4 июня, 2013

Особенности аккредитации удостоверяющего центра банка


Макоско Андрей

Начальник отдела Департамента безопасности и защиты информации (АКБ «Московский Индустриальный банк» (ОАО))

Перемышленников Николай

Заместитель начальника отдела Департамента безопасности и защиты информации (АКБ «Московский Индустриальный банк» (ОАО))

Об опыте подготовительной работы и прохождения процедуры аккредитации

ОАО «Московский Индустриальный банк» стал одной из первых российских кредитно-финансовых организаций, аккредитовавших в Минкомсвязи РФ свой удостоверяющий центр. Сотрудники банка считают своим долгом поделиться с коллегами опытом подготовительной работы и прохождения этой процедуры.

1 июля 2013 года – день, когда, в соответствии с п.2 ст.20 федерального закона ФЗ-63 от 06 апреля 2011 года «Об электронной подписи» (далее – 63-ФЗ) утрачивает силу федеральный закон ФЗ-1 от 10 января 2002 года «Об электронной цифровой подписи». Это означает «автоматический» переход на усиленную неквалифицированную электронную подпись для Удостоверяющих центров (далее – УЦ), не прошедших аккредитацию в уполномоченном федеральном органе исполнительной власти.

Как правило, в банках электронная подпись применяется в системах дистанционного банковского обслуживания, системах электронного документооборота, автоматизированных банковских системах.

Для банков использование квалифицированной электронной подписи предполагает ряд очевидных преимуществ на уровне федерального закона, в том числе при возможных спорных ситуациях, так как «Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе».

Применение квалифицированной подписи не требует определения порядка проверки электронной подписи, так как факт ее легитимности подтверждается сертификатом, выданным аккредитованным УЦ. Квалифицированная электронная подпись гарантирует целостность (неизменность) документа, уровень достоверности и безопасности при этом максимальный.

Клиенты и работники банка, получившие квалифицированную электронную подпись в соответствии с 63-ФЗ, при необходимости, могут использовать ее для удаленного получения различных государственных услуг (портал государственных услуг, система государственных закупок, ФНС России, ПФР и т.д.), а также использовать ее для подписи абсолютно любых других документов, не требующих составления и подписи в бумажном виде.

Аккредитация представляет собой официальное подтверждение соответствия установленным требованиям для осуществления деятельности в соответствующей сфере, т.е. фактически наличие аккредитации в Минкомсвязи России говорит о том, что такой УЦ соответствует требованиям, установленным Приказом Минкомсвязи России. Минкомсвязи России является федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи на основании Постановления Правительства РФ №976 от 28 ноября 2011 года «О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи».

Аккредитация УЦ осуществляется на добровольной основе и проводить ее банкам имеет смысл самостоятельно, так как сторонние организации, кроме консультационных услуг, ничем помочь не смогут.

Требования к удостоверяющим центрам, претендующим на получение статуса аккредитованного УЦ изложены в Приказе Минкомсвязи России  от 23.11.2011 г. №320 «Об аккредитации удостоверяющих центров» (далее − Приказ №320):

  • стоимость чистых активов УЦ составляет не менее чем один миллион рублей;
  • наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей – наиболее простым способом выполнения данного требования для банков является заключение договора страхования ответственности.
  • наличие средств электронной подписи и средств УЦ, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности и наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи.

Рассмотрим особенности выполнения требований к комплектности и содержанию документов, предоставляемых УЦ банка на получение государственной аккредитации.

В качестве документа, подтверждающего наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам необходим договор страхования ответственности. Важно, чтобы страховая компания, с которой заключается договор, не была аффилированной с банком. Форма договора является приложением к Письму Минкомсвязи России от 26 июня 2012 года №НМ-П13-8185 «Об аккредитации удостоверяющих центров». Важно, чтобы в договоре:

  • отсутствовала франшиза;
  • упущенная выгода не возмещалась;
  • исключения, на которые есть ссылки в Правилах, не возмещались.

При формировании пакета документов Правила страхования должны быть приложены вместе с договором.

То что стоимость чистых активов у банка составляет не менее чем один миллион рублей ни у кого не вызывает сомнения, но каким документом это можно подтвердить. Одним из способов подтверждения является выписка из ежегодного заключения внешних аудиторов.

В качестве документов, выдаваемых федеральным органом исполнительной власти в области обеспечения безопасности, подтверждающих соответствие используемых УЦ средств электронной подписи и средств УЦ требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности представляются копии сертификатов соответствия ФСБ России на средства УЦ и средства электронной подписи. Если в сертификате соответствия указывается ссылка на формуляр, то такой формуляр так же прилагается.

Для подтверждения права собственности УЦ (право использования программы для ЭВМ) прикладываются копии  договора поставки, товарной накладной, лицензия на использование программного продукта УЦ и при наличии – копия сублицензионного договора.

Несколько слов о требованиях к документам на сотрудников УЦ. В должностных инструкциях функции и задачи сотрудников УЦ должны соответствовать 63-ФЗ и нормативно-методическим документам ФСБ России. Так же сотрудники должны иметь высшее образование в области информационных технологий или информационной безопасности (или документы о прохождении переподготовки или повышения квалификации по вопросам использования электронной подписи). Если в банке есть сотрудники, чей уровень образования соответствует требованиям ФСБ России для получения лицензии на разработку, производство, распространение шифровальных (криптографических) средств, то для аккредитации их документов будет достаточно.

В соответствии с Приказом № 320 к заявлению на аккредитацию удостоверяющего центра прилагаются учредительные документы, в которых, по мнению Минкомсвязи России необходимо указать один из следующих видов деятельности: деятельность по защите информации либо функция удостоверяющего центра, о чем внести соответствующие изменения в Устав банка. Но перечень сведений, которые должны содержаться в уставе кредитной организации, установлены ст.10 ФЗ-395-I от 02 декабря 1990 года «О банках и банковской деятельности» и ст.11 ФЗ-208 от 26 декабря 1995‎ года «Об акционерных обществах».

При этом требование о включении в Устав отдельных положений, детализирующих банковское обслуживание, указанными статьями не установлено. В связи с этим одним из выходов является направление письма в Департамент лицензирования деятельности и финансового оздоровления кредитных организаций Банка России с просьбой о разъяснении необходимости внесения изменений в Устав. Полученный ответ необходимо приложить к пакету документов.

Дополнительно к пакету документов можно приложить копии лицензий ФСБ России и ФСТЭК России и/или документы о внесении в реестр операторов, осуществляющих обработку персональных данных. Все копии документов заверяются и вместе с доверенностью на лицо, подписавшее заявление на аккредитацию высылаются в Минкомсвязи России. После отправки документов в установленные сроки УЦ получит статус аккредитованного.

 

Смотрите также

Щедрость по разуму

24 декабря, 2012
Подпишись на новости!
Подписаться