю: почему срок хранения информации о сертификатах привязан к сроку деятельности аккредитованного удостоверяющего центра? А если этими сертификатами подписаны документы длительного и постоянного срока хранения? И какой, уж простите за прямоту, дурак способен установить им более короткий срок хранения?
К сохранению информации предъявляются следующие требования:
14. Аккредитованный удостоверяющий центр обеспечивает защиту информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий в течение всего срока своей деятельности.Источник: Консультант+
15. Хранение информации, содержащейся в Реестре, должно осуществляться в форме, позволяющей проверить ее целостность и достоверность.
16. Для предотвращения утраты сведений о квалифицированных сертификатах, содержащихся в реестре, формируется его резервная копия.
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=122309
Вредители.
ОтветитьУдалитьА использовать хотя бы формулировки нового ГОСТа по длительному хранению электронных документов?
ОтветитьУдалитьНасколько понимаю, он уже подготовлен...
Я мыслю так - можно было подзаконным НПА попытаться либо подправить изрядную кривизну исходного закона (но для этого надо понимать что именно править), либо выпустить подзаконный НПА в русле самого ФЗ-63 (что и было сделано) - вот и получили - формальный документ на проч оторванный и от техники и от возможности им пользоваться в жизни.
ОтветитьУдалитьПетр, полностью с Вами согласен, все делают для себя.
ОтветитьУдалить