МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 13 августа 2018 г. N 397
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К ПОРЯДКУ РЕАЛИЗАЦИИ ФУНКЦИЙ АККРЕДИТОВАННОГО
УДОСТОВЕРЯЮЩЕГО ЦЕНТРА И ИСПОЛНЕНИЯ ЕГО ОБЯЗАННОСТЕЙ
Во исполнение положений пункта 4 части 4 статьи 8 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880; 2012, N 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; N 26, ст. 3889) приказываю:
1. Утвердить прилагаемые Требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
Министр
К.Ю.НОСКОВ
Утверждены
приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 13.08.2018 N 397
ТРЕБОВАНИЯ
К ПОРЯДКУ РЕАЛИЗАЦИИ ФУНКЦИЙ АККРЕДИТОВАННОГО
УДОСТОВЕРЯЮЩЕГО ЦЕНТРА И ИСПОЛНЕНИЯ ЕГО ОБЯЗАННОСТЕЙ
1. Порядок реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей (далее - Порядок, Удостоверяющий центр соответственно) устанавливается Удостоверяющим центром, определяет условия предоставления услуг Удостоверяющего центра, включая права, обязанности и ответственность Удостоверяющего центра, и должен содержать следующие разделы:
а) общие положения;
б) перечень реализуемых Удостоверяющим центром функций (оказываемых услуг) (далее - услуги);
в) права и обязанности Удостоверяющего центра;
г) порядок и сроки выполнения процедур (действий), необходимых для предоставления услуг Удостоверяющим центром, в том числе требования к документам, предоставляемым в Удостоверяющий центр в рамках предоставления услуг;
д) порядок исполнения обязанностей Удостоверяющего центра, установленных Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон "Об электронной подписи") и принимаемыми в соответствии с ним нормативными правовыми актами.
2. Раздел, касающийся общих положений, должен содержать следующие подразделы:
а) предмет регулирования Порядка;
б) сведения об Удостоверяющем центре:
информация о месте нахождения и графике работы Удостоверяющего центра, в том числе его обособленных подразделений (филиалов);
в) порядок информирования о предоставлении услуг Удостоверяющего центра:
справочные телефоны Удостоверяющего центра, его обособленных подразделений (филиалов), включая номер телефона-автоинформатора (при наличии);
адреса сайтов Удостоверяющего центра и его обособленных подразделений (филиалов) в информационно-телекоммуникационной сети "Интернет", адреса электронной почты (при наличии);
порядок получения информации заявителями по вопросам предоставления услуг Удостоверяющего центра;
г) стоимость услуг Удостоверяющего центра.
Данный подраздел должен содержать информацию о стоимости услуг Удостоверяющего центра, порядок информирования заинтересованных лиц о стоимости услуг Удостоверяющего центра, сроках и порядке расчетов за оказание услуг Удостоверяющего центра.
Удостоверяющий центр, являющийся государственным органом и выдающий квалифицированные сертификаты ключей проверки электронных подписей (далее - квалифицированные сертификаты) заявителям на безвозмездной основе, вправе не включать данный подраздел в свой Порядок.
3. Раздел, касающийся перечня функций (оказываемых услуг), реализуемых Удостоверяющим центром, должен включать в себя функции и услуги, предусмотренные статьей 13 Федерального закона "Об электронной подписи".
Раздел, касающийся перечня функций (оказываемых услуг), реализуемых Удостоверяющим центром, также может включать иные связанные с использованием электронной подписи функции и услуги.
4. Раздел, касающийся прав и обязанностей Удостоверяющего центра, должен включать в себя права и обязанности, предусмотренные статьями 13 - 15, 17 и 18 Федерального закона "Об электронной подписи".
5. Раздел, касающийся порядка и сроков выполнения процедур (действий), необходимых для предоставления услуг Удостоверяющим центром, должен состоять из следующих подразделов:
а) процедура создания ключей электронных подписей и ключей проверки электронных подписей;
б) процедура создания и выдачи квалифицированных сертификатов;
в) подтверждение действительности электронной подписи, использованной для подписания электронных документов;
г) процедуры, осуществляемые при прекращении действия и аннулировании квалифицированного сертификата;
д) порядок ведения реестра квалифицированных сертификатов;
е) порядок технического обслуживания реестра квалифицированных сертификатов.
6. Подраздел "Процедура создания ключей электронных подписей и ключей проверки электронных подписей" должен содержать:
а) порядок создания ключей электронных подписей и ключей проверки электронных подписей с учетом следующих способов создания:
заявитель создает ключ электронной подписи и ключ проверки электронной подписи в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности Российской Федерации в соответствии с приказом ФСБ России от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" (зарегистрирован Министерством юстиции Российской Федерации 3 марта 2005 г., регистрационный N 6382) с изменениями, внесенными приказом ФСБ России 12 апреля 2010 г. N 173 "О внесении изменений в некоторые нормативные правовые акты ФСБ России" (зарегистрирован Министерством юстиции Российской Федерации 25 мая 2010 г., регистрационный N 17350);
удостоверяющий центр создает ключ электронной подписи и ключ проверки электронной подписи для заявителя в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности Российской Федерации в соответствии с приказом ФСБ России от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".
В данном подразделе необходимо указать, что ключ электронной подписи и ключ проверки электронной подписи, предназначенные для создания и проверки усиленной квалифицированной электронной подписи, в соответствии с частью 4 статьи 5 Федерального закона "Об электронной подписи" создаются с использованием средства электронной подписи, имеющего подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, а также необходимость выполнения требований, установленных постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) в отношении автоматизированного рабочего места Удостоверяющего центра, используемого для создания ключа электронной подписи и ключа проверки электронной подписи для заявителя;
б) планы, основание, процедуры, сроки и порядок смены ключей электронной подписи Удостоверяющего центра, а также порядок информирования владельцев квалифицированных сертификатов об осуществлении такой смены с указанием доверенного способа получения нового квалифицированного сертификата Удостоверяющего центра;
в) порядок осуществления смены ключей электронной подписи Удостоверяющего центра в случаях нарушения их конфиденциальности, содержащий основание, процедуры и сроки осуществления такой смены ключей электронной подписи Удостоверяющего центра, а также порядок информирования владельцев квалифицированных сертификатов об осуществлении такой смены с указанием доверенного способа получения нового квалифицированного сертификата Удостоверяющего центра.
В данном подразделе должно содержаться указание на то, что смена ключа электронной подписи Удостоверяющим центром осуществляется в случае нарушения конфиденциальности ключа электронной подписи или угрозы нарушения конфиденциальности такого ключа электронной подписи, а также указание на то, что одновременно со сменой такого ключа электронной подписи прекращается действие всех квалифицированных сертификатов, созданных с использованием этого ключа электронной подписи, с занесением сведений об этих квалифицированных сертификатах в реестр квалифицированных сертификатов. Кроме того, в данном подразделе должны быть предусмотрены способы получения владельцами квалифицированных сертификатов нового квалифицированного сертификата Удостоверяющего центра, исключающие уничтожение, модифицирование, блокирование при передаче и иные неправомерные действия с квалифицированным сертификатом.
В данном подразделе должно содержаться указание на случаи нарушения конфиденциальности ключа электронной подписи Удостоверяющего центра.
Также в данном подразделе должны быть перечислены виды угроз нарушения конфиденциальности ключа электронной подписи Удостоверяющего центра;
г) порядок осуществления Удостоверяющим центром смены ключа электронной подписи владельца квалифицированного сертификата.
В данном подразделе должны быть установлены следующие положения:
смена ключа электронной подписи владельца квалифицированного сертификата осуществляется в случаях, указанных в пунктах 1, 2, 4 части 6 и части 6.1 статьи 14 Федерального закона "Об электронной подписи";
требования к заявлению на смену ключа электронной подписи владельца квалифицированного сертификата, в том числе состав реквизитов такого заявления;
заявление на смену ключа электронной подписи владельца квалифицированного сертификата может быть создано в форме электронного документа, подписанного усиленной квалифицированной электронной подписью владельца квалифицированного сертификата, при этом в случае, если смена ключа электронной подписи владельца квалифицированного сертификата связана с нарушением его конфиденциальности или угрозой нарушения конфиденциальности, соответствующее заявление должно быть подписано иной усиленной квалифицированной электронной подписью владельца квалифицированного сертификата;
процедура выдачи квалифицированного сертификата и ключа электронной подписи (при необходимости) владельцу, в том числе в электронной форме в соответствии со статьей 18 Федерального закона "Об электронной подписи".
7. В подразделе "Процедура создания и выдачи квалифицированных сертификатов" должны быть установлены:
а) порядок подачи заявления на создание и выдачу квалифицированных сертификатов;
б) требования к заявлению на создание и выдачу квалифицированных сертификатов.
В данном подразделе должно быть отражено, что заявление на создание и выдачу квалифицированного сертификата может быть оформлено как на бумажном носителе, так и в форме электронного документа, подписанного усиленной квалифицированной электронной подписью;
в) порядок установления личности заявителя с указанием следующих положений в соответствии со статьей 18 Федерального закона "Об электронной подписи":
личность гражданина Российской Федерации устанавливается по основному документу, удостоверяющему личность;
личность гражданина иностранного государства устанавливается по паспорту гражданина данного государства или по иному документу, удостоверяющему личность гражданина иностранного государства;
личность беженца, вынужденного переселенца и лица без гражданства удостоверяется на основании документа, установленного законодательством Российской Федерации в качестве удостоверяющего личность данных категорий лиц;
г) перечень документов, запрашиваемых Удостоверяющим центром у заявителя для изготовления и выдачи квалифицированного сертификата, в том числе для удостоверения личности заявителя, в соответствии с частью 2 статьи 17 и частью 2 статьи 18 Федерального закона N 63-ФЗ.
В случае если для подтверждения сведений, вносимых в квалифицированный сертификат, законодательством Российской Федерации установлена определенная форма документа, заявитель представляет в Удостоверяющий центр документ соответствующей формы;
д) порядок проверки достоверности документов и сведений, представленных заявителем с указанием следующих положений:
для заполнения квалифицированного сертификата в соответствии с частью 2 статьи 17 Федерального закона "Об электронной подписи" Удостоверяющий центр запрашивает и получает из государственных информационных ресурсов сведения, предусмотренные частью 2.2 статьи 18 Федерального закона "Об электронной подписи";
в случае если полученные из государственных информационных ресурсов сведения подтверждают достоверность информации, представленной заявителем для включения в квалифицированный сертификат, и Удостоверяющим центром установлена личность заявителя - физического лица или получено подтверждение правомочий лица, выступающего от имени заявителя - юридического лица, да обращение за получением квалифицированного сертификата, Удостоверяющий центр осуществляет процедуру создания и выдачи заявителю квалифицированного сертификата. В противном случае Удостоверяющий центр отказывает заявителю в выдаче квалифицированного сертификата;
е) порядок создания квалифицированного сертификата;
ж) порядок выдачи квалифицированного сертификата;
з) срок создания и выдачи квалифицированного сертификата с момента получения Удостоверяющим центром соответствующего заявления, а также условия для срочного создания и выдачи квалифицированного сертификата заявителю.
8. В подразделе "Подтверждение действительности электронной подписи, использованной для подписания электронных документов" должны быть установлены:
а) требования к заявлению на подтверждение действительности электронной подписи, в том числе перечень прилагаемых к такому заявлению документов;
б) срок предоставления услуги по подтверждению действительности электронной подписи в электронном документе;
в) порядок оказания услуги.
Данный подраздел должен содержать процедуру проверки действительности всех квалифицированных сертификатов, включенных в последовательность проверки от проверяемого квалифицированного сертификата до квалифицированного сертификата аккредитованного удостоверяющего центра, выданного ему головным удостоверяющим центром.
9. Подраздел "Процедуры, осуществляемые при прекращении действия и аннулировании квалифицированного сертификата" включает в себя:
а) основания прекращения действия или аннулирования квалифицированного сертификата.
В данном подразделе необходимо указать, что квалифицированный сертификат прекращает свое действие в случаях, установленных статьей 14 Федерального закона "Об электронной подписи".
Также в данном подразделе необходимо указать, что Удостоверяющий центр признает квалифицированный сертификат аннулированным, если:
не подтверждено, что владелец квалифицированного сертификата владеет ключом электронной подписи, соответствующим ключу проверки электронной подписи, указанному в таком квалифицированном сертификате;
установлено, что содержащийся в квалифицированном сертификате ключ проверки электронной подписи уже содержится в ином ранее созданном квалифицированном сертификате;
вступило в силу решение суда, которым установлено, что квалифицированный сертификат содержит недостоверную информацию;
б) порядок действий Удостоверяющего центра при прекращении действия (аннулировании) квалифицированного сертификата.
В данном подразделе устанавливаются:
порядок подачи и приема заявления о прекращении действия квалифицированного сертификата, в том числе порядок подтверждения полномочий владельца квалифицированного сертификата. Должны быть установлены возможность направления заявления о прекращении действия квалифицированного сертификата как на бумажном носителе, так и в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, а также требования к заявлению;
порядок внесения информации о прекращении действия или аннулировании квалифицированного сертификата в реестр квалифицированных сертификатов.
В данном подразделе необходимо указать, что срок внесения информации о прекращении действия или аннулировании квалифицированного сертификата в реестр квалифицированных сертификатов не может превышать двенадцать часов с момента наступления обстоятельств, указанных в частях 6 и 6.1 статьи 14 Федерального закона "Об электронной подписи", или в течение двенадцати часов с момента получения Удостоверяющим центром соответствующих сведений.
10. В подразделе "Порядок ведения реестра квалифицированных сертификатов" должны быть установлены:
а) формы ведения реестра квалифицированных сертификатов;
б) сроки внесения информации о прекращении действия или аннулировании квалифицированного сертификата в реестр квалифицированных сертификатов.
11. Подраздел "Порядок технического обслуживания реестра квалифицированных сертификатов" должен содержать:
а) максимальные сроки проведения технического обслуживания;
б) порядок уведомления участников информационного взаимодействия о проведении технического обслуживания.
12. Раздел, регулирующий порядок исполнения обязанностей Удостоверяющего центра, должен состоять из следующих подразделов:
а) информирование заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;
б) выдача по обращению заявителя средств электронной подписи.
Данный подраздел должен предусматривать, что средства электронной подписи должны в соответствии с частью 4 статьи 6 Федерального закона "Об электронной подписи" обеспечивать возможность проверки всех усиленных квалифицированных электронных подписей в случае, если в состав электронных документов лицом, подписавшим данные электронные документы, включены электронные документы, созданные иными лицами (органами, организациями) и подписанные усиленной квалифицированной электронной подписью, или в случае, если электронный документ подписан несколькими усиленными квалифицированными электронными подписями;
в) обеспечение актуальности информации, содержащейся в реестре квалифицированных сертификатов, и ее защиты от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;
г) обеспечение доступности реестра квалифицированных сертификатов в информационно-телекоммуникационной сети "Интернет" в любое время, за исключением периодов технического обслуживания реестра квалифицированных сертификатов;
д) порядок обеспечения конфиденциальности созданных Удостоверяющим центром ключей электронных подписей.
Данный подраздел должен содержать требования к обеспечению конфиденциальности, в том числе к условиям временного хранения ключей электронных подписей и срокам их уничтожения;
е) осуществление регистрации квалифицированного сертификата в единой системе идентификации и аутентификации в соответствии с частью 5 статьи 18 Федерального закона "Об электронной подписи";
ж) осуществление по желанию лица, которому выдан квалифицированный сертификат, безвозмездной регистрации указанного лица в единой системе идентификации и аутентификации;
з) предоставление безвозмездно любому лицу доступа к информации, содержащейся в реестре квалифицированных сертификатов, включая информацию о прекращении действия квалифицированного сертификата или об аннулировании квалифицированного сертификата, в том числе путем публикации перечня прекративших свое действие (аннулированных) квалифицированных сертификатов.