Итак, скоро многие УЦ будут проходить процедуру аккредитации. УЦ, получившим аккредитацию, надо будет вести реестр квалифицированных сертификатов ключей проверки электронной подписи (СКП ЭП).
По приказу Минкомсвязи от 05.10.2011 N 250
Цитата:3. Формирование реестра квалифицированных сертификатов ключей проверки электронной подписи (далее - квалифицированный сертификат) включает в себя внесение сертификата ключа проверки электронной подписи в реестр квалифицированных сертификатов.
Реестр квалифицированных сертификатов должен состоять из 6 разделов, для большинства УЦ, вероятно более актуальны разделы по юр. лицам.
СКП ЭП
прекратившие свое действие и
аннулированные СКП ЭП, выданные юридическим лицам - разные разделы реестра.
Далее
Цитата:8. Раздел "квалифицированные сертификаты ключей проверки электронной подписи, выданные юридическим лицам" должен содержать следующие обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата;
4) идентификационный номер налогоплательщика владельца квалифицированного сертификата;
5) реквизиты свидетельства о государственной регистрации юридического лица (для юридических лиц, зарегистрированных на территории Российской Федерации);
6) реквизиты документов о государственной регистрации юридического лица в соответствии с законодательством иностранного государства (для иностранных юридических лиц);
7) основные реквизиты (наименование, номер и дата выдачи) документа, подтверждающего право лица, выступавшего от имени заявителя, обращаться за получением квалифицированного сертификата;
8) сведения о наименованиях, номерах и датах выдачи документов, подтверждающих полномочия владельца квалифицированного сертификата действовать по поручению третьих лиц, если информация о таких полномочиях владельца квалифицированного сертификата включена в квалифицированный сертификат;
9) ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
10) иная информация о владельце квалифицированного сертификата (по требованию заявителя).
Все данные, кроме данных из п.п. 5-8, Обычно заносятся в сертификат. Ясно, что реквизиты свидетельства о государственной регистрации и сам номер ОГРН не одно и то же. Реквизиты документа в сертификат обычно не заносятся, то же самое с другими документами (номера и даты писем, доверенностей, приказов и пр.)
Следовательно
реестр квалифицированных СКП ЭП по приказу это не совсем то, что реестр сертификатов КриптоПро УЦ (доступный например через АРМ Пользователя УЦ).
Смотрим дальше.
Цитата:14. Аккредитованный удостоверяющий центр обеспечивает защиту информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий в течение всего срока своей деятельности.
15. Хранение информации, содержащейся в Реестре, должно осуществляться в форме, позволяющей проверить ее целостность и достоверность.
Формирование и ведение единого реестра осуществляется в условиях, обеспечивающих предотвращение несанкционированного доступа к нему.
16. Для предотвращения утраты сведений о квалифицированных сертификатах, содержащихся в реестре, формируется его резервная копия.
т.е. для обеспечения целостности и достоверности Реестр, видимо, должен подписываться ЭП.
И самое интересное:
Цитата:19. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к реестру квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.
Непонятно как этот пункт согласовывается с п.14 (обеспечение защиты информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа)
Формат реестра квалифицированных сертификатов приказом не определен.
Господа, как собираемся выполнять требования приказа? Можно конечно вручную реестр заполнять и выкладывать каждый день на сайт УЦ например xls файл подписанный ЭП, но это как-то не очень функционально :)
Вопрос к представителям Крипто-Про - какой-нибудь доп. функционал будет разработан для УЦ?
Например, поиск сертификатов вывести на АРМ зарегистрированного пользователя в свободный доступ наверное не проблема, но как быть с остальными полями из реестра (п.п. 5-8), которые отсутствуют в самих сертификатах?,
В принципе, наработки уже у Крипто-Про есть - сервис представления расширенной информации о пользователе для Росреестра, но там доступ только для сотрудникам Росреестра, а здесь, как я понял, нужен всем.
Можно конечно ещё добавить поля в свойства самого пользователя, добавить возможность отображать или нет эти данные по результатам поиска, а также возможность экспорта данных в какой-нибудь файл и возможность запланировать эту задачу на ЦР.
Странно, что законодатель не обратил внимание - по реестру для физлиц придется и паспортные данные публиковать и ИНН и СНИЛС (перс. данные, а тут 152-ФЗ и остальные НПА).
Может я что-то неправильно понимаю и в целях защиты от неправомерного доступам нельзя публиковать в открытом доступе реестр?
