ToT /

ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной цифровой подписи

љ

Глава I. Общие положения

Статья 1. Цели и сфера применения настоящего Закона

Сферой действия настоящего Закона являются правоотношения, возникшие междуорганами государственной власти, органами местного самоуправления,физическими и (или) юридическими лицами, находящимися в юрисдикции РФ, впроцессе использования электронной цифровой подписи.

Настоящим Законом устанавливается, что средства выработки электроннойцифровой подписи не являются средствами шифрования.

Использование электронной цифровой подписи регулируется настоящим Законом,иными законодательными и нормативно-правовыми актами РФ и соглашениемсторон.

Ограничения на использование электронной цифровой подписи устанавливаются взаконах РФ.

Статья 2. Понятия, используемые в настоящем Законе

Для целей настоящего Закона используются следующие понятия:

файл - информация, представленная в виде последовательности двоичныхсимволов;

формат файла -правила преобразования исходной информации в файл и обратно;

исходный файл - файл, являющийся обЪектом выработки электронной цифровойподписи;

электронная цифровая подпись (ЭЦП) - файл, формируемый из исходного файлапри помощи алгоритма ЭЦП и содержащий информацию, используемую при проверкеЭЦП;

подписанный файл - совокупность исходного файла и электронной цифровойподписи;

выработка ЭЦП - последовательность действий, в результате которых создаетсяЭЦП в виде отдельного файла или создается новый файл, содержащий исходныйфайл и ЭЦП;

алгоритм ЭЦП - правила производимого с использованием закрытого ключапреобразования исходного файла, применяемые в процессе выработки ЭЦП иправила проверки ЭЦП, производимой с использованием открытого ключа ЭЦП;

проверка ЭЦП - последовательность действий, в результате которой лицо,имеющее подписанный файл, открытый ключ ЭЦП и знающее алгоритм ЭЦП, можетустановить:

был ли исходный файл изменен после выработки ЭЦП;
была ли ЭЦП выработана с применением закрытого ключа ЭЦП, соответствующегоиспользованному при проверке открытому ключу ЭЦП;
установить владельца сертификата открытого ключа ЭЦП, при наличии такогосертификата;
ключ ЭЦП - конкретное состояние параметров алгоритма ЭЦП, обеспечивающеевыбор одного преобразования из совокупности возможных для данного алгоритмаЭЦП;

открытый ключ ЭЦП - общедоступная часть ключа ЭЦП, предназначенная дляпроверки ЭЦП;

закрытый ключ ЭЦП - часть ключа ЭЦП, используемая для выработки ЭЦП;

средство выработки ЭЦП (средство ЭЦП) - совокупность программных и/илитехнических средств, реализующих алгоритм ЭЦП. Средства генерации ключей ЭЦПтакже относятся к средствам выработки ЭЦП;

сертифицированное средство выработки ЭЦП - средство выработки ЭЦП, прошедшеепроцедуру сертификации в соответствии с законодательством РФ;

владелец закрытого ключа ЭЦП - любой орган государственной власти и местногосамоуправления, а также любое физическое или юридическое лицо,осуществляющее права владения, пользования и распоряжения закрытым ключомЭЦП;

сертификат открытого ключа ЭЦП - выданный Центром сертификации открытыхключей ЭЦП документ, удостоверяющий соответствие открытого ключа ЭЦПвладельцу закрытого ключа ЭЦП;

Центр сертификации открытых ключей (Центр сертификации) - юридическое лицо,осуществляющее деятельность по удостоверению соответствия открытого ключаЭЦП владельцу закрытого ключа ЭЦП;

владелец сертификата открытого ключа ЭЦП (владелец сертификата) - владелецзакрытого ключа ЭЦП, на имя которого выдан сертификат соответствующегооткрытого ключа ЭЦП;

пользователь открытого ключа ЭЦП - любой орган государственной власти иместного самоуправления, а также любое физическое или юридическое лицо,использующее открытый ключ ЭЦП;

общедоступные (открытые) информационные системы - информационные системы, неимеющие привилегий для доступа;

компрометация закрытого ключа ЭЦП - утрата владельцем закрытого ключадоверия к нему.

Статья 3. Правовой режим электронной цифровой подписи: общие положения

1. Владелец закрытого ключа вправе владеть, пользоваться и распоряжатьсянеограниченным количеством закрытых ключей.

2. Любое физическое и юридическое лицо, а также любой орган государственнойвласти и местного самоуправления, вправе самостоятельно осуществлятьгенерацию ключей ЭЦП.

3. Исходный файл признается подписанным владельцем в том случае, еслипроверка ЭЦП установила, что:

исходный файл не был изменен после выработки ЭЦП;
выработка ЭЦП была осуществлена с применением закрытого ключа ЭЦП,соответствующего использованному при проверке открытому ключу ЭЦП;
на момент выработки ЭЦП сертификат открытого ключа ЭЦП, использованного припроверке ЭЦП, являлся действующим;

4. Если информация, полученная из исходного файла с применениемиспользованного при его создании формата, сводится к тексту или графическомуизображению, воспроизводимому полностью на бумажном носителе, то присоблюдении требований настоящего Закона, действующего законодательства и(или) в порядке, установленном соглашением сторон, выработка ЭЦП исходногофайла влечет правовые последствия, равнозначные:

скреплению собственноручной подписью физического лица документа, содержащеготекст или графическое изображение, которые были преобразованы в исходныйфайл;
проставлению печати юридического лица в совокупности с собственноручнойподписью его полномочного представителя под документом, содержащиминформацию, которая была преобразована в исходный файл.

5. Владелец сертификата открытого ключа ЭЦП вправе накладывать ограниченияна область применения соответствующего закрытого ключа ЭЦП;

6. Упомянутая в п.4 информация, полученная из исходного файла с применениемиспользованного при его создании формата, считается заверенной нотариусом,если

а) исходный файл заверен ЭЦП сторон(ы)

б) подписанный файл заверен ЭЦП нотариуса.

в) на момент совершения формирования подписей сертификаты открытого ключаЭЦП сторон(ы) и нотариуса были действующими. Нотариус обязан хранитьбумажные копии всех заверенных его ЭЦП документов в установленном порядке.

7. Правовые последствия выработки ЭЦП файла, содержащего информацию, ккоторой не может быть применен п.4 настоящей статьи, устанавливаютсязаконодательством РФ или договором сторон, заключенным в письменной форме доформирования ЭЦП.

8. Все экземпляры подписанного файла имеют силу оригинала.

9. Информация не может быть лишена юридической силы или действительностилишь на том основании, что она представлена в виде файла.

Статья 4. Использование электронной цифровой подписи

1. Пользователи открытых ключа ЭЦП, а также владельцы закрытых ключей ЭЦПи/или средств выработки ЭЦП, осуществляют свои права без лицензии.

2. Сертификация средств ЭЦП осуществляется в соответствии сзаконодательством РФ о сертификации товаров и услуг.

Файлы, подписанные ЭЦП, имеют доказательную силу в суде наравне сдокументами на бумажных носителях.

3. Допускается использование не сертифицированных средств выработки ЭЦП.

4. Владелец закрытого ключа ЭЦП, использующий не сертифицированное средствоЭЦП, обязан обеспечить уведомление пользователей соответствующих открытыхключей о факте отсутствия сертификата на средство ЭЦП, одновременно сполучением ими открытого ключа ЭЦП.

В противном случае владелец закрытого ключа ЭЦП, использующий несертифицированное средство ЭЦП, несет ответственность за убытки, понесенныепользователями соответствующего открытого ключа вследствие использования несертифицированного средства ЭЦП.

5. Несовершеннолетние граждане имеют право на приобретение средств ЭЦП,получение сертификата открытого ключа ЭЦП и использование закрытого ключаЭЦП во всех случаях, за исключением предусмотренных действующимзаконодательством.

6. Действие сертификата открытого ключа ЭЦП начинается с момента его выдачиЦентром сертификации открытых ключей ЭЦП.

Сертификат открытого ключа ЭЦП может содержать ограничения на срок егодействия.

7. Владелец сертификата открытого ключа ЭЦП вправе в любой момент прекратитьдействие принадлежащего ему сертификата. В этом случае действие сертификатапрекращается с момента получения Центром сертификации открытых ключей ЭЦПсоответствующего волеизЪявления владельца сертификата.

8. Центр сертификации открытых ключей ЭЦП обязан прекратить действиевыданных им сертификатов открытых ключей ЭЦП в случае компрометациизакрытого ключа ЭЦП самого Центра сертификации.

9. Срок хранения сертификатов открытых ключей ЭЦП не может быть менее срокаисковой давности, отсчитываемого от момента прекращения действия сертификатаоткрытого ключа ЭЦП.

После прекращения действия сертификата открытого ключа ЭЦП, он поступает наархивное хранение. Срок хранения устанавливается в соответствии с архивнымзаконодательством РФ.

10. По прекращении действия сертификата открытого ключа ЭЦП взаимные права иобязанности владельца сертификата открытого ключа ЭЦП и Центра сертификацииоткрытых ключей ЭЦП в отношении данного сертификата прекращаются.

Статья 5. Права и обязанности владельца закрытого ключа ЭЦП и пользователяоткрытого ключа ЭЦП

1. Владелец закрытого ключа ЭЦП несет ответственность перед пользователемсоответствующего открытого ключа ЭЦП за убытки, причиненныенесанкционированным использованием закрытого ключа ЭЦП вследствие егоненадлежащего хранения.

2. Владелец закрытого ключа ЭЦП обязан потребовать от Центра сертификацииприостановить или прекратить действие выданного ему сертификата открытогоключа ЭЦП, если он узнал о компрометации закрытого ключа ЭЦП,соответствующего открытому ключу ЭЦП, указанному в сертификате.

3. Центр сертификации обязан по требованию пользователя открытого ключа ЭЦПобеспечить предоставление информации о выданных Центром сертификатах, атакже о сертификатах, действие которых было приостановлено или прекращеноЦентром;

4. Пользователь открытого ключа ЭЦП обязан в соответствии сзаконодательством РФ и международными соглашениями обеспечить защитуперсональных данных, содержащихся в подписанном файле.

Статья 6. Содержание сертификата открытого ключа ЭЦП

1. Сертификат открытого ключа ЭЦП должен содержать следующие обязательныесведения:

данные о владельце закрытого ключа ЭЦП:
фамилия, имя и отчество для физического лица (по желанию этого лица -псевдоним);
наименование, а также фамилия, имя, отчество его уполномоченногопредставителя для юридического лица,открытый ключ ЭЦП;
наименование средств ЭЦП, с которыми можно использовать данный открытый ключЭЦП, номер сертификата средств ЭЦП (при его наличии) и срок его действия;
наименование и юридический адрес Центра сертификации открытых ключей ЭЦП,выдавшего сертификат;
номер сертификата открытого ключа ЭЦП и дата его выдачи;
дату начала и дату прекращения действия сертификата;
данные об ограничениях, наложенных владельцем данного сертификата открытогоключа ЭЦП на область применения соответствующего ему закрытого ключа ЭЦП;
подпись Центра сертификации открытых ключей ЭЦП.

2. Иные данные о владельце сертификата открытого ключа ЭЦП (в том числе,паспортные данные либо иные сведения, позволяющие однозначноидентифицировать физическое лицо) могут включаться в сертификат открытогоключа ЭЦП только с его согласия, выраженного в письменной форме.

Глава II. Центры сертификации открытых ключей ЭЦП

Статья 8. Правовой статус Центров сертификации открытых ключей ЭЦП

1. Деятельность по удостоверению соответствия открытого ключа ЭЦП владельцузакрытого ключа ЭЦП осуществляется юридическими лицами на основаниилицензии, выдаваемой уполномоченным государственным органом в заявительномпорядке в соответствии с законодательством РФ.

По смыслу настоящего Закона под заявительным порядком понимается отсутствиеоснований для отказа в выдаче лицензий.

Деятельность по удостоверению соответствия открытого ключа ЭЦП владельцузакрытого ключа ЭЦП не является исключительной и осуществляется наряду сиными видами деятельности юридического лица.

2. Центр сертификации должен располагать финансовыми ресурсами (в том числе,собственным капиталом, заемными средствами и др.), достаточными для несенияимущественной ответственности перед владельцами сертификатов открытых ключейв случае ненадлежащего исполнения Центром своих обязанностей.

Минимальный размер указанных финансовых ресурсов, определяетсясоответствующими законодательными и/или нормативными актами.

3. Центр сертификации обязан иметь сертификат принадлежащего ему открытогоключа ЭЦП, выдаваемый лицензирующим и/или уполномоченным органом. При этомлицензирующий и/или уполномоченный орган обязан обеспечить раскрытиеинформации о выданных им Центрам сертификации сертификатах открытых ключей.

4. Лицензирующий и/или уполномоченный орган обязан вести единый Реестрсертификатов открытых ключей Центров сертификации и обеспечитьнеограниченный доступ к этому Реестру.

В Реестр сертификатов должны быть внесены следующие сведения:

Номер, дата выдачи и срок действия лицензии Центра сертификации,наименование и юридический адрес лицензирующего и/или уполномоченногооргана, выдавшего сертификат Центра сертификации, выдавшего сертификат;
адрес Центра сертификации,данные о выданных Центрам сертификации сертификатах, действие которыхприостановлено или прекращено;
данные о прекращении деятельности Центров сертификации, а также данные оприостановке или отзыве лицензий.

Статья 9. Деятельность Центров сертификации

1. Выдача сертификата открытого ключа ЭЦП производится Центром сертификациина основании заявки, составленной в письменной форме.

2. Выдача сертификата открытого ключа ЭЦП Центром сертификации гарантирует:

соответствие сертификата открытого ключа ЭЦП требованиям настоящего Закона ииных законодательных актов РФ, в том числе наличие в сертификатеобязательных сведений в соответствии со ст.6 настоящего Закона;
тождественность сведений, содержащихся в сертификате открытого ключа ЭЦП,выданном Центром сертификации, сведениям, предоставленным заявителем;
подтверждение владельцем закрытого ключа факта соответствия закрытого ключаЭЦП и открытого ключа ЭЦП, сертификат которого был выдан Центромсертификации.

4. Центр сертификации открытых ключей ЭЦП по требованию владельца закрытогоключа либо пользователя открытого ключа может удостоверять целостностьполученного файла в момент его поступления в Центр сертификации .

5. Центр сертификации открытых ключей ЭЦП обязан предоставить любому лицу:

возможность удостоверить соответствие открытого ключа ЭЦП владельцусертификата соответствующего открытого ключа ЭЦП;
информацию о сертификатах, выданных Центром сертификации, в том числе осертификатах, действие которых было приостановлено или прекращено.

Статья 10. Обязательства владельца сертификата открытого ключа ЭЦП

Владелец сертификата открытого ключа ЭЦП обязан:

предоставлять Центру сертификации достоверную информацию;
незамедлительно предоставлять Центру сертификации информацию об измененииобязательных сведений, предоставленных им Центру сертификации;
обеспечивать контроль использования закрытого ключа ЭЦП и предотвращение егораскрытия третьим лицам.

Статья 11. Реорганизация, ликвидация, прекращение выполнения функций Центровсертификации открытых ключей ЭЦП

1. При принятии Центром сертификации открытых ключей ЭЦП решения ореорганизации или ликвидации, а также решения о прекращении выполнения имсвоих функций, Центр сертификации обязан в установленном порядке уведомитьоб этом лицензирующий орган, а также проинформировать всех владельцевсертификатов, выданных Центром.

При получении лицензирующим органом уведомления о реорганизации, ликвидации,прекращении деятельности Центра сертификации открытых ключей ЭЦП,лицензирующий орган обязан немедленно внести соответствующие изменения вединый Реестр сертификатов открытых ключей Центров сертификации.

2. При реорганизации, ликвидации Центра сертификации или прекращениивыполнения Центром сертификации открытых ключей ЭЦП своих функцийпрекращается действие всех сертификатов открытых ключей ЭЦП выданных Центромсертификации.

3. При реорганизации или прекращении выполнения Центром сертификацииоткрытых ключей ЭЦП своих функций сведения о владельцах и иная документацияЦентра передаются другому Центру сертификации либо на хранение вгосударственный архив, о чем делается публичное уведомление пользователейоткрытых ключей.

4. При ликвидации Центра сертификации открытые ключи ЭЦП, сведения овладельцах и иная документация Центра передаются на хранение вгосударственный архив, о чем делается публичное уведомление пользователейоткрытых ключей.

Статья 15. Защита персональных данных

1. В соответствии с законодательством РФ и международными соглашениями позащите персональных данных Центр сертификации обязан обеспечить защиту инераспространение персональных данных владельца сертификата открытого ключа.

2. Центр сертификации не вправе запрашивать персональные данные, несоответствующие цели выдачи сертификата.

3. Раскрытие персональных данных владельцев сертификата Центром сертификацииданных допускается только с их письменного согласия, либо при наличиисудебного решения.

4. В случае наличия в сертификате открытого ключа ЭЦП псевдонима владельцасертификата открытого ключа ЭЦП Центр сертификации обязан сообщитьперсональные данные владельца сертификата открытого ключа, соответствующиеданному псевдониму, исключительно при наличии судебного решения.

Статья 16. Ответственность Центров сертификации

Центр несет ответственность за убытки, возникшие в результате ненадлежащегоисполнения Центром своих обязанностей.

Глава III. Использование ЭЦП

Статья 17. Использование ЭЦП в сфере государственного управления

1. ЭЦП может применяться органами государственной власти и органами местногосамоуправления при передаче по информационным системам и при хранении вэлектронных базах данных любых документов, издаваемых и получаемых данныморганом в соответствии с его компетенцией.

2. Органы государственной власти и органы местного самоуправления,направляющие подписанные ими файлы, обязаны:

использовать для выработки ЭЦП сертифицированные средства выработки ЭЦП;
иметь сертификат открытого ключа ЭЦП, выданный в установленном порядкеЦентром сертификации.

Органы государственной власти и органы местного самоуправления принимаютподписанные файлы, направленные в эти органы физическими и юридическимилицами, только при выполнении следующих условий:

использованный при подписании открытый ключ был сертифицирован всоответствии с настоящим Законом;
на момент выработки ЭЦП указанный сертификат был действующим.

Статья 18. Использование электронной цифровой подписи в открытыхинформационных системах

При официальном предоставлении информации из общедоступных информационныхсистем (баз данных) владелец такой системы (базы данных) обязан подписатьпредоставляемую информацию ЭЦП, открытый ключ которой имеет сертификат.

СубЪект, получающий информацию из общедоступных информационных систем (базданных) не обязан проверять ее с помощью открытого ключа владельца системы.

Статья 19. Использование электронной цифровой подписи в корпоративныхинформационных системах

Использование электронной цифровой подписи в корпоративных информационныхсистемах регламентируется внутренними нормативными документами системы,соглашением между участников системы или между владельцем системы ипользователями (клиентами).

Указанные нормативные документы или соглашения должны содержать положения оправах, обязанностях и ответственности лиц, использующих электроннуюцифровую подпись, владельца корпоративной системы, а также о распределениирисков убытков при использовании недостоверной электронной цифровой подписимежду участниками корпоративной системы (включая владельца системы).

Глава IV. Заключительные положения

Статья 20. Признание иностранных сертификатов открытого ключа ЭЦП

1. Иностранный сертификат открытого ключа ЭЦП, выданный в соответствии сзаконодательством одной из стран Содружества Независимых Государств илигосударства, с которым есть международный договор о признании такихсертификатов или иной договор, обеспечивающий равноценную безопасностьэлектронных сообщений, признается наравне с сертификатом, выданным всоответствии с настоящим Законом.

2. К правоотношениям, возникающим между Центром сертификации и владельцемсертификата открытого ключа, применяется право страны, в которой был выдансертификат.

Статья 21. Ответственность за нарушение законодательства при использованииэлектронной цифровой подписи

1. Лица, неправомерно использующие электронную цифровую подпись другоголица, включая неправомерное получение закрытого ключа и (или) проставлениеэлектронной цифровой подписи другого лица без должных полномочий, несутуголовную, гражданско-правовую и административную ответственность всоответствии с законодательством РФ.

2. В случае причинения убытков в результате несоответствия средств выработкиэлектронной цифровой подписи заявленным изготовителем свойствам илинарушения установленной процедуры сертификации средств электронной цифровойподписи, сертифицирующий орган несет гражданско-правовую ответственность.

3. В случае причинения убытков пользователю открытого ключа электроннойцифровой подписи вследствие несанкционированного доступа к закрытому ключуэлектронной цифровой подписи владелец закрытого ключа обязан возместитьубытки.

4. Если владелец закрытого ключа электронной цифровой подписи передаетоткрытый ключ электронной цифровой подписи по договору об использованииэлектронной цифровой подписи, получатель открытого ключа электроннойцифровой подписи несет ответственность за выполнение условий хранения ииспользования открытого ключа, установленных договором.

Статья 23. Разрешение споров

Споры, вытекающие из правоотношений, связанных с использованием электроннойцифровой подписи, а также признанием ее действительности подлежат разрешениюв судебном порядке в соответствии с правилами подведомственности иподсудности, установленными законодательством РФ.

Статья 24. Порядок вступления настоящего Закона в действие

Статья 8 вступает в действие спустя 6 месяцев после создания уполномоченногогосударственного органа.

Статья 17 вступает в действие спустя один год после создания уполномоченногогосударственного органа.

Президент
Российской Федерации

http://www.akdi.ru