2. Требования к службе доверенной третьей стороны и входящим в ее состав доверенным третьим сторонам

29. Служба доверенной третьей стороны является функциональной частью интегрированной системы.

30. Служба доверенной третьей стороны должна включать в себя сервисы доверенной третьей стороны Комиссии и сервисы доверенных третьих сторон государств-членов.

31. Каждая из доверенных третьих сторон, сервисы которых входят в состав службы доверенной третьей стороны, в соответствии с пунктом 21 Протокола об информационно-коммуникационных технологиях и информационном взаимодействии в рамках Евразийского экономического союза должна выполнять следующие задачи:

а) осуществление легализации (подтверждение подлинности) электронных документов и ЭЦП субъектов информационного взаимодействия в фиксированный момент времени;

б) обеспечение гарантий доверия в межгосударственном (трансграничном) обмене электронными документами;

в) обеспечение правомерности применения ЭЦП в исходящих и (или) входящих электронных документах в соответствии с законодательством государств-членов и актами Комиссии.

32. Доверенная третья сторона Комиссии и доверенные третьи стороны государств-членов должны обеспечивать функционирование в своем составе следующей совокупности сервисов, реализуемых с использованием средств доверенной третьей стороны:

а) сервис подтверждения подлинности (проверка ЭЦП, действительности и соответствия сертификата ключа проверки ЭЦП установленным требованиям, получение результата от сервиса проверки полномочий и формирование квитанций с результатом проверки подлинности электронного документа);

б) сервис проверки полномочий (проверка полномочий субъекта электронного взаимодействия, сформировавшего и подписавшего электронный документ в национальном сегменте государства-члена или интеграционном сегменте Комиссии интегрированной системы);

в) сервис штампа времени (создание штампов времени для электронных документов, входящих в национальный сегмент государства-члена или интеграционный сегмент Комиссии интегрированной системы, и квитанций с результатом проверки подлинности электронного документа);

г) сервис хранения данных (документирование выполняемых доверенной третьей стороной операций);

д) сервис предоставления информации (об операциях доверенной третьей стороны по запросам уполномоченных органов и Комиссии).

33. Сервисы, реализуемые средствами доверенной третьей стороны Комиссии или средствами доверенных третьих сторон государств-членов, должны соответствовать настоящим Требованиям, Положению об обмене электронными документами при трансграничном взаимодействии органов государственной власти государств - членов Евразийского экономического союза между собой и с Евразийской экономической комиссией, а также актам Комиссии, касающимся вопросов функционирования доверенных третьих сторон.

34. Доверенная третья сторона Комиссии и доверенные третьи стороны государств-членов при выполнении своих функций должны обеспечить соблюдение в совокупности следующих основных условий:

а) обеспечение конфиденциальности ключа ЭЦП, ключ проверки которого содержится в выданном удостоверяющим центром службы доверенной третьей стороны сертификате ключа проверки ЭЦП;

б) уведомление удостоверяющего центра службы доверенной третьей стороны, доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов о нарушении конфиденциальности ключа ЭЦП, предназначенного для электронного взаимодействия в рамках Союза, в течение не более чем 12 часов с момента получения информации о таком нарушении;

в) прекращение использования ключа ЭЦП, предназначенного для электронного взаимодействия в рамках Союза, при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

г) использование ключа ЭЦП, предназначенного для электронного взаимодействия в рамках Союза, исключительно для подписания квитанций с результатами проверки ЭЦП электронного документа;

д) использование для создания и проверки ЭЦП, создания ключей ЭЦП и ключей проверки ЭЦП, предназначенных для электронного взаимодействия в рамках Союза, средств криптографической защиты информации, реализующих криптографические алгоритмы, определенные в соответствии с Решением Коллегии Евразийской экономической комиссии от 2 июня 2016 г. N 49 (ДСП), до реализации проекта по совместной разработке специализированных средств криптографической защиты информации Союза;

е) при проверке ЭЦП в электронных документах проверка соблюдения в совокупности следующих условий:

целостность данных, подписываемых ЭЦП, не нарушена;

ЭЦП выработана с использованием ключа ЭЦП, соответствующий сертификат ключа проверки ЭЦП имеется в распоряжении доверенной третьей стороны на момент начала проверки либо получен доверенной третьей стороной в процессе выполнения процедур проверки;

сертификат ключа проверки ЭЦП действителен на момент подписания электронного документа;

каждый сертификат ключа проверки ЭЦП из цепочки сертификатов ключей проверки ЭЦП удостоверяющих центров действителен на момент подписания;

ж) документирование и хранение в течение периода, установленного актами Комиссии или законодательством государств-членов, всей необходимой информации относительно всех проводимых проверок ЭЦП в электронных документах для обеспечения непрерывности оказания услуг и представления (в случае необходимости) доказательств в суде. Хранение указанной информации может осуществляться в электронном виде.

35. Доверенная третья сторона Комиссии должна использовать средства доверенной третьей стороны и средства ЭЦП в их составе, соответствующие требованиям согласно приложению N 3.

36. Комиссия для обеспечения функционирования доверенной третьей стороны Комиссии разрабатывает во взаимодействии с уполномоченными органами и утверждает технические, технологические, методические и организационные документы, предусматривающие детализацию компонентов и требований к доверенной третьей стороне интеграционного сегмента Комиссии интегрированной системы.

37. Требования к взаимодействию доверенной третьей стороны Комиссии и доверенных третьих сторон государств-членов между собой и с удостоверяющим центром службы доверенной третьей стороны устанавливаются с учетом соответствующих утверждаемых Комиссией моделей угроз безопасности информации и действий нарушителя.

38. Для обеспечения функционирования доверенных третьих сторон государств-членов уполномоченные органы разрабатывают и утверждают в соответствии с законодательством государств-членов и актами Комиссии технические, технологические, методические и организационные документы, предусматривающие детализацию компонентов и требований к доверенным третьим сторонам государств-членов.

39. Комиссия осуществляет передачу программных и аппаратных средств криптографической защиты информации, разработанных в рамках работ по созданию и развитию интегрированной системы и предназначенных для функционирования доверенных третьих сторон, уполномоченным органам заинтересованных государств-членов для использования в составе национальных сегментов в порядке, утверждаемом Комиссией.

40. Настоящие Требования и требования, содержащиеся в документах, утверждаемых государствами-членами и Комиссией для обеспечения функционирования доверенных третьих сторон, используются межгосударственной комиссией для проверки службы доверенной третьей стороны и входящих в ее состав доверенных третьих сторон в рамках проверки компонентов общей инфраструктуры документирования информации в электронном виде.