Основная информация
Дата опубликования: | 03 апреля 2008г. |
Номер документа: | ru89000200800156 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Ямало-Ненецкий автономный округ |
Принявший орган: | Администрация Ямало-Ненецкого автономного округа |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ПОСТАНОВЛЕНИЕ
АДМИНИСТРАЦИЯ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
Об утверждении Положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа
Документ утр. силу:
-постановлением Правительства автономного округа от 18.09.2017 № 991-П
В целях обеспечения функционирования инфраструктуры открытых ключей, а также с целью обеспечения правовых условий использования электронной цифровой подписи в системе юридически значимого защищённого электронного документооборота органов исполнительной власти Ямало-Ненецкого автономного округа Администрация Ямало-Ненецкого автономного округа п о с т а н о в л я е т:
1. Утвердить прилагаемое Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа.
2. Возложить на департамент информационных технологий и связи Ямало-Ненецкого автономного округа функции уполномоченного органа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.
3. Возложить на государственное учреждение «Ресурсы Ямала» функции уполномоченного регионального удостоверяющего центра Ямало-Ненецкого автономного округа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.
4. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Кима А.М.
Губернатор
Ямало-Ненецкого автономного округа Ю.В. Неёлов
от 3 апреля 2008 г. № 146-А
Утверждено
постановлением Администрации
Ямало-Ненецкого автономного округа
ПОЛОЖЕНИЕ
об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа
I. Общие положения
1.1. Положение об организации использования электронной цифровой подписи (далее - ЭЦП) и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа (далее - Положение) разработано в соответствии с федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», во исполнение постановления Губернатора Ямало-Ненецкого автономного округа от 9 марта 2004 года № 71 «О создании Ямало-Ненецкого регионального удостоверяющего центра» и определяет:
порядок обеспечения правовых, организационных и технических условий, при соблюдении которых ЭЦП под электронным документом признаётся равнозначной собственноручной подписи в документе на бумажном носителе;
порядок предоставления уполномоченным должностным лицам органов исполнительной власти Ямало-Ненецкого автономного округа (далее - автономный округ), органов местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностным лицам иных организаций, включённых в систему юридически значимого защищённого электронного документооборота автономного округа (далее - СЮЗЗЭД ЯНАО или Система), независимо от их организационно-правовой формы, услуг по изготовлению ключей ЭЦП и сертификатов ключей подписи, а также дополнительных услуг, связанных с управлением сертификатами ключей подписи;
порядок организации криптографической защиты информации с использованием технологий ЭЦП и шифрования при обмене электронными документами, подготовленными и передаваемыми Пользователями в Системе;
процедуру подтверждения того, что электронный документ, полученный из Системы:
исходит от Пользователя Системы (подтверждение авторства документа);
не претерпел изменений после его подписания в процессе обработки, хранения и передачи информации (подтверждение целостности и подлинности документа);
порядок изготовления юридически значимых копий электронного документа на бумажном носителе.
1.2. Безопасность информации, циркулирующей в Системе, обеспечивается реализацией комплекса правовых, организационных, технических и иных мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования информации и т.п.
Предотвращение несанкционированного доступа к техническим средствам Системы достигается применением средств защиты информации, сертифицированных Государственной технической комиссией при Президенте Российской Федерации или Федеральной службой технического и экспортного контроля.
В качестве средства защиты при передаче электронных документов по общедоступным каналам связи в Системе используется их шифрование на индивидуальных ключах Пользователя.
Обеспечение подлинности информации и придание электронному документу юридической силы достигается за счёт использования в Системе ЭЦП, сформированной на индивидуальном ключе ЭЦП Пользователя, которая обеспечивает защиту содержания документа от искажения и аутентификацию лица, подписавшего документ.
Применяемые в Системе средства шифрования и ЭЦП (средства криптографической защиты информации) должны быть сертифицированы Федеральным агентством правительственной связи информации при Президенте Российской Федерации (ФАПСИ) или Федеральной службой безопасности Российской Федерации.
1.3. Информационная безопасность и юридическая значимость электронного документооборота в Системе обеспечивается соответствием принятых в системе процедур оформления взаимоотношений между всеми участниками Системы, включая Региональный удостоверяющий центр ЯНАО (РУЦ ЯНАО), создания, подписания, хранения и передачи электронных документов, подтверждения подлинности ЭЦП и разрешения конфликтов между всеми участниками, а также предусмотренных в системе правовых, организационных и технических мер защиты информации требованиям:
Гражданского кодекса Российской Федерации;
федеральных законов от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи»;
постановлений Правительства Российской Федерации от 29 декабря 2007 года № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», от 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
руководящего документа Государственной технической комиссии при Президенте Российской Федерации «Средства вычислительной техники. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа»;
Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённого приказом ФСБ РФ от 9 февраля 2005 года № 66 и зарегистрированного в Министерстве юстиции Российской Федерации 3 марта 2005 года № 6382;
Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, объявленной приказом Федерального агентства правительственной связи при Президенте Российской Федерации от 13 июня 2001 года № 152 и зарегистрированного в Министерстве юстиции Российской Федерации 6 августа 2001 года № 2848.
Юридическая значимость, качество, надёжность и соответствие действующему законодательству Российской Федерации предоставляемых РУЦ ЯНАО с помощью СЮЗЗЭД ЯНАО услуг, используемых аппаратно-программных средств, оборудования и технологий, гарантируются соответствием требований действующих нормативных и правовых актов, государственных стандартов, а также наличием необходимых аттестатов, сертификатов и лицензий на их применение, выданных в установленном порядке.
1.4. Действие настоящего Положения распространяется на органы исполнительной власти автономного округа, органы местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностных лиц иных организаций, включённых в СЮЗЗЭД ЯНАО, независимо от их организационно-правовой формы, а также организации, чьё участие в документообороте с указанными органами регламентировано нормативно-правовыми актами.
II. Основные понятия
Абонентский пункт Участника Системы - комплекс аппаратно-программных средств, обеспечивающих Участнику (Пользователю) возможность ввода-вывода, передачи, обработки, контроля, защиты и идентификации конфиденциальной информации и персональных данных, циркулирующей в СЮЗЗЭД ЯНАО.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Авторство электронного документа - принадлежность корректной электронной цифровой подписи данного документа конкретному Пользователю СЮЗЗЭД ЯНАО.
Администратор безопасности (Абонентского пункта) - полномочное лицо, ответственное за обеспечение информационной безопасности в СЮЗЗЭД ЯНАО (Абонентском пункте Участника СЮЗЗЭД ЯНАО).
Аутентификация информации - установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная получателем информация была передана подписавшим е` законным отправителем и при этом не была искажена. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов.
Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита данных от утечки, утраты, несанкционированного уничтожения, искажения, подделки (модификации), копирования, блокирования и т.п.
Владелец сертификата ключа - физическое лицо, на имя которого РУЦ ЯНАО выдан сертификат ключа подписи и которое владеет соответствующим закрытым криптографическим ключом.
Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.
Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.
Зашифровывание (шифрование) данных - процесс преобразования открытых данных в зашифрованные при помощи шифра.
Имитозащита - защита системы шифрованной связи от навязывания ложных данных.
Имитовставка - отрезок информации фиксированной длины, полученной по определённому правилу из открытых данных и ключа.
Индивидуальный закрытый ключ ЭЦП Пользователя - имеющийся только у Пользователя СЮЗЗЭД ЯНАО и хранящийся в тайне криптографический ключ, который используется им для формирования электронной цифровой подписи электронных документов. Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную только владельцу сертификата ключа подписи, которая предназначена для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.
Индивидуальный открытый ключ ЭЦП Пользователя - зарегистрированный и подписанный (сертифицированный) установленным порядком РУЦ ЯНАО, не являющийся закрытым и известный всем другим Пользователям СЮЗЗЭД ЯНАО криптографический ключ, однозначно связанный с индивидуальным закрытым ключом для формирования ЭЦП и предназначенный для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи Пользователя под документом, позволяющей идентифицировать автора подписи и определить достоверность и целостность электронного документа, но не допускающей вычисления индивидуального закрытого ключа ЭЦП Пользователя.
Инсталляционные дискеты \ CD СКЗИ - лицензионно чистые носители информации (магнитные дискеты 3,5\" и/или CD), содержащие программы, реализующие сертифицированные средства криптографической защиты информации.
Криптографическая защита - защита данных при помощи криптографического преобразования данных.
Криптографическое преобразование - преобразование данных с использованием шифрования и (или) выработки имитовставки.
Компрометация ключа (ключевой информации) - факт (или подозрение на факт) раскрытия закрытой ключевой информации; - утрата доверия к тому, что используемые ключи обеспечивают подлинность, защищённость и безопасность информации.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность информации - субъективно приписываемое информации свойство (характеристика), указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.
Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Контроль доступа (управление доступом) - процесс ограничения доступа к ресурсам системы только разрешённым субъектам или объектам.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определённый её владельцем или соглашением участников этой информационной системы.
Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением её правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Ключ (Криптографический ключ) - конкретное закрытое состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий в тексте сообщения искажения, не позволяющие понять его смысл.
Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий в результате случайных или преднамеренных действий Пользователей или других субъектов (с использованием штатных аппаратных, аппаратно-программных, программных средств автоматизированной системы) установленные правила разграничения доступа.
Носитель ключевой информации - физическое устройство (дискета, е- Token, смарт-карта и т.д.), содержащее ключи для выполнения криптографических процедур шифрования и расшифровывания, формирования электронной цифровой подписи абонента, а также необходимую служебную информацию.
Пароль - закрытая информация аутентификации, обычно представляющая собой строку знаков, которой должен обладать Пользователь для доступа к защищаемым данным и/или техническим средствам.
Плановая смена ключей - смена ключей с установленной в СЮЗЗЭД ЯНАО периодичностью, не вызванная компрометацией ключей.
Подлинник (оригинал) электронного документа - компьютерный файл, содержащий текст документа и подлинную электронную цифровую подпись, по крайней мере, одного из Пользователей СЮЗЗЭД ЯНАО.
Распечатка электронного документа на бумажном носителе - распечатка на бумажном носителе подлинника электронного документа, выполненная в соответствии с установленным в СЮЗЗЭД ЯНАО порядком, с реквизитами (фамилия, имя, отчество, должность и т.п.) всех Пользователей, подписавших электронный документ, заверенная их подписями, а со стороны РУЦ ЯНАО заверенная личной подписью уполномоченного лица государственного учреждения «Ресурсы Ямала» (далее - ГУ «Ресурсы Ямала») и печатью ГУ «Ресурсы Ямала».
Уполномоченное лицо - начальник отдела «РУЦ ЯНАО» ГУ «Ресурсы Ямала» либо лицо, его замещающее.
Подписание электронного документа (формирование электронной цифровой подписи) - процесс вычисления в соответствии с заданным алгоритмом по электронному документу и индивидуальному закрытому ключу Пользователя, предназначенному для формирования ЭЦП и имеющемуся лишь у автора, цифровой последовательности, называемой электронной цифровой подписью данного лица под данным электронным цифровым документом.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Расшифровывание данных - процесс преобразования зашифрованных данных в открытые при помощи шифра.
Реестр действующих сертификатов ключей подписей Пользователей - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий действующие на данный момент времени сертификаты ключей подписей со всеми их реквизитами и подписанный действующей электронной цифровой подписью должностного лица РУЦ ЯНАО.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица РУЦ ЯНАО, который выдаётся РУЦ ЯНАО Пользователю СЮЗЗЭД ЯНАО для подтверждения подлинности электронной цифровой подписи ключа и идентификации владельца сертификата открытого ключа. Сертификат открытого ключа (ЭЦП или шифрования) Пользователя СЮЗЗЭД ЯНАО содержит следующие сведения:
уникальный регистрационный номер сертификата ключа;
даты начала и окончания срока действия сертификата ключа;
фамилия, имя и отчество владельца сертификата ключа;
должность владельца сертификата ключа с указанием наименования и места нахождения организации, в которой установлена эта должность;
наименование средств ЭЦП, с которыми используется данный открытый ключ;
наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа;
сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение .
Список отозванных сертификатов (СОС) - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий аннулированные (отозванные) и приостановленные на данный момент времени сертификаты ключей подписи со всеми их реквизитами и указанием конкретного состояния каждого включенного в него сертификата, подписанный действующей электронной цифровой подписью уполномоченного лица РУЦ ЯНАО.
Public Key Cryptography Standarts (PKCS) - стандарты криптографии с открытым ключом, разработанные компанией RSA Security. Удостоверяющий центр осуществляет свою работу в соответствии со следующими стандартами PKCS:
PKCS#7 - стандарт, определяющий формат и синтаксис криптографических сообщений. Банк использует описанный в PKCS#7 тип данных PKCS#7 Signed - подписанные данные. Электронный документ,
оформленный с соблюдением требований PKCS#7 Signed, является электронным документом, содержащим электронную цифровую подпись;
PKCS#10 - стандарт, определяющий формат и синтаксис запроса на сертификат открытого ключа подписи. Электронный документ, оформленный с соблюдением требований PKCS#10, содержит информацию о сертифицируемом открытом ключе, используемом криптографическом средстве и данные, необходимые для идентификации владельца сертифицируемого открытого ключа электронной цифровой подписи.
Управление ключами - изготовление (генерация) ключей, их хранение, распространение, удаление (уничтожение), учёт и применение в соответствии с настоящим Положением.
Целостность информации - свойство информации, заключающееся в её существовании в не искажённом, неизменном по отношению к некоторому фиксированному её состоянию виде.
Шифрование - процесс зашифрования (шифрования) или расшифровывания.
Шифр - совокупность преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей.
Шифровальные средства (средства криптографической защиты информации - СКЗИ):
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при её обработке, хранении и передаче по каналам связи, включая шифровальную технику;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
ручные шифры, документы кодирования и другие носители ключевой информации.
Электронный документ (документ в электронной форме) - служебное информационное сообщение, платёжное поручение, запись в электронной базе данных и т.д., подготовленное с использованием СЮЗЗЭД ЯНАО на основе документа на бумажном носителе или на основе иного электронного документа, или порожденное в процессе информационного общения, зафиксированное на материальном носителе в виде компьютерного файла сообщение, снабженные реквизитами, позволяющими идентифицировать это сообщение и его авторов.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Уполномоченный удостоверяющий центр - Региональный удостоверяющий центр автономного округа, определённый Губернатором автономного округа для выпуска сертификатов ключей подписи уполномоченных лиц органов исполнительной власти автономного округа. Предназначен для обеспечения участников информационных систем средствами и спецификациями для использования сертификатов открытых ключей.
Реестр - перечень должностных лиц, которым выдаются сертификаты ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти Ямало-Ненецкого автономного округа. Реестр ведёт Уполномоченный орган.
РУЦ ЯНАО входит в структуру ГУ «Ресурсы Ямала» в качестве отдела, он организует и поддерживает работу подсистемы обеспечения безопасности информации Системы, осуществляет проверку готовности Участников и регистрацию Пользователей, обеспечивает их необходимыми для работы аппаратными, аппаратно-программными, программными средствами, ключевой информацией, нормативными руководящими материалами, координирует Систему, ведет учет распечатанных электронных документов. Наименования ГУ «Ресурсы Ямала» и «РУЦ ЯНАО» для Участников Системы являются равнозначными и равноопределяющими.
Уполномоченный орган - это исполнительный орган государственной власти ЯНАО, осуществляющий регулирование использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа. Уполномоченный орган организовывает свою деятельность в целях обеспечения перехода к безбумажной форме документооборота с использованием ЭЦП в информационных системах исполнительных органов государственной власти автономного округа.
Участники Системы - органы государственной власти автономного округа. органы местного самоуправления, государственные и муниципальные учреждения и организации автономного округа, иные организации, включенные в Систему, независимо от их организационно-правовой формы), зарегистрированные в Системе и заключившие Договор на обслуживание для юридических лиц с её Организатором - ГУ «Ресурсы Ямала».
Порядок подключения Участника к информационным ресурсам Системы определяется настоящим Положением.
Пользователи Системы (Пользователи) - физические лица, исполняющие должностные обязанности в органах государственной власти автономного округа, органах местного самоуправления, государственных, муниципальных учреждениях и организациях автономного округа, или должностные обязанности в иных организациях, включенных в Систему, и уполномоченные этим учреждением осуществлять электронный документооборот в Системе с использованием технологий ЭЦП и/или шифрования. Пользователями так же являются физические лица, жители автономного округа присоединяющиеся к Системе как частные персоны.
Порядок включения физических лиц, исполняющих должностные обязанности в организациях-Участниках Системы, в число Пользователей определяется настоящим Положением.
III. Организационная структура Системы
3.1. СЮЗЗЭД ЯНАО представляет собой корпоративную информационную систему, организованную ГУ «Ресурсы Ямала», с целью обеспечения возможности безопасного и юридически значимого обмена информацией, в том числе платёжно-расчётными документами, в электронной форме, а также ведения защищённых от подделки и хищения баз данных и реестров в интересах органов исполнительной власти автономного округа, органов местного самоуправления, государственных муниципальных и иных организаций автономного округа, а также жителей автономного округа.
3.2. Организационно СЮЗЗЭД ЯНАО представляет собой двухуровневую структуру, которая включает в себя:
Верхний уровень - Организаторов Системы - Уполномоченный орган, ГУ «Ресурсы Ямала».
Нижний уровень - Участники и Пользователи Системы.
3.3. Все Пользователи Системы допускаются к работе исключительно на основании приказов руководителей соответствующих организаций-участников и только после регистрации в РУЦ ЯНАО.
IV. Порядок подключения Участников к Системе
4.1. Подключение Участника к Системе осуществляется на основании заключаемого договора между Участником и ГУ «Ресурсы Ямала».
4.2. Присоединение Участника к Системе, если это не оговорено особо при заключении Договора, осуществляется на неопределенный срок.
4.3. Работы по подключению организации-заявителя к Системе проводятся ГУ «Ресурсы Ямала» за счёт заявителя.
4.4. При подключении Участника к Системе ГУ «Ресурсы Ямала» на основании Договора на обслуживание для юридических лиц в Системе и соответствующего заявления осуществляет в согласованные сроки подготовку персонала Участника, проверку его готовности, регистрацию Пользователей Участника, проводит организационную и техническую подготовку Участника к использованию Системы, обеспечивает Пользователей Участника необходимой ключевой информацией и сертификатами ключей подписи, обеспечивает включение этих сертификатов в Реестр действующих сертификатов ключей подписей.
4.5. При заключении Договора на обслуживание для юридических лиц в Системе Участник представляет в РУЦ ЯНАО следующие сведения и документы:
список должностных лиц Участника (фамилия, имя, отчество, занимаемая должность), которым предоставлено право подписывать электронные документы электронной цифровой подписью и шифрование документов;
документальное подтверждение должностных полномочий Пользователей;
приказ о назначении на должности Администраторов информационной безопасности организации-Участника Системы;
сведения о помещениях, в которых предполагается эксплуатировать аппаратно-программные средства Абонентского пункта Системы;
сведения о предполагаемых к использованию Участником каналах связи, включая их тип, номера телефонов или адреса в сетях передачи данных;
телефонный номер для экстренной связи с ним (Участником);
обязательство перед Федеральной службой безопасности Российской Федерации об обеспечении возможности контроля за порядком использования средств криптографической защиты информации (СКЗИ) Участником со стороны федеральных органов безопасности.
Примечание.
При определении необходимого ему числа Абонентских пунктов, Участник должен учитывать, что на одном рабочем месте Системы могут работать несколько Пользователей.
4.6. ГУ «Ресурсы Ямала», если это предусмотрено Договором на обслуживание для юридических лиц в Системе, осуществляет приобретение необходимого для построения Абонентских пунктов Участника аппаратных средств, программного обеспечения, включая сертифицированные средства защиты информации.
4.7. После проведения РУЦ ЯНАО всех предусмотренных для подключения Участника Договором на обслуживание для юридических лиц в Системе работ, осуществляется регистрация должностных лиц Участника в качестве Пользователей Системы и получение этими лицами в РУЦ ЯНАО изготовленных индивидуальных криптографических ключей и сертификатов ключей подписи.
Порядок управления криптографическими ключами Пользователей, их изготовления и передачи Пользователями определяется настоящим Положением.
4.8. Кроме того, РУЦ ЯНАО после проведения всех предусмотренных для подключения Участника договором на обслуживание для юридических лиц в Системе работ осуществляет следующие мероприятия:
устанавливает (по требованию Участника) ПО СКЗИ, передаёт Участнику лицензию на использование ПО СКЗИ, а также полный комплект эксплуатационной документации на СКЗИ;
корректирует и публикует установленным порядком, обновлённый Реестр действующих сертификатов ключей подписей Пользователей.
4.9. Присоединение Участника и техническое подключение его Абонентских пунктов к Системе оформляется подписанием уполномоченными должностными лицами Сторон Акта установки и ввода в эксплуатацию аппаратно-программного комплекса Абонентских пунктов Системы.
4.10. Дальнейшее обслуживание Участника и техническое сопровождение аппаратно-программных средств его Абонентских пунктов Системы осуществляются РУЦ ЯНАО в соответствии с настоящим Положением, Регламентом деятельности РУЦ ЯНАО и Договором на обслуживание для юридических лиц в Системе.
V. Порядок изготовления и управления ключами в Системе
5.1. Использование технологий шифрования и электронной цифровой подписи в Системе обеспечивает конфиденциальность электронных документов и придает им юридическую силу. Несанкционированное использование индивидуальных закрытых ключей подписи Пользователя посторонними лицами приводит к утечке конфиденциальной информации и созданию или искажению с преступными намерениями юридически значимых электронных документов от имени должностного лица, обладающего индивидуальным закрытым ключом электронной цифровой подписи.
В связи с этим особое значение для обеспечения безопасности информации, циркулирующей в Системе, имеет сохранение в тайне индивидуальных закрытых ключей подписи. Во избежание опасных последствий необходимо:
строго соблюдать требования по обеспечению режима безопасности ключевой информации;
неукоснительно выполнять все организационные меры, направленные на защиту ключевой информации от несанкционированного доступа к ней;
в случае компрометации ключей, принять все меры к незамедлительному информированию о случившемся должностных лиц РУЦ ЯНАО, ответственных за безопасность информации, а также к локализации последствий компрометации, в соответствии с настоящим Положением.
Строгое соблюдение требований по обеспечению режима безопасности средств криптографической защиты информации и, в первую очередь, безопасности закрытой ключевой информации позволит оградить служебные и финансовые интересы Участников Системы от злонамеренных посягательств посторонних лиц и их возможных последствий.
5.2. В целях обеспечения безопасности конфиденциальной ключевой информации Участники и Пользователи Системы в процессе работы с действующими ключами должны выполнять требования эксплуатационных документов на сертифицированные СКЗИ.
Категорически запрещается:
осуществлять несанкционированное копирование ключевых данных;
хранить Носители ключевой информации вне мест, специально для этого установленных (согласно требованиям пункта 30 приказа ФАПСИ от 13 июня 2001 года № 152);
выдавать Носители ключевой информации лицам, не допущенным к работе с ними, или с отступлением от установленных правил;
во время перерывов в работе оставлять Носители ключевой информации без присмотра в устройствах считывания ПЭВМ, на рабочем месте, шкафах и ящиках, для этого не предназначенных;
передавать индивидуальные закрытые ключи шифрования и ЭЦП другим лицам иначе как на основании надлежащим образом оформленной доверенности;
производить уничтожение ключей на Носителях ключевой информации после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от описанных в эксплуатационной документации на СКЗИ;
Категорически не рекомендуется:
проносить и использовать в помещениях, где размещены сертифицированные СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру.
5.3. Подписание электронных документов каждым Пользователем Системы осуществляется с использованием индивидуального только ему принадлежащего, отличного от всех других, закрытого ключа ЭЦП Пользователя.
При такой организации Системы компрометация ключевой информации любого из Пользователей не приводит к компрометации ключей у других абонентов системы, что позволяет им продолжать подготовку юридически значимых электронных документов и безопасный обмен конфиденциальной информацией.
5.4. Управление ключами в Системе осуществляет РУЦ ЯНАО.
5.5. РУЦ ЯНАО вырабатывает закрытые и открытые ключи подписи на Автоматизированном рабочем месте РУЦ ЯНАО (АРМ РУЦ ЯНАО) в соответствии с государственной лицензией и эксплуатационной документацией на СКЗИ.
5.6. РУЦ ЯНАО для изготовления индивидуальных криптографических ключей использует программные и технические средства изготовления ключевой информации, сертифицированные и аттестованные уполномоченными государственными органами. РУЦ ЯНАО гарантирует отсутствие нерегламентированных процедур скрытого копирования индивидуальной закрытой ключевой информации в используемых программных и технических средствах.
5.7. Ключевая информация Пользователя генерируется и записывается РУЦ ЯНАО на Носители ключевой информации.
Каждый Носитель ключевой информации содержит всю ключевую информацию, необходимую для работы Пользователя. Носители ключевой информации являются конфиденциальной информацией и должны храниться в тайне. Должностные лица РУЦ ЯНАО, Участники и Пользователи несут персональную ответственность за обеспечение сохранности ключевой информации и защиту ключевых носителей от несанкционированного использования.
5.8. РУЦ ЯНАО изготавливает сертификаты криптографических ключей подписи и/или шифрования Пользователя в электронном виде и вместе с Носителем ключевой информации передает их Пользователю.
При изготовлении сертификатов ключей РУЦ ЯНАО оформляет 2 (два) экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица ГУ «Ресурсы Ямала», а также печатью ГУ «Ресурсы Ямала». Один экземпляр сертификата ключа на бумажном носителе выдаётся владельцу сертификата ключа, один - остаётся в РУЦ ЯНАО.
Сертификаты индивидуальных ЭЦП публикуются РУЦ ЯНАО в Реестре действующих сертификатов ключей подписей.
5.9. Индивидуальные открытые ключи подписи Пользователя считаются зарегистрированными в Системе, если на соответствующих сертификатах в форме документов на бумажных носителях присутствуют подписи Пользователя или его установленным образом уполномоченного лица и уполномоченного лица РУЦ ЯНАО.
Наличие на сертификатах индивидуальных ключей подписи в форме документов на бумажных носителях подписи Пользователя или его уполномоченного лица означает его обязательство использовать для проверки ЭЦП электронных документов и их зашифровывания исключительно данные криптографические ключи в течение всего периода их действия.
5.10. После получения сертификатов криптографических ключей и их регистрации в Системе Пользователь получает доступ к сертификатам открытых ключей других Пользователей и Списку отозванных сертификатов (СОС).
5.11. Периодичность и способ доставки обновлений Списка отозванных сертификатов РУЦ ЯНАО определяется Регламентом деятельности РУЦ ЯНАО.
5.12. Срок действия индивидуальных криптографических ключей Пользователей - не более 12 месяцев.
5.13. Плановая смена ключей (закрытого и соответствующего ему открытого ключа) уполномоченного лица РУЦ ЯНАО выполняется не ранее, чем через 1 (один) год и не позднее чем через 1 (один) год и 6 (шесть) месяцев после начала действия закрытого ключа (и, соответственно, сертификата ключа подписи) уполномоченного лица РУЦ ЯНАО.
5.14. Процедура плановой смены ключей определена Регламентом деятельности РУЦ ЯНАО.
5.15. В соответствии с этой процедурой Уполномоченное лицо РУЦ ЯНАО с помощью АРМ РУЦ ЯНАО формирует новые (закрытый и открытый) индивидуальные ключи и изготавливает сертификат нового открытого ключа, который подписывает своей ЭЦП с использованием нового закрытого ключа.
5.16. Старый закрытый ключ уполномоченного лица РУЦ ЯНАО используется в течение своего срока действия для формирования списков отозванных сертификатов в электронной форме, изданных РУЦ ЯНАО в период действия старого закрытого ключа уполномоченного лица РУЦ ЯНАО.
5.17. Внеплановая смена ключей уполномоченного лица РУЦ ЯНАО выполняется в случае компрометации или угрозы компрометации закрытого ключа уполномоченного лица РУЦ ЯНАО.
5.18. Последовательность действий Уполномоченного лица РУЦ ЯНАО в процесс внеплановой смены его криптографических ключей определена Регламентом деятельности РУЦ ЯНАО. И выполняется в порядке, предусмотренном для плановой смены ключей Уполномоченного лица РУЦ ЯНАО.
5.19. После создания Уполномоченным лицом РУЦ ЯНАО новых криптографических ключей и издания нового сертификата подписи все действующие сертификаты открытых ключей Пользователей УЦ аннулируются (отзываются) путём занесения их в Список отозванных сертификатов.
Старый сертификат открытого ключа уполномоченного лица РУЦ ЯНАО также аннулируется (отзывается) путём занесения в Список отозванных сертификатов.
Список отозванных сертификатов подписывается старым закрытым ключом, подвергшимся процедуре внеплановой смены, уполномоченного лица РУЦ ЯНАО.
5.20. РУЦ ЯНАО официально уведомляет участников Системы о проведении процедуры внеплановой смены ключа уполномоченного лица РУЦ ЯНАО путем публикации Списка отозванных сертификатов, содержащего сертификат подписи Уполномоченного лица РУЦ ЯНАО и рассылки соответствующих уведомлений.
5.21. После получения официальной публикации о факте внеплановой смены ключа уполномоченного лица РУЦ ЯНАО Пользователям необходимо выполнить процедуру получения новых криптографических ключей и сертификатов открытого ключа.
Получение ключей и сертификатов открытого ключа Пользователями Системы осуществляется в РУЦ ЯНАО централизованно на основании заявления на получение ключей и сертификата тем же порядком, что и получение новых криптографических ключей и сертификатов подписи.
5.22. В ходе внеплановой смены ключей замене подлежат все действующие индивидуальные ключи ЭЦП.
5.23. Пользователь после получения новых ключей подписи и их сертификатов проверяет их работоспособность, после чего направляет в РУЦ ЯНАО информационное письмо с уточнением даты и времени вывода из действия старых ключей и ввода в действие новых ключей.
Примечание.
Все письма могут быть оформлены в электронном виде и подписаны на старых ключах Предлагаемая Пользователем, дата должна находиться в интервале, установленном пунктом 12 настоящего Положения.
В соответствии с полученным информационным письмом в назначенный день РУЦ ЯНАО заносит сертификаты старых ключей в Справочник отозванных сертификатов и вводит в действие новые ключи порядком, установленным настоящим Положением. С этого момента Пользователь работает на новых ключах.
5.24. Выведенные из действия старые индивидуальные криптографические ключи уничтожаются Пользователем или его уполномоченным лицом самостоятельно методом, установленным эксплуатационной документацией на СКЗИ в течение не более 10 дней с момента выведения их из действия.
5.25. Уничтожение выведенных из действия индивидуальных ключей оформляется Актом уничтожения индивидуальных криптографических ключей, один экземпляр которого передается РУЦ ЯНАО.
Второй экземпляр Акта уничтожения индивидуальных криптографических ключей и сертификаты выведенных из действия ключей подписи и/или шифрования Пользователя передаются установленным образом в архивное подразделение соответствующего Участника Системы.
5.26. Пользователи и уполномоченные лица РУЦ ЯНАО несут персональную ответственность за своевременное уничтожение выведенных из действия индивидуальных ключей в полном соответствии с порядком, установленным настоящим Положением и должностными инструкциями.
Повторное использование индивидуальных ключей, выведенных из действия, должно быть исключено.
5.27. Срок архивного хранения Актов уничтожения индивидуальных криптографических ключей и сертификатов, выведенных из действия ключей подписи и/или шифрования, определяется действующим законодательством и не может быть меньше, срока хранения аналогичных по содержанию традиционных бумажных документов.
VI. Компрометация криптографических ключей и порядок локализации её последствий
6.1. Под компрометацией индивидуального криптографического ключа Пользователя понимается утрата доверия к тому, что используемые ключи обеспечивают безопасность конфиденциальной информации, циркулирующей в Системе. К событиям, связанным с компрометацией действующих криптографических ключей, относятся следующие:
утрата носителей ключевой информации;
утрата носителей ключевой информации с последующим их обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;
изменение должностного статуса Пользователя;
возникновение подозрений на утечку конфиденциальной информации или её искажение;
нерасшифровывание входящих или исходящих сообщений Пользователей;
отрицательный результат при проверке ЭЦП документа;
нарушение целостности упаковки носителей ключевой информации и/или печати на хранилище (сейфе), где хранились носители.
Первые четыре события должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.
Наступление любого из перечисленных выше событий является чрезвычайным происшествием, которое может привести к опасным последствиям, в первую очередь, для самого Пользователя Системы и его организации - Участника Системы. В связи с чем, при обнаружении любого из этих событий, Пользователь, а также иные должностные лица Участника обязаны принять срочные меры к оповещению о случившемся РУЦ ЯНАО и Службы безопасности своего предприятия, а также принять предусмотренные настоящим Положением и должностными инструкциями меры к локализации возможных опасных последствий компрометации действующих криптографических ключей.
6.2. При наступлении любого из перечисленных в пункте 6.1 настоящего Положения событий Пользователь или Администратор безопасности Абонентского пункта Участника Системы обязан немедленно прекратить на своем рабочем месте обработку конфиденциальной информации, а также связь с другими Пользователями Системы и сообщить о факте компрометации (или о предполагаемом факте компрометации) РУЦ ЯНАО.
Сообщение о компрометации ключевой информации должно быть оперативно передано в РУЦ ЯНАО по телефону экстренной связи (телефон указан в договоре на обслуживание) и содержать реквизиты Пользователя, ключи которого подверглись компрометации (или подозреваются в компрометации), в дальнейшем в РУЦ ЯНАО должно быть представлено письменное уведомление.
6.3. Администратор безопасности Участника обязан в течение 1 суток с момента обнаружения факта компрометации ключевой информации письменно уведомить РУЦ ЯНАО о компрометации криптографического ключа с указанием наименования ключа, реквизитов Пользователя, на которого данный ключ зарегистрирован, а также даты, времени, предполагаемой причины компрометации (подозрения на компрометацию) данного ключа.
Уведомление должно быть подписано уполномоченным должностным лицом Участника (Руководителем) и заверено печатью организации.
Данное письменное уведомление о компрометации ключевой информации Участника регистрируется и хранится в РУЦ ЯНАО наравне с дубликатами сертификатов криптографических ключей Пользователей, выведенными из действия, на случай разбора конфликтных ситуаций.
Примечание.
Уведомление о компрометации ключевой информации может быть отправлено Пользователем или Администратором безопасности Участника в РУЦ ЯНАО и в электронном виде, но при этом оно должно быть обязательно подписано ЭЦП соответствующего должностного лица, в том числе и с использованием скомпрометированного ключа ЭЦП.
6.4. После поступления от Пользователя или Администратора безопасности абонентского пункта по телефону экстренной связи или в электронной форме сообщения о компрометации действующих криптографических ключей должностные лица РУЦ ЯНАО обязаны немедленно перепроверить полученную информацию и в случае её подтверждения обеспечить прекращение обмена информацией и осуществления электронных расчётов с Участником, чьи ключи оказались скомпрометированными (или подозреваются в компрометации), путём его отключения от Системы.
Полученное РУЦ ЯНАО телефонное или электронное сообщение о компрометации (или подозрении на компрометацию) действующей ключевой информации Пользователя должно быть зарегистрировано с указанием даты и времени его поступления, реквизитов Пользователя и должностного лица, от которого это сообщение поступило. Запись в журнале о происшедшем и принятых мерах уполномоченное должностное лицо РУЦ ЯНАО заверяет своей подписью.
6.5. Сразу после уведомления РУЦ ЯНАО о факте компрометации (или о предполагаемом факте компрометации) и принятии мер к прекращению обработки конфиденциальной информации связи с использованием скомпрометированных (подозреваемых в компрометации) криптографических ключей Администратор безопасности Абонентского пункта Участника подаёт рапорт (служебную записку) Руководителю своего предприятия (организации) о случившемся и принимает участие в служебном расследовании, организуемом Руководителем. В расследовании также принимает участие уполномоченное должностное лицо РУЦ ЯНАО, ответственное за информационную безопасность.
Результатом расследования должно стать отнесение или неотнесение случившегося события к факту безусловной компрометации действующих ключей. Акт расследования подписывается всеми членами комиссии и направляется Участнику Системы, а также в РУЦ ЯНАО.
6.6. При установлении факта безусловной компрометации действующих ключей должностными лицами Участника Системы и РУЦ ЯНАО должны быть приняты следующие меры:
скомпрометированные закрытые ЭЦП и шифрования выводятся из действия и уничтожаются установленным порядком, а их сертификаты отзываются;
РУЦ ЯНАО вносит соответствующие изменения в Список отозванных сертификатов, а также в Реестр действующих сертификатов ключей подписей Пользователей и/или Справочник сертификатов открытых ключей шифрования Пользователей и обеспечивает их публикацию установленным порядком.
6.7. Участник обязан обеспечить изъятие из обращения скомпрометированных криптографических ключей не позднее чем через 1 сутки с момента вывода этих ключей из действия и в течение 10 дней провести их уничтожение.
6.8. Для восстановления юридически значимого электронного документооборота и/или конфиденциальной связи после компрометации ключевой информации Пользователь должен получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи. Порядок смены описан в настоящем Положении.
VII. Порядок действия и смены пароля
7.1. Информационные и вычислительные ресурсы Абонентских пунктов Системы, установленные у Участников, должны быть защищены от несанкционированного доступа сертифицированными средствами защиты информации.
Пароль входа в технические средства Системы является конфиденциальной информацией и должен храниться в тайне. Должностные лица РУЦ ЯНАО и Участников несут персональную ответственность за обеспечение его сохранности.
В процессе эксплуатации защищённых технических средств Системы, включая Абонентские пункты, категорически запрещается:
осуществлять несанкционированное копирование паролей Пользователей на любые носители, включая ГМД, листы бумаги, записные книжки, внутренние и внешние поверхности технических средств, мебели и т.п.;
передавать пароли лицам, не допущенным к ними.
7.2. В целях обеспечения безопасности конфиденциальной информации, циркулирующей в Системе, должностные лица РУЦ ЯНАО, Администраторы безопасности Абонентских пунктов Участников и Пользователи Системы в процессе работы должны выполнять требования эксплуатационных документов на сертифицированные средства защиты информации.
7.3. Порядок генерации, смены и использования паролей Пользователей Системы определяется утверждённой Инструкцией по организации парольной защиты автоматизированной системы Учреждения.
VIII. Системное время
8.1. В целях согласования работы РУЦ ЯНАО, Участников и Пользователей в Системе устанавливается единое время, называемое Системным временем СЮЗЗЭД ЯНАО.
8.2. Системное время соответствует декретному времени г. Салехарда.
8.3. РУЦ ЯНАО несёт ответственность за соответствие системного времени программно-аппаратных средств Удостоверяющего центра Системному времени СЮЗЗЭД ЯНАО.
8.4. Синхронизация времени Абонентского пункта Участника с Системным временем СЮЗЗЭД ЯНАО обеспечивается должностными лицами Участника.
8.5. Системное время СЮЗЗЭД ЯНАО считается эталонным и принимается во внимание при разборе конфликтных ситуаций в случае расхождения времени Абонентского пункта Участника с временем аппаратно-технических средств других Участников Системы.
8.6. При выполнении действий с применением ЭЦП Участником (при наличии установленного у него дополнительного программного обеспечения) возможно применение службы штампа времени и онлайновой проверки статуса сертификата.
IX. Порядок использования Системы
Технология электронного документооборота в Системе включает в себя подготовку имеющих юридическую силу электронных документов (в том числе и платежных электронных документов), обеспечение их защиты от утечки, хищения, искажения и подделки, передачу документов по каналам связи в защищённом виде, проверку их подлинности и при необходимости изготовление их подлинников (оригиналов) на бумажном носителе.
9.1. Подготовка электронных документов.
Подготовка Подлинника (оригинала) электронного документа включает в себя следующие этапы:
подготовка текста электронного документа с идентифицирующими его реквизитами (наименование предприятия, наименование документа, дата и время создания документа, реквизиты лиц, подписавших документ и т.д.);
подписание электронного документа ЭЦП Пользователя.
ЭЦП электронного документа, как правило, записывается в конец электронного документа и составляет с ним единый компьютерный файл, но может быть представлена и отдельным файлом.
Каждый электронный документ может быть подписан ЭЦП нескольких Пользователей.
9.2. Защита электронных документов в процессе их передачи по общедоступным каналам связи.
Электронный документ, содержащий конфиденциальную информацию, должен передаваться только после его шифрования на действующих индивидуальных открытых ключах шифрования Пользователя, которому он предназначен.
После обмена информацией Пользователи проводят расшифровывание полученных шифрованных электронных документов и проверяют подлинность электронных цифровых подписей под ними.
В случае нерасшифровывания поступившего сообщения или получении отрицательного результата при проверке электронной цифровой подписи поступившего документа о случившемся должна быть немедленно оповещена передающая Сторона и предприняты меры, предусмотренные разделом VI настоящего Положения.
9.3. Проверка подлинности электронного документа.
Для проверки подлинности поступивших из каналов связи электронных документов используется процедура Подтверждение подлинности электронной цифровой подписи в электронном документе, которая является составной частью программного обеспечения Абонентского пункта Системы. Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат вычисления соответствующей криптографической процедуры, осуществленного сертифицированным средством ЭЦП над открытым текстом поступившего электронного документа, его электронной цифровой подписью и сертификатом ключа подписи Пользователя, подписавшего этот документ. Результатом проверки ЭЦП является сообщение криптографической процедуры проверки о верности или нарушении ЭЦП, а также о наличии или отсутствии искажений в документе. Сообщение криптографической процедуры может быть распечатано в виде протокола проверки.
9.4. Основное условие признания равнозначности ЭЦП собственноручной подписи исполнителя.
ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность ЭЦП в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Электронный документ, подписанный несколькими Пользователями, признается подлинным только тогда, когда ЭЦП всех Пользователей, подписавших документ, признаны равнозначными собственноручным подписям этих Пользователей.
9.5. Изготовление копии электронных документов на бумажном носителе.
При необходимости Пользователь, создавший и подписавший своей ЭЦП юридически значимый электронный документ, вправе в соответствии с установленным в организации порядком изготовить документ на традиционном бумажном носителе. Такой документ при подписании его Пользователем собственноручной подписью будет иметь ту же силу, что и его электронный оригинал.
Создание бумажной копии конфиденциального документа иным Пользователем Системы (не его автором) без согласия создателя документа его подписавшего, как правило, не допускается.
Вместе с тем любой Участник вправе обратиться в РУЦ ЯНАО с просьбой изготовить копию электронного документа на бумажном носителе и заверить собственноручной подписью должностного лица Удостоверяющего центра и его печатью подлинность ЭЦП всех Пользователей, подписавших этот документ. Для изготовления Копии конкретного электронного документа на бумажном носителе РУЦ ЯНАО осуществляет следующие действия:
получает от Заявителя указанный электронный документ;
получает согласие на его распечатку от Участника Системы, чей Пользователь создал и первым подписал этот юридически значимый электронный документ;
проверяет правильность ЭЦП (подписей) стороны (сторон) под этим электронным документом;
в случае признания корректности ЭЦП (всех подписей) под этим электронным документом, выполняет распечатку компьютерного файла, содержащего электронный документ, с его атрибутами и служебными полями на бумажном носителе;
в верхнем правом углу каждого листа распечатки ставит штамп «Копия электронного документа № ______ от «______» ____ года;
заверяет каждую страницу распечатки подписью уполномоченного должностного лица РУЦ ЯНАО и печатью ГУ «Ресурсы Ямала»;
вносит в конец распечатки реквизиты, идентифицирующие всех Пользователей, подписавших указанный электронный документ своими ЭЦП;
заверяет идентифицирующие реквизиты каждого из Пользователей, подписавших указанный электронный документ своей ЭЦП, подписью уполномоченного лица РУЦ ЯНАО и печатью ГУ «Ресурсы Ямала»;
брошюрует, прошивает, указывает количество листов в распечатке и скрепляет брошюру своей печатью и подписью должностного лица, осуществлявшего брошюровку.
Изготовленная таким образом Копия электронного документа на бумажном носителе имеет такую же юридическую силу, как и электронный оригинальный документ, подписанный ЭЦП, признаётся всеми Участниками Системы и может быть использована для разрешения споров в судебных и арбитражных органах, а также для представления в государственные, контролирующие и иные органы и организации.
В случае отрицательного результата проверки правильности ЭЦП (хотя бы одной подписи) стороны (сторон) под электронным документом, требование на изготовление Копии на бумажном носителе которого поступило в РУЦ ЯНАО, Региональный удостоверяющий центр автономного округа в письменной форме с указанием причин отказывает Заявителю в изготовлении бумажного документа.
Факт изготовления или отказа в изготовлении Подлинника электронного документа на бумажном носителе с указанием реквизитов Заявителя, затребовавшего изготовление такого подлинника, и реквизитов указанного электронного документа фиксируется РУЦ ЯНАО специальным Актовым журналом, который хранится установленным образом в течение срока хранения электронного документа, бумажная копия которого была изготовлена.
9.6. Организация учёта и хранения электронных документов.
В соответствии с действующими в Российской Федерации нормативными правовыми актами электронные документы, изготовленные или полученные из Системы, подписанные ЭЦП, представляют собой документы, имеющие юридическую силу, и могут быть использованы для предоставления в государственные, контролирующие и иные органы и организации, в том числе в судебные и арбитражные инстанции. В связи с этим каждый такой документ должен быть зарегистрирован и сохранён.
9.6.1. Регистрация подлинников электронных документов осуществляется уполномоченными лицами Участников (Пользователями и/или Администраторами безопасности Абонентских пунктов), осуществляющих эксплуатацию аппаратно-программных средств Абонентских пунктов Системы в системе электронного документооборота и делопроизводства, в случае отсутствия в организации Участника подобных систем, то необходима регистрация в специальных Журналах регистрации электронных документов.
Журналы регистрации электронных документов ведутся отдельно для подготовленных и полученных электронных документов.
9.6.2. В журнале учёта подготовленных электронных документов для каждого документа должны быть указаны:
идентифицирующие реквизиты документа;
идентифицирующие реквизиты должностных лиц Участника, подписавших документ своими ЭЦП;
полное наименование файла;
дата и время создания документа;
дата и время отправки или записи на твёрдый носитель для архивного хранения;
реквизиты получателя документа.
9.6.3. В журнале учёта полученных электронных документов для каждого документа должны быть указаны:
дата и время получения;
реквизиты отправителя документа;
полное наименование файла;
идентифицирующие реквизиты документа;
идентифицирующие реквизиты должностных лиц организации-отправителя, подписавших документ своими ЭЦП;
дата и время создания документа;
сообщение процедуры проверки ЭЦП о признании или не признании подлинности ЭЦП под данным документом.
9.6.4. Хранение электронных документов осуществляется на носителях электронной информации в соответствии с принятым в организации порядком.
9.6.5. При передаче на хранение носителей информации с электронными документами должно быть обеспечено их надёжное дублирование.
Должны быть обеспечены условия раздельного хранения подготовленных и полученных электронных документов.
9.6.6. Организация архива электронных документов должна обеспечивать быстрый поиск документов по времени их создания или получения, по имени файла и идентифицирующим реквизитам документов.
9.6.7. Электронные документы постоянного хранения, отнесённые к составу архивного фонда Российской Федерации, передаются на хранение в государственный архив и муниципальные архивы по утверждённым описям на носителях электронной информации в юридически значимом виде и дублируются на бумажном носителе.
9.6.8. Срок хранения электронных документов устанавливается в соответствии с законодательством Российской Федерации.
X. Основные функциональные обязанности Участников и Пользователей Системы
10.1. Функции Уполномоченного органа:
10.1.1. Контроль ведения Реестра сертификатов ЭЦП уполномоченных лиц исполнительных органов государственной власти ЯНАО.
Реестр уполномоченных лиц ведётся Уполномоченным удостоверяющим центром (РУЦ ЯНАО).
В состав Реестра входит совокупность реестровых дел уполномоченных лиц.
В реестровых делах учитываются и хранятся:
- копии распорядительных документов о назначении на должность и увольнении должностных лиц исполнительных органов государственной власти ЯНАО;
- копии заявлений о регистрации, получении криптографических ключей и сертификата открытого ключа подписи;
- копии сертификатов открытого ключа подписи на бумажном носителе;
- уведомления об отказе в регистрации уполномоченных лиц;
Форма Реестра определяется Уполномоченным органом.
Для исключения уполномоченного лица из Реестра Уполномоченный орган вносит необходимые изменения на основании Заявления на аннулирование (отзыва) сертификата открытого ключа.
Утверждает Регламент деятельности Регионального удостоверяющего центра Ямало-Ненецкого автономного округа (далее Регламент).
10.1.2. Обеспечение безопасности и бесперебойности в работе информационных систем исполнительных органов государственной власти Ямало-Ненецкого автономного округа, органов местного самоуправления Ямало-Ненецкого автономного округа при проведении мероприятий по оснащению электронного документооборота средствами ЭЦП информационных систем исполнительных органов государственной власти Ямало-Ненецкого автономного округа, органов местного самоуправления ЯНАО.
10.1.3. Формирование поручений РУЦ ЯНАО на изготовление и выдачу ключей ЭЦП и сертификатов уполномоченных лиц и отзыву последних.
10.1.4. Организация своевременного прохождения заявительных документов от уполномоченного лица до РУЦ ЯНАО.
10.1.5. Согласование графика работ с исполнительными органами государственной власти по установке средств ЭЦП на рабочие места уполномоченных лиц.
10.1.6. Согласование сроков окончания действия ключей ЭЦП и сертификатов уполномоченных лиц и обеспечение своевременной замены на новые.
10.1.7. Участие в организации плановой смены ключей ЭЦП и сертификатов уполномоченных лиц.
10.1.8. Подготовка предложений по созданию Экспертной комиссии по рассмотрению конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП уполномоченного лица.
10.2. Задачи Уполномоченного органа:
10.2.1. Обеспечение контроля выдачи и отзыва сертификатов уполномоченных лиц.
10.2.2. Организация взаимодействия заинтересованных сторон по выдаче и отзыву сертификатов уполномоченных лиц.
10.2.3. Координация деятельности должностных лиц исполнительных органов государственной власти в рамках действия настоящего Положения.
10.2.4. Контроль своевременного выполнения возложенных обязанностей ответственных лиц органов исполнительной власти в рамках действия настоящего Положения.
10.2.5. Координация и контроль деятельности РУЦ ЯНАО по правильному и своевременному изготовлению, выдаче открытых ключей ЭЦП и в установленном порядке закрытых ключей ЭЦП и сертификатов уполномоченных лиц.
10.2.6. Осуществление контрольных мероприятий и иных полномочий по защите информации и обеспечению информационной безопасности в области использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа.
10.2.7. Разработка регламентов и/или порядка действий для реализации мероприятий настоящего Положения.
10.2.8. Обеспечение Уполномоченным органом сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.
10.3. Основные права и обязанности РУЦ ЯНАО:
обеспечение бесперебойной работы Системы;
осуществление общего технического руководства работой Системы;
заключение с Участниками Договора на обслуживание для юридических лиц в Системе;
поставка, установка, наладка, сервисное обслуживание на основании заключенных с Участниками договоров аппаратных, аппаратно-программных и программных средств Абонентских пунктов Системы;
подготовка на основании заключенных с Участниками договоров персонала для работы на аппаратно-программных средствах Абонентских пунктов Системы;
проверка программно-технических средств Участников и регистрация его Пользователей, ведение реестров Участников и Пользователей;
установка Участникам и Пользователям, осуществляющим эксплуатацию аппаратно-программных средств Абонентских пунктов Системы, программного обеспечения сертифицированного СКЗИ, лицензии и эксплуатационной документации к Абонентским пунктам Системы;
обеспечение правового регулирования и организации выдачи, регистрации и отзыва криптографических ключей и сертификатов открытых ключей Пользователей;
генерация, регистрация и выдача Пользователям индивидуальных криптографических ключей ЭЦП, а также соответствующих сертификатов;
своевременное составление, поддержание и обновление Реестра действующих сертификатов ключей подписей Пользователей, Списка отозванных сертификатов и Справочника сертификатов открытых ключей шифрования Пользователей, обеспечение их заверения действующей электронной цифровой подписью уполномоченного должностного лица РУЦ ЯНАО и их публикация;
генерация, регистрация и выдача криптографических ключей и соответствующих сертификатов уполномоченным должностным лицам исполнительных органов государственной власти ЯНАО. Ведение Реестра сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти ЯНАО;
обеспечение своевременного уведомления Участников о проведения плановой смены ключей в Системе и проведение плановой смены индивидуальных криптографических ключей Пользователей;
ведение архивов утративших актуальность Реестров действующих сертификатов ключей подписей Пользователей, Списков отозванных сертификатов и Справочников сертификатов открытых ключей шифрования Пользователей;
незамедлительное информирование Пользователей о случаях компрометации индивидуальных закрытых ключей ЭЦП и шифрования при получении информации о компрометации от участников Системы;
обеспечение незамедлительного отключения Пользователей, чьи криптографические ключи подверглись компрометации, Выведение из действия подвергнувшихся компрометации ключей и отзыв их сертификатов. Исключение этих сертификатов из Реестра действующих сертификатов ключей подписи Пользователей и внесение их в Список отозванных сертификатов;
обеспечение локализации последствий компрометации индивидуальных закрытых ключей Пользователей и возобновления юридически значимого конфиденциального электронного документооборота с Пользователями, индивидуальные ключи которых подверглись компрометации;
расследование обстоятельств (в составе созданной комиссии) компрометации индивидуальных закрытых ключей;
ведение архивов, обеспечение сохранности, подлинности и конфиденциальности в течение всего срока хранения всех электронных документов, имеющих отношение к сфере деятельности РУЦ ЯНАО, а также доверенных для хранения Пользователями Системы;
дублирование электронных документов и создание подлинников электронных документов на бумажных носителях по заявкам Участников;
организация и проведение разборов конфликтов между Участниками Системы, связанными с использованием технологий ЭЦП и шифрования для обеспечения юридической значимости и конфиденциальности электронного документооборота между участниками Системы;
осуществление плановых и внеплановых проверок помещений, в которых эксплуатируются Абонентские пункты Участников, аппаратно-программных средств Абонентских пунктов, правильности их эксплуатации и соблюдения должностными лицами Участника мер, обеспечивающих безопасную эксплуатацию Абонентских пунктов;
организация процедуры согласования разногласий при возникновении споров между Участниками Системы;
подготовка предложений по внесению изменений и дополнений в регламентирующие документы Системы (настоящего Положения, Регламента деятельности РУЦ ЯНАО), устанавливающих порядок организации защищенного юридически значимого электронного документооборота между пользователями Системы и предоставления услуг РУЦ ЯНАО Участникам и Пользователям Системы;
хранение эталонного программного обеспечения Абонентских пунктов Участников;
хранение эталонного полного комплекта эксплуатационной документации для Абонентских пунктов;
хранение Системного времени с точностью до 30 секунд;
заблаговременное (не менее чем за 30 дней до вступления в силу) информирование Участников о внесении изменений во внутренние документы Системы, принятии новых документов и приложений к договорам, регламентирующим условия взаимодействия Сторон в рамках Системы;
обеспечение сохранения конфиденциальности всей информации, которая доверена РУЦ ЯНАО её Участниками или станет ей известна при выполнении своих функций.
РУЦ ЯНАО вправе выполнять также иные функции и действия, которые не противоречат действующему законодательству Российской Федерации, имеющимся соглашениям и договорам, а также требованиям настоящего Положения.
10.4. Основные права и обязанности Участника Системы:
заключение с ГУ «Ресурсы Ямала» Договора на обслуживание для юридических (физических) лиц в Системе;
признание в соответствии с действующим законодательством Российской Федерации юридической силы электронных документов подписанных ЭЦП Пользователей, признанных подлинными в соответствии с используемыми в Системе процедурами установления подлинности и аутентичности;
соблюдение требований и положений Договора на обслуживание для юридических лиц в Системе;
обеспечение необходимых условий для организации юридически значимого защищенного электронного документооборота в организации в части принятия необходимых внутренних нормативных актов и/или внесения изменений, которые будут рекомендованы ГУ «Ресурсы Ямала» по результатам информационного обследования, в существующие приказы, распоряжения, инструкции и т.д., регламентирующие порядок обращения с конфиденциальными сведениями и допуск к ним должностных лиц организации, эксплуатации средств защиты информации, использования программных и технических средств вычислительной техники, автоматизированных систем, баз данных и т.д.;
обеспечение необходимых условий, соответствующих требованиям настоящего Положения, для размещения и работы Абонентского пункта СЮЗЗЭД ЯНАО в части выделения и оборудования помещений для его размещения, заключения необходимых договоров на поставку программно-технических средств для установки аппаратных и программных средств Абонентского пункта, предоставления каналов и средств связи, обучения своего персонала и уполномоченных должностных лиц;
выделение и назначение установленным порядком должностных лиц - Пользователей, которым предоставлено право подписания электронных документов ЭЦП, шифрования информации, эксплуатации аппаратно-программных средств Абонентского пункта, а также направление их в РУЦ ЯНАО (или по его рекомендации в иную организацию) для прохождения курса подготовки к практической работе;
представление ГУ «Ресурсы Ямала» необходимой информации и документов для проведения информационного обследования организации и выработки рекомендаций в части информатизации Участника;
своевременное пред ставление РУЦ ЯНАО списка своих уполномоченных должностных лиц, которым предоставлено право подписания электронных документов ЭЦП и/или шифрования конфиденциальной информации, с документальным подтверждением их должностных полномочий, а также своевременное внесение изменений в указанный список в соответствии с происходящими у Участника организационно-штатными изменениями;
создание условий для обеспечения в целостности и неизменности программных средств защиты информации, в том числе СКЗИ, содержание в рабочем состоянии аппаратных и программных средств Абонентских пунктов Системы;
создания необходимых условий для сохранности индивидуальных закрытых ключей Пользователей;
обеспечение необходимых условий своевременного уничтожения выведенных из действия криптографических ключей своих Пользователей;
обеспечение сохранности, целостности и конфиденциальности аппаратно- программных средств Абонентского пункта, включая СКЗИ;
обязательство не передавать полученное программного обеспечения Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;
обеспечение сохранности от несанкционированного доступа и тиражирования полученного программного обеспечения Абонентского пункта, включая СКЗИ;
незамедлительное информирование РУЦ ЯНАО обо всех случаях компрометации индивидуальных закрытых ключей своих Пользователей;
немедленное отключение своего Абонентского пункта от Системы и приостановление всякого информационного обмена с использованием Системы в случае компрометации (или подозрения на компрометацию) индивидуальных закрытых криптографических ключей своих Пользователей;
обеспечение контроля за соблюдением Администратором безопасности Абонентского пункта и своими Пользователями всех требований и положений эксплуатационной документации на указанный пункт, также иных внутренних документов Системы, регламентирующих порядок ее использования;
организация внутреннего режима функционирования Абонентских пунктов Системы таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключает возможность использования ключевой информации не уполномоченными на то лицами;
принятие на себя всех рисков, связанных с неисправностями каналов (средств) связи или поломками его аппаратно-программных средств, при использовании Участником каналов (средств) связи и/или аппаратно-программных средств, отличных от рекомендованных ГУ «Ресурсы Ямала»;
незамедлительное информирование РУЦ ЯНАО об отказах и сбоях в работе Системы;
обеспечение доступа (по согласованию с Руководителем) должностных лиц РУЦ ЯНАО в помещения, где размещаются Абонентские пункты Системы, для проведения плановых и внеплановых контрольных осмотров, контроля работоспособности аппаратно-программных средств Абонентских пунктов, контроля правильности исполнения Пользователями Участника требований настоящего Положения, иных документов, регламентирующих порядок использования программно-технических средств Системы;
выполнение всех требований по защите информации с использованием СКЗИ по обеспечению безопасности по уровню «С» требований ФАПСИ;
принятие на себя обязательств по обеспечению беспрепятственного выполнения Федеральными органами безопасности функций контроля за соблюдением всех условий лицензий на право осуществления деятельности в области криптографической защиты информации;
создание необходимых условий для выполнения требований действующего законодательства Российской Федерации, нормативных актов ЯНАО, нормативных актов Системы и самой организации по обеспечению безопасности конфиденциальной информации в электронной и бумажной форме при её обработке, хранении передачи по каналам связи и документировании;
самостоятельная и своевременная оплата услуг связи;
своевременная оплата услуг, предоставляемых ГУ «Ресурсы Ямала», в порядке и размере, предусмотренными Договором на обслуживание для юридических лиц в системе юридически значимого защищенного электронного документооборота и Тарифами на указанные услуги;
оказание содействия РУЦ ЯНАО в выполнении им своих функциональных обязанностей, вытекающих из настоящего Положения;
обеспечение сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.
10.5. Основные права и обязанности Пользователя:
использование программно-технических средств Системы для обработки, хранения и передачи в защищённом виде по общедоступным каналам связи конфиденциальной информации, а также обеспечения юридической значимости подготовленных и получаемых из Системы электронных документов;
соблюдение требования настоящего Положения, эксплуатационной документации на Абонентский пункт, иных документов, регламентирующих порядок функционирования и использования Системы;
принятие на себя обязательств по всем документам, заверенным своей ЭЦП;
предъявление к другим Пользователям требований по безусловному исполнению ими своих обязательств по электронным документам с подтвержденной электронной цифровой подписью;
принятие к исполнению всех документов, подписанных ЭЦП других Пользователей и признанных подлинными в соответствии принятой в Системе процедурой установления подлинности;
принятие всех мер к обеспечению сохранности и конфиденциальности своих индивидуальных закрытых ключей;
незамедлительное информирование должностных лиц Участника и Руководителя предприятия о компрометации (или подозрении на компрометацию) своих индивидуальных закрытых ключей и прекращение с этого момента их использования;
обеспечение работоспособности программно-технических средств Абонентского пункта Системы;
принятие всех мер к обеспечению сохранности и конфиденциальности переданных ему программных средств Абонентского пункта, включая инсталляционные носители СКЗИ;
обязательство не передавать полученное программного обеспечения Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;
обеспечение сохранности от несанкционированного доступа и тиражирования полученного программного обеспечения Абонентского пункта, включая средства криптографической защиты информации;
своевременное проведение проверок программного обеспечения персональной ЭВМ, с установленными аппаратно-программными средствами Абонентского пункта (в том числе, СКЗИ) на отсутствие вирусов и программных закладок в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;
выполнение не реже 1 раза в сутки проверки неизменности и целостности системного, сетевого и прикладного программного обеспечения и целостности программного обеспечения СКЗИ в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;
своевременное информирование руководства предприятия обо всех случаях нарушения целостности программного обеспечения Абонентского пункта и входящих в его состав СКЗИ, оперативное восстановление программного обеспечения после нарушения его целостности в соответствии с эксплуатационной документацией на СКЗИ;
своевременное изготовление, установка и периодическая смена паролей для доступа к аппаратно-программным средствам Абонентского пункта в соответствии с эксплуатационной документацией, входящий в состав Абонентского пункта и утвержденной Инструкцией по организации парольной защиты автоматизированной системы Учреждения;
обеспечение условий для проведения уполномоченными должностными лицами Руководителем предприятия, РУЦ ЯНАО и федеральных органов безопасности проверок выполнения требований режима эксплуатации СКЗИ;
ежедневное контролирование состояния мастичной печати, которой опечатан системный блок Абонентского пункта, и своевременное информирование в письменной форме в случае её нарушения Руководителя предприятия;
незамедлительное информирование Руководителя предприятия и РУЦ ЯНАО об отказах и сбоях в работе Абонентского пункта и Системы в целом;
обеспечение сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.
В процессе использования Системы Пользователь также обязан:
не принимать к исполнению электронные документы, заверенные ЭЦП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в Списке отозванных сертификатов на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
не подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.
Примечание.
Перед принятием решения по исполнению полученного электронного документа Пользователь самостоятельно определяет необходимость дополнительной проверки нахождения сертификата ЭЦП отправителя в Списке отозванных сертификатов, публикуемом РУЦ ЯНАО установленным порядком.
Запрашивать подтверждение по переданным ему электронным документам другими пользователями в случае возникновения сомнений.
В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией установленным порядком.
XI. Условия конфиденциальности
11.1. Все Участники Системы обязаны обеспечивать взаимную конфиденциальность в отношении сведений, получаемых в процессе подготовки, обработки и обмена электронными документами с использованием Системы, а также иной информации в любой форме, которая стала им известна вследствие их участия в Системе, в том числе до истечения трёх лет с даты выхода Пользователя из Системы.
Вся информация о функционировании Системы, в том числе внутренние документы РУЦ ЯНАО, иные документы, относящиеся регламентации порядка её использования, являются конфиденциальными сведениями.
11.2. Представление конфиденциальной информации всеми Участниками и Пользователями Системы, включая ГУ «Ресурсы Ямала» и РУЦ ЯНАО, налоговым, правоохранительным и судебным органам осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.
11.3. Ответственность должностных лиц ГУ «Ресурсы Ямала», РУЦ ЯНАО и Участников, допущенных к средствами Системы и конфиденциальной информации, которая циркулирует в них, за разглашение конфиденциальной информации должна определяется в тексте их контрактов о приёме на работу.
Должностные лица Участников Системы, допущенные к средствами Системы и конфиденциальной информации, которая циркулирует в них, допускаются к работе со сведениями, содержащими конфиденциальную информацию, только после подписания Обязательства о неразглашении конфиденциальной (служебной и/или коммерческой) информации.
XII. Ответственность и контроль в Системе
За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению все Участники и Пользователи Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.
XIII. Порядок разрешения конфликтных ситуаций
13.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, все Участники и Пользователи Системы исходят из того, что:
все споры и разногласия, возникающие между Участниками и Пользователями Системы и связанные с использованием электронного документооборота, расчётами в электронной форме и применением средств шифрования и электронной цифровой подписи, решаются, прежде всего, путём переговоров, заключения дополнительных соглашений между сторонами или обмена официальными письмами;
вопросы урегулирования споров и разногласий между Участниками и Пользователями Системы, возникающих по иным основаниям и не связанных с фактами применения в электронном документообороте средств шифрования и ЭЦП, не рассматриваются в настоящем Положении и решаются в соответствии с иными соглашениями спорящих сторон;
в соответствии с действующим законодательством, документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичную документу, исполненному на бумажном носителе и снабженному собственноручной подписью и печатью;
электронный документ порождает обязательства одного Пользователя перед другим Пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП, доставлен другому Пользователю, и при этом сертификат ЭЦП отправителя действует, а ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи;
подтверждением того, что электронный документ Пользователя принят Пользователем-получателем, является получение Пользователем надлежащим образом оформленной электронной квитанции о принятии его документа или получение того же самого документа, подписанного ЭЦП Пользователя-получателя;
Пользователи Системы признают, что используемая в соответствии с настоящим Положением система защиты информации в Системе, которая обеспечивается использованием сертифицированных средств ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;
математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-2001 (ГОСТ Р34.10-94) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП;
Пользователи Системы признают, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.
13.2. В соответствии с настоящим Положением подлежат разрешению конфликтные ситуации следующих типов:
Отказ Пользователя, получившего из Системы электронный документ с ЭЦП отправителя, из-за отрицательного результата проверки ЭЦП этого электронного документа, хотя проверка осуществлялась посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, а Отправитель настаивает на корректности отправленного документа.
Отказ Отправителя от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, вследствие непризнания Отправителем либо факта отправки документа, либо его целостности и подлинности.
13.3. Если Стороны самостоятельно на основании настоящего Положения, имеющихся договоренностей, а также путём переговоров не в состоянии разрешить конфликтную ситуацию, Отдел РУЦ ЯНАО организует в целях её разрешения проведение технической экспертизы.
13.4. Для проведения технической экспертизы РУЦ ЯНАО создаётся комиссия, включающая равное количество (но не менее двух) представителей от каждой из заинтересованных Сторон, в том числе по одному представителю Служб информационной безопасности каждой из Сторон и два представителя РУЦ ЯНАО. В состав комиссии по соглашению Сторон могут независимые технические эксперты.
В качестве независимых технических специалистов могут привлекаться специалисты в области криптографии, защиты информации, программно-аппаратных средств, которые не должны состоять с конфликтующими Сторонами в трудовых или подрядных отношениях.
Каждая из Сторон, участвующая в конфликте, а также ГУ «Ресурсы Ямала» и РУЦ ЯНАО как его структурное подразделение вправе обратиться за соответствующими экспертными разъяснениями к ФСБ России, как к государственному органу, осуществляющему сертификацию СКЗИ.
13.5. Основанием для формирования РУЦ ЯНАО экспертной комиссии служит Заявление одного или нескольких Участников о споре по поводу авторства или подлинности текста конкретного электронного документа, подписанного ЭЦП, который не удаётся решить путём переговоров между заинтересованными Сторонами.
Заявление подаётся в РУЦ ЯНАО в письменной форме с указанием наименования Заявителя, наименования и реквизитов спорного электронного документа, требований заявителя, обстоятельств, на которых заявитель основывает свои требования, перечня прилагаемых к заявлению документов. К заявлению также прилагается список должностных лиц Заявителя, предлагаемых для включения в состав экспертной комиссии.
13.6. В течение 3 дней после получения Заявления РУЦ ЯНАО обязан уведомить все имеющие отношение к рассматриваемому документу или вопросу Стороны о месте и времени проведения экспертизы и составе экспертной комиссии.
Каждая из Сторон вправе заявить об отводе эксперта из состава экспертной комиссии, если есть основания предполагать, что он прямо или косвенно заинтересован в исходе дела.
13.7. РУЦ ЯНАО и экспертная комиссия принимают меры к тому, чтобы экспертиза была проведена в срок не более 5 дней с момента поступления заявления. В исключительных случаях срок может быть продлён, но не более чем на 5 дней.
Неявка любой из спорящих Сторон, надлежащим образом извещённых о месте и времени проведения экспертизы, не препятствует проведению экспертизы, если отсутствующая Сторона не представила письменную просьбу отложить проведение экспертизы по уважительной причине, но на срок не более 2 дней.
13.8. В ходе экспертизы рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с порядком, описанном в настоящем Положении. При этом могут быть использованы следующие эталонные данные:
данные архива оригиналов принятых/отправленных Сторонами электронных документов;
электронный документ, подписанный ЭЦП, подлинность и/или целостность которого оспаривается;
сертификаты ключей подписи на бумажных носителях Пользователей, подпись которых оспаривается с открытыми криптографическими ключами, выданные Удостоверяющим Центром;
эталонные дистрибутивы СКЗИ;
Носители ключевой информации всех Пользователей, подписавших документ.
13.9. Экспертная комиссия проводит экспертизу только после получения всех необходимых материалов, как правило, в помещении РУЦ ЯНАО.
При необходимости экспертная комиссия может провести у каждой из спорящих Сторон осмотр помещений, где установлены Абонентские пункты, осуществить проверку программного и аппаратного обеспечения, выполнить иные действия, которые, по мнению комиссии, могут способствовать проведению экспертизы и выработке решений комиссии.
13.10. В случае получения Пользователем одной Стороны электронного документа, подлинность ЭЦП которого в результате проверки не подтвердилась (конфликтная ситуация типа а), а Отправитель настаивает на корректности отправленного электронного документа и исполнении Получателем вытекающих из него обязательств, то для разрешения конфликта Стороны предпринимают следующие действия:
13.10.1. Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление, подписание и отправка данного документа.
3.10.2. К вновь полученному электронному документу применяется установленным образом процедура проверки ЭЦП. В случае если новая проверка дала положительный результат и сертификат ключа подписи отправляющей стороны действует (содержится в Реестре действующих сертификатов ключей подписей Пользователей) или есть доказательства, что на момент подписания электронного документа он действовал, и электронная цифровая подпись используется в соответствии со сведениями, указанными в этом сертификате ключа подписи, то принимающая Сторона признает корректность полученного электронного документа, о чём уведомляет письменно (по электронной почте) передающую сторону.
13.10.3. В случае, если новая проверка опять дала отрицательный результат проверки правильности и ЭЦП документа неверна, то делается вывод о возможном нарушении действующего криптографического ключа, либо о неисправности программно-аппаратных средств одной из Сторон.
В таком случае передающая Сторона обязана сравнить имеющийся у неё сертификат её индивидуального ключа подписи на бумажном носителе с сертификатом, опубликованном установленным образом РУЦ ЯНАО. При их несовпадении - прекратить использование имеющихся индивидуальных ключей Пользователя и уведомить о случившемся получающую Сторону и РУЦ ЯНАО. При отсутствии признаков возможной компрометации закрытых криптографических ключей, получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи подписи и соответствующий сертификат в порядке, установленном настоящим Положение для их выдачи.
Если передающей стороной одновременно выявлены признаки возможной компрометации закрытого ключа подписи, то она обязана осуществить действия, предусмотренные разделом VI настоящего Положения.
13.10.4. При совпадении сертификата индивидуального ключа подписи отправляющей Стороны на бумажном носителе с сертификатом, опубликованным установленным образом РУЦ ЯНАО, отправляющая Сторона осуществляет штатными средствами своего Абонентского пункта проверку целостности и неизменности программного обеспечения СКЗИ, в соответствии с эксплуатационной документацией, и при необходимости переустановить его. После чего заново формирует запрашиваемое сообщение, подписывает и направляет Принимающей Стороне с уведомлением о выявленных недостатках по его вине.
13.10.5. Если проведённая передающей Стороной проверка целостности и неизменности программного обеспечения СКЗИ (в соответствии с эксплуатационной документацией) не выявила отклонения от эталонного состояния, то данная Сторона информирует о совпадении бумажного и электронного сертификата своего ключа подписи и правильности своего программного обеспечения СКЗИ приёмную Сторону.
Получив уведомление, приёмная Сторона, в свою очередь, осуществляет установленным образом проверку программного обеспечения СКЗИ своего Абонентского пункта СЮЗЗЭД ЯНАО. При выявлении отклонений от эталонного состояния Получатель заново инсталлирует программных средств Абонентского пункта, уведомляет о случившемся передающую Сторону и повторно запрашивает сообщение для осуществления проверки его корректности.
В случае, если отклонений от эталонного состояния программного обеспечения Абонентского пункта Получателя по результатам проверки не выявлено или в предыдущем варианте развития ситуации полученное сообщение вновь признано некорректным, Стороны прекращают юридически значимый документооборот и обработку конфиденциальной информации и уведомляют о случившемся РУЦ ЯНАО.
13.10.6. Удостоверяющий центр организует техническую экспертизу программно-технических средств Абонентских пунктов обеих Сторон и служебное расследование в целях установления либо факта подмены и компрометации индивидуального закрытого ключа передающей Стороны, либо выявления неисправностей технических средств одной или обеих Сторон.
13.10.7. Экспертная комиссия проверяет целостность программного обеспечения спорящих Сторон путём сравнения с эталонным программным обеспечением, хранящимся в РУЦ ЯНАО.
В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признаётся сторона, допустившая такие нарушения.
13.11. В случае, если один из Пользователей приходит к выводу, что другой Пользователь ссылается на документ, якобы исходящий от него, но который им не отправлялся и/или его содержание изменено, этот Пользователь немедленно извещает Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.
Аналогичным образом, если Отправитель, по мнению Получателя, необоснованно отказывается от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств электронной цифровой подписи и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, не признавая либо факт отправки документа, либо его целостности и подлинности, то Получатель также должен известить Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.
Для разрешения конфликта Стороны и РУЦ ЯНАО организуют проведение технической экспертизы специально назначенной экспертной комиссией.
13.11.1. Сформированная РУЦ ЯНАО экспертная комиссия устанавливает на персональный компьютер соответствующий техническим требованиям, предъявляемым к аппаратным средствам Абонентского пункта Системы, эталонную операционную систему и эталонное программное обеспечение, хранящееся в РУЦ ЯНАО. Компьютер, используемый для проведения технической экспертизы, не должен иметь установленного на нём программного обеспечения. С этой целью его жесткий диск предварительно форматируется в присутствии членов Экспертной комиссии.
13.11.2. Экспертная комиссия проверяет целостность программного обеспечения спорящих Сторон путём сравнения с эталонным программным обеспечением, хранящемся в РУЦ ЯНАО.
В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признаётся сторона, допустившая такие нарушения.
13.11.3. В случае отсутствия нарушений, упомянутых в подпункте 13.11.2 настоящего Положения, в программно-технических средствах Сторон для разбора конфликта по поводу авторства или подлинности текста документа, подписанного ЭЦП, необходимо выполнить следующие действия:
произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте Администратора РУЦ ЯНАО;
распечатать протокол проверки подписи;
распечатать сертификат открытого ключа ЭЦП Пользователя из Реестра действующих сертификатов ключей подписи Пользователей, который ведётся РУЦ ЯНАО;
сравнить сертификат открытого ключа ЭЦП, представленного Пользователем, и распечатанный сертификат открытого ключа ЭЦП из базы данных РУЦ ЯНАО.
Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного Пользователем сертификата и сертификат открытого ключа ЭЦП из Реестра действующих сертификатов ключей подписи Пользователей Удостоверяющего Центра, а также наличие в протоколе проверки подписи Пользователя записи «Подпись верна».
13.11.4. По итогам проведения экспертизы составляется письменное заключение в необходимом числе (трех) экземплярах, содержащее:
реквизиты ГУ «Ресурсы Ямала»;
дату, время и место её проведения;
фамилии, имена, отчества экспертов, с указанием их должностей и реквизитов организаций, которые они представляют;
требования Стороны (сторон) и (или) вопросы, которые должны были быть разрешены при проведении экспертизы;
описание выполненных в ходе экспертизы действий с указанием точных результатов, использованных при этом аппаратных средств и программного обеспечения;
выводы экспертной комиссии;
подписи членов экспертной комиссии;
оттиск печати РУЦ ЯНАО.
Один экземпляр заключения остаётся на архивное хранение в РУЦ ЯНАО, по одному экземпляру передаётся спорящим Сторонам.
13.12. В случае согласия с выводами экспертной комиссии Стороны, между которыми возник спор, заключают соглашение об урегулировании разногласий.
Если хотя бы одна из Сторон, участвующих в конфликте, не соглашается с результатами и выводами указанной комиссии, то такие споры или разногласия подлежат передаче на рассмотрение в Арбитражный суд в соответствии с действующим законодательством Российской Федерации.
13.13. Экспертная комиссия, организуемая РУЦ ЯНАО, не даёт правовой оценки действиям Сторон.
Решение экспертной комиссии может направляться в судебные инстанции в качестве приложения к исковому заявлению или рассматриваемому делу.
IVX. Порядок прекращения обслуживания Участника в Системе
14.1. Процедура прекращения обслуживания Участника в Системе выполняется при завершении срока действия Договора на обслуживание для юридических лиц в Системе или при его досрочном расторжении одной из Сторон.
14.2. При прекращении обслуживания Участник обязан возвратить полученные им ранее от РУЦ программные средства, эксплуатационную документацию, индивидуальные ключи ЭЦП.
Возврат всех перечисленных средств осуществляется по Акту, подписываемому уполномоченным должностным РУЦ ЯНАО и уполномоченным должностным лицом Участника. Акт возврата создаётся в двух экземплярах, один из которых передаётся на Архивное хранение Участнику, а второй - хранится в РУЦ ЯНАО.
ПОСТАНОВЛЕНИЕ
АДМИНИСТРАЦИЯ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
Об утверждении Положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа
Документ утр. силу:
-постановлением Правительства автономного округа от 18.09.2017 № 991-П
В целях обеспечения функционирования инфраструктуры открытых ключей, а также с целью обеспечения правовых условий использования электронной цифровой подписи в системе юридически значимого защищённого электронного документооборота органов исполнительной власти Ямало-Ненецкого автономного округа Администрация Ямало-Ненецкого автономного округа п о с т а н о в л я е т:
1. Утвердить прилагаемое Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа.
2. Возложить на департамент информационных технологий и связи Ямало-Ненецкого автономного округа функции уполномоченного органа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.
3. Возложить на государственное учреждение «Ресурсы Ямала» функции уполномоченного регионального удостоверяющего центра Ямало-Ненецкого автономного округа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.
4. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Кима А.М.
Губернатор
Ямало-Ненецкого автономного округа Ю.В. Неёлов
от 3 апреля 2008 г. № 146-А
Утверждено
постановлением Администрации
Ямало-Ненецкого автономного округа
ПОЛОЖЕНИЕ
об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа
I. Общие положения
1.1. Положение об организации использования электронной цифровой подписи (далее - ЭЦП) и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа (далее - Положение) разработано в соответствии с федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», во исполнение постановления Губернатора Ямало-Ненецкого автономного округа от 9 марта 2004 года № 71 «О создании Ямало-Ненецкого регионального удостоверяющего центра» и определяет:
порядок обеспечения правовых, организационных и технических условий, при соблюдении которых ЭЦП под электронным документом признаётся равнозначной собственноручной подписи в документе на бумажном носителе;
порядок предоставления уполномоченным должностным лицам органов исполнительной власти Ямало-Ненецкого автономного округа (далее - автономный округ), органов местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностным лицам иных организаций, включённых в систему юридически значимого защищённого электронного документооборота автономного округа (далее - СЮЗЗЭД ЯНАО или Система), независимо от их организационно-правовой формы, услуг по изготовлению ключей ЭЦП и сертификатов ключей подписи, а также дополнительных услуг, связанных с управлением сертификатами ключей подписи;
порядок организации криптографической защиты информации с использованием технологий ЭЦП и шифрования при обмене электронными документами, подготовленными и передаваемыми Пользователями в Системе;
процедуру подтверждения того, что электронный документ, полученный из Системы:
исходит от Пользователя Системы (подтверждение авторства документа);
не претерпел изменений после его подписания в процессе обработки, хранения и передачи информации (подтверждение целостности и подлинности документа);
порядок изготовления юридически значимых копий электронного документа на бумажном носителе.
1.2. Безопасность информации, циркулирующей в Системе, обеспечивается реализацией комплекса правовых, организационных, технических и иных мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования информации и т.п.
Предотвращение несанкционированного доступа к техническим средствам Системы достигается применением средств защиты информации, сертифицированных Государственной технической комиссией при Президенте Российской Федерации или Федеральной службой технического и экспортного контроля.
В качестве средства защиты при передаче электронных документов по общедоступным каналам связи в Системе используется их шифрование на индивидуальных ключах Пользователя.
Обеспечение подлинности информации и придание электронному документу юридической силы достигается за счёт использования в Системе ЭЦП, сформированной на индивидуальном ключе ЭЦП Пользователя, которая обеспечивает защиту содержания документа от искажения и аутентификацию лица, подписавшего документ.
Применяемые в Системе средства шифрования и ЭЦП (средства криптографической защиты информации) должны быть сертифицированы Федеральным агентством правительственной связи информации при Президенте Российской Федерации (ФАПСИ) или Федеральной службой безопасности Российской Федерации.
1.3. Информационная безопасность и юридическая значимость электронного документооборота в Системе обеспечивается соответствием принятых в системе процедур оформления взаимоотношений между всеми участниками Системы, включая Региональный удостоверяющий центр ЯНАО (РУЦ ЯНАО), создания, подписания, хранения и передачи электронных документов, подтверждения подлинности ЭЦП и разрешения конфликтов между всеми участниками, а также предусмотренных в системе правовых, организационных и технических мер защиты информации требованиям:
Гражданского кодекса Российской Федерации;
федеральных законов от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи»;
постановлений Правительства Российской Федерации от 29 декабря 2007 года № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», от 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
руководящего документа Государственной технической комиссии при Президенте Российской Федерации «Средства вычислительной техники. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа»;
Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённого приказом ФСБ РФ от 9 февраля 2005 года № 66 и зарегистрированного в Министерстве юстиции Российской Федерации 3 марта 2005 года № 6382;
Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, объявленной приказом Федерального агентства правительственной связи при Президенте Российской Федерации от 13 июня 2001 года № 152 и зарегистрированного в Министерстве юстиции Российской Федерации 6 августа 2001 года № 2848.
Юридическая значимость, качество, надёжность и соответствие действующему законодательству Российской Федерации предоставляемых РУЦ ЯНАО с помощью СЮЗЗЭД ЯНАО услуг, используемых аппаратно-программных средств, оборудования и технологий, гарантируются соответствием требований действующих нормативных и правовых актов, государственных стандартов, а также наличием необходимых аттестатов, сертификатов и лицензий на их применение, выданных в установленном порядке.
1.4. Действие настоящего Положения распространяется на органы исполнительной власти автономного округа, органы местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностных лиц иных организаций, включённых в СЮЗЗЭД ЯНАО, независимо от их организационно-правовой формы, а также организации, чьё участие в документообороте с указанными органами регламентировано нормативно-правовыми актами.
II. Основные понятия
Абонентский пункт Участника Системы - комплекс аппаратно-программных средств, обеспечивающих Участнику (Пользователю) возможность ввода-вывода, передачи, обработки, контроля, защиты и идентификации конфиденциальной информации и персональных данных, циркулирующей в СЮЗЗЭД ЯНАО.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Авторство электронного документа - принадлежность корректной электронной цифровой подписи данного документа конкретному Пользователю СЮЗЗЭД ЯНАО.
Администратор безопасности (Абонентского пункта) - полномочное лицо, ответственное за обеспечение информационной безопасности в СЮЗЗЭД ЯНАО (Абонентском пункте Участника СЮЗЗЭД ЯНАО).
Аутентификация информации - установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная получателем информация была передана подписавшим е` законным отправителем и при этом не была искажена. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов.
Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита данных от утечки, утраты, несанкционированного уничтожения, искажения, подделки (модификации), копирования, блокирования и т.п.
Владелец сертификата ключа - физическое лицо, на имя которого РУЦ ЯНАО выдан сертификат ключа подписи и которое владеет соответствующим закрытым криптографическим ключом.
Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.
Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.
Зашифровывание (шифрование) данных - процесс преобразования открытых данных в зашифрованные при помощи шифра.
Имитозащита - защита системы шифрованной связи от навязывания ложных данных.
Имитовставка - отрезок информации фиксированной длины, полученной по определённому правилу из открытых данных и ключа.
Индивидуальный закрытый ключ ЭЦП Пользователя - имеющийся только у Пользователя СЮЗЗЭД ЯНАО и хранящийся в тайне криптографический ключ, который используется им для формирования электронной цифровой подписи электронных документов. Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную только владельцу сертификата ключа подписи, которая предназначена для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.
Индивидуальный открытый ключ ЭЦП Пользователя - зарегистрированный и подписанный (сертифицированный) установленным порядком РУЦ ЯНАО, не являющийся закрытым и известный всем другим Пользователям СЮЗЗЭД ЯНАО криптографический ключ, однозначно связанный с индивидуальным закрытым ключом для формирования ЭЦП и предназначенный для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи Пользователя под документом, позволяющей идентифицировать автора подписи и определить достоверность и целостность электронного документа, но не допускающей вычисления индивидуального закрытого ключа ЭЦП Пользователя.
Инсталляционные дискеты \ CD СКЗИ - лицензионно чистые носители информации (магнитные дискеты 3,5\" и/или CD), содержащие программы, реализующие сертифицированные средства криптографической защиты информации.
Криптографическая защита - защита данных при помощи криптографического преобразования данных.
Криптографическое преобразование - преобразование данных с использованием шифрования и (или) выработки имитовставки.
Компрометация ключа (ключевой информации) - факт (или подозрение на факт) раскрытия закрытой ключевой информации; - утрата доверия к тому, что используемые ключи обеспечивают подлинность, защищённость и безопасность информации.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность информации - субъективно приписываемое информации свойство (характеристика), указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.
Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Контроль доступа (управление доступом) - процесс ограничения доступа к ресурсам системы только разрешённым субъектам или объектам.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определённый её владельцем или соглашением участников этой информационной системы.
Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением её правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Ключ (Криптографический ключ) - конкретное закрытое состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий в тексте сообщения искажения, не позволяющие понять его смысл.
Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий в результате случайных или преднамеренных действий Пользователей или других субъектов (с использованием штатных аппаратных, аппаратно-программных, программных средств автоматизированной системы) установленные правила разграничения доступа.
Носитель ключевой информации - физическое устройство (дискета, е- Token, смарт-карта и т.д.), содержащее ключи для выполнения криптографических процедур шифрования и расшифровывания, формирования электронной цифровой подписи абонента, а также необходимую служебную информацию.
Пароль - закрытая информация аутентификации, обычно представляющая собой строку знаков, которой должен обладать Пользователь для доступа к защищаемым данным и/или техническим средствам.
Плановая смена ключей - смена ключей с установленной в СЮЗЗЭД ЯНАО периодичностью, не вызванная компрометацией ключей.
Подлинник (оригинал) электронного документа - компьютерный файл, содержащий текст документа и подлинную электронную цифровую подпись, по крайней мере, одного из Пользователей СЮЗЗЭД ЯНАО.
Распечатка электронного документа на бумажном носителе - распечатка на бумажном носителе подлинника электронного документа, выполненная в соответствии с установленным в СЮЗЗЭД ЯНАО порядком, с реквизитами (фамилия, имя, отчество, должность и т.п.) всех Пользователей, подписавших электронный документ, заверенная их подписями, а со стороны РУЦ ЯНАО заверенная личной подписью уполномоченного лица государственного учреждения «Ресурсы Ямала» (далее - ГУ «Ресурсы Ямала») и печатью ГУ «Ресурсы Ямала».
Уполномоченное лицо - начальник отдела «РУЦ ЯНАО» ГУ «Ресурсы Ямала» либо лицо, его замещающее.
Подписание электронного документа (формирование электронной цифровой подписи) - процесс вычисления в соответствии с заданным алгоритмом по электронному документу и индивидуальному закрытому ключу Пользователя, предназначенному для формирования ЭЦП и имеющемуся лишь у автора, цифровой последовательности, называемой электронной цифровой подписью данного лица под данным электронным цифровым документом.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Расшифровывание данных - процесс преобразования зашифрованных данных в открытые при помощи шифра.
Реестр действующих сертификатов ключей подписей Пользователей - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий действующие на данный момент времени сертификаты ключей подписей со всеми их реквизитами и подписанный действующей электронной цифровой подписью должностного лица РУЦ ЯНАО.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица РУЦ ЯНАО, который выдаётся РУЦ ЯНАО Пользователю СЮЗЗЭД ЯНАО для подтверждения подлинности электронной цифровой подписи ключа и идентификации владельца сертификата открытого ключа. Сертификат открытого ключа (ЭЦП или шифрования) Пользователя СЮЗЗЭД ЯНАО содержит следующие сведения:
уникальный регистрационный номер сертификата ключа;
даты начала и окончания срока действия сертификата ключа;
фамилия, имя и отчество владельца сертификата ключа;
должность владельца сертификата ключа с указанием наименования и места нахождения организации, в которой установлена эта должность;
наименование средств ЭЦП, с которыми используется данный открытый ключ;
наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа;
сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение .
Список отозванных сертификатов (СОС) - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий аннулированные (отозванные) и приостановленные на данный момент времени сертификаты ключей подписи со всеми их реквизитами и указанием конкретного состояния каждого включенного в него сертификата, подписанный действующей электронной цифровой подписью уполномоченного лица РУЦ ЯНАО.
Public Key Cryptography Standarts (PKCS) - стандарты криптографии с открытым ключом, разработанные компанией RSA Security. Удостоверяющий центр осуществляет свою работу в соответствии со следующими стандартами PKCS:
PKCS#7 - стандарт, определяющий формат и синтаксис криптографических сообщений. Банк использует описанный в PKCS#7 тип данных PKCS#7 Signed - подписанные данные. Электронный документ,
оформленный с соблюдением требований PKCS#7 Signed, является электронным документом, содержащим электронную цифровую подпись;
PKCS#10 - стандарт, определяющий формат и синтаксис запроса на сертификат открытого ключа подписи. Электронный документ, оформленный с соблюдением требований PKCS#10, содержит информацию о сертифицируемом открытом ключе, используемом криптографическом средстве и данные, необходимые для идентификации владельца сертифицируемого открытого ключа электронной цифровой подписи.
Управление ключами - изготовление (генерация) ключей, их хранение, распространение, удаление (уничтожение), учёт и применение в соответствии с настоящим Положением.
Целостность информации - свойство информации, заключающееся в её существовании в не искажённом, неизменном по отношению к некоторому фиксированному её состоянию виде.
Шифрование - процесс зашифрования (шифрования) или расшифровывания.
Шифр - совокупность преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей.
Шифровальные средства (средства криптографической защиты информации - СКЗИ):
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при её обработке, хранении и передаче по каналам связи, включая шифровальную технику;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
ручные шифры, документы кодирования и другие носители ключевой информации.
Электронный документ (документ в электронной форме) - служебное информационное сообщение, платёжное поручение, запись в электронной базе данных и т.д., подготовленное с использованием СЮЗЗЭД ЯНАО на основе документа на бумажном носителе или на основе иного электронного документа, или порожденное в процессе информационного общения, зафиксированное на материальном носителе в виде компьютерного файла сообщение, снабженные реквизитами, позволяющими идентифицировать это сообщение и его авторов.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Уполномоченный удостоверяющий центр - Региональный удостоверяющий центр автономного округа, определённый Губернатором автономного округа для выпуска сертификатов ключей подписи уполномоченных лиц органов исполнительной власти автономного округа. Предназначен для обеспечения участников информационных систем средствами и спецификациями для использования сертификатов открытых ключей.
Реестр - перечень должностных лиц, которым выдаются сертификаты ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти Ямало-Ненецкого автономного округа. Реестр ведёт Уполномоченный орган.
РУЦ ЯНАО входит в структуру ГУ «Ресурсы Ямала» в качестве отдела, он организует и поддерживает работу подсистемы обеспечения безопасности информации Системы, осуществляет проверку готовности Участников и регистрацию Пользователей, обеспечивает их необходимыми для работы аппаратными, аппаратно-программными, программными средствами, ключевой информацией, нормативными руководящими материалами, координирует Систему, ведет учет распечатанных электронных документов. Наименования ГУ «Ресурсы Ямала» и «РУЦ ЯНАО» для Участников Системы являются равнозначными и равноопределяющими.
Уполномоченный орган - это исполнительный орган государственной власти ЯНАО, осуществляющий регулирование использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа. Уполномоченный орган организовывает свою деятельность в целях обеспечения перехода к безбумажной форме документооборота с использованием ЭЦП в информационных системах исполнительных органов государственной власти автономного округа.
Участники Системы - органы государственной власти автономного округа. органы местного самоуправления, государственные и муниципальные учреждения и организации автономного округа, иные организации, включенные в Систему, независимо от их организационно-правовой формы), зарегистрированные в Системе и заключившие Договор на обслуживание для юридических лиц с её Организатором - ГУ «Ресурсы Ямала».
Порядок подключения Участника к информационным ресурсам Системы определяется настоящим Положением.
Пользователи Системы (Пользователи) - физические лица, исполняющие должностные обязанности в органах государственной власти автономного округа, органах местного самоуправления, государственных, муниципальных учреждениях и организациях автономного округа, или должностные обязанности в иных организациях, включенных в Систему, и уполномоченные этим учреждением осуществлять электронный документооборот в Системе с использованием технологий ЭЦП и/или шифрования. Пользователями так же являются физические лица, жители автономного округа присоединяющиеся к Системе как частные персоны.
Порядок включения физических лиц, исполняющих должностные обязанности в организациях-Участниках Системы, в число Пользователей определяется настоящим Положением.
III. Организационная структура Системы
3.1. СЮЗЗЭД ЯНАО представляет собой корпоративную информационную систему, организованную ГУ «Ресурсы Ямала», с целью обеспечения возможности безопасного и юридически значимого обмена информацией, в том числе платёжно-расчётными документами, в электронной форме, а также ведения защищённых от подделки и хищения баз данных и реестров в интересах органов исполнительной власти автономного округа, органов местного самоуправления, государственных муниципальных и иных организаций автономного округа, а также жителей автономного округа.
3.2. Организационно СЮЗЗЭД ЯНАО представляет собой двухуровневую структуру, которая включает в себя:
Верхний уровень - Организаторов Системы - Уполномоченный орган, ГУ «Ресурсы Ямала».
Нижний уровень - Участники и Пользователи Системы.
3.3. Все Пользователи Системы допускаются к работе исключительно на основании приказов руководителей соответствующих организаций-участников и только после регистрации в РУЦ ЯНАО.
IV. Порядок подключения Участников к Системе
4.1. Подключение Участника к Системе осуществляется на основании заключаемого договора между Участником и ГУ «Ресурсы Ямала».
4.2. Присоединение Участника к Системе, если это не оговорено особо при заключении Договора, осуществляется на неопределенный срок.
4.3. Работы по подключению организации-заявителя к Системе проводятся ГУ «Ресурсы Ямала» за счёт заявителя.
4.4. При подключении Участника к Системе ГУ «Ресурсы Ямала» на основании Договора на обслуживание для юридических лиц в Системе и соответствующего заявления осуществляет в согласованные сроки подготовку персонала Участника, проверку его готовности, регистрацию Пользователей Участника, проводит организационную и техническую подготовку Участника к использованию Системы, обеспечивает Пользователей Участника необходимой ключевой информацией и сертификатами ключей подписи, обеспечивает включение этих сертификатов в Реестр действующих сертификатов ключей подписей.
4.5. При заключении Договора на обслуживание для юридических лиц в Системе Участник представляет в РУЦ ЯНАО следующие сведения и документы:
список должностных лиц Участника (фамилия, имя, отчество, занимаемая должность), которым предоставлено право подписывать электронные документы электронной цифровой подписью и шифрование документов;
документальное подтверждение должностных полномочий Пользователей;
приказ о назначении на должности Администраторов информационной безопасности организации-Участника Системы;
сведения о помещениях, в которых предполагается эксплуатировать аппаратно-программные средства Абонентского пункта Системы;
сведения о предполагаемых к использованию Участником каналах связи, включая их тип, номера телефонов или адреса в сетях передачи данных;
телефонный номер для экстренной связи с ним (Участником);
обязательство перед Федеральной службой безопасности Российской Федерации об обеспечении возможности контроля за порядком использования средств криптографической защиты информации (СКЗИ) Участником со стороны федеральных органов безопасности.
Примечание.
При определении необходимого ему числа Абонентских пунктов, Участник должен учитывать, что на одном рабочем месте Системы могут работать несколько Пользователей.
4.6. ГУ «Ресурсы Ямала», если это предусмотрено Договором на обслуживание для юридических лиц в Системе, осуществляет приобретение необходимого для построения Абонентских пунктов Участника аппаратных средств, программного обеспечения, включая сертифицированные средства защиты информации.
4.7. После проведения РУЦ ЯНАО всех предусмотренных для подключения Участника Договором на обслуживание для юридических лиц в Системе работ, осуществляется регистрация должностных лиц Участника в качестве Пользователей Системы и получение этими лицами в РУЦ ЯНАО изготовленных индивидуальных криптографических ключей и сертификатов ключей подписи.
Порядок управления криптографическими ключами Пользователей, их изготовления и передачи Пользователями определяется настоящим Положением.
4.8. Кроме того, РУЦ ЯНАО после проведения всех предусмотренных для подключения Участника договором на обслуживание для юридических лиц в Системе работ осуществляет следующие мероприятия:
устанавливает (по требованию Участника) ПО СКЗИ, передаёт Участнику лицензию на использование ПО СКЗИ, а также полный комплект эксплуатационной документации на СКЗИ;
корректирует и публикует установленным порядком, обновлённый Реестр действующих сертификатов ключей подписей Пользователей.
4.9. Присоединение Участника и техническое подключение его Абонентских пунктов к Системе оформляется подписанием уполномоченными должностными лицами Сторон Акта установки и ввода в эксплуатацию аппаратно-программного комплекса Абонентских пунктов Системы.
4.10. Дальнейшее обслуживание Участника и техническое сопровождение аппаратно-программных средств его Абонентских пунктов Системы осуществляются РУЦ ЯНАО в соответствии с настоящим Положением, Регламентом деятельности РУЦ ЯНАО и Договором на обслуживание для юридических лиц в Системе.
V. Порядок изготовления и управления ключами в Системе
5.1. Использование технологий шифрования и электронной цифровой подписи в Системе обеспечивает конфиденциальность электронных документов и придает им юридическую силу. Несанкционированное использование индивидуальных закрытых ключей подписи Пользователя посторонними лицами приводит к утечке конфиденциальной информации и созданию или искажению с преступными намерениями юридически значимых электронных документов от имени должностного лица, обладающего индивидуальным закрытым ключом электронной цифровой подписи.
В связи с этим особое значение для обеспечения безопасности информации, циркулирующей в Системе, имеет сохранение в тайне индивидуальных закрытых ключей подписи. Во избежание опасных последствий необходимо:
строго соблюдать требования по обеспечению режима безопасности ключевой информации;
неукоснительно выполнять все организационные меры, направленные на защиту ключевой информации от несанкционированного доступа к ней;
в случае компрометации ключей, принять все меры к незамедлительному информированию о случившемся должностных лиц РУЦ ЯНАО, ответственных за безопасность информации, а также к локализации последствий компрометации, в соответствии с настоящим Положением.
Строгое соблюдение требований по обеспечению режима безопасности средств криптографической защиты информации и, в первую очередь, безопасности закрытой ключевой информации позволит оградить служебные и финансовые интересы Участников Системы от злонамеренных посягательств посторонних лиц и их возможных последствий.
5.2. В целях обеспечения безопасности конфиденциальной ключевой информации Участники и Пользователи Системы в процессе работы с действующими ключами должны выполнять требования эксплуатационных документов на сертифицированные СКЗИ.
Категорически запрещается:
осуществлять несанкционированное копирование ключевых данных;
хранить Носители ключевой информации вне мест, специально для этого установленных (согласно требованиям пункта 30 приказа ФАПСИ от 13 июня 2001 года № 152);
выдавать Носители ключевой информации лицам, не допущенным к работе с ними, или с отступлением от установленных правил;
во время перерывов в работе оставлять Носители ключевой информации без присмотра в устройствах считывания ПЭВМ, на рабочем месте, шкафах и ящиках, для этого не предназначенных;
передавать индивидуальные закрытые ключи шифрования и ЭЦП другим лицам иначе как на основании надлежащим образом оформленной доверенности;
производить уничтожение ключей на Носителях ключевой информации после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от описанных в эксплуатационной документации на СКЗИ;
Категорически не рекомендуется:
проносить и использовать в помещениях, где размещены сертифицированные СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру.
5.3. Подписание электронных документов каждым Пользователем Системы осуществляется с использованием индивидуального только ему принадлежащего, отличного от всех других, закрытого ключа ЭЦП Пользователя.
При такой организации Системы компрометация ключевой информации любого из Пользователей не приводит к компрометации ключей у других абонентов системы, что позволяет им продолжать подготовку юридически значимых электронных документов и безопасный обмен конфиденциальной информацией.
5.4. Управление ключами в Системе осуществляет РУЦ ЯНАО.
5.5. РУЦ ЯНАО вырабатывает закрытые и открытые ключи подписи на Автоматизированном рабочем месте РУЦ ЯНАО (АРМ РУЦ ЯНАО) в соответствии с государственной лицензией и эксплуатационной документацией на СКЗИ.
5.6. РУЦ ЯНАО для изготовления индивидуальных криптографических ключей использует программные и технические средства изготовления ключевой информации, сертифицированные и аттестованные уполномоченными государственными органами. РУЦ ЯНАО гарантирует отсутствие нерегламентированных процедур скрытого копирования индивидуальной закрытой ключевой информации в используемых программных и технических средствах.
5.7. Ключевая информация Пользователя генерируется и записывается РУЦ ЯНАО на Носители ключевой информации.
Каждый Носитель ключевой информации содержит всю ключевую информацию, необходимую для работы Пользователя. Носители ключевой информации являются конфиденциальной информацией и должны храниться в тайне. Должностные лица РУЦ ЯНАО, Участники и Пользователи несут персональную ответственность за обеспечение сохранности ключевой информации и защиту ключевых носителей от несанкционированного использования.
5.8. РУЦ ЯНАО изготавливает сертификаты криптографических ключей подписи и/или шифрования Пользователя в электронном виде и вместе с Носителем ключевой информации передает их Пользователю.
При изготовлении сертификатов ключей РУЦ ЯНАО оформляет 2 (два) экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица ГУ «Ресурсы Ямала», а также печатью ГУ «Ресурсы Ямала». Один экземпляр сертификата ключа на бумажном носителе выдаётся владельцу сертификата ключа, один - остаётся в РУЦ ЯНАО.
Сертификаты индивидуальных ЭЦП публикуются РУЦ ЯНАО в Реестре действующих сертификатов ключей подписей.
5.9. Индивидуальные открытые ключи подписи Пользователя считаются зарегистрированными в Системе, если на соответствующих сертификатах в форме документов на бумажных носителях присутствуют подписи Пользователя или его установленным образом уполномоченного лица и уполномоченного лица РУЦ ЯНАО.
Наличие на сертификатах индивидуальных ключей подписи в форме документов на бумажных носителях подписи Пользователя или его уполномоченного лица означает его обязательство использовать для проверки ЭЦП электронных документов и их зашифровывания исключительно данные криптографические ключи в течение всего периода их действия.
5.10. После получения сертификатов криптографических ключей и их регистрации в Системе Пользователь получает доступ к сертификатам открытых ключей других Пользователей и Списку отозванных сертификатов (СОС).
5.11. Периодичность и способ доставки обновлений Списка отозванных сертификатов РУЦ ЯНАО определяется Регламентом деятельности РУЦ ЯНАО.
5.12. Срок действия индивидуальных криптографических ключей Пользователей - не более 12 месяцев.
5.13. Плановая смена ключей (закрытого и соответствующего ему открытого ключа) уполномоченного лица РУЦ ЯНАО выполняется не ранее, чем через 1 (один) год и не позднее чем через 1 (один) год и 6 (шесть) месяцев после начала действия закрытого ключа (и, соответственно, сертификата ключа подписи) уполномоченного лица РУЦ ЯНАО.
5.14. Процедура плановой смены ключей определена Регламентом деятельности РУЦ ЯНАО.
5.15. В соответствии с этой процедурой Уполномоченное лицо РУЦ ЯНАО с помощью АРМ РУЦ ЯНАО формирует новые (закрытый и открытый) индивидуальные ключи и изготавливает сертификат нового открытого ключа, который подписывает своей ЭЦП с использованием нового закрытого ключа.
5.16. Старый закрытый ключ уполномоченного лица РУЦ ЯНАО используется в течение своего срока действия для формирования списков отозванных сертификатов в электронной форме, изданных РУЦ ЯНАО в период действия старого закрытого ключа уполномоченного лица РУЦ ЯНАО.
5.17. Внеплановая смена ключей уполномоченного лица РУЦ ЯНАО выполняется в случае компрометации или угрозы компрометации закрытого ключа уполномоченного лица РУЦ ЯНАО.
5.18. Последовательность действий Уполномоченного лица РУЦ ЯНАО в процесс внеплановой смены его криптографических ключей определена Регламентом деятельности РУЦ ЯНАО. И выполняется в порядке, предусмотренном для плановой смены ключей Уполномоченного лица РУЦ ЯНАО.
5.19. После создания Уполномоченным лицом РУЦ ЯНАО новых криптографических ключей и издания нового сертификата подписи все действующие сертификаты открытых ключей Пользователей УЦ аннулируются (отзываются) путём занесения их в Список отозванных сертификатов.
Старый сертификат открытого ключа уполномоченного лица РУЦ ЯНАО также аннулируется (отзывается) путём занесения в Список отозванных сертификатов.
Список отозванных сертификатов подписывается старым закрытым ключом, подвергшимся процедуре внеплановой смены, уполномоченного лица РУЦ ЯНАО.
5.20. РУЦ ЯНАО официально уведомляет участников Системы о проведении процедуры внеплановой смены ключа уполномоченного лица РУЦ ЯНАО путем публикации Списка отозванных сертификатов, содержащего сертификат подписи Уполномоченного лица РУЦ ЯНАО и рассылки соответствующих уведомлений.
5.21. После получения официальной публикации о факте внеплановой смены ключа уполномоченного лица РУЦ ЯНАО Пользователям необходимо выполнить процедуру получения новых криптографических ключей и сертификатов открытого ключа.
Получение ключей и сертификатов открытого ключа Пользователями Системы осуществляется в РУЦ ЯНАО централизованно на основании заявления на получение ключей и сертификата тем же порядком, что и получение новых криптографических ключей и сертификатов подписи.
5.22. В ходе внеплановой смены ключей замене подлежат все действующие индивидуальные ключи ЭЦП.
5.23. Пользователь после получения новых ключей подписи и их сертификатов проверяет их работоспособность, после чего направляет в РУЦ ЯНАО информационное письмо с уточнением даты и времени вывода из действия старых ключей и ввода в действие новых ключей.
Примечание.
Все письма могут быть оформлены в электронном виде и подписаны на старых ключах Предлагаемая Пользователем, дата должна находиться в интервале, установленном пунктом 12 настоящего Положения.
В соответствии с полученным информационным письмом в назначенный день РУЦ ЯНАО заносит сертификаты старых ключей в Справочник отозванных сертификатов и вводит в действие новые ключи порядком, установленным настоящим Положением. С этого момента Пользователь работает на новых ключах.
5.24. Выведенные из действия старые индивидуальные криптографические ключи уничтожаются Пользователем или его уполномоченным лицом самостоятельно методом, установленным эксплуатационной документацией на СКЗИ в течение не более 10 дней с момента выведения их из действия.
5.25. Уничтожение выведенных из действия индивидуальных ключей оформляется Актом уничтожения индивидуальных криптографических ключей, один экземпляр которого передается РУЦ ЯНАО.
Второй экземпляр Акта уничтожения индивидуальных криптографических ключей и сертификаты выведенных из действия ключей подписи и/или шифрования Пользователя передаются установленным образом в архивное подразделение соответствующего Участника Системы.
5.26. Пользователи и уполномоченные лица РУЦ ЯНАО несут персональную ответственность за своевременное уничтожение выведенных из действия индивидуальных ключей в полном соответствии с порядком, установленным настоящим Положением и должностными инструкциями.
Повторное использование индивидуальных ключей, выведенных из действия, должно быть исключено.
5.27. Срок архивного хранения Актов уничтожения индивидуальных криптографических ключей и сертификатов, выведенных из действия ключей подписи и/или шифрования, определяется действующим законодательством и не может быть меньше, срока хранения аналогичных по содержанию традиционных бумажных документов.
VI. Компрометация криптографических ключей и порядок локализации её последствий
6.1. Под компрометацией индивидуального криптографического ключа Пользователя понимается утрата доверия к тому, что используемые ключи обеспечивают безопасность конфиденциальной информации, циркулирующей в Системе. К событиям, связанным с компрометацией действующих криптографических ключей, относятся следующие:
утрата носителей ключевой информации;
утрата носителей ключевой информации с последующим их обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;
изменение должностного статуса Пользователя;
возникновение подозрений на утечку конфиденциальной информации или её искажение;
нерасшифровывание входящих или исходящих сообщений Пользователей;
отрицательный результат при проверке ЭЦП документа;
нарушение целостности упаковки носителей ключевой информации и/или печати на хранилище (сейфе), где хранились носители.
Первые четыре события должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.
Наступление любого из перечисленных выше событий является чрезвычайным происшествием, которое может привести к опасным последствиям, в первую очередь, для самого Пользователя Системы и его организации - Участника Системы. В связи с чем, при обнаружении любого из этих событий, Пользователь, а также иные должностные лица Участника обязаны принять срочные меры к оповещению о случившемся РУЦ ЯНАО и Службы безопасности своего предприятия, а также принять предусмотренные настоящим Положением и должностными инструкциями меры к локализации возможных опасных последствий компрометации действующих криптографических ключей.
6.2. При наступлении любого из перечисленных в пункте 6.1 настоящего Положения событий Пользователь или Администратор безопасности Абонентского пункта Участника Системы обязан немедленно прекратить на своем рабочем месте обработку конфиденциальной информации, а также связь с другими Пользователями Системы и сообщить о факте компрометации (или о предполагаемом факте компрометации) РУЦ ЯНАО.
Сообщение о компрометации ключевой информации должно быть оперативно передано в РУЦ ЯНАО по телефону экстренной связи (телефон указан в договоре на обслуживание) и содержать реквизиты Пользователя, ключи которого подверглись компрометации (или подозреваются в компрометации), в дальнейшем в РУЦ ЯНАО должно быть представлено письменное уведомление.
6.3. Администратор безопасности Участника обязан в течение 1 суток с момента обнаружения факта компрометации ключевой информации письменно уведомить РУЦ ЯНАО о компрометации криптографического ключа с указанием наименования ключа, реквизитов Пользователя, на которого данный ключ зарегистрирован, а также даты, времени, предполагаемой причины компрометации (подозрения на компрометацию) данного ключа.
Уведомление должно быть подписано уполномоченным должностным лицом Участника (Руководителем) и заверено печатью организации.
Данное письменное уведомление о компрометации ключевой информации Участника регистрируется и хранится в РУЦ ЯНАО наравне с дубликатами сертификатов криптографических ключей Пользователей, выведенными из действия, на случай разбора конфликтных ситуаций.
Примечание.
Уведомление о компрометации ключевой информации может быть отправлено Пользователем или Администратором безопасности Участника в РУЦ ЯНАО и в электронном виде, но при этом оно должно быть обязательно подписано ЭЦП соответствующего должностного лица, в том числе и с использованием скомпрометированного ключа ЭЦП.
6.4. После поступления от Пользователя или Администратора безопасности абонентского пункта по телефону экстренной связи или в электронной форме сообщения о компрометации действующих криптографических ключей должностные лица РУЦ ЯНАО обязаны немедленно перепроверить полученную информацию и в случае её подтверждения обеспечить прекращение обмена информацией и осуществления электронных расчётов с Участником, чьи ключи оказались скомпрометированными (или подозреваются в компрометации), путём его отключения от Системы.
Полученное РУЦ ЯНАО телефонное или электронное сообщение о компрометации (или подозрении на компрометацию) действующей ключевой информации Пользователя должно быть зарегистрировано с указанием даты и времени его поступления, реквизитов Пользователя и должностного лица, от которого это сообщение поступило. Запись в журнале о происшедшем и принятых мерах уполномоченное должностное лицо РУЦ ЯНАО заверяет своей подписью.
6.5. Сразу после уведомления РУЦ ЯНАО о факте компрометации (или о предполагаемом факте компрометации) и принятии мер к прекращению обработки конфиденциальной информации связи с использованием скомпрометированных (подозреваемых в компрометации) криптографических ключей Администратор безопасности Абонентского пункта Участника подаёт рапорт (служебную записку) Руководителю своего предприятия (организации) о случившемся и принимает участие в служебном расследовании, организуемом Руководителем. В расследовании также принимает участие уполномоченное должностное лицо РУЦ ЯНАО, ответственное за информационную безопасность.
Результатом расследования должно стать отнесение или неотнесение случившегося события к факту безусловной компрометации действующих ключей. Акт расследования подписывается всеми членами комиссии и направляется Участнику Системы, а также в РУЦ ЯНАО.
6.6. При установлении факта безусловной компрометации действующих ключей должностными лицами Участника Системы и РУЦ ЯНАО должны быть приняты следующие меры:
скомпрометированные закрытые ЭЦП и шифрования выводятся из действия и уничтожаются установленным порядком, а их сертификаты отзываются;
РУЦ ЯНАО вносит соответствующие изменения в Список отозванных сертификатов, а также в Реестр действующих сертификатов ключей подписей Пользователей и/или Справочник сертификатов открытых ключей шифрования Пользователей и обеспечивает их публикацию установленным порядком.
6.7. Участник обязан обеспечить изъятие из обращения скомпрометированных криптографических ключей не позднее чем через 1 сутки с момента вывода этих ключей из действия и в течение 10 дней провести их уничтожение.
6.8. Для восстановления юридически значимого электронного документооборота и/или конфиденциальной связи после компрометации ключевой информации Пользователь должен получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи. Порядок смены описан в настоящем Положении.
VII. Порядок действия и смены пароля
7.1. Информационные и вычислительные ресурсы Абонентских пунктов Системы, установленные у Участников, должны быть защищены от несанкционированного доступа сертифицированными средствами защиты информации.
Пароль входа в технические средства Системы является конфиденциальной информацией и должен храниться в тайне. Должностные лица РУЦ ЯНАО и Участников несут персональную ответственность за обеспечение его сохранности.
В процессе эксплуатации защищённых технических средств Системы, включая Абонентские пункты, категорически запрещается:
осуществлять несанкционированное копирование паролей Пользователей на любые носители, включая ГМД, листы бумаги, записные книжки, внутренние и внешние поверхности технических средств, мебели и т.п.;
передавать пароли лицам, не допущенным к ними.
7.2. В целях обеспечения безопасности конфиденциальной информации, циркулирующей в Системе, должностные лица РУЦ ЯНАО, Администраторы безопасности Абонентских пунктов Участников и Пользователи Системы в процессе работы должны выполнять требования эксплуатационных документов на сертифицированные средства защиты информации.
7.3. Порядок генерации, смены и использования паролей Пользователей Системы определяется утверждённой Инструкцией по организации парольной защиты автоматизированной системы Учреждения.
VIII. Системное время
8.1. В целях согласования работы РУЦ ЯНАО, Участников и Пользователей в Системе устанавливается единое время, называемое Системным временем СЮЗЗЭД ЯНАО.
8.2. Системное время соответствует декретному времени г. Салехарда.
8.3. РУЦ ЯНАО несёт ответственность за соответствие системного времени программно-аппаратных средств Удостоверяющего центра Системному времени СЮЗЗЭД ЯНАО.
8.4. Синхронизация времени Абонентского пункта Участника с Системным временем СЮЗЗЭД ЯНАО обеспечивается должностными лицами Участника.
8.5. Системное время СЮЗЗЭД ЯНАО считается эталонным и принимается во внимание при разборе конфликтных ситуаций в случае расхождения времени Абонентского пункта Участника с временем аппаратно-технических средств других Участников Системы.
8.6. При выполнении действий с применением ЭЦП Участником (при наличии установленного у него дополнительного программного обеспечения) возможно применение службы штампа времени и онлайновой проверки статуса сертификата.
IX. Порядок использования Системы
Технология электронного документооборота в Системе включает в себя подготовку имеющих юридическую силу электронных документов (в том числе и платежных электронных документов), обеспечение их защиты от утечки, хищения, искажения и подделки, передачу документов по каналам связи в защищённом виде, проверку их подлинности и при необходимости изготовление их подлинников (оригиналов) на бумажном носителе.
9.1. Подготовка электронных документов.
Подготовка Подлинника (оригинала) электронного документа включает в себя следующие этапы:
подготовка текста электронного документа с идентифицирующими его реквизитами (наименование предприятия, наименование документа, дата и время создания документа, реквизиты лиц, подписавших документ и т.д.);
подписание электронного документа ЭЦП Пользователя.
ЭЦП электронного документа, как правило, записывается в конец электронного документа и составляет с ним единый компьютерный файл, но может быть представлена и отдельным файлом.
Каждый электронный документ может быть подписан ЭЦП нескольких Пользователей.
9.2. Защита электронных документов в процессе их передачи по общедоступным каналам связи.
Электронный документ, содержащий конфиденциальную информацию, должен передаваться только после его шифрования на действующих индивидуальных открытых ключах шифрования Пользователя, которому он предназначен.
После обмена информацией Пользователи проводят расшифровывание полученных шифрованных электронных документов и проверяют подлинность электронных цифровых подписей под ними.
В случае нерасшифровывания поступившего сообщения или получении отрицательного результата при проверке электронной цифровой подписи поступившего документа о случившемся должна быть немедленно оповещена передающая Сторона и предприняты меры, предусмотренные разделом VI настоящего Положения.
9.3. Проверка подлинности электронного документа.
Для проверки подлинности поступивших из каналов связи электронных документов используется процедура Подтверждение подлинности электронной цифровой подписи в электронном документе, которая является составной частью программного обеспечения Абонентского пункта Системы. Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат вычисления соответствующей криптографической процедуры, осуществленного сертифицированным средством ЭЦП над открытым текстом поступившего электронного документа, его электронной цифровой подписью и сертификатом ключа подписи Пользователя, подписавшего этот документ. Результатом проверки ЭЦП является сообщение криптографической процедуры проверки о верности или нарушении ЭЦП, а также о наличии или отсутствии искажений в документе. Сообщение криптографической процедуры может быть распечатано в виде протокола проверки.
9.4. Основное условие признания равнозначности ЭЦП собственноручной подписи исполнителя.
ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность ЭЦП в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Электронный документ, подписанный несколькими Пользователями, признается подлинным только тогда, когда ЭЦП всех Пользователей, подписавших документ, признаны равнозначными собственноручным подписям этих Пользователей.
9.5. Изготовление копии электронных документов на бумажном носителе.
При необходимости Пользователь, создавший и подписавший своей ЭЦП юридически значимый электронный документ, вправе в соответствии с установленным в организации порядком изготовить документ на традиционном бумажном носителе. Такой документ при подписании его Пользователем собственноручной подписью будет иметь ту же силу, что и его электронный оригинал.
Создание бумажной копии конфиденциального документа иным Пользователем Системы (не его автором) без согласия создателя документа его подписавшего, как правило, не допускается.
Вместе с тем любой Участник вправе обратиться в РУЦ ЯНАО с просьбой изготовить копию электронного документа на бумажном носителе и заверить собственноручной подписью должностного лица Удостоверяющего центра и его печатью подлинность ЭЦП всех Пользователей, подписавших этот документ. Для изготовления Копии конкретного электронного документа на бумажном носителе РУЦ ЯНАО осуществляет следующие действия:
получает от Заявителя указанный электронный документ;
получает согласие на его распечатку от Участника Системы, чей Пользователь создал и первым подписал этот юридически значимый электронный документ;
проверяет правильность ЭЦП (подписей) стороны (сторон) под этим электронным документом;
в случае признания корректности ЭЦП (всех подписей) под этим электронным документом, выполняет распечатку компьютерного файла, содержащего электронный документ, с его атрибутами и служебными полями на бумажном носителе;
в верхнем правом углу каждого листа распечатки ставит штамп «Копия электронного документа № ______ от «______» ____ года;
заверяет каждую страницу распечатки подписью уполномоченного должностного лица РУЦ ЯНАО и печатью ГУ «Ресурсы Ямала»;
вносит в конец распечатки реквизиты, идентифицирующие всех Пользователей, подписавших указанный электронный документ своими ЭЦП;
заверяет идентифицирующие реквизиты каждого из Пользователей, подписавших указанный электронный документ своей ЭЦП, подписью уполномоченного лица РУЦ ЯНАО и печатью ГУ «Ресурсы Ямала»;
брошюрует, прошивает, указывает количество листов в распечатке и скрепляет брошюру своей печатью и подписью должностного лица, осуществлявшего брошюровку.
Изготовленная таким образом Копия электронного документа на бумажном носителе имеет такую же юридическую силу, как и электронный оригинальный документ, подписанный ЭЦП, признаётся всеми Участниками Системы и может быть использована для разрешения споров в судебных и арбитражных органах, а также для представления в государственные, контролирующие и иные органы и организации.
В случае отрицательного результата проверки правильности ЭЦП (хотя бы одной подписи) стороны (сторон) под электронным документом, требование на изготовление Копии на бумажном носителе которого поступило в РУЦ ЯНАО, Региональный удостоверяющий центр автономного округа в письменной форме с указанием причин отказывает Заявителю в изготовлении бумажного документа.
Факт изготовления или отказа в изготовлении Подлинника электронного документа на бумажном носителе с указанием реквизитов Заявителя, затребовавшего изготовление такого подлинника, и реквизитов указанного электронного документа фиксируется РУЦ ЯНАО специальным Актовым журналом, который хранится установленным образом в течение срока хранения электронного документа, бумажная копия которого была изготовлена.
9.6. Организация учёта и хранения электронных документов.
В соответствии с действующими в Российской Федерации нормативными правовыми актами электронные документы, изготовленные или полученные из Системы, подписанные ЭЦП, представляют собой документы, имеющие юридическую силу, и могут быть использованы для предоставления в государственные, контролирующие и иные органы и организации, в том числе в судебные и арбитражные инстанции. В связи с этим каждый такой документ должен быть зарегистрирован и сохранён.
9.6.1. Регистрация подлинников электронных документов осуществляется уполномоченными лицами Участников (Пользователями и/или Администраторами безопасности Абонентских пунктов), осуществляющих эксплуатацию аппаратно-программных средств Абонентских пунктов Системы в системе электронного документооборота и делопроизводства, в случае отсутствия в организации Участника подобных систем, то необходима регистрация в специальных Журналах регистрации электронных документов.
Журналы регистрации электронных документов ведутся отдельно для подготовленных и полученных электронных документов.
9.6.2. В журнале учёта подготовленных электронных документов для каждого документа должны быть указаны:
идентифицирующие реквизиты документа;
идентифицирующие реквизиты должностных лиц Участника, подписавших документ своими ЭЦП;
полное наименование файла;
дата и время создания документа;
дата и время отправки или записи на твёрдый носитель для архивного хранения;
реквизиты получателя документа.
9.6.3. В журнале учёта полученных электронных документов для каждого документа должны быть указаны:
дата и время получения;
реквизиты отправителя документа;
полное наименование файла;
идентифицирующие реквизиты документа;
идентифицирующие реквизиты должностных лиц организации-отправителя, подписавших документ своими ЭЦП;
дата и время создания документа;
сообщение процедуры проверки ЭЦП о признании или не признании подлинности ЭЦП под данным документом.
9.6.4. Хранение электронных документов осуществляется на носителях электронной информации в соответствии с принятым в организации порядком.
9.6.5. При передаче на хранение носителей информации с электронными документами должно быть обеспечено их надёжное дублирование.
Должны быть обеспечены условия раздельного хранения подготовленных и полученных электронных документов.
9.6.6. Организация архива электронных документов должна обеспечивать быстрый поиск документов по времени их создания или получения, по имени файла и идентифицирующим реквизитам документов.
9.6.7. Электронные документы постоянного хранения, отнесённые к составу архивного фонда Российской Федерации, передаются на хранение в государственный архив и муниципальные архивы по утверждённым описям на носителях электронной информации в юридически значимом виде и дублируются на бумажном носителе.
9.6.8. Срок хранения электронных документов устанавливается в соответствии с законодательством Российской Федерации.
X. Основные функциональные обязанности Участников и Пользователей Системы
10.1. Функции Уполномоченного органа:
10.1.1. Контроль ведения Реестра сертификатов ЭЦП уполномоченных лиц исполнительных органов государственной власти ЯНАО.
Реестр уполномоченных лиц ведётся Уполномоченным удостоверяющим центром (РУЦ ЯНАО).
В состав Реестра входит совокупность реестровых дел уполномоченных лиц.
В реестровых делах учитываются и хранятся:
- копии распорядительных документов о назначении на должность и увольнении должностных лиц исполнительных органов государственной власти ЯНАО;
- копии заявлений о регистрации, получении криптографических ключей и сертификата открытого ключа подписи;
- копии сертификатов открытого ключа подписи на бумажном носителе;
- уведомления об отказе в регистрации уполномоченных лиц;
Форма Реестра определяется Уполномоченным органом.
Для исключения уполномоченного лица из Реестра Уполномоченный орган вносит необходимые изменения на основании Заявления на аннулирование (отзыва) сертификата открытого ключа.
Утверждает Регламент деятельности Регионального удостоверяющего центра Ямало-Ненецкого автономного округа (далее Регламент).
10.1.2. Обеспечение безопасности и бесперебойности в работе информационных систем исполнительных органов государственной власти Ямало-Ненецкого автономного округа, органов местного самоуправления Ямало-Ненецкого автономного округа при проведении мероприятий по оснащению электронного документооборота средствами ЭЦП информационных систем исполнительных органов государственной власти Ямало-Ненецкого автономного округа, органов местного самоуправления ЯНАО.
10.1.3. Формирование поручений РУЦ ЯНАО на изготовление и выдачу ключей ЭЦП и сертификатов уполномоченных лиц и отзыву последних.
10.1.4. Организация своевременного прохождения заявительных документов от уполномоченного лица до РУЦ ЯНАО.
10.1.5. Согласование графика работ с исполнительными органами государственной власти по установке средств ЭЦП на рабочие места уполномоченных лиц.
10.1.6. Согласование сроков окончания действия ключей ЭЦП и сертификатов уполномоченных лиц и обеспечение своевременной замены на новые.
10.1.7. Участие в организации плановой смены ключей ЭЦП и сертификатов уполномоченных лиц.
10.1.8. Подготовка предложений по созданию Экспертной комиссии по рассмотрению конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП уполномоченного лица.
10.2. Задачи Уполномоченного органа:
10.2.1. Обеспечение контроля выдачи и отзыва сертификатов уполномоченных лиц.
10.2.2. Организация взаимодействия заинтересованных сторон по выдаче и отзыву сертификатов уполномоченных лиц.
10.2.3. Координация деятельности должностных лиц исполнительных органов государственной власти в рамках действия настоящего Положения.
10.2.4. Контроль своевременного выполнения возложенных обязанностей ответственных лиц органов исполнительной власти в рамках действия настоящего Положения.
10.2.5. Координация и контроль деятельности РУЦ ЯНАО по правильному и своевременному изготовлению, выдаче открытых ключей ЭЦП и в установленном порядке закрытых ключей ЭЦП и сертификатов уполномоченных лиц.
10.2.6. Осуществление контрольных мероприятий и иных полномочий по защите информации и обеспечению информационной безопасности в области использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа.
10.2.7. Разработка регламентов и/или порядка действий для реализации мероприятий настоящего Положения.
10.2.8. Обеспечение Уполномоченным органом сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.
10.3. Основные права и обязанности РУЦ ЯНАО:
обеспечение бесперебойной работы Системы;
осуществление общего технического руководства работой Системы;
заключение с Участниками Договора на обслуживание для юридических лиц в Системе;
поставка, установка, наладка, сервисное обслуживание на основании заключенных с Участниками договоров аппаратных, аппаратно-программных и программных средств Абонентских пунктов Системы;
подготовка на основании заключенных с Участниками договоров персонала для работы на аппаратно-программных средствах Абонентских пунктов Системы;
проверка программно-технических средств Участников и регистрация его Пользователей, ведение реестров Участников и Пользователей;
установка Участникам и Пользователям, осуществляющим эксплуатацию аппаратно-программных средств Абонентских пунктов Системы, программного обеспечения сертифицированного СКЗИ, лицензии и эксплуатационной документации к Абонентским пунктам Системы;
обеспечение правового регулирования и организации выдачи, регистрации и отзыва криптографических ключей и сертификатов открытых ключей Пользователей;
генерация, регистрация и выдача Пользователям индивидуальных криптографических ключей ЭЦП, а также соответствующих сертификатов;
своевременное составление, поддержание и обновление Реестра действующих сертификатов ключей подписей Пользователей, Списка отозванных сертификатов и Справочника сертификатов открытых ключей шифрования Пользователей, обеспечение их заверения действующей электронной цифровой подписью уполномоченного должностного лица РУЦ ЯНАО и их публикация;
генерация, регистрация и выдача криптографических ключей и соответствующих сертификатов уполномоченным должностным лицам исполнительных органов государственной власти ЯНАО. Ведение Реестра сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти ЯНАО;
обеспечение своевременного уведомления Участников о проведения плановой смены ключей в Системе и проведение плановой смены индивидуальных криптографических ключей Пользователей;
ведение архивов утративших актуальность Реестров действующих сертификатов ключей подписей Пользователей, Списков отозванных сертификатов и Справочников сертификатов открытых ключей шифрования Пользователей;
незамедлительное информирование Пользователей о случаях компрометации индивидуальных закрытых ключей ЭЦП и шифрования при получении информации о компрометации от участников Системы;
обеспечение незамедлительного отключения Пользователей, чьи криптографические ключи подверглись компрометации, Выведение из действия подвергнувшихся компрометации ключей и отзыв их сертификатов. Исключение этих сертификатов из Реестра действующих сертификатов ключей подписи Пользователей и внесение их в Список отозванных сертификатов;
обеспечение локализации последствий компрометации индивидуальных закрытых ключей Пользователей и возобновления юридически значимого конфиденциального электронного документооборота с Пользователями, индивидуальные ключи которых подверглись компрометации;
расследование обстоятельств (в составе созданной комиссии) компрометации индивидуальных закрытых ключей;
ведение архивов, обеспечение сохранности, подлинности и конфиденциальности в течение всего срока хранения всех электронных документов, имеющих отношение к сфере деятельности РУЦ ЯНАО, а также доверенных для хранения Пользователями Системы;
дублирование электронных документов и создание подлинников электронных документов на бумажных носителях по заявкам Участников;
организация и проведение разборов конфликтов между Участниками Системы, связанными с использованием технологий ЭЦП и шифрования для обеспечения юридической значимости и конфиденциальности электронного документооборота между участниками Системы;
осуществление плановых и внеплановых проверок помещений, в которых эксплуатируются Абонентские пункты Участников, аппаратно-программных средств Абонентских пунктов, правильности их эксплуатации и соблюдения должностными лицами Участника мер, обеспечивающих безопасную эксплуатацию Абонентских пунктов;
организация процедуры согласования разногласий при возникновении споров между Участниками Системы;
подготовка предложений по внесению изменений и дополнений в регламентирующие документы Системы (настоящего Положения, Регламента деятельности РУЦ ЯНАО), устанавливающих порядок организации защищенного юридически значимого электронного документооборота между пользователями Системы и предоставления услуг РУЦ ЯНАО Участникам и Пользователям Системы;
хранение эталонного программного обеспечения Абонентских пунктов Участников;
хранение эталонного полного комплекта эксплуатационной документации для Абонентских пунктов;
хранение Системного времени с точностью до 30 секунд;
заблаговременное (не менее чем за 30 дней до вступления в силу) информирование Участников о внесении изменений во внутренние документы Системы, принятии новых документов и приложений к договорам, регламентирующим условия взаимодействия Сторон в рамках Системы;
обеспечение сохранения конфиденциальности всей информации, которая доверена РУЦ ЯНАО её Участниками или станет ей известна при выполнении своих функций.
РУЦ ЯНАО вправе выполнять также иные функции и действия, которые не противоречат действующему законодательству Российской Федерации, имеющимся соглашениям и договорам, а также требованиям настоящего Положения.
10.4. Основные права и обязанности Участника Системы:
заключение с ГУ «Ресурсы Ямала» Договора на обслуживание для юридических (физических) лиц в Системе;
признание в соответствии с действующим законодательством Российской Федерации юридической силы электронных документов подписанных ЭЦП Пользователей, признанных подлинными в соответствии с используемыми в Системе процедурами установления подлинности и аутентичности;
соблюдение требований и положений Договора на обслуживание для юридических лиц в Системе;
обеспечение необходимых условий для организации юридически значимого защищенного электронного документооборота в организации в части принятия необходимых внутренних нормативных актов и/или внесения изменений, которые будут рекомендованы ГУ «Ресурсы Ямала» по результатам информационного обследования, в существующие приказы, распоряжения, инструкции и т.д., регламентирующие порядок обращения с конфиденциальными сведениями и допуск к ним должностных лиц организации, эксплуатации средств защиты информации, использования программных и технических средств вычислительной техники, автоматизированных систем, баз данных и т.д.;
обеспечение необходимых условий, соответствующих требованиям настоящего Положения, для размещения и работы Абонентского пункта СЮЗЗЭД ЯНАО в части выделения и оборудования помещений для его размещения, заключения необходимых договоров на поставку программно-технических средств для установки аппаратных и программных средств Абонентского пункта, предоставления каналов и средств связи, обучения своего персонала и уполномоченных должностных лиц;
выделение и назначение установленным порядком должностных лиц - Пользователей, которым предоставлено право подписания электронных документов ЭЦП, шифрования информации, эксплуатации аппаратно-программных средств Абонентского пункта, а также направление их в РУЦ ЯНАО (или по его рекомендации в иную организацию) для прохождения курса подготовки к практической работе;
представление ГУ «Ресурсы Ямала» необходимой информации и документов для проведения информационного обследования организации и выработки рекомендаций в части информатизации Участника;
своевременное пред ставление РУЦ ЯНАО списка своих уполномоченных должностных лиц, которым предоставлено право подписания электронных документов ЭЦП и/или шифрования конфиденциальной информации, с документальным подтверждением их должностных полномочий, а также своевременное внесение изменений в указанный список в соответствии с происходящими у Участника организационно-штатными изменениями;
создание условий для обеспечения в целостности и неизменности программных средств защиты информации, в том числе СКЗИ, содержание в рабочем состоянии аппаратных и программных средств Абонентских пунктов Системы;
создания необходимых условий для сохранности индивидуальных закрытых ключей Пользователей;
обеспечение необходимых условий своевременного уничтожения выведенных из действия криптографических ключей своих Пользователей;
обеспечение сохранности, целостности и конфиденциальности аппаратно- программных средств Абонентского пункта, включая СКЗИ;
обязательство не передавать полученное программного обеспечения Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;
обеспечение сохранности от несанкционированного доступа и тиражирования полученного программного обеспечения Абонентского пункта, включая СКЗИ;
незамедлительное информирование РУЦ ЯНАО обо всех случаях компрометации индивидуальных закрытых ключей своих Пользователей;
немедленное отключение своего Абонентского пункта от Системы и приостановление всякого информационного обмена с использованием Системы в случае компрометации (или подозрения на компрометацию) индивидуальных закрытых криптографических ключей своих Пользователей;
обеспечение контроля за соблюдением Администратором безопасности Абонентского пункта и своими Пользователями всех требований и положений эксплуатационной документации на указанный пункт, также иных внутренних документов Системы, регламентирующих порядок ее использования;
организация внутреннего режима функционирования Абонентских пунктов Системы таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключает возможность использования ключевой информации не уполномоченными на то лицами;
принятие на себя всех рисков, связанных с неисправностями каналов (средств) связи или поломками его аппаратно-программных средств, при использовании Участником каналов (средств) связи и/или аппаратно-программных средств, отличных от рекомендованных ГУ «Ресурсы Ямала»;
незамедлительное информирование РУЦ ЯНАО об отказах и сбоях в работе Системы;
обеспечение доступа (по согласованию с Руководителем) должностных лиц РУЦ ЯНАО в помещения, где размещаются Абонентские пункты Системы, для проведения плановых и внеплановых контрольных осмотров, контроля работоспособности аппаратно-программных средств Абонентских пунктов, контроля правильности исполнения Пользователями Участника требований настоящего Положения, иных документов, регламентирующих порядок использования программно-технических средств Системы;
выполнение всех требований по защите информации с использованием СКЗИ по обеспечению безопасности по уровню «С» требований ФАПСИ;
принятие на себя обязательств по обеспечению беспрепятственного выполнения Федеральными органами безопасности функций контроля за соблюдением всех условий лицензий на право осуществления деятельности в области криптографической защиты информации;
создание необходимых условий для выполнения требований действующего законодательства Российской Федерации, нормативных актов ЯНАО, нормативных актов Системы и самой организации по обеспечению безопасности конфиденциальной информации в электронной и бумажной форме при её обработке, хранении передачи по каналам связи и документировании;
самостоятельная и своевременная оплата услуг связи;
своевременная оплата услуг, предоставляемых ГУ «Ресурсы Ямала», в порядке и размере, предусмотренными Договором на обслуживание для юридических лиц в системе юридически значимого защищенного электронного документооборота и Тарифами на указанные услуги;
оказание содействия РУЦ ЯНАО в выполнении им своих функциональных обязанностей, вытекающих из настоящего Положения;
обеспечение сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.
10.5. Основные права и обязанности Пользователя:
использование программно-технических средств Системы для обработки, хранения и передачи в защищённом виде по общедоступным каналам связи конфиденциальной информации, а также обеспечения юридической значимости подготовленных и получаемых из Системы электронных документов;
соблюдение требования настоящего Положения, эксплуатационной документации на Абонентский пункт, иных документов, регламентирующих порядок функционирования и использования Системы;
принятие на себя обязательств по всем документам, заверенным своей ЭЦП;
предъявление к другим Пользователям требований по безусловному исполнению ими своих обязательств по электронным документам с подтвержденной электронной цифровой подписью;
принятие к исполнению всех документов, подписанных ЭЦП других Пользователей и признанных подлинными в соответствии принятой в Системе процедурой установления подлинности;
принятие всех мер к обеспечению сохранности и конфиденциальности своих индивидуальных закрытых ключей;
незамедлительное информирование должностных лиц Участника и Руководителя предприятия о компрометации (или подозрении на компрометацию) своих индивидуальных закрытых ключей и прекращение с этого момента их использования;
обеспечение работоспособности программно-технических средств Абонентского пункта Системы;
принятие всех мер к обеспечению сохранности и конфиденциальности переданных ему программных средств Абонентского пункта, включая инсталляционные носители СКЗИ;
обязательство не передавать полученное программного обеспечения Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;
обеспечение сохранности от несанкционированного доступа и тиражирования полученного программного обеспечения Абонентского пункта, включая средства криптографической защиты информации;
своевременное проведение проверок программного обеспечения персональной ЭВМ, с установленными аппаратно-программными средствами Абонентского пункта (в том числе, СКЗИ) на отсутствие вирусов и программных закладок в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;
выполнение не реже 1 раза в сутки проверки неизменности и целостности системного, сетевого и прикладного программного обеспечения и целостности программного обеспечения СКЗИ в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;
своевременное информирование руководства предприятия обо всех случаях нарушения целостности программного обеспечения Абонентского пункта и входящих в его состав СКЗИ, оперативное восстановление программного обеспечения после нарушения его целостности в соответствии с эксплуатационной документацией на СКЗИ;
своевременное изготовление, установка и периодическая смена паролей для доступа к аппаратно-программным средствам Абонентского пункта в соответствии с эксплуатационной документацией, входящий в состав Абонентского пункта и утвержденной Инструкцией по организации парольной защиты автоматизированной системы Учреждения;
обеспечение условий для проведения уполномоченными должностными лицами Руководителем предприятия, РУЦ ЯНАО и федеральных органов безопасности проверок выполнения требований режима эксплуатации СКЗИ;
ежедневное контролирование состояния мастичной печати, которой опечатан системный блок Абонентского пункта, и своевременное информирование в письменной форме в случае её нарушения Руководителя предприятия;
незамедлительное информирование Руководителя предприятия и РУЦ ЯНАО об отказах и сбоях в работе Абонентского пункта и Системы в целом;
обеспечение сохранения конфиденциальности всей информации, которая станет известна при выполнения своих функций.
В процессе использования Системы Пользователь также обязан:
не принимать к исполнению электронные документы, заверенные ЭЦП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в Списке отозванных сертификатов на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
не подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.
Примечание.
Перед принятием решения по исполнению полученного электронного документа Пользователь самостоятельно определяет необходимость дополнительной проверки нахождения сертификата ЭЦП отправителя в Списке отозванных сертификатов, публикуемом РУЦ ЯНАО установленным порядком.
Запрашивать подтверждение по переданным ему электронным документам другими пользователями в случае возникновения сомнений.
В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией установленным порядком.
XI. Условия конфиденциальности
11.1. Все Участники Системы обязаны обеспечивать взаимную конфиденциальность в отношении сведений, получаемых в процессе подготовки, обработки и обмена электронными документами с использованием Системы, а также иной информации в любой форме, которая стала им известна вследствие их участия в Системе, в том числе до истечения трёх лет с даты выхода Пользователя из Системы.
Вся информация о функционировании Системы, в том числе внутренние документы РУЦ ЯНАО, иные документы, относящиеся регламентации порядка её использования, являются конфиденциальными сведениями.
11.2. Представление конфиденциальной информации всеми Участниками и Пользователями Системы, включая ГУ «Ресурсы Ямала» и РУЦ ЯНАО, налоговым, правоохранительным и судебным органам осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.
11.3. Ответственность должностных лиц ГУ «Ресурсы Ямала», РУЦ ЯНАО и Участников, допущенных к средствами Системы и конфиденциальной информации, которая циркулирует в них, за разглашение конфиденциальной информации должна определяется в тексте их контрактов о приёме на работу.
Должностные лица Участников Системы, допущенные к средствами Системы и конфиденциальной информации, которая циркулирует в них, допускаются к работе со сведениями, содержащими конфиденциальную информацию, только после подписания Обязательства о неразглашении конфиденциальной (служебной и/или коммерческой) информации.
XII. Ответственность и контроль в Системе
За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению все Участники и Пользователи Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.
XIII. Порядок разрешения конфликтных ситуаций
13.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, все Участники и Пользователи Системы исходят из того, что:
все споры и разногласия, возникающие между Участниками и Пользователями Системы и связанные с использованием электронного документооборота, расчётами в электронной форме и применением средств шифрования и электронной цифровой подписи, решаются, прежде всего, путём переговоров, заключения дополнительных соглашений между сторонами или обмена официальными письмами;
вопросы урегулирования споров и разногласий между Участниками и Пользователями Системы, возникающих по иным основаниям и не связанных с фактами применения в электронном документообороте средств шифрования и ЭЦП, не рассматриваются в настоящем Положении и решаются в соответствии с иными соглашениями спорящих сторон;
в соответствии с действующим законодательством, документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичную документу, исполненному на бумажном носителе и снабженному собственноручной подписью и печатью;
электронный документ порождает обязательства одного Пользователя перед другим Пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП, доставлен другому Пользователю, и при этом сертификат ЭЦП отправителя действует, а ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи;
подтверждением того, что электронный документ Пользователя принят Пользователем-получателем, является получение Пользователем надлежащим образом оформленной электронной квитанции о принятии его документа или получение того же самого документа, подписанного ЭЦП Пользователя-получателя;
Пользователи Системы признают, что используемая в соответствии с настоящим Положением система защиты информации в Системе, которая обеспечивается использованием сертифицированных средств ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;
математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-2001 (ГОСТ Р34.10-94) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП;
Пользователи Системы признают, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.
13.2. В соответствии с настоящим Положением подлежат разрешению конфликтные ситуации следующих типов:
Отказ Пользователя, получившего из Системы электронный документ с ЭЦП отправителя, из-за отрицательного результата проверки ЭЦП этого электронного документа, хотя проверка осуществлялась посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, а Отправитель настаивает на корректности отправленного документа.
Отказ Отправителя от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, вследствие непризнания Отправителем либо факта отправки документа, либо его целостности и подлинности.
13.3. Если Стороны самостоятельно на основании настоящего Положения, имеющихся договоренностей, а также путём переговоров не в состоянии разрешить конфликтную ситуацию, Отдел РУЦ ЯНАО организует в целях её разрешения проведение технической экспертизы.
13.4. Для проведения технической экспертизы РУЦ ЯНАО создаётся комиссия, включающая равное количество (но не менее двух) представителей от каждой из заинтересованных Сторон, в том числе по одному представителю Служб информационной безопасности каждой из Сторон и два представителя РУЦ ЯНАО. В состав комиссии по соглашению Сторон могут независимые технические эксперты.
В качестве независимых технических специалистов могут привлекаться специалисты в области криптографии, защиты информации, программно-аппаратных средств, которые не должны состоять с конфликтующими Сторонами в трудовых или подрядных отношениях.
Каждая из Сторон, участвующая в конфликте, а также ГУ «Ресурсы Ямала» и РУЦ ЯНАО как его структурное подразделение вправе обратиться за соответствующими экспертными разъяснениями к ФСБ России, как к государственному органу, осуществляющему сертификацию СКЗИ.
13.5. Основанием для формирования РУЦ ЯНАО экспертной комиссии служит Заявление одного или нескольких Участников о споре по поводу авторства или подлинности текста конкретного электронного документа, подписанного ЭЦП, который не удаётся решить путём переговоров между заинтересованными Сторонами.
Заявление подаётся в РУЦ ЯНАО в письменной форме с указанием наименования Заявителя, наименования и реквизитов спорного электронного документа, требований заявителя, обстоятельств, на которых заявитель основывает свои требования, перечня прилагаемых к заявлению документов. К заявлению также прилагается список должностных лиц Заявителя, предлагаемых для включения в состав экспертной комиссии.
13.6. В течение 3 дней после получения Заявления РУЦ ЯНАО обязан уведомить все имеющие отношение к рассматриваемому документу или вопросу Стороны о месте и времени проведения экспертизы и составе экспертной комиссии.
Каждая из Сторон вправе заявить об отводе эксперта из состава экспертной комиссии, если есть основания предполагать, что он прямо или косвенно заинтересован в исходе дела.
13.7. РУЦ ЯНАО и экспертная комиссия принимают меры к тому, чтобы экспертиза была проведена в срок не более 5 дней с момента поступления заявления. В исключительных случаях срок может быть продлён, но не более чем на 5 дней.
Неявка любой из спорящих Сторон, надлежащим образом извещённых о месте и времени проведения экспертизы, не препятствует проведению экспертизы, если отсутствующая Сторона не представила письменную просьбу отложить проведение экспертизы по уважительной причине, но на срок не более 2 дней.
13.8. В ходе экспертизы рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с порядком, описанном в настоящем Положении. При этом могут быть использованы следующие эталонные данные:
данные архива оригиналов принятых/отправленных Сторонами электронных документов;
электронный документ, подписанный ЭЦП, подлинность и/или целостность которого оспаривается;
сертификаты ключей подписи на бумажных носителях Пользователей, подпись которых оспаривается с открытыми криптографическими ключами, выданные Удостоверяющим Центром;
эталонные дистрибутивы СКЗИ;
Носители ключевой информации всех Пользователей, подписавших документ.
13.9. Экспертная комиссия проводит экспертизу только после получения всех необходимых материалов, как правило, в помещении РУЦ ЯНАО.
При необходимости экспертная комиссия может провести у каждой из спорящих Сторон осмотр помещений, где установлены Абонентские пункты, осуществить проверку программного и аппаратного обеспечения, выполнить иные действия, которые, по мнению комиссии, могут способствовать проведению экспертизы и выработке решений комиссии.
13.10. В случае получения Пользователем одной Стороны электронного документа, подлинность ЭЦП которого в результате проверки не подтвердилась (конфликтная ситуация типа а), а Отправитель настаивает на корректности отправленного электронного документа и исполнении Получателем вытекающих из него обязательств, то для разрешения конфликта Стороны предпринимают следующие действия:
13.10.1. Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление, подписание и отправка данного документа.
3.10.2. К вновь полученному электронному документу применяется установленным образом процедура проверки ЭЦП. В случае если новая проверка дала положительный результат и сертификат ключа подписи отправляющей стороны действует (содержится в Реестре действующих сертификатов ключей подписей Пользователей) или есть доказательства, что на момент подписания электронного документа он действовал, и электронная цифровая подпись используется в соответствии со сведениями, указанными в этом сертификате ключа подписи, то принимающая Сторона признает корректность полученного электронного документа, о чём уведомляет письменно (по электронной почте) передающую сторону.
13.10.3. В случае, если новая проверка опять дала отрицательный результат проверки правильности и ЭЦП документа неверна, то делается вывод о возможном нарушении действующего криптографического ключа, либо о неисправности программно-аппаратных средств одной из Сторон.
В таком случае передающая Сторона обязана сравнить имеющийся у неё сертификат её индивидуального ключа подписи на бумажном носителе с сертификатом, опубликованном установленным образом РУЦ ЯНАО. При их несовпадении - прекратить использование имеющихся индивидуальных ключей Пользователя и уведомить о случившемся получающую Сторону и РУЦ ЯНАО. При отсутствии признаков возможной компрометации закрытых криптографических ключей, получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи подписи и соответствующий сертификат в порядке, установленном настоящим Положение для их выдачи.
Если передающей стороной одновременно выявлены признаки возможной компрометации закрытого ключа подписи, то она обязана осуществить действия, предусмотренные разделом VI настоящего Положения.
13.10.4. При совпадении сертификата индивидуального ключа подписи отправляющей Стороны на бумажном носителе с сертификатом, опубликованным установленным образом РУЦ ЯНАО, отправляющая Сторона осуществляет штатными средствами своего Абонентского пункта проверку целостности и неизменности программного обеспечения СКЗИ, в соответствии с эксплуатационной документацией, и при необходимости переустановить его. После чего заново формирует запрашиваемое сообщение, подписывает и направляет Принимающей Стороне с уведомлением о выявленных недостатках по его вине.
13.10.5. Если проведённая передающей Стороной проверка целостности и неизменности программного обеспечения СКЗИ (в соответствии с эксплуатационной документацией) не выявила отклонения от эталонного состояния, то данная Сторона информирует о совпадении бумажного и электронного сертификата своего ключа подписи и правильности своего программного обеспечения СКЗИ приёмную Сторону.
Получив уведомление, приёмная Сторона, в свою очередь, осуществляет установленным образом проверку программного обеспечения СКЗИ своего Абонентского пункта СЮЗЗЭД ЯНАО. При выявлении отклонений от эталонного состояния Получатель заново инсталлирует программных средств Абонентского пункта, уведомляет о случившемся передающую Сторону и повторно запрашивает сообщение для осуществления проверки его корректности.
В случае, если отклонений от эталонного состояния программного обеспечения Абонентского пункта Получателя по результатам проверки не выявлено или в предыдущем варианте развития ситуации полученное сообщение вновь признано некорректным, Стороны прекращают юридически значимый документооборот и обработку конфиденциальной информации и уведомляют о случившемся РУЦ ЯНАО.
13.10.6. Удостоверяющий центр организует техническую экспертизу программно-технических средств Абонентских пунктов обеих Сторон и служебное расследование в целях установления либо факта подмены и компрометации индивидуального закрытого ключа передающей Стороны, либо выявления неисправностей технических средств одной или обеих Сторон.
13.10.7. Экспертная комиссия проверяет целостность программного обеспечения спорящих Сторон путём сравнения с эталонным программным обеспечением, хранящимся в РУЦ ЯНАО.
В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признаётся сторона, допустившая такие нарушения.
13.11. В случае, если один из Пользователей приходит к выводу, что другой Пользователь ссылается на документ, якобы исходящий от него, но который им не отправлялся и/или его содержание изменено, этот Пользователь немедленно извещает Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.
Аналогичным образом, если Отправитель, по мнению Получателя, необоснованно отказывается от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств электронной цифровой подписи и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, не признавая либо факт отправки документа, либо его целостности и подлинности, то Получатель также должен известить Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.
Для разрешения конфликта Стороны и РУЦ ЯНАО организуют проведение технической экспертизы специально назначенной экспертной комиссией.
13.11.1. Сформированная РУЦ ЯНАО экспертная комиссия устанавливает на персональный компьютер соответствующий техническим требованиям, предъявляемым к аппаратным средствам Абонентского пункта Системы, эталонную операционную систему и эталонное программное обеспечение, хранящееся в РУЦ ЯНАО. Компьютер, используемый для проведения технической экспертизы, не должен иметь установленного на нём программного обеспечения. С этой целью его жесткий диск предварительно форматируется в присутствии членов Экспертной комиссии.
13.11.2. Экспертная комиссия проверяет целостность программного обеспечения спорящих Сторон путём сравнения с эталонным программным обеспечением, хранящемся в РУЦ ЯНАО.
В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признаётся сторона, допустившая такие нарушения.
13.11.3. В случае отсутствия нарушений, упомянутых в подпункте 13.11.2 настоящего Положения, в программно-технических средствах Сторон для разбора конфликта по поводу авторства или подлинности текста документа, подписанного ЭЦП, необходимо выполнить следующие действия:
произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте Администратора РУЦ ЯНАО;
распечатать протокол проверки подписи;
распечатать сертификат открытого ключа ЭЦП Пользователя из Реестра действующих сертификатов ключей подписи Пользователей, который ведётся РУЦ ЯНАО;
сравнить сертификат открытого ключа ЭЦП, представленного Пользователем, и распечатанный сертификат открытого ключа ЭЦП из базы данных РУЦ ЯНАО.
Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного Пользователем сертификата и сертификат открытого ключа ЭЦП из Реестра действующих сертификатов ключей подписи Пользователей Удостоверяющего Центра, а также наличие в протоколе проверки подписи Пользователя записи «Подпись верна».
13.11.4. По итогам проведения экспертизы составляется письменное заключение в необходимом числе (трех) экземплярах, содержащее:
реквизиты ГУ «Ресурсы Ямала»;
дату, время и место её проведения;
фамилии, имена, отчества экспертов, с указанием их должностей и реквизитов организаций, которые они представляют;
требования Стороны (сторон) и (или) вопросы, которые должны были быть разрешены при проведении экспертизы;
описание выполненных в ходе экспертизы действий с указанием точных результатов, использованных при этом аппаратных средств и программного обеспечения;
выводы экспертной комиссии;
подписи членов экспертной комиссии;
оттиск печати РУЦ ЯНАО.
Один экземпляр заключения остаётся на архивное хранение в РУЦ ЯНАО, по одному экземпляру передаётся спорящим Сторонам.
13.12. В случае согласия с выводами экспертной комиссии Стороны, между которыми возник спор, заключают соглашение об урегулировании разногласий.
Если хотя бы одна из Сторон, участвующих в конфликте, не соглашается с результатами и выводами указанной комиссии, то такие споры или разногласия подлежат передаче на рассмотрение в Арбитражный суд в соответствии с действующим законодательством Российской Федерации.
13.13. Экспертная комиссия, организуемая РУЦ ЯНАО, не даёт правовой оценки действиям Сторон.
Решение экспертной комиссии может направляться в судебные инстанции в качестве приложения к исковому заявлению или рассматриваемому делу.
IVX. Порядок прекращения обслуживания Участника в Системе
14.1. Процедура прекращения обслуживания Участника в Системе выполняется при завершении срока действия Договора на обслуживание для юридических лиц в Системе или при его досрочном расторжении одной из Сторон.
14.2. При прекращении обслуживания Участник обязан возвратить полученные им ранее от РУЦ программные средства, эксплуатационную документацию, индивидуальные ключи ЭЦП.
Возврат всех перечисленных средств осуществляется по Акту, подписываемому уполномоченным должностным РУЦ ЯНАО и уполномоченным должностным лицом Участника. Акт возврата создаётся в двух экземплярах, один из которых передаётся на Архивное хранение Участнику, а второй - хранится в РУЦ ЯНАО.
Дополнительные сведения
Государственные публикаторы: | Газета "Красный Север" № 69/3(15124/3),с/в42-43 от 11.04.2008 |
Рубрики правового классификатора: | 120.000.000 Информация и информатизация |
Вопрос юристу
Поделитесь ссылкой на эту страницу: