Положение об использовании эцп

Об утверждении Положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа

ПОСТАНОВЛЕНИЕ

Об утверждении Положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа

В целях обеспечения функционирования инфраструктуры открытых ключей, а также с целью обеспечения правовых условий использования электронной цифровой подписи в системе юридически значимого защищённого электронного документооборота органов исполнительной власти Ямало-Ненецкого автономного округа Администрация Ямало-Ненецкого автономного округа постановляет:

2. Возложить на департамент информационных технологий и связи Ямало-Ненецкого автономного округа функции уполномоченного органа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.

4. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Кима А.М.

Ямало-Ненецкого автономного округа Ю.В. Неёлов

ПОЛОЖЕНИЕ об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа

I. Общие положения

порядок обеспечения правовых, организационных и технических условий, при соблюдении которых ЭЦП под электронным документом признаётся равнозначной собственноручной подписи в документе на бумажном носителе;

порядок организации криптографической защиты информации с использованием технологий ЭЦП и шифрования при обмене электронными документами, подготовленными и передаваемыми Пользователями в Системе;

исходит от Пользователя Системы (подтверждение авторства документа);

порядок изготовления юридически значимых копий электронного документа на бумажном носителе.

Предотвращение несанкционированного доступа к техническим средствам Системы достигается применением средств защиты информации, сертифицированных Государственной технической комиссией при Президенте Российской Федерации или Федеральной службой технического и экспортного контроля.

Обеспечение подлинности информации и придание электронному документу юридической силы достигается за счёт использования в Системе ЭЦП, сформированной на индивидуальном ключе ЭЦП Пользователя, которая обеспечивает защиту содержания документа от искажения и аутентификацию лица, подписавшего документ.

1.3. Информационная безопасность и юридическая значимость электронного документооборота в Системе обеспечивается соответствием принятых в системе процедур оформления взаимоотношений между всеми участниками Системы, включая Региональный удостоверяющий центр ЯНАО (РУЦ ЯНАО), создания, подписания, хранения и передачи электронных документов, подтверждения подлинности ЭЦП и разрешения конфликтов между всеми участниками, а также предусмотренных в системе правовых, организационных и технических мер защиты информации требованиям:

федеральных законов от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи»;

руководящего документа Государственной технической комиссии при Президенте Российской Федерации «Средства вычислительной техники. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа»;

Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, объявленной приказом Федерального агентства правительственной связи при Президенте Российской Федерации от 13 июня 2001 года N 152 и зарегистрированного в Министерстве юстиции Российской Федерации 6 августа 2001 года N 2848.

1.4. Действие настоящего Положения распространяется на органы исполнительной власти автономного округа, органы местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностных лиц иных организаций, включённых в СЮЗЗЭД ЯНАО, независимо от их организационно-правовой формы, а также организации, чьё участие в документообороте с указанными органами регламентировано нормативно-правовыми актами.

Абонентский пункт Участника Системы — комплекс аппаратно-программных средств, обеспечивающих Участнику (Пользователю) возможность ввода-вывода, передачи, обработки, контроля, защиты и идентификации конфиденциальной информации и персональных данных, циркулирующей в СЮЗЗЭД ЯНАО.

Авторство электронного документа — принадлежность корректной электронной цифровой подписи данного документа конкретному Пользователю СЮЗЗЭД ЯНАО.

Аутентификация информации — установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная получателем информация была передана подписавшим е` законным отправителем и при этом не была искажена. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов.

Владелец сертификата ключа — физическое лицо, на имя которого РУЦ ЯНАО выдан сертификат ключа подписи и которое владеет соответствующим закрытым криптографическим ключом.

Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.

Имитозащита — защита системы шифрованной связи от навязывания ложных данных.

Индивидуальный закрытый ключ ЭЦП Пользователя — имеющийся только у Пользователя СЮЗЗЭД ЯНАО и хранящийся в тайне криптографический ключ, который используется им для формирования электронной цифровой подписи электронных документов. Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную только владельцу сертификата ключа подписи, которая предназначена для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.

Инсталляционные дискеты \ CD СКЗИ — лицензионно чистые носители информации (магнитные дискеты 3,5\» и/или CD), содержащие программы, реализующие сертифицированные средства криптографической защиты информации.

Криптографическое преобразование — преобразование данных с использованием шифрования и (или) выработки имитовставки.

Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфликтная ситуация — ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.

Корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определённый её владельцем или соглашением участников этой информационной системы.

Ключ (Криптографический ключ) — конкретное закрытое состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий в результате случайных или преднамеренных действий Пользователей или других субъектов (с использованием штатных аппаратных, аппаратно-программных, программных средств автоматизированной системы) установленные правила разграничения доступа.

Пароль — закрытая информация аутентификации, обычно представляющая собой строку знаков, которой должен обладать Пользователь для доступа к защищаемым данным и/или техническим средствам.

Подлинник (оригинал) электронного документа — компьютерный файл, содержащий текст документа и подлинную электронную цифровую подпись, по крайней мере, одного из Пользователей СЮЗЗЭД ЯНАО.

Уполномоченное лицо — начальник отдела «РУЦ ЯНАО» ГУ «Ресурсы Ямала» либо лицо, его замещающее.

Подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Реестр действующих сертификатов ключей подписей Пользователей — файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий действующие на данный момент времени сертификаты ключей подписей со всеми их реквизитами и подписанный действующей электронной цифровой подписью должностного лица РУЦ ЯНАО.

уникальный регистрационный номер сертификата ключа;

фамилия, имя и отчество владельца сертификата ключа;

наименование средств ЭЦП, с которыми используется данный открытый ключ;

сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение .

Public Key Cryptography Standarts (PKCS) — стандарты криптографии с открытым ключом, разработанные компанией RSA Security. Удостоверяющий центр осуществляет свою работу в соответствии со следующими стандартами PKCS:

оформленный с соблюдением требований PKCS#7 Signed, является электронным документом, содержащим электронную цифровую подпись;

Управление ключами — изготовление (генерация) ключей, их хранение, распространение, удаление (уничтожение), учёт и применение в соответствии с настоящим Положением.

Шифрование — процесс зашифрования (шифрования) или расшифровывания.

Шифровальные средства (средства криптографической защиты информации — СКЗИ):

реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;

ручные шифры, документы кодирования и другие носители ключевой информации.

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Реестр — перечень должностных лиц, которым выдаются сертификаты ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти Ямало-Ненецкого автономного округа. Реестр ведёт Уполномоченный орган.

Уполномоченный орган — это исполнительный орган государственной власти ЯНАО, осуществляющий регулирование использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа. Уполномоченный орган организовывает свою деятельность в целях обеспечения перехода к безбумажной форме документооборота с использованием ЭЦП в информационных системах исполнительных органов государственной власти автономного округа.

Порядок подключения Участника к информационным ресурсам Системы определяется настоящим Положением.

Порядок включения физических лиц, исполняющих должностные обязанности в организациях-Участниках Системы, в число Пользователей определяется настоящим Положением.

3.1. СЮЗЗЭД ЯНАО представляет собой корпоративную информационную систему, организованную ГУ «Ресурсы Ямала», с целью обеспечения возможности безопасного и юридически значимого обмена информацией, в том числе платёжно-расчётными документами, в электронной форме, а также ведения защищённых от подделки и хищения баз данных и реестров в интересах органов исполнительной власти автономного округа, органов местного самоуправления, государственных муниципальных и иных организаций автономного округа, а также жителей автономного округа.

Верхний уровень — Организаторов Системы — Уполномоченный орган, ГУ «Ресурсы Ямала».

3.3. Все Пользователи Системы допускаются к работе исключительно на основании приказов руководителей соответствующих организаций-участников и только после регистрации в РУЦ ЯНАО.

4.1. Подключение Участника к Системе осуществляется на основании заключаемого договора между Участником и ГУ «Ресурсы Ямала».

4.3. Работы по подключению организации-заявителя к Системе проводятся ГУ «Ресурсы Ямала» за счёт заявителя.

4.5. При заключении Договора на обслуживание для юридических лиц в Системе Участник представляет в РУЦ ЯНАО следующие сведения и документы:

документальное подтверждение должностных полномочий Пользователей;

сведения о помещениях, в которых предполагается эксплуатировать аппаратно-программные средства Абонентского пункта Системы;

телефонный номер для экстренной связи с ним (Участником);

Примечание.

4.6. ГУ «Ресурсы Ямала», если это предусмотрено Договором на обслуживание для юридических лиц в Системе, осуществляет приобретение необходимого для построения Абонентских пунктов Участника аппаратных средств, программного обеспечения, включая сертифицированные средства защиты информации.

Порядок управления криптографическими ключами Пользователей, их изготовления и передачи Пользователями определяется настоящим Положением.

устанавливает (по требованию Участника) ПО СКЗИ, передаёт Участнику лицензию на использование ПО СКЗИ, а также полный комплект эксплуатационной документации на СКЗИ;

4.9. Присоединение Участника и техническое подключение его Абонентских пунктов к Системе оформляется подписанием уполномоченными должностными лицами Сторон Акта установки и ввода в эксплуатацию аппаратно-программного комплекса Абонентских пунктов Системы.

V. Порядок изготовления и управления ключами в Системе

В связи с этим особое значение для обеспечения безопасности информации, циркулирующей в Системе, имеет сохранение в тайне индивидуальных закрытых ключей подписи. Во избежание опасных последствий необходимо:

неукоснительно выполнять все организационные меры, направленные на защиту ключевой информации от несанкционированного доступа к ней;

Строгое соблюдение требований по обеспечению режима безопасности средств криптографической защиты информации и, в первую очередь, безопасности закрытой ключевой информации позволит оградить служебные и финансовые интересы Участников Системы от злонамеренных посягательств посторонних лиц и их возможных последствий.

Категорически запрещается:

хранить Носители ключевой информации вне мест, специально для этого установленных (согласно требованиям пункта 30 приказа ФАПСИ от 13 июня 2001 года N 152);

во время перерывов в работе оставлять Носители ключевой информации без присмотра в устройствах считывания ПЭВМ, на рабочем месте, шкафах и ящиках, для этого не предназначенных;

производить уничтожение ключей на Носителях ключевой информации после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от описанных в эксплуатационной документации на СКЗИ;

проносить и использовать в помещениях, где размещены сертифицированные СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру.

При такой организации Системы компрометация ключевой информации любого из Пользователей не приводит к компрометации ключей у других абонентов системы, что позволяет им продолжать подготовку юридически значимых электронных документов и безопасный обмен конфиденциальной информацией.

5.5. РУЦ ЯНАО вырабатывает закрытые и открытые ключи подписи на Автоматизированном рабочем месте РУЦ ЯНАО (АРМ РУЦ ЯНАО) в соответствии с государственной лицензией и эксплуатационной документацией на СКЗИ.

5.7. Ключевая информация Пользователя генерируется и записывается РУЦ ЯНАО на Носители ключевой информации.

5.8. РУЦ ЯНАО изготавливает сертификаты криптографических ключей подписи и/или шифрования Пользователя в электронном виде и вместе с Носителем ключевой информации передает их Пользователю.

Сертификаты индивидуальных ЭЦП публикуются РУЦ ЯНАО в Реестре действующих сертификатов ключей подписей.

Наличие на сертификатах индивидуальных ключей подписи в форме документов на бумажных носителях подписи Пользователя или его уполномоченного лица означает его обязательство использовать для проверки ЭЦП электронных документов и их зашифровывания исключительно данные криптографические ключи в течение всего периода их действия.

5.11. Периодичность и способ доставки обновлений Списка отозванных сертификатов РУЦ ЯНАО определяется Регламентом деятельности РУЦ ЯНАО.

5.13. Плановая смена ключей (закрытого и соответствующего ему открытого ключа) уполномоченного лица РУЦ ЯНАО выполняется не ранее, чем через 1 (один) год и не позднее чем через 1 (один) год и 6 (шесть) месяцев после начала действия закрытого ключа (и, соответственно, сертификата ключа подписи) уполномоченного лица РУЦ ЯНАО.

5.15. В соответствии с этой процедурой Уполномоченное лицо РУЦ ЯНАО с помощью АРМ РУЦ ЯНАО формирует новые (закрытый и открытый) индивидуальные ключи и изготавливает сертификат нового открытого ключа, который подписывает своей ЭЦП с использованием нового закрытого ключа.

5.17. Внеплановая смена ключей уполномоченного лица РУЦ ЯНАО выполняется в случае компрометации или угрозы компрометации закрытого ключа уполномоченного лица РУЦ ЯНАО.

5.19. После создания Уполномоченным лицом РУЦ ЯНАО новых криптографических ключей и издания нового сертификата подписи все действующие сертификаты открытых ключей Пользователей УЦ аннулируются (отзываются) путём занесения их в Список отозванных сертификатов.

Список отозванных сертификатов подписывается старым закрытым ключом, подвергшимся процедуре внеплановой смены, уполномоченного лица РУЦ ЯНАО.

5.21. После получения официальной публикации о факте внеплановой смены ключа уполномоченного лица РУЦ ЯНАО Пользователям необходимо выполнить процедуру получения новых криптографических ключей и сертификатов открытого ключа.

5.22. В ходе внеплановой смены ключей замене подлежат все действующие индивидуальные ключи ЭЦП.

Примечание.

В соответствии с полученным информационным письмом в назначенный день РУЦ ЯНАО заносит сертификаты старых ключей в Справочник отозванных сертификатов и вводит в действие новые ключи порядком, установленным настоящим Положением. С этого момента Пользователь работает на новых ключах.

5.25. Уничтожение выведенных из действия индивидуальных ключей оформляется Актом уничтожения индивидуальных криптографических ключей, один экземпляр которого передается РУЦ ЯНАО.

5.26. Пользователи и уполномоченные лица РУЦ ЯНАО несут персональную ответственность за своевременное уничтожение выведенных из действия индивидуальных ключей в полном соответствии с порядком, установленным настоящим Положением и должностными инструкциями.

5.27. Срок архивного хранения Актов уничтожения индивидуальных криптографических ключей и сертификатов, выведенных из действия ключей подписи и/или шифрования, определяется действующим законодательством и не может быть меньше, срока хранения аналогичных по содержанию традиционных бумажных документов.

6.1. Под компрометацией индивидуального криптографического ключа Пользователя понимается утрата доверия к тому, что используемые ключи обеспечивают безопасность конфиденциальной информации, циркулирующей в Системе. К событиям, связанным с компрометацией действующих криптографических ключей, относятся следующие:

утрата носителей ключевой информации с последующим их обнаружением;

нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;

возникновение подозрений на утечку конфиденциальной информации или её искажение;

отрицательный результат при проверке ЭЦП документа;

Первые четыре события должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.

6.2. При наступлении любого из перечисленных в пункте 6.1 настоящего Положения событий Пользователь или Администратор безопасности Абонентского пункта Участника Системы обязан немедленно прекратить на своем рабочем месте обработку конфиденциальной информации, а также связь с другими Пользователями Системы и сообщить о факте компрометации (или о предполагаемом факте компрометации) РУЦ ЯНАО.

6.3. Администратор безопасности Участника обязан в течение 1 суток с момента обнаружения факта компрометации ключевой информации письменно уведомить РУЦ ЯНАО о компрометации криптографического ключа с указанием наименования ключа, реквизитов Пользователя, на которого данный ключ зарегистрирован, а также даты, времени, предполагаемой причины компрометации (подозрения на компрометацию) данного ключа.

Данное письменное уведомление о компрометации ключевой информации Участника регистрируется и хранится в РУЦ ЯНАО наравне с дубликатами сертификатов криптографических ключей Пользователей, выведенными из действия, на случай разбора конфликтных ситуаций.

Уведомление о компрометации ключевой информации может быть отправлено Пользователем или Администратором безопасности Участника в РУЦ ЯНАО и в электронном виде, но при этом оно должно быть обязательно подписано ЭЦП соответствующего должностного лица, в том числе и с использованием скомпрометированного ключа ЭЦП.

Полученное РУЦ ЯНАО телефонное или электронное сообщение о компрометации (или подозрении на компрометацию) действующей ключевой информации Пользователя должно быть зарегистрировано с указанием даты и времени его поступления, реквизитов Пользователя и должностного лица, от которого это сообщение поступило. Запись в журнале о происшедшем и принятых мерах уполномоченное должностное лицо РУЦ ЯНАО заверяет своей подписью.

Результатом расследования должно стать отнесение или неотнесение случившегося события к факту безусловной компрометации действующих ключей. Акт расследования подписывается всеми членами комиссии и направляется Участнику Системы, а также в РУЦ ЯНАО.

скомпрометированные закрытые ЭЦП и шифрования выводятся из действия и уничтожаются установленным порядком, а их сертификаты отзываются;

6.7. Участник обязан обеспечить изъятие из обращения скомпрометированных криптографических ключей не позднее чем через 1 сутки с момента вывода этих ключей из действия и в течение 10 дней провести их уничтожение.

VII. Порядок действия и смены пароля

Пароль входа в технические средства Системы является конфиденциальной информацией и должен храниться в тайне. Должностные лица РУЦ ЯНАО и Участников несут персональную ответственность за обеспечение его сохранности.

осуществлять несанкционированное копирование паролей Пользователей на любые носители, включая ГМД, листы бумаги, записные книжки, внутренние и внешние поверхности технических средств, мебели и т.п.;

7.2. В целях обеспечения безопасности конфиденциальной информации, циркулирующей в Системе, должностные лица РУЦ ЯНАО, Администраторы безопасности Абонентских пунктов Участников и Пользователи Системы в процессе работы должны выполнять требования эксплуатационных документов на сертифицированные средства защиты информации.

VIII. Системное время

8.2. Системное время соответствует декретному времени г. Салехарда.

8.4. Синхронизация времени Абонентского пункта Участника с Системным временем СЮЗЗЭД ЯНАО обеспечивается должностными лицами Участника.

8.6. При выполнении действий с применением ЭЦП Участником (при наличии установленного у него дополнительного программного обеспечения) возможно применение службы штампа времени и онлайновой проверки статуса сертификата.

Технология электронного документооборота в Системе включает в себя подготовку имеющих юридическую силу электронных документов (в том числе и платежных электронных документов), обеспечение их защиты от утечки, хищения, искажения и подделки, передачу документов по каналам связи в защищённом виде, проверку их подлинности и при необходимости изготовление их подлинников (оригиналов) на бумажном носителе.

Подготовка Подлинника (оригинала) электронного документа включает в себя следующие этапы:

подписание электронного документа ЭЦП Пользователя.

Каждый электронный документ может быть подписан ЭЦП нескольких Пользователей.

Электронный документ, содержащий конфиденциальную информацию, должен передаваться только после его шифрования на действующих индивидуальных открытых ключах шифрования Пользователя, которому он предназначен.

В случае нерасшифровывания поступившего сообщения или получении отрицательного результата при проверке электронной цифровой подписи поступившего документа о случившемся должна быть немедленно оповещена передающая Сторона и предприняты меры, предусмотренные разделом VI настоящего Положения.

Для проверки подлинности поступивших из каналов связи электронных документов используется процедура Подтверждение подлинности электронной цифровой подписи в электронном документе, которая является составной частью программного обеспечения Абонентского пункта Системы. Подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат вычисления соответствующей криптографической процедуры, осуществленного сертифицированным средством ЭЦП над открытым текстом поступившего электронного документа, его электронной цифровой подписью и сертификатом ключа подписи Пользователя, подписавшего этот документ. Результатом проверки ЭЦП является сообщение криптографической процедуры проверки о верности или нарушении ЭЦП, а также о наличии или отсутствии искажений в документе. Сообщение криптографической процедуры может быть распечатано в виде протокола проверки.

ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

подтверждена подлинность ЭЦП в электронном документе;

Электронный документ, подписанный несколькими Пользователями, признается подлинным только тогда, когда ЭЦП всех Пользователей, подписавших документ, признаны равнозначными собственноручным подписям этих Пользователей.

При необходимости Пользователь, создавший и подписавший своей ЭЦП юридически значимый электронный документ, вправе в соответствии с установленным в организации порядком изготовить документ на традиционном бумажном носителе. Такой документ при подписании его Пользователем собственноручной подписью будет иметь ту же силу, что и его электронный оригинал.

Вместе с тем любой Участник вправе обратиться в РУЦ ЯНАО с просьбой изготовить копию электронного документа на бумажном носителе и заверить собственноручной подписью должностного лица Удостоверяющего центра и его печатью подлинность ЭЦП всех Пользователей, подписавших этот документ. Для изготовления Копии конкретного электронного документа на бумажном носителе РУЦ ЯНАО осуществляет следующие действия:

получает согласие на его распечатку от Участника Системы, чей Пользователь создал и первым подписал этот юридически значимый электронный документ;

в случае признания корректности ЭЦП (всех подписей) под этим электронным документом, выполняет распечатку компьютерного файла, содержащего электронный документ, с его атрибутами и служебными полями на бумажном носителе;

заверяет каждую страницу распечатки подписью уполномоченного должностного лица РУЦ ЯНАО и печатью ГУ «Ресурсы Ямала»;

заверяет идентифицирующие реквизиты каждого из Пользователей, подписавших указанный электронный документ своей ЭЦП, подписью уполномоченного лица РУЦ ЯНАО и печатью ГУ «Ресурсы Ямала»;

Изготовленная таким образом Копия электронного документа на бумажном носителе имеет такую же юридическую силу, как и электронный оригинальный документ, подписанный ЭЦП, признаётся всеми Участниками Системы и может быть использована для разрешения споров в судебных и арбитражных органах, а также для представления в государственные, контролирующие и иные органы и организации.

Факт изготовления или отказа в изготовлении Подлинника электронного документа на бумажном носителе с указанием реквизитов Заявителя, затребовавшего изготовление такого подлинника, и реквизитов указанного электронного документа фиксируется РУЦ ЯНАО специальным Актовым журналом, который хранится установленным образом в течение срока хранения электронного документа, бумажная копия которого была изготовлена.

В соответствии с действующими в Российской Федерации нормативными правовыми актами электронные документы, изготовленные или полученные из Системы, подписанные ЭЦП, представляют собой документы, имеющие юридическую силу, и могут быть использованы для предоставления в государственные, контролирующие и иные органы и организации, в том числе в судебные и арбитражные инстанции. В связи с этим каждый такой документ должен быть зарегистрирован и сохранён.

Журналы регистрации электронных документов ведутся отдельно для подготовленных и полученных электронных документов.

идентифицирующие реквизиты документа;

полное наименование файла;

дата и время отправки или записи на твёрдый носитель для архивного хранения;

9.6.3. В журнале учёта полученных электронных документов для каждого документа должны быть указаны:

реквизиты отправителя документа;

идентифицирующие реквизиты документа;

дата и время создания документа;

9.6.4. Хранение электронных документов осуществляется на носителях электронной информации в соответствии с принятым в организации порядком.

Должны быть обеспечены условия раздельного хранения подготовленных и полученных электронных документов.

9.6.7. Электронные документы постоянного хранения, отнесённые к составу архивного фонда Российской Федерации, передаются на хранение в государственный архив и муниципальные архивы по утверждённым описям на носителях электронной информации в юридически значимом виде и дублируются на бумажном носителе.

X. Основные функциональные обязанности Участников и Пользователей Системы

10.1.1. Контроль ведения Реестра сертификатов ЭЦП уполномоченных лиц исполнительных органов государственной власти ЯНАО.

В состав Реестра входит совокупность реестровых дел уполномоченных лиц.

— копии распорядительных документов о назначении на должность и увольнении должностных лиц исполнительных органов государственной власти ЯНАО;

— копии сертификатов открытого ключа подписи на бумажном носителе;

Форма Реестра определяется Уполномоченным органом.

Утверждает Регламент деятельности Регионального удостоверяющего центра Ямало-Ненецкого автономного округа (далее Регламент).

10.1.3. Формирование поручений РУЦ ЯНАО на изготовление и выдачу ключей ЭЦП и сертификатов уполномоченных лиц и отзыву последних.

10.1.5. Согласование графика работ с исполнительными органами государственной власти по установке средств ЭЦП на рабочие места уполномоченных лиц.

10.1.7. Участие в организации плановой смены ключей ЭЦП и сертификатов уполномоченных лиц.

10.2. Задачи Уполномоченного органа:

10.2.2. Организация взаимодействия заинтересованных сторон по выдаче и отзыву сертификатов уполномоченных лиц.

10.2.4. Контроль своевременного выполнения возложенных обязанностей ответственных лиц органов исполнительной власти в рамках действия настоящего Положения.

10.2.6. Осуществление контрольных мероприятий и иных полномочий по защите информации и обеспечению информационной безопасности в области использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа.

10.2.8. Обеспечение Уполномоченным органом сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.

обеспечение бесперебойной работы Системы;

заключение с Участниками Договора на обслуживание для юридических лиц в Системе;

подготовка на основании заключенных с Участниками договоров персонала для работы на аппаратно-программных средствах Абонентских пунктов Системы;

установка Участникам и Пользователям, осуществляющим эксплуатацию аппаратно-программных средств Абонентских пунктов Системы, программного обеспечения сертифицированного СКЗИ, лицензии и эксплуатационной документации к Абонентским пунктам Системы;

генерация, регистрация и выдача Пользователям индивидуальных криптографических ключей ЭЦП, а также соответствующих сертификатов;

генерация, регистрация и выдача криптографических ключей и соответствующих сертификатов уполномоченным должностным лицам исполнительных органов государственной власти ЯНАО. Ведение Реестра сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти ЯНАО;

ведение архивов утративших актуальность Реестров действующих сертификатов ключей подписей Пользователей, Списков отозванных сертификатов и Справочников сертификатов открытых ключей шифрования Пользователей;

обеспечение незамедлительного отключения Пользователей, чьи криптографические ключи подверглись компрометации, Выведение из действия подвергнувшихся компрометации ключей и отзыв их сертификатов. Исключение этих сертификатов из Реестра действующих сертификатов ключей подписи Пользователей и внесение их в Список отозванных сертификатов;

расследование обстоятельств (в составе созданной комиссии) компрометации индивидуальных закрытых ключей;

дублирование электронных документов и создание подлинников электронных документов на бумажных носителях по заявкам Участников;

осуществление плановых и внеплановых проверок помещений, в которых эксплуатируются Абонентские пункты Участников, аппаратно-программных средств Абонентских пунктов, правильности их эксплуатации и соблюдения должностными лицами Участника мер, обеспечивающих безопасную эксплуатацию Абонентских пунктов;

подготовка предложений по внесению изменений и дополнений в регламентирующие документы Системы (настоящего Положения, Регламента деятельности РУЦ ЯНАО), устанавливающих порядок организации защищенного юридически значимого электронного документооборота между пользователями Системы и предоставления услуг РУЦ ЯНАО Участникам и Пользователям Системы;

хранение эталонного полного комплекта эксплуатационной документации для Абонентских пунктов;

заблаговременное (не менее чем за 30 дней до вступления в силу) информирование Участников о внесении изменений во внутренние документы Системы, принятии новых документов и приложений к договорам, регламентирующим условия взаимодействия Сторон в рамках Системы;

РУЦ ЯНАО вправе выполнять также иные функции и действия, которые не противоречат действующему законодательству Российской Федерации, имеющимся соглашениям и договорам, а также требованиям настоящего Положения.

заключение с ГУ «Ресурсы Ямала» Договора на обслуживание для юридических (физических) лиц в Системе;

соблюдение требований и положений Договора на обслуживание для юридических лиц в Системе;

обеспечение необходимых условий, соответствующих требованиям настоящего Положения, для размещения и работы Абонентского пункта СЮЗЗЭД ЯНАО в части выделения и оборудования помещений для его размещения, заключения необходимых договоров на поставку программно-технических средств для установки аппаратных и программных средств Абонентского пункта, предоставления каналов и средств связи, обучения своего персонала и уполномоченных должностных лиц;

представление ГУ «Ресурсы Ямала» необходимой информации и документов для проведения информационного обследования организации и выработки рекомендаций в части информатизации Участника;

создание условий для обеспечения в целостности и неизменности программных средств защиты информации, в том числе СКЗИ, содержание в рабочем состоянии аппаратных и программных средств Абонентских пунктов Системы;

обеспечение необходимых условий своевременного уничтожения выведенных из действия криптографических ключей своих Пользователей;

обязательство не передавать полученное программного обеспечения Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;

незамедлительное информирование РУЦ ЯНАО обо всех случаях компрометации индивидуальных закрытых ключей своих Пользователей;

обеспечение контроля за соблюдением Администратором безопасности Абонентского пункта и своими Пользователями всех требований и положений эксплуатационной документации на указанный пункт, также иных внутренних документов Системы, регламентирующих порядок ее использования;

принятие на себя всех рисков, связанных с неисправностями каналов (средств) связи или поломками его аппаратно-программных средств, при использовании Участником каналов (средств) связи и/или аппаратно-программных средств, отличных от рекомендованных ГУ «Ресурсы Ямала»;

обеспечение доступа (по согласованию с Руководителем) должностных лиц РУЦ ЯНАО в помещения, где размещаются Абонентские пункты Системы, для проведения плановых и внеплановых контрольных осмотров, контроля работоспособности аппаратно-программных средств Абонентских пунктов, контроля правильности исполнения Пользователями Участника требований настоящего Положения, иных документов, регламентирующих порядок использования программно-технических средств Системы;

принятие на себя обязательств по обеспечению беспрепятственного выполнения Федеральными органами безопасности функций контроля за соблюдением всех условий лицензий на право осуществления деятельности в области криптографической защиты информации;

самостоятельная и своевременная оплата услуг связи;

оказание содействия РУЦ ЯНАО в выполнении им своих функциональных обязанностей, вытекающих из настоящего Положения;

10.5. Основные права и обязанности Пользователя:

соблюдение требования настоящего Положения, эксплуатационной документации на Абонентский пункт, иных документов, регламентирующих порядок функционирования и использования Системы;

предъявление к другим Пользователям требований по безусловному исполнению ими своих обязательств по электронным документам с подтвержденной электронной цифровой подписью;

принятие всех мер к обеспечению сохранности и конфиденциальности своих индивидуальных закрытых ключей;

обеспечение работоспособности программно-технических средств Абонентского пункта Системы;

обязательство не передавать полученное программного обеспечения Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;

своевременное проведение проверок программного обеспечения персональной ЭВМ, с установленными аппаратно-программными средствами Абонентского пункта (в том числе, СКЗИ) на отсутствие вирусов и программных закладок в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;

своевременное информирование руководства предприятия обо всех случаях нарушения целостности программного обеспечения Абонентского пункта и входящих в его состав СКЗИ, оперативное восстановление программного обеспечения после нарушения его целостности в соответствии с эксплуатационной документацией на СКЗИ;

обеспечение условий для проведения уполномоченными должностными лицами Руководителем предприятия, РУЦ ЯНАО и федеральных органов безопасности проверок выполнения требований режима эксплуатации СКЗИ;

незамедлительное информирование Руководителя предприятия и РУЦ ЯНАО об отказах и сбоях в работе Абонентского пункта и Системы в целом;

В процессе использования Системы Пользователь также обязан:

сертификат ключа подписи отправителя утратил силу (не действует, находится в Списке отозванных сертификатов на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.

Перед принятием решения по исполнению полученного электронного документа Пользователь самостоятельно определяет необходимость дополнительной проверки нахождения сертификата ЭЦП отправителя в Списке отозванных сертификатов, публикуемом РУЦ ЯНАО установленным порядком.

В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией установленным порядком.

11.1. Все Участники Системы обязаны обеспечивать взаимную конфиденциальность в отношении сведений, получаемых в процессе подготовки, обработки и обмена электронными документами с использованием Системы, а также иной информации в любой форме, которая стала им известна вследствие их участия в Системе, в том числе до истечения трёх лет с даты выхода Пользователя из Системы.

11.2. Представление конфиденциальной информации всеми Участниками и Пользователями Системы, включая ГУ «Ресурсы Ямала» и РУЦ ЯНАО, налоговым, правоохранительным и судебным органам осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.

Должностные лица Участников Системы, допущенные к средствами Системы и конфиденциальной информации, которая циркулирует в них, допускаются к работе со сведениями, содержащими конфиденциальную информацию, только после подписания Обязательства о неразглашении конфиденциальной (служебной и/или коммерческой) информации.

За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению все Участники и Пользователи Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.

13.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, все Участники и Пользователи Системы исходят из того, что:

вопросы урегулирования споров и разногласий между Участниками и Пользователями Системы, возникающих по иным основаниям и не связанных с фактами применения в электронном документообороте средств шифрования и ЭЦП, не рассматриваются в настоящем Положении и решаются в соответствии с иными соглашениями спорящих сторон;

электронный документ порождает обязательства одного Пользователя перед другим Пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП, доставлен другому Пользователю, и при этом сертификат ЭЦП отправителя действует, а ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи;

Пользователи Системы признают, что используемая в соответствии с настоящим Положением система защиты информации в Системе, которая обеспечивается использованием сертифицированных средств ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;

Пользователи Системы признают, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.

Отказ Пользователя, получившего из Системы электронный документ с ЭЦП отправителя, из-за отрицательного результата проверки ЭЦП этого электронного документа, хотя проверка осуществлялась посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, а Отправитель настаивает на корректности отправленного документа.

13.3. Если Стороны самостоятельно на основании настоящего Положения, имеющихся договоренностей, а также путём переговоров не в состоянии разрешить конфликтную ситуацию, Отдел РУЦ ЯНАО организует в целях её разрешения проведение технической экспертизы.

В качестве независимых технических специалистов могут привлекаться специалисты в области криптографии, защиты информации, программно-аппаратных средств, которые не должны состоять с конфликтующими Сторонами в трудовых или подрядных отношениях.

13.5. Основанием для формирования РУЦ ЯНАО экспертной комиссии служит Заявление одного или нескольких Участников о споре по поводу авторства или подлинности текста конкретного электронного документа, подписанного ЭЦП, который не удаётся решить путём переговоров между заинтересованными Сторонами.

13.6. В течение 3 дней после получения Заявления РУЦ ЯНАО обязан уведомить все имеющие отношение к рассматриваемому документу или вопросу Стороны о месте и времени проведения экспертизы и составе экспертной комиссии.

13.7. РУЦ ЯНАО и экспертная комиссия принимают меры к тому, чтобы экспертиза была проведена в срок не более 5 дней с момента поступления заявления. В исключительных случаях срок может быть продлён, но не более чем на 5 дней.

13.8. В ходе экспертизы рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с порядком, описанном в настоящем Положении. При этом могут быть использованы следующие эталонные данные:

электронный документ, подписанный ЭЦП, подлинность и/или целостность которого оспаривается;

эталонные дистрибутивы СКЗИ;

13.9. Экспертная комиссия проводит экспертизу только после получения всех необходимых материалов, как правило, в помещении РУЦ ЯНАО.

13.10. В случае получения Пользователем одной Стороны электронного документа, подлинность ЭЦП которого в результате проверки не подтвердилась (конфликтная ситуация типа а), а Отправитель настаивает на корректности отправленного электронного документа и исполнении Получателем вытекающих из него обязательств, то для разрешения конфликта Стороны предпринимают следующие действия:

3.10.2. К вновь полученному электронному документу применяется установленным образом процедура проверки ЭЦП. В случае если новая проверка дала положительный результат и сертификат ключа подписи отправляющей стороны действует (содержится в Реестре действующих сертификатов ключей подписей Пользователей) или есть доказательства, что на момент подписания электронного документа он действовал, и электронная цифровая подпись используется в соответствии со сведениями, указанными в этом сертификате ключа подписи, то принимающая Сторона признает корректность полученного электронного документа, о чём уведомляет письменно (по электронной почте) передающую сторону.

В таком случае передающая Сторона обязана сравнить имеющийся у неё сертификат её индивидуального ключа подписи на бумажном носителе с сертификатом, опубликованном установленным образом РУЦ ЯНАО. При их несовпадении — прекратить использование имеющихся индивидуальных ключей Пользователя и уведомить о случившемся получающую Сторону и РУЦ ЯНАО. При отсутствии признаков возможной компрометации закрытых криптографических ключей, получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи подписи и соответствующий сертификат в порядке, установленном настоящим Положение для их выдачи.

13.10.4. При совпадении сертификата индивидуального ключа подписи отправляющей Стороны на бумажном носителе с сертификатом, опубликованным установленным образом РУЦ ЯНАО, отправляющая Сторона осуществляет штатными средствами своего Абонентского пункта проверку целостности и неизменности программного обеспечения СКЗИ, в соответствии с эксплуатационной документацией, и при необходимости переустановить его. После чего заново формирует запрашиваемое сообщение, подписывает и направляет Принимающей Стороне с уведомлением о выявленных недостатках по его вине.

Получив уведомление, приёмная Сторона, в свою очередь, осуществляет установленным образом проверку программного обеспечения СКЗИ своего Абонентского пункта СЮЗЗЭД ЯНАО. При выявлении отклонений от эталонного состояния Получатель заново инсталлирует программных средств Абонентского пункта, уведомляет о случившемся передающую Сторону и повторно запрашивает сообщение для осуществления проверки его корректности.

13.10.6. Удостоверяющий центр организует техническую экспертизу программно-технических средств Абонентских пунктов обеих Сторон и служебное расследование в целях установления либо факта подмены и компрометации индивидуального закрытого ключа передающей Стороны, либо выявления неисправностей технических средств одной или обеих Сторон.

В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признаётся сторона, допустившая такие нарушения.

Аналогичным образом, если Отправитель, по мнению Получателя, необоснованно отказывается от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств электронной цифровой подписи и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, не признавая либо факт отправки документа, либо его целостности и подлинности, то Получатель также должен известить Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.

13.11.1. Сформированная РУЦ ЯНАО экспертная комиссия устанавливает на персональный компьютер соответствующий техническим требованиям, предъявляемым к аппаратным средствам Абонентского пункта Системы, эталонную операционную систему и эталонное программное обеспечение, хранящееся в РУЦ ЯНАО. Компьютер, используемый для проведения технической экспертизы, не должен иметь установленного на нём программного обеспечения. С этой целью его жесткий диск предварительно форматируется в присутствии членов Экспертной комиссии.

В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признаётся сторона, допустившая такие нарушения.

произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте Администратора РУЦ ЯНАО;

распечатать сертификат открытого ключа ЭЦП Пользователя из Реестра действующих сертификатов ключей подписи Пользователей, который ведётся РУЦ ЯНАО;

Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного Пользователем сертификата и сертификат открытого ключа ЭЦП из Реестра действующих сертификатов ключей подписи Пользователей Удостоверяющего Центра, а также наличие в протоколе проверки подписи Пользователя записи «Подпись верна».

реквизиты ГУ «Ресурсы Ямала»;

фамилии, имена, отчества экспертов, с указанием их должностей и реквизитов организаций, которые они представляют;

описание выполненных в ходе экспертизы действий с указанием точных результатов, использованных при этом аппаратных средств и программного обеспечения;

подписи членов экспертной комиссии;

Один экземпляр заключения остаётся на архивное хранение в РУЦ ЯНАО, по одному экземпляру передаётся спорящим Сторонам.

Если хотя бы одна из Сторон, участвующих в конфликте, не соглашается с результатами и выводами указанной комиссии, то такие споры или разногласия подлежат передаче на рассмотрение в Арбитражный суд в соответствии с действующим законодательством Российской Федерации.

Решение экспертной комиссии может направляться в судебные инстанции в качестве приложения к исковому заявлению или рассматриваемому делу.

14.1. Процедура прекращения обслуживания Участника в Системе выполняется при завершении срока действия Договора на обслуживание для юридических лиц в Системе или при его досрочном расторжении одной из Сторон.

Возврат всех перечисленных средств осуществляется по Акту, подписываемому уполномоченным должностным РУЦ ЯНАО и уполномоченным должностным лицом Участника. Акт возврата создаётся в двух экземплярах, один из которых передаётся на Архивное хранение Участнику, а второй — хранится в РУЦ ЯНАО.

Источник

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Рекомендуем посмотреть