четверг, 11 февраля 2016 г.

Ужесточены требования к деятельности удостоверяющих центров


Федеральный закон от 30 декабря 2015 года № 445-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи»» ужесточил требования к деятельности удостоверяющих центров.

Эти изменения ожидались давно, поскольку вопросов к деятельности УЦ накопилось много. Можно выделить три группы изменений:
  • Более подробно регламентирована процедура выпуска УЦ сертификата ключа проверки подписи;

  • Уточнено содержание информации в сертификатах;

  • Значительно увеличены требования к чистым активам УЦ и их финансовому обеспечению за убытки, причиненные третьим лицам.
Прежде всего, в статье 13 «Удостоверяющий центр» уточнено, что УЦ не просто «создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям)», - он осуществляет это «при условии установления личности получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата».

Одновременно УЦ «осуществляет в соответствии с правилами подтверждения владения ключом электронной подписи подтверждение владения заявителем ключом электронной подписи, соответствующим ключу проверки электронной подписи, указанному им для получения сертификата ключа проверки электронной подписи».

Мой комментарий: Насколько эти требования усложнят работу удостоверяющих центров, реально можно будет оценить только после утверждения подзаконных нормативно-правовых актов и установления соответствующих требований к этой работе.

Обязанности удостоверяющего центра в этой связи расширены, и теперь он должен отказать заявителю в создании сертификата ключа проверки электронной подписи в случае:
  • Если не было подтверждено то, что он владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному им для получения сертификата;

  • Отрицательного результата проверки в реестре сертификатов уникальности ключа проверки электронной подписи, указанного им для получения сертификата.
Запрещается указывать в создаваемом УЦ сертификате ключ проверки электронной подписи, «который содержится в сертификате ключа проверки электронной подписи, выданном этому удостоверяющему центру любым другим удостоверяющим центром» (п.2.1).

Мой комментарий: Интересно, это только мне одной данная формулировка кажется непонятной?

Определен еще один важный момент. Теперь удостоверяющий центр вправе наделить третьих лиц (далее - доверенные лица) полномочиями только по вручению сертификатов от имени этого удостоверяющего центра (ранее УЦ имел право наделить полномочиями создавать сертификаты - Н.Х.). При вручении сертификата доверенное лицо обязано установить личность получателя либо полномочия лица, выступающего от его имени.

Уточнено содержание сертификата ключа проверки электронной подписи (ст. 14), в котором должны быть указаны:
  • Уникальный номер сертификата ключа проверки электронной подписи, даты начала и окончания срока действия такого сертификата;

  • Уникальный ключ проверки электронной подписи.
Удостоверяющий центр аннулирует сертификат ключа проверки электронной подписи в случаях, если (п.6.1):
  • Не подтверждено, что владелец сертификата владеет ключом ЭП, соответствующим ключу проверки электронной подписи, указанному в таком сертификате;

  • Установлено, что содержащийся в таком сертификате ключ проверки ЭП уже содержится в ином ранее созданном сертификате;

  • Вступило в силу решение суда, которым, в частности, установлено, что сертификат содержит недостоверную информацию.
Сокращен срок, в течении которого УЦ должен внести информацию о прекращении действия сертификата. Если раньше информация в реестр должна была быть внесена в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия сертификата, то теперь информация должна быть внесена «в течение двенадцати часов с момента наступления обстоятельств, указанных в частях 6 и 6.1 настоящей статьи, или в течение двенадцати часов с момента, когда удостоверяющему центру стало известно или должно было стать известно о наступлении таких обстоятельств» (п.7).

В статье 15. установлены новые требования к аккредитованным удостоверяющим центрам. Аккредитованный удостоверяющий центр:
  • Для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром (п.2.1.).

  • Обязан выполнять установленный порядок реализации функций и исполнения обязанностей в соответствии с утвержденными уполномоченным федеральным органом требованиями (п.5);

  • Не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от его имени (п.6);

  • Несет гражданско-правовую и/или административную ответственность в соответствии с законодательством РФ за неисполнение установленных обязанностей (п.7).
Существенно изменены условия аккредитации УЦ, которая будет осуществляться при условии выполнения следующих новых требований:
  • Стоимость чистых активов удостоверяющего центра должна составлять 7 миллионов рублей (ранее требовалось - не менее чем 1 миллион рублей);

  • Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки ЭП, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ – от 30 до 100 миллионов рублей. (ранее - не менее чем 1,5 миллиона рублей);

  • Наличия у УЦ средств, позволяющих при обращении участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа и имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности (вступает в силу с 31 декабря 2016 года);

  • Наличие у удостоверяющего центра порядка реализации функций удостоверяющего центра и исполнения его обязанностей;
После получения свидетельства об аккредитации УЦ обязан осуществить присоединение своей информационной системы к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». И только после этого уполномоченный федеральный орган выдаст УЦ квалифицированный сертификат, созданный с использованием средств головного удостоверяющего центра (часть 5).

Мой комментарий: Таким образом, все аккредитованные удостоверяющие центры будут обязаны подключиться к системе СМЭВ. Без этого они просто не смогут начать работу.

В статье 17 уточнено, какую информацию о владельце должен содержать квалифицированный сертификат.
  • Для физического лица - фамилия, имя и отчество (если имеется);

  • Для индивидуального предпринимателя - фамилия, имя, отчество (если имеется) и основной государственный регистрационный номер индивидуального предпринимателя - владельца квалифицированного сертификата;

  • Для российского юридического лица - наименование, место нахождения и основной государственный регистрационный номер;

  • Для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) - либо наименование, место нахождения, а также идентификационный номер налогоплательщика (при наличии).
Мой комментарий: Если раньше были установлены только требования для владельцев квалифицированного сертификата физических и юридических лиц, то теперь отдельно установлены требования для индивидуальных предпринимателей, российских юридических лиц и иностранных организации

Законом установлен запрет операторам следующих информационных систем требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах:
  • Государственных и муниципальных информационных систем;

  • Информационных систем, использование которых предусмотрено нормативными правовыми актами;

  • Информационных систем общего пользования не вправе.
Мой комментарий: На законодательном уровне предпринята попытка унифицировать квалифицированные сертификаты для того, чтобы ЭП можно было бы использовать в любых информационных системах без ограничений. Насколько это требование будет выполняться, покажет только правоприменительная практика.

В статье 18 «Выдача квалифицированного сертификата» изменена процедура представления документов и информации в УЦ. После того, как заявитель предоставит в УЦ информацию, документы или их надлежащим образом заверенные копии. аккредитованный удостоверяющий центр с использованием инфраструктуры осуществляет проверку достоверности документов и сведений, представленных заявителем. Для заполнения квалифицированного сертификата аккредитованный УЦ запрашивает и получает из государственных информационных ресурсов:
  • Выписку из единого государственного реестра юридических лиц в отношении заявителя - юридического лица;

  • Выписку из единого государственного реестра индивидуальных предпринимателей в отношении заявителя - индивидуального предпринимателя;

  • Выписку из Единого государственного реестра налогоплательщиков в отношении заявителя - иностранной организации.
В случае, если полученные сведения подтверждают достоверность информации, представленной заявителем, и УЦ установлена личность заявителя - физического лица или получено подтверждение правомочий лица, выступающего от имени заявителя - юридического лица, УЦ осуществляет процедуру создания и выдачи квалифицированного сертификата. В противном случае УЦ отказывает в выдаче.

Мой комментарий: Процедура выдачи сертификатов напрямую завязана на проверке и подтверждении достоверности информации и документов заявителей. Следует учитывать, что УЦ придется не только проводить проверки, но и тщательно документировать все процедуры, поскольку наверняка этот вопрос будет контролироваться, и за его нарушение УЦ будут привлекаться к ответственности.

Удостоверяющие центры, имеющие действующую аккредитацию на день вступления в силу новых законодательных норм, обязаны в течение одного года обеспечить соответствие новым требованиям, предъявляемым к аккредитованным удостоверяющим центрам (ст.2).

Источник: Консультант Плюс / сайт Государственной Думы
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=191492;
http://asozd2.duma.gov.ru/main.nsf/(ViewDoc)?OpenAgent&work/dz.nsf/ByID&72CFD8D24553534D43257DAB004A0098

Комментариев нет:

Отправить комментарий