понедельник, 8 апреля 2019 г.

Требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей


Приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 13 августа 2018 года № 397 были утверждены «Требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей», которые вступили в силу 28 декабря 2018 года. Пишу об этом документе с опозданием, - однако он заслуживает того, чтобы о нём рассказать.

Порядок реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей устанавливается Удостоверяющим центром. Он определяет условия предоставления услуг Удостоверяющего центра, включая права, обязанности и ответственность Удостоверяющего центра (п.1), и должен содержать следующие разделы:
  • Общие положения;

  • Перечень реализуемых Удостоверяющим центром функций (оказываемых услуг);

  • Права и обязанности Удостоверяющего центра;

  • Порядок и сроки выполнения процедур (действий), необходимых для предоставления услуг Удостоверяющим центром, в том числе требования к документам, предоставляемым в Удостоверяющий центр в рамках предоставления услуг;

  • Порядок исполнения обязанностей Удостоверяющего центра, установленных Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» и принимаемыми в соответствии с ним нормативными правовыми актами.
Мой комментарий: Фактически Минкомсвязи установило требования к содержанию внутреннего нормативного акта удостоверяющего центра, который должен быть разработан и утвержден самим УЦ,  не пытаясь при этом установить единые для всех детальные требования. С моей точки зрения, это правильный подход, поскольку УЦ разные и некоторые внутренние вопросы их деятельности могут различаться.

Требования Минкомвязи главным образом устанавливают, какие разделы должен содержать внутренний нормативный документ, но в ряде случаев дают и более детальные указания. Например, раздел, касающийся порядка и сроков выполнения процедур, необходимых для предоставления услуг Удостоверяющим центром, должен состоять из следующих подразделов (п.5):
  • Процедура создания ключей электронных подписей и ключей проверки электронных подписей;

  • Процедура создания и выдачи квалифицированных сертификатов;

  • Подтверждение действительности электронной подписи, использованной для подписания электронных документов;

  • Процедуры, осуществляемые при прекращении действия и аннулировании квалифицированного сертификата;

  • Порядок ведения реестра квалифицированных сертификатов;

  • Порядок технического обслуживания реестра квалифицированных сертификатов.
Самым интересным, с моей точки зрения, является подраздел «Процедура создания ключей электронных подписей и ключей проверки электронных подписей», который должен, в частности, регламентировать (п.6) порядок создания пар ключей электронных подписей с учетом следующих возможных способов:
  • Заявитель создает ключ электронной подписи и ключ проверки электронной подписи в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности РФ в соответствии с приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» с изменениями, внесенными приказом ФСБ России 12 апреля 2010 г. № 173 «О внесении изменений в некоторые нормативные правовые акты ФСБ России»;

  • Удостоверяющий центр создает ключ электронной подписи и ключ проверки электронной подписи для заявителя в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности РФ в соответствии с приказом ФСБ России от 09 февраля 2005 г. № 66.
В данном подразделе необходимо указать, что ключ электронной подписи и ключ проверки электронной подписи, предназначенные для создания и проверки усиленной квалифицированной электронной подписи, создаются с использованием средства электронной подписи, имеющего подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, а также необходимость выполнения требований, установленных постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 в отношении автоматизированного рабочего места Удостоверяющего центра, используемого для создания ключа электронной подписи и ключа проверки электронной подписи для заявителя.

Мой комментарий: У нас есть практика, когда УЦ генерируют ключи электронной подписи и выдают владельцу ключевой носитель с уже готовой парой ключей. Это с связано всего с тем, что процедура генерации ключевой пары требует определенной квалификации, которой у большинства граждан нет. Однако такой подход влечёт за собой определенные риски – как утечки ключей, так и отказа подписанта от своих подписей.

Мой комментарий: В документе не установлено никаких требований к хранению документов УЦ. С моей точки зрения, это неправильно, и я бы включила в документ раздел об организации хранения документов УЦ.

Источник: Консультант Плюс
http://www.consultant.ru/document/cons_doc_LAW_313715/

Комментариев нет:

Отправить комментарий