Приложение N 1. Порядок включения удостоверяющего центра в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров. Соглашение Министерства связи и массовых коммуникаций РФ и Федеральной таможенной службы NN ИМ-П13-17872/01-69/44 "О взаимном признании электронных подписей" (Москва, 18 октября 2011 г.)

Приложение N 1

к Соглашению о взаимном признании

электронных подписей

от 18 октября 2011 г. N ИМ-П13-17872/01-69/44

Порядок
включения удостоверяющего центра в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров

1. Общие положения

Порядок включения удостоверяющего центра в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров (далее - Порядок), формируемой Министерством связи и массовых коммуникаций Российской Федерации как уполномоченным органом в области использования электронной цифровой подписи, регламентирует процедуры включения в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров в области электронной подписи, организаций, исполняющих функции удостоверяющего центра согласно положениям Федерального закона от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" и Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".

Включение удостоверяющего центра (далее - УЦ) в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров осуществляется при условии выполнения им следующих требований:

сертификаты ключей подписи уполномоченных лиц УЦ включены в единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров;

наличие необходимых лицензий в соответствии с требованиями действующего законодательства Российской Федерации;

наличие возможности предоставления актуальной информации из реестра выданных и аннулированных сертификатов ключей проверки электронной подписи по запросам Сторон настоящего Соглашения;

стоимость чистых активов УЦ составляет не менее чем один миллион рублей;

наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей;

наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи.

На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции УЦ, не распространяются требования, установленные абзацами 6 и 7 настоящего раздела.

Подтверждением включения УЦ в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров в области электронной цифровой подписи является свидетельство о включении УЦ в Перечень уполномоченных удостоверяющих центров единой системы удостоверяющих центров в области электронной цифровой подписи (далее - Перечень УЦ ЕС УЦ) по итогам рассмотрения документов, представленных УЦ. В случае непредставления УЦ полного комплекта документов Министерство связи и массовых коммуникаций Российской Федерации вправе выдать свидетельство о включении УЦ в Перечень УЦ ЕС УЦ сроком на 3 месяца, с перечнем замечаний, требующих устранения в 3-х месячный срок.

Сведения из Перечня УЦ ЕС УЦ размещаются на "Едином портале государственных и муниципальных услуг" в информационно-телекоммуникационной сети "Интернет" и на официальном сайте Министерства связи и массовых коммуникаций Российской Федерации в информационно-телекоммуникационной сети "Интернет" (http://wwvv.minsvyaz.ru).

В случае отрицательного результата рассмотрения заявления УЦ на включение в Перечень УЦ ЕС УЦ удостоверяющий центр вправе вновь обратиться с заявкой об оценке соответствия после устранения замечаний.

2. Порядок включения УЦ в Перечень УЦ ЕС УЦ

Процедура включения УЦ в Перечень УЦ ЕС УЦ включает следующие этапы:

представление УЦ заявки на включение в Перечень УЦ ЕС УЦ;

рассмотрение комплектности и содержания документов, представленных УЦ;

оформление заключения о включении/невозможности включения УЦ в Перечень УЦ ЕС УЦ;

выдача свидетельства о включении в Перечень УЦ ЕС УЦ;

выдача уведомления о несоответствии УЦ требованиям, предъявляемым к организациям, исполняющим функции удостоверяющих центров и претендующим на включение в Перечень УЦ ЕС УЦ.

2.1. Представление заявки на включение в Перечень УЦ ЕС УЦ.

2.1.1. УЦ направляет в адрес Министерства связи и массовых коммуникаций Российской Федерации заявку в письменном виде, по форме, приведенной в Приложении N 1 к настоящему Порядку.

2.1.2. Заявка на включение в Перечень УЦ ПС УЦ подается УЦ не позднее 3-х месяцев до истечения сроков действия лицензий на следующие виды деятельности:

распространение шифровальных (криптографических) средств;

техническое обслуживание шифровальных (криптографических) средств;

предоставление услуг в области шифрования.

2.1.3. К заявке УЦ прилагает комплект документов в следующем составе (далее - заявительные документы):

копию свидетельства о внесении записи в Единый государственный реестр юридических лиц о юридическом лице, зарегистрированном до 01 июля 2002 года (ОГРН) - при наличии;

выписку из Единого государственного реестра юридических лиц;

копию свидетельства о постановке юридического лица на учет в налоговом органе (идентификационный номер налогоплательщика);

выписку (копию уведомления) о включении сертификата уполномоченною лица УЦ в Единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров;

выписку из реестра операторов, осуществляющих обработку персональных данных;

копию Устава организации и свидетельства о государственной регистрации/государственной регистрации изменений, вносимых в учредительные документы;

копии приказов, протоколов, либо иных документов о назначении уполномоченных лиц удостоверяющего центра (в соответствии с учредительными документами организации) и/или надлежащим образом оформленные доверенности;

копии общегражданских паспортов уполномоченных лиц удостоверяющего центра или других документов, удостоверяющих личность уполномоченных лиц удостоверяющего центра;

копию порядка, регламентирующего деятельность УЦ (Регламент УЦ);

перечень средств электронной цифровой подписи, используемых УЦ при осуществлении своей деятельности, заверенный печатью УЦ;

копию сертификата уполномоченного лица УЦ, заверенного печатью УЦ, в письменной форме на бумажном носителе и в электронном виде на съемном носителе;

копию сертификата пользователя УЦ для использования в целях присоединения, заверенного печатью УЦ, в письменной форме на бумажном носителе и в электронном виде на съемном носителе;

сведения об организационно-технических мерах по обеспечению надежности функционирования УЦ и технической поддержке пользователей, наличии квалифицированного персонала (копии дипломов), количестве обслуживаемых организаций и владельцах сертификатов, а также о количестве и месте размещения удаленных центров (пунктов) регистрации;

структурная схема взаимодействия компонент УЦ, удаленных центров (пунктов) регистрации и пользователей с указанием наименований их технических средств (в т.ч. каналообразующих) и с отображением порядка информационного обмена при выпуске сертификата пользователя и при подключении нового удаленного центра (пункта) регистрации, пояснительная записка к структурной схеме;

копию лицензии УЦ на распространение шифровальных (криптографических) средств;

копию лицензии УЦ на техническое обслуживание шифровальных (криптографических) средств;

копию лицензии УЦ на предоставление услуг в области шифрования;

копия(ю) паспорта (свидетельства) о включении в сеть уполномоченных удостоверяющих центров иных органов государственной власти - при наличии;

документы, заверенные подписью руководителя УЦ, подтверждающие факт добровольного прохождения тестов на совместимость сертификатов ключей подписей.

2.1.4. Документ о назначении уполномоченного лица УЦ (надлежащим образом оформленная доверенность) должен идентифицировать уполномоченное лицо как владельца сертификата ключа подписи уполномоченного лица УЦ.

2.1.5. Перечень средств криптографической защиты информации (средств ЭЦП), предъявленный УЦ, должен содержать только сертифицированные в системе сертификации РОСС RU.0001.030001 средства.

2.1.6. В порядке, регламентирующем деятельность УЦ (Регламент УЦ), должны быть отражены условия и порядок представления услуг удостоверяющим центром пользователям (потребителям услуг), права, обязательства и ответственность УЦ и пользователей (потребителей услуг) УЦ, а также сведения:

о реализации мер защиты информационных ресурсов УЦ;

о порядке эксплуатации средств защиты;

о порядке проведения организационно-технических мероприятий, обеспечивающих синхронизацию и поддержание в актуальном состоянии реестра сертификатов УЦ;

о порядке действий обслуживающего персонала УЦ.

2.1.7. Копия заключения о выполнении требований по безопасности информации на объекте информатизации УЦ может быть выдана любой организацией на территории Российской Федерации, аккредитованной в системе ФСТЭК России в качестве органа по аттестации (испытательной лаборатории). В случае невозможности представить на момент подачи заявки на проведение проверки копии указанного заключения УЦ вправе представить вместо нее Декларацию о соответствии требованиям к информационной безопасности и требованиям, предъявляемым к УЦ, претендующим на присоединение к системе УЦ. Декларация о соответствии требованиям, предъявляемым к удостоверяющим центрам, претендующим на присоединение к системе УЦ предоставляется УЦ в произвольной форме и должна отражать состояние Регламента УЦ, основные мероприятия по выполнению политики безопасности УЦ, сведения о предоставляемых сервисах и услугах, даты проведения последних инспекционных проверок лицензионной деятельности, выявленных в их ходе нарушениях и принятых мерах по устранению, а также обязательство УЦ о предоставлении указанного выше заключения (аттестата соответствия) в срок не более 3-х месяцев с момента подачи заявки на включение в Перечень УЦ ЕС УЦ. К Декларации могут быть приложены документы, подтверждающие соответствие УЦ требованиям к информационной безопасности:

копия сертификата соответствия удостоверяющего центра, как комплекса программно-технических средств, указанному в Декларации уровню требований к информационной безопасности, выданного ФСБ России;

копия аттестата соответствия требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России.

2.1.8. Представление всех документов, перечисленных в пункте 2.1. может служить основанием для проведения процедуры рассмотрения документов при включении УЦ в Перечень УЦ НС УЦ.

2.1.9. Все документы, предоставляемые в виде копий, а также Декларация о соответствии заверяются руководителем организации (или уполномоченным должностным лицом УЦ, действующим на основании доверенности) и печатью УЦ.

2.1.10. Министерство связи и массовых коммуникаций Российской Федерации имеет право запрашивать от УЦ дополнительные сведения, объяснения и иную информацию, необходимую для проведения оценки соответствия.

Министерство связи и массовых коммуникаций Российской Федерации организует рассмотрение заявительных документов УЦ на корректность и полноту изложенных в них сведений, на их соответствие законодательству Российской Федерации, положениям иных нормативных правовых актов. Рассмотрение заявительных документов проводится после представления УЦ заявки с прилагаемым полным комплектом заявительных документов.

2.2. Срок рассмотрения документов составляет 30 дней.

2.3. Результаты рассмотрения документов оформляются заключением, подписанным уполномоченным должностным лицом Министерства связи и массовых коммуникаций Российской Федерации.

2.3.1. На основании положительного заключения УЦ выдается свидетельство о включении УЦ в Перечень УЦ ЕС УЦ. Свидетельство подписывается директором Департамента государственной политики в области создания и развития электронного правительства Министерства связи и массовых коммуникаций Российской Федерации (далее - ДЭП) и направляется УЦ. Копия свидетельства остается в деле.

2.4. При заключении о включении УЦ в Перечень УЦ ЕС УЦ сведения об удостоверяющем центре вносятся в Перечень УЦ ЕС УЦ. Сведения из Перечня УЦ ЕС УЦ размещаются в информационно-телекоммуникационной сети "Интернет" (www.gosuslugi.ru и на http://www.reestr-pki.ru).

2.4.1. В случаях выявления в ходе рассмотрения:

- нарушений законодательства Российской Федерации, а также несоответствия УЦ требованиям иных нормативных правовых актов;

- несоответствия заявительных документов УЦ требованиям, изложенным в разделе 2 настоящего Порядка;

- представления УЦ ложных сведений;

- нарушений УЦ требований настоящего Порядка,

Министерством связи и массовых коммуникаций Российской Федерации оформляется заключение о невозможности включения УЦ в Перечень УЦ ЕС УЦ и выдается уведомление о несоответствии УЦ требованиям, предъявляемым к организациям, исполняющим функции УЦ и претендующим на включение в Перечень УЦ ЕС УЦ с указанием причин отказа.

2.4.2. Запись в Перечне УЦ ЕС УЦ действительна в течение 1 года с момента её внесения при соблюдении следующих условий:

- на протяжении срока действия записи УЦ имеет действующие лицензии на следующие виды деятельности: распространение шифровальных (криптографических) средств, техническое обслуживание шифровальных (криптографических) средств, предоставление услуг в области шифрования;

- запись не была исключена (аннулирована) в соответствии с пунктом 2.4.3 настоящего Порядка.

2.4.3. Запись в Перечне УЦ ЕС УЦ исключается (аннулируется), если УЦ был ликвидирован как юридическое лицо или прекратил свою деятельность в качестве УЦ. При аннулировании записи в Перечне УЦ ЕС УЦ, при возобновлении деятельности, УЦ должен вновь пройти процедуру оценки соответствия согласно настоящему Порядку.

2.4.4. По окончании срока действия записи в Перечне УЦ ЕС УЦ, запись может быть продлена. Для этого УЦ должен направить в адрес Министерства связи и массовых коммуникаций Российской Федерации заявку на проведение повторной оценки соответствия не позднее, чем за 45 календарных дней до окончания срока действия записи в Перечне УЦ ЕС УЦ.

2.4.5. Повторная оценка соответствия УЦ, проводимая в связи с истечением срока действия записи в Перечне УЦ, при условии, что в течение срока действия записи в Перечне УЦ ЕС УЦ не выявлено нарушений со стороны УЦ, может проводиться по упрощенной схеме. Министерство связи и массовых коммуникаций Российской Федерации может принять решение об актуализации записи в Перечне УЦ ЕС УЦ на основании заявки о продлении сроков действия заключения по форме, приведенной в приложении N 2 к настоящему Порядку.

3. Оценка выполнения условий включения

Оценка выполнения условий включения УЦ необходима для соблюдения неизменности качества и состава услуг доверенного УЦ, включенного в Перечень УЦ ЕС УЦ.

Об изменении условий эксплуатации УЦ, а также о реорганизации, затрагивающей его деятельность, УЦ должен незамедлительно (в течение суток) в письменной форме проинформировать Министерство связи и массовых коммуникаций Российской Федерации.

При выявлении нарушений включения, Министерство связи и массовых коммуникаций Российской Федерации имеет право исключить (аннулировать) УЦ из Перечня УЦ ЕС УЦ, о чем, с указанием причин, уведомляет УЦ в письменном виде. Повторное включение УЦ в Перечень УЦ ЕС УЦ может быть выполнено Министерством связи и массовых коммуникаций Российской Федерации только после устранения УЦ всех указанных нарушений.