Удостоверяющий центр
Удостоверяющий центр — это организация, уполномоченная на создание и выдачу сертификатов ключей проверки электронных подписей, а также на выполнение иных функций, связанных с обеспечением функционирования инфраструктуры электронной подписи. Деятельность удостоверяющих центров регулируется законодательством, направленным на придание юридической силы электронным документам и обеспечение безопасности информационного обмена. В Российской Федерации основным нормативным актом, определяющим правовой статус и порядок работы удостоверяющих центров, является Федеральный закон № 63-ФЗ «Об электронной подписи».
История возникновения
Потребность в создании специализированных организаций, удостоверяющих подлинность электронных подписей, возникла с развитием электронного документооборота и необходимостью юридического признания цифровых аналогов собственноручных подписей. Первые удостоверяющие центры появились в США и странах Западной Европы в середине 1990-х годов, одновременно с принятием первых законов об электронной подписи (например, Закон штата Юта 1995 года и Директива Европейского союза 1999/93/EC).
В России история удостоверяющих центров началась с принятия Федерального закона № 1-ФЗ «Об электронной цифровой подписи» в 2002 году, который ввёл понятие удостоверяющего центра как юридического лица, осуществляющего функции по созданию и выдаче сертификатов ключей подписей. С 2011 года, после вступления в силу Федерального закона № 63-ФЗ, система была существенно реформирована: были введены понятия квалифицированной электронной подписи и квалифицированного сертификата, а также установлены требования к аккредитации удостоверяющих центров со стороны Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Правовая основа и аккредитация
Деятельность удостоверяющих центров в России регулируется Федеральным законом № 63-ФЗ «Об электронной подписи» и подзаконными актами, в частности приказами Минцифры России. Закон различает три вида электронных подписей: простую, усиленную неквалифицированную и усиленную квалифицированную. Для выдачи сертификатов ключей проверки усиленной квалифицированной электронной подписи удостоверяющий центр должен пройти процедуру аккредитации.
Аккредитация удостоверяющего центра — это официальное подтверждение его соответствия требованиям, установленным законодательством. Для получения аккредитации организация должна:
- иметь в штате не менее двух квалифицированных работников, непосредственно осуществляющих функции по созданию и выдаче сертификатов;
- располагать материально-технической базой, обеспечивающей защиту информации и бесперебойное функционирование;
- использовать сертифицированные средства электронной подписи и средства удостоверяющего центра;
- соответствовать требованиям к финансовому обеспечению (например, наличие договора страхования ответственности).
Аккредитация выдаётся сроком на пять лет. Список аккредитованных удостоверяющих центров публикуется на официальном сайте Минцифры России. По состоянию на 2024 год в реестре насчитывается несколько десятков аккредитованных организаций, среди которых — крупные банки, операторы связи и специализированные IT-компании.
Функции и задачи
Основные функции удостоверяющего центра включают:
- создание и выдача сертификатов ключей проверки электронных подписей (как квалифицированных, так и неквалифицированных);
- ведение реестра выданных и аннулированных сертификатов;
- проверка подлинности электронных подписей по запросам участников электронного взаимодействия;
- приостановление и возобновление действия сертификатов в случаях, предусмотренных законодательством или договором;
- аннулирование сертификатов при утрате доверия к ключу, компрометации закрытого ключа или по заявлению владельца;
- обеспечение хранения информации о сертификатах и связанных с ними документах в течение установленного срока (не менее 5 лет после истечения срока действия сертификата).
Кроме того, удостоверяющие центры могут оказывать сопутствующие услуги: регистрация пользователей, консультации по применению электронной подписи, интеграция с информационными системами, а также организация защищённого документооборота.
Виды удостоверяющих центров
Удостоверяющие центры классифицируются по нескольким признакам.
По типу аккредитации
- Аккредитованные удостоверяющие центры — имеют право выдавать сертификаты ключей проверки усиленной квалифицированной электронной подписи, которые признаются государственными органами и судами.
- Неаккредитованные удостоверяющие центры — могут выдавать только сертификаты для простой и усиленной неквалифицированной подписи, которые имеют ограниченную сферу применения (например, внутрикорпоративный документооборот).
По сфере деятельности
- Универсальные удостоверяющие центры — обслуживают широкий круг клиентов: физических лиц, индивидуальных предпринимателей и юридических лиц.
- Отраслевые удостоверяющие центры — специализируются на определённой сфере, например, в государственных информационных системах (ГИС ЖКХ, ЕГАИС, ФГИС «Единый реестр проверок»), в финансовом секторе или в здравоохранении.
- Ведомственные удостоверяющие центры — создаются внутри государственных органов для обеспечения внутреннего электронного документооборота и взаимодействия с гражданами (например, удостоверяющий центр Федеральной налоговой службы).
По организационно-правовой форме
Удостоверяющие центры могут быть как коммерческими организациями (ООО, АО), так и некоммерческими (учреждения, фонды). В России также существуют удостоверяющие центры, созданные при органах государственной власти.
Техническая архитектура
Работа удостоверяющего центра базируется на криптографической инфраструктуре открытых ключей (PKI). Основные компоненты включают:
- Центр сертификации — программно-аппаратный комплекс, непосредственно создающий и подписывающий сертификаты.
- Регистрационный центр — подсистема, обеспечивающая идентификацию и аутентификацию заявителей перед выдачей сертификата.
- Хранилище сертификатов — база данных, содержащая действующие и аннулированные сертификаты, а также списки отзыва (CRL).
- Средства криптографической защиты информации — сертифицированные ФСБ России средства, используемые для генерации ключей, создания и проверки подписей.
Для обеспечения безопасности удостоверяющие центры применяют защищённые каналы связи, системы контроля доступа, резервное копирование и регулярные аудиты.
Процедура получения сертификата
Процесс получения сертификата ключа проверки электронной подписи в удостоверяющем центре включает следующие этапы:
- Подача заявки — заявитель (физическое или юридическое лицо) направляет в удостоверяющий центр заявление и комплект документов, удостоверяющих личность и полномочия.
- Идентификация — удостоверяющий центр проверяет личность заявителя. Для физических лиц требуется личное присутствие с паспортом, для юридических лиц — также предоставление учредительных документов и доверенности на представителя.
- Генерация ключей — удостоверяющий центр генерирует пару ключей: закрытый (секретный) и открытый. Закрытый ключ передаётся владельцу на защищённом носителе (например, токен или смарт-карта), открытый ключ используется для создания сертификата.
- Создание сертификата — удостоверяющий центр подписывает сертификат, содержащий открытый ключ, данные владельца, срок действия и реквизиты центра.
- Выдача сертификата — сертификат передаётся владельцу вместе с закрытым ключом. С этого момента владелец может использовать электронную подпись для подписания документов.
Срок действия квалифицированного сертификата обычно составляет от одного года до трёх лет. По истечении срока действия сертификат может быть перевыпущен.
Применение
Электронные подписи, выданные удостоверяющими центрами, широко используются в различных сферах:
- Государственные услуги — подписание заявлений на портале «Госуслуги», подача налоговой отчётности, участие в электронных торгах.
- Бизнес — заключение договоров в электронной форме, обмен счетами и актами, взаимодействие с контрагентами.
- Финансовый сектор — банковские операции, подписание кредитных договоров, управление счетами.
- Здравоохранение — выдача электронных рецептов, подписание медицинских заключений, ведение электронных историй болезни.
- Судопроизводство — подача исковых заявлений и документов в электронном виде через системы «Мой арбитр» и ГАС «Правосудие».
Критика и проблемы
Деятельность удостоверяющих центров сопряжена с рядом проблем и критических замечаний:
- Безопасность — утечки закрытых ключей, компрометация сертификатов и атаки на инфраструктуру удостоверяющих центров могут привести к подделке электронных подписей. Известны случаи взлома удостоверяющих центров, в результате которых злоумышленники получали возможность выпускать сертификаты от имени других лиц.
- Бюрократизация — процедура получения квалифицированного сертификата требует личного присутствия и предоставления бумажных документов, что снижает удобство использования.
- Монополизация — на рынке удостоверяющих центров доминируют несколько крупных игроков, что может ограничивать конкуренцию и повышать стоимость услуг.
- Несовместимость — сертификаты, выданные разными удостоверяющими центрами, не всегда взаимно признаются, что создаёт трудности при межведомственном и межкорпоративном взаимодействии.
Перспективы развития
Развитие удостоверяющих центров связано с внедрением технологий распределённого реестра (блокчейн), биометрической идентификации и облачных сервисов. В России активно обсуждается переход к модели «облачной электронной подписи», при которой закрытый ключ хранится не на носителе у пользователя, а в защищённой среде удостоверяющего центра, что повышает мобильность и снижает риски утери. Кроме того, планируется расширение применения электронной подписи в сфере государственного управления и цифровой экономики, что потребует дальнейшего совершенствования нормативной базы и технических средств.
Источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (с изменениями и дополнениями).
- Приказ Минцифры России от 29.06.2021 № 586 «Об утверждении требований к аккредитации удостоверяющих центров».
- Постановление Правительства РФ от 28.11.2011 № 976 «О федеральном органе исполнительной власти, уполномоченном в сфере электронной подписи».
- Методические рекомендации по применению электронной подписи в государственных информационных системах (Минцифры России, 2020).
- Обзор рынка удостоверяющих центров в Российской Федерации (аналитические материалы, 2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →