Реклама на портале

Как открыть центр сертификации(удостоверяющий центр). Создание уц Открыть удостоверяющий центр эцп

В свете все более широкого применения квалифицированной электронной подписи перед каждой организацией встает вопрос: "Стоит ли создавать свой удостоверяющий центр (здесь и далее "свой УЦ") или проще и выгоднее воспользоваться услугами одного из существующих аккредитованных УЦ ("чужой УЦ)". Сегодня мы попробуем ответить на этот вопрос с помощью сухих цифр.

Ниже приведен расчёт затрат на создание "своего" УЦ на 4 000 пользователей (почему было выбрано именно такое количество пользователей - в конце статьи):

Итого разовые затраты без малого 3.5 миллиона рублей .

Помимо этого, поддержание "своего" УЦ так же обойдется в "копеечку":

Итого ежегодные затраты составят чуть больше 6.5 миллионов рублей .

Теперь давайте посчитаем, каковы будут затраты (как разовые, так и ежегодные) за пользование услугами "чужого" УЦ (по схеме "Распределенное обслуживание с Оператором ") на те же 4 000 пользователей:

Итого разовые расходы составят менее 700 тысяч рублей .

Как и в случае со "своим" УЦ, эксплуатация "чужого" потребует некоторых ежегодных затрат:

Итого ежегодные затраты почти 7 миллионов рублей .

Исходя из приведённых выше расчётов, совокупная стоимость владения "своим" УЦ на 4 000 пользователей за 3 года составит 23 211 000,00 рублей . Пользование услуг "чужого" УЦ за это же время обойдется организации в 21 468 000,00 рублей . Дальнейшей рост числа пользователей УЦ до, скажем, 5 000 приведет к незначительному увеличению совокупной стоимости владения "своим" УЦ и значительному увеличению в случае пользования услуг "чужого" УЦ. Именно поэтому мы выбрали для расчетов такое количество пользователей. Цифра в 4 000 пользователей является своего рода водоразделом, выше которого стоит задуматься о внедрении "своего" УЦ. Если же у вас менее 4 000 пользователей, экономически выгоднее будет воспользоваться услугами существующего , выдающего квалифицированные сертификаты ключей проверки электронной подписи.

Юрий Маслов,

коммерческий директор

ООО "КРИПТО-ПРО"

Алексей Голдбергс,

заместитель технического директора

ООО "КРИПТО-ПРО"

Современный документооборот с каждым днем все сложнее становится представить без электронной подписи. Ведь этот инструмент позволяет существенно сократить временные затраты при ведении различных видов хозяйственной деятельности. Попробуем разобраться, что собой представляет электронная подпись, где ее получить, и что такое удостоверяющий центр.

Электронная подпись (ЭП) — это цифровой аналог традиционного рукописного автографа. Ее используют для придания юридической силы электронным документам. В современном законодательстве вопросы, связанные с этим инструментом, регламентирует Федеральный закон № 63-ФЗ от 06.04.2011 .

Виды электронной подписи

С технологической точки зрения, ЭП является сложным комплексом, включающим в себя программное обеспечение, место хранения ключа и непосредственно сам ключ, или сертификат. Последний представляет собой криптографический алгоритм, в котором зашифрованы данные, идентифицирующие владельца подписи. В физическом выражении ЭП выглядит как флеш-накопитель или смарт-карта.

Существуют два вида ЭП — простая и усиленная. Второй вид подразделяется на неквалифицированную и квалифицированную. Документ, подписанный простой ЭП, приравнивается к бумажному только по договоренности сторон. Неквалифицированная усиленная подпись является аналогом заверения печатью, и по своему действию схожа с простой подписью. Квалифицированная подпись автоматически приравнивает заверенный ею электронный документ к бумажному. Существующая градация основана на степени защиты, которую обеспечивает ЭП документу.

Удостоверяющие центры для получения ЭЦП

Удостоверяющий центр ЭЦП — это организация, играющая роль администратора по выдаче и обслуживанию сертификата ключа. Таким образом, он занимается непосредственно созданием сертификатов, их проверкой, установлением срока действия, аннуляцией и учетом.

В удостоверяющий центр необходимо обращаться только при получении усиленной подписи. Квалифицированные ЭП имеет право выдавать только аккредитованный Минкомсвязью России УЦ. Неквалифицированную может выдать не аккредитованный ведомством центр, но имеющий аккредитацию одной из шести федеральных торговых площадок. Простую подпись можно получить в других инстанциях, например, на портале «Госуслуги».

Удостоверяющий центр Федерального казначейства: получение ЭЦП

УЦ Федерального казначейства занимается созданием сертификатов ЭП. Его структура включает УЦ сертификации, региональные УЦ, а также удаленные региональные УЦ.

Для получения ЭП в этом или другом центре необходимо предоставить определенный пакет документов, состав которого может различаться в зависимости от требований каждой конкретной организации. Для получения услуги юридическим лицом нужны следующие документы:

  • свидетельство ОГРН;
  • документ о назначении руководителя;
  • паспорт клиента (владельца сертификата);
  • СНИЛС.

Физическим лицам нужно предоставить:

  • паспорт;
  • СНИЛС;
  • ОГРНИП, если клиент является ИП.

Скорость выдачи ЭП зависит от того, насколько быстро клиент предоставит необходимые документы, а также от скорости обработки запроса сотрудниками центра. Обычно эта процедура занимает один рабочий день.

Выбор надежного УЦ

Центр выдачи электронных подписей должен отвечать современным техническим и юридическим требованиям. Ведь от его корректной работы зависят все сферы предпринимательской деятельности, где используются электронные подписи. Соответственно, при выборе УЦ стоит обратить внимание на следующие факторы:

  • имеется ли аккредитация Минкомсвязи;
  • наличие лицензии ФСТЭК на осуществление деятельности, связанной с технической защитой информации;
  • наличие лицензии Центра по лицензированию, сертификации и защите государственной тайны ФСБ России;
  • является ли доверенным центром ФНС, ПФР и Росстата;
  • наличие аккредитации на торговых площадках Госзакупок;
  • длительность работы;
  • наличие представительств в регионах;
  • имеется ли круглосуточная служба технической поддержки.

Кроме этого, на официальном сайте Минкомсвязи имеются списки УЦ, имеющих аккредитацию, и тех, которые ее лишены.

Если по каким-либо причинам возникают сомнения в подлинности ЭП, на портале «Госуслуги» можно провести ее проверку в режиме онлайн. Для этого необходимо загрузить файл сертификата.

Когда работал системным администратором, возникла у меня необходимость реализовать VPN на несколько десятков филиалов компании, интранет и почту на серверах в Москве с суровой защитой и доступом через VPN вообще отовсюду. При этом придумать всю систему и организовать её развёртывание предстояло в одно лицо. Бюджет был в тысячи полторы долларов, было это 4 года назад, некоторое время честно пытался найти более-менее приемлемое по цене ПО, потом нечестно пытался найти что-то на торрентах – пусто. В итоге – OpenSSL и OpenVPN. В этом вводном тексте хотелось бы поговорить об OpenSSL.

В конечном итоге были развёрнуты:

  • центр выдачи сертификатов (CA – Certificate Authority, он-же УЦ – Удостоверяющий Центр, в отечественной терминологии организация, уполномоченная выпускать сертификаты),
  • интранет-сайт с авторизацией доступа по клиентским сертификатам,
  • VPN с взаимной аутентификацией серверов, клиентов и динамической маршрутизацией,
  • Авторизация клиентов на корпоративном IM сервере с помощью тех-же сертификатов.
Судя по всему, к настоящему моменту система умерла… не знаю, как долго она продержалась после моего увольнения, скорее всего до момента истечения корневого сертификата (т.е. 2 года от момента запуска).

Описанное далее будет интересно скорее корпоративным технарям, нежели обычным пользователям. При условии, если: организация не государственная, есть цель сэкономить, есть желание попробовать некоторые «штуки» не вбухивая в R&D сумму с шестью нолями.

Предполагается, что читающие знакомы с понятиями VPN (в данном случае Virtual Private Network) и SSL (Secure Sockets Layer) и тем, что из себя представляют электронные сертификаты в формате x.509 .

СА
В полученной системе сертификаты можно было обновлять, отзывать, использовать для аутентификации, шифрования кода, файлов, почты, а в случае компрометации отозвать ветку, не убивая весь CA. Для этого пришлось очень внимательно отнестись к файлам настройки OpenSSL, построить процедуру генерации списка отозванных сертификатов (CRL – Certificate Revocation List) и корректную иерархию в CA. Только тогда выбранная реализация позволяла использовать сертификаты, в т.ч. и в автоматических процессах, где некому было нажимать кнопку «Да, я всё равно доверяю этому сертификату, хотя он и просрочен и выпущен неправильно и вообще не для этого предназначен ».

Важно помнить (как оказалось ), что выпуск и использование сертификатов электронной цифровой подписи это не только технический, но и организационный процесс, без которого преимущества использования подобного рода защиты сходят на нет. Диск с УЦ, к примеру, после выпуска всех сертификатов, лучше вынуть или отключить (если он USB ) и убрать в сейф. И журнал завести.

Сайт
Для интранет-сайта (первый эшелон – Apache, что там за ним было – не суть важно ) была реализована многофакторная аутентификация. Обычно первым и единственным фактором при аутентификации выступает знание логина и пароля или логина и пин-кода; представляется серверу только клиент, а серверу не нужно доказывать что он - это он, отсюда возможность воровства логина/пароля и/или подмены сервера. В моём случае это было неприемлемо, поэтому к знанию логина/пароля добавилась необходимость иметь сертификат. Выгружались сертификаты из CA в формате PKCS12 (PFX) с паролем.

В конфиг сервера было добавлено что-то вроде:



SSLVerifyClient require
SSLVerifyDepth 2
SSLRequire %{SSL_CLIENT_I_DN_CN} in {"My LTD OpenSSL CA"}

Т.е. разрешить всем, чей сертификат выдан My LTD OpenSSL CA (в реальности, конечно, название другое )

Также можно ограничить доступ по именам:


SSLOptions +FakeBasicAuth +StdEnvVars
SSLVerifyClient require
SSLVerifyDepth 2
SSLRequire %{SSL_CLIENT_S_DN_CN} in {"Ivan A Ivanov", \
"Petr B Petrov"}

В логи сервера пишется с помощью вот такой вот конструкции:

CustomLog ../logs/ssl/ssl_request.log \
"\"%t\",\"%h\",\"%{SSL_CLIENT_S_DN_CN}x\",\"%r\",\"%s\"" env=!dontlogit

Распространение сертификатов
Полученный сертификат вместе с ключами устанавливали на компьютере пользователя (в реестр, зашифрованным на пин-коде ), очень частый случай, при этом пользоваться сертификатом можно только на этом компьютере и в случае переустановки операционной системы сертификат, чаще всего, необходимо получать заново, если конечно закрытый ключ генерировался на компьютере, а не выдан вам на дискете при посещении УЦ, что можно считать профанацией с особым цинизмом, ведь по факту владельцами вашего якобы закрытого ключа становится (с возможностью проставлять за вас «электронную подпись» ) также и УЦ, а при определённом уровне разгильдяйства - все сменяющие друг друга админы в УЦ. Зато у УЦ появляется возможность предоставлять сервис по «восстановлению» сертификата.

Т.к. я был сам себе УЦ, то был избавлен и от такого «сервиса» и от копирования сертификатов «на память» техническими специалистами (и не очень).

Разъездным сотрудникам сертификаты выдавались на аппаратном носителе – USB-ключе Aladdin. Банки и УЦ предлагали (и предлагают) юридическим лицам для этой цели использовать дискеты или современный вариант - флешки. Это более удобно, но приводит к другой опасности - возможности сделать дубликат. В идеальном случае ключи и сертификаты должны храниться на смарт-карте, которая дополнительно защищена pin-кодом, имеет собственный крипто-процессор на борту, генератор случайных чисел, который, как считается, сильно понижает шансы потенциальных взломщиков, буде те решаться подобрать ваш ключ. Кроме того, смарт-карты практически не поддаются копированию.
USB-ключи Aladdin eToken как раз и являются такими картами, только в виде USB-брелка.
В случае аутентификации шифруется лишь небольшой объём данных, необходимый для процедуры, но при желании можно шифровать и весь трафик между клиентом и сервером. В случае, если сертификат нужно использовать для шифрования на сервере с большим количеством клиентов, в сервер нужно ставить уже что-то посерьёзнее например, крипто-плату, бесплатный IBM HTTP Server (тот-же Apache, фактически ), даже какое-то их количество поддерживает.
Никто конечно не мешает использовать смарт-карты, которые выглядят как обычные пластиковые карты, но тогда на каждом рабочем месте, на котором такую карту нужно будет использовать, должен стоять картридер.

После того, как мы получили у УЦ сертификат, поместили его на «токен», и закрыли токен пин-кодом, мы получаем возможность выполнить двухфакторную двустороннюю аутентификацию. Фактор первый - мы имеем токен, фактор второй - знаем от него пин-код. А имея сертификат можем выполнить проверку, что сервер действительно тот, за кого себя выдаёт, в этом случае bobik.ru и bоbik.ru уже спутать не получится, потому, что русская «о» во втором варианте даст несовпадение имени (для компьютера это всё-таки разные буквы ).

Списки отозванных сертификатов
Благодаря тому, что в настройках сервера был прописан (и регулярно обновлялся) список отозванных сертификатов (CRL), всегда можно было оперативно приостановить доступ к сайту любого пользователя, в т.ч. в случае потери (или подозрения на потерю) USB-ключа, либо при увольнения сотрудника.

Многие отечественные CA местоположение CRL указывают, а выкладывать или обновлять сам список «забывают», и когда, скажем, тот-же Outlook не может проверить сертификат по списку отозванных и вывешивает предупреждение, консультант в CA по телефону может предложить вам это предупреждение проигнорировать. В случае, если клиентом является другой сервер, при невозможности проверки сертификата, он просто будет разрывать подключение.

В случае необходимости сертификат перевыпускался с тем же закрытым ключом, что позволяло не терять доступ к зашифрованным ранее данным.

Доводка OpenSSL
В общем всем понятно, что сертификат – штука хорошая, осталось правильно его выпустить. После довольно продолжительной обкатки и изучения «документации» в несколько сотен страниц (на самом деле это был учебник по PKI и криптографии от «Интуита» ) выяснилось, что имеющиеся в инете на тот момент примеры конфигурации OpenSSL пригодны только для целей «на поиграться», я некоторое время сталкивался с тем, что выпущенные мной сертификаты то не работали в Outlook, то в Thunderbird, то в Firefox. Самым всеядным оказался IE.

Чтобы всё было чуть серьёзнее нужна небольшая рихтовка:

  • если вы хотите, чтобы ваша система прожила больше года, перед выпуском корневого сертификата CA увеличьте количество дней до 3650, потом верните обратно, для пользовательских сертификатов лучше оставить год или полгода
  • в секции [ CA_default ]
    выставить параметр unique_subject в «yes» - это не позволит вам выпустить 2 идентичных сертификата
  • в секции [ user_cert ]
    добавить
    ExtendedKeyUsage = clientAuth
  • секция для серверов может выглядеть так
    [ server_cert ]
    basicConstraints = CA:FALSE
    nsCertType = server
    keyUsage = digitalSignature, keyEncipherment
    extendedKeyUsage = nsSGC, serverAuth
  • в секции [ v3_ca]
    изменить
    basicConstraints = CA:TRUE, pathlen:5
  • раскомментировать nsCertType и keyUsage
  • добавить
    extendedKeyUsage = serverAuth, clientAuth
Как водится – готовый конфиг .
Автоматизация выпуска сертификатов
Следующим шагом наколенной автоматизации может являться написание интерфейса для просмотра списка сертификатов. Список имеет имя index.txt, понятный формат и я написал под него интерфейс на HTA. Для упрощения отладки HTA вызывал батники для отдельных процедур. Необходимый набор следующий:
  1. отдельно вынесен файл настройки переменных окружения
  2. выпуск произвольного сертификата – минимум настроек, задаёт кучу вопросов, позволяет выпустить сертификат, скажем, для партнёров, потом подписать в нашем CA
  3. выпуск корневого сертификата CA – вызывается один раз или несколько раз, если строится дерево, ручками
  4. выпуск сертификата сервера – понятная штука, openssl вызывается с параметром -extensions server_cert, а в конфиге в секции должны быть нужные параметры, ещё одно отличие – не упаковывается в PFX и создаёт распакованные версии ключей, может понадобится некоторым серверам
  5. выпуск сертификата пользователя
  6. отзыв сертификата – интересный процесс: из архива (надо делать самому) выданных сертификатов извлекался нужный (по имени, но можно и по серийному номеру), потом по нему уже выполнялся отзыв
  7. обновление сертификата пользователя – сначала выполнялся отзыв старого сертификата (батником №6), потом создание нового сертификата (батником №5) для старого ключа
  8. обновление списка отозванных сертификатов – простая команда, но в моём случае сопровождалась запуском скрипта на Perl, который препарировал полученный список и помещал его в директорию (адресную книгу, как её ещё иногда называют ) Lotus Domino, оттуда его было проще доставать (через LDAP, что является практически стандартным способом дистрибуции CRL)
Вот и весь инструментарий, пожалуй. Приятного внедрения.

Использование ЭП позволяет:

  • значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
  • усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
  • гарантировать достоверность документации;
  • минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
  • построить корпоративную систему обмена документами.

Подделать ЭП невозможно - это требует огромного количества вычислений, которые не могут быть реализованы при современном уровне математики и вычислительной техники за приемлемое время, то есть пока информация, содержащаяся в подписанном документе, сохраняет актуальность. Дополнительная защита от подделки обеспечивается сертификацией Удостоверяющим центром открытого ключа подписи.

С использованием ЭП работа по схеме "разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии - перенос ее в электронном виде на компьютер" уходит в прошлое.

Три вида электронной подписи

Электронные подписи разделяются законом 2011 г. на три вида.

  • Простые подписи создаются с помощью кодов, паролей и других инструментов, которые позволяют идентифицировать автора документа, но не позволяют проверить его на предмет наличия изменений с момента подписания.
  • Усиленная неквалифицированная подпись создана с использованием криптографических средств и позволяет определить не только автора документа, но проверить его на наличие изменений. Для создания таких подписей может использоваться сертификат неаккредитованного центра, можно также вообще обойтись без сертификата, если технические средства позволяют выполнить требования закона.
  • Усиленная квалицифированная подпись является разновидностью усиленных, она имеет сертификат от аккредитованного центра и создана с помощью подтвержденных ФСБ средств.

Простые и неквалифицированные подписи заменяют подписанный бумажный документ в случаях, оговоренных законом или по согласию сторон. Например, простые подписи могут использовать граждане для отправки сообщений органам власти. Усиленная подпись также может рассматриваться как аналог документа с печатью.

Квалифицированные подписи заменяют бумажные документы во всех случаях, за исключением тех, когда закон требует наличие исключительно документа на бумаге. Например, с помощью таких подписей граждане могут получать госуслуги в электронном виде, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы. Ранее выданные сертификаты ЭЦП и подписанные с их помощью документы приравниваются к квалифицированным подписям.

Иностранные электронные подписи приравниваются в России к тем видам подписей, которым они соответствуют.

Простая электронная подпись, в отличие от прежней электронно-цифровой подписи, не предназначена для защиты документа от подделки. Она не позволяет обнаружить возможное искажение содержания документа. Единственная ее функция - подтверждение факта формирования электронной подписи (а не самого документа!) определенным лицом.

Целям определения лица, подписавшего электронный документ, а также обнаружения факта внесения изменений в документ после его подписания служит усиленная электронная подпись. Именно эта подпись (в двух видах - неквалифицированная и квалифицированная) является аналогом прежней электронной цифровой подписи.

Поскольку простая электронная подпись требует использования кодов, паролей или иных средств, станет ясно, что можно считать электронной подписью, а что нет. Очевидно, что в случае электронного письма роль электронной подписи не может играть имя отправителя, вручную поставленное после текста, так как оно никак не зависит от пароля, используя который отправитель сформировал и отправил письмо. Информацией, указывающей на лицо, от имени которого был послан документ, может служить, вероятно, идентификатор сообщения в сочетании с IP-адресом компьютера отправителя, свидетельствующие о том, что сообщение было создано в результате доступа к почтовой системе, сопровождавшегося вводом пароля, принадлежащего определенному пользователю. Электронный адрес отправителя и имя отправителя можно считать подписью лишь в том случае, если оператор информационной системы обеспечивает их достоверность, ведь почтовый протокол позволяет указывать любое имя и любой обратный адрес, и некоторые почтовые системы не накладывают здесь никаких ограничений.

Средства ЭЦП

Доверие к удостоверяющим центрам основано на иерархическом принципе: сертификат удостоверяющего центра нижнего уровня заверяется электронной подписью удостоверяющего центра более высокого уровня. Высочайшим уровнем удостоверяющих центров является федеральный, который находится под управлением государственных органов. Вся система доверия, построенная на сертификатах, образует так называемую инфраструктуру открытых ключей (Public Key Infrastructure, PKI). При такой инфраструктуре требуется проверка не только легитимности ключа удостоверяющего центра, выдавшего сертификат, но и всех вышестоящих удостоверяющих центров. В частности, при формировании электронной транзакции необходимо проверить не только математическую корректность ЭЦП, но и валидность всей цепочки сертификатов, задействованных при изготовлении сертификата подписанта, на момент подписания им конкретного электронного документа.

Удостоверяющий центр (Центр сертификации) (англ. Certification authority, CA) - организация, выпускающая сертификаты ключей электронной цифровой подписи.

Электронная подпись для госзакупок

Для участия в закупочных процедурах необходимо наличие электронной подписи. Каких типов бывают ЭП, что влияет на стоимость подписи и какой пакет документов необходимо подготовить для её получения? Подробнее .

Электронная подпись для госуслуг

Хроника

2019: В России введут уголовную ответственность за неправильную выдачу электронной подписи

8 июля 2019 года стало известно, что Министр экономического развития Максим Орешкин выступил за скорейшее принятие законопроекта, ужесточающего требования к удостоверяющим центрам электронной подписи. Соответствующее заявление министр сделал в ходе парламентских слушаний в Госдуме , посвященных вопросам Цифровой экономики .

В Госдуму были внесены сразу два законопроекта с поправками в Закон «Об электронной подписи». Первый из них разработан сенаторами Владимиром Кравченко, Любовью Глебовой и Михаилом Пономаревым, второй - сенатором Людмилой Боковой.

Закон «Об электронно-цифровой подписи» был принят в России в 2003 г. К документу было множество нареканий, и в 2011 г. его заменили новым Законом – «Об электронной подписи».

В законе упоминается электронная подпись трех видов: простая, усиленная и квалифицированная. Усиленная электронная подпись выдается удостоверяющим центром, квалифицированная – удостоверяющим центром, прошедшим аккредитацию в Минкомсвязи . Квалифицированная электронная подпись признается аналогом собственноручной. В числе прочего она необходима для участия в госзакупках .

Изначально закон требовал, что для аккредитованных удостоверяющих центров минимальный размер чистых активов должен составлять 1 млн руб., а минимальный размер финансового обеспечения для покрытия возможных убытков третьим лицам 1,5 млн руб.

В 2015 г. по инициативе Минкомсвязи законодатели увеличили минимальный размер чистых активов до 7 млн руб., а минимальный размер финансового обеспечения – до 30 млн руб. Но власти хотели и дальше ужесточать требования к удостоверяющим центрам. Так, в 2017 г. Минкомсвязи разработало законопроект о монополизации выдачи квалифицированных электронных подписей государством , однако данный документ был раскритикован отраслью и не получил дальнейшего развития.

В представленных законопроектах речь идет о дальнейшем ужесточении требований к аккредитованным удостоверяющим центрам. Согласно обоим документам, минимальный размер чистых активов предлагается увеличить до 1 млрд руб., либо, если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, до 500 млн руб.

Минимальный размер финансовой гарантии предлагается увеличить до 200 млн руб. Если число мест осуществления лицензируемого вида деятельности превышает 10, то за каждое такое место необходима дополнительная финансовая гарантия в размере 500 тыс. руб., но не более 300 млн руб. в совокупности.

Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность.

За заведомо умышленные действия сотрудников удостоверяющих центров помимо административной, вводится еще и уголовная ответственность.

Также вводятся требования к деловой репутации руководителей удостоверяющих центров и лиц, владеющих в них не менее чем 10% капитала. Если аккредитация удостоверяющего центра была отозвана, то центр сможет обратиться за новой аккредитацией не ранее чем через три года. Кроме того, аккредитованные удостоверяющие центры должны владеть лицензиями на разработку шифровальных средств и обладать правами собственности на аппаратные средства электронной подписи.

Другое важное требование состоит в использовании юридическими лицами электронных подписей, причем здесь подходы обоих документов расходятся. Законопроект Кравченко, Глебовой и Пономарева предполагает обязать использовать только квалифицированные электронные подписи, выданные удостоверяющим центром Федеральной налоговой службы (ФНС) . Дополнительно при заключении сделок будут применяться квалифицированные электронные подписи физических лиц, уполномоченных действовать от лица соответствующих юридических лиц.

В случаях с кредитными организациями, некредитными финансовыми организациями и платежными системами будут применять квалифицированные электронные подписи, выданные удостоверяющими центрами Центробанка . В случаях с органами государственной власти и местного самоуправления, а также их должностными лицами будут применяться квалифицированные электронные подписи, выданные удостоверяющими центрами Федерального казначейства .

Законопроект Боковой более либерален. Он позволит юридическим лицами продолжить использовать квалифицированные электронные подписи от любых аккредитованных удостоверяющих центров. ФНС сможет отзывать сертификаты электронных подписей юридических лиц и индивидуальных предпринимателей .

Аналогичным образом, Центробанк сможет отзывать сертификаты электронных подписей кредитных организаций, некредитных финансовых организаций и платежных систем. Как и в другом законопроекте, законопроект Боковой также требует от органов госвласти и их должностных лиц получать квалифицированные электронные подписи только в удостоверяющем центре Федерального казначейства.

В случае принятия обоих законопроектов они вступят в силу в течение 120 дней с момента их подписания. Сертификаты квалифицированных электронных подписей и аккредитации удостоверяющих центров, выданные до опубликования данного закона, будут действительны до конца срока их действия, но не более двух лет.

Норма законопроекта Кравченко, Глебовой и Пономарева об использовании юридическими лицами квалифицированных электронных подписей, выданных удостоверяющим центром ФНС и Центробанком, вступит в силу через два года после опубликования соответствующих законов. Норма законопроекта Боковой о возможности ФНС и Центробанка отзывать сертификаты квалифицированных электронных подписей также вступит в силу через два года после опубликования закона.

В то же время есть и некоторые послабления. Удостоверяющие центры смогут привлекать третьих лиц для приема заявлений на выдачу сертификатов электронных подписей и вручению данных сертификатов.

Кроме того, удостоверяющие центры смогут хранить ключи проверки электронных подписей, и по поручению их владельцев, создавать с их помощью электронные подписи. Как пояснил Орешкин, речь идет о возможности использования облачной электронной подписи.

Законопроект вводит понятие доверенной третей стороны. Она будет проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, выданных за рубежом. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи. Ожидается, что в России появится около 20 таких лиц.

В связи с этим вводится еще одно понятие – метка доверенного времени. Это достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центров либо операторов информационной системы .

Удостоверяющие центры должны будут выдавать сертификаты электронных подписей по цене, не превышающей установленное Правительством значение. Лицам, получившим сертификаты, безвозмездно должна быть предоставлена возможность зарегистрироваться в Единой системе идентификации и аутентификации . Кроме того, физическим лицам должны быть безвозмездно предоставлены технические средства для шифрования биометрических подписей.

Авторы законопроектов утверждают, что предложенные ими документы решат еще одну проблему. На июль 2019 года госведомства требуют наличия в сертификатах квалифицированных электронных подписей наличия тех или иных полномочий, закрепляемых за пользователем в рамках конкретной информационной системы. В результате сертификаты, выданные аккредитованными удостоверяющими центрами, не могут быть использованы в некоторых информационных системах, и удостоверяющие центры вынуждены предлагать квалифицированные электронные подписи для работы в конкретных информационных системах.

2018

В России работают над альтернативой ЭП для идентификации в интернете

Минкомсвязи предложило ввести для ЭЦП единый сертификат проверки ключей

В начале апреля 2018 года появилась информация о том, что полномочия пользователей электронных цифровых подписей могут быть закреплены в едином сертификате проверки ключа усиленной квалифицированной ЭЦП. Минкомсвязи России опубликовало на портале проектов правовых актов соответствующий законопроект.

В пояснении к проекту закона указывается, что согласно текущему положению дел пользователи ЭЦП - физические и юридические лица, государственные органы и чиновники - не могут получить доступ к информационным системам различных ведомств, так как они требуют наличия в квалифицированном сертификате объектных идентификаторов (OID).

В то же время, сертификаты, выданные аккредитованными Минкомсвязи России , как отмечают авторы законопроекта, не могут использоваться для проверки электронной подписи в информационных системах таких отдельных ведомств.

OID отсутствуют в единых сертификатах, так что на рынке работает множество компаний, продающих квалифицированные сертификаты проверки ключа, предназначенные для работы с единственным ведомством и, соответственно, не позволяющие работать с другими.

По сути, это «убивает» смысл в ЭЦП: ключевая идея электронной подписи - в универсальности её использования, - убежден Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services . - Унификация процедуры проверки ЭЦП назрела давно, но теперь встаёт вопрос, чем будут заниматься удостоверяющие центры, и не придётся ли им сворачивать деятельность, за право вести которую они платили существенные деньги.

Теперь Минкомсвязи предлагает ввести понятие «полномочный сертификат», в котором будут содержаться и OID пользователя, и сведения о его полномочиях. Тем самым проблема множества сертификатов - в случае принятия законопроекта - будет снята.

Ознакомиться с текстом законопроекта Минкомсвязи России «О внесении изменений в Федеральный закон "Об электронной подписи", Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и Федеральный закон "Об аккредитации в национальной системе аккредитации"» можно по ссылке .

2012

Ожидание распространения SIM-карты с ЭЦП

Согласно исследованию, опубликованному в сентябре 2012 года аналитической компанией TechNavio, рынок двухфакторных средств аутентификации будет ежегодно расти на 20,8% в год в 2011–2015 гг. Двухфакторная аутентификация подразумевает, что для доступа к информации пользователю нужно не только ввести пароль, но также обладать неким устройством или программой, с помощью которой проводится подтверждение права доступа. Классическим примером является онлайн-банкинг , где для подтверждения операции необходимо не только ввести пароль, но также набрать разовый код, присланный по sms или сгенерированный специальной программой на компьютере.

По мнению аналитиков, следующим этапом развития данных технологий станет аутентификации с помощью мобильных телефонов, когда в "симку" аппарата "зашивается" электронно-цифровая подпись, с помощью которой пользователь может осуществлять юридически значимые действия. Например, такой механизм уже реализован в Эстонии. Другой вариант развития технологий – это создание смарт-карт, которые представляют собой электронные удостоверения личности.

Распространению технологии будет способствовать внедрение в телефоны беспроводной связи короткого радиуса действия NFC . Таким образом, мобильный телефон можно будет использовать вместо банковской карты при оплате товаров в магазине или на проходной к территории с ограниченным доступом. Однако развитие рынка будут тормозить соображения безопасности и действия регуляторов, которые предъявляют определенные требования к передаче и защите конфиденциальных данных.

Среди ведущих производителей решений двухфакторной аутентификации исследователи TechNavio называют Entrust, Gemalto , RSA Security и VASCO Data Security.

Среди разработчиков второго эшелона можно отметить ActivIdentity, CryptoCard, Deepnet security, Equifax, PhoneFactor, SecureAuth, SecurEnvoy и SafeNet Inc.

Разрешение госорганам вносить документы в правительство в электронном виде при помощи ЭЦП

Согласно его сообщению, Правительство утвердило проект изменений, внесенных Министерством связи и массовых коммуникаций . Таким образом, документация между органами государственной и исполнительной власти, а также аппаратом правительства будут вноситься в электронном виде с помощью электронной цифровой подписи.

Генеральный директор аналитического агентства Telecom Daily Денис Кусков в беседе в корреспондентом TAdviser сообщил, что создание внутренней защищенной системы электронного документооборота сильно бы облегчила жизнь ведомствам и министерствам.

"Если говорить о проекте с точки зрения ИТ, то разработка, внедрение, настройка системы подобного масштаба и сложности, а также с подобными требованиями безопасности может стоить не одну сотню миллионов рублей. Это включая ключи ЭЦП ", - сказал Кусков. "Сейчас на рынке подобных систем довольно высокая конкуренция, поэтому государство может сократить расходы на проект довольно серьезно".

По мнению Кускова, приотсутствии каких-либо препятствий, то разработка, внедрение и отладка СЭД и ключей может занять около года.

Кусков уверен, что на каждое ведомство или учреждение необходимо будет максимум 20 ключей ЭЦП. Кабинет министров состоит из 21 члена.

В июле 2012 года стало известно, что осенью Совет Федерации намерен провести проверку подготовки нормативных актов, касающихся создания унифицированной электронно-цифровой подписи (ЭЦП). Как выяснили СМИ, в том случае, если сенаторы не будут удовлетворены итогами проверки, они выступят с законодательной инициативой о введении единой ЭЦП. (Ранее Правительство РФ продлило действие закона «Об электронной цифровой подписи» еще на год). Эксперты не уверены, что идея будет реализована: речь идет об огромном бизнесе, прикрывать который будет не выгодно ни удостоверяющим центрам, ни чиновникам .

Впервые вопрос о том, что действующий закон об ЭЦП необходимо дополнить поправками, позволяющими должностным лицам использовать одну подпись для всех информационных систем, поднимался сенаторами еще в апреле 2011 г. Совет Федерации в итоге предложение сенаторов одобрил, а правительство в свою очередь обещало, «что в нормативных актах о порядке применения электронной подписи данная новелла будет реализована», рассказал журналистам член комитета Совета Федерации по экономической политике Юрий Росляк. Однако почти за полтора года нормативные акты свет так и не увидели.

«На сегодня нормативные акты еще в разработке, поэтому по осени мы будем проверять, в каком виде все это реализовано. Если этот принцип не будет исполнен, то мы будем выходить с законодательной инициативой о законодательном побуждении правительства, в том числе Минкомсвязи, об использовании этой технологии – добавляет Ю. Росляк.

По мнению сенаторов, действующий закон об ЭЦП крайне неудобен: каждая информационная система требует индивидуальной цифровой подписи, поэтому госслужащим и бизнесменам приходится использовать сразу несколько ЭЦП.

Приказ ФСБ о требованиях к средствам электронной подписи и УЦ

17 февраля 2012 г., был опубликован приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра». Ранее появился приказ от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи».

В соответствии с новыми нормами, средство подписи при подписании документа должно показать электронный документ лицу, которое его подписывает, дождаться подтверждения от этого лица, а после подписания - показать ему, что подпись создана. При проверке подписи средство должно показать электронный документ, а также информацию о внесении изменений в подписанный документ и указать на лицо, подписавшее его.

Формат квалифицированного сертификата существенно отличается от формата сертификатов ЭЦП , которые выпускаются в это время (в соответствии с федеральным законом № ФЗ-1). Например, в квалифицированный сертификат необходимо включать наименование средств электронной подписи и средств удостоверяющего центра, использовавшихся для генерации ключа подписи и ключа проверки (закрытого и открытого ключей соответственно), а также для создания самого сертификата.

По сравнению с сертификатами ЭЦП изменился способ представления полномочий владельца сертификата. В сертификат ЭЦП по заявлению владельца могли включаться любые сведения, подтверждаемые соответствующими документами, а в квалифицированный сертификат нестандартные реквизиты (например, регистрационный номер страхователя) могут включаться только в том случае, если требования к их назначению и расположению в сертификате определены в документах, предоставляемых для подтверждения соответствия средств удостоверяющего центра требованиям ФСБ .

2011

За все время в России выдано 5-7 млн сертификатов ключей ЭП

За все время действия закона 2002 г. об ЭП в России было выдано 5-7 млн сертификатов ключей электронной подписи, приводит Минкомсвязи оценки экспертов. Действовать они будут до 1 июля 2012 г., затем их придется менять на новые.

В 2011 году в России начинает формироваться рынок услуг по выдаче носителей электронной подписи гражданам. Стоят они не дороже 500 руб., но оценить спрос в это время было трудно: еще не было решено, для каких документов какая подпись годится.

Подпись самого высокого уровня, защищенная от подделки, - так называемая усиленная квалифицированная. Средства, с помощью которых документы заверяются такой подписью, выдают специальные удостоверяющие центры , прошедшие сертификацию в ФСБ . По данным Минкомсвязи , Единый госреестр сертификатов ключей подписей содержит 284 таких центра.

Средства для оформления более простых подписей - усиленной неквалифицированной и простой - можно приобрести на рынке, обращаться в удостоверяющий центр для этого не придется.

В 2011 году удостоверяющие центры, тарифы которых изучил корреспондент «Ведомостей», берут за выдачу ЭП 2000-10 000 руб. (в зависимости от количества сопутствующих сервисов - например, за 10 000 руб. можно еще и поучаствовать в семинаре по использованию такой подписи). Но цена должна радикально снизиться, обещал пресс-секретарь министра связи Елена Лашкина , по сути, она сведется к стоимости носителя. За носитель усиленной ЭП, сертифицированной ФСБ , нужно будет заплатить 500-600 руб., а в перспективе - 300 руб. Для неквалифицированной усиленной ЭП можно купить любую USB -флешку (от 100 руб.).

Президент Медведев подписал закон "Об электронной подписи"

Необходимость нового закона была обусловлена тем, что положения действующего закона об электронной подписи (ФЗ-1) не соответствовали современным принципам регулирования электронных подписей, которые действуют в европейских государствах.

Выделяются три вида электронной подписи - простая электронная подпись, неквалифицированная электронная подпись и квалифицированная электронная подпись.

Квалифицированной электронной подписью является электронная подпись, которая:

  • получена в результате криптографического преобразования информации с использованием ключа подписи;
  • позволяет определить лицо, подписавшее документ;
  • позволяет обнаружить факт внесения изменений в документ после его подписания;
  • создается с использованием средств электронной подписи.

Кроме того, ключ проверки такой подписи указан в квалифицированном сертификате, а для создания и проверки электронной подписи используются средства, получившие подтверждение соответствия требованиям, установленным в соответствии с федеральным законом.

Перед началом использования ЭЦП центр должен был передать в бумажном и электронном виде копии сертификата уполномоченному органу. Сами удостоверяющие центры подлежали обязательному лицензированию и должны были быть выстроены в единую иерархическую структуру. Хотя закон вступил в силу в начале 2002 г., уполномоченный госорган (тогда это было Федеральное агентство по информационным технологиям) появился лишь в 2004 г., а корневой удостоверяющий центр, без которого невозможна работы всех остальных - в 2005. Лицензирование удостоверяющих центров вообще не заработало из-за противоречий с принятым позже законом «О лциензировании отдельных видов деятельности».

В результате, как отмечается в пояснительной записке к закону «Об ЭП», в России ЭЦП пользуются практические только юридические лица, а число выданных сертификатов составляет не более 0,2% от общего числа населения. В принятом сейчас законе от удостоверяющих центрах не требуется лицензирования - они могут пройти аккредитацию и то лишь на добровольной основе. Аккредитацией будет заниматься назначенный правительством уполномоченный орган, он же организует работу корневого центра.

Для аккредитации российское или иностранное юрлицо обязано обладать чистыми активами на сумму не менее 1 млн руб. и финансовыми гарантиями для выплат компенсаций пострадавшим клиентам в размере 1,5 млн руб., иметь не менее двух ИТ-специалистов с высшим профессиональным образованием и пройти процедуру подтверждения в ФСБ. Центры обязаны обеспечить свободный доступ любому лицу к реестрам действующих и аннулированных сертификатов, обязательная передача реестра сертификатов в корневой центр будет происходить только в случае прекращения аккредитации центра. Удостоверяющий центр также может организовать вокруг себя систему центров, по отношению к которым он будет корневым.

План подготовки правовых актов в целях реализации федеральных законов «Об электронной подписи» и «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об электронной подписи» утвержден распоряжением Правительства Российской Федерации от 12 июля 2011 г. №1214-р. План устанавливает сроки разработки правовых актов Правительства РФ и правовых актов федеральных органов исполнительной власти, связанных с использованием электронной подписи. Минкомсвязи России является одним из ответственных исполнителей разработки правовых актов, большинство из которых будет разрабатываться совместно с ФСБ России, Минэкономразвития России, а также заинтересованными федеральными органами исполнительной власти.

Согласно плану, до 30 июля 2011 г. будет назначен федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, до 31 августа – утверждены требования к форме квалифицированного сертификата ключа проверки электронной подписи, требования к средствам электронной подписи, требования к средствам удостоверяющего центра и порядок аккредитации удостоверяющих центров. До 31 октября должны быть приняты постановления Правительства о видах электронной подписи, которые госорганы используют при организации электронного взаимодействия между собой, о видах электронной подписи, которые используются при обращении за госуслугами, и о порядке использования простой электронной подписи при оказании государственных и муниципальных услуг. До 30 ноября должен быть утвержден порядок использования электронной подписи при обращении за получением государственных и муниципальных услуг. Последний планируемый документ будет подписан в марте 2012 г.

В законе 2011 г. появилась возможность подписывать электронной подписью документы, обращение которых не регламентировано законами прямого действия, отмечает замруководителя Росреестра Сергей Сапельников . Под регламентацию подпадают немногие документы: выписки из кадастра недвижимости и Единого госреестра прав, счета-фактуры и др. Новый же закон в теории позволит заверять у нотариусов в электронном виде и выписки из свидетельства о браке, доверенности и т. п. Правда, пока не ясно, подписи какого из трех форматов будут принимать госструктуры и какие конкретно документы можно ими подписывать. Закон не установил, какой тип подписи может использовать то или иное ведомство, в каком формате должен подписываться гендиректор компании, в каком - главный бухгалтер, а в каком - гражданин, говорит Сапельников. Для органов власти виды ЭП определит правительство, а для делового и бытового общения граждане и юридические лица вправе сами выбирать вид подписи, говорит сотрудник Минкомсвязи .

30 марта 2011 г. на заседании Совета Федерации было решено внести поправки в закон об электронной цифровой подписи (ЭЦП), не приостанавливая действия закона в действующей редакции. Сейчас в документе не прописано правило о том, что ЭЦП у конкретного лица должна быть одна, так же как и его графическая личная подпись. Из-за этого чиновники и бизнесмены вынуждены в разных информационных системах использовать разные подписи.

«У нас каждая информационная система требует, чтобы должностное лицо оформляло для каждой конкретной системы индивидуальную цифровую подпись. Мы считаем это категорически недопустимым: во-первых, это дополнительный бюрократический барьер, во-вторых, это большая потеря времени и денег», – отметил один из инициаторов поправок, член комитета Совета Федерации по экономической политике Юрий Росляк.

По его словам, сейчас у чиновника, работающего в системе казначейства, имеется семь разных ЭЦП. «Может дойти до абсурда, когда у человека может быть 10–12 ЭЦП для того, чтобы не ограничивать свою дееспособность», – добавил он. По его словам, унифицированная цифровая подпись должна оформляться в системе удостоверяющих центров. Действовать она должна во всех публичных информационных системах, которые существуют в России . Столь же очевидно, что данный тезис не имеет ничего общего с идентификацией в закрытых информационных системах.

«Сейчас ведется работа по согласованию конструкции: в какую именно главу включить эту поправку. Я думаю, что в течение месяца мы эту работу закончим и согласительные процедуры начнем как минимум в начале июня», – поясняет Ю. Росляк.

Госдума утвердила законопроект "Об электронной подписи"

В марте 2011 года Госдума РФ одобрила в последнем чтении проект Федерального закона «Об электронной подписи», который призван заменить существующий с 2002 года №1-ФЗ «Об электронной цифровой подписи». Закон призван «регулировать отношения по использованию электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также при совершении иных юридически значимых действий».

В соответствии со ст. 5 законопроекта определено три новых вида электронной подписи: простая, неквалифицированная и квалифицированная (наиболее защищенная). Использующиеся на данный момент сертификаты ключей ЭЦП приравниваются к квалифицированным сертификатам электронной подписи.

Законом регулируется выдача и использование сертификатов ключа подписи, проверка подлинности подписей, аккредитация и оказание услуг удостоверяющих центров, которые будут осуществлять выдачу сертификатов ключей электронной подписи. До 1 июля 2012 года такие центры продолжат работать в прежнем режиме, однако должны будут пройти обязательную аккредитацию в уполномоченном органе. Начиная с лета 2012 года право выдачи квалифицированных подписей предоставляется исключительно аккредитованным удостоверяющим центрам.

Ситуация с ЭЦП в Российской Федерации обстоит таким образом, что любому пользователю для работы с информационными системами, требующими применения электронно-цифровой подписи, приходится практически для каждой из них заводить отдельную ЭЦП. Для разрешения данной ситуации Совет Федерации РФ готовит поправку к закону «Об электронной цифровой подписи», которая призвана облегчить жизнь пользователям ЭЦП. В результате она должна стать единой для всех информационных систем и не ограничивать дееспособность их держателей.

Распоряжение В.Путина о переходе госорганов к 2012 году на безбумажный документооборот

В феврале 2011 года премьер-министр России Владимир Путин подписал распоряжение № 176-р «Об утверждении плана мероприятий по переходу федеральных органов исполнительной власти на безбумажный документооборот при организации внутренней деятельности». Данный документ утвердил план мероприятий по переходу федеральных органов власти на безбумажный документооборот и установил, что реализация мероприятий по переходу на безбумажный документооборот осуществляется «за счет средств, предусмотренных в федеральном бюджете».

К июню 2011 года планируется обеспечить «должностных лиц федеральных органов исполнительной власти средствами электронной цифровой подписи в целях использования в электронном документообороте», создать или модернизировать СЭД министерств и ведомств. С 1 января 2012 г., согласно плану, безбумажный документооборот должен заработать во всех федеральных органах власти.

2010: Доклад Минэка Президенту РФ о необходимости ЭЦП для электронных госуслуг

Электронная цифровая подпись наиболее активно используется в сфере финансов – этому способствует и рост проникновения систем интернет-банкинга, и инициативность Федеральной налоговой службы, подразделения которой принимают отчетность в электронном виде. Кроме того, Президент РФ Дмитрий Медведев недавно подписал Федеральный закон от 27.07.2010 № 229-ФЗ, который предусматривает внесение изменений в первую и вторую часть Налогового кодекса РФ. Среди них – возможность выставления счетов-фактур в электронном виде по взаимному согласию сторон сделки и при наличии у сторон совместимых технических средств и возможностей для приема и обработки счетов-фактур. Одним из обязательных условий такого процесса является подписание счетов-фактур с помощью ЭЦП.

По мнению экспертов рынка, создание любой финансовой документации и ведение отчетности – это один из самых простых примеров отрасли, где использование ЭЦП может принести прибыль. Сейчас организациям для хранения финансовой отчетности зачастую приходится арендовать склады – срок хранения документов может составлять 5 лет и даже более. На это тратятся достаточно существенные средства. Кроме того, у каждого обычного частного лица дома тоже есть своеобразный склад, в котором хранятся документы. Если все эти документы перенести в электронную форму, это существенно облегчит жизнь человека или компании и обеспечит большую сохранность документов – ведь бумажные документы не скопировать так просто, как электронные.

В США UETA и национальный закон об ЭП придают электронным документам тот же вес, что имеют традиционные бумажные обязательства, подписанные от руки.

Эти законодательные акты определяют ЭП как «электронный звук, символ или процесс, прилагаемый или логически связанный с контрактом или другой записью, присоединяемый к ней лицом с намерением подписать данную запись». Таким образом, любая деловая транзакция может быть выполнена электронным способом.

«В США люди используют электронные подписи во всех аспектах, касающихся их повседневной жизни. Вы можете оформить в электронном виде ипотеку или страховку в составе автокредита», - говорит Стивен Бисби (Stephen Bisbee), президент балтиморской компании eOriginal, которая владеет патентом на процесс создания, подписи и передачи документов электронным способом.

Наиболее прогрессивные предприятия больше не задаются вопросом, пользоваться ли электронной подписью - они сосредоточены на том, чтобы наилучшим образом встроить ее применение в собственные бизнес-процессы .

Следующим шагом станет управление любым «цифровым» бизнесом в режиме online. «Это движение вперед - от простых подписей к сложным финансовым операциям в электронной форме», - считает Бисби и предсказывает, что перелом в этой области произойдет в течение ближайших четырех лет.

Этап первый: Подготовка к внедрению УЦ

Как и каждый проект по созданию чего-либо, данный проект начинается с проведения предпроектного обследования, в ходе которого будет формализован документооборот, юридическую значимость которого необходимо будет подтвердить. Очень часто бывает, что ни схемы бизнес-процесса, ни формализованных ролей участников нет и в помине – это необходимо будет составить по результатам обследования. Так же, необходимо установить необходимость доработки используемого программного обеспечения ЭДО для интеграции с внедряемыми СКЗИ и, если это необходимо, провести соответствующие доработки.

На основании результатов обследования определяются требования к аппаратной части удостоверяющего центра и типовых требования к АРМ ЭДО. Можно начинать организовывать закупку технических средств и общесистемного программного обеспечения для УЦ. Так же необходимо определиться с тем, какие именно СКЗИ мы будем использовать при построении УЦ, кто будет поставщиком специализированного ПО УЦ.

Для размещения УЦ и средств криптографии необходимо подготовить помещения УЦ согласно требованиям ФСБ к размещению СКЗИ, требований поставщика ПО УЦ и результатов обследования, разработать общие документы по обеспечению ИБ при использовании СКЗИ:

  • Инструкция по работе с СКЗИ в организации;
  • Инструкция пользователя по безопасности при использованию СКЗИ;
  • Инструкция администратора безопасности информации;
  • Инструкция по защите информации конфиденциального характера.

Так же необходимо издать ряд приказов организационного порядка (назначение администратора, определение круга лиц допущенных к работе с СКЗИ, назначение комиссии по категорированию и т.п.)

Данные документы определены требованиями ФСБ и необходимы для прохождения процедуры аттестации АРМ генерации ключевой информации.

Пока осуществляются монтаж технических средств, установка и настройка общесистемного программного обеспечения, компания проводит закупку выбранных ранее СКЗИ и специализированного ПО УЦ.

Далее по мере готовности необходимо провести аттестацию «объектов генерации ключевой информации» - АРМ генерации ключей с установленным СКЗИ. Данную процедуру проводит специализированная аттестационная лаборатория, имеющая соответствующую лицензию ФСТЭК. Результатом данных работ будет «Аттестат соответствия».

Обучение персонала УЦ работе со специализированным ПО необходимо проводить на специализированных курсах, программа которых согласована с ФСБ.

Поскольку при использовании ЭП используется криптография, то юридическому лицу, которое будет собственником УЦ, необходимо получить лицензию в ФСБ России. Виды деятельности, которые необходимо будет лицензировать, зависят от того, какие функции (действия) УЦ прописаны в договоре (регламенте), заключаемого между УЦ и пользователем. Полный список перечислен в Постановлении правительства №313 от 16 апреля 2012 года.

Если УЦ работает в централизованном режиме т.е. сотрудник УЦ формирует ключевую информацию для пользователей, то:

28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

Если УЦ работает в распределённом режиме т.е. пользователь УЦ сам формирует себе ключевую информацию, используя АРМ пользователя "КриптоПро УЦ", то:

25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.

Если УЦ предоставляет пользователям дистрибутивы СКЗИ и/или лицензии на право использования СКЗИ, то:

21. Передача шифровальных (криптографических) средств.

Если УЦ оказывает услуги пользователям по установке и/или настройке СКЗИ, то:

12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.

Если УЦ оказывает услуги пользователям по техническому обслуживанию имеющихся у них СКЗИ, то:

20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства.

Для получения лицензий необходимо подготовить помимо общих документов об организации (копии уставных документов, выписка из ЕГРЮЛ и т.п.), оплаты пошлины, документы свидетельствующие о готовности компании к осуществлению данных видов деятельности, список которых из 16ти пунктов приведен в «Перечень сведений, обосновывающих наличие в организации условий для осуществления заявленных видов деятельности в области защиты информации».

По получению вышеуказанных документов территориальный орган ФСБ в течении 45 дней проводит проверку организации лицензируемых видов деятельности на месте (в организации)и дает заключение по предоставлении или отказе в выдачи лицензий.

Этап 2. Внедрение УЦ

Итак, первый шаг сделан: Мы имеем на руках разрешение в виде лицензий на использование СКЗИ, аппаратные средства и ПО закуплены, помещение подготовлено. Чего де ждать? Важным шагом данного этапа является разработка и утверждение правоустанавливающих документов и регламента предоставления услуг Удостоверяющего Центра (положение об Уц и т.д.) .

Регламент Удостоверяющего центра - документ, который определяет механизмы и условия предоставления и пользования услугами Удостоверяющего Центра, включая обязанности и права Удостоверяющего центра и пользователей, принятые форматы данных, основные организационно технические мероприятия, необходимые для надежной и безопасной работы Удостоверяющего центра.

Основное назначение Регламента является обеспечение неотказуемости пользователей УЦ от факта обладания сертификатами ключей подписи и соответствующими ключами подписи. Регламент Удостоверяющего центра может быть разработан как:

  • Организационный документ, утверждаемый руководителем предприятия, выполнение положений которого вменяется сотрудникам предприятия и лицам, присоединившимся к настоящему Регламенту (на основании заключения Договора присоединения к Регламенту Удостоверяющего центра) - Вариант №1;
  • Договор присоединения (в соответствии со статьей 428 Гражданского кодекса РФ) - Вариант №2.
  • Удостоверяющий центр может осуществлять свою деятельность в отношении нескольких информационных автоматизированных систем. В данном случае для каждой системы разрабатывается Порядок предоставления и пользованиями услугами Удостоверяющего центра, который оформляется в виде приложения к Регламенту Удостоверяющего центра. Также в виде приложений приводятся образцы и формы использующихся документов.

Регламент Удостоверяющего центра, разработанный по Варианту №1, целесообразно использовать для эксплуатации Удостоверяющего центра в рамках отдельного предприятия для нужд внутренних информационных автоматизированных систем. В тоже время, при выходе информационных систем за рамки отдельной организации или при возникновении необходимости интеграции с информационными автоматизированными системами иных компаний, действие Регламента на сторонние организации может распространяться посредством заключения Договора присоединения к Регламенту Удостоверяющего центра.

Регламент Удостоверяющего центра, выступающий в форме Договора присоединения, разрабатывается применительно к тем случаям, в которых деятельность Удостоверяющего центра изначально осуществляется для нужд стороннего пользователя - клиента.

Параллельно с написанием организационно-распорядительной документации, приказов, регулирующих деятельность УЦ и его пользователей в организации, можно вести пуско-наладочные работы специализированного программного обеспечения удостоверяющего центра. По их окончанию проводим опытную эксплуатацию, устраняем выявленные недостатки и финальная стадия - оформление ввода в промышленную эксплуатацию.

Этап третий. Аккредитация Удостоверяющего центра

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона № ФЗ-63.

Аккредитация УЦ осуществляется Министерством связи и массовых коммуникаций Российской Федерации, уполномоченным в сфере использования электронной подписи (далее - уполномоченный орган) в соответствии с порядком, утвержденным приказом Минкомсвязи от 23.11.2011 N 320.

Аккредитация удостоверяющего центра осуществляется на добровольной основе.

Требования к удостоверяющим центрам, претендующим на получение статуса аккредитованного удостоверяющего центра

Аккредитация УЦ осуществляется при условии выполнения им следующих требований:

  1. Стоимость чистых активов УЦ составляет не менее чем один миллион рублей;
  2. Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей;
  3. Наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
  4. Наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи (данное положение вступает в противоречие с 313 постановлением правительства и наверное будет изменено).

Требования к комплектности и содержанию документов, предоставляемых удостоверяющим центром в составе заявки на получение государственной аккредитации

Аккредитация УЦ осуществляется на основании заявления уполномоченного лица УЦ, подаваемого в уполномоченный орган.

В заявлении указывается следующая информация:

  • Организационно-правовая форма и наименование УЦ (юридического лица);
  • Место нахождения и основной государственный регистрационный номер (ОГРН) УЦ (юридического лица);
  • Идентификационный номер налогоплательщика УЦ (юридического лица).

К заявлению прилагаются следующие документы (в том числе необходимые для изготовления квалифицированного сертификата ключа проверки электронной подписи (далее - квалифицированный сертификат), созданного с использованием средств головного УЦ):

  1. Документ, подтверждающий наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей. Таким документом может являться:
  • договор страхования ответственности;
  • банковская гарантия;
  • договор поручительства.

В случае предоставления банковской гарантии в качестве документа, подтверждающего наличие финансового обеспечения ответственности, заявитель указывает номер лицензии на осуществление банковской деятельности кредитной организации, предоставившей банковскую гарантию.

В случае предоставления договора страхования ответственности в качестве документа, подтверждающего наличие финансового обеспечения ответственности, уполномоченный орган дополнительно проверяет наличие указанной в договоре страхования организации в Едином государственном реестре субъектов страхового дела;

  1. Актуальная выписка из бухгалтерского баланса, подтверждающая, что стоимость чистых активов УЦ составляет не менее чем один миллион рублей;
  2. Документы, выдаваемые федеральным органом исполнительной власти в области обеспечения безопасности, подтверждающие соответствие используемых УЦ средств электронной подписи и средств УЦ требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
  3. Документы, подтверждающие право собственности УЦ (право использования программы для ЭВМ) либо иное законное основание использования им средств электронной подписи и средств УЦ, указанных в подпункте 3 настоящего пункта;
  4. Документы, подтверждающие наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи:
  • копии трудовых договоров (с приложением утвержденных должностных регламентов);
  • копии документов о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);
  1. Учредительные документы УЦ либо их надлежащим образом заверенные копии;
  2. Надлежащим образом заверенный перевод на русский язык документов о государственной регистрации юридического лица в соответствии с законодательством иностранного государства (для иностранных юридических лиц);
  3. Доверенность или иной документ, подтверждающий право уполномоченного лица УЦ, направившего указанные документы, действовать от имени УЦ.

Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:

  • наличие необходимых для осуществления деятельности УЦ лицензий в соответствии с требованиями законодательства Российской Федерации;
  • внесение УЦ в реестр операторов, осуществляющих обработку персональных данных;
  • наличие Порядка реализации функций удостоверяющего центра, осуществления прав и исполнения обязанностей удостоверяющего центра, соответствующего требованиям законодательства Российской Федерации в сфере использования электронной подписи;
  • соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.

Заявление об аккредитации УЦ и прилагаемые к нему документы уполномоченное должностное лицо УЦ вправе направить в уполномоченный орган в форме электронного документа, подписанного электронной подписью.

Представление заявления и документов, указанных в настоящем пункте, в форме электронного документа осуществляется с использованием информационно-телекоммуникационных сетей общего пользования, в том числе единого портала государственных и муниципальных услуг.

Этап четвертый. Сопровождение.

В процессе «боевой» эксплуатации УЦ желательно заключить договора с поставщиками или какой-другой специализированной компанией договора на сопровождение ПАК УЦ и используемых СКЗИ.,

Со своей стороны мы так же рекомендуем продолжить сотрудничество с компанией-интегратором, помогавшей Вам создавать УЦ, заключив договор на сопровождение ОРД УЦ, который позволит Вам не отслеживать самостоятельно изменения в Законодательстве и нормативных актах регулирующих органов, получить поддержку в виде предпроверочного экспресс-аудита и помощи в устранении выявленных недостатков, консультационных услуг при прохождении проверки ФСБ (на основании приказа №152 и Постановления

Правительства РФ от 16 апреля 2012 г. N 313 , которым введены положения по лицензированию), в ходе которой проверяются:

  • готовность внутренней нормативной базы;
  • помещение и АРМ генерации (регулирующие документы по охране и доступу и корректность их исполнения);
  • порядок учета, хранения и обращения с ключевыми документами;
  • обучение персонала УЦ (сотрудников органа криптографической защиты);
  • наличие документов на владение КЗ