Приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 13 августа 2018 года № 397 были утверждены «Требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей», которые вступили в силу 28 декабря 2018 года. Пишу об этом документе с опозданием, - однако он заслуживает того, чтобы о нём рассказать.
Порядок реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей устанавливается Удостоверяющим центром. Он определяет условия предоставления услуг Удостоверяющего центра, включая права, обязанности и ответственность Удостоверяющего центра (п.1), и должен содержать следующие разделы:
- Общие положения;
- Перечень реализуемых Удостоверяющим центром функций (оказываемых услуг);
- Права и обязанности Удостоверяющего центра;
- Порядок и сроки выполнения процедур (действий), необходимых для предоставления услуг Удостоверяющим центром, в том числе требования к документам, предоставляемым в Удостоверяющий центр в рамках предоставления услуг;
- Порядок исполнения обязанностей Удостоверяющего центра, установленных Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» и принимаемыми в соответствии с ним нормативными правовыми актами.
Требования Минкомвязи главным образом устанавливают, какие разделы должен содержать внутренний нормативный документ, но в ряде случаев дают и более детальные указания. Например, раздел, касающийся порядка и сроков выполнения процедур, необходимых для предоставления услуг Удостоверяющим центром, должен состоять из следующих подразделов (п.5):
- Процедура создания ключей электронных подписей и ключей проверки электронных подписей;
- Процедура создания и выдачи квалифицированных сертификатов;
- Подтверждение действительности электронной подписи, использованной для подписания электронных документов;
- Процедуры, осуществляемые при прекращении действия и аннулировании квалифицированного сертификата;
- Порядок ведения реестра квалифицированных сертификатов;
- Порядок технического обслуживания реестра квалифицированных сертификатов.
- Заявитель создает ключ электронной подписи и ключ проверки электронной подписи в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности РФ в соответствии с приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» с изменениями, внесенными приказом ФСБ России 12 апреля 2010 г. № 173 «О внесении изменений в некоторые нормативные правовые акты ФСБ России»;
- Удостоверяющий центр создает ключ электронной подписи и ключ проверки электронной подписи для заявителя в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности РФ в соответствии с приказом ФСБ России от 09 февраля 2005 г. № 66.
Мой комментарий: У нас есть практика, когда УЦ генерируют ключи электронной подписи и выдают владельцу ключевой носитель с уже готовой парой ключей. Это с связано всего с тем, что процедура генерации ключевой пары требует определенной квалификации, которой у большинства граждан нет. Однако такой подход влечёт за собой определенные риски – как утечки ключей, так и отказа подписанта от своих подписей.
Мой комментарий: В документе не установлено никаких требований к хранению документов УЦ. С моей точки зрения, это неправильно, и я бы включила в документ раздел об организации хранения документов УЦ.
Источник: Консультант Плюс
http://www.consultant.ru/document/cons_doc_LAW_313715/
Комментариев нет:
Отправить комментарий