Электронная подпись простыми словами, часть I
Разобраться, что такое «Электронная подпись», непросто. Много специализированной технической информации и меняющееся законодательство в соответствующей сфере в России не упрощают, а, скорее, усложняют ситуацию. Тем не менее, в небольшом цикле статей, который начинается этим обзором, мы попробуем разобраться в терминах, механизме работы и правовых аспектах этой темы.
[vitrina k_ca 3 610 1 100]Начать можно с краткого обзора правового становления в России понятия «электронная подпись», для чего это понятие было введено, и как со временем менялась его законодательная составляющая.
К середине 2015 года мы видим два основных этапа этого процесса:
- ФЗ № 1-ФЗ от 10.01.2002 — закон ввел термины «Электронно-цифровая подпись», «электронный документ», удостоверяющих центров и особенностей создания и использования ЭЦП. Цель введения данного законодательного акта — внедрение и развитие электронного документооборота в РФ, который, в свою очередь, не может существовать без законодательно установленных методов аутентификации авторства передаваемой в информационное среде информации.
В течение десяти лет в нем были выявлены недостатки технического (например, единственная процедура создания и работы ЭЦП) и юридического характера (узкое правовое поле закона), которые были исправлены новым ФЗ № 63, который мы рассмотрим подробнее:
- ФЗ № 63-ФЗ от 06.04.2011Закон изменил конкретное понятие ЭЦП на понятие «Электронной подписи», это — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.В свою очередь, данное определение стало содержать в себе несколько категорий:
- Простая электронная подпись — тем или иным способом электронной аутентификации (например, вводом логина или пароля) указывает на авторство документа.
- Усиленная неквалифицированная ЭП (ЭП) — данная подпись создается с использованием криптосредств (тех или иных алгоритмов шифрования и аутентификации) указывает на авторство и неизменность подписанного документа в процессе передачи от автора адресату.
- Усиленная квалифицированная ЭП (КЭП) — дополняет понятие Усиленной неквалифицированной электронной подписи тем, что создается с использованием только сертифицированных государством криптосредств и выпускается аккредитованным удостоверяющим центром. За аккредитацию УЦ отвечает Минкомсвязь, за безопасность — ФСБ РФ. Именно такой подписью обязаны пользоваться участники инфраструктуры электронного правительства РФ — это государственные органы и пользователи систем электронных государственных и муниципальных услуг — т. е. ими могут практически любые юридические и физические лица.
Рассмотрим технические механизмы формирования и работы Усиленной квалифицированной ЭП, т. к. она наиболее практична и универсальна.
Для этого выведем основные функции, следующие из определений и свойств ЭП и КЭП:
Она должна:
- Указывать на авторство (и невозможность отказа от него).
- Обеспечивать защиту от изменений и контроль целостности документа.
С авторством все одновременно просто и не очень — на этом этапе нам придется рассмотреть функции Аккредитованного Удостоверяющего Центра (УЦ), который выдал КЭП.
Именно он выдает и аннулирует КЭП, ведет соответствующие реестры, обеспечивает их конфиденциальность и несет за это ответственность согласно законодательству РФ перед упомянутыми выше контролирующими инстанциями и лицами пользователями КЭП. При обращении за получением КЭП в такие центры предоставляются уникальные данные юридических и физических лиц, это могут быть реквизиты компании и подтверждающие это документы (ИНН, ОГРН, Устав) или паспортные данные и СНИЛС для физических лиц. Процедуру выдачи и формирования КЭП в Аккредитованном УЦ, необходимые для этого документы мы рассмотрим в следующей части данного обзора — эта информация крайне важна и ее следует осветить отдельно и подробно.
Эти данные вносятся в реестр УЦ, и одновременно создается привязанная к ним одна из основ механизма подписания электронных документов, уникальная последовательность символов — закрытый ключ электронной подписи. Владелец КЭП также получает электронный сертификат, в котором содержатся сведения о связи его личных данных предоставленных в УЦ с ключом электронной подписи и открытом ключе (о нем ниже).
Теперь мы рассмотрим «ассиметричную схему» применения КЭП, которая и реализует ее функции подтверждения авторства и защиту содержимого передаваемого документа.
Схема называется «ассиметричной», так как для ее работы используются два разных ключа — уникальный закрытый ключ обладателя КЭП (о нем мы уже рассказали) и открытый — этот может свободно передаваться всем заинтересованным лицам. Закрытый и открытый ключи взаимосвязаны и представляют так называемую «ключевую пару».
Итак:
На этапе подписи вся информация, находящаяся в электронном документе «хэшируется» — подвергается преобразованию при помощи специальной математической функции, в результате чего получается относительно короткая уникальная последовательность цифр, так называемый электронный «дайджест» документа или «хэш». Этот хэш шифруется при помощи закрытого ключа владельца КЭП (это очень важно!) и полученная информация прикрепляется к искомому документу, представляя собой его уникальный реквизит. Или, обращаясь к ФЗ № 63-ФЗ от 06.04.2011, это «информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.», т. е., в данной случае и есть Квалифицированная Усиленная Электронная подпись.
На этапе проверки происходит расшифровка подписи с использованием открытого ключа, сведения о котором содержатся в переданном получателю документа сертификате, в результате чего получается упомянутый ранее «хэш» документа и сведения о лице, прикрепившего зашифрованные данные (или КЭП). Полученный «хэш» сопоставляется с «хэшем» оригинального документа — их совпадение подтверждает неизменность информации, а данные о подписанте при необходимости проверяются в УЦ, выдавшем электронную подпись.
Схема работы ЭЦП, приведенная в данной статье сильно упрощена и сжата. В ней не рассматриваются носители ключа (устройства eToken и Рутокен, смарт-карты и т. д.), сертификаты, программное обеспечение, необходимое для работы ЭП (обеспечивающее шифровку и дешифровку данных и их прикрепление к документам), особенности формирования и выдачи электронных подписей и других интересных моментов электронного документооборота.
Все это мы рассмотрим в следующих частях соответствующих обзоров и опубликуем их на сайте «ИЛК».
Материалы
| Внимание! С 01.07.2013 г. закон утратил силу, см. Федеральный закон № 63-ФЗ от 06.04.2011 г. |
Федеральный закон № 1-ФЗ от 10 января 2002 года
Об электронной цифровой подписи
(Принят Государственной Думой 13.12.2001 г. Одобрен Советом Федерации 26.12.2001 г.)
(Опубликован в «Российской газете» № 6 от 12.01.2002 г., «Парламентской газете» № 9 от 12.01.2002 г. и в Собрании законодательства РФ № 2 от 14.01.2002 г., ст. 127)
(в ред. Федерального закона № 258-ФЗ от 08.11.2007 г.)
Глава I. Общие положения
Статья 1. Цель и сфера применения настоящего Федерального закона
1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Статья 2. Правовое регулирование отношений в области использования электронной цифровой подписи
Правовое регулирование отношений в области использования электронной цифровой подписи осуществляется в соответствии с настоящим Федеральным законом, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информатизации и защите информации», Федеральным законом «О связи», другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, а также осуществляется соглашением сторон.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные понятия:
электронный документ — документ, в котором информация представлена в электронно-цифровой форме;
электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Глава II. Условия использования электронной цифровой подписи
Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи
1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
2. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.
Статья 5. Использование средств электронной цифровой подписи
1. Создание ключей электронных цифровых подписей осуществляется для использования в:
информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
корпоративной информационной системе в порядке, установленном в этой системе.
2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
3. Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
4. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
Статья 6. Сертификат ключа подписи
1. Сертификат ключа подписи должен содержать следующие сведения:
уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи;
открытый ключ электронной цифровой подписи;
наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.
2. В случае необходимости в сертификате ключа подписи на основании подтверждающих документов указываются должность (с указанием наименования и места нахождения организации, в которой установлена эта должность) и квалификация владельца сертификата ключа подписи, а по его заявлению в письменной форме — иные сведения, подтверждаемые соответствующими документами.
3. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.
4. Для проверки принадлежности электронной цифровой подписи соответствующему владельцу сертификат ключа подписи выдается пользователям с указанием даты и времени его выдачи, сведений о действии сертификата ключа подписи (действует, действие приостановлено, сроки приостановления его действия, аннулирован, дата и время аннулирования сертификата ключа подписи) и сведений о реестре сертификатов ключей подписей. В случае выдачи сертификата ключа подписи в форме документа на бумажном носителе этот сертификат оформляется на бланке удостоверяющего центра и заверяется собственноручной подписью уполномоченного лица и печатью удостоверяющего центра. В случае выдачи сертификата ключа подписи и указанных дополнительных данных в форме электронного документа этот сертификат должен быть подписан электронной цифровой подписью уполномоченного лица удостоверяющего центра.
Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре
1. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.
2. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре после аннулирования сертификата ключа подписи должен быть не менее установленного федеральным законом срока исковой давности для отношений, указанных в сертификате ключа подписи.
По истечении указанного срока хранения сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Срок архивного хранения составляет не менее чем пять лет. Порядок выдачи копий сертификатов ключей подписей в этот период устанавливается в соответствии с законодательством Российской Федерации.
3. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.
Глава III. Удостоверяющие центры
Статья 8. Статус удостоверяющего центра
1. Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
Требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти.
Статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.
2. Утратил силу. — Федеральный закон № 258-ФЗ от 08.11.2007 г.
Статья 9. Деятельность удостоверяющего центра
1. Удостоверяющий центр:
изготавливает сертификаты ключей подписей;
создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;
может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.
2. Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы, которое содержит сведения, указанные в статье 6 настоящего Федерального закона и необходимые для идентификации владельца сертификата ключа подписи и передачи ему сообщений. Заявление подписывается собственноручно владельцем сертификата ключа подписи. Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов.
3. При изготовлении сертификатов ключей подписей удостоверяющим центром оформляются в форме документов на бумажных носителях два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего центра, а также печатью удостоверяющего центра. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй — остается в удостоверяющем центре.
4. Услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно.
Статья 10. Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной власти
1. Удостоверяющий центр до начала использования электронной цифровой подписи уполномоченного лица удостоверяющего центра для заверения от имени удостоверяющего центра сертификатов ключей подписей обязан представить в уполномоченный федеральный орган исполнительной власти сертификат ключа подписи уполномоченного лица удостоверяющего центра в форме электронного документа, а также этот сертификат в форме документа на бумажном носителе с собственноручной подписью указанного уполномоченного лица, заверенный подписью руководителя и печатью удостоверяющего центра.
2. Уполномоченный федеральный орган исполнительной власти ведет единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров.
3. Электронные цифровые подписи уполномоченных лиц удостоверяющих центров могут использоваться только после включения их в единый государственный реестр сертификатов ключей подписей. Использование этих электронных цифровых подписей для целей, не связанных с заверением сертификатов ключей подписей и сведений об их действии, не допускается.
4. Уполномоченный федеральный орган исполнительной власти:
осуществляет по обращениям физических лиц, организаций, федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей;
осуществляет в соответствии с положением об уполномоченном федеральном органе исполнительной власти иные полномочия по обеспечению действия настоящего Федерального закона.
Статья 11. Обязательства удостоверяющего центра по отношению к владельцу сертификата ключа подписи
Удостоверяющий центр при изготовлении сертификата ключа подписи принимает на себя следующие обязательства по отношению к владельцу сертификата ключа подписи:
вносить сертификат ключа подписи в реестр сертификатов ключей подписей;
обеспечивать выдачу сертификата ключа подписи обратившимся к нему участникам информационных систем;
приостанавливать действие сертификата ключа подписи по обращению его владельца;
уведомлять владельца сертификата ключа подписи о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписи;
иные установленные нормативными правовыми актами или соглашением сторон обязательства.
Статья 12. Обязательства владельца сертификата ключа подписи
1. Владелец сертификата ключа подписи обязан:
не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
хранить в тайне закрытый ключ электронной цифровой подписи;
немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.
2. При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.
Статья 13. Приостановление действия сертификата ключа подписи
1. Действие сертификата ключа подписи может быть приостановлено удостоверяющим центром на основании указания лиц или органов, имеющих такое право в силу закона или договора, а в корпоративной информационной системе также в силу установленных для нее правил пользования.
2. Период от поступления в удостоверяющий центр указания о приостановлении действия сертификата ключа подписи до внесения соответствующей информации в реестр сертификатов ключей подписей должен устанавливаться в соответствии с общим для всех владельцев сертификатов ключей подписей правилом. По договоренности между удостоверяющим центром и владельцем сертификата ключа подписи этот период может быть сокращен.
3. Действие сертификата ключа подписи по указанию полномочного лица (органа) приостанавливается на исчисляемый в днях срок, если иное не установлено нормативными правовыми актами или договором. Удостоверяющий центр возобновляет действие сертификата ключа подписи по указанию полномочного лица (органа). В случае, если по истечении указанного срока не поступает указание о возобновлении действия сертификата ключа подписи, он подлежит аннулированию.
4. В соответствии с указанием полномочного лица (органа) о приостановлении действия сертификата ключа подписи удостоверяющий центр оповещает об этом пользователей сертификатов ключей подписей путем внесения в реестр сертификатов ключей подписей соответствующей информации с указанием даты, времени и срока приостановления действия сертификата ключа подписи, а также извещает об этом владельца сертификата ключа подписи и полномочное лицо (орган), от которого получено указание о приостановлении действия сертификата ключа подписи.
Статья 14. Аннулирование сертификата ключа подписи
1. Удостоверяющий центр, выдавший сертификат ключа подписи, обязан аннулировать его:
по истечении срока его действия;
при утрате юридической силы сертификата соответствующих средств электронной цифровой подписи, используемых в информационных системах общего пользования;
в случае, если удостоверяющему центру стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа подписи;
по заявлению в письменной форме владельца сертификата ключа подписи;
в иных установленных нормативными правовыми актами или соглашением сторон случаях.
2. В случае аннулирования сертификата ключа подписи удостоверяющий центр оповещает об этом пользователей сертификатов ключей подписей путем внесения в реестр сертификатов ключей подписей соответствующей информации с указанием даты и времени аннулирования сертификата ключа подписи, за исключением случаев аннулирования сертификата ключа подписи по истечении срока его действия, а также извещает об этом владельца сертификата ключа подписи и полномочное лицо (орган), от которого получено указание об аннулировании сертификата ключа подписи.
Статья 15. Прекращение деятельности удостоверяющего центра
1. Деятельность удостоверяющего центра, выдающего сертификаты ключей подписей для использования в информационных системах общего пользования, может быть прекращена в порядке, установленном гражданским законодательством.
2. В случае прекращения деятельности удостоверяющего центра, указанного в пункте 1 настоящей статьи, сертификаты ключей подписей, выданные этим удостоверяющим центром, могут быть переданы другому удостоверяющему центру по согласованию с владельцами сертификатов ключей подписей.
Сертификаты ключей подписей, не переданные в другой удостоверяющий центр, аннулируются и передаются на хранение в соответствии со статьей 7 настоящего Федерального закона уполномоченному федеральному органу исполнительной власти.
3. Деятельность удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, прекращается по решению владельца этой системы, а также по договоренности участников этой системы в связи с передачей обязательств данного удостоверяющего центра другому удостоверяющему центру или в связи с ликвидацией корпоративной информационной системы.
Глава IV. Особенности использования электронной цифровой подписи
Статья 16. Использование электронной цифровой подписи в сфере государственного управления
1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.
2. Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр сертификатов ключей подписей, который ведется уполномоченным федеральным органом исполнительной власти, и выдаются пользователям сертификатов ключей подписей из этого реестра в порядке, установленном настоящим Федеральным законом для удостоверяющих центров.
3. Порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления устанавливается нормативными правовыми актами соответствующих органов.
Статья 17. Использование электронной цифровой подписи в корпоративной информационной системе
1. Корпоративная информационная система, предоставляющая участникам информационной системы общего пользования услуги удостоверяющего центра корпоративной информационной системы, должна соответствовать требованиям, установленным настоящим Федеральным законом для информационных систем общего пользования.
2. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
3. Содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.
Статья 18. Признание иностранного сертификата ключа подписи
Иностранный сертификат ключа подписи, удостоверенный в соответствии с законодательством иностранного государства, в котором этот сертификат ключа подписи зарегистрирован, признается на территории Российской Федерации в случае выполнения установленных законодательством Российской Федерации процедур признания юридического значения иностранных документов.
Статья 19. Случаи замещения печатей
1. Содержание документа на бумажном носителе, заверенного печатью и преобразованного в электронный документ, в соответствии с нормативными правовыми актами или соглашением сторон может заверяться электронной цифровой подписью уполномоченного лица.
2. В случаях, установленных законами и иными нормативными правовыми актами Российской Федерации или соглашением сторон, электронная цифровая подпись в электронном документе, сертификат которой содержит необходимые при осуществлении данных отношений сведения о правомочиях его владельца, признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью.
Глава V. Заключительные и переходные положения
Статья 20. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом
1. Нормативные правовые акты Российской Федерации подлежат приведению в соответствие с настоящим Федеральным законом в течение трех месяцев со дня вступления в силу настоящего Федерального закона.
2. Учредительные документы удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования, подлежат приведению в соответствие с настоящим Федеральным законом в течение шести месяцев со дня вступления в силу настоящего Федерального закона.
Статья 21. Переходные положения
Удостоверяющие центры, создаваемые после вступления в силу настоящего Федерального закона до начала ведения уполномоченным федеральным органом исполнительной власти реестра сертификатов ключей подписей, должны отвечать требованиям настоящего Федерального закона, за исключением требования предварительно представлять сертификаты ключей подписей своих уполномоченных лиц уполномоченному федеральному органу исполнительной власти. Соответствующие сертификаты должны быть представлены указанному органу не позднее чем через три месяца со дня вступления в силу настоящего Федерального закона.
| Президент Российской Федерации | В.Путин |
Федеральный закон № 63-ФЗ от 6 апреля 2011 года
Об электронной подписи
(Принят Государственной Думой 25.03.2011 г. Одобрен Советом Федерации 30.03.2011 г.)
(Опубликован в «Российской газете» № 75 (5451) от 08.04.2011 г. и в Собрании законодательства РФ № 15 от 11.04.2011 г., ст. 2036. Вступает в силу со дня его официального опубликования, см. статью 20 настоящего Закона)
Внимание! Внесены изменения, см.:
Федеральный закон № 169-ФЗ от 01.07.2011 г.
Федеральный закон № 108-ФЗ от 10.07.2012 г.
Федеральный закон № 60-ФЗ от 05.04.2013 г.
Федеральный закон № 171-ФЗ от 02.07.2013 г.
Федеральный закон № 185-ФЗ от 02.07.2013 г.
Федеральный закон № 33-ФЗ от 12.03.2014 г.
Федеральный закон № 184-ФЗ от 28.06.2014 г.
Статья 1. Сфера действия настоящего Федерального закона
Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами. — статья в редакции Федерального закона № 60-ФЗ от 05.04.2013 г.
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные понятия:
1) электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
2) сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
3) квалифицированный сертификат ключа проверки электронной подписи (далее — квалифицированный сертификат) — сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее — уполномоченный федеральный орган);
4) владелец сертификата ключа проверки электронной подписи — лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;
5) ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи;
6) ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи);
7) удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;
8) аккредитация удостоверяющего центра — признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона;
9) средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;
10) средства удостоверяющего центра — программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра;
11) участники электронного взаимодействия — осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане;
12) корпоративная информационная система — информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц;
13) информационная система общего пользования — информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Статья 3. Правовое регулирование отношений в области использования электронных подписей
1. Отношения в области использования электронных подписей регулируются настоящим Федеральным законом, другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями между участниками электронного взаимодействия. Если иное не установлено федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или решением о создании корпоративной информационной системы, порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней.
2. Виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой устанавливает Правительство Российской Федерации.
Статья 4. Принципы использования электронной подписи
Принципами использования электронной подписи являются:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее — неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее — квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
5. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.
Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
3. Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов.
Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами
1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права.
Статья 8. Полномочия федеральных органов исполнительной власти в сфере использования электронной подписи
1. Уполномоченный федеральный орган определяется Правительством Российской Федерации.
2. Уполномоченный федеральный орган:
1) осуществляет аккредитацию удостоверяющих центров, проводит проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае выявления их несоблюдения выдает предписания об устранении выявленных нарушений;
2) осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров.
3. Уполномоченный федеральный орган обязан обеспечить хранение следующей указанной в настоящей части информации и круглосуточный беспрепятственный доступ к ней с использованием информационно-телекоммуникационных сетей:
1) наименования, адреса аккредитованных удостоверяющих центров;
2) реестр выданных и аннулированных уполномоченным федеральным органом квалифицированных сертификатов;
3) перечень удостоверяющих центров, аккредитация которых аннулирована;
4) перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена;
5) перечень аккредитованных удостоверяющих центров, деятельность которых прекращена;
6) реестры квалифицированных сертификатов, переданные в уполномоченный федеральный орган в соответствии со статьей 15 настоящего Федерального закона.
4. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, устанавливает:
1) порядок передачи реестров квалифицированных сертификатов и иной информации в уполномоченный федеральный орган в случае прекращения деятельности аккредитованного удостоверяющего центра;
2) порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров;
3) правила аккредитации удостоверяющих центров, порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы.
5. Федеральный орган исполнительной власти в области обеспечения безопасности:
1) устанавливает требования к форме квалифицированного сертификата;
2) устанавливает требования к средствам электронной подписи и средствам удостоверяющего центра;
3) осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с настоящим Федеральным законом, и публикует перечень таких средств.
Статья 9. Использование простой электронной подписи
1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
3. К отношениям, связанным с использованием простой электронной подписи, в том числе с созданием и использованием ключа простой электронной подписи, не применяются правила, установленные статьями 10 — 18 настоящего Федерального закона.
4. Использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.
Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
4) использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Статья 11. Признание квалифицированной электронной подписи
Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
Статья 12. Средства электронной подписи
1. Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.
2. При создании электронной подписи средства электронной подписи должны:
1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3) однозначно показывать, что электронная подпись создана.
3. При проверке электронной подписи средства электронной подписи должны:
1) показывать содержание электронного документа, подписанного электронной подписью;
2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.
4. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих сведения, составляющие государственную тайну, или предназначенные для использования в информационной системе, содержащей сведения, составляющие государственную тайну, подлежат подтверждению соответствия обязательным требованиям по защите сведений соответствующей степени секретности в соответствии с законодательством Российской Федерации. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации.
5. Требования частей 2 и 3 настоящей статьи не применяются к средствам электронной подписи, используемым для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
Статья 13. Удостоверяющий центр
1. Удостоверяющий центр:
1) создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);
2) устанавливает сроки действия сертификатов ключей проверки электронных подписей;
3) аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;
4) выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
5) ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;
6) устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети «Интернет»;
7) создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
8) проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
9) осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
10) осуществляет иную связанную с использованием электронной подписи деятельность.
2. Удостоверяющий центр обязан:
1) информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;
2) обеспечивать актуальность информации, содержащейся в реестре сертификатов, и ее защиту от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;
3) предоставлять безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информацию, содержащуюся в реестре сертификатов, в том числе информацию об аннулировании сертификата ключа проверки электронной подписи;
4) обеспечивать конфиденциальность созданных удостоверяющим центром ключей электронных подписей.
3. Удостоверяющий центр в соответствии с законодательством Российской Федерации несет ответственность за вред, причиненный третьим лицам в результате:
1) неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром;
2) неисполнения или ненадлежащего исполнения обязанностей, предусмотренных настоящим Федеральным законом.
4. Удостоверяющий центр вправе наделить третьих лиц (далее — доверенные лица) полномочиями по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.
5. Удостоверяющий центр, указанный в части 4 настоящей статьи, по отношению к доверенным лицам является головным удостоверяющим центром и выполняет следующие функции:
1) осуществляет проверку электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей;
2) обеспечивает электронное взаимодействие доверенных лиц между собой, а также доверенных лиц с удостоверяющим центром.
6. Информация, внесенная в реестр сертификатов, подлежит хранению в течение всего срока деятельности удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами. В случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты прекращения деятельности этого удостоверяющего центра. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть уничтожена. В случае прекращения деятельности удостоверяющего центра с переходом его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты передачи своих функций. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть передана лицу, к которому перешли функции удостоверяющего центра, прекратившего свою деятельность.
7. Порядок реализации функций удостоверяющего центра, осуществления его прав и исполнения обязанностей, определенных настоящей статьей, устанавливается удостоверяющим центром самостоятельно, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия.
8. Договор об оказании услуг удостоверяющим центром, осуществляющим свою деятельность в отношении неограниченного круга лиц с использованием информационной системы общего пользования, является публичным договором.
Статья 14. Сертификат ключа проверки электронной подписи
1. Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем.
2. Сертификат ключа проверки электронной подписи должен содержать следующую информацию:
1) даты начала и окончания срока его действия;
2) фамилия, имя и отчество (если имеется) — для физических лиц, наименование и место нахождения — для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
3) ключ проверки электронной подписи;
4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
6) иная информация, предусмотренная частью 2 статьи 17 настоящего Федерального закона, — для квалифицированного сертификата.
3. В случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Допускается не указывать в качестве владельца сертификата ключа проверки электронной подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа проверки электронной подписи (в том числе в квалифицированном сертификате), используемом для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. Владельцем такого сертификата ключа проверки электронной подписи признается юридическое лицо, информация о котором содержится в таком сертификате. При этом распорядительным актом юридического лица определяется физическое лицо, ответственное за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. В случае отсутствия указанного распорядительного акта лицом, ответственным за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, является руководитель юридического лица. В случае возложения федеральным законом полномочий по исполнению государственных функций на конкретное должностное лицо ответственным за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при исполнении государственных функций является это должностное лицо. — в пункт внесены изменения, см. Федеральный закон № 184-ФЗ от 28.06.2014 г.
4. Удостоверяющий центр вправе выдавать сертификаты ключей проверки электронных подписей как в форме электронных документов, так и в форме документов на бумажном носителе. Владелец сертификата ключа проверки электронной подписи, выданного в форме электронного документа, вправе получить также копию сертификата ключа проверки электронной подписи на бумажном носителе, заверенную удостоверяющим центром.
5. Сертификат ключа проверки электронной подписи действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате ключа проверки электронной подписи. Информация о сертификате ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов не позднее указанной в нем даты начала действия такого сертификата.
6. Сертификат ключа проверки электронной подписи прекращает свое действие:
1) в связи с истечением установленного срока его действия;
2) на основании заявления владельца сертификата ключа проверки электронной подписи, подаваемого в форме документа на бумажном носителе или в форме электронного документа;
3) в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;
4) в иных случаях, установленных настоящим Федеральным законом, другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между удостоверяющим центром и владельцем сертификата ключа проверки электронной подписи.
7. Информация о прекращении действия сертификата ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия сертификата ключа проверки электронной подписи. Действие сертификата ключа проверки электронной подписи прекращается с момента внесения записи об этом в реестр сертификатов.
8. В течение не более чем одного рабочего дня удостоверяющий центр аннулирует сертификат ключа проверки электронной подписи путем внесения записи о его аннулировании в реестр сертификатов по решению суда, вступившему в законную силу, в частности если решением суда установлено, что сертификат ключа проверки электронной подписи содержит недостоверную информацию.
9. Использование аннулированного сертификата ключа проверки электронной подписи не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием. До внесения в реестр сертификатов информации об аннулировании сертификата ключа проверки электронной подписи удостоверяющий центр обязан уведомить владельца сертификата ключа проверки электронной подписи об аннулировании его сертификата ключа проверки электронной подписи путем направления документа на бумажном носителе или электронного документа.
Статья 15. Аккредитованный удостоверяющий центр
1. Удостоверяющий центр, получивший аккредитацию, является аккредитованным удостоверяющим центром. Аккредитованный удостоверяющий центр обязан хранить следующую информацию:
1) реквизиты основного документа, удостоверяющего личность владельца квалифицированного сертификата — физического лица;
2) сведения о наименовании, номере и дате выдачи документа, подтверждающего право лица, выступающего от имени заявителя — юридического лица, обращаться за получением квалифицированного сертификата;
3) сведения о наименованиях, номерах и датах выдачи документов, подтверждающих полномочия владельца квалифицированного сертификата действовать по поручению третьих лиц, если информация о таких полномочиях владельца квалифицированного сертификата включена в квалифицированный сертификат.
2. Аккредитованный удостоверяющий центр должен хранить информацию, указанную в части 1 настоящей статьи, в течение срока его деятельности, если более короткий срок не предусмотрен нормативными правовыми актами Российской Федерации. Хранение информации должно осуществляться в форме, позволяющей проверить ее целостность и достоверность.
3. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к выданным этим удостоверяющим центром квалифицированным сертификатам и к актуальному списку аннулированных квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.
4. В случае принятия решения о прекращении своей деятельности аккредитованный удостоверяющий центр обязан:
1) сообщить об этом в уполномоченный федеральный орган не позднее чем за один месяц до даты прекращения своей деятельности;
2) передать в уполномоченный федеральный орган в установленном порядке реестр квалифицированных сертификатов;
3) передать на хранение в уполномоченный федеральный орган в установленном порядке информацию, подлежащую хранению в аккредитованном удостоверяющем центре.
Статья 16. Аккредитация удостоверяющего центра
1. Аккредитация удостоверяющих центров осуществляется уполномоченным федеральным органом в отношении удостоверяющих центров, являющихся российскими или иностранными юридическими лицами.
2. Аккредитация удостоверяющего центра осуществляется на добровольной основе. Аккредитация удостоверяющего центра осуществляется на срок пять лет, если более короткий срок не указан в заявлении удостоверяющего центра.
3. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:
1) стоимость чистых активов удостоверяющего центра составляет не менее чем один миллион рублей;
2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр, в сумме не менее чем полтора миллиона рублей;
3) наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
4) наличие в штате удостоверяющего центра не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее образование в области информационных технологий или информационной безопасности либо высшее образование или среднее профессиональное образование с последующим получением дополнительного профессионального образования по вопросам использования электронной подписи. — пункт в редакции Федерального закона № 185-ФЗ от 02.07.2013 г.
4. Аккредитация удостоверяющего центра осуществляется на основании его заявления, подаваемого в уполномоченный федеральный орган. К заявлению прилагаются документы, подтверждающие соответствие удостоверяющего центра требованиям, установленным частью 3 настоящей статьи. Удостоверяющий центр вправе не представлять документ, подтверждающий соответствие имеющихся у него средств электронной подписи и средств удостоверяющего центра требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, если такой документ или содержащиеся в нем сведения находятся в распоряжении федерального органа исполнительной власти в области обеспечения безопасности. В этом случае уполномоченный федеральный орган самостоятельно проверяет получение подтверждения соответствия таких средств установленным требованиям на основании информации, полученной от федерального органа исполнительной власти в области обеспечения безопасности. — часть 4 в редакции Федерального закона № 169-ФЗ от 01.07.2011 г.
5. В срок, не превышающий тридцати календарных дней со дня приема заявления удостоверяющего центра, уполномоченный федеральный орган на основании представленных документов принимает решение об аккредитации удостоверяющего центра или об отказе в его аккредитации. В случае принятия решения об аккредитации удостоверяющего центра уполномоченный федеральный орган в срок, не превышающий десяти дней со дня принятия решения об аккредитации, уведомляет удостоверяющий центр о принятом решении и выдает свидетельство об аккредитации по установленной форме. Одновременно с выдачей свидетельства об аккредитации уполномоченный федеральный орган выдает аккредитованному удостоверяющему центру квалифицированный сертификат, созданный с использованием средств головного удостоверяющего центра, функции которого осуществляет уполномоченный федеральный орган. В случае принятия решения об отказе в аккредитации удостоверяющего центра уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об отказе в аккредитации, направляет или вручает удостоверяющему центру уведомление о принятом решении с указанием причин отказа в форме документа на бумажном носителе.
6. Основанием для отказа в аккредитации удостоверяющего центра является его несоответствие требованиям, установленным частью 3 настоящей статьи, или наличие в представленных им документах недостоверной информации.
7. Аккредитованный удостоверяющий центр должен соблюдать требования, на соответствие которым он аккредитован, в течение всего срока его аккредитации. В случае возникновения обстоятельств, делающих невозможным соблюдение указанных требований, удостоверяющий центр немедленно должен уведомить об этом в письменной форме уполномоченный федеральный орган. Аккредитованный удостоверяющий центр при осуществлении своих функций и исполнении принятых обязательств должен соблюдать требования, установленные для удостоверяющих центров статьями 13 — 15, 17 и 18 настоящего Федерального закона. Уполномоченный федеральный орган вправе проводить проверки соблюдения аккредитованными удостоверяющими центрами требований настоящего Федерального закона в течение всего срока их аккредитации. В случае выявления несоблюдения аккредитованным удостоверяющим центром указанных требований уполномоченный федеральный орган обязан выдать этому удостоверяющему центру предписание об устранении нарушений в установленный срок и приостановить действие аккредитации на данный срок с внесением информации об этом в перечень, указанный в пункте 4 части 3 статьи 8 настоящего Федерального закона. Аккредитованный удостоверяющий центр уведомляет в письменной форме уполномоченный федеральный орган об устранении выявленных нарушений. Уполномоченный федеральный орган принимает решение о возобновлении действия аккредитации, при этом он вправе проверять фактическое устранение ранее выявленных нарушений и в случае их неустранения в установленный предписанием срок аннулирует аккредитацию удостоверяющего центра.
8. На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции удостоверяющих центров, не распространяются требования, установленные пунктами 1 и 2 части 3 настоящей статьи.
9. Головной удостоверяющий центр, функции которого осуществляет уполномоченный федеральный орган, не подлежит аккредитации в соответствии с настоящим Федеральным законом.
Статья 17. Квалифицированный сертификат
1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.
2. Квалифицированный сертификат должен содержать следующую информацию:
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата — для физического лица либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата — для юридического лица;
3) страховой номер индивидуального лицевого счета владельца квалифицированного сертификата — для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата — для юридического лица.
4) ключ проверки электронной подписи;
5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с настоящим Федеральным законом;
6) наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, номер квалифицированного сертификата удостоверяющего центра;
7) ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).
3. Если заявителем представлены в аккредитованный удостоверяющий центр документы, подтверждающие его право действовать от имени третьих лиц, в квалифицированный сертификат может быть включена информация о таких правомочиях заявителя и сроке их действия.
4. Квалифицированный сертификат выдается в форме, требования к которой устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности.
5. В случае аннулирования квалифицированного сертификата, выданного аккредитованному удостоверяющему центру, выдавшему квалифицированный сертификат заявителю, либо в случае аннулирования или истечения срока аккредитации удостоверяющего центра квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие.
6. Владелец квалифицированного сертификата обязан:
1) не использовать ключ электронной подписи и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа электронной подписи нарушена;
2) использовать квалифицированную электронную подпись в соответствии с ограничениями, содержащимися в квалифицированном сертификате (если такие ограничения установлены).
Статья 18. Выдача квалифицированного сертификата
1. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан:
1) установить личность заявителя — физического лица, обратившегося к нему за получением квалифицированного сертификата;
2) получить от лица, выступающего от имени заявителя — юридического лица, подтверждение правомочия обращаться за получением квалифицированного сертификата.
2. При обращении в аккредитованный удостоверяющий центр заявитель указывает на ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются) и представляет следующие документы, подтверждающие достоверность информации, предоставленной заявителем для включения в квалифицированный сертификат, либо их надлежащим образом заверенные копии:
1) основной документ, удостоверяющий личность, страховое свидетельство государственного пенсионного страхования заявителя — физического лица или учредительные документы, документ, подтверждающий факт внесения записи о юридическом лице в Единый государственный реестр юридических лиц, и свидетельство о постановке на учет в налоговом органе заявителя — юридического лица;
2) надлежащим образом заверенный перевод на русский язык документов о государственной регистрации юридического лица в соответствии с законодательством иностранного государства (для иностранных юридических лиц);
3) доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц.
3. При получении квалифицированного сертификата заявителем он должен быть под расписку ознакомлен аккредитованным удостоверяющим центром с информацией, содержащейся в квалифицированном сертификате.
4. Аккредитованный удостоверяющий центр одновременно с выдачей квалифицированного сертификата должен выдать владельцу квалифицированного сертификата руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи.
5. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр направляет в единую систему идентификации и аутентификации сведения о лице, получившем квалифицированный сертификат, в объеме, необходимом для регистрации в единой системе идентификации и аутентификации, и о полученном им квалифицированном сертификате (уникальный номер квалифицированного сертификата, даты начала и окончания его действия, наименование выдавшего его аккредитованного удостоверяющего центра). При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр по желанию лица, которому выдан квалифицированный сертификат, безвозмездно осуществляет регистрацию указанного лица в единой системе идентификации и аутентификации. — пункт включен согласно Федеральному закону № 33-ФЗ от 12.03.2014 г.
Статья 19. Заключительные положения
1. Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.
Внимание! Редакция части 2 статьи 19 изменена с 01.07.2013 г. согласно Федеральному закону № 171-ФЗ от 02.07.2013 г.
Новая редакция части 2:
2. Электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи, выданном в соответствии с порядком, ранее установленным Федеральным законом от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», в течение срока действия указанного сертификата, но не позднее 31 декабря 2013 года признается электронным документом, подписанным квалифицированной электронной подписью в соответствии с настоящим Федеральным законом.
Старая редакция части 2:
2. Электронный документ, подписанный электронной цифровой подписью до даты признания утратившим силу Федерального закона от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признается электронным документом, подписанным квалифицированной электронной подписью в соответствии с настоящим Федеральным законом.
3. В случаях, если федеральными законами и иными нормативными правовыми актами, вступившими в силу до 1 июля 2013 года, предусмотрено использование электронной цифровой подписи, используется усиленная квалифицированная электронная подпись в соответствии с настоящим Федеральным законом. — часть 3 включена с 01.07.2013 г. согласно Федеральному закону № 171-ФЗ от 02.07.2013 г.
Статья 20. Вступление в силу настоящего Федерального закона
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования.
Внимание! Редакция части 2 статьи 20 изменена согласно Федеральному закону № 108-ФЗ от 10.07.2012 г.
Новая редакция части 2:
2. Федеральный закон от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127) признать утратившим силу с 1 июля 2013 года.
Старая редакция части 2:
2. Федеральный закон от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127) признать утратившим силу с 1 июля 2012 года.
| Президент Российской Федерации | Д. Медведев |