ПРАВИТЕЛЬСТВО КИРОВСКОЙ ОБЛАСТИПОСТАНОВЛЕНИЕот 14.08.2007 № 103/333
Об электронной цифровой подписи в системеэлектронного документооборота и делопроизводства
_______________________________________________________________________Документ с изменениями, внесеннымипостановлением Правительства Кировской области от 30.11.2011 № 130/610_______________________________________________________________________
Губернатор Кировской областиН.И. Шаклеин
УТВЕРЖДЕНпостановлением ПравительстваКировской областиот 14.08.2007 № 103/333
Содержание
- 1
1. Введение
- 2
2. Термины и определения
- 3
3. Общие положения
- 4
7. Порядок хранения и уничтожения электронных документов, подписанных ЭЦП
- 5
9. Права и обязанности владельца сертификата ключа ЭЦП
- 5.1
1. Общие положения
- 5.2
2. Уполномоченный орган исполнительной власти Кировской области в сфере использования ЭЦП
- 5.3
3. Состав и порядок ведения Реестра
- 5.4
4. Организация выдачи сертификатов уполномоченным лицам
- 5.5
5. Отзыв сертификатов уполномоченных лиц
- 5.6
6. Обязанности уполномоченных лиц
- 5.7
7. Порядок внесения изменений и дополнений в настоящее Положение
- 5.7.1
Форма № 1. ЗАЯВКА на регистрацию в Реестре уполномоченных лиц органов исполнительной власти Кировской области
- 5.7.2
Форма № 2. ЗАЯВЛЕНИЕ на изготовление сертификата ключа электронной цифровой подписи
- 5.7.3
Форма № 3. АКТ сдачи в эксплуатацию рабочего места со средствами электронной цифровой подписи
- 5.7.4
Форма № 5. АКТ уничтожения закрытых ключей электронной цифровой подписи
- 5.7.5 Источник
- 5.7.1
1. Введение
2. Термины и определения
Открытый ключ шифрования — криптографический ключ, который связан с закрытым ключом с помощью особого математического соотношения. Открытый ключ известен другим пользователям системы и предназначен для проверки электронной цифровой подписи и шифрования. При этом открытый ключ не позволяет вычислить закрытый ключ.Открытый ключ ЭЦП— уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе.Подтверждение подлинности ЭЦП в электронном документе — положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа ЭЦП принадлежности ЭЦП в электронном документе владельцу сертификата ключа ЭЦП и отсутствия искажений в подписанном данной ЭЦП электронном документе.Пользователь сертификата ключа ЭЦП — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа ЭЦП для проверки принадлежности ЭЦП владельцу сертификата ключа ЭЦП.Пользователь СЭДД — сотрудник органа исполнительной власти, работающий с СЭДД и действующий в соответствии с регламентом работы в системе электронного документооборота органов исполнительной власти Кировской области.Средства ЭЦП — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе, создание закрытых и открытых ключей ЭЦП.Сертификат средств ЭЦП — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств ЭЦП установленным требованиям.Сертификат ключа ЭЦП — документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ ЭЦП и выдается удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа ЭЦП.Список отозванных сертификатов (далее — СОС), Certificate revocation list, CRL — электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, включающий в себя список серийных номеров сертификатов открытых ключей ЭЦП, которые на определенный момент времени были отозваны (аннулированы) или действие которых было приостановлено.
3. Общие положения
подтверждена подлинность ЭЦП в электронном документе;ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа ЭЦП.3.3. Пользователь СЭДД может быть одновременно владельцем некоторого количества сертификатов ключей ЭЦП. Количество сертификатов определяется уполномоченным органом.3.4. К событиям, связанным с компрометацией ключей ЭЦП, относятся: утрата ключевых носителей;утрата ключевых носителей с последующим обнаружением; увольнение сотрудников, имевших доступ к ключевым носителям;возникновение подозрений на утечку информации или ее искажение в СЭДД;нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;доступ посторонних лиц к ключевой информации;случаи, когда нельзя достоверно установить причину выхода из строя ключевых носителей (в том числе, когда не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника);другие причины появления сомнений в сохранении тайны закрытого ключа ЭЦП.
4. Общие вопросы организации защиты информации4.1. Изготовление закрытых и открытых ключей ЭЦП возможно на автоматизированном рабочем месте уполномоченного лица удостоверяющего центра или на рабочем месте владельца сертификата ключа ЭЦП через систему временного сертификата.4.2. Для обеспечения конфиденциальности информации должно применяться программное обеспечение криптозащиты и шифрования.4.3. Для того чтобы зашифровать файл, требуется открытый ключ получателя зашифрованных данных. Для расшифровки данных получатель использует свой закрытый ключ.4.4. Владелец сертификата ключа ЭЦП получает доступ к реестру сертификатов других участников СЭДД (далее — Реестр) и списку отозванных сертификатов на сайте удостоверяющего центра в Интернете по адресу: http://www.atlasnet.ru/crl/atlasnet/Atlasnet.crl.
Порядок получения СКЗИ, ключей ЭЦП и сертификатов ЭЦП приводится в Положении о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти Кировской области.
6. Порядок действий владельца сертификата ключа ЭЦП при работе с документами и ЭЦП в СЭДД6.1. Передача электронного документа6.1.1. Переданные владельцу сертификата ключа ЭЦП документы на бумажных носителях подлежат обязательной регистрации согласно Инструкции по делопроизводству в органах исполнительной власти Кировской области, утвержденной распоряжением Правительства области от 15.08.2005 № 265 «Об утверждении Инструкции по делопроизводству в органах исполнительной власти Кировской области» (далее — Инструкция по делопроизводству).6.1.2. После регистрации владелец сертификата ключа ЭЦП обеспечивает изготовление точных копий этих документов в электронном виде, в которых подлинность собственноручной подписи должностного лица, имеющего право подписания этого документа, удостоверяет своей ЭЦП согласно настоящему Регламенту ЭЦП.6.1.3. При рассылке электронных копий документов исполнителям, иным заинтересованным органам и должностным лицам согласно списку рассылки владелец сертификата ключа ЭЦП подписывает электронную копию документа с помощью своей ЭЦП, тем самым создает дополнительный файл, содержащий данные его ЭЦП, и отправляет этот файл вместе с подписанным документом.6.2. Прием электронных документов, подписанных ЭЦП6.2.1. При получении электронного документа, подписанного ЭЦП, владелец сертификата ключа ЭЦП проверяет статус ЭЦП и целостность электронного документа в соответствии с настоящим Регламентом ЭЦП.6.2.2. Отправителю электронного документа направляется уведомление о принятии электронного документа либо в случае нарушения правильности адреса или подлинности электронного документа или ЭЦП уведомление об отказе в приеме с указанием причины отказа.6.2.3. Владелец сертификата ключа ЭЦП регистрирует электронный документ в СЭДД и прикрепляет зарегистрированный электронный документ и ЭЦП, которой он подписан, к регистрационной карточке.6.2.4. Документ на бумажном носителе передается адресатам, иным заинтересованным органам и должностным лицам согласно списку, изложенному в справке рассылки.
7. Порядок хранения и уничтожения электронных документов, подписанных ЭЦП
в базе данных на жестком диске (на локальном компьютере или на сервере с обязательным периодическим изготовлением копий на внешних носителях).7.3.2. Хранение электронных документов, размещенных в деле, осуществляется согласно подпункту 7.3.1 настоящего Регламента ЭЦП, при этом в дело помещается описание электронного документа, которое содержит:регистрационный номер документа;дату регистрации;название документа;аннотацию (указание лица, от которого поступил электронный документ, исходящий номер и дату документа);описание электронного формата;вид носителя;описание физической и логической структуры (для баз данных);объем документа (для баз данных также количество записей);копию сертификата ключа ЭЦП, используемого для подтверждения подлинности ЭЦП;место хранения электронного документа.
8. Функции и задачи удостоверяющего центра8.1. В функции удостоверяющего центра входит:изготовление ключей ЭЦП по заявке уполномоченного органа с гарантией сохранения в тайне закрытого ключа ЭЦП;изготовление сертификатов ключей ЭЦП;приостановление и возобновление действия сертификатов ключей ЭЦП, а также их аннулирование;ведение реестра сертификатов ключей ЭЦП, обеспечение его актуальности и возможности свободного доступа к нему участников СЭДД;проверка уникальности открытых ключей ЭЦП в реестре сертификатов ключей ЭЦП и архиве удостоверяющего центра;выдача сертификатов ключей подписи в форме документов на бумажных носителях и в форме электронных документов с информацией об их действии;осуществление по обращениям пользователей сертификатов ключей ЭЦП подтверждения подлинности ЭЦП в электронном документе в отношении выданных им сертификатов ключей ЭЦП.8.2. Удостоверяющий центр в течение одного рабочего дня уведомляет уполномоченный орган и владельцев сертификатов ключей ЭЦП о фактах, которые стали ему известны и которые существенным образом могут сказаться на возможности дальнейшего использования СКЗИ и сертификата ключа ЭЦП.8.3. Действие сертификата ключа ЭЦП может быть приостановлено удостоверяющим центром на основании указания лиц или органов, имеющих такое право в соответствии с действующим законодательством.
9. Права и обязанности владельца сертификата ключа ЭЦП
немедленно требовать приостановления действия сертификата ключа ЭЦП при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена.9.3. Изготовление новых ключей ЭЦП и их сертификация взамен скомпрометированных производится удостоверяющим центром после проведения расследования причин компрометации.9.4. При несоблюдении требований, изложенных в настоящем разделе, и допущении компрометации собственных ключей ЭЦП возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа ЭЦП.9.5. Режим безопасности при работе с СКЗИ должен соответствовать требованиям нормативных документов и определяется распоряжениями Правительства области.9.6. Замена ключей ЭЦП производится по инициативе владельца сертификата ключа ЭЦП, но не реже одного раза в год.
10. Действия сторон при компрометации ключа ЭЦП10.1. Владелец сертификата ключа ЭЦП в случае принятия решения о компрометации собственных ключей ЭЦП обязан немедленно информировать удостоверяющий центр о наступлении события, трактуемого как компрометация, и прекратить обмен электронными документами с другими участниками СЭДД.10.2. Удостоверяющий центр обязан аннулировать скомпрометированные ключи ЭЦП (занести их сертификаты в СОС).10.3. Владелец сертификата ключа ЭЦП, объявивший о компрометации собственных ключей ЭЦП, в течение одного рабочего дня документально оформляет уведомление и направляет его уполномоченному органу.10.4. Уполномоченный орган направляет полученное уведомление удостоверяющему центру.
11. Конфиденциальность информации11.1. Удостоверяющий центр, уполномоченный орган и владельцы сертификатов ключей ЭЦП в процессе работы в СЭДД обязаны обеспечить сохранность конфиденциальной информации, полученной друг от друга, в соответствии с действующим законодательством Российской Федерации.11.2. Порядок представления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации.
12.1. Владелец сертификата ключа ЭЦП несет ответственность за сохранность и правильность эксплуатации СКЗИ и своих закрытых ключей ЭЦП.12.2. Ответственность за содержание и правильность оформления документа на бумажном носителе несет лицо, подписавшее его собственноручной подписью, а ответственность за точность копии этого документа в электронном виде несет владелец сертификата ключа ЭЦП, подписавший электронный документ своей ЭЦП.12.3. В случае несвоевременного сообщения о факте компрометации ключей ЭЦП владелец сертификата ключа ЭЦП, допустивший компрометацию ключей ЭЦП, несет ответственность в полном объеме за ущерб, причиненный им другим участникам СЭДД.12.4. За неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту ЭЦП участники СЭДД несут ответственность в соответствии с действующим законодательством Российской Федерации.
13. Порядок взаимодействия сторон, связанный с нештатной ситуацией при эксплуатации СКЗИ13.1. При возникновении нештатных ситуаций, таких, как выход из строя ключевого носителя, сбои и отказы в работе СКЗИ, сбои и отказы в работе средств ЭЦП и др., владелец сертификата ключа ЭЦП обязан:руководствоваться положениями и инструкциями эксплуатационной документации;сообщить о возникшей ситуации уполномоченному органу и удостоверяющему центру;выполнить указания удостоверяющего центра, касающиеся выхода из данной нештатной ситуации.13.2. В случае нарушения правил использования СКЗИ и (или) возникновения конфликтных ситуаций, связанных с подтверждением авторства и (или) подлинности электронных документов, заверенных ЭЦП, или иных конфликтных ситуаций, связанных с использованием ЭЦП, участники СЭДД руководствуются Порядком разрешения конфликтных ситуаций (приложении № 2).
14. Прочие условия14.1. Изменения и дополнения вносятся в настоящий Регламент ЭЦП по предложению уполномоченного органа при наличии согласования с удостоверяющим центром.14.2. Все приложения, изменения и дополнения являются неотъемлемой частью настоящего Регламента ЭЦП.
Приложение № 1к Регламенту ЭЦП
Приложение № 2к Регламенту ЭЦП
Удостоверяющий центр обеспечивает выполнение технических мероприятий при разборе следующих конфликтных ситуаций, связанных с практикой применения ЭЦП:конфликтных ситуаций, связанных с удостоверением подлинности ЭЦП уполномоченного лица удостоверяющего центра в выданных им в электронном виде сертификатах открытых ключей ЭЦП;конфликтных ситуаций, связанных с удостоверением подлинности ЭЦП владельцев ключей подписи в электронных документах, порожденных в автоматизированных системах.
1. Порядок разбора конфликтной ситуации, связанной с проверкой ЭЦП уполномоченного лица удостоверяющего центраПроверке сертификата открытого ключа ЭЦП, изданного удостоверяющим центром, подлежит сертификат открытого ключа ЭЦП, выданный владельцу в электронном виде.Разбор конфликтной ситуации выполняется по инициативе любого участника автоматизированной системы и состоит из:предъявления претензии одной стороны другой;формирования комиссии;разбора конфликтной ситуации;взыскания с виновной стороны принесенного ущерба в соответствии с решением сформированной комиссии.Состав комиссии, место проведения разбирательства в рамках комиссии определяются участниками конфликтной ситуации (далее — участники) конкретно для каждого случая.В состав комиссии входят представители участников и эксперты других организаций, признаваемые участниками. Участники способствуют работе согласительной комиссии, не допускают отказа от представления необходимых для работы комиссии документов.Разбор конфликтной ситуации проводится:на программно-аппаратной базе Крипто Про Удостоверяющий центр;на базе программного комплекса для разбора конфликтных ситуаций для сертификата открытого ключа ЭЦП, издание которого оспаривается.Проверка выданного уполномоченным лицом удостоверяющего центра сертификата открытого ключа ЭЦП включает в себя:определение сертификата, необходимого для проверки ЭЦП уполномоченного лица удостоверяющего центра;проверку ЭЦП, выданного уполномоченным лицом удостоверяющего центра сертификата открытого ключа ЭЦП путем построения цепочки сертификатов до сертификата главного (головного) удостоверяющего центра;
2. Порядок разбора конфликтной ситуации, связанной с проверкой ЭЦП электронного документа
определение сертификата или нескольких сертификатов, необходимых для проверки ЭЦП;проверку ЭЦП электронного документа с использованием каждого сертификата;определение даты формирования каждой ЭЦП в электронном документе;проверку ЭЦП каждого сертификата путем построения цепочки сертификатов до сертификата главного центра сертификации;проверку действительности сертификатов на текущий момент времени;проверку отсутствия сертификатов в списке отозванных сертификатов.Если сертификат, необходимый для проверки ЭЦП документа, отозван удостоверяющим центром, комиссия принимает решение о действительности ЭЦП документа, используя дату создания документа и дату отзыва сертификата в СОС.При необходимости комиссия определяет правомерность использования сертификата на конкретном этапе технологического цикла автоматизированной системы, опираясь на дополнения «Регламенты использования сертификата» и «Расширенные области использования ключа электронной цифровой подписи», зарегистрированные для этого сертификата. Для этого комиссии дополнительно должны быть представлены подтверждения использования данных дополнений в прикладном программном обеспечении.При проверке ЭЦП документа, верификации цепочки сертификатов, отсутствии сертификата в списке отозванных сертификатов авторство подписи под документом считается установленным. Несовпадение даты формирования документа и сроков действия сертификата и (или) сроков действия ключа ЭЦП не влияет на определение авторства документа. На основе этих несовпадений можно сделать предположение о несоблюдении абонентом регламента в части сроков действия ключей ЭЦП, сертификатов или некорректном использовании сертификата в прикладном программном обеспечении.На основании протокола проверки ЭЦП издается акт, который является основным документом работы комиссии и должен быть подписан всеми членами комиссии. В акте излагаются выводы по результатам произведенной проверки. Акт является основанием для выработки окончательного решения между сторонами.
УТВЕРЖДЕНОпостановлением ПравительстваКировской областиот 14.08.2007 № 103/333
1. Общие положения
2. Уполномоченный орган исполнительной власти Кировской области в сфере использования ЭЦП
3. Состав и порядок ведения Реестра
4. Организация выдачи сертификатов уполномоченным лицам
5. Отзыв сертификатов уполномоченных лиц
6. Обязанности уполномоченных лиц
7. Порядок внесения изменений и дополнений в настоящее Положение
Форма № 1. ЗАЯВКА на регистрацию в Реестре уполномоченных лиц органов исполнительной власти Кировской области
Форма № 2. ЗАЯВЛЕНИЕ на изготовление сертификата ключа электронной цифровой подписи
Форма № 3. АКТ сдачи в эксплуатацию рабочего места со средствами электронной цифровой подписи
АКТсдачи в эксплуатацию рабочего места сосредствами электронной цифровой подписи
Форма № 4
Форма № 5. АКТ уничтожения закрытых ключей электронной цифровой подписи
АКТуничтожения закрытых ключей электронной цифровой подписи«__»________20_ года г. Киров
Владелец ключа подписи_____________________(И.О. Фамилия)Руководитель органа исполнительнойвласти Кировской области____________________(И.О. Фамилия)»__»_________20_г.М.П.
Источник