понедельник, 24 февраля 2020 г.

Новое в законе об электронной подписи: Изменение в системе аккредитованных удостоверяющих центров


Кардинальным новшеством федерального закона от 27 декабря 2019 года №476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» является выделение четырёх групп аккредитованных удостоверяющих центров (УЦ) (ст.15 ч.1) и возможность хранения ими ключей электронной подписи (ч.2.2). Это:
  • УЦ, получившие аккредитацию;

  • УЦ федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц (далее УЦ ФНС);

  • УЦ федерального органа исполнительной власти; уполномоченного на правоприменительные функции по обеспечению исполнения федерального бюджета, кассовому обслуживанию исполнения бюджетов бюджетной системы РФ (далее УЦ Федерального казначейства);

  • УЦ Банка России.
Эти УЦ, помимо ранее имевшихся полномочий, будут осуществлять:
  • Хранение ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате, с обеспечением его защиты от компрометации и (или) несанкционированного использования, - в том числе создание подписей при помощи указанного ключа по поручению владельца квалифицированного сертификата с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с пунктом 2.1 части 5 статьи 8 настоящего федерального закона;

  • Информирование владельца квалифицированного сертификата об использовании указанного ключа ЭП и предоставление по требованию владельца истории использования указанного ключа ЭП.
Мой комментарий: Наверное, хорошо, что новая редакция закона прямо допускает возможность удалённого подписания «по поручению». В то же время не нужно строить иллюзий – в период, когда специалисты по информационной безопасности с трудом успевают за хакерами, такая практика связана с высокими рисками, и сильно поощрять её не стоит.

Я буду с нетерпением ждать судебных решений по спорам владельцев сертификатов подписи с доверенными третьими сторонами, которым они поручили организовать такое подписание. Думаю, и судьям будет интересно сформулировать принципы, по которым будет распределяться ответственность за ущерб.

Уполномоченным федеральным органом по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности устанавливаются требования к (ч.2.3):
  • Форме поручения владельца квалифицированного сертификата;

  • Порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, в том числе с учетом возможности осуществления процедуры дополнительной аутентификации владельца путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы;

  • Правилам хранения поручения.
В случае принятия решения о прекращении своей деятельности аккредитованного удостоверяющего центра (п.3 ч.4):
 «ключи электронной подписи, хранимые аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи, подлежат уничтожению в порядке, установленном федеральным органом исполнительной власти в области обеспечения безопасности».
Удостоверяющий центр ФНС вправе наделить доверенных лиц полномочиями на прием заявлений о получении квалифицированного сертификата юридического лица и выполнение требований ст.18 настоящего федерального закона от имени УЦ на создание ключа электронной подписи (при условии исключения возможности доступа работников таких доверенных лиц к ключам электронных подписей заявителей), а также на хранение ключей квалифицированных электронных подписей для дистанционного использования и на создание при помощи указанных ключей электронных подписей для электронных документов (ч.6.1).

При вручении созданного УЦ квалифицированного сертификата указанное доверенное лицо обязано установить личность владельца сертификата (заявителя).

Доверенные лица в установленном Правительством РФ порядке определяются ФОИВ из числа удостоверяющих центров, получивших аккредитацию при условии их соответствия дополнительным требованиям, установленным Правительством РФ, и организационно-техническим требованиям в области информационной безопасности, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Уполномоченный федеральный орган совместно с федеральным органом исполнительной власти в области обеспечения безопасности осуществляет проверки соблюдения требований аккредитованными удостоверяющими центрами ФНС, Казначейства и Банка России. В рамках проведения таких проверок не могут быть осуществлены приостановка, прекращение аккредитации таких УЦ (ч.6.2).

Кроме того, теперь за неисполнение обязанностей, установленных настоящим федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного УЦ и исполнения его обязанностей, гражданско-правовую, административную и (или) уголовную ответственность несут (ч.7):
  • Аккредитованный удостоверяющий центр;

  • Работник аккредитованного УЦ;

  • Доверенные лица и их работники.
Законодатель также обязал УЦ бесплатно обеспечивать физических лиц шифровальными (криптографическими) средствами:
8. Аккредитованный удостоверяющий центр на безвозмездной основе обеспечивает физических лиц шифровальными (криптографическими) средствами, указанными в части 19 статьи 14.1 Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации", для проведения идентификации физических лиц в аккредитованном удостоверяющем центре на основе предоставления биометрических персональных данных без личного присутствия посредством информационно-телекоммуникационной сети «Интернет».
Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=341757 

1 комментарий:

  1. Это фактическое разрешение того что ФНС делало "ДАвайте мы сгенерируем вам подпись и будем её сами хранить"?

    ОтветитьУдалить