Что такое удостоверяющий центр электронной подписи

Удостоверяющим центром ЭЦП является некий субъект, основными функциями которого является выдача и обслуживание электронных подписей. В качестве такого субъекта могут выступать как юрлица или ИП, так и госорганы или органы местного самоуправления.

В статье вы найдете информацию о функциях удостоверяющего центра электронной подписи и об особенностях его аккредитации.

Определение удостоверяющего центра ЭЦП

Удостоверяющим центром является некий субъект, основными функциями которого является выдача и обслуживание усиленных электронных подписей. В качестве такого субъекта могут выступать как юрлица или ИП, так и госорганы или органы местного самоуправления.

Любое лицо (юридическое, физическое, в том числе ИП), намеревающееся получить усиленную электронную подпись подает соответствующее заявление в удостоверяющий центр, который, прежде чем выдать подпись, устанавливает личность обратившегося за ней.

В дальнейшем такой центр обеспечивает конфиденциальность ключей электронной подписи. Кроме выдачи ключей электронной подписи центр может осуществлять проверку ранее выданных им электронных подписей (при получении соответствующих обращений).

Таким образом, удостоверяющий центр выступает не только в роли администратора, но и в роли гаранта, который обеспечивает безопасность и надежность использования электронных подписей.

Удостоверяющие центры бывают аккредитованными и неаккредитованными. Основное отличие между ними состоит в том, что аккредитованные центры имеют право выдавать все виды сертификатов электронных подписей. К таким центрам относятся удостоверяющие центры, получившие аккредитацию, а также удостоверяющие центры ФНС России, Казначейства России, Банка России. В то время как неаккредитованные центры могут выдавать только неквалифицированные сертификаты и сертификаты простых электронных подписей.

Аккредитация удостоверяющих центров, являющихся юрлицами, проводится в два этапа:

  • Министерство цифрового развития РФ принимает решение о соответствии удостоверяющего центра установленным требованиям либо об отказе в аккредитации. Положительное заключение направляется в правительственную комиссию;
  • правительственная комиссия принимает решение об аккредитации удостоверяющего центра (отказе в ней).

Удостоверяющие центры, аккредитованные в соответствии с дополнительными требованиями, установленными законом об электронной подписи, а также ФНС России, Казначейство России, Банк России вправе по поручению владельца квалифицированного сертификата хранить ключ электронной подписи и сообщать владельцу об использовании этого ключа, предоставлять истории его использования.

Перечень аккредитованных удостоверяющих центров опубликован на сайте Министерства цифрового развития России https://digital.gov.ru/ru/activity/govservices/2/.

Функции удостоверяющего центра

Основные функциями удостоверяющего центра состоят в том, что он:

  • создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям), при условии установления личности получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата;
  • устанавливает сроки действия сертификатов ключей проверки электронных подписей;
  • аннулирует выданные им ранее сертификаты ключей проверки электронных подписей;
  • выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
  • ведет реестр выданных и аннулированных им сертификатов ключей проверки электронных подписей, в том числе включающий в себя информацию, содержащуюся в выданных им сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;
  • устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием сети Интернет;
  • создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
  • проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
  • осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
  • осуществляет иную связанную с использованием электронной подписи деятельность.

При этом основной задачей удостоверяющего центра является создание сертификата электронной подписи с выдачей его заявителю, который приобретает статус владельца такого сертификата. Важно отметить, что аккредитованный удостоверяющий центр ЭЦП должен обеспечить привязку выдаваемого сертификата к реальной личности, что обеспечивается возложенной на этот центр обязанностью установить личность заявителя — физического лица, обратившегося в него за получением квалифицированного сертификата.

Удостоверяющий центр выполняет ряд других функций, перечень которых приведен выше.

Поговорим немного о сертификате ключа проверки электронной подписи. Он является важнейшим документом во всей системе отношений по использованию электронной подписи, поскольку от действительности сертификата напрямую зависит действительность такой подписи.

По сути, сертификат является своего рода электронным паспортом участника электронного документооборота. Он представляет собой документ в электронной или бумажной форме, содержащий данные, позволяющие сделать вывод о принадлежности электронной подписи определенному лицу. В сертификате содержится так называемый открытый ключ, с помощью которого можно расшифровать переданный документ, подписанный закрытым ключом отправителя, и убедиться, что подпись соответствует заявленному владельцу. Или наоборот — с помощью открытого ключа можно зашифровать отправляемое сообщение, обеспечив его конфиденциальность, поскольку только владелец закрытого ключа (предполагаемый адресат) сможет его открыть и прочитать.

Удостоверяющий центр ведет реестр сертификатов, который представляет собой систематизированный свод сведений о сертификатах всех созданных таким центром электронных подписей. Удостоверяющий центр обеспечивает актуальность данных, содержащихся в таком реестре, и возможность безвозмездного ознакомления с ними любого заинтересованного лица.

Оказание услуг в сфере применения электронной подписи удостоверяющий центр может осуществлять только с использованием соответствующих средств, которые выступают в качестве средств удостоверяющего центра. Такие средства представляют собой программные и аппаратные средства. В связи с этим можно говорить о том, что средства удостоверяющего центра представляют собой совокупность оборудования и программного обеспечения, необходимых для изготовления электронной подписи и ее дальнейшего обслуживания в процессе эксплуатации.

Программный комплекс обеспечения предоставления услуг удостоверяющего центра включает в себя ряд основных компонентов, к числу которых относятся следующие:

  • центр сертификации предназначен для формирования реестра сертификатов, как действующих, так и прекративших свое действие в силу тех или иных обстоятельств;
  • центр регистрации осуществляет ведение реестра выданных сертификатов ключей и их владельцев;
  • автоматизированное рабочее место администратора регистрационного центра является дополнительным элементом и предназначено для обеспечения реализации своих функциональных обязанностей сотрудникам отдельных служб и структурных подразделений удостоверяющего центра.

Технические средства обеспечения работы центра включают в себя:

  • выделенный сервер указанных выше центров регистрации и сертификации;
  • компьютеры и принтеры рабочих мест сотрудников удостоверяющего центра.

Программные и программно-аппаратные средства защиты информации включают в себя:

  • комплексы защиты от несанкционированного доступа, типы которых определяются применительно к сфере деятельности удостоверяющего центра. В качестве примера можно привести комплексы типа «электронный замок»;
  • средства обеспечения бесперебойного питания серверов;
  • средства обеспечения температурного режима и кондиционирования помещений центра, уровня влажности в них;
  • систему противопожарной безопасности.

Особенности, связанные с аккредитацией

Аккредитацией удостоверяющего центра является процедура признания соответствия центра требованиям закона об электронной подписи. Такое признание осуществляется уполномоченным федеральным органом, в качестве которого выступает Министерство цифрового развития РФ.

Законом предусмотрены довольно высокие требования для аккредитации удостоверяющих центров электронной подписи. Это необходимо для того, чтобы не только не допускать на рынок недобросовестных участников, но и стимулировать получившие аккредитацию удостоверяющие центры ответственно работать.

Отметим, что новые, повышенные требования для аккредитации вступили в силу с 01 января 2021 года. Это означает, что все вновь аккредитуемые центры с указанной даты должны отвечать новым требованиям.

Те же центры, которые были аккредитованы до указанной даты (то есть до 01 января 2021 год) могут продолжать работать минимум до 01 января 2022 года. Но те из них, которые не будут соответствовать новым требованиям, будут лишены аккредитации 01 января 2022 года. Тогда же становятся недействительными все электронные подписи, которые эти центры выдали до 01 января 2021 года.

Удостоверяющие центры, с аккредитацией до 01.07.2020, вправе выдавать сертификаты на срок своей аккредитации, но не позднее чем до 01.07.2021, при этом сертификаты действуют до истечения своего срока действия, но не более срока действия аккредитации удостоверяющего центра, либо не более чем до 01 января 2022 года.

То есть, если удостоверяющий центр аккредитован до 01.07.2020, то сертификат действует до истечения срока, на который выдан, но не более срока действия аккредитации удостоверяющего центра либо не дольше чем до 01.01.2022.

Поговорим о новых требованиях к удостоверяющему центру более подробно.

  1. Удостоверяющий центр для получения аккредитации должен иметь капитал (размер собственных средств) не менее чем один миллиард рублей либо пятьсот миллионов рублей при наличии не менее чем в трех четвертях субъектов РФ одного или более филиала или представительства удостоверяющего центра.
  2. Центр должен иметь определенный размер страхового покрытия.
  3. Центр должен иметь лицензию на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств.
  4. У удостоверяющего центра должно быть право собственности на аппаратные средства электронной подписи и средства, имеющие подтверждение соответствия установленным требованиям.
  5. В штате удостоверяющего центра должно быть не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих соответствующее образование.
  6. Деловая репутация руководителя и учредителей удостоверяющего центра должна соответствовать установленным требованиям.
  7. В отношении удостоверяющего центра, претендующего на получение аккредитации, не была досрочно прекращена его аккредитация в течение трех лет до подачи заявления.

Аккредитация удостоверяющего центра осуществляется на основании его заявления. К заявлению прилагаются документы, подтверждающие соответствие удостоверяющего центра требованиям.

В срок, не превышающий тридцати календарных дней со дня приема заявления удостоверяющего центра, Министерство цифрового развития РФ принимает решение о соответствии удостоверяющего центра установленным требованиям.

После принятия решения о соответствии центра требованиям Министерство цифрового развития РФ направляет соответствующее заключение в правительственную комиссию, которая рассматривает представленные документы и в течение двадцати рабочих дней принимает решение об аккредитации удостоверяющего центра или отказе в аккредитации.

В случае принятия решения правительственной комиссией об аккредитации Министерство цифрового развития РФ направляет уведомление удостоверяющему центру о принятом решении и вносит соответствующую информацию в перечень аккредитованных центров, после чего центр считается аккредитованным удостоверяющим центром.

Аккредитованный центр должен соблюдать требования, на соответствие которым он аккредитован, в течение всего срока его аккредитации.