· Заверение электронного документа производится, по обращению участников информационной системы, электронным нотариусом.
Действующие нормативные документы, регулирующие использование цифровых сертификатов, перечислены в Приложении 1.
Для того, чтобы обеспечить работу ИОК РФ, необходимо принять ряд дополнительных подзаконных актов. Кроме государственных структур к разработке этих документов целесообразно привлечь организации, способные разработать предложения по регламентации деятельности СУЦРФ и ФМУЦ. Роль такой организации может выполнять АДЭ, так как она включает специалистов, имеющих опыт развития инфраструктуры открытых ключей.
Ниже перечислены аспекты, подлежащие регулированию.
1. Положение о порядке исполнения функций уполномоченного федерального органа исполнительной власти в области использования электронной цифровой подписи (в соответствии со ст. 10, п. 4), которое включает:
· Порядок регистрации сертификатов ключей электронной цифровой подписи уполномоченных лиц уполномоченного федерального органа исполнительной власти как высших должностных лиц в структуре СУЦРФ;
· Порядок организации и ведения единого государственного реестра сертификатов ключей подписей уполномоченных лиц удостоверяющих центров и самих удостоверяющих центров;
· Порядок организации отслеживания полномочий уполномоченных лиц уполномоченного федерального органа исполнительной власти и использования их сертификатов после прекращения их должностных полномочий;
· Порядок организации хранения и использования закрытых ключей электронной цифровой подписи уполномоченных лиц уполномоченного федерального органа исполнительной власти;
· Порядок действий уполномоченного федерального органа исполнительной власти и его уполномоченных лиц при компрометации их закрытых ключей. Ответственность уполномоченного федерального органа исполнительной власти и его уполномоченных лиц при компрометации их закрытых ключей;
2. Положение об удостоверяющем центре, которое включает:
· Порядок регистрации сертификатов ключей электронной цифровой подписи уполномоченных лиц удостоверяющих центров информационных систем общего пользования в уполномоченном федеральном органе исполнительной власти.
· Порядок генерации ключевой пары закрытого и открытого ключей и требования к форме сохранения и представления закрытого ключа. Порядок хранения и использования закрытого ключа.
· Порядок организации хранения и использования закрытых ключей электронной цифровой подписи уполномоченных лиц удостоверяющего центра.
· Порядок организации отслеживания полномочий уполномоченных лиц удостоверяющих центров и использования их сертификатов после прекращения их должностных полномочий.
· Порядок регистрации владельцев сертификатов ключей электронной цифровой подписи и их сертификатов, в т.ч. на псевдоним, а также оформление и получение сертификата ключа подписи в неявочном порядке (в режиме удаленного обращения в удостоверяющий центр) с последующей отсылкой сертификата через сеть «Интернет» (E-mail).
· Порядок ведения удостоверяющим центром единого государственного реестра сертификатов ключей подписей.
· Порядок обеспечения доступа пользователей к реестру сертификатов и обеспечение защиты реестра от несанкционированного вмешательства.
· Порядок ведения архива сертификатов и выдачи копий сертификатов ключей подписей, действие которых приостановлено или прекращено. Сроки архивного хранения.
· Порядок проведения экспертных действий в отношении документов, заверенных ЭЦП по запросам физических и юридических лиц.
· Порядок действий удостоверяющего центра и его уполномоченных лиц при компрометации их закрытых ключей. Ответственность удостоверяющего центра и его уполномоченных лиц при компрометации их закрытых ключей и достоверность информации и документов единого государственного реестра сертификатов ключей подписей.
· Порядок хранения сертификатов ключей подписи в случае прекращения деятельности удостоверяющего центра.
3. Требования к органу государственной власти и органам местного самоуправления по порядку хранения и использования закрытых ключей, применения ЭЦП, использования программно-аппаратных средств, обеспечения требуемой безопасности и использования средств защиты:
· Порядок организации выдачи и регистрации сертификатов ключей электронной цифровой подписи уполномоченных лиц федеральных органов государственной власти и местного самоуправления в уполномоченном федеральном органе исполнительной власти (в области использования электронной цифровой подписи) и порядок организации отслеживания полномочий этих лиц и использования их сертификатов после прекращения их должностных полномочий.
· Порядок организации выдачи и регистрации сертификатов электронной цифровой ключей подписи уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления и порядок организации отслеживания полномочий этих лиц и использования сертификатов после прекращения их должностных полномочий.
· Порядок организации хранения и использования закрытых ключей электронной цифровой подписи уполномоченных лиц федеральных органов государственной власти, органов власти субъектов РФ и МСУ.
· Порядок действий органов государственной власти, органов власти субъектов РФ и МСУ и их уполномоченных лиц при компрометации закрытых ключей. Ответственность органов государственной власти, органов власти субъектов РФ и МСУ и их уполномоченных лиц при компрометации закрытых ключей.
4. Рекомендации хозяйствующим субъектам по порядку хранения и использования закрытых ключей, применения ЭЦП, использования программно-аппаратных средств, обеспечения требуемой безопасности и использования средств защиты.
5 Порядок лицензирования и контроля за деятельностью УЦ. Согласно действующему законодательству государственный контроль за деятельностью УЦ осуществляется посредством лицензирования. Лицензирование осуществляет уполномоченный федеральный орган в соответствии с порядком, определённым Положением о лицензировании. В зависимости от уровня УЦ, обслуживаемой им информационной системы (общего пользования или корпоративная) и сферы применения цифровых сертификатов лицензирование может производиться заявительным порядком или путем специальной экспертизы заявителя. Заявитель может проходить экспертизу на наличие условий, необходимых для осуществления деятельности УЦ. Для проведения экспертизы могут привлекаться лицензионные центры, аккредитованные федеральными ведомствами для проверок в части, касающейся защиты информации. Требования, предъявляемые удостоверяющим центрам, утверждаемых Правительством РФ по представлению УФО, будут обязательными только для удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования. Для корпоративных информационных систем такие требования носят рекомендательный характер. Предварительный перечень требований (рекомендаций) к УЦ приведён в Приложении 2. Наличие необходимых условий определяются составом объектов, используемых при осуществлении деятельности УЦ, в том числе помещений, средств электронной цифровой подписи, технической и технологической документации, технических средств (аппаратных, программных, программно-аппаратных) и оборудования (производственного, технологического, испытательного и контрольно-измерительного), а также наличием квалифицированного персонала и режимом работы.
6. Обеспечение финансовых гарантий деятельности и ответственность удостоверяющих центров. Согласно статьи 8 Федерального закона "Об электронной цифровой подписи" от 10.01.02 г. № 1-ФЗ удостоверяющий центр должен обладать материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед владельцами сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Согласно указанной статье требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, утверждаемых Правительством РФ по представлению УФО, будут обязательными только для удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования. Для корпоративных информационных систем такие требования носят рекомендательный характер.
Исходя из технологии функционирования удостоверяющего центра, основаниями возникновения ответственности удостоверяющих центров могут быть следующие обстоятельства:
· внесение в сертификат неверных сведений, отличных от указанных в заявке на его получение;
· неверная идентификация владельца электронной цифровой подписи, например, вследствие технических ошибок, несоблюдения процедур проверки документов в соответствии с Классом сертификата и пр. при подаче и обработке заявки на получение цифрового сертификата;
· несвоевременная публикация списков отозванных сертификатов и сертификатов, действие которых приостановлено;
· ошибочный отзыв или приостановку действия сертификатов;
· компрометация закрытого ключа электронной цифровой подписи удостоверяющего центра;
· несвоевременное внесение сертификата ключа подписи в реестр сертификатов ключей подписей;
· отказы и сбои технических и программных средств;