ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ
ПРИКАЗ
от 18 сентября 2009 года N 144
В целях отработки организационных и технологических мероприятий по формированию перечня уполномоченных удостоверяющих центров для использования в единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет и во исполнение поручений Президента Российской Федерации от 01.08.2008 N Пр-1572ГС, в части создания системы удостоверяющих центров, постановления Правительства Российской Федерации от 15.06.2009 N 478 "О единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет" (Собрание законодательства Российской Федерации, 2009, N 25, ст.3061), постановления Правительства Российской Федерации от 25.12.2007 N 931 "О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям" (Собрание законодательства Российской Федерации, 2007, N 53, ст.6627; 2009, N 12, ст.1429), приказов Министерства информационных технологий и связи Российской Федерации от 11.03.2008 N 32 "Об утверждении Положения об общероссийском государственном информационном центре" (зарегистрировано в Министерстве юстиции Российской Федерации 21.03.2008 N 11394) и Министерства связи и массовых коммуникаций Российской Федерации от 23.03.2009 N 41 "Об утверждении Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра" (зарегистрировано в Министерстве юстиции Российской Федерации 24.04.2009 N 13831)
приказываю:
1. Утвердить прилагаемый Временный порядок присоединения удостоверяющих центров к подсистеме удостоверяющих центров общероссийского государственного информационного центра (далее - Временный порядок).
2. Начальнику Управления государственных услуг (Лапшин А.В.) организовать формирование и размещение сведений о присоединенных удостоверяющих центрах на сайте общероссийского государственного информационного центра,
3. Начальнику Управления государственных услуг (Лапшин А.В.) на основании единого государственного реестра уполномоченных лиц удостоверяющих центров и сведений о присоединенных удостоверяющих центрах организовать работу по формированию и ведению Перечня уполномоченных удостоверяющих центров для использования в единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет и размещению данного Перечня на едином портале государственных и муниципальных услуг (функций).
4. Начальнику Управления государственных услуг (Лапшин А.В.) с учетом практики применения Временного порядка и поступивших в ходе отработки организационных и технологических мероприятий по формированию Перечня уполномоченных удостоверяющих центров предложений и замечаний разработать Порядок присоединения удостоверяющих центров к подсистеме удостоверяющих центров ОГИЦ и обеспечить его согласование с Министерством связи и массовых коммуникаций Российской Федерации и уполномоченными органами в области защиты информации.
5. Контроль за исполнением настоящего приказа оставляю за собой.
Руководитель
Федерального агентства по
информационным технологиям
В.Г.Матюхин
Приложение
УТВЕРЖДЕНО
приказом Росинформтехнологии
от 18 сентября 2009 года N 144
Временный порядок
присоединения удостоверяющих центров к подсистеме удостоверяющих центров общероссийского государственного информационного центра
Введение
В целях отработки организационных и технологических мероприятий по формированию перечня уполномоченных удостоверяющих центров для использования в единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет и во исполнение поручений Президента Российской Федерации от 01.08.2008 N Пр-1572ГС, в части создания системы удостоверяющих центров, постановления Правительства Российской Федерации от 15.06.2009 N 478 "О единой системе информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет" (Собрание законодательства Российской Федерации, 2009, N 25, ст.3061), постановления Правительства Российской Федерации от 25.12.2007 N 931 "О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям" (Собрание законодательства Российской Федерации, 2007, N 53, ст.6627; 2009, N 12, ст.1429), приказов Министерства информационных технологий и связи Российской Федерации от 11.03.2008 N 32 "Об утверждении Положения об общероссийском государственном информационном центре" (зарегистрировано в Министерстве юстиции Российской Федерации 21.03.2008 N 11394) и Министерства связи и массовых коммуникаций Российской Федерации от 23.03.2009 N 41 "Об утверждении Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра" (зарегистрировано в Министерстве юстиции Российской Федерации 24.04.2009 N 13831), а также в целях обеспечения высокого качества предоставления сервисов подсистемы удостоверяющих центров общероссийского государственного информационного центра (далее - ПУЦ ОГИЦ) по управлению жизненным циклом электронных ключей и сертификатов ключей электронной цифровой подписи в интересах использования и признания электронной цифровой подписи в государственных информационных системах, межведомственном и трансграничном информационном обмене электронными документами с использованием электронной цифровой подписи, имеющими юридическую силу, в целях оказания государственных услуг в электронном виде (далее - цели присоединения) необходимо обеспечить:
равную надежность и защищенность компонент ПУЦ ОГИЦ и взаимодействующих с ней удостоверяющих центров (далее - УЦ);
единые технические и организационные правила функционирования компонент ПУЦ ОГИЦ и взаимодействующих с ней удостоверяющих центров;
единую технологическую основу оценки готовности технических средств, взаимодействующих с ПУЦ ОГИЦ;
единые критерии оценки качества предоставляемых услуг.
Это обеспечивается в рамках процедуры оценки соответствия УЦ функциональным, технологическим, техническим и юридическим требованиям к порядку взаимодействия УЦ с ПУЦ ОГИЦ (далее - оценка соответствия) в рамках функционирования подсистемы удостоверяющих центров общероссийского государственного информационного центра с целью организации предоставления государственных услуг в электронном виде и с целью формирования перечня удостоверяющих центров в рамках единой системы информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет и размещения его на едином портале государственных и муниципальных услуг (функций) (далее - единый портал).
1. Общие положения
Временный порядок присоединения удостоверяющих центров к подсистеме удостоверяющих центров общероссийского государственного информационного центра регламентирует процедуры присоединения к ПУЦ ОГИЦ организаций, исполняющих функции удостоверяющего центра согласно положениям Федерального закона от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи".
Оценка соответствия УЦ для возможности присоединения осуществляется по инициативе УЦ.
Результатом оценки соответствия УЦ является заключение о возможности присоединения по итогам рассмотрения документов, представленных УЦ.
Заключение является основанием для принятия Федеральным агентством по информационным технологиям решения о внесении сведений об УЦ в Реестр доверенных удостоверяющих центров, в соответствии с п.2.4 настоящего Временного порядка. Сведения из Реестра доверенных удостоверяющих центров размещаются в информационно-телекоммуникационной сети Интернет.
В случае отрицательного результата оценки соответствия УЦ вправе вновь обратиться с заявкой об оценке соответствия после устранения замечаний.
УЦ предоставляется возможность предварительного ознакомления с настоящим Временным порядком.
2. Порядок оценки соответствия УЦ
Процедура оценки соответствия УЦ включает следующие этапы:
представление УЦ заявки на оценку соответствия;
рассмотрение комплектности и содержания документов, представленных УЦ;
оформление заключения о возможности/невозможности присоединения УЦ к ПУЦ ОГИЦ.
2.1. Представление заявки на оценки соответствия.
2.1.1. Для проведения оценки соответствия УЦ направляет в адрес Росинформтехнологии заявку в письменном виде по форме, приведенной в приложении N 1 к настоящему Временному порядку.
2.1.2. Заявка на проведение оценки соответствия подается УЦ не позднее 3 месяцев до истечения сроков действия лицензий на следующие виды деятельности:
распространение шифровальных (криптографических) средств;
техническое обслуживание шифровальных (криптографических) средств;
предоставление услуг в области шифрования.
2.1.3. К заявке на проведение оценки соответствия УЦ прилагает комплект документов, содержащий информацию, необходимую для оценки готовности УЦ к проведению оценки соответствия (далее - заявительные документы):
копию свидетельства о внесении записи в Единый государственный реестр юридических лиц о юридическом лице, зарегистрированном до 1 июля 2002 года (ОГРН) - при наличии;
выписку из Единого государственного реестра юридических лиц;
копию свидетельства о постановке юридического лица на учет в налоговом органе (идентификационный номер налогоплательщика);
выписку (копию уведомления) о включении сертификата уполномоченного лица УЦ в Единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров;
выписку из реестра операторов, осуществляющих обработку персональных данных;
копию Устава организации и свидетельства о государственной регистрации/государственной регистрации изменений, вносимых в учредительные документы;
копии приказов, протоколов, либо иных документов о назначении уполномоченных лиц удостоверяющего центра (в соответствии с учредительными документами организации) и/или надлежащим образом оформленные доверенности;
копии общегражданских паспортов уполномоченных лиц удостоверяющего центра или других документов, удостоверяющих личность уполномоченных лиц удостоверяющего центра;
копию Регламента УЦ;
перечень средств электронной цифровой подписи, используемых УЦ при осуществлении своей деятельности, заверенный печатью УЦ;
копию сертификата уполномоченного лица УЦ, заверенного печатью УЦ;
копию сертификата пользователя УЦ для использования в целях присоединения, заверенного печатью УЦ;
сведения об организационно-технических мерах по обеспечению надежности функционирования УЦ и технической поддержке пользователей, наличии квалифицированного персонала, количестве обслуживаемых организаций и владельцах сертификатов, а также о количестве и месте размещения удаленных центров (пунктов) регистрации;
структурная схема взаимодействия компонент УЦ, удаленных центров (пунктов) регистрации и пользователей с указанием наименований их технических средств (в т.ч. каналообразующих) и с отображением порядка информационного обмена при выпуске сертификата пользователя и при подключении нового удаленного центра (пункта) регистрации;
копию лицензии УЦ на распространение шифровальных (криптографических) средств;
копию лицензии УЦ на техническое обслуживание шифровальных (криптографических) средств;
копию лицензии УЦ на предоставление услуг в области шифрования;
копию заключения о выполнении требований по безопасности информации на объекте информатизации удостоверяющего центра УЦ;
документы, заверенные подписью руководителя УЦ, подтверждающие факт добровольного прохождения тестов на совместимость сертификатов ключей подписей.
2.1.4. Документ о назначении уполномоченного лица УЦ (надлежащим образом оформленная доверенность) должен идентифицировать уполномоченное лицо как владельца сертификата ключа подписи уполномоченного лица УЦ.
2.1.5. Перечень средств криптографической защиты информации (средств ЭЦП), предъявленный УЦ, должен содержать только сертифицированные в системе сертификации РОСС RU.0001.030001 средства.
2.1.6. В Регламенте УЦ должны быть отражены условия и порядок представления услуг удостоверяющим центром пользователям (потребителям услуг), права, обязательства и ответственность удостоверяющего центра и пользователей (потребителей услуг) удостоверяющего центра, а также сведения:
о реализации мер защиты информационных ресурсов УЦ;
о порядке эксплуатации средств защиты;
о порядке проведения организационно-технических мероприятий, обеспечивающих синхронизацию и поддержание в актуальном состоянии реестра сертификатов УЦ;
о порядке действий обслуживающего персонала УЦ.
2.1.7. Копия заключения о выполнении требований по безопасности информации на объекте информатизации УЦ может быть выдана любой организацией на территории Российской Федерации, аккредитованной в системе ФСТЭК России в качестве органа по аттестации (испытательной лаборатории). В случае невозможности представить на момент подачи заявки на проведение проверки копии указанного заключения УЦ вправе представить вместо нее Декларацию о соответствии требованиям к информационной безопасности и требованиям, предъявляемым к удостоверяющим центрам, претендующих на присоединение к подсистеме УЦ ОГИЦ в соответствии с приказом Минкомсвязи России от 23.03.2009 N 41. Декларация о соответствии требованиям, предъявляемым к удостоверяющим центрам, претендующих на присоединение к подсистеме УЦ ОГИЦ предоставляется УЦ в произвольной форме и должна отражать состояние Регламента УЦ, основные мероприятия по выполнению политики безопасности УЦ, сведения о предоставляемых сервисах и услугах, даты проведения последних инспекционных проверок лицензионной деятельности, выявленных в их ходе нарушениях и принятых мерах по устранению, а также обязательство УЦ о предоставлении указанного выше заключения (аттестата соответствия) в срок не более 3 месяцев с момента подачи заявления на присоединение к подсистеме УЦ ОГИЦ. К Декларации могут быть приложены документы, подтверждающие соответствие УЦ требованиям к информационной безопасности:
________________
Для организаций, являющихся государственными или муниципальными органами власти, допускается предоставление копии заключения уполномоченного федерального органа исполнительной власти в области защиты информации.
копия сертификата соответствия удостоверяющего центра, как комплекса программно-технических средств, указанному в Декларации уровню требований к информационной безопасности, выданного ФСБ России;
копия аттестата соответствия требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России.
2.1.8. Представление всех документов, перечисленных в пункте 2.1, может служить основанием проведения дальнейшей процедуры присоединения УЦ к ПУЦ ОГИЦ.
2.1.9. Все документы, предоставляемые в виде копий, а также Декларация о соответствии, заверяются руководителем организации (или уполномоченным должностным лицом УЦ, действующим на основании доверенности) и печатью УЦ.
