Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение
Временный порядок
присоединения удостоверяющих центров к подсистеме удостоверяющих центров общероссийского государственного информационного центра
(утв. приказом Федерального агентства по информационным технологиям от 18 сентября 2009 г. N 144)
Введение
В целях отработки организационных и технологических мероприятий по формированию перечня уполномоченных удостоверяющих центров для использования в единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет и во исполнение поручений Президента Российской Федерации от 01.08.2008 N Пр-1572ГС, в части создания системы удостоверяющих центров, постановления Правительства Российской Федерации от 15.06.2009 N 478 "О единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет" (Собрание законодательства Российской Федерации, 2009, N 25, ст. 3061), постановления Правительства Российской Федерации от 25.12.2007 N 931 "О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям" (Собрание законодательства Российской Федерации, 2007, N 53, ст. 6627; 2009, N 12, ст. 1429), приказов Министерства информационных технологий и связи Российской Федерации от 11.03.2008 N 32 "Об утверждении Положения об общероссийском государственном информационном центре" (зарегистрировано в Министерстве юстиции Российской Федерации 21.03.2008 N 11394) и Министерства связи и массовых коммуникаций Российской Федерации от 23.03.2009 N 41 "Об утверждении Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра" (зарегистрировано в Министерстве юстиции Российской Федерации 24.04.2009 N 13831), а также в целях обеспечения высокого качества предоставления сервисов подсистемы удостоверяющих центров общероссийского государственного информационного центра (далее - ПУЦ ОГИЦ) по управлению жизненным циклом электронных ключей и сертификатов ключей электронной цифровой подписи в интересах использования и признания электронной цифровой подписи в государственных информационных системах, межведомственном и трансграничном информационном обмене электронными документами с использованием электронной цифровой подписи, имеющими юридическую силу, в целях оказания государственных услуг в электронном виде (далее - цели присоединения) необходимо обеспечить:
равную надежность и защищенность компонент ПУЦ ОГИЦ и взаимодействующих с ней удостоверяющих центров (далее - УЦ);
единые технические и организационные правила функционирования компонент ПУЦ ОГИЦ и взаимодействующих с ней удостоверяющих центров;
единую технологическую основу оценки готовности технических средств, взаимодействующих с ПУЦ ОГИЦ;
единые критерии оценки качества предоставляемых услуг.
Это обеспечивается в рамках процедуры оценки соответствия УЦ функциональным, технологическим, техническим и юридическим требованиям к порядку взаимодействия УЦ с ПУЦ ОГИЦ (далее - оценка соответствия) в рамках функционирования подсистемы удостоверяющих центров общероссийского государственного информационного центра с целью организации предоставления государственных услуг в электронном виде и с целью формирования перечня удостоверяющих центров в рамках единой системы информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет, и размещения его на едином портале государственных и муниципальных услуг (функций) (далее - единый портал).
1. Общие положения
Временный порядок присоединения удостоверяющих центров к подсистеме удостоверяющих центров общероссийского государственного информационного центра регламентирует процедуры присоединения к ПУЦ ОГРИЦ организаций, исполняющих функции удостоверяющего центра согласно положениям Федерального закона от 10.01.2002 N1-ФЗ "Об электронной цифровой подписи".
Оценка соответствия УЦ для возможности присоединения осуществляется по инициативе УЦ.
Результатом оценки соответствия УЦ является заключение о возможности присоединения по итогам рассмотрения документов, представленных УЦ.
Заключение является основанием для принятия Федеральным агентством по информационным технологиям решения о внесении сведений об УЦ в Реестр доверенных удостоверяющих центров, в соответствии с п. 2.4. настоящего Временного порядка. Сведения из Реестра доверенных удостоверяющих центров размещаются в информационно-телекоммуникационной сети "Интернет".
В случае отрицательного результата оценки соответствия УЦ вправе вновь обратиться с заявкой об оценке соответствия после устранения замечаний.
УЦ предоставляется возможность предварительного ознакомления с настоящим Временным Порядком.
2. Порядок оценки соответствия УЦ
Процедура оценки соответствия УЦ включает следующие этапы:
представление УЦ заявки на оценку соответствия;
рассмотрение комплектности и содержания документов, представленных УЦ;
оформление заключения о возможности/невозможности присоединения УЦ к ПУЦ ОГИЦ.
2.1. Представление заявки на оценки соответствия.
2.1.1. Для проведения оценки соответствия УЦ направляет в адрес Росинформтехнологии заявку в письменном виде по форме, приведенной в Приложении N 1 к настоящему Временному порядку.
2.1.2. Заявка на проведение оценки соответствия подается УЦ не позднее 3-х месяцев до истечения сроков действия лицензий на следующие виды деятельности:
распространение шифровальных (криптографических) средств;
техническое обслуживание шифровальных (криптографических) средств;
предоставление услуг в области шифрования.
2.1.3. К заявке на проведение оценки соответствия УЦ прилагает комплект документов, содержащий информацию, необходимую для оценки готовности УЦ к проведению оценки соответствия (далее - заявительные документы):
копию свидетельства о внесении записи в Единый государственный реестр юридических лиц о юридическом лице, зарегистрированном до 01 июля 2002 года (ОГРН) - при наличии;
выписку из Единого государственного реестра юридических лиц;
копию свидетельства о постановке юридического лица на учет в налоговом органе (идентификационный номер налогоплательщика);
выписку (копию уведомления) о включении сертификата уполномоченного лица УЦ в Единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров;
выписку из реестра операторов, осуществляющих обработку персональных данных;
копию Устава организации и свидетельства о государственной регистрации/государственной регистрации изменений, вносимых в учредительные документы;
копии приказов, протоколов, либо иных документов о назначении уполномоченных лиц удостоверяющего центра (в соответствии с учредительными документами организации) и/или надлежащим образом оформленные доверенности;
копии общегражданских паспортов уполномоченных лиц удостоверяющего центра или других документов, удостоверяющих личность уполномоченных лиц удостоверяющего центра;
копию Регламента УЦ;
перечень средств электронной цифровой подписи, используемых УЦ при осуществлении своей деятельности, заверенный печатью УЦ;
копию сертификата уполномоченного лица УЦ, заверенного печатью УЦ;
копию сертификата пользователя УЦ для использования целях присоединения, заверенного печатью УЦ;
сведения об организационно-технических мерах по обеспечению надежности функционирования УЦ и технической поддержке пользователей, наличии квалифицированного персонала, количестве обслуживаемых организаций и владельцах сертификатов, а также о количестве и месте размещения удаленных центров (пунктов) регистрации;
структурная схема взаимодействия компонент УЦ, удаленных центров (пунктов) регистрации и пользователей с указанием наименований их технических средств (в т.ч. каналообразующих) и с отображением порядка информационного обмена при выпуске сертификата пользователя и при подключении нового удаленного центра (пункта) регистрации;
копию лицензии УЦ на распространение шифровальных (криптографических) средств;
копию лицензии УЦ на техническое обслуживание шифровальных (криптографических) средств;
копию лицензии УЦ на предоставление услуг в области шифрования;
копию заключения о выполнении требований по безопасности информации на объекте информатизации удостоверяющего центра УЦ;
документы, заверенные подписью руководителя УЦ, подтверждающие факт добровольного прохождения тестов на совместимость сертификатов ключей подписей.
2.1.4. Документ о назначении уполномоченного лица УЦ (надлежащим образом оформленная доверенность) должен идентифицировать уполномоченное лицо как владельца сертификата ключа подписи уполномоченного лица УЦ.
2.1.5. Перечень средств криптографической защиты информации (средств ЭЦП), предъявленный УЦ, должен содержать только сертифицированные в системе сертификации РОСС RU.0001.030001 средства.
2.1.6. В Регламенте УЦ должны быть отражены условия и порядок представления услуг удостоверяющим центром пользователям (потребителям услуг), права, обязательства и ответственность удостоверяющего центра и пользователей (потребителей услуг) удостоверяющего центра, а также сведения:
о реализации мер защиты информационных ресурсов УЦ;
о порядке эксплуатации средств защиты;
о порядке проведения организационно-технических мероприятий, обеспечивающих синхронизацию и поддержание в актуальном состоянии реестра сертификатов УЦ;
о порядке действий обслуживающего персонала УЦ.
2.1.7. Копия заключения о выполнении требований по безопасности информации на объекте информатизации УЦ может быть выдана любой организацией на территории Российской Федерации, аккредитованной в системе ФСТЭК России в качестве органа по аттестации (испытательной лаборатории)*. В случае невозможности представить на момент подачи заявки на проведение проверки копии указанного заключения УЦ вправе представить вместо нее Декларацию о соответствии требованиям к информационной безопасности и требованиям, предъявляемым к удостоверяющим центрам, претендующих на присоединение к подсистеме УЦ ОГИЦ в соответствии с Приказом Минкомсвязи России от 23.03.2009 N 41. Декларация о соответствии требованиям, предъявляемым к удостоверяющим центрам, претендующих на присоединение к подсистеме УЦ ОГИЦ предоставляется УЦ в произвольной форме и должна отражать состояние Регламента УЦ, основные мероприятия по выполнению политики безопасности УЦ, сведения о предоставляемых сервисах и услугах, даты проведения последних инспекционных проверок лицензионной деятельности, выявленных в их ходе нарушениях и принятых мерах по устранению, а также обязательство УЦ о предоставлении указанного выше заключения (аттестата соответствия) в срок не более 3-х месяцев с момента подачи заявления на присоединение к подсистеме УЦ ОГИЦ. К Декларации могут быть приложены документы, подтверждающие соответствие УЦ требованиям к информационной безопасности:
копия сертификата соответствия удостоверяющего центра, как комплекса программно-технических средств, указанному в Декларации уровню требований к информационной безопасности, выданного ФСБ России;
копия аттестата соответствия требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России.
2.1.8. Представление всех документов, перечисленных в пункте 2.1. может служить основанием проведения дальнейшей процедуры присоединения УЦ к ПУЦ ОГИЦ.
2.1.9. Все документы, предоставляемые в виде копий, а также Декларация о соответствии, заверяются руководителем организации (или уполномоченным должностным лицом УЦ, действующим на основании доверенности) и печатью УЦ.
2.1.10. Росинформтехнологии имеет право запрашивать от УЦ дополнительные сведения, объяснения и иную информацию, необходимую для проведения оценки соответствия.
2.2. Рассмотрение заявительных документов.
Росинформтехнологии организует рассмотрение заявительных документов УЦ на корректность и полноту изложенных в них сведений, на их соответствие законодательству Российской Федерации, положениям иных нормативных правовых актов, а также Требованиям к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра, утвержденным Приказом Минкомсвязи России от 23.03.2009 N 41. Рассмотрение заявительных документов проводится после представления УЦ заявки на проведение оценки соответствия с прилагаемым полным комплектом заявительных документов.
2.3. Оформление заключения о возможности/невозможности присоединения УЦ к ПУЦ ОГИЦ.
2.3.1. Результаты оценки соответствия оформляются заключением по форме, приведенной в Приложении N 2 к Временному порядку. Заключение составляется в двух экземплярах и утверждается руководителем Росинформтехнологии. Один экземпляр Заключения передается УЦ.
2.4. При положительном решении о возможности присоединения УЦ к ПУЦ ОГИЦ сведения об удостоверяющем центре вносятся в Реестр доверенных удостоверяющих центров, являющийся технологическим реестром ПУЦ ОГИЦ. Сведения из Реестра доверенных УЦ размещаются в информационно-телекоммуникационной сети "Интернет" (www.ogic.ru).
2.4.1. В случаях выявления в ходе рассмотрения:
- нарушений законодательства Российской Федерации, а также несоответствия УЦ требованиям иных нормативных правовых актов;
- несоответствия заявительной документации УЦ требованиям, изложенным в разделе 3.1. настоящего Временного Порядка;
По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "в разделе 2.1"
- несоответствия УЦ Требованиям к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра, утвержденным Приказом Минкомсвязи России от 23.03.2009 N 41.;
- представления УЦ ложных сведений;
- нарушений УЦ настоящего Временного Порядка,
Росинформтехнологии выдается заключение о несоответствии УЦ требованиям, предъявляемым к организациям, исполняющим функции удостоверяющих центров и претендующим на подключение к ПУЦ ОГИЦ.
2.4.2. Запись в Реестре доверенных удостоверяющих центров действительна в течение 3 лет с момента внесения при соблюдении следующих условий:
- на протяжении срока действия записи УЦ имеет действующие лицензии на следующие виды деятельности: распространение шифровальных (криптографических) средств, техническое обслуживание шифровальных (криптографических) средств, предоставление услуг в области шифрования;
- запись не была блокирована (исключена) в соответствии с пунктом 3 настоящего Порядка.
2.4.3. Запись в Реестре доверенных УЦ аннулируется (переводится в статус архивной), если УЦ был ликвидирован как юридическое лицо или прекратил свою деятельность. При аннулировании записи в реестре доверенных УЦ, при возобновлении деятельности , УЦ должен вновь пройти процедуру оценки соответствия в соответствии с настоящим Порядком.
2.4.4. По окончании срока действия записи в Реестре доверенных УЦ, запись может быть продлена . Для этого УЦ должен направить в адрес Росинформтехнологии заявку на проведение оценки соответствия не позднее, чем за 45 календарных дней до окончания срока действия записи в Реестре доверенных УЦ.
2.4.5. Повторная оценка соответствия УЦ, проводимая в связи с истечением срока действия записи в Реестре доверенных УЦ, при условии, что в течении срока действия записи в Реестре доверенных УЦ не выявлено нарушений со стороны УЦ, может проводится по упрощенной схеме. Росинформтехнологии может принять решение об актуализации записи в Реестре доверенных УЦ на основании Заключения, оформляемого на основе представленных УЦ документов об отсутствии нарушений.
2.4.6. Результаты оценки соответствия могут быть обжалованы в судебном порядке в части соблюдения процедуры оценки соответствия.
2.5. Особенности оценки соответствия
2.5.1. УЦ, претендующими на присоединение к к ПУЦ ОГИЦ, могут являться как государственные (муниципальные), так и коммерческие организации, В зависимости от статуса заявителя, полноты и качества представленных документов Росинформтехнологии может организовать проведение рассмотрения сведений, предоставленных УЦ, путем образования Комиссии.
2.5.2. Комиссия образуется в количестве не менее 3 человек. В состав Комиссии входят уполномоченные представители Росинформтехнологии, а также специалисты других организаций по согласованию, при необходимости привлекаемые Росинформтехнологии. Состав Комиссии утверждается руководителем Росинформтехнологии.
Членами Комиссии не могут быть лица, состоящие в трудовых или гражданско-правовых отношениях с УЦ.
2.5.3. На заседании Комиссии, в ходе которого проводится обсуждение достаточности представленных для оценки соответствия документов и сведений и голосование, должны присутствовать более половины всех членов комиссии. Право решающего голоса имеет председатель Комиссии, а при его отсутствии - заместитель председателя Комиссии.
2.5.4. Результаты работы Комиссии оформляются в виде заключения, подписываемого ее председателем и всеми членами.
3. Оценка выполнения условий присоединения
Оценка выполнения условий присоединения необходима для соблюдения неизменности качества и состава услуг доверенного УЦ в течение всего времени его взаимодействия с УЦ ОГИЦ.
Оценка выполнения условий присоединения УЦ, включенного в Реестр доверенных УЦ, осуществляется в форме анализа ежегодного отчета УЦ о своей деятельности,.
В отчете должны найти отражение произошедшие изменения в Регламенте УЦ и вопросы выполнения политики безопасности УЦ за отчетный период, а также статистические сведения по услугам, предоставленным пользователям в рамках функционирования ПУЦ ОГИЦ.
Об изменении условий эксплуатации своего удостоверяющего центра, а также о реорганизации, затрагивающей деятельность УЦ должен незамедлительно (в течение суток) в письменном виде проинформировать Росинформтехнологии.
При выявлении нарушений присоединения, угрожающих негативными последствиями для функционирования ПУЦ ОГИЦ, Росинформтехнологии имеет право исключить (аннулировать) УЦ из Реестра доверенных УЦ, о чем, с указанием причин, уведомляет УЦ в письменном виде. Повторное включение в Реестр доверенных УЦ может быть выполнено Росинформтехнологии только после устранения УЦ всех указанных нарушений.
_____________________________
* Для организаций, являющихся государственными или муниципальными органами власти допускается предоставление копии заключения уполномоченного федерального органа исполнительной власти в области защиты информации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.