четверг, 28 января 2021 г.

Правила использования усиленной квалифицированной электронной подписи при формировании и ведении федерального регистра сведений о населении

Постановлением Правительства РФ от 31 декабря 2020 г. №2440 утверждены «Правила использования усиленной квалифицированной электронной подписи при формировании и ведении единого федерального информационного регистра, содержащего сведения о населении Российской Федерации». Постановление вступит в силу с 1 января 2022 г.

Проверка электронных подписей осуществляется на их соответствие условиям, содержащимся в статье 11 федерального закона «Об электронной подписи» (п.2).

При формировании и ведении федерального регистра сведений о населении используются квалифицированные сертификаты ключей проверки электронной подписи (ЭП), созданные и выданные аккредитованным удостоверяющим центром ФНС (уполномоченный орган) (п.3).

Обеспечивается бессрочное подтверждение (п.4):

  • Подлинности и целостности записей федерального регистра сведений о населении;

  • Действительности электронных подписей, которыми информация, указанная в записи федерального регистра сведений о населении, подписана первоначально;

  • Действительности даты и времени первоначального подписания информации, указанной в записи федерального регистра сведений о населении.

Мой комментарий: В любой момент времени требуется подтверждать действительность всех электронных подписей, которыми эта запись будет подписана в регистре! С моей точки зрения, ФНС спланировала себе весьма неблагодарную «работёнку»…

Внесение записей в федеральный регистр реализуется исключительно после успешной проверки ЭП, которыми информация была подписана первоначально; формируются достоверные сведения, подтверждающие действительность ЭП на момент внесения информации в регистр сведений. Проверка ЭП, которыми информация была подписана первоначально и повторно, проводится в соответствии с требованиями согласно приложению (п.5).

Для справки: речь идет о «Требованиях к проверке усиленных квалифицированных электронных подписей, которыми информация, указанная в записи единого федерального информационного регистра, содержащего сведения о населении Российской Федерации, подписана первоначально, а также усиленных квалифицированных электронных подписей уполномоченного органа, которыми подписываются записи единого федерального информационного регистра, содержащего сведения о населении Российской Федерации». Это ещё тот документик!


В случае если в результате проверки ЭП выявлено несоблюдение условий, установленных статьей 11 федерального закона «Об электронной подписи», информация не может быть внесена в федеральный регистр (п.6).

Ключ ЭП и квалифицированный сертификат ключа проверки ЭП (сертификат), используемые для электронной подписи уполномоченного органа, создаются в соответствии федеральным законом «Об электронной подписи» и должны соответствовать положениям пункта 8 и случаям, указанным в пункте 9 настоящих Правил (п.7).

Ключи ЭП уполномоченного органа создаются удостоверяющим центром уполномоченного органа (п.8).

Срок действия ключа ЭП уполномоченного органа должен быть не менее чем в 2 раза меньше срока действия ключа ЭП его удостоверяющего центра, с использованием которого подписан сертификат уполномоченного органа. При этом после истечения срока, равного сроку действия ключа ЭП уполномоченного органа, ключ ЭП удостоверяющего центра не должен использоваться для подписания сертификатов.
 
Срок действия сертификата уполномоченного органа должен быть максимально возможным сроком, разрешенным эксплуатационной документацией на средства, используемые его удостоверяющим центром. При этом срок действия сертификата уполномоченного органа не должен превышать:

  • Срока действия квалифицированного сертификата ключа проверки ЭП его удостоверяющего центра, на котором основана ЭП, которой подписан сертификат уполномоченного органа;

  • Срока действия квалифицированного сертификата ключа проверки ЭП головного удостоверяющего центра, функции которого осуществляет Минкомсвязь, на котором основана ЭП, которой подписан сертификат удостоверяющего центра уполномоченного органа.

Мой комментарий: Попросту говоря, в случае истечения срока действия или отзыва УЦ или, не дай бог, головного УЦ, нужно будет оперативно перевыпустить абсолютно все пользовательские сертификаты – возможно, парализовав на недельку-другую деловую деятельность как ряда государственных органов, так и бизнеса.

Сертификат уполномоченного органа создается его удостоверяющим центром в следующих случаях (п.9):

  • Назначение (смена) лица, ответственного за автоматическое создание ЭП уполномоченного органа;

  • Не позже чем за один месяц до истечения срока действия ключа ЭП уполномоченного органа;

  • Установленный факт компрометации ЭП или возникновение угрозы компрометации ключа ЭП уполномоченного органа;

  • После аннулирования сертификата уполномоченного органа в соответствии с законодательством РФ.

Подписание (повторное подписание) ЭП уполномоченного органа записей федерального регистра с использованием последнего созданного сертификата уполномоченного органа обеспечивается государственной информационной системой в следующих случаях (п.10):

  • При формировании записей федерального регистра сведений о населении;

  • Не позднее чем за один год до истечения срока действия предпоследнего созданного сертификата уполномоченного органа, за исключением первого года его использования;

  • При смене лица, ответственного за автоматическое создание ЭП уполномоченного органа;

  • При установленном факте компрометации или возникновении угрозы компрометации ключа ЭП уполномоченного органа;

  • После аннулирования сертификата уполномоченного органа в соответствии с законодательством РФ.

Перед подписанием (повторным подписанием) ЭП уполномоченного органа записи федерального регистра с использованием последнего созданного сертификата государственная информационная система обеспечивает проверку:

  • Действующей ЭП уполномоченного органа;

  • Всех ранее сформированных ЭП уполномоченного органа, которыми подписана такая запись;

  • ЭП, которыми информация, указанная в записи федерального регистра, подписана первоначально.

В случае успешной проверки указанных ЭП государственная информационная система обеспечивает подписание (повторное подписание) ЭП уполномоченного органа соответствующей записи федерального регистра с использованием последнего созданного сертификата.

Если все подписи прошли проверку государственной информационной системой, то (п.11):

  • Запись федерального регистра признается подлинной и целостной;

  • Электронные подписи, которыми информация, указанная в записи, подписана первоначально признается действительной;

  • Дата и время первоначального ее подписания информации, указанной в записи федерального регистра, признаются действительными.

Мой комментарий: У меня этот документ вызывает смешанные чувства. Заложить одновременно и процедуру переподписания записей в реестре, и перепроверку всех подписей в т.ч. исторических - совершенно умопомрачительная идея. Ведь переподписание задумывалось именно для того, чтобы не проводить перепроверку исторических электронных подписей, срок действия сертификатов которых истек.

Второй момент: в документе не проработана ситуация, которая рано или поздно может случиться - когда какая-то из электронных подписей не пройдет проверку. Что тогда произойдёт? Запись будет признана неподлинной или скомпроментированной, со всеми вытекающими последствиями. А если это произойдет через 20-30, а то и более лет после внесения информации в реестр?

Надеюсь, что с началом эксплуатации системы ФНС быстро поймет недостатки данных правил, и скорректирует свой нормативно правовой акт.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=373618

Комментариев нет:

Отправка комментария