пятница, 28 февраля 2020 г.

Новое в законе об электронной подписи: Выдача сертификатов и идентификация заявителей


Уже много лет специалисты в области инфраструктуры открытых ключей (PKI) подчеркивали, что процедуры выдачи удостоверяющими центрами сертификатов ключей проверки подписи и идентификации его владельцев ненадежны, что позволяет получать сертификаты неуполномоченным лицам.

Федеральный закон от 27 декабря 2019 года №476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» внёс изменения в две статьи закона: ст.13 «Удостоверяющий центр» и ст.18. «Выдача квалифицированного сертификата» (по данной статье см. отдельный пост – Н.Х.), уточнив порядок выдачи сертификатов.

В статью 2 «Основные понятия, используемые в настоящем Федеральном законе» включено понятие «заявитель» (п.16), под которым понимаются:
  • Коммерческая организация;

  • Некоммерческая организация;

  • Индивидуальный предприниматель;

  • Физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации;

  • Любое иное физическое лицо;

  • Лица, замещающие государственные должности РФ или государственные должности субъектов РФ;

  • Должностные лица государственных органов, органов местного самоуправления;

  • Работники подведомственных таким органам организаций;

  • Нотариусы и уполномоченные на совершение нотариальных действий лица.
Именно они будут обращаться с соответствующим заявлением на выдачу сертификата ключа проверки электронной подписи в удостоверяющий центр в качестве его будущего владельца.

Удостоверяющий центр (ст.13 п.1 ч.2) «создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты заявителям при условии идентификации заявителя». В прежней версии закон говорил о выдаче сертификатов «лицам, обратившимся за их получением (заявителям), при условии установления личности получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата».

Идентификация заявителя проводится:
  • При его личном присутствии;

  • Посредством идентификации заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата;

  • Посредством идентификации заявителя - гражданина РФ с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина РФ за пределами территории РФ, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные;

  • Путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Мой комментарий: Совершенно ясно, что данные требования выполнимы только для физических лиц. Больше всего сомнений у меня вызывает вариант, связанный с применением ещё действующей квалифицированной электронной подписи. Если злоумышленники, например, до неё один раз «доберутся», у них не возникнет проблем для многократного перевыпуска сертификата во всех УЦ страны.

В случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия отказывается от использования шифровальных (криптографических) средств, удостоверяющий центр обязан отказать такому лицу в проведении идентификации.

Мой комментарий: Необходимо также отметить, что требования по идентификации заявителя дословно повторены в ст.18 закона.

При этом УЦ обязан (ч.2): «незамедлительно информировать владельца квалифицированного сертификата о выявленных случаях приостановления (прекращения) технической возможности использования ключа электронной подписи, не предусмотренных соглашением сторон, или возникновения у аккредитованного удостоверяющего центра обоснованных сомнений в получении поручения от уполномоченного соглашением сторон лица об использовании ключа электронной подписи (при осуществлении аккредитованным УЦ деятельности, предусмотренной частью 2.2 статьи 15 настоящего Федерального закона).»

Теперь УЦ вправе наделить третьих лиц (ч.4) полномочиями:
  • По вручению сертификатов ключей проверки электронных подписей от своего имени;

  • По приему заявлений на выдачу сертификатов.
При совершении порученных УЦ действий доверенное лицо обязано идентифицировать заявителя при его личном присутствии. Ранее закон содержал требование:
«установить личность получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата в соответствии с порядком реализации функций удостоверяющего центра и исполнения его обязанностей, установленным наделившим указанное доверенное лицо полномочиями по вручению сертификатов ключей проверки электронной подписи удостоверяющим центром»
Мой комментарий: Ключевым в данном случае является требование личного присутствия заявителя. Однако, как мне кажется, проблема может возникнуть с вечно занятыми первыми лицами коммерческих организаций. Если сейчас взаимодействие с УЦ шло через уполномоченных лиц, то теперь придётся организовать их личную явку. Перестройка всей этой работы может потребовать серьёзных усилий.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=341757 

Комментариев нет:

Отправить комментарий