Есть противоречие 152-ФЗ "о ПД" и 1-ФЗ "о ЭЦП", а именно в том, что сертификат ключа подписи есть общедоступный объект, но идентификационные данные его владельца есть ПД.
Что бы УЦ мог работать в этом правовом поле, в Регламенте УЦ должна определяться форма завления на изготовления сертификата ключа подписи и в этой форме должен быть абзац приблизительного такого содержания:
Настоящим ________________________________________________
(фамилия, имя, отчество)
__________________________________________________________
(серия и номер паспорта, кем и когда выдан)
соглашается с обработкой своих персональных данных Удостоверяющим центром "_______" и признает, что персональные данные, заносимые в сертификаты ключей подписей, владельцем которых он является, относятся к общедоступным персональным данным.

Нет не правильно.
Согласно пункта 4 статьи 9 152-ФЗ "О персональных данных" от 27 июля 2006 г. обработка персональных данных осуществляется только с согласия в ПИСЬМЕННОЙ форме субъекта персональных данных.

Ну и что? Мы же говорим о том, что бы персональные данные, заносимые в сертификат, считались общедоступными. Для этого и нужно письменное волеизъявляение субъекта.

Вы опять не поняли мою мысль. Я не говорю о СОГЛАСИИ на обработку ПД. Я говорю о том, что бы сделать ПД в сертификатах ОБЩЕДОСТУПНЫМИ. Тут есть разница.

Письменных рекомендаций нет. И не было попыток их получить и не считаю необходимым их получать. Проблемы могут возникнуть всегда, при наличии или отсутствии рекомендаций ФСТЭК, т.к. проблемы может создать не уполномоченный орган, а отдельные сотрудники уполномоченного органа. А это две большие разницы :-)

Во первых, какие ПД делаем общедоступными? Те, что являются идентифицирующими владельца сертификата ключа подписи. В терминах формата Х.509 это будет поле SubjectDN сертификата открытого ключа.
Для чего? Для того, что бы сертфиикат ключа подписи передавать ЛЮБОМУ кто хочет проверить ЭЦП в электронном документе. Т.е. не для создания сетевого справочника сертификатов, а для применения ЭЦП. Например, ЭЦП подписали конкурсную документацию на сайте закупок. Любое лицо может мож ознакомиться с документацией и проверить ЭЦП. Для этого ему нуже сертификат ключа подписавшего.
Поэтому хорошей практикой считается, что сертификат ключа подписи подписанта "вкладывают" в саму подпись в формате PKCS#7 SignedData. Как видите, дело не в справочнике. Справочник организуют когда применяют шифрование, а не подпись.
Поэтому Ваша ошибка в утверждении, что "если мы не будем выкладывать сертификаты в общедоступные источники, то нам получается и письменное согласие брать не надо!". Не сертификаты выкладываются в общедостпные источники, а электронные документы, удостоверенные ЭЦП, становятся доступными зачастую не только участникам информационной системы но и другим лицам: сотрудникам налоговой службы (при камеральной проверке), сотрудникам прокуратуры и органов внутренних дел (при проведении дознания), сотрудникам судов (при разрешении споров и конфликтов), иным участникам судебного процесса. Поэтому сертификат ключа подписи и нужно делать также общедоступным как и электронный документ!


Согласно "Методическим рекомендациям по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" ФСБ России, формирует и утверждает модель угроз оператор ПДн, а значит и классифицирует УЦ оператор. Как? Читайте в указанных Методических рекомендациях.
Практики реальной аттестации УЦ как ИСПДн и практики классификации УЦ по классу ИСПДн мы не имеем, да и не слышал о таких прецедентах :-(