Что такое удостоверяющий центр? Требования к удостоверяющим центрам, претендующим на получение статуса аккредитованного удостоверяющего центра Кто утверждает список удостоверяющих центров

Для обеспечения корректности ключей проверки электронной подписи (открытых ключей), используемых для проверки подлинности электронной подписи, Федеральным законом «Об электронной подписи» вводится механизм удостоверяющих центров. Согласно Федеральному закону удостоверяющий центр характеризуется следующим образом.

Удостовсряющий Iщнтр:

• 1. создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);
• 2. устанавливает сроки действия сертификатов ключей проверки электронных подписей;
• 3. аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;
• 4. выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
• 5. ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей, в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;
• 6. устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети Интернет;
• 7. создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
• 8. проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
• 9. осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
• 10. осуществляет иную связанную с использованием электронной подписи деятельность.

Удостоверяющий центр обязан:

• 1. информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;
• 2. обеспечивать актуальность информации, содержащейся в реестре сертификатов, и ее защиту от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;
• 3. предоставлять безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информацию, содержащуюся в реестре сертификатов, в том числе информацию об аннулировании сертификата ключа проверки электронной подписи;
• 4. обеспечивать конфиденциальность созданных удостоверяющим центром ключей электронных подписей.

Удостоверяющий центр в соответствии с законодательством Российской Федерации несет ответственность за вред, причиненный третьим лицам в результате:

• 1. неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром;
• 2. неисполнения или ненадлежащего исполнения обязанностей, предусмотренных настоящим Федеральным законом.

Удостоверяющий центр вправе наделить доверенных лиц полномочиями по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.

Удостоверяющий центр по отношению к доверенным лицам является головным удостоверяющим центром и выполняет следующие функции:

• 1. осуществляет проверку электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей;
• 2. обеспечивает электронное взаимодействие доверенных лиц между собой, а также доверенных лиц с удостоверяющим центром.

Согласно Федеральному закону «Об электронной подписи» сертификат ключа проверки электронной подписи может быть охарактеризован следующим образом.

Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем.

Сертификат ключа проверки электронной подписи должен содержать следующую информацию:

• 1. даты начала и окончания срока его действия;
• 2. фамилию, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения - для юридических лиц или иную информацию, позволяющую идентифицировать владельца сертификата ключа проверки электронной подписи;
• 3. ключ проверки электронной подписи;
• 4. наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
• 5. наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
• 6. иную информацию, предусмотренную частью 2 статьи 17 Федерального закона «Об электронной подписи» - для квалифицированного сертификата (сертификата, ключа проверки электронной подписи, выданного аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи).

Удостоверяющий центр вправе выдавать сертификаты ключей проверки электронных подписей как в форме электронных документов, так и в форме документов на бумажном носителе. Владелец сертификата ключа проверки электронной подписи, выданного в форме электронного документа, вправе получить также копию сертификата ключа проверки электронной подписи на бумажном носителе, заверенную удостоверяющим центром.

Сертификат ключа проверки электронной подписи действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате ключа проверки электронной подписи. Информация о сертификате ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов не позднее указанной в нем даты начала действия такого сертификата.

Сертификат ключа проверки электронной подписи прекращает свое действие:

• 1. в связи с истечением установленного срока его действия;
• 2. на основании заявления владельца сертификата ключа проверки электронной подписи, подаваемого в форме документа на бумажном носителе или в форме электронного документа;
• 3. в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;
• 4. в иных случаях, в частности, по соглашению между удостоверяющим центром и владельцем сертификата ключа проверки электронной подписи.

Информация о прекращении действия сертификата ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов. Действие сертификата ключа проверки электронной подписи прекращается с момента внесения записи об этом в реестр сертификатов.

Во исполнение Федерального закона «Об электронной подписи» Федеральной службой безопасности были утверждены «Требования к средствам удостоверяющего центра».

Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств удостоверяющего центра при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств удостоверяющего центра, а также ФСБ России, осуществляющей подтверждение соответствия средств удостоверяющего центра Требованиям.

Требования распространяются на средства, предназначенные для использования на территории Российской Федерации, в учреждениях Российской Федерации за рубежом и в находящихся за рубежом обособленных подразделениях юридических лиц, образованных в соответствии с законодательством Российской Федерации.

К средствам удостоверяющего центра в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные Положением ПКЗ-2005.

Средства удостоверяющего центра должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности или с целью создания условий для этого.

В зависимости от способностей противостоять атакам средства удостоверяющего центра подразделяются на классы, совпадающие с классами средств электронной подписи. Необходимый класс разрабатываемых (модернизируемых) средств определяется заказчиком (разработчиком) путем определения возможностей нарушителя подготавливать и проводить атаки на удостоверяющий центр.

Создаваемые удостоверяющим центром сертификаты ключей проверки электронной подписи и списки аннулированных сертификатов должны соответствовать международным рекомендациям ITU-T Х.509.

Приложение 3

к Положению о Сети доверенных

удостоверяющих центров системы

«Электронная Торговая Площадка»

Требования

к удостоверяющим центрам при аккредитации

в системе «Электронная Торговая Площадка»

ГУП «Агентство по государственному заказу ,

инвестиционной деятельности и межрегиональным связям

Республики Татарстан »

1. Перечень сокращений

АРМ Автоматизированное рабочее место

БД База данных

ИС Информационная система

ПО Программное обеспечение

СКП Сертификат ключа подписи

СОС Список отозванных сертификатов

СУБД Система управления базой данных

УЦ Удостоверяющий центр

ФЗ Федеральный закон

ЭД Электронный документ

ЭЦП Электронно-цифровая подпись

OCSP Online Certificate Status Protocol – Служба проверки статуса сертификата ключа подписи в режиме реального времени

2. Термины и определения

В настоящем Документе применяют следующие термины с соответствующими определениями.

Система – система юридически значимого электронного документооборота «Электронная Торговая Площадка», предназначенная для проведения открытых аукционов в электронной форме и отвечающая требованиям, установленным законодательством Российской Федерации.

Организатор Системы – Государственное унитарное предприятие «Агентство по государственному заказу, инвестиционной деятельности и межрегиональным связям Республики Татарстан».

Удостоверяющий центр (УЦ) – уполномоченная организация, предоставляющая пользователям Системы услуги, связанные с использованием ЭЦП, в соответствие с Федеральным законом от 01.01.01 г. "Об электронной цифровой подписи".

Доверенный удостоверяющий центр (ДУЦ) – удостоверяющий центр, аккредитованный в Сети ДУЦ.

Сеть доверенных удостоверяющих центров (Сеть ДУЦ) – сеть доверенных удостоверяющих центров системы «Электронная Торговая Площадка».

Организатор сети доверенных удостоверяющих центров Системы (Организатор Сети ДУЦ) – Закрытое акционерное общество «ТаксНет».

Единое пространство доверия – структура, определяющая организационные границы, в пределах которых находятся только заслуживающие доверия удостоверяющие центры, а сертификаты ключей подписей, изготовленные ими, признаются всеми участниками информационного взаимодействия в границах структуры и на равных условиях.

Валидный сертификат – сертификат, положительно прошедший все операции проверки.

Владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Закрытый (секретный) ключ ЭЦП – уникальная последовательность данных, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи

Ключевой носитель – информационный носитель, на который записаны криптографические ключи.

Компрометация ключа – констатация обстоятельств, при которых возможно использование секретного ключа третьими лицами.

Криптопровайдер – средство электронной цифровой подписи.

Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.

Претендент – удостоверяющий центр, подвергаемый испытанию по настоящей методике для включения в Сеть ДУЦ.

Средства электронной цифровой подписи – аппаратные и (или) программные СКЗИ, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе, с использованием закрытого ключа электронной цифровой подписи; подтверждение, с использованием открытого ключа электронной цифровой подписи, подлинности электронной цифровой подписи в электронном документе; создание закрытых и открытых ключей электронных цифровых подписей.

Статус сертификата – составное понятие, отражающее каждый этап проверки валидности сертификата. Например, просрочен – не просрочен, отозван – не отозван и т. д.

Шифрование (зашифрование данных) – процесс преобразования открытых данных в зашифрованные при помощи шифра (ГОСТ).

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронный документ – это документ, в котором информация представлена в электронно-цифровой форме. Документ (документированная информация) – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию.

В настоящем Документе под электронным документом понимаются электронные сообщения, сформированные прикладными программами, обеспечивающими обмен данными удостоверяющих центров.

1. Федеральный Закон от 01.01.2001 № 1‑ФЗ «Об электронной цифровой подписи».

2. Федеральный Закон от 01.01.2001 № 128‑ФЗ «О лицензировании отдельных видов деятельности ».

3. Федеральный Закон от 01.01.2001 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации».

4. Федеральный Закон от 01.01.2001 № 184‑ФЗ «О техническом регулировании».

5. ГОСТ 28147‑89 «Алгоритм шифрования».

6. ГОСТ Р 34.10‑94, ГОСТ Р 34.10‑2001 «Информационная технология криптографическая защита информации процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

7. ГОСТ Р 34.11-94 «Информационная технология криптографическая защита информации Функция хэширования».

8. ГОСТ Р 50922‑96 «Защита информации. Основные термины и определения. Государственные стандарты и другие документы Госстандарта России».

9. ГОСТ Р «Делопроизводство и архивное дело. Термины и определения».

10. ГОСТ Р 51275‑99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».

11. ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

5) компьютеры рабочих мест сотрудников Претендента;

6) устройства печати на бумажных носителях (принтеры).

· Наличие персонала технической службы Претендента, ответственного за эксплуатацию этих технических средств.

· Наличие перечня используемых технических средств обеспечения работы программного комплекса Претендента, с указанием конфигураций и мест размещения этого оборудования.

· Наличие действующих лицензий и сертификатов на технические средства, выданных ФСБ и/или ФСТЭК РФ и/или МинСвязи.

6.3.3. Проверка программных и программно-аппаратных средств защиты информации

Для обеспечения защиты информации Претендент должен располагать необходимыми программными и программно-аппаратными средствами

· Наличие установленных, сконфигурированных и работающих программных и программно-аппаратных средств защиты информации, которые должны включать:

1) средства криптографической защиты информации;

2) межсетевой экран для обеспечения защиты информации при сетевом взаимодействии ЦС с удаленным ЦР;

3) программно-аппаратные комплексы защиты от несанкционированного доступа типа «Электронный замок».

· Наличие персонала технической службы Претендента, ответственного за эксплуатацию программных и программно-аппаратных средств обеспечения защиты информации.

· Наличие перечня используемых программных и программно-аппаратных средств обеспечения защиты информации, с указанием конфигураций и мест размещения этих средств.

· Наличие действующей лицензии и сертификатов соответствия на программные и программно-аппаратные средства обеспечения защиты информации, выданной ФСТЭК и/или ФСБ России, в соответствии с действующим законодательством Российской Федерации.

Средства криптографической защиты информации, эксплуатируемые на всех компонентах программного комплекса УЦ Претендента, должны быть сертифицированы по классу «КС2» в соответствии с действующим законодательством Российской Федерации

Проверка требования и результат

· Наличие установленных, сконфигурированных и настроенных средств криптографической защиты информации, эксплуатируемых на всех компонентах программного комплекса УЦ Претендента.

· Наличие перечня используемых средств криптографической защиты информации с указанием конфигураций и мест размещения этих средств.

· Наличие персонала технической службы Претендента, ответственного за эксплуатацию средств криптографической защиты информации.

· Наличие сертификатов ФСБ РФ на используемые СКЗИ по классу «КС2», выданных в соответствии с действующим законодательством Российской Федерации.

6.3.4. Проверка программно-аппаратного комплекса резервного копирования Претендента

Для обеспечения бесперебойной и отказоустойчивой работы программного комплекса обеспечения реализации целевых функций Претендента должно быть обеспечено резервное копирование

Проверка требования и результат

· Наличие установленных, сконфигурированных и настроенных средств резервного копирования.

· Наличие заверенного руководителем Претендента перечня данных УЦ Претендента, подлежащих резервному копированию. Перечень должен включать:

1) сертификат ключа подписи уполномоченного лица Претендента в электронном виде (сертификат центра сертификации ЦС);

2) базу данных центра сертификации ЦС;

3) базу данных ЦР;

4) журналы аудита компонент программного комплекса Претендента;

5) реестр выданных сертификатов ключей подписи;

6) список отозванных сертификатов (СОС);

7) данные, определенные самим Претендентом.

· Наличие заверенного руководителем Претендента регламента проведения резервного копирования данных с указанием периодов резервного копирования, типов резервируемых данных, носителей для резервных данных и схемы ротации носителей резервных данных.

· В регламенте должно быть указано, что для всех позиций выполняется еженедельно (или чаще) полное резервное копирование и для позиций 2 – 6 ежедневное разностное резервное копирование. Для резервного копирования должно использоваться не менее двух носителей.

· Наличие персонала технической службы Претендента, ответственного за эксплуатацию средств резервного копирования.

· Наличие перечня используемых средств резервного копирования.

6.4. Результаты проверки по разделу 6

Обязательные требования из раздела 6 должны быть выполнены для получения Претендентом аккредитации в Сети ДУЦ.

7. Проверка безопасности обрабатываемых в УЦ данных

7.1. Проверка инженерно-технических мер защиты информации

7.1.1. Проверка мер по размещению технических средств Претендента

Серверы ЦС и ЦР, серверы баз данных, серверы средств резервного копирования и телекоммуникационное оборудование должны размещаться в выделенном помещении

Проверка требования и результат

· Наличие схемы размещения серверов, на которой должно быть обозначено серверное оборудованное помещение Претендента. В этом помещении размещены: серверы ЦС и ЦР, серверы баз данных, серверы средств резервного копирования и телекоммуникационное оборудование. Допускается использовать IT-сейф, вместо выделенного помещения.

· Наличие в серверном помещении Претендента исправного, работающего оборудования системы контроля доступа электромеханического или механического типа (Рекомендуемое требование ).

Серверы ЦС и ЦР, серверы баз данных, средства резервного копирования и телекоммуникационное оборудование должны быть подключены к источникам бесперебойного питания

Проверка требования и результат

· Наличие схемы подключения серверов ЦС и ЦР, серверов баз данных, средств резервного копирования и телекоммуникационного оборудования к источникам бесперебойного питания.

· Наличие в серверном помещении исправного и работающего оборудования источников бесперебойного питания.

7.1.2. Проверка мер по хранению документированной информации

Документальный фонд Претендента, должен храниться в соответствии с действующим законодательством Российской Федерации по делопроизводству и архивному делу

Проверка требования и результат

· Наличие журнала учета хранения документов Претендента, оформленного в соответствии с действующим законодательством Российской Федерации по делопроизводству и архивному делу (Рекомендуемое требование ).

· Наличие приказа руководителя Претендента на создание архивохранилища и документального фонда.

· Наличие приказа руководителя Претендента на назначение ответственного персонала по работе с архивным фондом.

7.1.3. Проверка мер по уничтожению документированной информации

Выделение к уничтожению и уничтожение документов, не подлежащих архивному хранению, должно осуществляться в соответствии с приказом по уничтожению документов и в соответствии с действующим законодательством Российской Федерации по делопроизводству и архивному делу (Рекомендуемое требование )

Проверка требования и результат

· Наличие приказа руководителя Претендента о перечне документов, подлежащих уничтожению.

· Наличие журнала и/или актов уничтожения документов, содержащих подписи ответственного за архивное хранение персонала, даты и реквизиты уничтоженных документов.

7.2. Проверка программно-аппаратных мер защиты информации

7.2.1. Серверные помещения и технические средства, расположенные в них, должны пройти проверку на отсутствие в них электронных устройств перехвата информации (закладок) (Рекомендуемое требование)

Проверка требования и результат

· Наличие отчетов испытаний помещений и технических средств, расположенных в них, об успешной проверке на отсутствие электронных устройств перехвата информации (закладок), проведенных независимой экспертной организацией

7.2.2. Проверка мер по организации доступа к программным средствам Претендента

Серверы ЦС и ЦР должны быть оснащены программно-аппаратными комплексами защиты от несанкционированного доступа, сертифицированными ФСТЭК, ФСБ (Рекомендуемое требование )

Проверка требования и результат

· Наличие на серверах ЦС и ЦР Претендента исправного установленного и работающего программно-аппаратного комплекса защиты от несанкционированного доступа.

Рабочие места сотрудников Претендента, на которых эксплуатируются программные приложения «АРМ администратора ЦР» и «АРМ разбора конфликтных ситуаций», должны быть оснащены программно-аппаратными комплексами защиты от несанкционированного доступа, сертифицированными ФСТЭК, ФСБ.

Проверка требования и результат

· Наличие журнала учета или акта о выдаче ключей доступа к программно-аппаратному комплексу защиты от несанкционированного доступа, содержащих записи, отражающие даты выдачи, заверенные подписями сотрудников службы безопасности Претендента, выдавших эти ключи, и подписями сотрудников Претендента, получивших эти ключи.

· Наличие на рабочих местах сотрудников Претендента, на которых эксплуатируются программные приложения «АРМ администратора ЦР» и «АРМ разбора конфликтных ситуаций», исправного установленного и работающего программно-аппаратного комплекса защиты от несанкционированного доступа.

· Наличие сертификатов ФСТЭК, ФСБ для программно-аппаратного комплекса защиты от несанкционированного доступа.

Доступ системных администраторов системного программного обеспечения серверов ЦС и ЦР для выполнения регламентных работ должен осуществляться в присутствии сотрудников службы безопасности УЦ, отвечающих за эксплуатацию соответствующего прикладного программного обеспечения (ЦС и/или ЦР) (Рекомендуемое требование ).

Проверка требования и результат

· Наличие журнала учета доступа системных администраторов к системному программному обеспечению серверов ЦС и ЦР для выполнения регламентных работ, содержащего записи о содержании этих работ и датах проведения этих работ, заверенные подписями сотрудников службы безопасности Претендента, отвечающих за эксплуатацию соответствующего прикладного программного обеспечения (ЦС и/или ЦР)

7.2.3. Проверка мер по контролю целостности программного обеспечения

Программное обеспечение, эксплуатируемое Претендентом, должно проходить контроль целостности

Проверка требования и результат

· Наличие перечня программных модулей, подлежащих контролю целостности (примерный список размещен в Приложении 2), выпущенного в качестве внутреннего документа Претендента, утвержденный руководителем Претендента.

· В перечне указывается, что контроль целостности программных модулей основан на аппаратном контроле целостности программных модулей УЦ и общесистемного программного обеспечения до загрузки операционной системы и должен обеспечиваться с помощью программно-аппаратного комплекса защиты «Электронный замок».

7.2.4. Проверка мер по контролю целостности технических средств

Претендент должен обеспечивать контроль целостности технических средств (Рекомендуемое требование)

Проверка требования и результат

· Наличие специальных мест, меток и печатей для опечатывания корпусов устройств, препятствующих их неконтролируемому вскрытию.

· Опечатывание корпусов устройств и записи об этом в журнале учета должны быть сделаны перед вводом технических средств в эксплуатацию и после каждого выполнения регламентных работ.

· Наличие журнала учета контроля целостности печатей, в котором должны быть записи о проверке печатей, заверенные подписями ответственных сотрудников, и должны проводиться в начале каждой рабочей смены.

7.2.5. Проверка мер по защите внешних сетевых соединений

Конфиденциальная информация в процессе обмена документами в электронной форме должна защищаться

Проверка требования и результат

· Наличие сертификатов ФСБ на программно-технические средства шифрования информации и цифровой подписи требованиям к СКЗИ класса КС1 и/или КС2.

· Наличие сертификатов соответствия ФСБ или ФСТЭК на программно-технические средства построения защищённого сетевого взаимодействия (VPN, SSL и т. д.) (Рекомендуемое требование).

Защита программно-технических средств обеспечения деятельности Претендента от несанкционированного доступа по внешним сетевым соединениям должна обеспечиваться с применением межсетевого экрана

Проверка требования и результат

· Наличие на программно-технических средствах обеспечения деятельности Претендента, установленных, сконфигурированных и работающих программно-технических средств межсетевого экрана, обеспечивающего класс защиты не ниже 4-го.

7.2.6. Проверка мер по защите информации

Информация, поступающая Претенденту, должна быть защищена

Проверка требования и результат

· Наличие перечня информации (Приложение 4), которая должна быть защищена, оформленного в виде документа, заверенного руководителем организации.

· Наличие приказа руководителя Претендента на назначение ответственного персонала по защите информации (Рекомендуемое требование).

7.3. Результаты проверки по разделу 7

Все обязательные требования из раздела 7 должны быть удовлетворены для получения Претендентом аккредитации в Системе.

8. Проверка технологической совместимости

8.1. Проверка сертификатов ключей подписей уполномоченного лица УЦ Претендента

Претендент должен предоставить сертификат ключа подписи уполномоченного лица удостоверяющего центра, соответствующий требованиям к сертификатам ключей подписей уполномоченного лица

Сертификат X509:

Серийный номер: dc022b4c58082bcb3293819

Алгоритм подписи:

Параметры алгоритма:

Поставщик:

OU=Администрация

Действителен с: 18.08.2005 17:44

Действителен до: 16.12.2010 13:44

CN=Доверенный Удостоверяющий Центр

OU=Администрация

Алгоритм открытого ключа:

Параметры алгоритма:

Открытый ключ: UnusedBits = 0

Расширения сертификатов: 5

Основные ограничения

Тип субъекта=ЦС

Ограничение на длину пути=0

Имя точки распространения:

Полное имя:

Использование ключа

Идентификатор ключа центра сертификации

Идентификатор ключа субъекта

Алгоритм подписи:

ObjectId алгоритма: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001

Параметры алгоритма:

Подпись: НеиспользБит=0

0000 c8 d0 59 a0a 33 c6 40 cb

0010 9e a7 a4 deb0 36 1a 48 cc 53 03

0020 3c b8 ea b5 9ee acad b2 96 3e 87

0b 4bbd 8b 18 b6 4c 1a b2 d4 92 4a 19

Корневой сертификат: субъект совпадает с поставщиком

Хеш сертификата (md5): ae 97 a9 8bd1 fb c5f d4 f1 5c 74

Проверка требования и результат

· Сертификат содержит расширение «Основные ограничения», соответствующее требованиям п. 1.2.4, Приложения 3.

· Сертификат содержит расширение «Использование ключа», соответствующее требованиям п. 1.2.5, Приложения 3.

· Сертификат содержит действительную цифровую подпись. Текстовый файл содержит строку «Подпись соответствует открытому ключу».

8.2. Проверка запросов на кросс-сертификат

Претендент должен предоставить запрос на кросс-сертификат, соответствующий требованиям к запросам на кросс-сертификат

Проверка проводиться путём анализа текстового файла, содержащего данные запроса.

Пример текстового файла, содержащего данные сертификата:

Запрос сертификата PKCS10:

CN=Доверенный Удостоверяющий Центр

OU=Администрация

Алгоритм открытого ключа:

ObjectId алгоритма: 1.2.643.2.2.19 ГОСТ Р 34.10-2001

Параметры алгоритма:

Открытый ключ: UnusedBits = 0

0d fe e2 3c 1c f1 1c 1bf6 7d 4d

0d 53 a9 b9 2f d4dc f4 3e af 57 a9 06

0020 b6 4c 64 3d a9 78 be f4 29 e2 c7bf 59

0030 fbd 53 e7 5d 2a dad 8c 32 c0

Запрос атрибутов: 1

Атрибуты 1:

Атрибут: 1.2.840.113549.1.9.14 (Расширения сертификатов)

Значение:

Неизвестный тип атрибута

Расширения сертификатов: 5

2.5.29.19: Флаги = 1(критический), Длина = 4

Основные ограничения

Тип субъекта=ЦС

Ограничение на длину пути=0

2.5.29.31: Флаги = 0, Длина = a2

Точки распространения списков отзыва (CRL)

Точка распределения списка отзыва (CRL)

Имя точки распространения:

Полное имя:

URL=file://certserver/certsrv/trustca. crl

URL=http://www. *****/certsrv/trustca. crl

2.5.29.15: Флаги = 1(Критический), Длина = 4

Использование ключа

Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписание списка отзыва (CRL)(f6)

2.5.29.35: Флаги = 0, Длина = 18

Идентификатор ключа=4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5

2.5.29.14: Флаги = 0, Длина = 16

Идентификатор ключа субъекта

4f ab fd f6 8f cc 70 e5 2b 98 e1 a5 7c f0 b8 0b b1 e1 78 d5

Алгоритм подписи:

ObjectId алгоритма: 1.2.643.2.2.3 ГОСТ Р 34.11/34.10-2001

Параметры алгоритма:

Подпись: НеиспользБит=0

0b6 cda2 f0 e3 c4 fdce f7 06

0eed6 98 d8 4e 7c e6 fd 08 d5 e4 89

0d2 43 ec e9 a5b 32 a1 7e 7a 52 e9 18

0030 d9 eb 4bfb d9 8c 07 4e df 5c 98 c3 5a

Подпись соответствует открытому ключу

Проверка требования и результат

· Состав запроса должен соответствовать требованиям п. 2, Приложения 3.

· Запрос содержит поле «Алгоритм подписи», соответствующее требованиям п. 1.1.3, Приложения 3.

· Запрос содержит поле «Субъект», соответствующее требованиям п. 2.1, Приложения 3.

· Запрос содержит поле «Алгоритм открытого ключа», соответствующее требованиям п. 2.2, Приложения 3.

· Запрос содержит поле «Открытый ключ», соответствующее требованиям п. 2.3, Приложения 3.

· Запрос содержит поле «Запрос атрибутов», соответствующее требованиям п. 2.4, Приложения 3.

· Запрос содержит расширение «Основные ограничения», соответствующее требованиям п. 2.4.1, Приложения 3.

· Запрос содержит расширение «Идентификатор ключа субъекта», соответствующее требованиям п. 2.4.2, Приложения 3.

· Запрос содержит расширение «Использование ключа», соответствующее требованиям п. 2.4.3, Приложения 3.

· Запрос содержит действительную цифровую подпись. Текстовый файл содержит строку «Подпись соответствует открытому ключу».

· Значения полей «Алгоритм подписи», «Субъект», «Алгоритм открытого ключа», «Открытый ключ», указанные в запросе, должны соответствовать значениям этих полей, указанным в сертификате.

8.3. Проверка совместимости сертификатов ключей подписи, изданных УЦ Претендента, с программными средствами, используемыми в Системе

Претендент должен предоставить сертификат ключа подписи, изданный УЦ Претендента с закрытым ключом, соответствующий требованиям к сертификатам ключей подписей пользователя Системы.

Сертификат должен являться сертификатом, соответствующим международным рекомендациям X.509, версии 3 и соответствовать требованиям, предъявляемым к сертификатам

Проверка проводиться путём анализа текстового файла, содержащего данные сертификата.

Пример текстового файла, содержащего данные сертификата:

Сертификат X509:

Серийный номер: 1d196bfd2

Алгоритм подписи:

Параметры алгоритма:

Поставщик:

CN=Доверенный Удостоверяющий Центр

OU=Администрация

Действителен с: 31.01.2006 12:11

Действителен по: 31.01.2007 12:21

CN=Тестовый Пользователь Доверенного Удостоверяющего Центра

OU=Должность Тестового Пользователя

O=Организация Тестового Пользователя

Алгоритм открытого ключа:

ObjectId алгоритма: 1.2.643.2.2.20 ГОСТ Р 34.10-94

Параметры алгоритма:

Открытый ключ: UnusedBits = 0

09e 48 9f f3 bdc ec 5f fe 96

0a6 6b 9f f4 45 5e 65 0f df d5 de c4 e9 29

0020 4b 83 7a e0 99 e5 90 3e c5 4e dbe 10 77

0030 9ef 2e 97 c0 fb 93 eecc df 67

0f4 96 f3 4fe 73 7b 43 9f 7c be 48

0f 1c d3f1c8 f5 ab d1 64 4b 3f

0d cb a9 4e 97 a9 47 6a 12 ec 7f 31 7b bd 7f

0070 1e 8f 14 c7 f6 8c 2bd8 7d 4d 1c 1d 1c

Расширения сертификатов: 6

2.5.29.15: Флаги = 1(Критический), Длина = 4

Использование ключа

Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)

2.5.29.14: Флаги = 0, Длина = 16

Идентификатор ключа субъекта

c9 6c d5 8c eb 3c 1eda d1 43 c7 92 1e 7d

2.5.29.37: Флаги = 0, Длина = c

Улучшенный ключ

Защищенная электронная почта (1.3.6.1.5.5.7.3.4)

2.5.29.35: Флаги = 0, Длина = 18

Идентификатор ключа центра сертификатов

Идентификатор ключа=91c 5f 91 9ed bb c9 d4 c8 8a c3 13 b4 df 5b

2.5.29.31: Флаги = 0, Длина = 5a

Точки распространения списков отзыва (CRL)

Точка распределения списка отзыва (CRL)

Имя точки распространения:

Полное имя:

URL=file://certserver/certsrv/trustca. crl

URL=http://www. *****/certsrv/trustca. crl

1.3.6.1.5.5.7.1.1: Флаги = 0, Длина = 72

Доступ к информации о центрах сертификации

Доступ к сведениям центра сертификации

Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)

Дополнительное имя:

URL=http://www. *****/certsrv/trustca. crt

Алгоритм подписи:

ObjectId алгоритма: 1.2.643.2.2.4 ГОСТ Р 34.11/34.10-94

Параметры алгоритма:

Подпись: НеиспользБит=0

0ea 5f b3 38 6a d5e4d4 e9 a3

0010 f8e8 9f 77 c8 ec 4e 87 7f 87 ffc

0020 c0 a9 73 f8 9ac0 3f cc 71 cb b6 77 b1 d6

0c7 be 70 e4 28 9c bf ec 98 b3 26 af 04 bc 15

Не корневой сертификат

Хеш сертификата (md5): 50 e2 adc5 fa 41 ad 5ee

Хеш сертификата (sha1): 0d befa 9f fb d1e 51 ce 0ee1 f2 44 4c

Проверка требования и результат

· Сертификат является сертификатом, соответствующим международным рекомендациям X.509, версии 3. Текстовый файл содержит строку «Сертификат X509». Поле «Версия» содержит значение, соответствующее требованиям п. 1.1.1, Приложения 3.

· Сертификат содержит поле «Серийный номер сертификата», соответствующее требованиям п. 1.1.2, Приложения 3.

· Сертификат содержит поле «Алгоритм подписи», соответствующее требованиям п. 1.1.3, Приложения 3.

· Сертификат содержит поле «Поставщик», соответствующее требованиям п. 1.1.4, Приложения 3.

· Сертификат содержит поле «Субъект», соответствующее требованиям п. 1.1.5, Приложения 3.

· Сертификат содержит поля «Действителен с» и «Действителен до», соответствующие требованиям п. п. 1.1.6-1.1.8, Приложения 3.

· Сертификат содержит поле «Алгоритм открытого ключа», соответствующее требованиям п. 1.1.9, Приложения 3.

· Сертификат содержит поле «Открытый ключ», соответствующее требованиям п. 1.1.10, Приложения 3.

· Поля «Алгоритм подписи» и «Алгоритм открытого ключа» соответствуют требованиям п. 1.1.11, Приложения 3.

· Сертификат содержит расширение «Идентификатор ключа субъекта», соответствующее требованиям п. 1.2.1, Приложения 3.

· Сертификат содержит расширение «Доступ к информации о центрах сертификации», соответствующее требованиям п. 1.2.2, Приложения 3.

· Сертификат содержит расширение «Точки распространения списков отзыва», соответствующее требованиям п. 1.2.3, Приложения 3.

· Сертификат содержит расширение «Использование ключа», с назначениями ключа: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0).

· Сертификат содержит действительную цифровую подпись. При отображении сертификата операционной системой сообщения о недействительности подписи не появляются.

Проверка требования и результат

Установить СКП пользователей в программные средства. Произвести операции зашифровывания и подписания документа.

После зашифровывания сообщения должны расшифровываться, подпись должна проверяться.

8.4. Результаты проверки по разделу 8

Все обязательные требования из раздела 8 должны быть удовлетворены для получения Претендентом аккредитации в Сети ДУЦ.

Приложение 1

Примерный состав событий, регистрируемых программным комплексом обеспечения реализации целевых функций Претендента

ЦС должен регистрировать следующие основные события:

· установлено сетевое соединение с программной компонентой ЦР;

· издан СОС;

· принят запрос на сертификат ключа подписи;

· издан сертификат ключа подписи;

ЦР должен регистрировать следующие основные события:

· помещен запрос на регистрацию;

· принят запрос на регистрацию;

· отклонен запрос на регистрацию;

· помещен запрос на сертификат;

· принят запрос на сертификат;

· отклонен запрос на сертификат;

· установка сертификата подтверждена пользователем;

· помещен запрос на отзыв сертификата;

· принят запрос на отзыв сертификата;

· отклонен запрос на отзыв сертификата;

· помещен запрос на первый сертификат;

· запрошен список отозванных сертификатов;

· не выполнена внутренняя операция программной компоненты;

· установлено сетевое соединение с внешней программной компонентой;

· системные события общесистемного программного обеспечения.

Приложение 2

Примерный состав программных модулей,
подлежащих контролю целостности

· Программные модули средств электронной цифровой подписи.

· Программные модули ЦС.

· Программные модули ЦР.

· Программные модули АРМ Администратора ЦР.

Приложение 3

Требования к сертификатам ключей подписей и запросам на кросс-сертификат

Для включения в Сеть ДУЦ Претендент предоставляет в УЦ Организатора Сети ДУЦ следующие электронные документы:

· сертификат ключа подписи (СКП) уполномоченного лица (УЛ) УЦ;

· запрос на кросс-сертификат;

· закрытый ключ и СКП пользователя, изданный УЦ.

1. Требования к составу предоставляемого СКП

СКП представляет собой электронный сертификат, соответствующий международным рекомендациям X.509 версии 3, и содержит:

· стандартные поля сертификата версии 1;

· расширения сертификата;

· свойства сертификата;

· электронную цифровую подпись (ЭЦП) УЛ УЦ, выдавшего данный СКП.

1.1. Требования к составу и содержанию стандартных полей версии 1 сертификата

В состав стандартных полей версии 1 предоставляемого СКП входят следующие поля:

· поле «Версия»;

· поле «Серийный номер»;

· поле «Алгоритм подписи»;

· поле «Поставщик»;

· поле «Субъект»;

· поле «Действителен с »;

· поле «Действителен по »;

· поле «Открытый ключ».

1.1.1. Поле «Версия» должно содержать значение «3».

1.1.2. Поле «Серийный номер» должно содержать серийный номер СКП, уникальный в пределах серийных номеров всех сертификатов, выданных центром сертификации (ЦС) УЦ, издавшего предоставляемый СКП.

1.1.3. Поле «Алгоритм подписи» должно содержать OID алгоритма «1.2.643.2.2.3» (ГОСТ Р 34.11/34.10-2001) или «1.2.643.2.2.4» (ГОСТ Р 34.11/34.10-94).

1.1.4. Поле «Поставщик» должно содержать доменное имя УЦ, издателя сертификата. Доменное имя должно содержать компоненты доменного имени, определённые в международных рекомендациях X.501, и их значения.

1.1.5. Поле «Субъект» должно содержать доменное имя владельца предоставляемого сертификата. Доменное имя (DN) должно содержать следующие компоненты доменного имени:

· компонент «Общее имя» (CN, Common Name), содержащий фамилию, имя, отчество или псевдоним владельца сертификата;

· компонент «Неструктурированное Имя» или «ИНН» (UN, Unstructured Name, INN), содержащий ИНН организации (для юридических лиц) или владельца сертификата (для физических лиц);

· компонент «Неструктурированное Имя» (UN, Unstructured Name), содержащий КПП организации;

· компонент «Должность» (T, Title), содержащий должность владельца сертификата для юридических лиц;

· компонент «Подразделение» (OU, OrgUnit), содержащий подразделение организации владельца сертификата;

· компонент «Организация» (O, Organization), содержащий название организации владельца сертификата;

· компонент «Город» (L, Locality), содержащий название населённого пункта, в котором расположена организация владельца сертификата;

· компонент «Область/край» (S, State), содержащий название региона (при его наличии в почтовом адресе организации владельца сертификата);

· поле «Страна/регион» (С, Country), содержащее значение «RU»;

· поле «Электронная почта» (E, EMail), содержащее адрес электронной почты владельца сертификата.

1.1.6. Поле «Действителен с » должно содержать дату начала срока действия сертификата в формате UTC.

1.1.7. Поле «Действителен до » должно содержать дату истечения срока действия сертификата в формате UTC.

1.1.8. Срок действия сертификата должен уже наступить на момент предоставления СКП УЛ УЦ, а истечение срока действия должно наступить не ранее, чем через 12 месяцев с этого момента.

1.1.9. Поле «Алгоритм открытого ключа» должно содержать описание алгоритма открытого ключа; ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3) или ГОСТ Р 34.11/34.10-94 (OID 1.2.643.2.2.4).

1.1.10. Поле «Открытый ключ» должно содержать открытый ключ СКП, сформированный по алгоритму ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3) или по алгоритму ГОСТ Р 34.11/34.10-94 (OID 1.2.643.2.2.4).

1.1.11. Алгоритм подписи СКП (п. 1.1.3) должен соответствовать алгоритму формирования открытого ключа (п. 1.1.9).

1.2. Требования к составу и содержанию расширений сертификата

В состав расширений предоставляемого СКП должны входить следующие стандартные (по стандарту X.509) расширения:

· расширение «Идентификатор ключа субъекта»;

· расширение «Доступ к информации о центрах сертификации»;

· расширение «Точки распространения списков отзыва»;

· расширение «Основные ограничения»;

· расширение «Использование ключа».

1.2.1. Расширение «Идентификатор ключа субъекта» (OID 2.5.29.14) должно содержать значение идентификатора ключа субъекта.

1.2.2. Расширение «Доступ к информации о центрах сертификации» должно содержать описание адреса OCSP респондера (при его наличии) и (или) ссылку на ресурс, содержащий список издателей, составляющих путь сертификации для издателя СКП. Расширение должно быть указано как не критичное.

1.2.3. Расширение «Точки распространения списков отзыва» (OID 2.5.29.31) должно содержать:

· URL адрес действительной точки распространения списка отозванных сертификатов по протоколу «http»;

· URL адрес точки распространения списка отозванных сертификатов по протоколу «file».

Расширение должно быть указано как не критичное.

1.2.4. В СКП УЛ УЦ расширение «Основные ограничения» (OID 2.5.29.19) должно содержать поле «Тип субъекта» со значением «ЦС». Расширение должно быть указано как не критичное.

1.2.5. Расширение «Использование ключа» (OID 2.5.29.15) должно содержать следующие назначения ключа:

· цифровая подпись;

· неотрекаемость;

· шифрование ключей;

· шифрование данных;

· подписывание сертификатов *;

· автономное подписание списка отзыва *;

· подписывание списка отзыва (CRL)*.

Примечание * : только для СКП УЛ УЦ

Расширение должно быть указано как критичное.

1.2.6. В СКП пользователя расширение «Улучшенный ключ» (OID 2.5.29.37) должно содержать значение «Защищенная электронная почта» (1.3.6.1.5.5.7.3.4)

Расширение должно быть указано как не критичное.

Требования к ЭЦП сертификата

ЭЦП сертификата должна соответствовать открытому ключу сертификата.

2. Требования к составу запроса на кросс–сертификат уполномоченного лица УЦ

Запрос на кросс–сертификат УЛ кандидата на включение в Сеть ДУЦ должен содержать:

· поле «Субъект»;

· поле «Алгоритм открытого ключа»;

· поле «Открытый ключ»;

· поле «Запрос атрибутов».

2.1. Поле «Субъект» должно содержать доменное имя УЛ УЦ, владельца предоставляемого сертификата, соответствующее доменному имени указанному в СКП УЛ УЦ, как описано в п. 1.1.5.

2.2. Поле «Алгоритм открытого ключа» должно содержать OID алгоритма формирования открытого ключа СКП УЛ УЦ, со значением «1.2.643.2.2.3» (ГОСТ Р 34.11/34.10-2001) или «1.2.643.2.2.4» (ГОСТ Р 34.11/34.10-94).

2.3. Поле «Открытый ключ» должно содержать открытый ключ СКП сформированный по алгоритму ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3) или по алгоритму ГОСТ Р 34.11/34.10-94 (OID 1.2.643.2.2.4), соответствующий открытому ключу СКП УЛ УЦ.

2.4. Поле «Запрос атрибутов» должно содержать атрибут «Расширения сертификатов» (OID 1.3.6.1.4.1.311.2.1.14) со следующими расширениями:

· «Основные ограничения»;

· «Идентификатор ключа субъекта» (OID 2.5.29.14);

· «Использование ключа».

2.4.1. Расширение «Основные ограничения» (OID 2.5.29.19) должно содержать поле «Тип субъекта» со значением «ЦС» и поле «Ограничение на длину пути» co значением «1». Расширение должно быть указано как критичное.

2.4.2. Расширение «Идентификатор ключа субъекта» (OID 2.5.29.14) должно содержать значение идентификатора ключа субъекта, соответствующее значению идентификатора ключа субъекта, указанному в СКП УЛ УЦ (п. 1.2.1). Расширение должно быть указано как не критичное.

2.4.3. Расширение «Использование ключа» (OID 2.5.29.15) должно содержать назначения ключа, указанные в соответствующем расширении СКП УЛ УЦ (п. 1.2.5). Расширение должно быть указано как не критичное.

Примерный перечень информации, подлежащей защите

Информация, передаваемая Претенденту, подлежащая защите:

1) заявление на регистрацию в электронной форме;

2) заявление на изготовление сертификата ключа подписи в электронной форме;

3) заявление на аннулирование (отзыв) сертификата ключа подписи в электронной форме;

4) заявление на приостановление действия сертификата ключа подписи в электронной форме;

5) заявление на возобновление действия сертификата ключа подписи в электронной форме;

6) пароль, передаваемый пользователем УЦ при аутентификации по паролю;

7) ключевая фраза пользователя УЦ.

Информация, передаваемая от Претендента, подлежащая защите:

1) пароль, передаваемый пользователю УЦ для аутентификации по паролю;

2) бланк копии сертификата ключа подписи для вывода на бумажный носитель;

3) список сертификатов ключей подписей пользователя УЦ и их статус;

4) список запросов на сертификаты ключей подписей пользователя УЦ и их статус;

5) список запросов на аннулирование (отзыв), приостановление и возобновление действия сертификатов ключей подписей пользователя УЦ и их статус.

Приложение 5

Просим рассмотреть Комплект заявительных документов (прилагается), подтверждающих выполнение требований к удостоверяющим центрам, в соответствии с «Положением о Сети Доверенных удостоверяющих центров системы “Электронная Торговая Площадка”».

Реквизиты Удостоверяющего центра

Приложение перечень (опись) предоставленных документов:

1. Название документа на _____ лист__.

2. Название документа на _____ лист__.

N. Название документа на _____ лист__.

Итого _________ листов.

Документы в электронном виде на ________________ (описание и количество носителей):

1. Название документа название файла .

2. Название документа название файла .

N. Название документа название файла .

Руководитель удостоверяющего

центра (наименование) _________________ (расшифровка подписи)

М. П. (подпись)

5. Аккредитация УЦ осуществляется при условии выполнения им следующих требований:

1) стоимость чистых активов УЦ составляет не менее чем один миллион рублей;

2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей;

3) наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

4) наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи.

На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции УЦ, не распространяются требования, установленные подпунктами 1 и 2 настоящего пункта.

III. Требования к комплектности и содержанию документов, предоставляемых удостоверяющим центром в составе заявки на получение государственной аккредитации

6. Аккредитация УЦ осуществляется на основании заявления уполномоченного лица УЦ, подаваемого в уполномоченный орган (рекомендуемая форма заявления размещается на официальном сайте уполномоченного органа в информационно – телекоммуникационной сети Интернет).

6.1. В заявлении указывается следующая информация:

организационно – правовая форма и наименование УЦ (юридического лица);

место нахождения и основной государственный регистрационный номер (ОГРН) УЦ (юридического лица);

идентификационный номер налогоплательщика УЦ (юридического лица).

7. К заявлению прилагаются следующие документы (в том числе необходимые для изготовления квалифицированного сертификата ключа проверки электронной подписи (далее – квалифицированный сертификат), созданного с использованием средств головного УЦ):

1) документ, подтверждающий наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей. Таким документом может являться:

договор страхования ответственности;

банковская гарантия;

договор поручительства.

В случае предоставления банковской гарантии в качестве документа, подтверждающего наличие финансового обеспечения ответственности, заявитель указывает номер лицензии на осуществление банковской деятельности кредитной организации, предоставившей банковскую гарантию.

В случае предоставления договора страхования ответственности в качестве документа, подтверждающего наличие финансового обеспечения ответственности, уполномоченный орган дополнительно проверяет наличие указанной в договоре страхования организации в Едином государственном реестре субъектов страхового дела;

2) актуальная выписка из бухгалтерского баланса, подтверждающая, что стоимость чистых активов УЦ составляет не менее чем один миллион рублей;

3) документы, выдаваемые федеральным органом исполнительной власти в области обеспечения безопасности, подтверждающие соответствие используемых УЦ средств электронной подписи и средств УЦ, требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

4) документы, подтверждающие право собственности УЦ (право использования программы для ЭВМ) либо иное законное основание использования им средств электронной подписи и средств УЦ, указанных в подпункте 3 настоящего пункта;

5) документы, подтверждающие наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи:

копии трудовых договоров (с приложением утвержденных должностных регламентов);

копии документов о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);

6) учредительные документы УЦ, либо их надлежащим образом заверенные копии;

7) надлежащим образом заверенный перевод на русский язык документов о государственной регистрации юридического лица в соответствии с законодательством иностранного государства (для иностранных юридических лиц);

8) доверенность или иной документ, подтверждающий право уполномоченного лица УЦ, направившего указанные документы, действовать от имени УЦ.

Получение документов, указанных в настоящем пункте и находящихся в распоряжении органов, предоставляющих государственные услуги, органов, предоставляющих муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных государственным органам или органам местного самоуправления организаций, участвующих в предоставлении государственных услуг, осуществляется, в том числе в электронной форме с использованием единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия по межведомственному запросу уполномоченного органа.

Документы, указанные в настоящем пункте, могут быть представлены УЦ самостоятельно.

8. Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:

наличие необходимых для осуществления деятельности УЦ лицензий в соответствии с требованиями законодательства Российской Федерации;

внесение УЦ в реестр операторов, осуществляющих обработку персональных данных;

наличие Порядка реализации функций удостоверяющего центра, осуществления прав и исполнения обязанностей удостоверяющего центра, соответствующего требованиям законодательства Российской Федерации в сфере использования электронной подписи;

соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.

9. Заявление об аккредитации УЦ и прилагаемые к нему документы уполномоченное должностное лицо УЦ вправе направить в уполномоченный орган в форме электронного документа, подписанного электронной подписью.

Представление заявления и документов, указанных в настоящем пункте, в форме электронного документа, осуществляется с использованием информационно-телекоммуникационных сетей общего пользования, в том числе единого портала государственных и муниципальных услуг.

Принятие обоснованных решений в сфере как экономики, так и политики невозможно без обладания достаточным объемом правовой информации. Особенно остро эта необходимость ощущается в период реформирования экономического и политического устройства. Задачу удовлетворения потребности в своевременном предоставлении необходимого объема правовой информации решают различные средства массовой информации (СМИ).
В этой области конкурируют как традиционные СМИ, так и справочно-правовые системы (СПС). По-настоящему эффективная СПС может быть создана только с применением современных информационных технологий. Созданная таким образом СПС называется компьютерной.
Компьютерная справочно-правовая система - это программный комплекс, включающий в себя массив правовой информации и инструменты для работы с ним. Эти инструменты могут позволять производить поиск документов, формировать подборки документов, выводить документы или их фрагменты на печать.
Преимущества компьютерных СПС очевидны. Это и доступность информации, и удобство работы с нею. Проблема же, присущая таким системам, - недостаточная оперативность - может быть решена с помощью глобальной сети Интернет.

Основными причинами активного развития компьютерных СПС в России являются стремительное совершенствование и удешевление персональных компьютеров в последнее десятилетие, с одной стороны, и большое количество нормативных и других правовых документов, порожденных реформами политической и экономической жизни в стране, с другой стороны. В настоящее время существует множество практических задач, направлений, связанных с обращением к правовой информации, эффективно решить которые можно лишь при использовании компьютерных СПС. Бухгалтерский учет в полной мере можно отнести к таким направлениям.

Компьютерная справочная правовая система (СПС) - это программный комплекс, включающий в себя массив правовой информации и программные инструменты, позволяющие специалисту работать с этим массивом информации: производить поиск конкретных документов или их фрагментов, формировать подборки необходимых документов, выводить информацию на печать и т.д.

Использование компьютерных технологий для работы с законодательной информацией началось еще во второй половине 1960-х гг. Сначала справочные системы создавались в основном в виде электронных картотек («электронных каталогов»). Так, бельгийская система CREDOC, появившаяся на свет в 1967г., стала первой в Европе электронной картотекой для компьютерного поиска юридической информации.

Некоторые юридические электронные картотеки в процессе развития начали работать в диалоговом режиме благодаря сети терминалов в библиотеках и стали широко доступны для всех желающих. Примером такой системы может служить FINLEX, созданная в 1982 г. министерством юстиции Финляндии. Она предназначена для предоставления информации о судебных решениях и судебной практике.

При всех достоинствах электронные картотеки не позволяют знакомиться с полным текстом документов, поэтому более удобны полнотекстовые системы, дающие возможность не только практически моментально находить в громадных информационных массивах необходимый документ, но и работать с текстом найденного документа. В 1967 г. в результате соглашения между коллегией адвокатов штата Огайо и фирмой DATA Corp. началась разработка одной из самых известных полнотекстовых справочных правовых систем (СПС) США - LEXIS. С 1980 г. система стала доступна пользователям Великобритании, а с 1985 г. - Австралии. Ежедневно она отвечает на более чем 20 тыс. запросов, в ее информационной базе собраны нормативные документы штатов и акты федерального значения, в том числе полный текст Конституции США, а также все судебные прецеденты США.

Со временем в LEXIS было включено британское законодательство, а с 1981 г. - английские судебные прецеденты. Теперь эта система носит имя LEXIS-NEXIS и доступна в том числе через сеть Интернет.

В настоящее время все экономически развитые страны имеют СПС, и по некоторым оценкам сейчас в мире насчитывается более сотни подобных систем.

В России разработка компьютерных справочных правовых баз началась в июле 1975 г., когда руководство Советского Союза приняло решение о развитии правовой информатизации. В рамках реализации этого решения в 1976 г. при Министерстве юстиции был создан Научный центр правовой информации (НЦПИ). Основной задачей Центра стала разработка справочных систем и государственный учет нормативных актов. В то время пользоваться информационной базой НЦПИ могли лишь отдельные министерства, ведомства и государственные научные организации, широкий же доступ к информации был исключен.

Быстрое развитие и распространение СПС в России началось в конце 1980-х - начале 1990-х гг., когда и появились первые негосударственные СПС: в 1989 г. - «ЮСИС», в 1991 г. - «Гарант», в 1992 г. - «Консультант Плюс».

Основу правовых систем составляют электронные базы и банки правовой информации - это как бы «мозг и сердце» всей системы. Базы данных информационного обеспечения включают в себя самые разнообразные документы: от координационных планов разработки нормативных актов до актов зарубежного законодательства. В настоящее время в России уже создан ряд компьютерных центров и сетей правовой информации. Вступившие в строй сети охватывают большую часть территории России и предоставляют свои услуги сотням тысяч пользователей. В задачи этих центров входят сбор, аккумулирование, систематизация, хранение и предоставление потребителям различных сведений правового характера. Наиболее известны в России следующие продукты и разработавшие их компании:

«Консультант Плюс» (компания «Консультант Плюс»);

«Гарант» (НПП «Гарант-Сервис»);

«Кодекс» (Центр компьютерных разработок);

«Референт» (фирма «Референт-Сервис»).

К системам, созданным государственными предприятиями для обеспечения потребностей в правовой информации государственных ведомств, следует отнести системы:

«Эталон» (НЦПИ при Министерстве юстиции РФ);

«Система» (НТЦ «Система» при ФАПСИ).

Кроме того, на российском рынке представлены следующие системы:

«ЮСИС» (фирма «Интралекс»);

«Юридический Мир» (издательство «дело и право»);

«Ваше право» и «Юрисконсульт» (фирма «Информационные системы и технологии»);

«Законодательство России» (Ассоциация развития банковских технологий) и некоторые другие.

Согласно ч. 3 ст. 15 Конституции РФ все законы и нормативные акты должны быть опубликованы для всеобщего сведения, поэтому ни одна компьютерная правовая база, кроме НТЦ «Система», не является официальным источником опубликования нормативно-правовых актов. Таким образом, справочные правовые системы дают возможность получать и использовать полную, достоверную информацию по правовым проблемам, но имеют статус именно справочных. Поэтому при обращении, скажем, в суд (или иную инстанцию) необходимо ссылаться не на правовую базу, а на официальный источник публикации.

Поиск документов
Пользователь имеет возможность выбрать между несколькими видами поиска, представленными в системе, в зависимости от информации об искомом документе. В системе "Гарант" предоставлено четыре вида поиска:
поиск по реквизитам - поиск с указанием реквизитов документа;
поиск по ситуации - поиск с использованием ключевых слов, описывающих ситуацию, в которой необходим документ;
поиск по классификаторам - используется для подборки документов по определенной тематике;
поиск по источнику опубликования - позволяет искать документы с известным источником публикации.
Рассмотрим подробнее каждый из этих видов поиска.

Поиск по реквизитам
Такой поиск обычно используется, если нам заранее известны такие реквизиты документа, как вид, номер, дата принятия, орган, принявший документ, фрагмент текста документа и т. п.. Условия для поиска можно объединять логическими операторами. Для последующего быстрого использования сложного запроса он может быть сохранен.

Поиск по ситуации
Если реквизиты документа неизвестны, возможен поиск по ситуации. Для поиска по ситуации используется словарь, составленный из ключевых (наиболее значимых) слов, содержащихся в документах информационной базы. Для последовательной конкретизации запроса словарь разделен на два уровня - основной и подробный, которые представлены в виде дерева.
Процесс формирования запроса при поиске по ситуации заключается в выборе ключевого слова или слов (в запросе они будут соединены логическим оператором "ИЛИ").
В текущей версии системы возможно сохранить результаты только последнего поиска по ситуации, которые, к тому же, теряются при закрытии программы.

Поиск по классификаторам
Поиск по классификаторам позволяет создавать подборки документов по определенной тематике. Для этого в системе существует пять классификаторов: общий, в котором представлены все документы информационной базы, и специализированные:
судебная и арбитражная практика;
международные договоры;
разъяснения и комментарии;
проекты законов.
Для поиска документов, соответствующих определенной тематике, можно использовать поиск по реквизитам.

Поиск по источнику опубликования
Такой поиск позволяет искать документы с известным источником опубликования и является аналогом электронного каталога содержания печатных изданий, публиковавших документы, содержащиеся в информационной базе.

Списки документов и использование папок
В результате поиска любого представленного в системе вида формируется список документов, соответствующих запросу. Этот список содержит основные реквизиты документа и может быть по ним отсортирован. Списки, полученные в результате поиска, можно сохранить в папке для последующего обращения к ним. В системе "Гарант" реализована многоуровневая система папок, к которым, к тому же, можно применять операции объединения и пересечения. Папки, сформированные пользователем, сохраняются после закрытия программы.

Федеральный закон от 30 декабря 2015 года № 445-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи»» ужесточил требования к деятельности удостоверяющих центров.

Эти изменения ожидались давно, поскольку вопросов к деятельности УЦ накопилось много. Можно выделить три группы изменений:

• Более подробно регламентирована процедура выпуска УЦ сертификата ключа проверки подписи;


• Уточнено содержание информации в сертификатах;


• Значительно увеличены требования к чистым активам УЦ и их финансовому обеспечению за убытки, причиненные третьим лицам.

Одновременно УЦ «осуществляет в соответствии с правилами подтверждения владения ключом электронной подписи подтверждение владения заявителем ключом электронной подписи, соответствующим ключу проверки электронной подписи, указанному им для получения сертификата ключа проверки электронной подписи».

Мой комментарий: Насколько эти требования усложнят работу удостоверяющих центров, реально можно будет оценить только после утверждения подзаконных нормативно-правовых актов и установления соответствующих требований к этой работе.

Обязанности удостоверяющего центра в этой связи расширены, и теперь он должен отказать заявителю в создании сертификата ключа проверки электронной подписи в случае:

• Если не было подтверждено то, что он владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному им для получения сертификата;


• Отрицательного результата проверки в реестре сертификатов уникальности ключа проверки электронной подписи, указанного им для получения сертификата.

Мой комментарий: Интересно, это только мне одной данная формулировка кажется непонятной?

Определен еще один важный момент. Теперь удостоверяющий центр вправе наделить третьих лиц (далее - доверенные лица) полномочиями только по вручению сертификатов от имени этого удостоверяющего центра (ранее УЦ имел право наделить полномочиями создавать сертификаты - Н.Х. ). При вручении сертификата доверенное лицо обязано установить личность получателя либо полномочия лица, выступающего от его имени.

Уточнено содержание сертификата ключа проверки электронной подписи (ст. 14), в котором должны быть указаны:

• Уникальный номер сертификата ключа проверки электронной подписи, даты начала и окончания срока действия такого сертификата;


• Уникальный ключ проверки электронной подписи.

• Не подтверждено, что владелец сертификата владеет ключом ЭП, соответствующим ключу проверки электронной подписи, указанному в таком сертификате;


• Установлено, что содержащийся в таком сертификате ключ проверки ЭП уже содержится в ином ранее созданном сертификате;


• Вступило в силу решение суда, которым, в частности, установлено, что сертификат содержит недостоверную информацию.

В статье 15. установлены новые требования к аккредитованным удостоверяющим центрам. Аккредитованный удостоверяющий центр:

• Для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром (п.2.1.).


• Обязан выполнять установленный порядок реализации функций и исполнения обязанностей в соответствии с утвержденными уполномоченным федеральным органом требованиями (п.5);


• Не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от его имени (п.6);


• Несет гражданско-правовую и/или административную ответственность в соответствии с законодательством РФ за неисполнение установленных обязанностей (п.7).

• Стоимость чистых активов удостоверяющего центра должна составлять 7 миллионов рублей (ранее требовалось - не менее чем 1 миллион рублей);


• Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки ЭП, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ – от 30 до 100 миллионов рублей . (ранее - не менее чем 1,5 миллиона рублей);


• Наличия у УЦ средств, позволяющих при обращении участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа и имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности (вступает в силу с 31 декабря 2016 года);


• Наличие у удостоверяющего центра порядка реализации функций удостоверяющего центра и исполнения его обязанностей;

Мой комментарий: Таким образом, все аккредитованные удостоверяющие центры будут обязаны подключиться к системе СМЭВ. Без этого они просто не смогут начать работу.

В статье 17 уточнено, какую информацию о владельце должен содержать квалифицированный сертификат.

• Для физического лица - фамилия, имя и отчество (если имеется);


• Для индивидуального предпринимателя - фамилия, имя, отчество (если имеется) и основной государственный регистрационный номер индивидуального предпринимателя - владельца квалифицированного сертификата;


• Для российского юридического лица - наименование, место нахождения и основной государственный регистрационный номер;


• Для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) - либо наименование, место нахождения, а также идентификационный номер налогоплательщика (при наличии).

Законом установлен запрет операторам следующих информационных систем требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах:

• Государственных и муниципальных информационных систем;


• Информационных систем, использование которых предусмотрено нормативными правовыми актами;


• Информационных систем общего пользования не вправе.

В статье 18 «Выдача квалифицированного сертификата» изменена процедура представления документов и информации в УЦ. После того, как заявитель предоставит в УЦ информацию, документы или их надлежащим образом заверенные копии. аккредитованный удостоверяющий центр с использованием инфраструктуры осуществляет проверку достоверности документов и сведений, представленных заявителем. Для заполнения квалифицированного сертификата аккредитованный УЦ запрашивает и получает из государственных информационных ресурсов:

• Выписку из единого государственного реестра юридических лиц в отношении заявителя - юридического лица;


• Выписку из единого государственного реестра индивидуальных предпринимателей в отношении заявителя - индивидуального предпринимателя;


• Выписку из Единого государственного реестра налогоплательщиков в отношении заявителя - иностранной организации.

Мой комментарий: Процедура выдачи сертификатов напрямую завязана на проверке и подтверждении достоверности информации и документов заявителей. Следует учитывать, что УЦ придется не только проводить проверки, но и тщательно документировать все процедуры, поскольку наверняка этот вопрос будет контролироваться, и за его нарушение УЦ будут привлекаться к ответственности.

Удостоверяющие центры, имеющие действующую аккредитацию на день вступления в силу новых законодательных норм, обязаны в течение одного года обеспечить соответствие новым требованиям, предъявляемым к аккредитованным удостоверяющим центрам (ст.2).