Соглашение Минкомсвязи России, Росреестра от 26.12.2011 N ИМ-П13-21387/58
МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ,
КАДАСТРА И КАРТОГРАФИИ
СОГЛАШЕНИЕ
от 26 декабря 2011 г. N ИМ-П13-21387/58
О ВЗАИМНОМ ПРИЗНАНИИ ЭЛЕКТРОННЫХ ПОДПИСЕЙ
Министерство связи и массовых коммуникаций Российской Федерации в лице заместителя Министра Массуха И.И., действующего на основании доверенности N ИЩ-П13-11275 от 02.06.2011, и Федеральная служба государственной регистрации, кадастра и картографии в лице руководителя Федеральной службы государственной регистрации, кадастра и картографии Сергея Васильевича Васильева, действующего на основании Положения о Федеральной службе государственной регистрации, кадастра и картографии, утвержденного постановлением Правительства Российской Федерации от 01.06.2009 N 457, именуемое в дальнейшем "Участник", в дальнейшем совместно именуемые "Стороны", в целях повышения уровня оперативности и удобства получения организациями и гражданами государственных услуг, а также информации о результатах деятельности органов власти, в целях придания юридической значимости документам, подписанным электронной подписью и используемым в рамках межведомственного электронного взаимодействия при предоставлении государственных услуг и исполнении государственных функций, заключили настоящее Соглашение о нижеследующем.
1. Предмет Соглашения
1.1. Предметом настоящего Соглашения является взаимодействие Сторон, направленное на обеспечение взаимного признания электронных подписей для унифицированного оказания государственных услуг в электронном виде и обеспечения межведомственного электронного взаимодействия.
1.2. Взаимное признание электронных подписей для унифицированного оказания государственных услуг в электронном виде и обеспечения межведомственного электронного взаимодействия достигается:
созданием единой системы удостоверяющих центров;
обеспечением Сторонами технологической возможности использования средств электронной подписи (далее - ЭП), соответствующих требованиям настоящего Соглашения, в своих информационных системах;
использованием единого формата сертификата ключа проверки электронной подписи.
1.3. Стороны исходят из необходимости согласования и соблюдения выработанных совместно принципов, подходов и механизм взаимодействия в целях успешного выполнения установленных задач Сторон на условиях, определяемых настоящим Соглашением.
2. Взаимодействие сторон
2.1. В рамках предмета настоящего Соглашения Стороны осуществляют взаимодействие по следующим основным направлениям:
реализуют общие принципы информационного и технологического взаимодействия Сторон на основе настоящего Соглашения;
осуществляют совместную деятельность, направленную на создание и развитие единой системы удостоверяющих центров для унифицированного оказания государственных услуг в электронном виде и обеспечения межведомственного электронного взаимодействия.
2.2. При обмене документами в электронном виде Стороны руководствуются требованиями по защите информации, требованиями по информационной безопасности, а также иными требованиями к организации документооборота, установленными законодательством Российской Федерации.
3. Обязанности сторон
3.1. Стороны признают и принимают электронные документы, подписанные электронными подписями в порядке, установленном законодательством, если сертификаты ключей проверки электронных подписей, владельцами которых являются уполномоченные лица, подписавшие электронные документы, изготовлены с использованием сертификатов и ключей ЭП любого удостоверяющего центра, входящего в единую систему удостоверяющих центров.
3.2. Стороны обязуются осуществить в течение 3-х месяцев с момента заключения настоящего Соглашения все необходимые организационно-технические мероприятия для обеспечения технологической возможности использования средств ЭП, соответствующих требованиям настоящего Соглашения, в своих информационных системах.
3.3. Министерство связи и массовых коммуникаций Российской Федерации предоставляет Участнику возможность доступа к информации, содержащейся в реестре сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, для обеспечения возможности проверки электронных документов, подписанных ЭП. Для проверки подлинности ЭП может быть использован сервис подтверждения подлинности ЭП, функционирующий на Едином портале государственных и муниципальных услуг.
В случае изменения состава уполномоченных лиц Сторона в течение одного дня информирует об этом Министерство связи и массовых коммуникаций Российской Федерации.
3.4. Стороны обязуются не разглашать информацию, полученную в процессе взаимодействия, без взаимного согласования и использовать ее только в целях настоящего Соглашения.
4. Единая система удостоверяющих центров
4.1. В целях настоящего Соглашения под единой системой удостоверяющих центров понимается совокупность удостоверяющих центров, включенных в Перечень уполномоченных удостоверяющих центров, обладающих технологической возможностью подтверждения подлинности ЭП уполномоченных лиц Сторон в электронных документах, подписанных с использованием сертификатов ключей проверки электронной подписи, изготовленным любым из удостоверяющих центров, входящим в единую систему удостоверяющих центров (далее - Доверенный УЦ).
4.2. В единую систему удостоверяющих центров могут входить удостоверяющие центры (далее - УЦ) органов государственной власти и органов местного самоуправления, а также иные УЦ, вне зависимости от организационно-правовой формы, при условии выполнения ими требований настоящего Соглашения.
4.3. В целях формирования Единой системы удостоверяющих центров Участник предоставляет в Министерство связи и массовых коммуникаций Российской Федерации информацию о предлагаемых к включению в Перечень уполномоченных удостоверяющих центров удостоверяющих центрах, которые отвечают требованиям настоящего Соглашения, а также принимает необходимые и достаточные меры для осуществления УЦ действий по включению в единую систему удостоверяющих центров.
4.4. Сертификаты ключей проверки электронной подписи, изготовленные и выданные Доверенными УЦ для целей настоящего Соглашения, должны соответствовать Требованиям к единому формату сертификата ключа проверки электронной подписи (Приложение N 3 к настоящему Соглашению).
4.5. При осуществлении межведомственного электронного документооборота Стороны используют сертификаты ключей проверки электронной подписи, указанные в пункте 4.4 настоящего Соглашения.
4.6. Министерство связи и массовых коммуникаций Российской Федерации обеспечивает:
включение УЦ в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров согласно установленному порядку (Приложение N 1 к настоящему Соглашению);
доступ участников информационного взаимодействия в рамках настоящего Соглашения к информации, содержащейся в едином государственном реестре сертификатов ключей подписей уполномоченных лиц удостоверяющих центров, в Перечне уполномоченных удостоверяющих центров единой системы удостоверяющих центров.
4.7. Министерство связи и массовых коммуникаций Российской Федерации осуществляет формирование и ведение Реестра сертификатов ключей подписей уполномоченных лиц удостоверяющих центров единой системы удостоверяющих центров и Перечня удостоверяющих центров единой системы удостоверяющих центров на основе TSL-технологии и обеспечивает возможность доступа Участника к содержащейся в них информации с целью возможности осуществления проверки электронных подписей, изготовленных с использованием средств электронной подписи Доверенными УЦ.
5. Ответственность Сторон
5.1. При невыполнении одной из Сторон условий настоящего Соглашения другая Сторона вправе расторгнуть настоящее Соглашение в сроки, установленные пунктом 6.2 настоящего Соглашения.
5.2. При невыполнении УЦ федерального органа исполнительной власти требований настоящего Соглашения Министерство связи и массовых коммуникаций Российской Федерации вправе исключить его из Перечня уполномоченных удостоверяющих центров единой системы удостоверяющих центров.
6. Срок действия Соглашения
6.1. Настоящее Соглашение вступает в силу со дня его подписания Сторонами и действует бессрочно.
6.2. Соглашение может быть расторгнуто по согласованию Сторон, кроме того, любая из Сторон Соглашения вправе расторгнуть его в одностороннем порядке, направив другой Стороне письменное уведомление не менее чем за 30 (тридцать) дней до предполагаемой даты выхода из Соглашения.
6.3. Расторжение настоящего Соглашения не освобождает Стороны от исполнения обязательств, возникших в период его действия.
7. Прочие условия
7.1. Все дополнения и изменения к настоящему Соглашению вносятся по взаимному согласию Сторон, оформляются в письменной форме и становятся неотъемлемой частью Соглашения с даты их подписания Сторонами.
7.2. Настоящее Соглашение составлено в двух экземплярах, имеющих равную юридическую силу, по одному для каждой из Сторон.
7.3. При возникновении конфликтных ситуаций, связанных с использованием ЭП в целях настоящего Соглашения, стороны руководствуются порядком разрешения конфликтных ситуаций, связанных с применением ЭП при межведомственном электронном взаимодействии (Приложение N 2 к Соглашению).
7.4. К настоящему Соглашению прилагаются и являются его неотъемлемой частью:
Приложение N 1 "Порядок включения удостоверяющего центра в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров";
Приложение N 2 "Порядок разрешения конфликтных ситуаций, связанных с применением ЭП при межведомственном электронном взаимодействии";
Приложение N 3 "Требования к единому формату сертификата ключа проверки электронной подписи".
8. Адрес места нахождения, реквизиты и подписи сторон
Приложение N 1
к Соглашению о взаимном
признании электронных подписей
от 26 декабря 2011 г. N ИМ-П13-21387/58
ПОРЯДОК
ВКЛЮЧЕНИЯ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА В ПЕРЕЧЕНЬ УПОЛНОМОЧЕННЫХ
УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ЕДИНОЙ СИСТЕМЫ
УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ
1. Общие положения
Порядок включения удостоверяющего центра в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров (далее - Порядок), формируемой Министерством связи и массовых коммуникаций Российской Федерации как уполномоченным органом в области использования электронной цифровой подписи, регламентирует процедуры включения в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров в области электронной подписи, организаций, исполняющих функции удостоверяющего центра согласно положениям Федерального закона от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" и Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".
Включение удостоверяющего центра (далее - УЦ) в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров осуществляется при условии выполнения им следующих требований:
сертификаты ключей подписи уполномоченных лиц УЦ включены в единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров;
наличие необходимых лицензий в соответствии с требованиями действующего законодательства Российской Федерации;
наличие возможности предоставления актуальной информации из реестра выданных и аннулированных сертификатов ключей проверки электронной подписи по запросам Сторон настоящего Соглашения;
стоимость чистых активов УЦ составляет не менее чем один миллион рублей;
наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей;
наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи.
На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции УЦ, не распространяются требования, установленные абзацами 6 и 7 настоящего раздела.
Подтверждением включения УЦ в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров в области электронной цифровой подписи является свидетельство о включении УЦ в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров в области электронной цифровой подписи (далее - Перечень УЦ ЕС УЦ) по итогам рассмотрения документов, представленных УЦ. В случае непредставления УЦ полного комплекта документов Министерство связи и массовых коммуникаций Российской Федерации вправе выдать свидетельство о включении УЦ в Перечень УЦ ЕС УЦ сроком на 3 месяца, с перечнем замечаний, требующих устранения в 3-х месячный срок.
Сведения из Перечня УЦ ЕС УЦ размещаются на "Едином портале государственных и муниципальных услуг" в информационно-телекоммуникационной сети "Интернет" и на официальном сайте Министерства связи и массовых коммуникаций Российской Федерации в информационно-телекоммуникационной сети "Интернет" (http://www.minsvyaz.ru).
В случае отрицательного результата рассмотрения заявления УЦ на включение в Перечень УЦ ЕС УЦ удостоверяющий центр вправе вновь обратиться с заявкой об оценке соответствия после устранения замечаний.
2. Порядок включения УЦ в Перечень УЦ ЕС УЦ
Процедура включения УЦ в Перечень УЦ ЕС УЦ включает следующие этапы:
представление УЦ заявки на включение в Перечень УЦ ЕС УЦ;
рассмотрение комплектности и содержания документов, представленных УЦ;
оформление заключения о включении/невозможности включения УЦ в Перечень УЦ ЕС УЦ;
выдача свидетельства о включении в Перечень УЦ ЕС УЦ;
выдача уведомления о несоответствии УЦ требованиям, предъявляемым к организациям, исполняющим функции удостоверяющих центров и претендующим на включение в Перечень УЦ ЕС УЦ.
2.1. Представление заявки на включение в Перечень УЦ ЕС УЦ.
2.1.1. УЦ направляет в адрес Министерства связи и массовых коммуникаций Российской Федерации заявку в письменном виде, по форме, приведенной в Приложении N 1 к настоящему Порядку.
2.1.2. Заявка на включение в Перечень УЦ ЕС УЦ подается УЦ не позднее 3-х месяцев до истечения сроков действия лицензий на следующие виды деятельности:
распространение шифровальных (криптографических) средств;
техническое обслуживание шифровальных (криптографических) средств;
предоставление услуг в области шифрования.
2.1.3. К заявке УЦ прилагает комплект документов в следующем составе (далее - заявительные документы):
копию свидетельства о внесении записи в Единый государственный реестр юридических лиц о юридическом лице, зарегистрированном до 1 июля 2002 года (ОГРН), - при наличии;
выписку из Единого государственного реестра юридических лиц;
копию свидетельства о постановке юридического лица на учет в налоговом органе (идентификационный номер налогоплательщика);
выписку (копию уведомления) о включении сертификата уполномоченного лица УЦ в Единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров;
выписку из реестра операторов, осуществляющих обработку персональных данных;
копию Устава организации и свидетельства о государственной регистрации/государственной регистрации изменений, вносимых в учредительные документы;
копии приказов, протоколов либо иных документов о назначении уполномоченных лиц удостоверяющего центра (в соответствии с учредительными документами организации) и/или надлежащим образом оформленные доверенности;
копии общегражданских паспортов уполномоченных лиц удостоверяющего центра или других документов, удостоверяющих личность уполномоченных лиц удостоверяющего центра;
копию порядка, регламентирующего деятельность УЦ (Регламент УЦ);
перечень средств электронной цифровой подписи, используемых УЦ при осуществлении своей деятельности, заверенный печатью УЦ;
копию сертификата уполномоченного лица УЦ, заверенного печатью УЦ, в письменной форме на бумажном носителе и в электронном виде на съемном носителе;
копию сертификата пользователя УЦ для использования в целях присоединения, заверенного печатью УЦ, в письменной форме на бумажном носителе и в электронном виде на съемном носителе;
сведения об организационно-технических мерах по обеспечению надежности функционирования УЦ и технической поддержке пользователей, наличии квалифицированного персонала (копии дипломов), количестве обслуживаемых организаций и владельцах сертификатов, а также о количестве и месте размещения удаленных центров (пунктов) регистрации;
структурная схема взаимодействия компонент УЦ, удаленных центров (пунктов) регистрации и пользователей с указанием наименований их технических средств (в т.ч. каналообразующих) и с отображением порядка информационного обмена при выпуске сертификата пользователя и при подключении нового удаленного центра (пункта) регистрации, пояснительная записка к структурной схеме;
копию лицензии УЦ на распространение шифровальных (криптографических) средств;
копию лицензии УЦ на техническое обслуживание шифровальных (криптографических) средств;
копию лицензии УЦ на предоставление услуг в области шифрования;
копия(ю) паспорта (свидетельства) о включении в сеть уполномоченных удостоверяющих центров иных органов государственной власти - при наличии;
документы, заверенные подписью руководителя УЦ, подтверждающие факт добровольного прохождения тестов на совместимость сертификатов ключей подписей.
2.1.4. Документ о назначении уполномоченного лица УЦ (надлежащим образом оформленная доверенность) должен идентифицировать уполномоченное лицо как владельца сертификата ключа подписи уполномоченного лица УЦ.
2.1.5. Перечень средств криптографической защиты информации (средств ЭЦП), предъявленный УЦ, должен содержать только сертифицированные в системе сертификации РОСС RU.0001.030001 средства.
2.1.6. В порядке, регламентирующем деятельность УЦ (Регламент УЦ), должны быть отражены условия и порядок представления услуг удостоверяющим центром пользователям (потребителям услуг), права, обязательства и ответственность УЦ и пользователей (потребителей услуг) УЦ, а также сведения:
о реализации мер защиты информационных ресурсов УЦ;
о порядке эксплуатации средств защиты;
о порядке проведения организационно-технических мероприятий, обеспечивающих синхронизацию и поддержание в актуальном состоянии реестра сертификатов УЦ;
о порядке действий обслуживающего персонала УЦ.
2.1.7. Копия заключения о выполнении требований по безопасности информации на объекте информатизации УЦ может быть выдана любой организацией на территории Российской Федерации, аккредитованной в системе ФСТЭК России в качестве органа по аттестации (испытательной лаборатории). В случае невозможности представить на момент подачи заявки на проведение проверки копии указанного заключения УЦ вправе представить вместо нее Декларацию о соответствии требованиям к информационной безопасности и требованиям, предъявляемым к УЦ, претендующим на присоединение к системе УЦ. Декларация о соответствии требованиям, предъявляемым к удостоверяющим центрам, претендующим на присоединение к системе УЦ, предоставляется УЦ в произвольной форме и должна отражать состояние Регламента УЦ, основные мероприятия по выполнению политики безопасности УЦ, сведения о предоставляемых сервисах и услугах, даты проведения последних инспекционных проверок лицензионной деятельности, выявленных в их ходе нарушениях и принятых мерах по устранению, а также обязательство УЦ о предоставлении указанного выше заключения (аттестата соответствия) в срок не более 3-х месяцев с момента подачи заявки на включение в Перечень УЦ ЕС УЦ. К Декларации могут быть приложены документы, подтверждающие соответствие УЦ требованиям к информационной безопасности:
копия сертификата соответствия удостоверяющего центра, как комплекса программно-технических средств, указанному в Декларации уровню требований к информационной безопасности, выданного ФСБ России;
копия аттестата соответствия требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России.
2.1.8. Представление всех документов, перечисленных в пункте 2.1, может служить основанием для проведения процедуры рассмотрения документов при включении УЦ в Перечень УЦ ЕС УЦ.
2.1.9. Все документы, предоставляемые в виде копий, а также Декларация о соответствии заверяются руководителем организации (или уполномоченным должностным лицом УЦ, действующим на основании доверенности) и печатью УЦ.
2.1.10. Министерство связи и массовых коммуникаций Российской Федерации имеет право запрашивать от УЦ дополнительные сведения, объяснения и иную информацию, необходимую для проведения оценки соответствия.
Министерство связи и массовых коммуникаций Российской Федерации организует рассмотрение заявительных документов УЦ на корректность и полноту изложенных в них сведений, на их соответствие законодательству Российской Федерации, положениям иных нормативных правовых актов. Рассмотрение заявительных документов проводится после представления УЦ заявки с прилагаемым полным комплектом заявительных документов.
2.2. Срок рассмотрения документов составляет 30 дней.
2.3. Результаты рассмотрения документов оформляются заключением, подписанным уполномоченным должностным лицом Министерства связи и массовых коммуникаций Российской Федерации.
2.3.1. На основании положительного заключения УЦ выдается свидетельство о включении УЦ в Перечень УЦ ЕС УЦ. Свидетельство подписывается директором Департамента государственной политики в области создания и развития электронного правительства Министерства связи и массовых коммуникаций Российской Федерации (далее - ДЭП) и направляется УЦ. Копия свидетельства остается в деле.
2.4. При заключении о включении УЦ в Перечень УЦ ЕС УЦ сведения об удостоверяющем центре вносятся в Перечень УЦ ЕС УЦ. Сведения из Перечня УЦ ЕС УЦ размещаются в информационно-телекоммуникационной сети "Интернет" (www.gosuslugi.ru и на http://www.reestr-pki.ru).
2.4.1. В случаях выявления в ходе рассмотрения:
- нарушений законодательства Российской Федерации, а также несоответствия УЦ требованиям иных нормативных правовых актов;
- несоответствия заявительных документов УЦ требованиям, изложенным в разделе 2 настоящего Порядка;
- представления УЦ ложных сведений;
- нарушений УЦ требований настоящего Порядка
Министерством связи и массовых коммуникаций Российской Федерации оформляется заключение о невозможности включения УЦ в Перечень УЦ ЕС УЦ и выдается уведомление о несоответствии УЦ требованиям, предъявляемым к организациям, исполняющим функции УЦ и претендующим на включение в Перечень УЦ ЕС УЦ, с указанием причин отказа.
2.4.2. Запись в Перечне УЦ ЕС УЦ действительна в течение 1 года с момента ее внесения при соблюдении следующих условий:
- на протяжении срока действия записи УЦ имеет действующие лицензии на следующие виды деятельности: распространение шифровальных (криптографических) средств, техническое обслуживание шифровальных (криптографических) средств, предоставление услуг в области шифрования;
- запись не была исключена (аннулирована) в соответствии с пунктом 2.4.3 настоящего Порядка.
2.4.3. Запись в Перечне УЦ ЕС УЦ исключается (аннулируется), если УЦ был ликвидирован как юридическое лицо или прекратил свою деятельность в качестве УЦ. При аннулировании записи в Перечне УЦ ЕС УЦ, при возобновлении деятельности УЦ должен вновь пройти процедуру оценки соответствия согласно настоящему Порядку.
2.4.4. По окончании срока действия записи в Перечне УЦ ЕС УЦ запись может быть продлена. Для этого УЦ должен направить в адрес Министерства связи и массовых коммуникаций Российской Федерации заявку на проведение повторной оценки соответствия не позднее чем за 45 календарных дней до окончания срока действия записи в Перечне УЦ ЕС УЦ.
2.4.5. Повторная оценка соответствия УЦ, проводимая в связи с истечением срока действия записи в Перечне УЦ, при условии, что в течение срока действия записи в Перечне УЦ ЕС УЦ не выявлено нарушений со стороны УЦ, может проводиться по упрощенной схеме. Министерство связи и массовых коммуникаций Российской Федерации может принять решение об актуализации записи в Перечне УЦ ЕС УЦ на основании заявки о продлении сроков действия заключения по форме, приведенной в приложении N 2 к настоящему Порядку.
3. Оценка выполнения условий включения
Оценка выполнения условий включения УЦ необходима для соблюдения неизменности качества и состава услуг доверенного УЦ, включенного в Перечень УЦ ЕС УЦ.
Об изменении условий эксплуатации УЦ, а также о реорганизации, затрагивающей его деятельность, УЦ должен незамедлительно (в течение суток) в письменной форме проинформировать Министерство связи и массовых коммуникаций Российской Федерации.
При выявлении нарушений включения Министерство связи и массовых коммуникаций Российской Федерации имеет право исключить (аннулировать) УЦ из Перечня УЦ ЕС УЦ, о чем, с указанием причин, уведомляет УЦ в письменном виде. Повторное включение УЦ в Перечень УЦ ЕС УЦ может быть выполнено Министерством связи и массовых коммуникаций Российской Федерации только после устранения УЦ всех указанных нарушений.
Приложение N 1
к Порядку включения удостоверяющего
центра в Перечень уполномоченных
удостоверяющих центров единой
системы удостоверяющих центров
Приложение N 2
к Порядку включения удостоверяющего
центра в Перечень уполномоченных
удостоверяющих центров единой
системы удостоверяющих центров
Приложение N 2
к Соглашению о взаимном
признании электронных подписей
от 26.12.2011 N ИМ-П13-21387/58
ПОРЯДОК
РАЗРЕШЕНИЯ КОНФЛИКТНЫХ СИТУАЦИЙ, СВЯЗАННЫХ С ПРИМЕНЕНИЕМ ЭП
ПРИ МЕЖВЕДОМСТВЕННОМ ВЗАИМОДЕЙСТВИИ
1. Общие положения
1.1. Возникновение конфликтных ситуаций может быть связано с формированием, доставкой, получением, подтверждением получения электронных документов, а также использованием в данных документах ЭП. Конфликтные ситуации могут возникать в следующих случаях:
неподтверждение подлинности защищенных электронных документов средствами проверки ЭП получателя;
оспаривание факта идентификации владельца ЭП, подписавшего электронный документ;
заявление отправителя или получателя электронного документа о его искажении;
оспаривание факта отправления и (или) получения электронного документа;
оспаривания времени отправления и (или) получения электронного документа;
иные случаи возникновения конфликтных ситуаций.
1.2. Конфликтные ситуации разрешаются (урегулируются) Участниками Соглашения (далее - Стороны) в рабочем порядке и/или по итогам работы Экспертной комиссии, создаваемой Министерством связи и массовых коммуникаций Российской Федерации.
2. Уведомление о конфликтной ситуации
2.1. В случае возникновения обстоятельств, свидетельствующих, по мнению одной из Сторон, о возникновении и/или наличии конфликтной ситуации, данная Сторона (далее - Сторона-инициатор) незамедлительно извещает другую заинтересованную Сторону, а также Министерство связи и массовых коммуникаций Российской Федерации о возможном возникновении и/или наличии конфликтной ситуации, обстоятельствах, свидетельствующих о ее возникновении или наличии, а также ее предполагаемых причинах.
2.2. Сторона, которой было направлено извещение о конфликтной ситуации и участвующая в ее разрешении (далее - Сторона-ответчик), обязана не позднее чем в течение следующего рабочего дня проверить наличие указанных в извещении обстоятельств, и, по необходимости, принять меры по разрешению конфликтной ситуации со своей стороны.
2.3. В тот же срок Сторона-ответчик извещает доступными способами Сторону-инициатора, а также Министерство связи и массовых коммуникаций Российской Федерации о результатах проверки и, при необходимости, о мерах, принятых для разрешения конфликтной ситуации.
3. Разрешение конфликтной ситуации в рабочем порядке
3.1. Конфликтная ситуация признается разрешенной в рабочем порядке в случае, если Сторона-инициатор удовлетворена информацией, полученной в извещениях Стороны-ответчика, и не имеет к ней претензий в связи с конфликтной ситуацией.
3.2. В случае, если конфликтная ситуация не была разрешена в рабочем порядке (Сторона-инициатор не удовлетворена информацией, полученной от Стороны-ответчика), Сторона-инициатор должна не позднее чем в течение трех рабочих дней после возникновения конфликтной ситуации направить уведомление о конфликтной ситуации (далее - Уведомление) в Министерство связи и массовых коммуникаций Российской Федерации через СМЭВ.
3.3. Уведомление должно содержать информацию о предмете и существе конфликтной ситуации, обстоятельствах, по мнению Стороны-инициатора свидетельствующих о наличии конфликтной ситуации, возможных причинах и последствиях ее возникновения.
3.4. Уведомление должно содержать информацию с указанием фамилий, имен, отчеств, должностей и контактной информации должностных лиц Стороны-инициатора, уполномоченных в разрешении конфликтной ситуации.
3.5. Уведомление составляется в виде электронного документа и подписывается уполномоченным должностным лицом Стороны-инициатора. При этом факт доставки Уведомления должен быть подтвержден.
4. Порядок создания и работы Экспертной комиссии
Минкомсвязи России
4.1. Не позднее чем на третий рабочий день после получения Уведомления конфликтная ситуация должна быть передана на рассмотрение Экспертной комиссии Министерства связи и массовых коммуникаций Российской Федерации.
4.2. Экспертная комиссия формируется на основании приказа Министерства связи и массовых коммуникаций Российской Федерации. В приказе также определяется состав Экспертной комиссии.
4.3. Для рассмотрения конфликтной ситуации устанавливается пятидневный срок работы Экспертной комиссии. В исключительных случаях срок работы Экспертной комиссии по согласованию со Сторонами может быть дополнительно продлен не более чем на десять дней.
4.4. В состав Экспертной комиссии могут быть включены уполномоченные лица Сторон, участвующих в разрешении конфликтной ситуации.
4.5. В состав Экспертной комиссии назначаются представители структурных подразделений информационно-технического обеспечения и обеспечения информационной безопасности, а также представители структурных подразделений - исполнителей электронного документа.
4.6. В состав Экспертной комиссии должен входить уполномоченный представитель доверенного УЦ.
4.7. К работе Экспертной комиссии для проведения технической экспертизы могут привлекаться независимые эксперты, в том числе представители поставщиков средств защиты информации.
4.8. Лица, входящие в состав Экспертной комиссии, должны обладать необходимыми знаниями и опытом работы в области подготовки и исполнения электронных документов, построения и функционирования Системы доверенных УЦ, организации и обеспечения информационной безопасности при обмене электронными документами, должны иметь соответствующий допуск к необходимым для проведения работы Экспертной комиссии документальным материалам и программно-техническим средствам.
4.9. При участии в Экспертной комиссии представителей сторонних органов и организаций их право представлять соответствующие органы и организации должно подтверждаться официальным документом (доверенностью, предписанием, копией приказа или распоряжения).
4.10. Экспертная комиссия имеет право:
получать доступ к необходимым для проведения ее работы документальным материалам Сторон, на бумажных и электронных носителях;
проводить ознакомление с условиями и порядком подготовки, формирования, обработки, доставки, исполнения, хранения и учета электронных документов;
проводить ознакомление с условиями и порядком эксплуатации Сторонами программно-технических средств обмена электронными документами;
проводить ознакомление с условиями и порядком изготовления, использования и хранения Сторонами ключевой информации, а также иной конфиденциальной информации и ее носителей, необходимых для работы Экспертной комиссии;
получать объяснения от должностных лиц Сторон, обеспечивающих обмен электронными документами;
получать от Сторон любую иную информацию, относящуюся, по ее мнению, к рассматриваемой конфликтной ситуации.
4.11. Для проведения необходимых проверок и документирования данных Экспертной комиссией могут применяться специальные программно-технические средства.
4.12. Все мероприятия Экспертной комиссии по проверке с применением аппаратно-программных средств должны протоколироваться. Протоколы прилагаются к акту работы комиссии.
4.13. По итогам работы Экспертной комиссии составляется акт, при этом акт должен содержать следующую информацию:
состав Экспертной комиссии;
дату и место составления акта;
даты и время начала и окончания работы Экспертной комиссии;
фактические обстоятельства, установленные Экспертной комиссией;
краткий перечень мероприятий, проведенных Экспертной комиссией;
выводы, к которым пришла Экспертная комиссия в результате проведенных мероприятий;
подписи членов Экспертной комиссии.
4.14. К акту может прилагаться особое мнение члена или членов Экспертной комиссии, не согласных с выводами Экспертной комиссии, указанными в акте. Особое мнение составляется в произвольной форме, подписывается членом или членами Экспертной комиссии, чье мнение оно отражает.
4.15. Акт составляется в форме документа на бумажном носителе, по одному экземпляру каждой Стороне. По обращению любого из членов Экспертной комиссии Стороной, к которой было направлено обращение, ему должна быть выдана заверенная копия акта.
4.16. Акт Экспертной комиссии является основанием для принятия Сторонами решения по урегулированию конфликтной ситуации.
Приложение N 3
к Соглашению о взаимном
признании электронных подписей
от 26.12.2011 N ИМ-П13-21387/58
ТРЕБОВАНИЯ
К ЕДИНОЙ СТРУКТУРЕ СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ
ЭЛЕКТРОННОЙ ПОДПИСИ
1. Общие требования.
Сертификат ключа проверки электронной подписи (далее - СКП) представляет собой электронный документ с электронной подписью уполномоченного лица удостоверяющего центра.
Структура и содержание СКП определяются:
Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";
настоящим документом;
международными рекомендациями RFC 5280 "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile";
международными рекомендациями RFC 4491 "Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile".
СКП должен содержать:
обязательные поля СКП;
расширения СКП.
2. Требования к составу и содержанию обязательных полей СКП.
В состав обязательных полей СКП входят следующие поля:
поле "Версия";
поле "Серийный номер";
поле "Издатель сертификата";
поле "Срок действия сертификата";
поле "Владелец сертификата";
поле "Открытый ключ".
2.1. Поле "Версия" (version) должна быть не ниже 3.
2.2. Поле "Серийный номер" (serialNumber) должно содержать серийный номер СКП, уникальный в пределах серийных номеров всех сертификатов, выданных УЦ, издавшего СКП.
2.3. Поле "Издатель сертификата" (issuer) должно содержать фамилию, имя, отчество (при наличии) уполномоченного лица УЦ либо псевдоним издателя сертификата.
2.4. Поле "Срок действия сертификата" должно содержать дату начала и дату истечения срока действия СКП в формате UTC.
2.5. Поле "Владелец сертификата" (Subject) содержит следующие компоненты имени и формируется следующим образом:
обязательный компонент "Общее имя" (CN, Common Name), содержащий фамилию, имя, отчество (при наличии) владельца СКП - физического лица;
компонента "Должность";
компонента "Структурное подразделение";
компонента "Организация";
компонента "Город";
компонента "Страна";
компонента "Адрес электронный почты";
компонента "Основной государственный регистрационный номер владельца СКП - юридического лица, OGRN";
компонента "Идентификационный номер налогоплательщика владельца СКП - юридического лица, INN";
компонента "Страховой номер индивидуального лицевого счета владельца СКП сертификата - физического лица, СНИЛС".
2.5.1. Формат компоненты "Общее имя".
Длина текста не более 255 символов.
ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например, паспорт).
Формат:
первое слово - Фамилия;
1 символ "#";
второе слово - Имя;
1 символ "#";
третье слово - Отчество (при наличии);
остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки;
не разрешается использовать пробел в начале и в конце текста;
разрешается использовать только один атрибут CN в DN владельца.
2.5.2. Компонента "Должность" (T, Title), содержащая должность владельца СКП для юридических лиц. Длина текста не более 64 символов.
2.5.3. Компонента "Структурное подразделение" (OU, OrgUnit), содержащая подразделение организации владельца сертификата для юридических лиц. Длина текста не более 64 символов.
2.5.4. Компонента "Организация" (O, Organization), содержащая название юридического лица. Длина текста не более 64 символов.
2.5.5. Компонента "Город" (L, Locality), содержащая название населенного пункта, в котором расположена организация владельца сертификата. Длина текста не более 128 символов.
2.5.6. Компонента "Страна" (C), содержащая название страны, в которой расположена организация владельца сертификата.
2.5.7. Компонента "Адрес электронной почты" (E, EMail), содержащая адрес электронной почты владельца сертификата ключа подписи. Длина текста не более 255 символов.
2.5.8. Компонента "Идентификационный номер налогоплательщика владельца СКП - юридического лица/индивидуального предпринимателя, INN" (OID: 1.2.643.3.131.1.1) (для владельца СКП - юридического лица или индивидуального предпринимателя). Текст длиной до 10 цифр для юридического лица или 12 цифр для индивидуального предпринимателя (физического лица).
2.5.9. Компонента "Основной государственный регистрационный номер владельца СКП - юридического лица, OGRN" (OID: 1.2.643.100.1) (для владельца СКП - юридического лица). Текст длиной до 13 цифр, содержащий ОГРН юридического лица.
2.5.10. Компонента "Страховой номер индивидуального лицевого счета владельца СКП сертификата - физического лица, СНИЛС" (OID:2.5.4.5 - "serialNumber") - для физического лица страховой номер индивидуального лицевого счета владельца сертификата, содержащий уникальный идентификатор владельца сертификата ключа подписи.
2.6. Поле "Открытый ключ" должно содержать:
название и алгоритм формирования открытого ключа. (Для формирования открытого ключа в соответствии с государственными стандартами Российской Федерации - ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3));
параметры и значение открытого ключа уполномоченного лица УЦ.
3. Требования к составу и содержанию расширений СКП.
В состав расширений СКП входят следующие расширения:
расширение "Использование ключа";
расширение "Улучшенный ключ";
расширение "Идентификатор ключа владельца";
расширение "Идентификатор ключа издателя";
расширение "Политики применения сертификата";
расширение "Точки распространения списков отзыва";
расширение "Доступ к информации издателя сертификата".
3.1. Расширение "Использование ключа" (обязательное поле) содержит набор областей использования ключа: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных.
3.2. Расширение "Улучшенный ключ" содержит набор областей использования ключа. Набор областей является расширяемым в зависимости от области использования ключа.
3.3. Расширение "Идентификатор ключа субъекта" содержит идентификатор ключа владельца СКП.
3.4. Расширение "Идентификатор ключа центра сертификатов" содержит идентификатор ключа уполномоченного лица УЦ.
3.5. Расширение "Политики применения сертификата" содержит описание политик применения сертификата, описывающих юридическую сферу применения СКП. В состав политик может входить описание использования СКП в различных информационных системах и др.
3.6. Расширение "Точки распространения списков отзыва" содержит URL-адрес точек распространения списков отозванных сертификатов по протоколу "http" или "ldap".
3.7. Расширение "Доступ к информации издателя сертификата" содержит URL-адрес официального сайта удостоверяющего центра, выпустившего СКП, а также набор адресов OCSP-сервисов, с помощью которых может быть проверен СКП.
4. Подпись Удостоверяющего центра.
Поле "Подпись Удостоверяющего центра" содержит:
алгоритм подписи, включающий идентификатор, в соответствии с которым сформирована подпись;
значение подписи удостоверяющего центра.