Главная  / Управление  /  Об аккредитации удостоверяющих центров. Удостоверяющие центры Требования к пк эвм удостоверяющего центра

Об аккредитации удостоверяющих центров. Удостоверяющие центры Требования к пк эвм удостоверяющего центра

Управление
20.04.2024
«Требования к обеспечению информационной безопасности
на рабочем месте Пользователя УЦ»

  1. Общие положения

    1. Системы защищенного электронного документооборота.
Обмен электронными документами между участниками защищенного электронного документооборота осуществляются с электронной цифровой подписью. Целостность и подлинность информации при обмене документами обеспечивается средством криптографической защиты информации (СКЗИ).

    1. Представление налоговых деклараций и бухгалтерской отчетности в ИФНС РФ.
Обмен электронными документами между Специализированным Оператором Связи, Налоговым Органом и Налогоплательщиком осуществляется посредством Системы защищенного документооборота «СТЭК – Траст» по обмену открытой и конфиденциальной информацией в электронном виде с электронной цифровой подписью. Целостность и подлинность информации, проходящей через Систему, обеспечивается СКЗИ.

    1. Представление сведений персонифицированного учета в УПФР.
Обмен электронными документами между УПФР и Страхователем осуществляется посредством Системы защищенного документооборота «СТЭК – Траст» по обмену открытой и конфиденциальной информацией в электронном виде с электронной цифровой подписью. Целостность и подлинность информации, проходящей через Систему, обеспечивается СКЗИ.

    1. Конфиденциальность информации
В целях обеспечения конфиденциальности информации, Пользователь УЦ обязан выполнять требования к обеспечению информационной безопасности, руководствуясь нормативно – правовыми актами в области защиты информации, не содержащей сведений, отнесенных к государственной тайне РФ:

  • Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрировано в Минюсте РФ 06.08.2001 № 2848)

  • Приказ ФАПСИ от 23.09.1999 № 158 «Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (зарегистрировано в Минюсте РФ 28.12.1999 № 2029)

  • Федеральный Закон от 20.02.1995 № 24-ФЗ (ред. от 10.01.2003) «Об информации, информатизации и защите информации» (принят ГД ФС РФ 25.01.1995)

  • Эксплуатационная документация на СКЗИ.

  1. Учет, хранение и эксплуатация СКЗИ и ключей ЭЦП Пользователем УЦ

    1. Пользователь УЦ (юридическое или физическое лицо), организующий работу в системе защищенного электронного документооборота для обмена документами по телекоммуникационным каналам связи, обязан:

      • определить и утвердить порядок учета, хранения и использования СКЗИ и носителей закрытых ключей шифрования и ЭЦП;

      • обеспечить условия хранения носителей закрытых ключей шифрования и ЭЦП, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей.

    2. Требования по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ:

      • Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации, СКЗИ и ключей шифрования и ЭЦП, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

      • Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры предприятия.

      • При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.

      • Для хранения ключей шифрования и ЭЦП, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством предприятия.

      • Устанавливаемый руководителем предприятия порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

      • Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ.

      • Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.

      • Для работы со СКЗИ привлекаются уполномоченные лица, назначенные соответствующим приказом руководителя организации и изучившие пользовательскую документацию и эксплуатационную документацию на СКЗИ и систему защищенного документооборота.

    3. Уполномоченные лица, назначенные для эксплуатации автоматизированного рабочего места (АРМ) СКЗИ и для осуществления обмена информацией в электронном виде с использованием ключей шифрования и ЭЦП, несут персональную ответственность за:

      • сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с системой защищенного документооборота и СКЗИ;

      • сохранение в тайне содержания закрытых ключей шифрования и ЭЦП и защита их от компрометации;

      • сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;

      • сохранность в тайне паролей для отзыва ключей шифрования и ЭЦП.

    4. При работе о СКЗИ запрещается:

      • осуществлять несанкционированное копирование магнитных носителей ключевой информации;

      • разглашать содержимое магнитных носителей ключевой информации, а также передавать их лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер, за исключением случаев, предусмотренных эксплуатационной документацией;

      • использовать в работе со СКЗИ и системой защищенного документооборота скомпрометированные ключи шифрования и ЭЦП;

      • вставлять ключевой носитель в дисковод ПК при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной цифровой подписи и т.д.), а также в дисководы других ПК;

      • записывать на магнитные носители ключевой информации любую другую информацию;

      • оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении;

      • вносить какие-либо изменения в программное обеспечение СКЗИ;

      • использовать бывшие в работе магнитные носители ключевой информации для записи новой информации, без предварительного уничтожения на дискетах ключевой информации путем их переформатирования при помощи программы, входящей в состав средств криптографической защиты информации;

      • оставлять монитор в непогашенном состоянии. При длительном или кратковременном перерыве в работе с программой необходимо производить гашение экрана, а возобновление активности экрана производить с использованием пароля доступа, задаваемого в конфигурации АРМ;

      • хранить пароли в виде записей на бумажном носителе;

      • осуществлять несанкционированное вскрытие системных блоков АРМ.
В случае обнаружения факта несанкционированного доступа к системным блокам, работа на этих АРМ должна быть прекращена. По данному факту должно проводиться служебное расследование и организовываться работа по анализу и ликвидации негативных последствий данного нарушения.

    1. Аппаратно-программные средства защиты информации от несанкционированного доступа, установленные на АРМ Пользователя УЦ, должны обеспечивать:

      • парольный вход;

      • проверку целостности программного и информационного обеспечения;

      • идентификацию Пользователя УЦ при входе в систему защищенного документооборота;

      • регистрацию действий Пользователя УЦ в электронном журнале.

    2. Администрирование средств криптографической защиты информации, программных и аппаратных средств защиты информации от несанкционированного доступа возлагается на администратора информационной безопасности.

    3. Администратор назначается приказом руководителя организации из числа сотрудников, прошедших соответствующее обучение и имеющих сертификат и (или) свидетельство на право установки и эксплуатации средств криптографической защиты информации.

    4. Администратор информационной безопасности обязан фиксировать действия, связанные с эксплуатацией СКЗИ, в журнале, отражая в нем факты компрометации ключевой информации или ключевых документов, нештатные ситуации, происходящие в системе защищенного документооборота и связанные с использованием СКЗИ, проведение регламентных работ (плановая замена ключей, обновление сертификатов и т.п.).

    5. Пользователь УЦ несет ответственность за то, чтобы на компьютере, на котором установлено СКЗИ и система защищенного документооборота, не были установлены и не эксплуатировались программы (в том числе, - вирусы), которые могут нарушить функционирование СКЗИ и системы защищенного документооборота.

    6. При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и должны быть организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения.

  1. Действия Пользователя УЦ в случае компрометации ключей

    1. К событиям, связанным с компрометацией ключей относятся:

      • утрата ключевых дискет;

      • утрата ключевых дискет с последующим обнаружением;

      • увольнение сотрудников, имевших доступ к ключевой информации;

      • нарушение правил хранения ключевой информации и ключевых носителей;

      • возникновение подозрений на утечку информации или ее искажение в системе защищенного документооборота;

      • нарушение печати на сейфе, в котором хранятся ключевые носители;

      • несанкционированное копирование и другие происшествия, в результате которых закрытые ключи ЭЦП и шифрования могли стать доступными несанкционированным лицам и (или) процессам.
Пользователь УЦ самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события для Пользователя УЦ. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, переданной с использованием СКЗИ и системы защищенного документооборота, организует и осуществляет сам Пользователь УЦ.

    1. При компрометации закрытых ключей ЭЦП и шифрования Пользователь УЦ руководствуется «Регламентом Удостоверяющего центра». Действия Пользователя УЦ сводятся к следующему:

      • немедленно прекратить использование скомпрометированных ключей шифрования и ЭЦП;

      • немедленно проинформировать администратора Удостоверяющего центра о компрометации ключевой информации;

      • в течение одного рабочего дня направить в Удостоверяющий центр заявление об аннулировании сертификатов скомпрометированных закрытых ключей ЭЦП и шифрования, заверенное рукописной подписью и печатью организации. Заявление должно содержать идентификационные параметры скомпрометированных ключей ЭЦП и шифрования.
Дата и время, не позднее которого закрытые ключи ЭЦП и шифрования будут считаться скомпрометированными, согласовывается с Администратором Удостоверяющего центр. Дата и время, с которой сертификаты ключей ЭЦП и шифрования считаются недействительными в системе защищенного документооборота, устанавливается равной дате и времени отзыва сертификата ключа подписи в списке отозванных сертификатов Удостоверяющего центра.

Удостоверяющий центр - это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов. В функции УЦ входят:

  • выдача электронных подписей;
  • предоставление открытых ключей (сертификатов) ЭЦП любым заинтересованным лицам;
  • приостановка действия ЭЦП, в случае их компрометации;
  • удостоверение правильности подписи электронных документов;
  • разбор конфликтных ситуаций.

Для получения ЭЦП необходимо обратиться в Удостоверяющий центр, или его представительство.

Удостоверяющие центры в России

  • «ИнфоТеКС Интернет Траст»
  • УЦ Верховного Суда
  • УЦ Госдумы
  • УЦ Генпрокуратуры
  • УЦ Следственного комитета

Хроника

2019

Как поправки в закон об электронной подписи изменили систему УЦ

Госдума приняла в третьем чтении законопроект, вносящий поправки в федеральный закон об электронной подписи. Рассказываем о главных изменениях .

Порядок выдачи

Электронные цифровые подписи юридическим лицам будут выдавать удостоверяющие центры ФНС , а кредитным организациям - УЦ Центробанка. Должностные лица госорганов и органов местного самоуправления и подведомственных им учреждений, а также нотариусы смогут получить ключи только в удостоверяющих центрах Федерального казначейства. Физические лица будут получать ключи в аккредитованных коммерческих удостоверяющих центрах.

Подпись юридического лица

В правоотношениях юридических лиц будут использоваться подписи:

  • КЭП юридического лица, выпущенная только на юридическое лицо для применения при автоматическом подписании или проверке подписи в электронном документе.
  • КЭП юридического лица, выпущенная на руководителя.
  • КЭП физического лица с включением доверенности юридического лица в пакет электронных документов при подписании сотрудником компании. Доверенность подписывается КЭП юридического лица, выпущенной на руководителя организации. Доверенность должна быть включена.

Облачная подпись

Аккредитованный удостоверяющий центр теперь сможет хранить ключ электронной подписи и использовать его по поручению владельца сертификата этой подписи.

Аккредитации удостоверяющих центров

  • Для получения аккредитации УЦ размер капитала должен составлять не менее 1 миллиарда рублей либо 500 миллионов при наличии филиалов не менее чем в трех четвертях субъектов РФ.
  • УЦ должен иметь не менее 100 миллионов рублей страхового обеспечения.
  • Аккредитация будет предоставляться на 3 года.

Идентификация заявителя

Появились установленные способы идентификации заявителя на получение сертификата, в том числе посредством предоставления сведений из единой биометрической системы.

Доверенная третья сторона

В законе появится новое понятие - доверенная третья сторона. Она будет проверять действительность ЭП, соответствие сертификатов и полномочия участников электронного взаимодействия, а также осуществлять документальное подтверждение результатов такой проверки.

Госдума вводит госмонополию на выдачу электронной подписи для юрлиц

8 ноября 2019 года стало известно, что Государственная Дума приняла в первом чтении законопроект о внесении поправок в Закон «Об электронной подписи ». Документ был разработан рядом сенаторов и депутатов и предполагает серьезную реформу удостоверяющих центров электронной подписи.

Действующий с 2011 г. Закон «Об электронной подписи» вводит три вида подписей: простую, усиленную и квалифицированную. Простой подписью является любая технология, об использовании которой договорились стороны. Усиленной подписью является подпись, выданная удостоверяющим центром.

Квалифицированная подпись – это подпись, выданная аккредитованным удостоверяющим центром. Аккредитацией занимается Минкомсвязи . Такого рода подпись признается аналогом собственноручной.

Принятый в первом чтении законопроект увеличивает минимальный размер чистых активов аккредитованного удостоверяющего центра с 7 млн руб. до 1 млрд руб., а минимальный размер финансового обеспечения – с 30 млн руб. до 200 млн руб. Если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн руб.

Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность. А за умышленные действия сотрудников удостоверяющих центров, помимо административной, вводится еще и уголовная ответственность.

На этом требования не заканчиваются. Юридические лица смогут использовать только квалифицированные электронные подписи, выданные удостоверяющим центром Федеральной налоговой службы (ФНС). Дополнительно при заключении сделок будут применяться квалифицированные электронные подписи физических лиц, уполномоченных действовать от лица соответствующих юридических лиц.

2017

Минкомсвязь внесла в Правительство законопроект о проверке полномочий лица, использующего электронную подпись

12 сентября 2017 года директор Правового департамента Министерства связи и массовых коммуникаций Российской Федерации Роман Кузнецов рассказал о деятельности министерства по созданию единого пространства доверия электронной подписи и планах по регулированию этой сферы.

«Минэкономразвития России отмечает нецелесообразность принятия предлагаемого регулирования в связи со значительным объемом бюджетных расходов, наличием административных и иных рисков, способных негативно повлиять на развитие рынка по созданию и выдаче квалифицированных сертификатов, ключей проверки электронной подписи, а также смежных отраслей экономики», - говорится в заключении, подписанном заместителем министра экономического развития Саввой Шиповым.

В документе также отмечено, что предлагаемое Минкомсвязью регулирование может привести к ликвидации рынка услуг по выдаче УКЭП как такового вместе с потерей всей созданной инфраструктуры, закрытию соответствующих организаций, увольнению квалифицированных сотрудников удостоверяющих центров. «Централизация механизма выдачи УКЭП, перевод выдачи УКЭП в разряд государственных услуг, повышенный размер государственной пошлины за выдачу УКЭП будут препятствовать широкому распространению современных технологий электронного документооборота среди граждан и юридических лиц, что не отвечает целям информатизации экономики, приведет к усложнению порядка взаимодействия хозяйствующих субъектов и государства», - говорится в документе.

Эксперты выступают против госмонополии на выдачу квалифицированной электронной подписи

Подключить планируется УЦ «Тензор », «КриптоСтандарт », «

Удостоверяющие центры, попавшие в список на одобрение, смогут использовать инфраструктуру системы межведомственного электронного взаимодействия (СМЭВ) для получения информации от государственных органов, уточнил CNews Никита Баранов, руководитель проекта «Услуги Удостоверяющего центра» компании «СКБ Контур».

По его словам, это решение очень существенно отразится на практике работы УЦ.

В это время для выпуска сертификата УЦ, согласно закону, обязан получить от обратившегося целый ряд документов.

«Для примера, физическому лицу надо предоставить как минимум паспорт, СНИЛС и свидетельство ИНН, а для юридического лица список дополняется выпиской ЕГРЮЛ, свидетельством ОГРН и учредительными документами, - объясняет Баранов. - От корректности действий УЦ зависит дальнейший юридический статус всех документов подписанных ЭП, а это могут быть договоры на очень большие суммы. Поэтому УЦ обязан удостовериться, что все предоставленные документы являются оригиналами, создать копии всех предоставленных документов и организовать их хранение».

Для пользователя это создает проблемы со сбором документов, для УЦ - с их проверкой и хранением, добавляет Баранов: «Все это с учетом большой территориальной распределенности».

«Подключение к СМЭВ поможет, во-первых, в том, что часть документов мы сможем собирать в электронном виде непосредственно в соответствующем ведомстве. Во-вторых, мы сможем в режиме он-лайн проверять действительность данных с подтверждением госорганов. А, в-третьих, нам не придется делать и хранить копии документов», - говорит он.

Все это, по мнению представителя «СКБ Контур», «приведет к существенному ускорению и повешению надежности процедуры выпуска и, одновременно к повышению удобства пользователей».

Процесс подключения УЦ к СМЭВ, по оценке Никиты Баранова, может занять около полугода: «Необходима техническая реализация - создание, тестирование и запуск в эксплуатацию модулей, которые отправляют запросы и получают ответы (например, проверка паспорта в ФМС)» .

2012: Приказ ФСБ о требованиях к средствам электронной подписи и УЦ

17 февраля 2012 г., был опубликован приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра». Ранее появился приказ от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи».

В соответствии с новыми нормами, средство подписи при подписании документа должно показать электронный документ лицу, которое его подписывает, дождаться подтверждения от этого лица, а после подписания - показать ему, что подпись создана. При проверке подписи средство должно показать электронный документ, а также информацию о внесении изменений в подписанный документ и указать на лицо, подписавшее его.

Формат квалифицированного сертификата существенно отличается от формата сертификатов ЭЦП, которые выпускаются в это время (в соответствии с федеральным законом № ФЗ-1). Например, в квалифицированный сертификат необходимо включать наименование средств электронной подписи и средств удостоверяющего центра, использовавшихся для генерации ключа подписи и ключа проверки (закрытого и открытого ключей соответственно), а также для создания самого сертификата.

По сравнению с сертификатами ЭЦП изменился способ представления полномочий владельца сертификата. В сертификат ЭЦП по заявлению владельца могли включаться любые сведения, подтверждаемые соответствующими документами, а в квалифицированный сертификат нестандартные реквизиты (например, регистрационный номер страхователя) могут включаться только в том случае, если требования к их назначению и расположению в сертификате определены в документах, предоставляемых для подтверждения соответствия средств удостоверяющего центра требованиям ФСБ

Первые УЦ для получения ЭП гражданами открылись в Москве

Первые удостоверяющие центры, в которых граждане могут получить электронную подпись, открылись в Москве в апреле 2011 года. Для этого потребуется личное присутствие и паспорт гражданина. Подпись, представляющую собой зашифрованную информацию в виде файла, в присутствии заявителя запишут на сертифицированный электронный носитель (электронную карту или флеш-накопитель). Сама подпись бесплатна, но стоимость носителя придется оплатить. В Минкомсвязи предполагают, что получение квалифицированной электронной подписи обойдётся гражданину примерно в 300 руб. Как подчеркнул директор правового департамента министерства Андрей Тихомиров, получение электронной подписи – дело сугубо добровольное. Он также добавил, что гражданин несет ответственность за сохранность электронной подписи, напомнив, что в случае утери или кражи подпись можно заблокировать и затем восстановить через те же удостоверяющие центры.

Чтобы получить неквалифицированный и квалифицированный сертификат электронной подписи, необходимо обратиться в один из удостоверяющих центров. Какие функции выполняют удостоверяющие центры и сколько времени займет получение сертификата?

Удостоверяющий центр (УЦ) - доверенная организация, которая имеет право выпускать сертификаты электронной подписи юридическим и физическим лицам. Работа УЦ лежит на пересечении юриспруденции, информационной безопасности и IT-технологий.

В обязанности УЦ входят следующее:

  • удостоверить личность человека, который обратился за сертификатом электронной подписи,
  • изготовить и выдать сертификат, в который включены данные о владельце сертификата и его открытый ключ проверки,
  • управлять жизненным циклом сертификата (выпуск, приостановление, возобновление, окончание срока действия).

Какие виды подписей выдает УЦ?

Определены три вида подписи:

  • простая,
  • усиленная неквалифицированная,

Получать в УЦ необходимо последние две:

  • за квалифицированной подписью нужно обращаться только в аккредитованный Минкомсвязью РФ удостоверяющий центр.
  • за неквалифицированной — в УЦ, который связан с той информационной системой, где планируется применять подпись. Например, выдавать неквалифицированные сертификаты для торгов могут только УЦ, аккредитованные шестью федеральными электронными торговыми площадками. При этом УЦ может и не быть аккредитован в Минкомсвязи.

Требования к УЦ

От корректной работы УЦ зависит доверие ко всем сферам бизнеса, где применяются электронные подписи : электронные торги, информационные системы, отчетности. Поэтому ко всем УЦ накладываются серьезные технические и юридические требования.

Существует ряд показателей, по которым можно оценить удостоверяющий центр. Надежный УЦ:

  • аккредитован Минкомсвязи РФ,
  • является доверенным центром ФНС, ПФР, Росстата,
  • имеет лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации,
  • лицензию Центра по лицензированию, сертификации и защите государственной тайны ФСБ России,
  • аккредитован на всех электронных торговых площадках госзакупок,
  • долго работает
  • имеет представителей в различных регионах России
  • оказывает круглосуточную техподдержку

Сколько времени занимает получение сертификата подписи?

Сроки выпуска сертификата зависят от обеих сторон:

  • от того, насколько быстро клиент подготовит все необходимые документы и оплатит выпуск сертификата,
  • насколько быстро специалисты УЦ обработают заявку, проверят документы и удостоверят его личность.

В среднем получение сертификата занимает 1 рабочий день. В УЦ СКБ Контур есть услуга по срочному выпуску электронной подписи за 1 час после получения нужных документов.

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

23.11.2011 №320

Об аккредитации удостоверяющих центров

Во исполнение пункта 3 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880)

кадровая документация, включая копии трудовых договоров работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей (с приложением должностных регламентов) и копии документов работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);

необходимые для осуществления предусматриваемой Федеральным законом об электронной подписи деятельности лицензии и иные разрешительные документы.

15. При проведении документарной проверки уполномоченный орган не вправе требовать у проверяемого УЦ сведения и документы, не относящиеся к предмету документарной проверки, а также сведения и документы, которые могут быть получены этим органом от иных органов государственного контроля (надзора), в том числе федерального органа исполнительной власти в области обеспечения безопасности, органов муниципального контроля.

V. Проведение выездной проверки

16. Предметом выездной проверки являются содержащиеся в документах УЦ сведения, а также соответствие их работников и технических средств УЦ, оказываемых УЦ услуг требованиям, установленным Федеральным законом об электронной подписи.

17. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения аккредитованного УЦ, и (или) по месту фактического осуществления деятельности УЦ.

18. Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений, содержащихся в документах УЦ, указанных в пункте 14 настоящего Порядка, подтверждающих его соответствие требованиям Федерального закона об электронной подписи или проверить выполнение УЦ требований предписания уполномоченного органа.

19. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами уполномоченного органа, обязательного ознакомления руководителя или иного должностного лица УЦ с приказом руководителя уполномоченного органа о назначении выездной проверки и с полномочиями проводящих выездную проверку лиц, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, составом экспертов, представителями экспертных организаций и, привлекаемых к выездной проверке, со сроками и с условиями ее проведения.

20. Руководитель, иное должностное лицо или уполномоченный представитель УЦ, обязаны предоставить должностным лицам уполномоченного органа, проводящим выездную проверку, возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц и участвующих в выездной проверке экспертов, представителей экспертных организаций на территорию, в используемые УЦ при осуществлении деятельности здания, строения, сооружения, помещения, к используемым УЦ техническим средствам и программному обеспечению.

21. Уполномоченный орган вправе привлекать к проведению выездной проверки аккредитованных УЦ экспертов, экспертные организации, не состоящие в гражданско-правовых и трудовых отношениях с юридическим лицом, индивидуальным предпринимателем, в отношении которых проводится проверка, и не являющиеся аффилированными лицами проверяемых лиц. К проведению выездной проверки аккредитованных УЦ могут также привлекаться сотрудники иных органов государственной власти в пределах их компетенции.

С целью подтверждения соответствия использования аккредитованным УЦ средств электронной подписи и средств удостоверяющего центра, требованиям технической и эксплуатационной документации, к проведению выездной проверки аккредитованных УЦ привлекаются сотрудники федерального органа исполнительной власти в области обеспечения безопасности.

VI. Итоги проведения проверки

22. По результатам проверки должностными лицами уполномоченного органа, составляется акт по установленной форме в двух экземплярах.

В акте проверки указываются:

1) дата, время и место составления акта проверки;

2) наименование уполномоченного органа;

3) дата и номер приказа руководителя уполномоченного органа;

4) фамилии, имена, отчества (при наличии) и должности должностного лица или должностных лиц, проводивших проверку;

5) наименование проверяемого аккредитованного УЦ, а также фамилия, имя, отчество и должность руководителя, иного должностного лица или уполномоченного представителя юридического лица, присутствовавших при проведении проверки;

6) дата, время, продолжительность и место (места) проведения проверки;=

7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований и требований, установленных муниципальными правовыми актами, об их характере и о лицах, допустивших указанные нарушения;

8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного должностного лица или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у юридического лица, индивидуального предпринимателя указанного журнала;

9) подписи должностного лица или должностных лиц, проводивших проверку.

23. Акт проверки оформляется непосредственно после ее завершения в двух экземплярах, один из которых с копиями приложений вручается руководителю, иному должностному лицу или уполномоченному представителю УЦ под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки.

В случае отсутствия руководителя, иного должностного лица или уполномоченного представителя УЦ, а также в случае отказа проверяемого лица дать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки акт направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле уполномоченного органа.

24. В случае выявления несоблюдения аккредитованными УЦ требований Федерального закона об электронной подписи уполномоченный орган по окончании проведения проверки выдает УЦ предписание об устранении нарушений в установленный срок и приостанавливает действие аккредитации УЦ на данный срок с внесением информации об этом в перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена.

25. В случае выявления неустранения нарушений УЦ в установленный в предписании срок, уполномоченный орган аннулирует аккредитацию УЦ, вносит соответствующую информацию в перечень удостоверяющих центров, аккредитация которых аннулирована и направляет в УЦ уведомление об аннулировании аккредитации с указанием причин.

В соответствии с подпунктом 1 части 2 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880).

В соответствии с пунктом 5 статьи 12 Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст. 3601; № 48, ст. 5711; № 52, ст. 6441; 2010, № 17, ст. 1988; № 18, ст. 21424 3 31, ст. 4160, ст. 4193, ст. 4196; № 32, ст. 4298; 2011, № 1, ст. 20; № 17, ст. 2310, № 23, ст. 3263; № 27, ст. 3880; № 30, ст. 4590; № 48, ст. 6728).

КонсультантПлюс: примечание.

Аккредитация удостоверяющих центров, полученная ими до 01.07.2020, действует до истечения срока, на который они были аккредитованы, но не более чем до 01.01.2022 (ФЗ от 27.12.2019 N 476-ФЗ).

Статья 16. Аккредитация удостоверяющего центра

1. Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом в отношении удостоверяющих центров, являющихся юридическими лицами.

2. Аккредитация удостоверяющего центра осуществляется на добровольной основе. Аккредитация удостоверяющего центра осуществляется на срок пять лет, если более короткий срок не указан в заявлении удостоверяющего центра.

3. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:

1) стоимость чистых активов удостоверяющего центра составляет не менее чем семь миллионов рублей;

(см. текст в предыдущей редакции)

2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии федерального органа исполнительной власти в области обеспечения безопасности, выданной удостоверяющему центру в соответствии с пунктом 1 части 1 статьи 12 Федерального закона от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности", если количество таких мест превышает десять, но не более 100 миллионов рублей. Если количество мест осуществления указанного лицензируемого вида деятельности не превышает десять, финансовое обеспечение ответственности составляет 30 миллионов рублей;

(см. текст в предыдущей редакции)

3) наличие средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, а также средств удостоверяющего центра, позволяющих при обращении участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа и имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

(см. текст в предыдущей редакции)

4) наличие в штате удостоверяющего центра не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее образование в области информационных технологий или информационной безопасности либо высшее образование или среднее профессиональное образование с последующим получением дополнительного профессионального образования по вопросам использования электронной подписи;

(см. текст в предыдущей редакции)

5) наличие у удостоверяющего центра, претендующего на получение аккредитации, порядка реализации функций удостоверяющего центра и исполнения его обязанностей, установленного удостоверяющим центром в соответствии с утвержденными федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, требованиями к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также с настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами.

3.1. Удостоверяющий центр наряду с указанными в части 3 настоящей статьи требованиями вправе также обеспечить свое соответствие установленным федеральным органом исполнительной власти в области обеспечения безопасности по согласованию с уполномоченным федеральным органом дополнительным требованиям к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра в случаях, если необходимость соблюдения таких дополнительных требований в определенных отношениях предусмотрена федеральным законом.

4. Аккредитация удостоверяющего центра осуществляется на основании его заявления, подаваемого в уполномоченный федеральный орган. К заявлению прилагаются документы, подтверждающие соответствие удостоверяющего центра требованиям, установленным частью 3 настоящей статьи. Удостоверяющий центр вправе не представлять документ, подтверждающий соответствие имеющихся у него средств электронной подписи и средств удостоверяющего центра требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, если такой документ или содержащиеся в нем сведения находятся в распоряжении федерального органа исполнительной власти в области обеспечения безопасности. В этом случае уполномоченный федеральный орган самостоятельно проверяет наличие документа, подтверждающего соответствие таких средств установленным требованиям, на основании информации, полученной от федерального органа исполнительной власти в области обеспечения безопасности, с использованием единой системы межведомственного электронного взаимодействия. Удостоверяющий центр вправе приложить документы, подтверждающие соответствие удостоверяющего центра требованиям, установленным частью 3.1 настоящей статьи.

(см. текст в предыдущей редакции)

5. В срок, не превышающий тридцати календарных дней со дня приема заявления удостоверяющего центра, уполномоченный федеральный орган на основании представленных документов принимает решение об аккредитации удостоверяющего центра или об отказе в его аккредитации. В случае принятия решения об аккредитации удостоверяющего центра уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об аккредитации, уведомляет удостоверяющий центр о принятом решении и выдает свидетельство об аккредитации по установленной форме. После получения свидетельства об аккредитации аккредитованный удостоверяющий центр обязан осуществить присоединение информационной системы, обеспечивающей реализацию функций аккредитованного удостоверяющего центра (далее - присоединение аккредитованного удостоверяющего центра), к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - инфраструктура). После присоединения аккредитованного удостоверяющего центра к инфраструктуре уполномоченный федеральный орган выдает аккредитованному удостоверяющему центру квалифицированный сертификат, созданный с использованием средств головного удостоверяющего центра. В случае принятия решения об отказе в аккредитации удостоверяющего центра уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об отказе в аккредитации, направляет или вручает удостоверяющему центру уведомление о принятом решении с указанием причин отказа.

(см. текст в предыдущей редакции)

6. Основанием для отказа в аккредитации удостоверяющего центра является его несоответствие требованиям, установленным частью 3 настоящей статьи, или наличие в представленных им документах недостоверной информации.

7. Аккредитованный удостоверяющий центр должен соблюдать требования, на соответствие которым он аккредитован, в течение всего срока его аккредитации. В случае возникновения обстоятельств, делающих невозможным соблюдение указанных требований, удостоверяющий центр немедленно должен уведомить об этом в письменной форме уполномоченный федеральный орган. Аккредитованный удостоверяющий центр при осуществлении своих функций и исполнении принятых обязательств должен соблюдать требования, установленные для удостоверяющих центров - , и настоящего Федерального закона. Уполномоченный федеральный орган вправе проводить проверки соблюдения аккредитованными удостоверяющими центрами требований настоящего Федерального закона и иных принимаемых в соответствии с настоящим Федеральным законом нормативных правовых актов, в том числе требований, на соответствие которым эти удостоверяющие центры были аккредитованы, в течение всего срока их аккредитации. В случае выявления несоблюдения аккредитованным удостоверяющим центром указанных требований уполномоченный федеральный орган обязан выдать этому удостоверяющему центру предписание об устранении нарушений в установленный срок и приостановить действие аккредитации на данный срок с внесением информации об этом в перечень, указанный в пункте 4 части 3 статьи 8 настоящего Федерального закона. Аккредитованный удостоверяющий центр уведомляет в письменной форме уполномоченный федеральный орган об устранении выявленных нарушений. Уполномоченный федеральный орган принимает решение о возобновлении действия аккредитации, при этом он вправе проверять фактическое устранение ранее выявленных нарушений и в случае их неустранения в установленный предписанием срок досрочно прекращает аккредитацию удостоверяющего центра.

(см. текст в предыдущей редакции)

7.1. Проверки соблюдения аккредитованными удостоверяющими центрами требований настоящего Федерального закона и иных принимаемых в соответствии с ним нормативных правовых актов проводятся один раз в три года в течение всего срока аккредитации, за исключением внеплановых проверок, проводимых в соответствии с законодательством Российской Федерации. Первая плановая проверка соблюдения аккредитованными удостоверяющими центрами указанных требований осуществляется не позднее одного года с даты аккредитации удостоверяющего центра, указанной в свидетельстве об аккредитации удостоверяющего центра.

7.2. Внеплановые проверки в рамках государственного контроля (надзора) и муниципального контроля осуществляются по основаниям, указанным в части 2 статьи 10 Федерального закона от 26 декабря 2008 года N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", а также на основании мотивированных обращений о нарушениях требований настоящего Федерального закона и иных принимаемых в соответствии с ним нормативных правовых актов, допущенных аккредитованным удостоверяющим центром, которые поступили в уполномоченный федеральный орган от федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, органов государственных внебюджетных фондов, юридических и физических лиц.

8. На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции удостоверяющих центров, не распространяются требования, установленные пунктами 1 и 2 части 3 настоящей статьи.

9. Головной удостоверяющий центр, функции которого осуществляет уполномоченный федеральный орган, не подлежит аккредитации в соответствии с настоящим Федеральным законом.