Постановление Правительства Кыргызской Республики от 31.12.2019 № 742 "О некоторых вопросах, связанных с использованием электронной подписи"

В целях реализации статьи 8 Закона Кыргызской Республики "Об электронной подписи", в соответствии со статьями 10 и 17 конституционного Закона Кыргызской Республики "О Правительстве Кыргызской Республики" Правительство Кыргызской Республики ПОСТАНОВЛЯЕТ:

1. Утвердить:

- Порядок формирования, ведения и передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в уполномоченный орган, а также предоставления сведений из таких реестров согласно приложению 1;

- Правила аккредитации удостоверяющих центров согласно приложению 2.

2. Государственному комитету национальной безопасности Кыргызской Республики и Государственному комитету информационных технологий и связи Кыргызской Республики в шестимесячный срок разработать и утвердить совместным приказом:

-требования к форме квалифицированного сертификата;

- требования к средствам электронной подписи и средствам удостоверяющего центра;

- проект положения об подтверждении соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с Законом Кыргызской Республики "Об электронной подписи".

3. Внести в постановление Правительства Кыргызской Республики "Об одобрении Перечня уполномоченных органов, имеющих право на проведение проверок субъектов предпринимательства" от 21 июля 2016 года N 411 следующие изменения:

Перечень уполномоченных органов, имеющих право на проведение проверок субъектов предпринимательства, утвержденном вышеуказанным постановлением:

- дополнить пунктом 13 следующего содержания:

"13. Государственный комитет информационных технологий и связи Кыргызской Республики".

4. Направить настоящее постановление на рассмотрение в Жогорку Кенеш Кыргызской Республики.

5. Просить Жогорку Кенеш Кыргызской Республики рассмотреть вопрос о внесении изменений в Перечень уполномоченных органов, имеющих право на проведение проверок субъектов предпринимательства, утвержденный постановлением Жогорку Кенеша Кыргызской Республики от 10 ноября 2016 года N 1057-VI, во внеочередном порядке.

6. Назначить председателя Государственного комитета информационных технологий и связи Кыргызской Республики официальным представителем Правительства Кыргызской Республики при рассмотрении вопроса, указанного в пункте 5 настоящего постановления.

7. Контроль за исполнением настоящего постановления возложить на отдел цифровой трансформации Аппарата Правительства Кыргызской Республики.

8. Настоящее постановление вступает в силу по истечении десяти дней со дня официального опубликования.

1. Настоящий Порядок разработан в соответствии с Законом Кыргызской Республики "Об электронной подписи" и устанавливает процедуры формирования, ведения и передачи реестров, выданных аккредитованными удостоверяющими центрами, квалифицированных сертификатов ключей проверки электронной подписи(далее – квалифицированные сертификаты) и иной информации в уполномоченный орган, а также процедуры предоставления информации из таких реестров.

2. Удостоверяющие центры признаются аккредитованными после прохождения аккредитации в порядке, определяемом Правительством Кыргызской Республики.

3.Аккредитованный удостоверяющий центр обеспечивает актуальность информации, содержащейся в реестре квалифицированных сертификатов.

4. Для предотвращения утраты сведений о квалифицированных сертификатах, содержащихся в реестре квалифицированных сертификатов, аккредитованным удостоверяющим центром формируется его резервная копия.

5. Информация, внесенная в реестр квалифицированных сертификатов, подлежит хранению в течение всего срока деятельности аккредитованного удостоверяющего центра, если более короткий срок не установлен законодательством Кыргызской Республики.

6. Аккредитованный удостоверяющий центр обеспечивает защиту информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий в течение всего срока своей деятельности в соответствии с законодательством Кыргызской Республики в сфере электронной подписи.

7. Формирование реестра квалифицированных сертификатов (далее – реестр) представляет собой внесение данных о выданном аккредитованным удостоверяющим центром сертификате ключа проверки электронной подписи в реестр.

8. Формирование и ведение реестра осуществляется в условиях, обеспечивающих предотвращение несанкционированного доступа к нему.

9. Реестр состоит из следующих разделов:

1) квалифицированные сертификаты, выданные физическим лицам;

2) квалифицированные сертификаты, выданные юридическим лицам;

3) квалифицированные сертификаты, выданные физическим лицам, имеющие приостановление срока действия;

4) квалифицированные сертификаты, выданные юридическим лицам, имеющие приостановление срока действия;

5) аннулированные квалифицированные сертификаты, выданные физическим лицам;

6) аннулированные квалифицированные сертификаты, выданные юридическим лицам.

10. Раздел "квалифицированные сертификаты, выданные физическим лицам" содержит следующие сведения:

1) уникальный номер квалифицированного сертификата;

2) даты начала и окончания его действия;

3) фамилия, имя и отчество (если имеется), дата и место рождения владельца квалифицированного сертификата;

4) ключ проверки подписи;

5) наименование средств электронной подписи и средств удостоверяющего центра, которые использованы для создания ключа подписи, ключа проверки подписи и квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Законом Кыргызской Республики "Об электронной подписи";

6) наименование и местонахождение удостоверяющего центра, выдавшего квалифицированный сертификат, номер квалифицированного сертификата удостоверяющего центра и реквизиты свидетельства об аккредитации удостоверяющего центра;

7) ограничения использования квалифицированного сертификата (если ограничения устанавливаются);

8) иные сведения о владельце квалифицированного сертификата (по требованию заявителя);

9) основные реквизиты (наименование, номер и дата выдачи) доверенности или иного документа, подтверждающего право заявителя действовать от имени физического лица.

11. Раздел "квалифицированные сертификаты, выданные юридическим лицам" содержит следующие сведения:

1) уникальный номер квалифицированного сертификата;

2) даты начала и окончания его действия;

3) наименование (фирменное наименование), регистрационный номер и место регистрации и/или фактического нахождения исполнительного органа юридического лица - владельца квалифицированного сертификата;

4) ключ проверки подписи;

5) наименование средств электронной подписи и средств удостоверяющего центра, которые использованы для создания ключа подписи, ключа проверки подписи и квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Законом Кыргызской Республики "Об электронной подписи";

6) наименование и местонахождение удостоверяющего центра, выдавшего квалифицированный сертификат, номер квалифицированного сертификата удостоверяющего центра и реквизиты свидетельства об аккредитации удостоверяющего центра;

7) ограничения использования квалифицированного сертификата (если ограничения устанавливаются);

8) иные сведения о владельце квалифицированного сертификата (по требованию заявителя);

9) основные реквизиты (наименование, номер и дата выдачи) доверенности или учредительного документа, подтверждающего право заявителя действовать от имени юридического лица.

12. Раздел "квалифицированные сертификаты, выданные физическим лицам, имеющие приостановление срока действия" содержит следующие сведения:

1) сведения, указанные в пункте 10 настоящего Порядка;

2) дата приостановления срока действия квалифицированного сертификата;

3) основание приостановления срока действия квалифицированного сертификата.

13. Раздел "квалифицированные сертификаты, выданные юридическим лицам, имеющие приостановление срока действия" содержит следующие сведения:

1) сведения, указанные в пункте 11 настоящего Порядка;

2) дата приостановления срока действия квалифицированного сертификата;

3) основание приостановления срока действия квалифицированного сертификата.

14. Раздел "аннулированные квалифицированные сертификаты, выданные физическим лицам" содержит следующие сведения:

1)сведения, указанные в пункте 10 настоящего Порядка;

2) дата аннулирования квалифицированного сертификата;

3) основание аннулирования квалифицированного сертификата.

15. Раздел "аннулированные квалифицированные сертификаты, выданные юридическим лицам" содержит следующие сведения:

1) сведения, указанные в пункте 11 настоящего Порядка;

2) дата аннулирования квалифицированного сертификата;

3) основание аннулирования квалифицированного сертификата.

16. Ведение реестра представляет собой актуализацию информации, в случаях изменения содержащихся в нем сведений, приостановления действия или аннулирования квалифицированных сертификатов.

17. Актуализация сведений, содержащихся в реестре, осуществляется аккредитованным удостоверяющим центром на основании:

1) письменного обращения физического лица – владельца квалифицированного сертификата;

2) письменного обращения юридического лица – владельца квалифицированного сертификата.

После актуализации сведений в реестре аккредитованный удостоверяющий центр в срок, не превышающий 5 дней со дня актуализации, в письменной форме уведомляет об этом владельца квалифицированного сертификата.

18. Сведения о приостановлении действия квалифицированного сертификата вносятся в реестр аккредитованным удостоверяющим центром в срок, не превышающий 1рабочий день, в случаях:

1) письменного обращения владельца квалифицированного сертификата;

2) наличия фактов компрометации ключа электронной подписи.

Срок действия квалифицированного сертификата признается приостановленным со дня внесения сведений об этом в реестр.

При приостановлении срока действия квалифицированного сертификата аккредитованный удостоверяющий центр в письменной форме уведомляет об этом владельца квалифицированного сертификата, а также сообщает о сроках устранения обстоятельств, ставших причиной для приостановления срока действия квалифицированного сертификата.

19. Сведения об аннулировании квалифицированного сертификата вносятся в реестр аккредитованным удостоверяющим центром в срок, не превышающий 1 рабочий день, в случаях:

1) истечения срока действия, установленного в сертификате;

2) по заявлению владельца сертификата ключа проверки подписи, подаваемому на бумажном носителе либо в электронной форме;

3) прекращения деятельности аккредитованного удостоверяющего центра без перехода его функций другим лицам;

4) вынесения решения суда, вступившего в законную силу;

5) в иных случаях, установленных законом или соглашением между аккредитованным удостоверяющим центром и владельцем квалифицированного сертификата.

Квалифицированный сертификат признается аннулированным со дня внесения сведений об этом в реестр.

При аннулировании квалифицированного сертификата аккредитованный удостоверяющий центр в письменной форме уведомляет об этом владельца квалифицированного сертификата.

20. В случае прекращения своей деятельности аккредитованный удостоверяющий центр:

1) не позднее, чем за 30 дней до даты прекращения деятельности в письменной форме уведомляет об этом уполномоченный государственный орган в сфере применения электронной подписи (далее – уполномоченный орган);

2) передает уполномоченному органу реестр;

3) передает на хранение уполномоченному органу информацию о владельцах квалифицированных сертификатов, подлежащую хранению в аккредитованном удостоверяющем центре.

21. Аккредитованный удостоверяющий центр обеспечивает владельцу квалифицированного сертификата доступ к информации в реестре, относящейся к владельцу квалифицированного сертификата и хранимой в аккредитованном удостоверяющем центре.

22. Реестр размещается на официальном сайте аккредитованного удостоверяющего центра в сети Интернет, и доступ к нему осуществляется владельцем квалифицированного сертификата посредством наличия соединения к сети Интернет.

1. Аккредитация удостоверяющих центров осуществляется государственным органом, реализующим государственную политику и осуществляющим межотраслевую координацию в области информатизации, электронного управления в сфере использования электронной подписи, электронного правительства, электронных услуг, электрической и почтовой связи (далее – уполномоченный орган).

2. Аккредитация удостоверяющих центров осуществляется в отношении удостоверяющих центров (далее – УЦ), являющихся юридическими лицами Кыргызской Республики.

3. Аккредитация удостоверяющего центра осуществляется на добровольной основе.

4. Аккредитация УЦ осуществляется при условии выполнения им следующих требований:

1) стоимость чистых активов УЦ составляет не менее чем один миллион сомов;

2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданной таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона сомов;

3) наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным государственным органом исполнительной власти в области обеспечения безопасности;

4) наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности, либо высшее или среднее профессиональное образование, прошедших переподготовку или повышение квалификации по вопросам использования электронной подписи;

5) аккредитация удостоверяющего центра проводится с целью оценки на соответствие настоящим Правилам юридического лица, подавшего в уполномоченный орган заявление (далее – заявитель), а также требованиям, установленным законодательством Кыргызской Республики, и стандартам Кыргызской Республики в области электронного управления и электронной подписи.

На государственные органы, органы местного самоуправления, государственные и муниципальные учреждения, осуществляющие функции УЦ, не распространяются требования, установленные подпунктами 1 и 2 настоящего пункта.

5. Аккредитация УЦ осуществляется на основании заявления уполномоченного лица УЦ, подаваемого в уполномоченный орган (утвержденная уполномоченным органом форма заявления размещается на официальном сайте уполномоченного органа в сети Интернет).

5.1 В заявлении указывается следующая информация:

- организационно-правовая форма и наименование УЦ (юридического лица);

- место нахождения и государственный регистрационный номер УЦ (юридического лица);

- идентификационный номер налогоплательщика УЦ (юридического лица).

6. К заявлению прилагаются следующие документы (в том числе необходимые для изготовления квалифицированного сертификата ключа проверки электронной подписи (далее – квалифицированный сертификат), созданного с использованием средств главного (корневого) удостоверяющего центра):

1) документ, подтверждающий наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона сомов. Таким документом может являться: банковская гарантия; договор поручительства.

В случае предоставления банковской гарантии в качестве документа, подтверждающего наличие финансового обеспечения ответственности, заявитель указывает номер лицензии на осуществление банковской деятельности кредитной организации, предоставившей банковскую гарантию;

2) актуальная выписка из бухгалтерского баланса, подтверждающая, что стоимость чистых активов УЦ составляет не менее чем один миллион сомов;

3) документы, выдаваемые государственным органом исполнительной власти в области обеспечения безопасности, подтверждающие соответствие используемых УЦ средств электронной подписи и средств УЦ, требованиям, установленным государственным органом исполнительной власти в области обеспечения безопасности;

4) документы, подтверждающие право собственности УЦ, либо иное законное основание использования им средств электронной подписи и средств УЦ, указанных в подпункте 3 настоящего пункта;

5) документы, подтверждающие наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности, либо высшее или среднее профессиональное образование, прошедших переподготовку или повышение квалификации по вопросам использования электронной подписи:

копии трудовых договоров (с приложением утвержденных должностных инструкций);

копии документов о высшем профессиональном образовании в области информационных технологий или информационной безопасности (диплом установленного государственного образца) или копии документов о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи (свидетельства установленного образца);

копии сертификатов администратора безопасности УЦ;

6) схема взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденными заявителем;

7) перечень нормативно-технических документов, утвержденных внутренним актом УЦ, регламентирующих:

- политику информационной безопасности удостоверяющего центра;

- регламент или правила деятельности удостоверяющего центра;

- политику применения регистрационных свидетельств;

- положение об удостоверяющем центре;

- инструкцию о действиях работников, осуществляющих работы от лица заявителя, непосредственно участвующих в работах по сопровождению, администрированию;

- выписку регистрационных свидетельств удостоверяющего центра (далее – ответственные лица) во внештатных, кризисных ситуациях;

- инструкцию о резервном копировании информационных ресурсов удостоверяющего центра;

- инструкцию по установке, настройке и использованию программного обеспечения или программно-аппаратного комплекса удостоверяющего центра;

- инструкцию по созданию, использованию, хранению, передаче и уничтожению ключевой документации;

8)учредительные документы УЦ, либо их надлежащим образом заверенные копии;

9)надлежащим образом заверенный перевод на государственный язык документов о государственной регистрации юридического лица в соответствии с законодательством иностранного государства (для иностранных юридических лиц);

10)доверенность или иной документ, подтверждающий право уполномоченного лица УЦ, направившего указанные документы, действовать от имени УЦ.

7. Заявление об аккредитации УЦ и прилагаемые к нему документы уполномоченное должностное лицо УЦ вправе направить в уполномоченный орган в форме электронного документа, подписанного электронной подписью.

Предоставление заявления и документов, указанных в настоящем пункте, в форме электронного документа осуществляется с использованием сети Интернет.

8. Уполномоченный орган принимает решение об аккредитации либо об отказе в аккредитации удостоверяющего центра в течение 30 календарных дней со дня приема заявления и приложенных документов. Рассмотрение заявления, а также полноты, целостности и содержания документов, представленных УЦ, осуществляется уполномоченным органом в течение 30 календарных дней со дня приема заявления.

9. Уполномоченный орган проверяет достоверность сведений, содержащихся в представленных УЦ документах, в том числе путем согласования с государственным органом в области обеспечения безопасности.

Уполномоченный орган также вправе направить запрос на получение документов, позволяющих проверить достоверность сведений, представленных УЦ, в иные государственные органы в соответствии с их компетенцией.

10. Уполномоченный орган проводит соответствующую проверку и аттестацию УЦ согласно требованиям, указанным в главе 9 в Требованиях к защите информации, содержащейся в базах данных государственных информационных систем, утвержденных Правительством Кыргызской Республики.

11. По итогам рассмотрения заявления и прилагаемых к нему документов, а также документов, полученных от иных государственных органов (при необходимости), уполномоченным органом в срок, не превышающий 5 дней с момента окончания рассмотрения заявления, осуществляется оформление заключения о возможности/невозможности предоставления УЦ аккредитации.

12. В течение 5 календарных дней с даты оформления заключения о возможности предоставления аккредитации уполномоченный орган принимает решение в форме приказа о предоставлении аккредитации и об изготовлении квалифицированного сертификата с использованием средств главного (корневого) удостоверяющего центра.

13. Уполномоченный орган в срок, не превышающий 10 календарных дней со дня принятия решения об аккредитации, уведомляет УЦ о принятом решении и выдает свидетельство об аккредитации с одновременной выдачей квалифицированного сертификата, созданного с использованием средств главного (корневого) удостоверяющего центра.

14. Срок действия свидетельства об аккредитации составляет 5 лет, если более короткий срок не был указан в заявлении УЦ.

15. В течение трех рабочих дней со дня вступления приказа об аккредитации уполномоченный орган размещает на своем официальном сайте в информационно­-телекоммуникационной сети Интернет следующую информацию:

наименование аккредитованного УЦ;

адрес местонахождения аккредитованного УЦ.

16. В течение трех рабочих дней со дня вступления в силу приказа о квалифицированном сертификате, созданного с использованием средств главного (корневого) удостоверяющего центра, уполномоченный орган вносит соответствующую информацию в Реестр выданных и аннулированных уполномоченным органом квалифицированных сертификатов.

17. В случае изменения наименования, места нахождения, состава руководящих органов, внесения изменений в учредительные документы аккредитованного УЦ, либо утраты свидетельства об аккредитации, аккредитованный УЦ обязан уведомить об этом уполномоченный орган и подать заявление о переоформлении свидетельства об аккредитации в течение 20 календарных дней.

18. Выдача нового свидетельства об аккредитации осуществляется в течение 5 календарных дней с даты предоставления в уполномоченный орган заявления о переоформлении свидетельства об аккредитации, с приложением документов, подтверждающих сведения об изменениях, указанных в пункте 17 настоящих Правил.

19. Основанием для отказа в предоставлении аккредитации является наличие в представленных УЦ документах недостоверной информации, а также несоответствие УЦ требованиям, установленным настоящими Правилами.

20. В случае принятия решения об отказе в аккредитации УЦ уполномоченный орган в срок, не превышающий 10 календарных дней со дня принятия решения об отказе в аккредитации, направляет или вручает УЦ уведомление о принятом решении, с указанием причин отказа, в форме документа на бумажном носителе.

21. УЦ может подать новое заявление на получение аккредитации после устранения причин, послуживших основанием для отказа в аккредитации.

22. В случае выявления несоблюдения аккредитованными УЦ требований, установленных законодательством Кыргызской Республики в сфере электронной подписи и настоящими Правилами, уполномоченный орган обязан приостановить действие аккредитации УЦ.

23. В случае обнаружения несоблюдения аккредитованным УЦ указанных требований, уполномоченный орган в установленный срок выдает УЦ предписание об устранении нарушений, с указанием срока, и приостанавливает действие аккредитации на данный срок.

Действие аккредитации УЦ может быть приостановлено на срок не более 45 дней.

24. В случае приостановления действия аккредитации УЦ уполномоченный орган вносит информацию об этом в Перечень аккредитованных УЦ, аккредитация которых приостановлена.

25. При устранении нарушений, послуживших основанием для приостановления действия аккредитации, УЦ обязан уведомить в письменной форме уполномоченный орган об устранении выявленных нарушений, после чего уполномоченный орган принимает решение о возобновлении аккредитации.

26. В случае, если нарушения УЦ не устранены в установленный в предписании срок, уполномоченный орган аннулирует аккредитацию УЦ и направляет уведомление об аннулировании аккредитации УЦ, с указанием причин.

27. При аннулировании аккредитации УЦ уполномоченный орган вносит запись в Перечень аккредитованных УЦ, аккредитация которых аннулирована.

28. Аккредитованный УЦ, в случае прекращения своей деятельности должен сообщить об этом в уполномоченный орган не позднее, чем за месяц до даты прекращения своей деятельности.

29. В случае получения такого заявления, оформленного в надлежащем порядке, уполномоченный орган в течение 5 календарных дней с даты получения сведений о прекращении деятельности УЦ вносит соответствующую запись в Перечень аккредитованных УЦ, деятельность которых прекращена.

30. В случае выявления несоблюдения аккредитованными УЦ требований, установленных законодательством Кыргызской Республики в сфере электронной подписи и настоящими Правилами, уполномоченный орган обязан приостановить действие аккредитации УЦ.

В случае обнаружения несоблюдения аккредитованным УЦ указанных требований, уполномоченный орган в установленный срок выдает УЦ предписание об устранении нарушений.

31. Плановые, внеплановые, контрольные проверки и перепроверки проводятся в соответствии с Законом Кыргызской Республики "О порядке проведения проверок субъектов предпринимательства".