Согласно обоснованиям, Цифровой кодекс установил новые правила для доверенных цифровых услуг, регулирующих как квалифицированные, так и неквалифицированные цифровые подписи, а также взаимодействие государственных органов и удостоверяющих центров в сфере обмена цифровыми документами.
Проект постановления создаст унифицированную систему регулирования, которая обеспечит безопасность и технологическую совместимость цифровых документов. Также он направлен на повышение юридической надежности таких документов и снижение рисков некорректного их использования.
Принятие нового постановления позволит установить обязательные и унифицированные процедуры для органов государственной власти, местных администраций и других участников цифрового взаимодействия. Документ будет соответствовать принципам технологической нейтральности, как это предусмотрено Цифровым кодексом, что позволит избежать искусственных ограничений на использование альтернативных технологий цифровой подписи при соблюдении требований безопасности.
Кроме того, проект учитывает переход к архитектуре доверенных услуг, в рамках которой будут взаимодействовать удостоверяющие центры, операторы доверенных сервисов, правительственные учреждения и частные организации. Для обеспечения эффективного взаимодействия необходимы единые регуляторные акты, которые определят требования к цифровым подписям и порядок обмена данными.
Также планируется создать условия для трансграничного признания цифровых подписей, что соответствует международным обязательствам Кыргызстана и положениям Цифрового кодекса.
Проект
Проект
Правила использования цифровых подписей органами исполнительной власти и местного самоуправления
Общие положения
Настоящие Правила определяют порядок использования цифровых подписей органами исполнительной власти и местного самоуправления, а также требования по обеспечению совместимости таких подписей при цифровом взаимодействии или предоставлении государственных цифровых сервисов.
Межведомственное цифровое взаимодействие осуществляется участниками взаимодействия с использованием квалифицированных цифровых подписей, выданных аккредитованными удостоверяющими центрами в соответствии с установленными нормами.
Цифровой документ, подписанный квалифицированной цифровой подписью, имеет юридическую силу в суде и государственных органах.
Порядок использования цифровых подписей органами власти
Выдача квалифицированного сертификата ключа проверки подписи участникам цифрового взаимодействия осуществляется аккредитованными удостоверяющими центрами.
Для получения квалифицированной цифровой подписи заявитель должен быть зарегистрирован в единой системе идентификации или в корпоративной информационной системе.
Подписанный цифровой документ должен содержать метку времени о моменте его подписания.
Проверка целостности цифровых документов осуществляется с помощью сервисов проверки цифровой подписи.
Проверка подписи может производиться с использованием средств аккредитованного удостоверяющего центра.
В цифровых сервисах обрабатываются документы, подписанные действительной цифровой подписью.
Цифровая подпись считается действительной при соблюдении условий, предусмотренных законодательством.
Участнику, направившему документ с недействительной подписью, отправляется уведомление об отказе в его обработке, подписанное цифровой подписью.
Сертификат ключа проверки цифровой подписи действует с момента выдачи, если не указана иная дата начала его действия.
Сертификаты создаются с учетом сроков действия ключей, установленных эксплуатационной документацией.
Прекращение действия сертификата ключа проверки цифровой подписи обязательно при смене уполномоченного лица или нарушении конфиденциальности ключа.
Участник цифрового взаимодействия должен незамедлительно уведомить удостоверяющий центр о нарушении конфиденциальности ключа.
В случае прекращения полномочий уполномоченного лица также необходимо уведомить удостоверяющий центр для прекращения действия сертификата.
При возникновении обстоятельств, мешающих правомерному использованию цифровой подписи, участник должен уведомить удостоверяющий центр.
Удостоверяющий центр вносит информацию о прекращении действия сертификата в реестр в установленные сроки.
Требования по обеспечению совместимости цифровых подписей
Средства цифровой подписи считаются совместимыми, если они обеспечивают одинаковый результат при проверке условий действительности квалифицированной цифровой подписи.
Ключи цифровой подписи должны создаваться и проверяться в соответствии с требованиями законодательства.
Квалифицированные сертификаты должны соответствовать установленным требованиям к форме.
Средства цифровой подписи должны иметь сертификаты соответствия от уполномоченных органов.
Проект
Правила аккредитации удостоверяющих центров
Общие положения
Настоящие Правила определяют порядок аккредитации удостоверяющих центров и требования к их деятельности.
Аккредитация УЦ осуществляется отраслевым регулятором нацэкосистемы.
Аккредитация УЦ осуществляется на добровольной основе.
Аккредитация УЦ осуществляется на 5 лет, если меньший срок не указан в заявлении УЦ.
Корневой удостоверяющий центр не подлежит аккредитации.
Аккредитованные удостоверяющие центры обязаны ежегодно вносить плату за аккредитацию.
Аккредитованный удостоверяющий центр обязан соблюдать требования законодательства.
Требования к удостоверяющим центрам
Аккредитация УЦ осуществляется при условии выполнения следующих требований:
стоимость чистых активов УЦ составляет не менее одного миллиона сомов;
наличие финансового обеспечения ответственности за убытки, причиненные другим лицам в размере не менее полутора миллионов сомов;
наличие средств цифровой подписи, соответствующих требованиям;
наличие в штате УЦ не менее 2 сотрудников с высшим образованием в сфере ИТ или кибербезопасности;
На госорганы, местные власти и учреждения, выполняющие функции УЦ, не распространяются требования, установленные для частных УЦ.
Требования к комплектности документов для аккредитации
Аккредитация УЦ осуществляется на основании заявления, поданного в регулятор нацэкосистемы.
В заявлении указывается следующая информация:
- организационно-правовая форма и наименование УЦ;
- место нахождения и регистрационный номер УЦ;
- идентификационный номер налогоплательщика УЦ.
К заявлению прилагаются следующие документы:
1) учредительные документы УЦ;
2) доверенность или иной документ, подтверждающий полномочия уполномоченного лица;
3) выписка из бухгалтерского баланса, подтверждающая стоимость чистых активов;
4) документ о наличии финансового обеспечения ответственности;
5) документы, подтверждающие право собственности УЦ на средства цифровой подписи;
6) документы, подтверждающие наличие в штате УЦ необходимых сотрудников;
7) сертификат соответствия на средства цифровой подписи;
8) инструкции по эксплуатации средств цифровой подписи;
9) перечень нормативно-технических документов, регламентирующих деятельность УЦ.
Административные процедуры аккредитации
Регулятор нацэкосистемы в течение 45 дней принимает решение об аккредитации УЦ или об отказе.
Регулятор проверяет достоверность сведений из документов УЦ.
Регулятор вправе запросить дополнительные документы для проверки.
Регулятор проводит проверку и аттестацию УЦ в соответствии с действующими правилами.
В случае аккредитации регулятор уведомляет УЦ и выдает свидетельство.
В случае отказа в аккредитации регулятор уведомляет УЦ о причинах отказа.
Аккредитованный УЦ должен соблюдать требования в течение срока аккредитации.
Основания для приостановления и аннулирования аккредитации
Основанием для отказа в аккредитации является несоответствие требованиям или наличие недостоверной информации.
Регулятор обязан выдать предписание об устранении нарушений и приостановить действие аккредитации.
Аккредитация может быть приостановлена на срок не более 45 дней.
Регулятор вносит информацию о приостановлении аккредитации в реестр.
УЦ уведомляет регулятор о устранении нарушений.
Регулятор проверяет устранение нарушений и принимает решение о возобновлении аккредитации.
При аннулировании аккредитации регулятор вносит запись в реестр.
При прекращении деятельности УЦ следует уведомить регулятор за месяц до закрытия.
Регулятор в течение 5 дней вносит соответствующую запись в реестр.
Порядок проведения проверок аккредитованных УЦ
Регулятор вправе проводить плановые и внеплановые проверки аккредитованных УЦ.
Плановые проверки проводятся на основании ежегодного плана проверок.
В плане указываются сведения о юридических лицах, цели, даты и сроки проверок.
Утвержденный план публикуется на сайте регулятора.
Основанием для внеплановой проверки являются истечение срока предписания или обращения граждан.
Проверки проводятся в выездной форме, срок не превышает двадцати рабочих дней.
Проверка начинается с предъявления удостоверения и ознакомления с приказом о проверке.
УЦ обязан предоставить доступ к необходимым документам.
Регулятор вправе привлекать экспертов для проведения проверок.
По результатам проверки составляется акт, который подписывается проверяющими.
В акте указываются результаты проверки и выявленные нарушения.
Акт выдается УЦ для ознакомления или отправляется почтой.
В случае нарушений выдается предписание с указанием сроков устранения.
Если нарушения не устранены, регулятор аннулирует аккредитацию.
7. Порядок предоставления отчетности УЦ.
Удостоверяющие центры должны предоставлять статистические отчеты на ежеквартальной основе.
Проект
Порядок формирования реестров квалифицированных сертификатов
Общие положения
1. Настоящий Порядок устанавливает процедуры формирования реестров квалифицированных сертификатов, выданных аккредитованными УЦ.
2. Удостоверяющие центры признаются аккредитованными после прохождения аккредитации.
3. Аккредитованный УЦ обеспечивает актуальность информации в реестре.
4. Для предотвращения потери данных о сертификатах УЦ формирует резервную копию.
5. Информация в реестре хранится в течение всего срока деятельности УЦ.
6. УЦ обеспечивает защиту информации от неправомерного доступа.
Формирование реестра квалифицированных сертификатов
7. Формирование реестра включает внесение данных о выданных сертификатах.
8. Ведение реестра обеспечивается средствами цифровой аутентификации.
9. Реестр состоит из разделов: сертификаты, выданные физическим и юридическим лицам, приостановленные и аннулированные сертификаты.
10. Разделы содержат уникальные номера сертификатов, даты их действия и информацию о владельцах.
11. Разделы содержат сведения о приостановлении и аннулировании сертификатов.
12. При внесении изменений в реестр УЦ уведомляет владельца сертификата.
13. Сведения о приостановлении сертификата вносятся в реестр в течение 1 рабочего дня.
14. Сведения об аннулировании сертификата вносятся в реестр также в течение 1 рабочего дня.
15. Удостоверяющий центр уведомляет владельца о всех изменениях в реестре.
16. Передача реестра осуществляется в случае прекращения деятельности УЦ.
17. УЦ передает реестр и цифровые записи в установленном порядке.
18. УЦ обеспечивает доступ владельцам сертификатов к информации в реестре.
19. Реестр размещается на сайте УЦ для доступа владельцев.
20. Владельцы сертификатов могут требовать исправления недостоверных сведений в реестре.
Проект
Порядок осуществления функций доверенной третьей стороны Кыргызской Республики
1. Общие положения
Настоящий порядок определяет цели, задачи и функции доверенной третьей стороны при обмене цифровыми документами.
Признание подлинности подписей, основанных на сертификатах, выданных иностранным удостоверяющим центром, осуществляется доверенной третьей стороной.
Порядок взаимодействия с доверенными сторонами других государств определяется международными договорами.
2. Цели и функции доверенной третьей стороны
Доверенная третья сторона обеспечивает совместное признание подлинности цифровых подписей.
Основные задачи включают проверку цифровой подписи, обеспечение гарантии доверия и правомерности применения цифровых подписей.
Доверенная третья сторона должна выполнять функции, установленные международными договорами.
Признание действительности цифровой подписи осуществляется с использованием средств корневого удостоверяющего центра.
Функции реализуются с использованием государственных цифровых сервисов.
3. Права и обязанности доверенной третьей стороны
Доверенная третья сторона имеет право приостанавливать или отказывать в трансграничном обмене документами при признании подписи недействительной.
Доверенная третья сторона обязана обеспечивать уровень защищенности данных и хранить записи о выполненных операциях.
Также она должна информировать участников о случаях признания подписей недействительными.
Доверенная третья сторона отвечает за ненадлежащее исполнение своих обязательств.
