Основная информация
Дата опубликования: | 06 ноября 2006г. |
Номер документа: | ru14000200600324 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Республика Саха (Якутия) |
Принявший орган: | Правительство Республики Саха (Якутия) |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
РЕСПУБЛИКА САХА (ЯКУТИЯ)
ПРАВИТЕЛЬСТВО
ПОСТАНОВЛЕНИЕ
от 06 ноября 2006 года № 490
Об Удостоверяющем центре Республики Саха (Якутия) и о мерах по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия)
В соответствии с Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», Указом Президента Российской Федерации от 12 мая 2004 года № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (с изменениями, внесенными Указом Президента Российской Федерации от 22 марта 2005 года № 329), в целях обеспечения информационной безопасности при осуществлении обмена информацией в электронном виде посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей Интернет, Правительство Республики Саха (Якутия) постановляет:
1. Утвердить Регламент по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия) согласно приложению к настоящему постановлению.
2. Функции Удостоверяющего центра органов исполнительной власти Республики Саха (Якутия) в области использования электронной подписи возложить на государственное учреждение Национальное агентство «Информационный центр при Президенте Республики Саха (Якутия)»
3. Органам исполнительной власти Республики Саха (Якутия), а также юридическим лицам, участвующим в информационном обмене с органами исполнительной власти Республики Саха (Якутия), в срок до 01 июля 2007 года организовать внедрение системы электронного информационного обмена с использованием сертифицированных средств защиты информации и электронной подписи, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.
4. Финансирование работ по изготовлению сертификатов ключей электронных подписей, организации закупок сертифицированных средств защиты информации и носителей ключей подписей осуществить:
для уполномоченных лиц государственных учреждений Республики Саха (Якутия) за счет бюджетных ассигнований, выделяемых на содержание этих учреждений;
для уполномоченных лиц иных учреждений и организаций за счет собственных средств этих учреждений и организаций.
5. Опубликовать настоящее постановление в республиканских газетах «Саха сирэ» и «Якутия».
6. Контроль исполнения настоящего постановления возложить на заместителя Председателя Правительства Республики Саха (Якутия) А.Н. Алексеева.
Председатель Правительства
Республики Саха (Якутия)
Е. БОРИСОВ
Утвержден
постановлением Правительства
Республики Саха (Якутия)
от 06 ноября 2006 года № 490
РЕГЛАМЕНТ
по применению средств электронной подписи в системе электронного информационного обмена органов исполнительной власти Республики Саха (Якутия)
I. Введение
Настоящий Регламент по применению средств электронной подписи в системе электронного информационного обмена (Система) органов исполнительной власти Республики Саха (Якутия), (Организаторы), разработан в соответствии с требованиями законодательства Российской Федерации, нормативных правовых актов Российской Федерации, осуществляющих правовое регулирование отношений в области использования электронной подписи (ЭП), а также учредительных и иных документов Организаторов и определяет общий порядок осуществления организационно-технических мероприятий по использованию средств ЭП в информационной системе органов исполнительной власти Республики Саха (Якутия).
Регламент, при подключении к Системе, может применяться территориальными органами федеральных органов исполнительной власти, органами местного самоуправления, организациями, финансируемыми из республиканского бюджета Республики Саха (Якутия), а также учреждениями, организациями, юридическими лицами (иные организации), участвующими в электронном информационном обмене с органами исполнительной власти Республики Саха (Якутия).
Органы исполнительной власти Республики Саха (Якутия) и иные организации (Участники), участвующие в Системе, являются Организаторами и Участниками (Стороны) и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования информации третьим лицам.
Функции Удостоверяющего центра в рамках Системы выполняются Удостоверяющим Центром Республики Саха (Якутия) - структурным подразделением Государственного учреждения Национального агентства «Информационный центр при Президенте Республики Саха (Якутия)» (УЦ РС(Я)).
Участники Системы при передаче информации по каналам связи обязаны в соответствии с действующим в сфере защиты информации законодательством Российской Федерации использовать сертифицированные средства криптографической защиты информации (СКЗИ) и ЭЦП, а также средства защиты информации (СЗИ), позволяющие идентифицировать владельца сертификата ключа ЭП и устанавливать отсутствие ее искажения.
Используемые во взаимоотношениях между Участниками электронные документы (ЭД), заверенные ЭП, являются оригиналами, имеют юридическую силу, подлежат хранению в хранилище юридически значимых электронных документов и могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Участник признает, что использование в Системе сертифицированных СКЗИ, обеспечивающих применение ЭП и шифрование информации, является необходимым условием обеспечения конфиденциальности информационного взаимодействия Участников, а также подтверждения того, что информация, представленная в электронно-цифровой форме (ЭИ), заверенная ЭП:
исходит от Участника (подтверждение авторства документа);
не претерпела изменений при информационном взаимодействии Участника (подтверждение целостности и подлинности документа).
Регламент начинает действовать в отношении Участника с момента заключения им Договора c УЦ РС(Я).
II. Термины и определения
Абонент (владелец сертификата ключа подписи) - уполномоченное лицо Участника, на имя которого Удостоверяющим центром издан сертификат ключа подписи, и которое владеет соответствующим закрытым ключом ЭП, позволяющим присваивать свою электронную подпись электронной информации, в том числе электронному документу (подписывать ЭД).
Автоматизированное рабочее место Системы (АРМ) - комплекс программных и аппаратных средств, используемых Участниками для электронного информационного обмена, в том числе в виде юридически значимыми ЭД.
Администратор АРМ - уполномоченное лицо, назначенное Участником для организации взаимодействия с Организатором и Участниками по обеспечению надежной и бесперебойной эксплуатации программно-технических средств АРМ.
Администратор ИБ - уполномоченное лицо, назначенное Участником для осуществления политики ИБ, обеспечения защиты информации и взаимодействия с УЦ РС(Я), Организатором и Участниками по вопросам ИБ.
Аутентификация информации - подтверждение подлинности и целостности информации, содержащейся в документе. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах или проверкой правильности ЭП.
Договор - договор, заключаемый с удостоверяющим центром, в соответствии с которым он предоставляет услуги по изданию и обслуживанию сертификатов ключей ЭП.
Закрытый (криптографический) ключ ЭП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭИ, в т.ч. в ЭД, ЭП с использованием средств ЭП. Закрытый ключ хранится на ключевом носителе.
Запрос на сертификат - сообщение, содержащее необходимую информацию для получения сертификата.
Запрос на отзыв сертификата - сообщение, содержащее необходимую информацию для отзыва сертификата
Информационная безопасность (ИБ) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Ключевой носитель - отчуждаемый электронный носитель (Сертифицированный электронный USB ключ, сертифицированная смарт - карта и т.п.).
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
утрата ключевых носителей;
утрата ключевых носителей с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевым носителям;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;
доступ посторонних лиц к информации на ключевом носителе, в том числе к пин-коду;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством РФ.
Конфликтная ситуация - ситуация, при которой у участников Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности ЭД, обработанных СКЗИ.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Несанкционированный доступ (НСД) к информации - доступ к информации, нарушающий установленные правила ее получения.
Организатор информационного обмена (Организатор) - юридическое лицо, в том числе имеющее Систему, заключившее Договор с УЦ, организующее подключение к Системе Участников, на основании ранее заключенных соглашений об обмене информацией между ними.
Открытый ключ ЭП - уникальная последовательность символов, соответствующая закрытому ключу, доступная любому Участнику информационной системы и предназначенная для подтверждения подлинности ЭП. Принадлежность открытого ключа ЭП Участнику Системы подтверждается ее Сертификатом.
Подтверждение подлинности ЭП - положительный результат проверки ЭП ее принадлежности владельцу сертификата ключа подписи (идентификация) и отсутствия искажений в подписанной с применением данной ЭП электронной информации, в том числе в электронном документе.
Регламент - документ, содержащий описание процедур и действий, которые Организатор и Участник используют в системе электронного информационного обмена с применением средств ЭП.
Сертификат ключа подписи (Сертификат) - документ на бумажном носителе или электронный документ с электронной подписью уполномоченного лица УЦ, включающий в себя открытый ключ ЭП, издаваемый соответствующим УЦ для подтверждения подлинности ЭП и идентификации владельца ее сертификата (выдается владельцу).
Система электронного информационного обмена (Система) - совокупность программных средств и технического оборудования, обеспечивающая процесс электронного обмена информацией, в том числе в виде юридически значимых ЭД в рамках корпоративной информационной системы Организатора и Участника.
СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) - список отозванных сертификатов.
Средства защиты информации от несанкционированного доступа (СЗИ от НСД) - программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение от НСД.
Средства криптографической защиты информации (СКЗИ) - совокупность программно-технических средств, осуществляющий криптографическое преобразование информации для обеспечения ее безопасности.
Средства ЭП - аппаратные и (или) программные средства, предназначенные для создания ЭП с использованием закрытого ключа, подтверждения с использованием открытого ключа ЭП ее подлинности, создания закрытых и открытых ключей ЭП.
Удостоверяющий центр (УЦ) - юридическое лицо, выполняющее функции, предусмотренные №1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи».
Уполномоченное лицо УЦ - сотрудник УЦ, наделенный правом заверения Сертификатов, изданных УЦ.
Участник Системы (Участник) - юридическое или физическое лицо, заключивший с УЦ Договор, признающий данный Регламент и включенный в систему электронного информационного обмена.
Электронный документ (далее - ЭД) - документ, в котором информация представлена в электронно-цифровой форме, заверенная ЭП, является оригиналом, имеет юридическую силу, подлежит хранению в хранилище юридически значимых электронных документов и может использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Электронная информация (ЭИ) - совокупность сведений, показателей, данных, требуемых для описания того или иного явления или процесса, представленная в электронно-цифровой форме, в том числе ЭД.
Электронная цифровая подпись (далее - ЭП) - реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД. В соответствии с ФЗ-1 «Об ЭЦП» признается аналогом собственноручной подписи.
III. Основные положения
3.1. Электронный информационный обмен между Организатором и Участниками регулируется следующими документами:
настоящим Регламентом;
соглашениями об обмене информацией, заключаемыми между Организатором и Участниками (далее - Соглашение);
договором с УЦ РС(Я);
технической документацией к АРМ Участника, включая документацию на СКЗИ;
действующими нормативными правовыми актами Российской Федерации и Республики Саха (Якутия).
3.2. Участники при регулировании отношений, возникающих при эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, руководствуются Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, а также нормативными правовыми актами, устанавливающими режим защиты, хранения и использования информации ограниченного распространения (доступа).
3.3. УЦ осуществляет работы по управлению ключами в соответствии с Федеральным законом РФ «Об электронной цифровой подписи», положениями настоящего Регламента и на основании Договора между УЦ и Участником.
3.4. Размещение, установка, подключение и последующая эксплуатация АРМ Участника, в случае обмена конфиденциальной информацией, должны выполняться в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ при Президенте РФ от 13.06.2001 № 152 (далее - Инструкция № 152), а также в соответствии с технической и эксплутационной документацией на аппаратные и программные средства АРМ.
3.5. Ведение участниками электронных архивов ЭД, с сохранением всех реквизитов, включая все заверяющие ЭП, определяются нормативными правовыми актами.
3.6. Конфликтные ситуации, связанные с использованием ЭП, разрешаются участниками в рабочем порядке по итогам работы комиссии по разрешению конфликтной ситуации, состоящей из представителей служб информационно-технического обеспечения и служб обеспечения информационной безопасности, представителей подразделений-исполнителей ЭД и юридических служб Сторон, а также уполномоченного представителя Удостоверяющего центра и/или в судебном порядке, установленном законодательством Российской Федерации.
IV. Условия участия в системе электронного информационного обмена
4.1. Для участия в Системе Участник, со своей стороны, осуществляет следующие действия:
4.1.1. Заключает соглашение или иной документ, подтверждающий права осуществления обмена информацией в электронном виде с применением СКЗИ и ЭП между Организатором и Участниками.
4.1.2. Назначает приказом или иным документом уполномоченных лиц, ответственных за осуществление обмена информацией в электронном виде, в том числе должностных лиц, наделенных правом ЭП и администратора информационной безопасности для взаимодействия с УЦ РС(Я), Организатором и Участниками по вопросам политики информационной безопасности.
4.1.3. Проводит мероприятия по подготовке к эксплуатации СКЗИ в соответствии с требованиями технической и эксплутационной документации к ним.
4.1.4. Оформляет акт о готовности к обмену электронными документами.
4.1.5. Самостоятельно комплектует АРМ обмена ЭД необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами защиты информации от несанкционированного доступа.
4.1.6. Заключает договор с УЦ, в соответствии с которым УЦ предоставляет услуги, связанные с изданием и обслуживанием сертификатов ключей подписи.
V. Организация взаимодействия участников с удостоверяющим центром Республики Саха (Якутия)
5.1. Участник направляет в УЦ РС(Я) письменное заявление о заключении Договора с УЦ.
5.2. В соответствии с согласованным с УЦ графиком Участник проводит процедуру регистрации Абонентов Участника, указанных в заявке к договору в качестве владельцев сертификатов ключей подписи.
5.3. Создание ключей ЭП, издание и выдача, приостановление действия, аннулирование сертификата ключа подписи осуществляется в порядке, установленном Договором с УЦ и в соответствии с Федеральным законом РФ «Об электронной цифровой подписи».
5.4. Участник получает доступ к реестру сертификатов Удостоверяющего центра и списку отозванных сертификатов, к сведениям об Удостоверяющих Центрах, с которыми установлены доверительные отношения в Интернет-портале УЦ.
Примечание: Удостоверяющим Центром предусмотрен автоматический процесс публикации в интернет-портале реестра сертификатов и сертификатов недействительных (скомпрометированных) ключей в СОС.
5.5. Срок действия криптографических ключей Абонента составляет 1 (один) год. Начало периода действия ключей Абонента исчисляется с даты и времени начала действия соответствующих им сертификатов ключей.
5.6. Замена сертификата владельца ключа подписи производится по инициативе Участника, но не реже одного раза в год (отдельным решением могут быть установлены другие сроки) в следующем порядке:
Направляет в адрес УЦ заявку на аннулирование сертификата ключа подписи с указанием в качестве причины аннулирования: изменение данных владельца сертификата ключа подписи (изменение должности, наименования подразделения, адреса электронной почты и т.д.), увольнение и назначение нового уполномоченного лица; а также заявку на издание сертификата ключа подписи с новыми данными владельца.
Работы по изданию и выдаче нового сертификата, а также предоставление гарантийного обслуживания сертификата ключа подписи Участника УЦ проводит в соответствии с Договором.
Участник принимает решение о сроках и порядке архивного хранения или об уничтожении старых закрытых ключей и соответствующих сертификатов, так как все риски, связанные с несанкционированным использованием старых закрытых ключей, ложатся на Участника.
Факт уничтожения или сохранения старых закрытых ключей оформляется Актом, который заверяется подписями владельца старого закрытого ключа, руководителя организации и печатью организации. 2-й экземпляр данного документа передается в Удостоверяющий Центр.
VI. Порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием шифровальных (криптографических) средств защиты информации
6.1. Участник, в соответствии с Договором, лицензионным соглашением, эксплуатационной документацией на СКЗИ и соответствующими нормативными правовыми актами:
6.1.1. Подготавливает и содержит в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для работы в Системе.
6.1.2. Организовывает режим функционирования рабочих мест таким образом, чтобы исключить возможность доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования криптографических ключей не уполномоченными на то лицами.
6.1.3. Закрепляет СКЗИ за Абонентом (должностным лицом) Участника.
6.1.4. Осуществляет учет, хранение дистрибутивов и ведение соответствующих формуляров на переданные СКЗИ Администратором ИБ Участника.
6.1.5. При обращении с носителями ключевой информации, относящимся к материальным носителям, содержащим информацию ограниченного доступа, выполняет требования нормативных правовых документов, регламентирующих порядок обращения с информацией ограниченного доступа.
6.1.6. Перед уничтожением старых закрытых ключей ЭП организовывает расшифровку всех ЭД, зашифрованных с их использованием.
6.2. Участник обеспечивает хранение расшифрованных документов в электронном виде в соответствии с требованиями, установленными законодательством и настоящим Регламентом.
6.3. Участнику рекомендуется не использовать средства разработки и отладки программ на ПЭВМ, на которой установлено СКЗИ.
6.4. Участник имеет право:
не принимать к исполнению электронные документы, заверенные ЭП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент подписания ЭД при наличии доказательств, определяющих момент подписания;
Примечание: перед принятием решения по исполнению полученного ЭД, в зависимости от его важности, Участник самостоятельно определяет необходимость проверки нахождения сертификата ЭЦП отправителя в СОС.
не подтверждена подлинность ЭП в электронном документе;
ЭП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.
запрашивать подтверждение по полученным им ЭД в случае возникновения сомнений;
требовать от УЦ аннулирования своего сертификата открытого ключа в случае наступления событий, трактуемых как компрометация ключевой информации;
требовать исполнения обязательств от других участников Системы по принятым ими электронным документам;
в случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным порядком.
6.5. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется Организатором, Участниками, являющимися собственниками (владельцами) информационных ресурсов (информационных систем), установившими режим защиты информации, обрабатываемой в них, а также Управлением Федеральной службы безопасности РФ по Республике Саха (Якутия) и его лицензиатами, Комиссией по защите информации Координационного Совета при Президенте Республики Саха (Якутия) по информатизации и защите информации (Технической комиссией РС(Я)).
6.6. 3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут ответственность в соответствии с Договором и действующим законодательством Российской Федерации.
РЕСПУБЛИКА САХА (ЯКУТИЯ)
ПРАВИТЕЛЬСТВО
ПОСТАНОВЛЕНИЕ
от 06 ноября 2006 года № 490
Об Удостоверяющем центре Республики Саха (Якутия) и о мерах по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия)
В соответствии с Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», Указом Президента Российской Федерации от 12 мая 2004 года № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (с изменениями, внесенными Указом Президента Российской Федерации от 22 марта 2005 года № 329), в целях обеспечения информационной безопасности при осуществлении обмена информацией в электронном виде посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей Интернет, Правительство Республики Саха (Якутия) постановляет:
1. Утвердить Регламент по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия) согласно приложению к настоящему постановлению.
2. Функции Удостоверяющего центра органов исполнительной власти Республики Саха (Якутия) в области использования электронной подписи возложить на государственное учреждение Национальное агентство «Информационный центр при Президенте Республики Саха (Якутия)»
3. Органам исполнительной власти Республики Саха (Якутия), а также юридическим лицам, участвующим в информационном обмене с органами исполнительной власти Республики Саха (Якутия), в срок до 01 июля 2007 года организовать внедрение системы электронного информационного обмена с использованием сертифицированных средств защиты информации и электронной подписи, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.
4. Финансирование работ по изготовлению сертификатов ключей электронных подписей, организации закупок сертифицированных средств защиты информации и носителей ключей подписей осуществить:
для уполномоченных лиц государственных учреждений Республики Саха (Якутия) за счет бюджетных ассигнований, выделяемых на содержание этих учреждений;
для уполномоченных лиц иных учреждений и организаций за счет собственных средств этих учреждений и организаций.
5. Опубликовать настоящее постановление в республиканских газетах «Саха сирэ» и «Якутия».
6. Контроль исполнения настоящего постановления возложить на заместителя Председателя Правительства Республики Саха (Якутия) А.Н. Алексеева.
Председатель Правительства
Республики Саха (Якутия)
Е. БОРИСОВ
Утвержден
постановлением Правительства
Республики Саха (Якутия)
от 06 ноября 2006 года № 490
РЕГЛАМЕНТ
по применению средств электронной подписи в системе электронного информационного обмена органов исполнительной власти Республики Саха (Якутия)
I. Введение
Настоящий Регламент по применению средств электронной подписи в системе электронного информационного обмена (Система) органов исполнительной власти Республики Саха (Якутия), (Организаторы), разработан в соответствии с требованиями законодательства Российской Федерации, нормативных правовых актов Российской Федерации, осуществляющих правовое регулирование отношений в области использования электронной подписи (ЭП), а также учредительных и иных документов Организаторов и определяет общий порядок осуществления организационно-технических мероприятий по использованию средств ЭП в информационной системе органов исполнительной власти Республики Саха (Якутия).
Регламент, при подключении к Системе, может применяться территориальными органами федеральных органов исполнительной власти, органами местного самоуправления, организациями, финансируемыми из республиканского бюджета Республики Саха (Якутия), а также учреждениями, организациями, юридическими лицами (иные организации), участвующими в электронном информационном обмене с органами исполнительной власти Республики Саха (Якутия).
Органы исполнительной власти Республики Саха (Якутия) и иные организации (Участники), участвующие в Системе, являются Организаторами и Участниками (Стороны) и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования информации третьим лицам.
Функции Удостоверяющего центра в рамках Системы выполняются Удостоверяющим Центром Республики Саха (Якутия) - структурным подразделением Государственного учреждения Национального агентства «Информационный центр при Президенте Республики Саха (Якутия)» (УЦ РС(Я)).
Участники Системы при передаче информации по каналам связи обязаны в соответствии с действующим в сфере защиты информации законодательством Российской Федерации использовать сертифицированные средства криптографической защиты информации (СКЗИ) и ЭЦП, а также средства защиты информации (СЗИ), позволяющие идентифицировать владельца сертификата ключа ЭП и устанавливать отсутствие ее искажения.
Используемые во взаимоотношениях между Участниками электронные документы (ЭД), заверенные ЭП, являются оригиналами, имеют юридическую силу, подлежат хранению в хранилище юридически значимых электронных документов и могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Участник признает, что использование в Системе сертифицированных СКЗИ, обеспечивающих применение ЭП и шифрование информации, является необходимым условием обеспечения конфиденциальности информационного взаимодействия Участников, а также подтверждения того, что информация, представленная в электронно-цифровой форме (ЭИ), заверенная ЭП:
исходит от Участника (подтверждение авторства документа);
не претерпела изменений при информационном взаимодействии Участника (подтверждение целостности и подлинности документа).
Регламент начинает действовать в отношении Участника с момента заключения им Договора c УЦ РС(Я).
II. Термины и определения
Абонент (владелец сертификата ключа подписи) - уполномоченное лицо Участника, на имя которого Удостоверяющим центром издан сертификат ключа подписи, и которое владеет соответствующим закрытым ключом ЭП, позволяющим присваивать свою электронную подпись электронной информации, в том числе электронному документу (подписывать ЭД).
Автоматизированное рабочее место Системы (АРМ) - комплекс программных и аппаратных средств, используемых Участниками для электронного информационного обмена, в том числе в виде юридически значимыми ЭД.
Администратор АРМ - уполномоченное лицо, назначенное Участником для организации взаимодействия с Организатором и Участниками по обеспечению надежной и бесперебойной эксплуатации программно-технических средств АРМ.
Администратор ИБ - уполномоченное лицо, назначенное Участником для осуществления политики ИБ, обеспечения защиты информации и взаимодействия с УЦ РС(Я), Организатором и Участниками по вопросам ИБ.
Аутентификация информации - подтверждение подлинности и целостности информации, содержащейся в документе. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах или проверкой правильности ЭП.
Договор - договор, заключаемый с удостоверяющим центром, в соответствии с которым он предоставляет услуги по изданию и обслуживанию сертификатов ключей ЭП.
Закрытый (криптографический) ключ ЭП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭИ, в т.ч. в ЭД, ЭП с использованием средств ЭП. Закрытый ключ хранится на ключевом носителе.
Запрос на сертификат - сообщение, содержащее необходимую информацию для получения сертификата.
Запрос на отзыв сертификата - сообщение, содержащее необходимую информацию для отзыва сертификата
Информационная безопасность (ИБ) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Ключевой носитель - отчуждаемый электронный носитель (Сертифицированный электронный USB ключ, сертифицированная смарт - карта и т.п.).
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
утрата ключевых носителей;
утрата ключевых носителей с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевым носителям;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;
доступ посторонних лиц к информации на ключевом носителе, в том числе к пин-коду;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством РФ.
Конфликтная ситуация - ситуация, при которой у участников Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности ЭД, обработанных СКЗИ.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Несанкционированный доступ (НСД) к информации - доступ к информации, нарушающий установленные правила ее получения.
Организатор информационного обмена (Организатор) - юридическое лицо, в том числе имеющее Систему, заключившее Договор с УЦ, организующее подключение к Системе Участников, на основании ранее заключенных соглашений об обмене информацией между ними.
Открытый ключ ЭП - уникальная последовательность символов, соответствующая закрытому ключу, доступная любому Участнику информационной системы и предназначенная для подтверждения подлинности ЭП. Принадлежность открытого ключа ЭП Участнику Системы подтверждается ее Сертификатом.
Подтверждение подлинности ЭП - положительный результат проверки ЭП ее принадлежности владельцу сертификата ключа подписи (идентификация) и отсутствия искажений в подписанной с применением данной ЭП электронной информации, в том числе в электронном документе.
Регламент - документ, содержащий описание процедур и действий, которые Организатор и Участник используют в системе электронного информационного обмена с применением средств ЭП.
Сертификат ключа подписи (Сертификат) - документ на бумажном носителе или электронный документ с электронной подписью уполномоченного лица УЦ, включающий в себя открытый ключ ЭП, издаваемый соответствующим УЦ для подтверждения подлинности ЭП и идентификации владельца ее сертификата (выдается владельцу).
Система электронного информационного обмена (Система) - совокупность программных средств и технического оборудования, обеспечивающая процесс электронного обмена информацией, в том числе в виде юридически значимых ЭД в рамках корпоративной информационной системы Организатора и Участника.
СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) - список отозванных сертификатов.
Средства защиты информации от несанкционированного доступа (СЗИ от НСД) - программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение от НСД.
Средства криптографической защиты информации (СКЗИ) - совокупность программно-технических средств, осуществляющий криптографическое преобразование информации для обеспечения ее безопасности.
Средства ЭП - аппаратные и (или) программные средства, предназначенные для создания ЭП с использованием закрытого ключа, подтверждения с использованием открытого ключа ЭП ее подлинности, создания закрытых и открытых ключей ЭП.
Удостоверяющий центр (УЦ) - юридическое лицо, выполняющее функции, предусмотренные №1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи».
Уполномоченное лицо УЦ - сотрудник УЦ, наделенный правом заверения Сертификатов, изданных УЦ.
Участник Системы (Участник) - юридическое или физическое лицо, заключивший с УЦ Договор, признающий данный Регламент и включенный в систему электронного информационного обмена.
Электронный документ (далее - ЭД) - документ, в котором информация представлена в электронно-цифровой форме, заверенная ЭП, является оригиналом, имеет юридическую силу, подлежит хранению в хранилище юридически значимых электронных документов и может использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Электронная информация (ЭИ) - совокупность сведений, показателей, данных, требуемых для описания того или иного явления или процесса, представленная в электронно-цифровой форме, в том числе ЭД.
Электронная цифровая подпись (далее - ЭП) - реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД. В соответствии с ФЗ-1 «Об ЭЦП» признается аналогом собственноручной подписи.
III. Основные положения
3.1. Электронный информационный обмен между Организатором и Участниками регулируется следующими документами:
настоящим Регламентом;
соглашениями об обмене информацией, заключаемыми между Организатором и Участниками (далее - Соглашение);
договором с УЦ РС(Я);
технической документацией к АРМ Участника, включая документацию на СКЗИ;
действующими нормативными правовыми актами Российской Федерации и Республики Саха (Якутия).
3.2. Участники при регулировании отношений, возникающих при эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, руководствуются Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, а также нормативными правовыми актами, устанавливающими режим защиты, хранения и использования информации ограниченного распространения (доступа).
3.3. УЦ осуществляет работы по управлению ключами в соответствии с Федеральным законом РФ «Об электронной цифровой подписи», положениями настоящего Регламента и на основании Договора между УЦ и Участником.
3.4. Размещение, установка, подключение и последующая эксплуатация АРМ Участника, в случае обмена конфиденциальной информацией, должны выполняться в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ при Президенте РФ от 13.06.2001 № 152 (далее - Инструкция № 152), а также в соответствии с технической и эксплутационной документацией на аппаратные и программные средства АРМ.
3.5. Ведение участниками электронных архивов ЭД, с сохранением всех реквизитов, включая все заверяющие ЭП, определяются нормативными правовыми актами.
3.6. Конфликтные ситуации, связанные с использованием ЭП, разрешаются участниками в рабочем порядке по итогам работы комиссии по разрешению конфликтной ситуации, состоящей из представителей служб информационно-технического обеспечения и служб обеспечения информационной безопасности, представителей подразделений-исполнителей ЭД и юридических служб Сторон, а также уполномоченного представителя Удостоверяющего центра и/или в судебном порядке, установленном законодательством Российской Федерации.
IV. Условия участия в системе электронного информационного обмена
4.1. Для участия в Системе Участник, со своей стороны, осуществляет следующие действия:
4.1.1. Заключает соглашение или иной документ, подтверждающий права осуществления обмена информацией в электронном виде с применением СКЗИ и ЭП между Организатором и Участниками.
4.1.2. Назначает приказом или иным документом уполномоченных лиц, ответственных за осуществление обмена информацией в электронном виде, в том числе должностных лиц, наделенных правом ЭП и администратора информационной безопасности для взаимодействия с УЦ РС(Я), Организатором и Участниками по вопросам политики информационной безопасности.
4.1.3. Проводит мероприятия по подготовке к эксплуатации СКЗИ в соответствии с требованиями технической и эксплутационной документации к ним.
4.1.4. Оформляет акт о готовности к обмену электронными документами.
4.1.5. Самостоятельно комплектует АРМ обмена ЭД необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами защиты информации от несанкционированного доступа.
4.1.6. Заключает договор с УЦ, в соответствии с которым УЦ предоставляет услуги, связанные с изданием и обслуживанием сертификатов ключей подписи.
V. Организация взаимодействия участников с удостоверяющим центром Республики Саха (Якутия)
5.1. Участник направляет в УЦ РС(Я) письменное заявление о заключении Договора с УЦ.
5.2. В соответствии с согласованным с УЦ графиком Участник проводит процедуру регистрации Абонентов Участника, указанных в заявке к договору в качестве владельцев сертификатов ключей подписи.
5.3. Создание ключей ЭП, издание и выдача, приостановление действия, аннулирование сертификата ключа подписи осуществляется в порядке, установленном Договором с УЦ и в соответствии с Федеральным законом РФ «Об электронной цифровой подписи».
5.4. Участник получает доступ к реестру сертификатов Удостоверяющего центра и списку отозванных сертификатов, к сведениям об Удостоверяющих Центрах, с которыми установлены доверительные отношения в Интернет-портале УЦ.
Примечание: Удостоверяющим Центром предусмотрен автоматический процесс публикации в интернет-портале реестра сертификатов и сертификатов недействительных (скомпрометированных) ключей в СОС.
5.5. Срок действия криптографических ключей Абонента составляет 1 (один) год. Начало периода действия ключей Абонента исчисляется с даты и времени начала действия соответствующих им сертификатов ключей.
5.6. Замена сертификата владельца ключа подписи производится по инициативе Участника, но не реже одного раза в год (отдельным решением могут быть установлены другие сроки) в следующем порядке:
Направляет в адрес УЦ заявку на аннулирование сертификата ключа подписи с указанием в качестве причины аннулирования: изменение данных владельца сертификата ключа подписи (изменение должности, наименования подразделения, адреса электронной почты и т.д.), увольнение и назначение нового уполномоченного лица; а также заявку на издание сертификата ключа подписи с новыми данными владельца.
Работы по изданию и выдаче нового сертификата, а также предоставление гарантийного обслуживания сертификата ключа подписи Участника УЦ проводит в соответствии с Договором.
Участник принимает решение о сроках и порядке архивного хранения или об уничтожении старых закрытых ключей и соответствующих сертификатов, так как все риски, связанные с несанкционированным использованием старых закрытых ключей, ложатся на Участника.
Факт уничтожения или сохранения старых закрытых ключей оформляется Актом, который заверяется подписями владельца старого закрытого ключа, руководителя организации и печатью организации. 2-й экземпляр данного документа передается в Удостоверяющий Центр.
VI. Порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием шифровальных (криптографических) средств защиты информации
6.1. Участник, в соответствии с Договором, лицензионным соглашением, эксплуатационной документацией на СКЗИ и соответствующими нормативными правовыми актами:
6.1.1. Подготавливает и содержит в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для работы в Системе.
6.1.2. Организовывает режим функционирования рабочих мест таким образом, чтобы исключить возможность доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования криптографических ключей не уполномоченными на то лицами.
6.1.3. Закрепляет СКЗИ за Абонентом (должностным лицом) Участника.
6.1.4. Осуществляет учет, хранение дистрибутивов и ведение соответствующих формуляров на переданные СКЗИ Администратором ИБ Участника.
6.1.5. При обращении с носителями ключевой информации, относящимся к материальным носителям, содержащим информацию ограниченного доступа, выполняет требования нормативных правовых документов, регламентирующих порядок обращения с информацией ограниченного доступа.
6.1.6. Перед уничтожением старых закрытых ключей ЭП организовывает расшифровку всех ЭД, зашифрованных с их использованием.
6.2. Участник обеспечивает хранение расшифрованных документов в электронном виде в соответствии с требованиями, установленными законодательством и настоящим Регламентом.
6.3. Участнику рекомендуется не использовать средства разработки и отладки программ на ПЭВМ, на которой установлено СКЗИ.
6.4. Участник имеет право:
не принимать к исполнению электронные документы, заверенные ЭП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент подписания ЭД при наличии доказательств, определяющих момент подписания;
Примечание: перед принятием решения по исполнению полученного ЭД, в зависимости от его важности, Участник самостоятельно определяет необходимость проверки нахождения сертификата ЭЦП отправителя в СОС.
не подтверждена подлинность ЭП в электронном документе;
ЭП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.
запрашивать подтверждение по полученным им ЭД в случае возникновения сомнений;
требовать от УЦ аннулирования своего сертификата открытого ключа в случае наступления событий, трактуемых как компрометация ключевой информации;
требовать исполнения обязательств от других участников Системы по принятым ими электронным документам;
в случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным порядком.
6.5. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется Организатором, Участниками, являющимися собственниками (владельцами) информационных ресурсов (информационных систем), установившими режим защиты информации, обрабатываемой в них, а также Управлением Федеральной службы безопасности РФ по Республике Саха (Якутия) и его лицензиатами, Комиссией по защите информации Координационного Совета при Президенте Республики Саха (Якутия) по информатизации и защите информации (Технической комиссией РС(Я)).
6.6. 3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут ответственность в соответствии с Договором и действующим законодательством Российской Федерации.
Дополнительные сведения
Государственные публикаторы: | Якутские ведомости № 69 от 24.11.2006 |
Рубрики правового классификатора: | 010.140.010 Общие положения, 020.010.050 Органы исполнительной власти субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу: