Правовоеинципы регулированиея СУЦРФдеятельности удостоверяющих центров

Действующие нормативные документы, регулирующие использование цифровых сертификатов, перечисленыриведены в Приложении 1.

Для того, чтобы обеспечить работуы ИОК РФ, необходимо принять ряд дополнительных подзаконных актов. Кроме государственных структур к разработке этих документов целесообразно привлечь организациию, способныеую разработать предложения по регламентации деятельности СУЦРФ и ФМУЦ. Роль такой организации может выполнять АДЭ, так как она включаетспособна привлечь специалистов, имеющих опыттношение к развитияю инфраструктуры открытых ключей.

Ниже перечислены аспекты, подлежащие регулированию.

1. Положение о порядке исполнения функций уполномоченного федерального органа исполнительной власти в области использования электронной цифровой подписи (в соответствии со ст. 10, п. 4), которое включает:

· Порядок регистрации сертификатов ключей электронной цифровой подписи уполномоченных лиц уполномоченного федерального органа исполнительной власти как высших должностных лиц в структуре СУЦРФ;

· Порядок организации и ведения единого государственного реестра сертификатов ключей подписей уполномоченных лиц удостоверяющих центров и самих удостоверяющих центров;

· Порядок организации отслеживания полномочий уполномоченных лиц уполномоченного федерального органа исполнительной власти и использования их сертификатов после прекращения их должностных полномочий;

· Порядок организации хранения и использования закрытых ключей электронной цифровой подписи уполномоченных лиц уполномоченного федерального органа исполнительной власти;

· Порядок действий уполномоченного федерального органа исполнительной власти и его уполномоченных лиц при компрометации их закрытых ключей. Ответственность уполномоченного федерального органа исполнительной власти и его уполномоченных лиц при компрометации их закрытых ключей;

2. Положение об удостоверяющем центре, которое включает:

· Порядок регистрации сертификатов ключей электронной цифровой подписи уполномоченных лиц удостоверяющих центров информационных систем общего пользования в уполномоченном федеральном органе исполнительной власти.

· Порядок генерации ключевой пары закрытого и открытого ключей и требования к форме сохранения и представления закрытого ключа. Порядок хранения и использования закрытого ключа.

· Порядок организации хранения и использования закрытых ключей электронной цифровой подписи уполномоченных лиц удостоверяющего центра.

· Порядок организации отслеживания полномочий уполномоченных лиц удостоверяющих центров и использования их сертификатов после прекращения их должностных полномочий.

· Порядок регистрации владельцев сертификатов ключей электронной цифровой подписи и их сертификатов, в т.ч. на псевдоним, а также оформление и получение сертификата ключа подписи в неявочном порядке (в режиме удаленного обращения в удостоверяющий центр) с последующей отсылкой сертификата через сеть «Интернет» (E-mail).

· Порядок ведения удостоверяющим центром единого государственного реестра сертификатов ключей подписей.

· Порядок обеспечения доступа пользователей к реестру сертификатов и обеспечение защиты реестра от несанкционированного вмешательства.

· Порядок ведения архива сертификатов и выдачи копий сертификатов ключей подписей, действие которых приостановлено или прекращено. Сроки архивного хранения.

· Порядок проведения экспертных действий в отношении документов, заверенных ЭЦП по запросам физических и юридических лиц.

· Порядок действий удостоверяющего центра и его уполномоченных лиц при компрометации их закрытых ключей. Ответственность удостоверяющего центра и его уполномоченных лиц при компрометации их закрытых ключей и достоверность информации и документов единого государственного реестра сертификатов ключей подписей.

· Порядок хранения сертификатов ключей подписи в случае прекращения деятельности удостоверяющего центра.

3. Требования к органу государственной власти и органам местного самоуправления по порядку хранения и использования закрытых ключей, применения ЭЦП, использования программно-аппаратных средств, обеспечения требуемой безопасности и использования средств защиты:

· Порядок организации выдачи и регистрации сертификатов ключей электронной цифровой подписи уполномоченных лиц федеральных органов государственной власти и местного самоуправления в уполномоченном федеральном органе исполнительной власти (в области использования электронной цифровой подписи) и порядок организации отслеживания полномочий этих лиц и использования их сертификатов после прекращения их должностных полномочий.

· Порядок организации выдачи и регистрации сертификатов электронной цифровой ключей подписи уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления и порядок организации отслеживания полномочий этих лиц и использования сертификатов после прекращения их должностных полномочий.

· Порядок организации хранения и использования закрытых ключей электронной цифровой подписи уполномоченных лиц федеральных органов государственной власти, органов власти субъектов РФ и МСУ.

· Порядок действий органов государственной власти, органов власти субъектов РФ и МСУ и их уполномоченных лиц при компрометации закрытых ключей. Ответственность органов государственной власти, органов власти субъектов РФ и МСУ и их уполномоченных лиц при компрометации закрытых ключей.

4. Рекомендации хозяйствующим субъектам по порядку хранения и использования закрытых ключей, применения ЭЦП, использования программно-аппаратных средств, обеспечения требуемой безопасности и использования средств защиты.

5 Порядок лицензирования и контроля за деятельностью УЦ. Согласно действующему законодательству государственный контроль за деятельностью УЦ осуществляется посредством лицензирования. Лицензирование осуществляет уполномоченный федеральный орган в соответствии с порядком, определённым Положением о лицензировании. В зависимости от уровня УЦ, обслуживаемой им информационной системы (общего пользования или корпоративная) и сферы применения цифровых сертификатов лицензирование может производиться заявительным порядком или путем специальной экспертизы заявителя. Заявитель может проходить экспертизу на наличие условий, необходимых для осуществления деятельности УЦ. Для проведения экспертизы могут привлекаться лицензионные центры, аккредитованные федеральными ведомствами для проверок в части, касающейся защиты информации. Требования, предъявляемые удостоверяющим центрам, утверждаемых Правительством РФ по представлению УФО, будут обязательными только для удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования. Для корпоративных информационных систем такие требования носят рекомендательный характер. Предварительный перечень требований (рекомендаций) к УЦ приведён в Приложении 2. Наличие необходимых условий определяются составом объектов, используемых при осуществлении деятельности УЦ, в том числе помещений, средств электронной цифровой подписи, технической и технологической документации, технических средств (аппаратных, программных, программно-аппаратных) и оборудования (производственного, технологического, испытательного и контрольно-измерительного), а также наличием квалифицированного персонала и режимом работы.

6. Обеспечение финансовых гарантий деятельности и ответственность удостоверяющих центров. Согласно статьи 8 Федерального закона "Об электронной цифровой подписи" от 10.01.02 г. № 1-ФЗ удостоверяющий центр должен обладать материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед владельцами сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Согласно указанной статье требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, утверждаемых Правительством РФ по представлению УФО, будут обязательными только для удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования. Для корпоративных информационных систем такие требования носят рекомендательный характер.

Исходя из технологии функционирования удостоверяющего центра, основаниями возникновения ответственности удостоверяющих центров могут быть следующие обстоятельства:

· внесение в сертификат неверных сведений, отличных от указанных в заявке на его получение;

· неверная идентификация владельца электронной цифровой подписи, например, вследствие технических ошибок, несоблюдения процедур проверки документов в соответствии с Классом сертификата и пр. при подаче и обработке заявки на получение цифрового сертификата;

· несвоевременная публикация списков отозванных сертификатов и сертификатов, действие которых приостановлено;

· ошибочный отзыв или приостановку действия сертификатов;

· компрометация закрытого ключа электронной цифровой подписи удостоверяющего центра;

· несвоевременное внесение сертификата ключа подписи в реестр сертификатов ключей подписей;

· отказы и сбои технических и программных средств;

· ошибочные и/или противоправные действия персонала удостоверяющего центра и пр.

· несанкционированное проникновение третьих лиц в единый государственный реестр сертификатов ключей подписи (взлом средств цифровой подписи УЦ) и подлога или подмены действующих сертификатов в реестре тех или иных лиц;

· наличие разного рода не законно установленных программных или аппаратных закладок в средствах цифровой подписи УЦ;

· отказ уполномоченного должностного лица от своей электронной цифровой подписи в документе.

Удостоверяющий центр не может нести ответственность за неисполнение своих обязательств по независящим и неконтролируемым им причинам.

Проблема обеспечения финансовых гарантий носит комплексный характер и должна решаться несколькими способами, среди которых могут быть следующие:

· Распределение ответственности между участниками инфраструктуры открытых ключей – ИОК (вертикальное и горизонтальное).

· Регулирование финансовой устойчивости УЦ.

· Создание механизмов разрешения споров.

В связи с отсутствием в ФЗ Об ЭЦП соответствующих норм распределение ответственности между участниками ИОК закрепляется через нормативные документы, а также типовые договоры, условия выпуска и обслуживания сертификатов, регламенты разрешения споров, которые должны быть разработаны Минсвязи и рекомендованы к использованию удостоверяющими центрами всех уровней и центрами регистрации.

Принципы распределения ответственности в отечественной ИОК:

· Согласование требований к уровням гарантий участков СУЦРФ, в том числе на сегментах, присоединенных через кросс-сертификацию.

· Использование механизмов обеспечения дополнительных гарантий защиты интересов владельцев сертификатов.

· Ограничение объема ответственности участников ИОК друг перед другом только нанесенным реальным ущербом, исключая упущенную выгоду и моральный ущерб.

· Ограничение объема ответственности УЦ по видам (Классам) сертификатов.

· Мониторинг объемов потенциальной ответственности УЦ с целью оперативного поддержания уровня финансовых гарантий, необходимого для покрытия ответственности по всем находящимся в обращении сертификатам.

· Развитие практики страхования гражданской ответственности участников ИОК.

· Солидарная ответственность УЦ и находящегося в его подчинении ЦР за ущерб, который может быть нанесен владельцам, пользователям сертификатов и третьим лицам, действиями/бездействием УЦ или ЦР.

Регулирование финансовой устойчивости удостоверяющих центров может осуществляться следующими методами:

· Рекомендации к минимальному уставному капиталу для вновь создаваемых УЦ, зависящие от договорных обязательств УЦ перед участниками информационной системы.

· Рекомендации к собственным средствам или банковскими гарантиями для действующих УЦ ( под депозит средств, залога имущества и т. д.) .

· Рекомендации к объему страховой защиты УЦ и ЦР.

Данные методы могут использоваться на альтернативной основе. Т.е. при наличии достаточного собственного капитала может не применяться страхование, и наоборот.

7. Порядок разрешения споров (УЦ-клиент, УЦ-УЦ /третейский суд/). Разработка рекомендаций по порядку использования электронных документов, подписанных ЭЦП, в качестве доказательств при разбирательствах в судах общей юрисдикции и арбитражных судах. Наиболее эффективным механизмом разрешения споров на сегодняшний день представляется третейский суд с участием как юристов, так и технических специалистов и специалистов страховых компаний. Важным элементом системы разрешения споров являются независимые технические (экспертные) комиссии, в компетенцию которых должно входить расследование случаев компрометации секретных ключей и других преступлений в СУЦРФ. Данные комиссии должны работать в тесном взаимодействии с правоохранительными органами.

8. Рекомендации по применению импортных криптографических средств.Особенно актуально для организаций, деятельность которых не ограничена границами Российской Федерации – среди прочих достаточно упомянуть транснациональные компании, финансовые институты и операторов связи. Целесообразно рассмотреть вопрос об организации процедуры сертификации криптографических средств, получивших широкое распространение в мировой инфраструктуре открытых ключей. До решения вопроса с сертификацией нужно разработать порядок лицензирования осуществления деятельности по защите информации с использованием таких средств (как это делается в отношении средств, применяемых SWIFT, VISA, MasterCard, Diners Club).