5. Аккредитация УЦ осуществляется при условии выполнения им следующих требований:

1) стоимость чистых активов УЦ составляет не менее чем один миллион рублей;

2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей;

3) наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

4) наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи.

На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции УЦ, не распространяются требования, установленные подпунктами 1 и 2 настоящего пункта.

III. Требования к комплектности и содержанию документов, предоставляемых удостоверяющим центром в составе заявки на получение государственной аккредитации

6. Аккредитация УЦ осуществляется на основании заявления уполномоченного лица УЦ, подаваемого в уполномоченный орган (рекомендуемая форма заявления размещается на официальном сайте уполномоченного органа в информационно – телекоммуникационной сети Интернет).

6.1. В заявлении указывается следующая информация:

организационно – правовая форма и наименование УЦ (юридического лица);

место нахождения и основной государственный регистрационный номер (ОГРН) УЦ (юридического лица);

идентификационный номер налогоплательщика УЦ (юридического лица).

7. К заявлению прилагаются следующие документы (в том числе необходимые для изготовления квалифицированного сертификата ключа проверки электронной подписи (далее – квалифицированный сертификат), созданного с использованием средств головного УЦ):

1) документ, подтверждающий наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей. Таким документом может являться:

договор страхования ответственности;

банковская гарантия;

договор поручительства.

В случае предоставления банковской гарантии в качестве документа, подтверждающего наличие финансового обеспечения ответственности, заявитель указывает номер лицензии на осуществление банковской деятельности кредитной организации, предоставившей банковскую гарантию.

В случае предоставления договора страхования ответственности в качестве документа, подтверждающего наличие финансового обеспечения ответственности, уполномоченный орган дополнительно проверяет наличие указанной в договоре страхования организации в Едином государственном реестре субъектов страхового дела;

2) актуальная выписка из бухгалтерского баланса, подтверждающая, что стоимость чистых активов УЦ составляет не менее чем один миллион рублей;

3) документы, выдаваемые федеральным органом исполнительной власти в области обеспечения безопасности, подтверждающие соответствие используемых УЦ средств электронной подписи и средств УЦ, требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

4) документы, подтверждающие право собственности УЦ (право использования программы для ЭВМ) либо иное законное основание использования им средств электронной подписи и средств УЦ, указанных в подпункте 3 настоящего пункта;

5) документы, подтверждающие наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи:

копии трудовых договоров (с приложением утвержденных должностных регламентов);

копии документов о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);

6) учредительные документы УЦ, либо их надлежащим образом заверенные копии;

7) надлежащим образом заверенный перевод на русский язык документов о государственной регистрации юридического лица в соответствии с законодательством иностранного государства (для иностранных юридических лиц);

8) доверенность или иной документ, подтверждающий право уполномоченного лица УЦ, направившего указанные документы, действовать от имени УЦ.

Получение документов, указанных в настоящем пункте и находящихся в распоряжении органов, предоставляющих государственные услуги, органов, предоставляющих муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных государственным органам или органам местного самоуправления организаций, участвующих в предоставлении государственных услуг, осуществляется, в том числе в электронной форме с использованием единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия по межведомственному запросу уполномоченного органа.

Документы, указанные в настоящем пункте, могут быть представлены УЦ самостоятельно.

8. Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:

наличие необходимых для осуществления деятельности УЦ лицензий в соответствии с требованиями законодательства Российской Федерации;

внесение УЦ в реестр операторов, осуществляющих обработку персональных данных;

наличие Порядка реализации функций удостоверяющего центра, осуществления прав и исполнения обязанностей удостоверяющего центра, соответствующего требованиям законодательства Российской Федерации в сфере использования электронной подписи;

соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.

9. Заявление об аккредитации УЦ и прилагаемые к нему документы уполномоченное должностное лицо УЦ вправе направить в уполномоченный орган в форме электронного документа, подписанного электронной подписью.

Представление заявления и документов, указанных в настоящем пункте, в форме электронного документа, осуществляется с использованием информационно-телекоммуникационных сетей общего пользования, в том числе единого портала государственных и муниципальных услуг.

Принятие обоснованных решений в сфере как экономики, так и политики невозможно без обладания достаточным объемом правовой информации. Особенно остро эта необходимость ощущается в период реформирования экономического и политического устройства. Задачу удовлетворения потребности в своевременном предоставлении необходимого объема правовой информации решают различные средства массовой информации (СМИ).
В этой области конкурируют как традиционные СМИ, так и справочно-правовые системы (СПС). По-настоящему эффективная СПС может быть создана только с применением современных информационных технологий. Созданная таким образом СПС называется компьютерной.
Компьютерная справочно-правовая система - это программный комплекс, включающий в себя массив правовой информации и инструменты для работы с ним. Эти инструменты могут позволять производить поиск документов, формировать подборки документов, выводить документы или их фрагменты на печать.
Преимущества компьютерных СПС очевидны. Это и доступность информации, и удобство работы с нею. Проблема же, присущая таким системам, - недостаточная оперативность - может быть решена с помощью глобальной сети Интернет.

Основными причинами активного развития компьютерных СПС в России являются стремительное совершенствование и удешевление персональных компьютеров в последнее десятилетие, с одной стороны, и большое количество нормативных и других правовых документов, порожденных реформами политической и экономической жизни в стране, с другой стороны. В настоящее время существует множество практических задач, направлений, связанных с обращением к правовой информации, эффективно решить которые можно лишь при использовании компьютерных СПС. Бухгалтерский учет в полной мере можно отнести к таким направлениям.

Компьютерная справочная правовая система (СПС) - это программный комплекс, включающий в себя массив правовой информации и программные инструменты, позволяющие специалисту работать с этим массивом информации: производить поиск конкретных документов или их фрагментов, формировать подборки необходимых документов, выводить информацию на печать и т.д.

Использование компьютерных технологий для работы с законодательной информацией началось еще во второй половине 1960-х гг. Сначала справочные системы создавались в основном в виде электронных картотек («электронных каталогов»). Так, бельгийская система CREDOC, появившаяся на свет в 1967г., стала первой в Европе электронной картотекой для компьютерного поиска юридической информации.

Некоторые юридические электронные картотеки в процессе развития начали работать в диалоговом режиме благодаря сети терминалов в библиотеках и стали широко доступны для всех желающих. Примером такой системы может служить FINLEX, созданная в 1982 г. министерством юстиции Финляндии. Она предназначена для предоставления информации о судебных решениях и судебной практике.

При всех достоинствах электронные картотеки не позволяют знакомиться с полным текстом документов, поэтому более удобны полнотекстовые системы, дающие возможность не только практически моментально находить в громадных информационных массивах необходимый документ, но и работать с текстом найденного документа. В 1967 г. в результате соглашения между коллегией адвокатов штата Огайо и фирмой DATA Corp. началась разработка одной из самых известных полнотекстовых справочных правовых систем (СПС) США - LEXIS. С 1980 г. система стала доступна пользователям Великобритании, а с 1985 г. - Австралии. Ежедневно она отвечает на более чем 20 тыс. запросов, в ее информационной базе собраны нормативные документы штатов и акты федерального значения, в том числе полный текст Конституции США, а также все судебные прецеденты США.

Со временем в LEXIS было включено британское законодательство, а с 1981 г. - английские судебные прецеденты. Теперь эта система носит имя LEXIS-NEXIS и доступна в том числе через сеть Интернет.

В настоящее время все экономически развитые страны имеют СПС, и по некоторым оценкам сейчас в мире насчитывается более сотни подобных систем.

В России разработка компьютерных справочных правовых баз началась в июле 1975 г., когда руководство Советского Союза приняло решение о развитии правовой информатизации. В рамках реализации этого решения в 1976 г. при Министерстве юстиции был создан Научный центр правовой информации (НЦПИ). Основной задачей Центра стала разработка справочных систем и государственный учет нормативных актов. В то время пользоваться информационной базой НЦПИ могли лишь отдельные министерства, ведомства и государственные научные организации, широкий же доступ к информации был исключен.

Быстрое развитие и распространение СПС в России началось в конце 1980-х - начале 1990-х гг., когда и появились первые негосударственные СПС: в 1989 г. - «ЮСИС», в 1991 г. - «Гарант», в 1992 г. - «Консультант Плюс».

Основу правовых систем составляют электронные базы и банки правовой информации - это как бы «мозг и сердце» всей системы. Базы данных информационного обеспечения включают в себя самые разнообразные документы: от координационных планов разработки нормативных актов до актов зарубежного законодательства. В настоящее время в России уже создан ряд компьютерных центров и сетей правовой информации. Вступившие в строй сети охватывают большую часть территории России и предоставляют свои услуги сотням тысяч пользователей. В задачи этих центров входят сбор, аккумулирование, систематизация, хранение и предоставление потребителям различных сведений правового характера. Наиболее известны в России следующие продукты и разработавшие их компании:

«Консультант Плюс» (компания «Консультант Плюс»);

«Гарант» (НПП «Гарант-Сервис»);

«Кодекс» (Центр компьютерных разработок);

«Референт» (фирма «Референт-Сервис»).

К системам, созданным государственными предприятиями для обеспечения потребностей в правовой информации государственных ведомств, следует отнести системы:

«Эталон» (НЦПИ при Министерстве юстиции РФ);

«Система» (НТЦ «Система» при ФАПСИ).

Кроме того, на российском рынке представлены следующие системы:

«ЮСИС» (фирма «Интралекс»);

«Юридический Мир» (издательство «дело и право»);

«Ваше право» и «Юрисконсульт» (фирма «Информационные системы и технологии»);

«Законодательство России» (Ассоциация развития банковских технологий) и некоторые другие.

Согласно ч. 3 ст. 15 Конституции РФ все законы и нормативные акты должны быть опубликованы для всеобщего сведения, поэтому ни одна компьютерная правовая база, кроме НТЦ «Система», не является официальным источником опубликования нормативно-правовых актов. Таким образом, справочные правовые системы дают возможность получать и использовать полную, достоверную информацию по правовым проблемам, но имеют статус именно справочных. Поэтому при обращении, скажем, в суд (или иную инстанцию) необходимо ссылаться не на правовую базу, а на официальный источник публикации.

Поиск документов
Пользователь имеет возможность выбрать между несколькими видами поиска, представленными в системе, в зависимости от информации об искомом документе. В системе "Гарант" предоставлено четыре вида поиска:
поиск по реквизитам - поиск с указанием реквизитов документа;
поиск по ситуации - поиск с использованием ключевых слов, описывающих ситуацию, в которой необходим документ;
поиск по классификаторам - используется для подборки документов по определенной тематике;
поиск по источнику опубликования - позволяет искать документы с известным источником публикации.
Рассмотрим подробнее каждый из этих видов поиска.

Поиск по реквизитам
Такой поиск обычно используется, если нам заранее известны такие реквизиты документа, как вид, номер, дата принятия, орган, принявший документ, фрагмент текста документа и т. п.. Условия для поиска можно объединять логическими операторами. Для последующего быстрого использования сложного запроса он может быть сохранен.

Поиск по ситуации
Если реквизиты документа неизвестны, возможен поиск по ситуации. Для поиска по ситуации используется словарь, составленный из ключевых (наиболее значимых) слов, содержащихся в документах информационной базы. Для последовательной конкретизации запроса словарь разделен на два уровня - основной и подробный, которые представлены в виде дерева.
Процесс формирования запроса при поиске по ситуации заключается в выборе ключевого слова или слов (в запросе они будут соединены логическим оператором "ИЛИ").
В текущей версии системы возможно сохранить результаты только последнего поиска по ситуации, которые, к тому же, теряются при закрытии программы.

Поиск по классификаторам
Поиск по классификаторам позволяет создавать подборки документов по определенной тематике. Для этого в системе существует пять классификаторов: общий, в котором представлены все документы информационной базы, и специализированные:
судебная и арбитражная практика;
международные договоры;
разъяснения и комментарии;
проекты законов.
Для поиска документов, соответствующих определенной тематике, можно использовать поиск по реквизитам.

Поиск по источнику опубликования
Такой поиск позволяет искать документы с известным источником опубликования и является аналогом электронного каталога содержания печатных изданий, публиковавших документы, содержащиеся в информационной базе.

Списки документов и использование папок
В результате поиска любого представленного в системе вида формируется список документов, соответствующих запросу. Этот список содержит основные реквизиты документа и может быть по ним отсортирован. Списки, полученные в результате поиска, можно сохранить в папке для последующего обращения к ним. В системе "Гарант" реализована многоуровневая система папок, к которым, к тому же, можно применять операции объединения и пересечения. Папки, сформированные пользователем, сохраняются после закрытия программы.

КонсультантПлюс: примечание.

Аккредитация удостоверяющих центров, полученная ими до 01.07.2020, действует до истечения срока, на который они были аккредитованы, но не более чем до 01.01.2022 (ФЗ от 27.12.2019 N 476-ФЗ).

Статья 16. Аккредитация удостоверяющего центра

1. Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом в отношении удостоверяющих центров, являющихся юридическими лицами.

2. Аккредитация удостоверяющего центра осуществляется на добровольной основе. Аккредитация удостоверяющего центра осуществляется на срок пять лет, если более короткий срок не указан в заявлении удостоверяющего центра.

3. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:

1) стоимость чистых активов удостоверяющего центра составляет не менее чем семь миллионов рублей;

(см. текст в предыдущей редакции)

2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии федерального органа исполнительной власти в области обеспечения безопасности, выданной удостоверяющему центру в соответствии с пунктом 1 части 1 статьи 12 Федерального закона от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности", если количество таких мест превышает десять, но не более 100 миллионов рублей. Если количество мест осуществления указанного лицензируемого вида деятельности не превышает десять, финансовое обеспечение ответственности составляет 30 миллионов рублей;

(см. текст в предыдущей редакции)

3) наличие средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, а также средств удостоверяющего центра, позволяющих при обращении участника электронного взаимодействия устанавливать и подтверждать действительность квалифицированного сертификата на момент подписания электронной подписью электронного документа и имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

(см. текст в предыдущей редакции)

4) наличие в штате удостоверяющего центра не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее образование в области информационных технологий или информационной безопасности либо высшее образование или среднее профессиональное образование с последующим получением дополнительного профессионального образования по вопросам использования электронной подписи;

(см. текст в предыдущей редакции)

5) наличие у удостоверяющего центра, претендующего на получение аккредитации, порядка реализации функций удостоверяющего центра и исполнения его обязанностей, установленного удостоверяющим центром в соответствии с утвержденными федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, требованиями к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также с настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами.

3.1. Удостоверяющий центр наряду с указанными в части 3 настоящей статьи требованиями вправе также обеспечить свое соответствие установленным федеральным органом исполнительной власти в области обеспечения безопасности по согласованию с уполномоченным федеральным органом дополнительным требованиям к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра в случаях, если необходимость соблюдения таких дополнительных требований в определенных отношениях предусмотрена федеральным законом.

4. Аккредитация удостоверяющего центра осуществляется на основании его заявления, подаваемого в уполномоченный федеральный орган. К заявлению прилагаются документы, подтверждающие соответствие удостоверяющего центра требованиям, установленным частью 3 настоящей статьи. Удостоверяющий центр вправе не представлять документ, подтверждающий соответствие имеющихся у него средств электронной подписи и средств удостоверяющего центра требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, если такой документ или содержащиеся в нем сведения находятся в распоряжении федерального органа исполнительной власти в области обеспечения безопасности. В этом случае уполномоченный федеральный орган самостоятельно проверяет наличие документа, подтверждающего соответствие таких средств установленным требованиям, на основании информации, полученной от федерального органа исполнительной власти в области обеспечения безопасности, с использованием единой системы межведомственного электронного взаимодействия. Удостоверяющий центр вправе приложить документы, подтверждающие соответствие удостоверяющего центра требованиям, установленным частью 3.1 настоящей статьи.

(см. текст в предыдущей редакции)

5. В срок, не превышающий тридцати календарных дней со дня приема заявления удостоверяющего центра, уполномоченный федеральный орган на основании представленных документов принимает решение об аккредитации удостоверяющего центра или об отказе в его аккредитации. В случае принятия решения об аккредитации удостоверяющего центра уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об аккредитации, уведомляет удостоверяющий центр о принятом решении и выдает свидетельство об аккредитации по установленной форме. После получения свидетельства об аккредитации аккредитованный удостоверяющий центр обязан осуществить присоединение информационной системы, обеспечивающей реализацию функций аккредитованного удостоверяющего центра (далее - присоединение аккредитованного удостоверяющего центра), к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - инфраструктура). После присоединения аккредитованного удостоверяющего центра к инфраструктуре уполномоченный федеральный орган выдает аккредитованному удостоверяющему центру квалифицированный сертификат, созданный с использованием средств головного удостоверяющего центра. В случае принятия решения об отказе в аккредитации удостоверяющего центра уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об отказе в аккредитации, направляет или вручает удостоверяющему центру уведомление о принятом решении с указанием причин отказа.

(см. текст в предыдущей редакции)

6. Основанием для отказа в аккредитации удостоверяющего центра является его несоответствие требованиям, установленным частью 3 настоящей статьи, или наличие в представленных им документах недостоверной информации.

7. Аккредитованный удостоверяющий центр должен соблюдать требования, на соответствие которым он аккредитован, в течение всего срока его аккредитации. В случае возникновения обстоятельств, делающих невозможным соблюдение указанных требований, удостоверяющий центр немедленно должен уведомить об этом в письменной форме уполномоченный федеральный орган. Аккредитованный удостоверяющий центр при осуществлении своих функций и исполнении принятых обязательств должен соблюдать требования, установленные для удостоверяющих центров - , и настоящего Федерального закона. Уполномоченный федеральный орган вправе проводить проверки соблюдения аккредитованными удостоверяющими центрами требований настоящего Федерального закона и иных принимаемых в соответствии с настоящим Федеральным законом нормативных правовых актов, в том числе требований, на соответствие которым эти удостоверяющие центры были аккредитованы, в течение всего срока их аккредитации. В случае выявления несоблюдения аккредитованным удостоверяющим центром указанных требований уполномоченный федеральный орган обязан выдать этому удостоверяющему центру предписание об устранении нарушений в установленный срок и приостановить действие аккредитации на данный срок с внесением информации об этом в перечень, указанный в пункте 4 части 3 статьи 8 настоящего Федерального закона. Аккредитованный удостоверяющий центр уведомляет в письменной форме уполномоченный федеральный орган об устранении выявленных нарушений. Уполномоченный федеральный орган принимает решение о возобновлении действия аккредитации, при этом он вправе проверять фактическое устранение ранее выявленных нарушений и в случае их неустранения в установленный предписанием срок досрочно прекращает аккредитацию удостоверяющего центра.

(см. текст в предыдущей редакции)

7.1. Проверки соблюдения аккредитованными удостоверяющими центрами требований настоящего Федерального закона и иных принимаемых в соответствии с ним нормативных правовых актов проводятся один раз в три года в течение всего срока аккредитации, за исключением внеплановых проверок, проводимых в соответствии с законодательством Российской Федерации. Первая плановая проверка соблюдения аккредитованными удостоверяющими центрами указанных требований осуществляется не позднее одного года с даты аккредитации удостоверяющего центра, указанной в свидетельстве об аккредитации удостоверяющего центра.

7.2. Внеплановые проверки в рамках государственного контроля (надзора) и муниципального контроля осуществляются по основаниям, указанным в части 2 статьи 10 Федерального закона от 26 декабря 2008 года N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", а также на основании мотивированных обращений о нарушениях требований настоящего Федерального закона и иных принимаемых в соответствии с ним нормативных правовых актов, допущенных аккредитованным удостоверяющим центром, которые поступили в уполномоченный федеральный орган от федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, органов государственных внебюджетных фондов, юридических и физических лиц.

8. На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции удостоверяющих центров, не распространяются требования, установленные пунктами 1 и 2 части 3 настоящей статьи.

9. Головной удостоверяющий центр, функции которого осуществляет уполномоченный федеральный орган, не подлежит аккредитации в соответствии с настоящим Федеральным законом.

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

23.11.2011 №320

Об аккредитации удостоверяющих центров

Во исполнение пункта 3 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880)

кадровая документация, включая копии трудовых договоров работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей (с приложением должностных регламентов) и копии документов работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);

необходимые для осуществления предусматриваемой Федеральным законом об электронной подписи деятельности лицензии и иные разрешительные документы.

15. При проведении документарной проверки уполномоченный орган не вправе требовать у проверяемого УЦ сведения и документы, не относящиеся к предмету документарной проверки, а также сведения и документы, которые могут быть получены этим органом от иных органов государственного контроля (надзора), в том числе федерального органа исполнительной власти в области обеспечения безопасности, органов муниципального контроля.

V. Проведение выездной проверки

16. Предметом выездной проверки являются содержащиеся в документах УЦ сведения, а также соответствие их работников и технических средств УЦ, оказываемых УЦ услуг требованиям, установленным Федеральным законом об электронной подписи.

17. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения аккредитованного УЦ, и (или) по месту фактического осуществления деятельности УЦ.

18. Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений, содержащихся в документах УЦ, указанных в пункте 14 настоящего Порядка, подтверждающих его соответствие требованиям Федерального закона об электронной подписи или проверить выполнение УЦ требований предписания уполномоченного органа.

19. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами уполномоченного органа, обязательного ознакомления руководителя или иного должностного лица УЦ с приказом руководителя уполномоченного органа о назначении выездной проверки и с полномочиями проводящих выездную проверку лиц, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, составом экспертов, представителями экспертных организаций и, привлекаемых к выездной проверке, со сроками и с условиями ее проведения.

20. Руководитель, иное должностное лицо или уполномоченный представитель УЦ, обязаны предоставить должностным лицам уполномоченного органа, проводящим выездную проверку, возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц и участвующих в выездной проверке экспертов, представителей экспертных организаций на территорию, в используемые УЦ при осуществлении деятельности здания, строения, сооружения, помещения, к используемым УЦ техническим средствам и программному обеспечению.

21. Уполномоченный орган вправе привлекать к проведению выездной проверки аккредитованных УЦ экспертов, экспертные организации, не состоящие в гражданско-правовых и трудовых отношениях с юридическим лицом, индивидуальным предпринимателем, в отношении которых проводится проверка, и не являющиеся аффилированными лицами проверяемых лиц. К проведению выездной проверки аккредитованных УЦ могут также привлекаться сотрудники иных органов государственной власти в пределах их компетенции.

С целью подтверждения соответствия использования аккредитованным УЦ средств электронной подписи и средств удостоверяющего центра, требованиям технической и эксплуатационной документации, к проведению выездной проверки аккредитованных УЦ привлекаются сотрудники федерального органа исполнительной власти в области обеспечения безопасности.

VI. Итоги проведения проверки

22. По результатам проверки должностными лицами уполномоченного органа, составляется акт по установленной форме в двух экземплярах.

В акте проверки указываются:

1) дата, время и место составления акта проверки;

2) наименование уполномоченного органа;

3) дата и номер приказа руководителя уполномоченного органа;

4) фамилии, имена, отчества (при наличии) и должности должностного лица или должностных лиц, проводивших проверку;

5) наименование проверяемого аккредитованного УЦ, а также фамилия, имя, отчество и должность руководителя, иного должностного лица или уполномоченного представителя юридического лица, присутствовавших при проведении проверки;

6) дата, время, продолжительность и место (места) проведения проверки;=

7) сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований и требований, установленных муниципальными правовыми актами, об их характере и о лицах, допустивших указанные нарушения;

8) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного должностного лица или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у юридического лица, индивидуального предпринимателя указанного журнала;

9) подписи должностного лица или должностных лиц, проводивших проверку.

23. Акт проверки оформляется непосредственно после ее завершения в двух экземплярах, один из которых с копиями приложений вручается руководителю, иному должностному лицу или уполномоченному представителю УЦ под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки.

В случае отсутствия руководителя, иного должностного лица или уполномоченного представителя УЦ, а также в случае отказа проверяемого лица дать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки акт направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле уполномоченного органа.

24. В случае выявления несоблюдения аккредитованными УЦ требований Федерального закона об электронной подписи уполномоченный орган по окончании проведения проверки выдает УЦ предписание об устранении нарушений в установленный срок и приостанавливает действие аккредитации УЦ на данный срок с внесением информации об этом в перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена.

25. В случае выявления неустранения нарушений УЦ в установленный в предписании срок, уполномоченный орган аннулирует аккредитацию УЦ, вносит соответствующую информацию в перечень удостоверяющих центров, аккредитация которых аннулирована и направляет в УЦ уведомление об аннулировании аккредитации с указанием причин.

В соответствии с подпунктом 1 части 2 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880).

В соответствии с пунктом 5 статьи 12 Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст. 3601; № 48, ст. 5711; № 52, ст. 6441; 2010, № 17, ст. 1988; № 18, ст. 21424 3 31, ст. 4160, ст. 4193, ст. 4196; № 32, ст. 4298; 2011, № 1, ст. 20; № 17, ст. 2310, № 23, ст. 3263; № 27, ст. 3880; № 30, ст. 4590; № 48, ст. 6728).

* Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880.

Однозначно показывать, что ЭП создана .

9. При проверке ЭП средства ЭП должны:

Показывать информацию о внесении изменений в подписанный ЭП электронный документ ;

Указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы .

13. Средства ЭП класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:

13.1. Самостоятельное осуществление создания способов атак, подготовки и проведения атак.

13.2. Действия на различных этапах жизненного цикла средства ЭП

13.3. Проведение атаки только извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона).

13.4. Проведение на этапах разработки, производства, хранения, транспортировки средств ЭП и этапе ввода в эксплуатацию средств ЭП (пусконаладочные работы) следующих атак:

Внесение несанкционированных изменений в средство ЭП и (или) в компоненты СФ, в том числе с использованием вредоносных программ;

Внесение несанкционированных изменений в документацию на средство ЭП и на компоненты СФ.

13.5. Проведение атак на следующие объекты:

Документацию на средство ЭП и на компоненты СФ;

Защищаемые электронные документы;

Ключевую, аутентифицирующую и парольную информацию средства ЭП;

Средство ЭП и его программные и аппаратные компоненты;

Аппаратные средства, входящие в СФ, включая микросхемы с записанным микрокодом BIOS, осуществляющей инициализацию этих средств (далее - аппаратные компоненты СФ);

Программные компоненты СФ;

Данные, передаваемые по каналам связи;

Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы средства ЭП и СФ;

Иные объекты атак, которые при необходимости указываются в ТЗ на разработку (модернизацию) средства ЭП с учетом используемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО).

13.6. Получение следующей информации:

Общих сведений об информационной системе, в которой используется средство ЭП (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

Сведений об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно со средством ЭП;

Сведений о физических мерах защиты объектов, в которых размещены средства ЭП;

Сведений о мерах по обеспечению контролируемой зоны объектов информационной системы, в которой используется средство ЭП;

Сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы средства ЭП и СФ;

Общих сведений о защищаемой информации, используемой в процессе эксплуатации средства ЭП;

Всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее - НСД) к информации организационно-техническими мерами;

Сведений о линиях связи, по которым передается защищаемая средством ЭП информация;

Сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средства ЭП и СФ;

Сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях аппаратных компонентов средства ЭП и СФ;

Сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов средства ЭП и СФ, которые может перехватить нарушитель.

13.7. Использование:

Находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты средства ЭП и СФ;

Специально разработанных АС и ПО.

13.8. Использование в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки (далее - канал атаки):

Не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается защищаемая средством ЭП информация;

Каналов распространения сигналов, сопровождающих функционирование средства ЭП и СФ.

13.9. Проведение атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц.

13.10. Использование АС и ПО из состава средств информационной системы, используемых на местах эксплуатации средства ЭП (далее - штатные средства) и находящихся за пределами контролируемой зоны.

14. Средства ЭП класса КС2 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в настоящих Требований, и следующие дополнительные возможности:

14.1. Проведение атаки при нахождении как вне пределов, так и в пределах контролируемой зоны.

14.2. Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется средство ЭП, и направленными на предотвращение и пресечение несанкционированных действий.

15. Средства ЭП класса КСЗ противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в , , настоящих Требований, и следующие дополнительные возможности:

15.1. Доступ к СВТ, на которых реализованы средство ЭП и СФ.

15.2. Возможность располагать аппаратными компонентами средства ЭП и СФ в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных в информационной системе, в которой используется средство ЭП.

16. Средства ЭП класса КВ1 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в , , , , настоящих Требований, и следующие дополнительные возможности:

16.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области анализа сигналов, сопровождающих функционирование средства ЭП и СФ.

16.2. Проведение лабораторных исследований средства ЭП, используемого вне контролируемой зоны, в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных в информационной системе, в которой используется средство ЭП.

17. Средства ЭП класса КВ2 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в , , , , , , настоящих Требований, и следующие дополнительные возможности:

17.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей прикладного ПО, не описанных в документации на прикладное ПО.

17.2. Постановка работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств ЭП и СФ.

17.3. Возможность располагать исходными текстами входящего в СФ прикладного ПО.

18. Средства ЭП класса КА1 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности, перечисленные в , , , , , , , настоящих Требований, и следующие дополнительные возможности:

18.1. Создание способов атак, подготовка и проведение атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей системного ПО, не описанных в документации на системное ПО.

18.2. Возможность располагать всей документацией на аппаратные и программные компоненты СФ.

18.3. Возможность располагать всеми аппаратными компонентами средства ЭП и СФ.

19. В случае реализации в средстве ЭП функции проверки ЭП электронного документа с использованием сертификата ключа проверки ЭП эта реализация должна исключить возможность проверки ЭП электронного документа без проверки ЭП в сертификате ключа проверки ЭП или без наличия положительного результата проверки ЭП в сертификате ключа проверки ЭП.

20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований .

21. Инженерно-криптографическая защита средства ЭП должна исключить события, приводящие к возможности проведения успешных атак в условиях возможных неисправностей или сбоев аппаратного компонента средства ЭП или аппаратного компонента СВТ, на котором реализовано программное средство ЭП.

22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.

23. Программный компонент средства ЭП (в случае наличия программного компонента средства ЭП) должен удовлетворять следующим требованиям:

Объектный (загрузочный) код программного компонента средства ЭП должен соответствовать его исходному тексту;

В программном компоненте средства ЭП должны использоваться при реализации только описанные в документации функции программной среды, в которой функционирует средство ЭП;

В исходных текстах программного компонента средства ЭП должны отсутствовать возможности, позволяющие модифицировать или искажать алгоритм работы средства ЭП в процессе его использования, модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием средства ЭП, и получать нарушителям доступ к хранящейся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации средства ЭП;

Значения входных и внутренних параметров, а также значения параметров настроек программного компонента средства ЭП не должны негативно влиять на его функционирование.

24. В случае планирования размещения средств ЭП в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены АС и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, АС иностранного производства, входящие в состав средств ЭП, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.

В случае планирования размещения средств ЭП в помещениях, в которых отсутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и не установлены АС и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну:

Решение о проведении проверок АС иностранного производства, входящих в состав средств ЭП классов КС1, КС2, КС3, КВ1 и КВ2, принимается организацией, обеспечивающей эксплуатацию данных средств ЭП;

Проверки АС иностранного производства, входящих в состав средств ЭП класса КА1, проводятся в обязательном порядке.

25. Средство ЭП должно проводить аутентификацию субъектов доступа (лиц, процессов) к этому средству, при этом:

При осуществлении доступа к средству ЭП аутентификация субъекта доступа должна проводиться до начала выполнения первого функционального модуля средства ЭП;

Механизмы аутентификации должны блокировать доступ этих субъектов к функциям средства ЭП при отрицательном результате аутентификации.

26. Средство ЭП должно проводить аутентификацию лиц, осуществляющих локальный доступ к средству ЭП.

27. Необходимость проведения средством ЭП аутентификации процессов, осуществляющих локальный или удаленный (сетевой) доступ к средству ЭП, указывается в ТЗ на разработку (модернизацию) средства ЭП.

28. Для любого входящего в средство ЭП механизма аутентификации должен быть реализован механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше 10. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта к средству ЭП должен блокироваться на заданный в ТЗ на разработку (модернизацию) средства ЭП промежуток времени.

29. В средстве ЭП должен быть реализован механизм (процедура) контроля целостности средства ЭП и СФ.

Контроль целостности может осуществляться:

В начале работы со средством ЭП до перехода СВТ, в котором реализовано средство ЭП, в рабочее состояние (например, до загрузки операционной системы СВТ);

В ходе регламентных проверок средства ЭП на местах эксплуатации (регламентный контроль);

В автоматическом режиме в процессе функционирования средства ЭП (динамический контроль).

Контроль целостности должен проводиться в начале работы со средством ЭП.

Механизм регламентного контроля целостности должен входить в состав средств ЭП.

30. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к управлению доступом и очистке памяти, а также их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

31. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 или СФ должны входить компоненты, обеспечивающие:

Управление доступом субъектов к различным компонентам и (или) целевым функциям средства ЭП и СФ на основе параметров, заданных администратором или производителем средства ЭП (требования к указанному компоненту определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям);

Очистку оперативной и внешней памяти, используемой средством ЭП для хранения защищаемой информации, при освобождении (перераспределении) памяти путем записи маскирующей информации (случайной или псевдослучайной последовательности символов) в память.

32. В состав средств ЭП классов КВ2 и КА1 или СФ должны входить компоненты, обеспечивающие экстренное стирание защищаемой информации ограниченного доступа. Требования к реализации и надежности стирания задаются в ТЗ на разработку (модернизацию) средства ЭП.

33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.

Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.

36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет.

37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.

39. Исследования средств ЭП с целью оценки соответствия средств ЭП настоящим Требованиям должны проводиться с использованием разрабатываемых ФСБ России числовых значений параметров и характеристик реализуемых в средствах ЭП механизмов защиты и аппаратных и программных компонентов СФ .

______________________________

*(3) Реализуется в том числе с использованием аппаратных и программных средств, совместно с которыми штатно функционируют средства ЭП и которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в совокупности представляющих среду функционирования средств ЭП (далее - СФ).

*(4) Необходимый класс разрабатываемого (модернизируемого) средства ЭП определяется заказчиком (разработчиком) средства ЭП путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе настоящих Требований и указывается в ТЗ на разработку (модернизацию) средства ЭП.

*(5) К этапам жизненного цикла средства ЭП относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

*(6) Границей контролируемой зоны могут быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

*(7) Подпункт 25 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 (Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222) (далее - Положение о ФСБ России).

*(8) Подпункт 47 пункта 9 Положения о ФСБ России.

23. Требования к идентификации и аутентификации:

23.1. Идентификация и аутентификация включают в себя распознавание пользователя средств УЦ, члена группы администраторов средств УЦ или процесса и проверку их подлинности. Механизм аутентификации должен блокировать доступ этих субъектов к функциям УЦ при отрицательном результате аутентификации.

23.2. В средствах УЦ для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше трех. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта доступа к средствам УЦ должен быть заблокирован на промежуток времени, который указывается в ТЗ на разработку (модернизацию) средств УЦ.

23.3. Требования для средств УЦ класса КС1:

Описание процедуры регистрации пользователей средств УЦ (внесения данных в реестр пользователей средств УЦ) должно содержаться в эксплуатационной документации на средства УЦ;

Для всех лиц, осуществляющих доступ к средствам УЦ, должна проводиться аутентификация. При этом допускается ограничиться использованием для аутентификации только символьного периодически изменяющегося пароля из не менее чем 8 символов при мощности алфавита не менее 36 символов. Период изменения пароля не должен быть больше 6 месяцев.

23.4. Требования для средств УЦ класса КС2:

Необходимость предъявления пользователем средств УЦ при его регистрации документов, удостоверяющих личность, должна быть отражена в эксплуатационной документации на средства УЦ;

Для всех пользователей средств УЦ допускается использование механизмов удаленной аутентификации. Специальные характеристики механизмов удаленной аутентификации должны быть подтверждены в рамках проведения проверки соответствия средств УЦ и объектов информатизации, использующих данные средства, настоящим Требованиям;

При осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС).

23.5. Требования для средств УЦ класса КСЗ:

В средствах УЦ должен быть реализован механизм аутентификации локальных пользователей, имеющих доступ к средствам УЦ, но не входящих в состав группы администраторов средств УЦ.

23.6. Требования для средств УЦ класса KB1:

При осуществлении удаленного доступа к средствам УЦ использование только символьного пароля не допускается, должны использоваться механизмы аутентификации на основе криптографических протоколов.

23.7. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса KB1.

23.8. Требования для средств УЦ класса КА1:

В средствах УЦ для любого реализованного механизма аутентификации должна быть реализована возможность установки предельно допустимого количества следующих подряд попыток аутентификации одного субъекта доступа и установки времени блокировки доступа к средствам УЦ на местах их эксплуатации.

24. Требования к защите данных, поступающих (экспортируемых) в (из) УЦ:

24.1. Средства УЦ должны обеспечивать доверенный ввод самоподписанного сертификата ключа проверки ЭП.

24.2. Требования для средств УЦ класса КС1:

Средства УЦ должны обеспечивать передачу данных, содержащих информацию ограниченного доступа, поступающих в УЦ и экспортируемых из УЦ, способом, защищенным от НСД;

В средствах УЦ должна быть реализована процедура защиты от навязывания ложных сообщений ;

Требования к процедуре защиты от навязывания ложных сообщений указываются в ТЗ на разработку (модернизацию) средств УЦ.

24.3. Требования для средств УЦ класса КС2:

Средства УЦ должны обеспечивать защиту первоначального запроса на сертификат ключа проверки ЭП;

Средства УЦ должны принимать критичную для функционирования УЦ информацию, только если она подписана ЭП.

24.4. Требования для средств УЦ класса КС3:

В средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП.

24.5. Требования для средств УЦ класса KB1:

В средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ.

24.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

25. Требования к регистрации событий:

25.1. Базовая ОС средств УЦ должна поддерживать ведение журнала аудита системных событий.

25.2. Требования для средств УЦ класса КС1:

В средствах УЦ должен быть реализован механизм, производящий выборочную регистрацию событий в журнале аудита, связанных с выполнением УЦ своих функций;

Список регистрируемых событий должен содержаться в эксплуатационной документации на средства УЦ.

25.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

25.4. Требования для средств УЦ класса КС3:

Должны быть приняты меры обнаружения несанкционированных изменений журнала аудита пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ.

25.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.

25.6. Требования для средств УЦ класса КВ2:

Должны быть приняты меры обнаружения несанкционированных изменений каждой записи в журнале аудита.

25.7. Требования для средств УЦ класса КА1:

Журнал аудита должен быть доступен только администратору аудита, который может осуществлять только его просмотр, копирование и полную очистку. После очистки первой записью в журнале аудита должен автоматически регистрироваться факт очистки с указанием даты, времени и информации о лице, производившем операцию.

26. Требования по надежности и устойчивости функционирования средств УЦ:

26.1. Должны быть определены требования по надежности и устойчивости функционирования средств УЦ и указаны в ТЗ на разработку (модернизацию) средств УЦ.

26.2. Требования для средств УЦ класса КС1:

Проводится расчет вероятности сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций.

26.3. Требования для средств УЦ класса КС2:

Должно осуществляться тестирование устойчивости функционирования средств УЦ.

26.4. Требования для средств УЦ класса КС3:

Должны быть определены требования по времени восстановления средств УЦ после сбоя и указаны в ТЗ на разработку (модернизацию) средств УЦ;

Меры и средства повышения надежности и устойчивости функционирования средств УЦ должны содержать механизмы квотирования ресурсов средств УЦ.

26.5. Требования для средств УЦ класса KB1:

Вероятность сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций, в течение суток не должна превышать аналогичной вероятности для используемых СКЗИ.

26.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса КВ1.

27. Требования к ключевой информации:

27.1. Порядок создания, использования, хранения и уничтожения ключевой информации определяется в соответствии с требованиями эксплуатационной документации на средства ЭП и иные СКЗИ, используемые средствами УЦ.

27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.

27.3. Требования для средств УЦ класса КС1:

Не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями, без ее предварительного шифрования (которое должно осуществляться встроенной функцией используемого СКЗИ). Копирование ключевых документов должно осуществляться только в соответствии с эксплуатационной документацией на используемое СКЗИ;

Ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП и списков уникальных номеров сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения срока их действия (далее - список аннулированных сертификатов), не должны использоваться ни для каких иных целей;

Сроки действия всех ключей должны быть указаны в эксплуатационной документации на средства УЦ.

27.4. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

27.5. Требования для средств УЦ класса KB1:

Должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной одному лицу.

27.6. Требования для средств УЦ класса КВ2:

Ключ ЭП, используемый для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, должен генерироваться, храниться, использоваться и уничтожаться в средстве ЭП. Допускается использование только средств ЭП, получивших подтверждение соответствия требованиям, предъявляемым к средствам ЭП в соответствии с Федеральным законом;

Должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной двум лицам.

27.7. Требования для средств УЦ класса КА1:

Должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной трем лицам.

28. Требования к резервному копированию и восстановлению работоспособности средств УЦ:

28.1. Средства УЦ должны реализовывать функции резервного копирования и восстановления на случай повреждения АС и (или) информации, обрабатываемой средствами УЦ. В ходе резервного копирования должна быть исключена возможность копирования криптографических ключей.

28.2. Требования для средств УЦ класса КС1:

Данные, сохраненные при резервном копировании, должны быть достаточны для восстановления функционирования средств УЦ в состояние, зафиксированное на момент копирования.

28.3. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.

28.4. Требования для средств УЦ класса KB1:

Должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных;

Должны быть определены требования по времени восстановления и указаны в ТЗ на разработку (модернизацию) средств УЦ и в эксплуатационной документации на средства УЦ.

28.5. Требования для средств УЦ класса КВ2:

Сохраняемая при резервном копировании защищаемая информация должна сохраняться только в зашифрованном виде.

28.6. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.

29. Требования к созданию и аннулированию сертификатов ключей проверки ЭП:

29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.

29.2. Создаваемые УЦ сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны соответствовать международным рекомендациям ITU-T Х.509 (далее - рекомендации Х.509). Все поля и дополнения, включаемые в сертификат ключей проверки ЭП и список аннулированных сертификатов, должны быть заполнены в соответствии с рекомендациями Х.509. При использовании альтернативных форматов сертификатов ключей проверки ЭП должны быть определены требования к протоколам создания и аннулирования сертификатов ключей проверки ЭП и указаны в ТЗ на разработку (модернизацию) средств УЦ.

29.3. Средства УЦ должны реализовывать протокол аннулирования сертификата ключа проверки ЭП с использованием списков аннулированных сертификатов.

29.4. Допускается реализация протоколов аннулирования без использования списков аннулированных сертификатов, требования к которым должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ.

29.5. Требования для средств УЦ класса КС1:

В средствах УЦ должна быть реализована функция изготовления сертификата ключа проверки ЭП на бумажном носителе. Порядок выдачи сертификата ключа проверки ЭП на бумажном носителе, а также процедура контроля соответствия сертификата ключа проверки ЭП в электронном виде и на бумажном носителе должны быть указаны в эксплуатационной документации на средства УЦ;

В средствах УЦ в отношении владельца сертификата ключа проверки ЭП должны быть реализованы механизмы проверки уникальности ключа проверки ЭП и обладания соответствующим ключом ЭП.

29.6. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

29.7. Требования для средств УЦ класса КС3:

Погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 10 минут.

29.8. Требования для средств УЦ класса KB1:

Погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 5 минут.

29.9. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

30. Требования к структуре сертификата ключа проверки ЭП и списка аннулированных сертификатов:

30.1. Требования для средств УЦ класса КС1:

Допустимые структуры сертификата ключа проверки ЭП и списка аннулированных сертификатов должны быть перечислены в эксплуатационной документации на средства УЦ;

В средствах УЦ должен быть реализован механизм контроля соответствия создаваемых сертификатов ключей проверки ЭП и списков аннулированных сертификатов заданной структуре;

В структуре сертификата ключа проверки ЭП должны быть предусмотрены поле, содержащее сведения о классе средств УЦ, с использованием которых был создан настоящий сертификат ключа проверки ЭП, и поле, содержащее сведения о классе средства ЭП владельца сертификата ключа проверки ЭП.

30.2. Требования для средств УЦ классов КС2 и КСЗ совпадают с требованиями для средств УЦ класса КС1.

30.3. Требования для средств УЦ класса KB1:

В средствах УЦ должен быть реализован механизм задания системным администратором набора допустимых дополнений сертификата ключа проверки ЭП и списка аннулированных сертификатов.

30.4. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса KB1.

31. Требования к реестру сертификатов ключей проверки ЭП и обеспечению доступа к нему:

31.1. Требования для средств УЦ класса КС1:

В средствах УЦ должны быть реализованы механизмы хранения и поиска всех созданных сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре, а также сетевого доступа к реестру.

31.2. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.

31.3. Требования для средств УЦ класса КС3:

В средствах УЦ должен быть реализован механизм поиска сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре сертификатов ключей проверки ЭП по различным их атрибутам;

Все изменения реестра сертификатов ключей проверки ЭП должны регистрироваться в журнале аудита.

31.4. Требования для средств УЦ классов KB1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС3.

32. Требования к проверке ЭП в сертификате ключа проверки ЭП:

32.1. Должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП по запросу участника электронного взаимодействия и указан в эксплуатационной документации на средства УЦ.

32.2. В средствах УЦ должен быть реализован механизм проверки подлинности ЭП УЦ в выдаваемых им сертификатах ключей проверки ЭП.

32.3. Проверка ЭП в сертификате ключа проверки ЭП осуществляется в соответствии с рекомендациями Х.509, включая обязательную проверку всех критических дополнений.

32.4. Если, исходя из особенностей эксплуатации средств УЦ, допускается использование альтернативных форматов сертификата ключа проверки ЭП, должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП и указан в ТЗ на разработку (модернизацию) средств УЦ.

33. Для ограничения возможностей по построению каналов атак на средства УЦ с использованием каналов связи должны применяться средства межсетевого экранирования.

34. Должны быть определены требования по защите средств УЦ от компьютерных вирусов и компьютерных атак и указаны в ТЗ на разработку (модернизацию) средств УЦ.

35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.

36. Исследования средств УЦ с целью подтверждения соответствия средств УЦ настоящим Требованиям должны проводиться с использованием разрабатываемых ФСБ России числовых значений параметров и характеристик механизмов защиты, реализуемых в средствах УЦ .

______________________________

*(3) Необходимый класс разрабатываемых (модернизируемых) средств УЦ определяется заказчиком (разработчиком) средств УЦ путем определения возможностей осуществлять создание способов атак, подготовку и проведение атак на основе настоящих Требований и указывается в тактико-техническом задании или техническом задании на проведение опытно-конструкторской работы или составной части опытно-конструкторской работы по разработке (модернизации) средств УЦ (далее - ТЗ на разработку (модернизацию) средств УЦ).

*(4) Программная среда, которая допускает существование в ней только фиксированного набора субъектов (программ, процессов).

*(5) Лица, являющиеся членами группы администраторов средств УЦ и заведомо не являющиеся нарушителями.

*(6) Навязывание ложного сообщения представляет собой действие, воспринимаемое участниками электронного взаимодействия или средствами УЦ как передача истинного сообщения способом, защищенным от НСД.

*(7) ITU-T Recommendation Х.509. Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate frameworks. 2008. http://www.itu.int/rec/T-REC-X.509-200811-i.

*(8) Подпункт 47 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 (Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222).

Приказ ФСБ РФ от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Обзор документа

Утверждены Требования к средствам электронной подписи.

Они предназначены для заказчиков и разработчиков создаваемых (модернизируемых) средств при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств, ФСБ России, подтверждающей соответствие средств требованиям.

Требования распространяются на средства, предназначенные для использования в РФ, в ее учреждениях за рубежом и в находящихся там же обособленных подразделениях юрлиц, образованных в соответствии с законодательством нашей страны.

Для целей применения Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) средства рассматриваются как объекты защиты данных с ограниченным доступом, не содержащих гостайну.

Требования к технологиям создания (формирования) и проверки электронной подписи с помощью средства указываются в тактико-техническом или техническом задании на опытно-конструкторскую работу или составную часть такой работы по созданию (модернизации) средства.

Также утверждены Требования к средствам удостоверяющего центра.

Они предназначены для вышеуказанных категорий лиц, работающих с данными средствами.

Требования распространяются на средства, предназначенные для использования в России.

Для целей применения названного Положения средства рассматриваются аналогичным образом.

Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию .

Применение ЭЦП

Электронная цифровая подпись предназначена для определения лица, подписавшего электронный документ. Также является полноценной заменой собственноручной подписи в случаях, предусмотренных законом.

Использование электронной подписи позволяет осуществить:

• · Контроль целостности документа. При модификации или повреждении документа подпись станет недействительной.
• · Защиту от подделки документа. Контроль целостности позволяет выявить недостоверность документа, таким образом подделывание становится невозможным в большинстве случаев.
• · Невозможность отказа от авторства. Применение закрытого ключа ЭЦП гарантирует невозможность отказа от уже совершенных действий того, кто подписал документы. Так если происходит идентификация владельца сертификата ключа, а автор подписи не может от неё отказаться.
• · Доказательное подтверждение авторства документа. Применение закрытого ключа ЭЦП гарантирует невозможность отказа от уже совершенных действий того, кто подписал документы. Так если происходит идентификация владельца сертификата ключа, а автор подписи не может от неё отказаться.

Виды ЭЦП предусмотренные законом РФ

Простая электронная подпись Подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом .

Неквалифицированная электронная подпись

Подпись, которая :

• 1. получена в результате криптографических методов преобразования информации с использованием ключа электронной подписи;
• 2. позволяет определить лицо, подписавшее электронный документ;
• 3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
• 4. создается с использованием средств электронной подписи.

Квалифицированная электронная подпись Подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам :

• 1. ключ проверки электронной подписи указан в квалифицированном сертификате;
• 2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Стандарты

ГОСТ Р 34.10-2012 - стандарт определяет схему электронной цифровой подписи (ЭЦП), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения .

Внедрение цифровой подписи на основе настоящего стандарта повышает, по сравнению с ранее действовавшей схемой цифровой подписи, уровень защищенности передаваемых сообщений от подделок и искажений .

Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции. Алгоритмы вычисления хэш-функции установлены в ГОСТ Р 34.11-2012 .

ГОСТ Р 34.11-2012 - российский криптографический стандарт, "определяет алгоритм и процедуру вычисления хэш-функции для любой последовательности двоичных символов, которые применяются в криптографических методах обработки и защиты информации, в том числе для реализации процедур обеспечения целостности, аутентичности, электронной цифровой подписи (ЭЦП) при передаче, обработке и хранении информации в автоматизированных системах" .

Регулирование работы УЦ

Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей .

Основные документы, регулирующие работу удостоверяющего центра:

• · Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 02.07.2013)"Об электронной подписи" (с изм. и доп., вступающими в силу с 01.09.2013);
• · Приказ ФСБ РФ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи";
• · Приказ ФСБ РФ от 27.12.2011 N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра".

Удостоверяющий центр получает статус аккредитованный после признания уполномоченным федеральным органом соответствия удостоверяющего центра требованиям закона "Об электронной подписи". Аккредитацию проводит Минкомсвязь России.

Закон "Об электронной подписи"

Данный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами .

Данный закон устанавливает :

• · требования к удостоверяющим центрам (на основании проводится аккредитация);
• · виды электронных подписей;
• · полномочия федеральных органов исполнительной власти в сфере использования электронной подписи;
• · полномочия и обязанности удостоверяющего центра;
• · порядок аккредитации удостоверяющего центра.

Приказ ФСБ РФ "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи"

Данный приказ устанавливает какую информацию должен содержать квалифицированный сертификат.

Сертификат должен содержать :

• · уникальный номер квалифицированного сертификата;
• · даты начала и окончания действия квалифицированного сертификата;
• · фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата - для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата - для юридического лица, а также в случаях, предусмотренных Федеральным законом "Об Электронной Подписи", фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата - юридического лица на основании учредительных документов юридического лица или доверенности (далее - уполномоченный представитель юридического лица);
• · страховой номер индивидуального лицевого счета (СНИЛС) владельца квалифицированного сертификата - для физического лица;
• · основной государственный регистрационный номер (ОГРН) владельца квалифицированного сертификата - для юридического лица;
• · идентификационный номер налогоплательщика (ИНН) владельца квалифицированного сертификата - для юридического лица;
• · ключ проверки ЭП;
• · наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;
• · наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом "Об Электронной Подписи";
• · наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;
• · номер квалифицированного сертификата аккредитованного УЦ;
• · ограничения использования квалифицированного сертификата (если такие ограничения установлены).

Кроме того, данный приказ устанавливает порядок расположения полей в квалифицированном сертификате.

Приказ ФСБ РФ "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"

Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ РФ, подтверждающей соответствие таких средств установленным требованиям .

При создании ЭП средства ЭП должны :

• · показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
• · создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
• · однозначно показывать, что ЭП создана.

При проверке ЭП средства ЭП должны:

• · показывать содержание электронного документа, подписанного ЭП;
• · показывать информацию о внесении изменений в подписанный ЭП электронный документ;
• · указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.