Выпуск регламентов технического аудита электронных подписей и доверенных сервисов: обеспечение безопасности и повышение доверия в цифровом пространстве

Циркуляр является важной правовой основой для стандартизации процессов технического аудита, гарантирующей, что системы и организации, предоставляющие и использующие электронные подписи, соответствуют техническим стандартам и информационной безопасности, способствуя укреплению доверия людей, предприятий и органов управления в среде цифровых транзакций.

Согласно нормативным актам, настоящий Циркуляр распространяется на организации и лиц, участвующих или связанных с деятельностью по техническому аудиту информационных систем, процессов предоставления услуг защищенной электронной подписи, защищенных сертификатов электронной подписи, цифровых подписей, сертификатов цифровой подписи и других доверенных услуг.

В частности, агентствам и организациям, создающим и использующим защищенные электронные подписи, рекомендуется заблаговременно проводить технические аудиты для самостоятельной оценки соответствия и безопасности своих систем и процессов предоставления услуг. Это важный шаг, демонстрирующий стремление к заблаговременному предотвращению рисков кибербезопасности, а не просто к реагированию на инциденты по мере их возникновения.

Доверенные поставщики услуг обязаны проводить технические аудиты каждые два года, чтобы гарантировать, что системы и процессы предоставления услуг поддерживаются в безопасном, стабильном состоянии и соответствуют техническим требованиям согласно национальным стандартам.

Согласно Циркуляру, основой для оценки технического аудита являются конкретные требования к информационным системам и процессам предоставления услуг, указанные в технических регламентах, технических стандартах и ​​технических требованиях, применимых к электронным подписям, электронным сертификатам и доверенным сервисам.

Технический аудит проводится в два основных этапа: оценка информации и документов в процессе планирования и фактическая оценка в проверяемой организации. Содержание аудита должно быть объективным, прозрачным и соответствовать заранее согласованному плану и объему работ.

Максимальный срок аудита составляет 6 месяцев, при необходимости он может быть продлен до 45 дней для выполнения корректирующих мероприятий. После завершения аудита, на основании результатов оценки и корректирующих мероприятий (при наличии), аудиторская организация рассматривает вопрос о выдаче проверяемой организации сертификата с отчётом по техническому аудиту. В случае несоблюдения требований аудиторская организация обязана уведомить об этом в письменной форме с указанием причин и приложением отчёта по техническому аудиту.

В циркуляре также подробно изложено обязательное содержание отчета по техническому аудиту, включая: общую информацию об аудите, сроки реализации, метод оценки, результаты анализа рисков информационной безопасности, результаты тестирования системы, технические рекомендации и основу для принятия решений о сертификации.

Доверенные поставщики услуг должны отправлять отчеты о техническом аудите в Министерство науки и технологий через Национальный центр электронной аутентификации (NEAC), который является координационным центром по синтезу, мониторингу и обслуживанию работы по государственному управлению.

Регулярная отчетность не только помогает оценить операционный статус доверенных поставщиков услуг, но и создает единую базу данных для разработки политики, управления рисками и оказывает поддержку государственным органам в повышении качества и безопасности национальной инфраструктуры цифровых транзакций.

В циркуляре установлено, что организации технического аудита несут ответственность за реализацию своих прав и обязанностей в соответствии с положениями законодательства о технических стандартах и ​​регламентах; обеспечение независимости, объективности и полного соблюдения процедур технического аудита в соответствии с нормативными актами о качестве продукции и товаров и сетевой информационной безопасности.

Национальный комитет по стандартам, метрологии и качеству при Министерстве науки и технологий является координационным центром по приему и оценке регистрационных досье для назначения организаций технического аудита и представления их Министру науки и технологий для принятия решения о назначении квалифицированных организаций в соответствии с законом о стандартах и ​​качестве.

Между тем, Национальный центр электронной аутентификации отвечает за получение и обобщение отчетов по техническому аудиту от проверенных организаций, периодически отчитываясь перед министром науки и технологий в целях государственного управления предоставлением надежных услуг.

Выпуск Циркуляра о техническом аудите электронных подписей и доверенных сервисов считается важным шагом в завершении формирования национального правового коридора по информационной безопасности, электронной аутентификации и цифровой трансформации.

Циркуляр способствует стандартизации системы независимой оценки, усилению контроля рисков, повышению технологической автономии и созданию цифрового доверия для пользователей в процессе совершения транзакций, подписания и обмена электронными данными.

Циркуляр вступает в силу с 1 января 2026 года, знаменуя собой новый шаг вперед в техническом управлении и обеспечении безопасности и надежности национальной инфраструктуры электронной подписи на пути к цели построения безопасного, прозрачного и устойчиво развитого цифрового правительства, цифровой экономики и цифрового общества.