Правила подтверждения владения ключом электронной подписи

Приказом ФСБ России от 20 апреля 2021 года №154 утверждены «Правила подтверждения владения ключом электронной подписи».

Для справки: Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»

Статья 13. Удостоверяющий центр

1.1) осуществляет в соответствии с правилами подтверждения владения ключом электронной подписи подтверждение владения заявителем ключом электронной подписи, соответствующим ключу проверки электронной подписи, указанному им для получения сертификата ключа проверки электронной подписи;

Правила вступят в силу с 1 марта 2022 года и будут действовать до 1 марта 2028 года.

Правила устанавливают порядок получения доказательств того, что лицо, обратившееся за получением сертификата ключа проверки электронной подписи, владеет ключом ЭП, который соответствует ключу проверки ЭП, указанному заявителем для получения сертификата (п.1). Нормы распространяются на:

• Удостоверяющие центры;
  
  
• Федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, осуществляющий функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров.

Правила не распространяются на случаи, когда ключ ЭП и ключ проверки ЭП были созданы УЦ для заявителя по их просьбе (п.2).

В целях получения доказательств того, что заявитель владеет ключом ЭП, который соответствует ключу проверки ЭП, указанному им для получения сертификата, УЦ устанавливает: (п.3):

• Соответствие заявления на выдачу сертификата ключа проверки ЭП, представляемого заявителем в УЦ, виду структуры CertificationRequest, определенной в п. 7 Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи, утвержденного приказом Минцифры России от 14 сентября 2020 г. №472 (Формат электронной подписи);
  
  
• Использование (в случае представления заявления на выдачу квалифицированного сертификата) для подписания информации, содержащейся в заявлении, и создания ЭП, помещаемой в поле signature структуры CertificationRequest, определенной в п. 7 Формата электронной подписи, средств ЭП, имеющих подтверждение соответствия установленным требованиям.

Владение ключом ЭП не подтверждается, если эти требования не соблюдаются.

УЦ идентифицирует заявителя одним из способов, указанных в законе «Об электронной подписи», с учетом особенностей, установленных пунктом 4 настоящих Правил (п.3.2).

В случае представления заявления на выдачу сертификата с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», УЦ устанавливает(п.4):

При идентификации заявителя посредством использования квалифицированной ЭП при наличии действующего квалифицированного сертификата - подписание заявления на выдачу сертификата УКЭП в формате, определенном п.5 Формата электронной подписи, с применением принадлежащего заявителю ключа ЭП, для которого соответствующий сертификат действует на момент подписания заявления на выдачу сертификата (п.4.1).

Владение ключом ЭП в указанном случае не подтверждается, если:

• Заявитель не идентифицирован;
  
  
• Требование абзаца первого настоящего подпункта не соблюдается;
  
  
• УКЭП, которой подписано заявление на выдачу сертификата, недействительна.

При идентификации заявителя - гражданина РФ с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина РФ за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные (п.4.2):

• Использование в составе таких информационных технологий средств криптографической защиты информации (СКЗИ), имеющих подтверждение соответствия установленным требованиям;
  
  
• В случае представления заявления на выдачу квалифицированного сертификата, использование для подписания информации, содержащейся в заявлении на его выдачу, и создания ЭП, помещаемой в поле signature структуры CertificationRequest, определенной в п. 7 Формата электронной подписи, средств ЭП, имеющих подтверждение соответствия установленным требованиям.

Владение ключом ЭП в указанном случае не подтверждается, если:

• Заявитель не идентифицирован;
  
  
• Требования абзацев второго или третьего настоящего подпункта не соблюдаются.

При идентификации заявителя путем предоставления сведений из «Единой системы идентификации и аутентификации…» и информации из единой биометрической системы - использование физическим лицом для предоставления своих биометрических персональных данных шифровальных (криптографических) средств (п.4.3).

Владение ключом ЭП в указанном случае не подтверждается, если:

• Заявитель не идентифицирован;
  
  
• Требование абзаца первого настоящего подпункта не соблюдается.

При идентификации заявителя, представляющего заявление на выдачу сертификата в отношении усиленной неквалифицированной ЭП с использованием простой ЭП, ключ которой получен при личной явке - условие организации взаимодействия УЦ с единой системой идентификации и аутентификации, гражданами (физическими лицами) и организациями с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (п.4.4).

Если в результате действий, осуществленных УЦ, отсутствуют основания утверждать, что заявитель не владеет ключом ЭП, или заявление на выдачу сертификата представлено при личной явке, УЦ проверяет действительность ЭП, которой подписана информация, содержащаяся в заявлении на выдачу сертификата, и которая содержится в поле signature структуры CertificationRequest, определенной в п 7 Формата электронной подписи (п.5).

Владение ключом ЭП не подтверждается, если ЭП недействительна.

УЦ подтверждает владение заявителем ключом ЭП, если действительность ЭП, указанной в абзаце первом настоящего пункта, установлена.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=385332